El pasado lunes el Gobierno lanzó la aplicación móvil oficial de autodiagnóstico e información, AsistenciaCOVID-19 (https://asistencia.covid19.gob.es/), que tiene geolocalización desactivable y, según ha insistido el Ejecutivo, uso exclusivamente sanitario. El desarrollo de la app ha contado con la participación de empresas como CARTO, ForceManager y mendesaltaren, y con la colaboración de Telefónica, Ferrovial, Google y Santander. Hablamos de la herramienta desde el enfoque de la protección de nuestros datos personales con Laura Davara F. de Marcos, socia de Davara&Davara, Doctora en Derecho y Experta en TIC.

La app AsistenciaCOVID-19 permite al usuario hacerse un autodiagnóstico para saber si está infectado del nuevo coronavirus. Se persigue así descongestionar los teléfonos de atención sanitaria de las diferentes Comunidades Autónomas, además de ofrecer información oficial sobre la enfermedad. ¿En qué elementos de esta app tenemos que fijarnos para tener la seguridad de que es respetuosa con la protección de nuestros datos personales? 

Lo primero que tiene que quedar claro es que el hecho de utilizar -tratar- nuestros datos personales no supone una vulneración de nuestro derecho fundamental de protección de datos. La protección de datos no es absoluta y, en el caso de investigación, ayuda y diagnóstico de Coronavirus la protección de datos “cede”, pasa a un segundo plano. Pero esta “cesión” no puede hacerse a cualquier precio, ha de hacerse cumpliendo con todo lo que exige la normativa. En este sentido, la aplicación AsistenciaCOVID-19 ofrece información clara y, para conocerla, tenemos que fijarnos tanto en la política de privacidad como en los datos que se solicitan al usuario que hace uso de la aplicación.

Las finalidades son múltiples, pero todas están relacionadas con la finalidad principal de prestar el servicio de diagnóstico y ayuda al ciudadano en caso de sospechar ser víctima de Coronavirus.

Extraigo a continuación, algunos puntos de la política de privacidad de la aplicación que creo que son interesantes:

La información que tenemos sobre ti incluye los siguientes datos relativos a tu persona:

• Nombre y apellidos
‍• Número de teléfono móvil, para que te podamos enviar notificaciones SMS

• DNI / NIE para posterior cruce con la tarjeta sanitaria, a los efectos de que las Autoridades Sanitarias puedan integrar y comparar la información de pacientes con posibles síntomas con los sistemas públicos de gestión sanitaria existentes y hacer un seguimiento y atención personalizada.

• Dirección completa y código postal

• Fecha de nacimiento, con objeto de poder establecer el grupo de población en el que te encuentras y ponderar los síntomas (el rango de edad puede determinar si se trata de un grupo de riesgo).

• Geolocalización (esto es, la localización vía GPS de tu teléfono móvil), opcional para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento. La geolocalización sólo se utilizará a la hora de registrarte y realizar tus autoevaluaciones, para poder conocer en qué Comunidad Autónoma te encuentras y poder conectarte con el sistema de atención sanitaria que te corresponda. No se rastrea tu localización para finalidades distintas de las señaladas.

• Género (opcional)

• Datos de salud relacionados con los síntomas que estas experimentando. En concreto, con motivo del uso de la Aplicación podremos recabar información sobre ti relacionada con patologías previas, así como la sensación de falta de aire, fiebre de +37.7ºC, tos seca, si has estado en contacto con algún paciente positivo confirmado, si tienes mucosidad en la nariz, dolor muscular y/o malestar general.

Las finalidades son claras:

• Ofrecerte información sobre el COVID-19, incluyendo el envío de notificaciones a través de la Aplicación en relación con las mejores medidas preventivas y de evaluación en cada momento.
 
• Realizar tu autoevaluación en base a los síntomas médicos que nos comuniques acerca de la probabilidad de que estés infectado por el virus COVID-19 o “coronavirus”.

