Coronavirus y app de rastreo de contagios: "Una vez superada la pandemia debe regresarse a la situación de normalidad y los datos deben bloquearse o borrarse"

La Secretaría de Estado de Inteligencia Artificial anunció el lunes su participación en un proyecto europeo que se impulsa desde Alemania llamado PEPP (siglas en inglés de Rastreo Paneuropeo de Proximidad para Preservar la Privacidad). Se trata de una herramienta tecnológica, una app, que nos avisaría de que debemos hacernos la prueba para saber si tenemos coronavirus, porque, por Bluetooth, habrá detectado que hemos estado cerca de alguien infectado, que obviamente también dispondría de la app descargada y se habría identificado con ella.

Hablamos con Covadonga Ferrer, coordinadora del Máster en Derecho de las Nuevas Tecnologías UCM, sobre los riesgos que puedo representar para el respeto a nuestra privacidad esta y otras iniciativas tecnológicas que están surgiendo para afrontar la pandemia del COVID-19.

¿En qué tenemos que fijarnos para asegurarnos de que se protegen nuestros datos y privacidad en los registros de esta app de iniciativa europea? Lo principal es que nos fijemos en quién, para qué y con qué garantías van a tratarse los datos personales que estamos aportando. Esto se puede comprobar al consultar la política de privacidad, que toda app debe tener y que el usuario ha de aceptar al descargarse. En la política de privacidad se informará de la finalidad de la recogida de los datos personales, el nombre y datos de contacto del responsable del tratamiento; la legitimación para el tratamiento de esos datos; sus destinatarios; el período que se van a conservar; etc. Esta información es esencial, para que el interesado pueda dar su consentimiento pleno, formado y expreso, tal y como requiere el Reglamento General de Protección de Datos (RGPD). En el caso de la app que se proyecta, es además esencial, pues los datos relativos a la salud de una persona física se encuentran dentro de las categorías especiales de datos personales recogidos en el artículo 9 del Reglamento, que les otorga una mayor protección. Por ello, el Reglamento prohíbe en un principio su tratamiento, salvo cuando concurra alguna de las circunstancias establecidas en el apartado 2 del citado artículo y una de las bases legales establecidas en el apartado 1 del artículo 6. Dos de las causas que legitimarían el tratamiento de este tipo de datos son, por ejemplo, el consentimiento explícito del interesado; o el tratamiento por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, como sería la pandemia actual del coronavirus. Por lo tanto, como ha señalado la Agencia Española de Protección de Datos (AEPD) las finalidades para las que pueden tratarse los datos por las aplicaciones de este estilo que se están desarrollando son, únicamente, las relacionadas con el control de la epidemia.

Al tratarse de datos sensibles, la app deberá garantizar el respeto del principio de minimización de los datos personales, consagrado en el artículo 5.1.c del RGPD, que establece que los datos personales han de ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Es decir, no deben ser excesivos en relación con la finalidad perseguida, y deben ser necesarios, sin que quepa lograr la finalidad perseguida sin proceder al tratamiento de esos datos. Además, el tratamiento de este tipo de datos también debe contar con el juicio de proporcionalidad al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

"La app de la Comunidad de Madrid advierte de que una vez finalice el período de conservación de los datos éstos serán 'borrados, anonimizados y/o bloqueados conforme a los requisitos establecidos en la normativa aplicable'. Pero, al mismo tiempo, también señala que existen diversos motivos que legitiman para conservar dichos datos. En todo caso, las autoridades nacionales de protección de datos podrán supervisar estas actividades y garantizar su cumplimiento con el RGPD".

La app, por tanto, deberá recabar el mínimo de información de los interesados y los datos deberán estar anonimizados y no permitir la reidentificación de un usuario individual, como ha señalado el Supervisor Europeo de Protección de Datos (SEPD). En principio, es lo que promete el proyecto europeo, así como la descentralización. El principal problema de muchas apps, efectivamente, es que los datos que recogen están seudoanonimizados, es decir, se quita el dato personal y se sustituye por un número. Pero esto es reversible y se puede volver a identificar. Por lo tanto, la app que se está desarrollando deberá dar salvaguardas respecto al uso, acceso y almacenamiento de la información, así como al tiempo que se van a retener esos datos.

