Seguramente, durante las semanas de desescalada hasta llegar a la nueva normalidad, habrás escuchado hablar sobre la posibilidad de utilizar aplicaciones de rastreo de dispositivos móviles con el fin de controlar posibles contagios y rebrotes de Covid-19. Ante este nuevo escenario, nos formulamos las siguientes preguntas:
¿Cumplen las apps de rastreo con el RGPD?, ¿Cómo funcionan estas aplicaciones?, ¿Cómo es el tratamiento de los datos de los usuarios?
Cumplimiento del RGPD de las apps de rastreo de la Covid-19
El punto objetivo sobre el que habría que hacer hincapié es la recopilación de datos personales que realizarían estas aplicaciones y si, de una manera u otra, pueden llegar a vulnerar el Derecho a la Intimidad (art. 18.1 de la Constitución Española) al analizar datos de ubicación e información sanitaria.
Planteamiento y finalidad de dichas aplicaciones:
Habría que tener en cuenta, también, que las aplicaciones desarrolladas con la finalidad de rastrear contagios por Covid-19 operan bajo el protocolo específico DP3T (Decentralized Privacy-Preserving Proximity Tracing), a priori, el más respetuoso con la privacidad de los usuarios. Éste funciona conectando dispositivos cercanos a través de Bluetooth. Así, se recopilaría la información necesaria para saber si un ciudadano ha estado en contacto o no con el virus. Al mismo tiempo, existiría la posibilidad de detectar a qué otras personas habría podido infectar.
En cuanto a características concretas relacionadas con la privacidad, resaltarían:
- La posibilidad de recoger datos que no se almacenarían.
- No se crearían perfiles concretos de usuarios que pudieran llegar a identificarse.
- Eliminación de los ficheros de datos una vez pasados 14 días (el tiempo establecido a día de hoy de incubación del virus).
- El modelo descentralizado cumple con las orientaciones de la Comisión Europea que recomienda que la app almacene los identificadores en el móvil de manera cifrada. Asimismo, considera que la solución descentralizada está más en consonancia con el principio de minimización de datos del Reglamento General de Protección de Datos (RGPD).
- El modelo está alineado con las Directrices 04/2020 sobre herramientas de rastreo de contactos del Comité Europeo de Protección de Datos (CEPD), de 21 de abril de 2020, que enfatiza que el marco europeo de protección de datos personales contiene disposiciones específicas que permiten el uso de datos anónimos o personales para luchar contra la pandemia de COVID-19.
- El CEPD señala que el uso de la app debe ser voluntario y no basarse en la geolocalización, sino en información de proximidad respecto a otros ciudadanos.
La aplicación piloto de rastreo es una realidad y comenzará a operar en La Gomera
La isla canaria ha sido la seleccionada para realizar el pilotaje nacional de la APP de rastreo de contagios, por lo que será un referente a analizar en cuanto al cumplimiento del Reglamento General de Protección de Datos.
¿Cómo funciona?
El usuario positivo en Covid-19 libremente podría notificarlo en la app. El cotejo de datos y análisis de riesgo se lleva a cabo en el móvil del usuario y no en el servidor. A dicha información, solo podrían acceder las autoridades sanitarias, que solo podrían acceder a los identificadores generados por el móvil de la persona infectada, pero no a los de sus contactos. De esta forma, los posibles contagios recibirían una alerta en su app donde se les notificaría de la posibilidad de haber estado en contacto con una persona contagiada. A todo esto, se le suma el valor añadido que supone la información personalizada que recibirían estos contactos sobre cómo proceder si recibieran dicha notificación.
¿Cuál es la postura de la AEPD ante el lanzamiento de esta app de rastreo?
Recientemente hemos conocido la postura de la Agencia Española de Protección de Datos, la cuál ha manifestado su queja a través de un duro comunicado, donde acusa a la Secretaría de Estado de Digitalización e Inteligencia Artificial (Sedia) de falta de transparencia en el lanzamiento del piloto de su ‘app’ de rastreo de contactos y de haber tenido que comenzar tarde las labores de investigación sobre el tratamiento de datos de la “app” al no haber sido avisada con antelación por la Sedia.
Según el comunicado de la AEPD:
«El desconocimiento de los detalles de la articulación práctica de la aplicación y de la experiencia piloto, esenciales para analizar su incidencia sobre la privacidad de los ciudadanos, ha dado lugar al requerimiento de solicitudes formales de información a la Sedia».
Queda claro que estaríamos ante una aplicación cuya principal finalidad, de gran peso y valor, es la lucha contra la Covid-19, ayudándose del estudio analítico del dato y la información rastreada. Sin embargo, es lógico que muchos se planteen la pregunta “¿a qué precio cederemos datos de salud y de geolocalización?”, “¿se garantiza o no la protección del derecho a la intimidad o se ve vulnerado?”. En ese sentido, todas las aplicaciones deben garantizar la estricta protección del derecho a la intimidad de la persona, sin dejar margen para otras interpretaciones.
En ese sentido, la AEPD ha sido lo más clara posible y manifiesta en su comunicado que:
«El Reglamento General de Protección de Datos no excluye la posibilidad de mejorar un tratamiento de datos en las etapas finales de su desarrollo, pero establece claramente que es el responsable de ese tratamiento quien debe tener en cuenta la protección de datos desde el inicio del diseño del proyecto».
Si tienes alguna consulta o duda sobre el Reglamento General de Protección de Datos y tu empresa, no dudes en contactar con nosotros.