• Proporcionarte consejos prácticos y recomendaciones de acciones a seguir según evaluación.

• Si es necesario, selección de cita para posible prueba, según diagnóstico.

• Recepción de resultados de la prueba y recomendaciones de actuación para la cuarentena o auto-cuarentena o cita con centro médico.

• Autoevaluación continua diaria: Monitorización de la temperatura y parámetros básicos, cada 12 horas desde que se inicie la Aplicación, incluyendo un recordatorio en forma de alarma para que lo vayas introduciendo.

• Conocer tu localización GPS en el momento de la autoevaluación exclusivamente para poder conocer en qué Comunidad Autónoma te encuentras y en su caso conectarte con los servicios de salud correspondientes.

• Para finalidades estadísticas;

• Para investigación biomédica, científica o histórica; y  Para archivo en interés público;

Algunas Comunidades Autónomas ya habían desarrollado su propia aplicación para el control de la pandemia. Por ejemplo, la Comunidad de Madrid, y de la suya se ha criticado que los datos que se recaban pasan por manos de empresas privadas. ¿Ocurre lo mismo con en la estatal, de acuerdo con su política de privacidad?

Según lo que indica la política de privacidad de la Aplicación del Gobierno, el responsable del tratamiento será el Ministerio de Sanidad y, además, podrán tener acceso a los datos proporcionados por el usuario, los profesionales sanitarios, las autoridades competentes de las Comunidades Autónomas en materia de sanidad, otras autoridades nacionales y/o internacionales (p.ej. órganos judiciales), con las que sea necesario compartir la información. En todo caso, el acceso por terceros será “garantizando siempre el máximo nivel de protección en el acceso que estos terceros tengan a tus datos e información”.

Activar la geolocalización del usuario en la app es opcional, y según su política de privacidad, ésta “sólo se utilizará a la hora de registrarte y realizar tus autoevaluaciones, para poder conocer en qué Comunidad Autónoma te encuentras y poder conectarte con el sistema de atención sanitaria que te corresponda. No se rastrea tu localización para finalidades distintas de las señaladas". ¿Cómo podemos asegurarnos de que esto es así?

La geolocalización es un parámetro que el usuario decide activar en cada aplicación que se descarga (pero no debemos olvidar que, en determinadas aplicaciones, si no activas la localización, el servicio no puede prestarse adecuadamente). Se trata de una decisión libre del usuario; decisión que, además, puede cambiar tantas veces como quiera -en la configuración de privacidad de cada aplicación y en el propio Smartphone o tablet-. Y, como no podía ser de otra manera, en la aplicación del Gobierno, el usuario decide si quiere compartir esa información con la aplicación o no. Respecto a cómo podemos asegurarnos de que el Gobierno no utiliza la geolocalización con otras finalidades, no hay certeza absoluta, no podemos controlar lo que hace o lo que deja de hacer el Gobierno, al igual que no podemos controlarlo con el resto de aplicaciones que usamos a diario. Pero el ciudadano debe estar tranquilo por dos motivos: por un lado, porque en la propia aplicación se mencionan los datos del Delegado de Protección de datos -a quien pueden acudir ante cualquier duda sobre el tratamiento de sus datos personales- y, por otro, porque en España contamos con la Agencia Española de Protección de Datos -organismo garante en materia de protección de datos y encargado de sancionar en caso de que se haya producido una vulneración de la normativa de protección de datos-.

Durante algunos días se ha puesto de ejemplo la app que desarrolló Corea del Sur para controlar la expansión de la pandemia, que en Europa generaba recelos por la protección de datos. ¿Es, en este sentido, más garantista la española?