Su uso deberá se temporal, mientras dure la pandemia, y es fundamental que los datos o bien se destruyan una vez termine la pandemia, o bien se anonimicen si se quieren realizar estadísticas. En todo caso, lo que no puede ocurrir es que terminen en manos de empresas privadas. Estas cuestiones deberán aparecer en la política de privacidad de la app para que el usuario dé su consentimiento. Habrá que comprobar que respeta lo establecido en el RGPD. Como ejemplo de algunas de las apps que ya están funcionando, la de la Comunidad de Madrid advierte de que una vez finalice el período de conservación de los datos éstos serán "borrados, anonimizados y/o bloqueados conforme a los requisitos establecidos en la normativa aplicable". Pero, al mismo tiempo, también señala que existen diversos motivos que legitiman para conservar dichos datos. En todo caso, las autoridades nacionales de protección de datos podrán supervisar estas actividades y garantizar su cumplimiento con el RGPD.

"Parece que Apple y Google sí han optado por un uso respetuoso y por sistemas descentralizados, aunque también la problemática es cómo controlarlas".

Apple y Google ya se han puesto a trabajar juntos en una colaboración inédita para facilitar este protocolo global. ¿Es conveniente la iniciativa privada cuando se manejan este tipo de datos de salud pública?

Más que conveniente cabría decir que se necesita pues los gobiernos y administraciones nacionales no pueden depender solo de sí mismos y este tipo de compañías cuentan ya con los medios necesarios para llevar a cabo el desarrollo de este tipo de aplicaciones. Lo que no obsta para que genere preocupación. Lo fundamental, por tanto, en este caso es asegurar, como he señalado antes, que los datos que se recaben sean anonimizados, sean los mínimos imprescindibles y se limite el tiempo de su utilización, asegurando que tras la pandemia no terminen en manos privadas. Parece que estas compañías sí han optado por un uso respetuoso y por sistemas descentralizados, aunque también la problemática es cómo controlarlas. Lo que tampoco se debe permitir es que el servidor donde se alojen los datos lo gestione una de estas compañías. La AEPD ha señalado que las entidades privadas que colaboren con las autoridades públicas competentes sólo podrán utilizar los datos conforme a las instrucciones de estas y que, en ningún caso, podrán utilizarlos para fines distintos de los autorizados.

Los expertos han señalado las dudas que esta situación plantea, hasta dónde debe ir la actuación de los Estados y hasta dónde estamos dispuestos a ceder nuestros datos personales en materia de salud para lograr este fin colectivo.

¿El sistema es similar al que se aplicó en Corea del Sur?

Es más similar al de Singapur, si bien los expertos señalan las limitaciones de este tipo de apps y cómo en estos países se han complementado estas apps con otros mecanismos para obtener información y poder controlar la expansión del virus. En Europa los ciudadanos cada vez están más concienciados y tienen mayor información sobre la importancia de la protección de sus datos personales, aunque también solemos descargarnos muchas aplicaciones y aceptar los términos sin revisar adecuadamente la política de privacidad. En la actual situación de emergencia precisamente una de las cuestiones que preocupan es el peligro a que se excedan los límites de lo que es posible hacer, y las limitaciones o restricciones que se puedan establecer a ciertos derechos durante ella, y a que se puedan cometer abusos. Efectivamente los ciudadanos puede que sean más tolerantes o que puedan comprender la necesidad de ciertas medidas, pues está en juego la salud de toda la población, pero los expertos han señalado las dudas que esta situación plantea, hasta dónde debe ir la actuación de los Estados y hasta dónde estamos dispuestos a ceder nuestros datos personales en materia de salud para lograr este fin colectivo. Uno de los puntos que también se ha destacado a este respecto es que los países europeos no son como China, donde evidentemente las intervenciones han sido mucho más restrictivas.

En España, en la app que ha creado el gobierno central, AsistenciaCOVID-19, activar la geolocalización del usuario es opcional, y según su política de privacidad, ésta “sólo se utilizará a la hora de registrarte y realizar tus autoevaluaciones, para poder conocer en qué Comunidad Autónoma te encuentras y poder conectarte con el sistema de atención sanitaria que te corresponda. No se rastrea tu localización para finalidades distintas de las señaladas". ¿Cómo podemos asegurarnos de que esto es así?