En mi opinión, hay una diferencia enorme entre Corea del Sur y España en este sentido: la concienciación, el respeto y la tradición legislativa en materia de protección de datos. En España, pese a que aún quede mucho camino por recorrer, principalmente en lo que a formación y concienciación de los ciudadanos -de todas las edades, no solo de los más pequeños de la casa- sobre el valor de sus datos personales, lo cierto es que contamos con dos normas que amparan, protegen y defienden a los interesados -como los llama la Ley- o, dicho de otra manera, a los titulares de los datos, a todos nosotros. Porque, aunque se hable de “protección de datos”, el nombre no debe confundirnos, lo que protegen las normas no son los datos, son las personas dueñas y titulares de esos datos. Las dos normas que nos protegen son el Reglamento Europeo de Protección de Datos y la LOPDGDD y la aplicación española en su política de privacidad afirma cumplir con lo dispuesto en ellas. Por lo que, repito, debemos estar tranquilos: tenemos una normativa que nos protege y un organismo garante (la AEPD) encargado de sancionar a aquellas entidades -públicas o privadas- que hagan un uso ilegítimo de nuestros datos personales y que, por tanto, también nos protege.

Son muchas las advertencias que se están haciendo para mantenernos alerta del control que puedan ejercer sobre nuestros datos y movimientos las herramientas tecnológicas que se desarrollen para evitar la expansión de la Covid-19. Pero, las que conocemos hasta ahora, ¿tienen políticas de privacidad más invasivas que las de las empresas tecnológicas a las que les facilitamos nuestros datos?

No. De hecho, antes de proporcionar cualquier dato personal (en concreto, el teléfono móvil, que es el primer dato personal que se nos solicita) el usuario puede leer la política de privacidad donde se especifica claramente tanto las finalidades como los datos que se recaban. En mi opinión, la política de privacidad de la aplicación CoVid-19 es más clara, sencilla y transparente que la de, por poner un par de ejemplos, Facebook o Google -aplicaciones que, seguramente muchos de los lectores utilicen a diario-. Otra cosa es que, teniendo en cuenta la excepcional situación en la que nos encontramos y al tratarse de datos personales de los que la doctrina suele denominar “sensibles” como son datos de salud -aunque la terminología que utiliza la normativa es “categorías especiales de datos”- “la sensibilidad”, valga la redundancia, es mayor. Y, sobre todo, que cuando marcamos el “He leído y acepto” normalmente, la realidad es que “no he leído, pero acepto”.

"En mi opinión, la política de privacidad de la aplicación CoVid-19 es más clara, sencilla y transparente que la de, por poner un par de ejemplos, Facebook o Google -aplicaciones que, seguramente muchos de los lectores utilicen a diario-".

Google lanzó la semana pasada otra herramienta para medir el impacto de las medidas de distanciamiento social con la tecnología de Google Maps, que ha puesto a disposición de las autoridades. ¿Deben colaborar el sector privado y los Gobiernos compartiendo esta información?

En mi opinión, el bien mayor que se está persiguiendo -acabar con la pandemia y, por ende, proteger la vida y la salud de todos los ciudadanos- es de tal importancia que, sin duda, el Sector Privado y los Gobiernos deben actuar de manera conjunta. Pero esta colaboración no debe suponer, en ningún caso, la vulneración de derechos fundamentales de los ciudadanos. Una muestra de una buena -y reciente- colaboración entre el Sector Público y el Privado es el lanzamiento, disponible para todos los ciudadanos, de un canal de consulta sobre el Coronavirus a través de la aplicación de mensajería WhatsApp. Se trata de un sistema que utiliza inteligencia artificial para responder a más de 200 preguntas sobre el Virus y en cuyo desarrollo han trabajado de la mano miembros del Sector Público y del Privado puesto que los artífices del programa son trabajadores de la Secretaría de Estado de Digitalización e Inteligencia Artificial y personal de empresas como Google o Sngular.