La AEPD se ha pronunciado a este respecto señalando que las autoridades sanitarias ante la actual situación de emergencia tienen amplias facultades pues se trata de proteger la salud y es necesario limitar los movimientos de los ciudadanos para evitar la propagación del virus, pero que “el único dato que a los efectos de la geolocalización debería facilitarse a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad”. Una vez más, para obtener y tratar estos datos hay que informar a los ciudadanos de forma clara, accesible y fácilmente comprensible de todos los aspectos que ya he señalado en la política de privacidad. Las autoridades nacionales de protección de datos podrán supervisar estas actividades y garantizar el cumplimiento, y en caso de sospecha de que no se está haciendo un tratamiento correcto se podrá acudir a la AEPD.

"Las políticas de privacidad de las empresas tecnológicas a las que facilitamos nuestros datos son más invasivas y suelen implicar aceptar dar acceso a la cámara del teléfono móvil, micrófono, contactos, ubicación, cesión de los datos a terceros, etc. (...) Desde el momento en que se aceptan las condiciones cedemos una cantidad ingente de datos y de información personal con tal de acceder al servicio, la mayoría de las ocasiones sin leer la política de privacidad para descargar rápidamente la aplicación. Lo que, a su vez, conlleva que posteriormente no podamos reclamar si cancelan el servicio por ejemplo"

Son muchas las advertencias que se están haciendo para mantenernos alerta del control que puedan ejercer sobre nuestros datos y movimientos las herramientas tecnológicas que se desarrollen para evitar la expansión del Covid-19. Pero, las que conocemos hasta ahora, ¿tienen políticas de privacidad más invasivas que las de las empresas tecnológicas a las que les facilitamos nuestros datos?

Las políticas de privacidad de las empresas tecnológicas a las que facilitamos nuestros datos son más invasivas y suelen implicar aceptar dar acceso a la cámara del teléfono móvil, micrófono, contactos, ubicación, cesión de los datos a terceros, etc. En aplicaciones como Facebook permitirá que nos envíen publicidad personalizada, Google te recordará si no estás yendo por tu ruta habitual al trabajo… Desde el momento en que se aceptan las condiciones cedemos una cantidad ingente de datos y de información personal con tal de acceder al servicio, la mayoría de las ocasiones sin leer la política de privacidad para descargar rápidamente la aplicación. Lo que, a su vez, conlleva que posteriormente no podamos reclamar si cancelan el servicio por ejemplo. Las finalidades para la que pueden recabarse estos datos están más limitadas, han de ser solo los necesarios y proporcionados, y por tiempo limitado, debiendo anonimizarse, borrarse o bloquearse tras la pandemia y no pudiendo cederse a empresas privadas. Esta es la línea seguida por la app del proyecto Europeo y por Apple y Google.

¿Cree que, tras la pandemia, habrá un antes y un después respecto al debate privacidad vs salud pública, de la misma manera que tras el 11S lo hubo respecto a la libertad vs seguridad?

El debate ya lo tenemos en estos momentos, se puede ver en los medios de comunicación y en las preocupaciones que se están expresando. Puede decirse que los expertos coinciden en que una vez superada la pandemia debe regresarse a la situación de normalidad y los datos deben bloquearse o borrarse. No debe servir la situación actual para relajar la protección de la privacidad en un futuro.

Coronavirus y app de rastreo de contagios: "Una vez superada la pandemia debe regresarse a la situación de normalidad y los datos deben bloquearse o borrarse"

Hablamos con Covadonga Ferrer, coordinadora del Máster en Derecho de las Nuevas Tecnologías de la UCM, sobre las distintas app que se están lanzando para controlar la COVID-19

Hoy destacamos

Illa abre la campaña catalana respaldando a Sánchez y denunciando la cacería del PP: "Estamos contigo, Pedro"

El PSOE convoca una concentración el sábado 27 en Ferraz en apoyo de Pedro Sánchez

La Fiscalía pide archivar la causa contra Begoña Gómez

Los vínculos con el PP de Juan Carlos Peinado, el polémico juez que ha abierto diligencias contra Begoña Gómez

Manos Limpias se lava las manos: apunta a los medios si las noticias de su denuncia son falsas