Como medida paralela a la app AsistenciaCOVID-19 se está desarrollando un estudio en el INE que utilizará datos de los operadores de telefonía para trazar el movimiento de la población española antes y durante el Estado de Alarma. El Gobierno afirma que ninguno de estos sistemas se usará para vigilar si los ciudadanos cumplen la cuarentena. De nuevo, ¿cómo podemos asegurarnos de que así sea?

Ha de tenerse en cuenta que los datos que va a utilizar el INE son datos estadísticos, datos disociados o, dicho de otra manera, no va a hacer uso de datos personales. De hecho, el INE ha emitido un comunicado de prensa para aclarar cualquier duda en la línea que me preguntas y afirma que “la información que recabará se limitará a un recuento de terminales que será proporcionada al INE en forma de tablas agregadas de resultados”. Añadiendo que “los operadores no facilitarán datos individuales sobre números de teléfono ni sobre los titulares de las líneas, por lo que en ningún caso el INE podrá rastrear la posición de ningún terminal”.

"Ha de tenerse en cuenta que los datos que va a utilizar el INE son datos estadísticos, datos disociados o, dicho de otra manera, no va a hacer uso de datos personales".

Tras la popularización de todas estas medidas, ¿puede producirse un antes y un después en el uso de las tecnologías en la Sanidad Pública? Y, ¿cómo será nuestra aceptación de estos usos?

Creo que va a haber un antes y un después de esta pandemia en todos los sentidos. El impacto está siendo enorme en todos los ámbitos: sanitario, laboral, social, económico, educativo, político y, por supuesto, tecnológico. Y todos debemos adaptarnos. Sin duda, va a suponer un esfuerzo -tanto para las empresas como para los particulares y los poderes públicos- pero si algo positivo podemos sacar de esta terrible situación es que las TIC sirven también para ayudar: ayudar a investigar el Virus y la mejor manera de hacerle frente, ayudarnos a mantener el contacto con nuestros seres queridos, ayudar a que la información llegue a todas las partes del mundo de manera fácil y rápida, ayudar a que los ingresados en los hospitales puedan hablar con sus familiares, ayudar a crear respiradores con impresoras 3D, ayudar a que las empresas -las que puedan- sigan trabajando desde sus casas, ayudar a que la solidaridad de los ciudadanos supere todos los límites imaginables…y un largo etcétera.

En paralelo al repunte de la plataforma Zoom a raíz del teletrabajo al que nos estamos viendo obligados, varios medios han publicado que esta empresa no tiene una política de privacidad rigurosa. ¿Cuáles son los riesgos de Zoom y qué alternativas tenemos?

En los últimos días, han visto la luz varias vulnerabilidades que afectan a esta aplicación de videollamadas. Por citar algunas: una vulnerabilidad que afecta al sistema operativo Windows y podría permitir a un ciberdelincuente robar el nombre de usuario de la víctima y el hash de la contraseña de acceso, tal y como pone de manifiesto el Instituto Nacional de Ciberseguridad (INCIBE) o la aparición de numerosas webs que suplantan la identidad y logo de Zoom para robar datos de los usuarios que “piquen” en la estafa. Si bien es cierto que Zoom ha publicado una actualización de la aplicación para hacer frente a la primera vulnerabilidad, el usuario también tiene una responsabilidad. En este sentido, recomiendo que los usuarios que hagan uso de Zoom -y de todas las aplicaciones en general puesto que ninguna está exenta de riesgos- utilicen siempre la última versión de la aplicación, la instalen en un dispositivo en el que no tengan datos personales y/o información confidencial (de manera que si el riesgo se materializa, el impacto sea el mínimo), hagan uso de contraseñas robustas diferentes para cada aplicación (y las cambien con frecuencia) comprueben, cada cierto tiempo, si el correo electrónico con el que se han dado de alta en la aplicación ha sido hackeado y, de ser así, procedan de inmediato a cambiar la contraseña, y, por último, verifiquen que no se ha sido víctima de ningún ciberdelito y, en su caso, denuncien a las Autoridades competentes