La Agencia Española de Protección de Datos (AEPD) acaba de publicar un interesante informe en el que analiza las principales tecnologías que se están planteando en la lucha contra el coronavirus, así como su eficacia real y los riesgos que en algunos casos pueden suponer para la protección de los datos y, con ello, en los derechos y libertades de los ciudadanos. A continuación vamos a realizar un breve resumen de los temas tratados en el referido informe.
Así, empieza la AEPD por fijar una premisa antes de acometer cualquier acción de implantación de dispositivos tecnológicos para el referido uso, cual es que la misma esté integrada en una “estrategia de medidas jurídicas y organizativas realistas, eficaces, basadas en criterios científicos, legítimas y proporcionales.”. Por ello, dos conceptos son fundamentales: la proporcionalidad y el beneficio (en la menor propagación de la infección). Y esto porque hay que evitar en todo momento que aprovechando la incertidumbre que provoca una situación de emergencia, se produzcan abusos (basados en soluciones desproporcionadas y con dudosos beneficios) que conduzcan a la pérdida de un derecho fundamental como es el de la privacidad.
Una buena práctica en el uso de estas tecnologías se debe basar, según la AEPD, en evidencias científicas, evaluando su proporcionalidad y en el marco de criterios establecidos por las autoridades sanitarias y cumpliendo, en todo caso, los principios establecidos en el Reglamento General de Protección de Datos (RGPD).
El informe de la AEPD analiza expresamente siete tecnologías planteadas para la lucha contra el coronavirus: 1)Geolocalización mediante la información recogida por los operadores de telecomunicaciones; 2) Geolocalización en redes sociales; 3) Apps, webs y chatbots para auto-test o cita previa; 4) Apps de recogida de información de contagiados; 5) Apps de seguimiento de contactos; 6) Pasaportes digitales de inmunidad; y 7) Cámaras infrarrojas.
- Geolocalización mediante la información recogida por los operadores de telecomunicaciones: Cuando esta información se proporciona anonimizada no genera riesgos para la privacidad, no obstante, “esta información, sin anonimizar, puede ser requerida por las Fuerzas y Cuerpos de Seguridad siempre mediando orden judicial”. Durante la gestión de la crisis de la COVID-19, tanto el Gobierno como la Comisión Europea han pedido que las operadoras proporcionen esta información anonimizada para ver los movimientos de la población. Sin embargo, la AEPD “avisa” sobre la variable que se ha llegado a apuntar respecto a la posibilidad de que “…la policía pidiera la reidentificación en determinados casos conforme a los criterios establecidos por las autoridades sanitarias para garantizar el control de la epidemia.”. Habría sido interesante que la AEPD hubiese valorado jurídicamente esta medida, en el caso de que ocurriera, pero no lo ha hecho. Esperemos que no ocurra.
- Geolocalización de los móviles a partir de redes sociales: La AEPD recuerda que esta práctica utilizada por proveedores como Facebook o Google puede ser, ya desde antes de la crisis del coronavirus, una amenaza a la privacidad, que se ve incrementada cuando la información que se trata está enriquecida por la actividad en nuestros perfiles de usuario y se utilizan para tomar acciones sobre los mismos, no siendo las condiciones de uso y las políticas de privacidad de estos servicios una base jurídica adecuada para realizar estos tratamientos. Finalmente, no valora como especialmente valiosa esta información como ayuda para las autoridades sanitarias de no ser que se dieran unos parámetros muy específicos.
- Apps, webs y chatbots para auto-test o cita previa: Sobre estas aplicaciones, la AEPD concluye la eficacia que representan ante la crisis, puesto que “acercan información y servicios de salud a las personas que hacen uso de sus servicios.”. Pero, este beneficio se produce sin riesgo para la privacidad siempre que estén bien construidas con sólidos controles y requisitos para proteger los datos de los ciudadanos, en otro caso, pueden representar también un riesgo contra los derechos de los ciudadanos. Finalmente, apunta el riesgo de invisibilizar a personas que por su edad o circunstancias no pueden acceder a Internet y dejarles sin servicios.
- Apps de recogida de información voluntaria de contagiados: Avisa del riesgo de los fines reales perseguidos por este tipo de aplicaciones privadas que bajo una justificación altruista puede esconder otros objetivos. Recuerda que se está facilitando información especialmente sensible, como son los datos de salud, y, además, las conclusiones, muchas veces poco científicas o contrastadas, pueden perjudicar a zonas o colectivos estigmatizándolos al considerarlos como “tóxicos”, con todo lo que esto supone. En cuanto a los beneficios, la AEPD los pone en cuarentena, desde el momento en que la información es descontrolada y al margen de las autoridades sanitarias, siendo de poca fiabilidad y pudiendo contribuir a divulgar noticias erróneas.
- Apps de seguimiento de contactos por Bluetooth: La clave de garantizar la privacidad en este tipo de aplicaciones se encuentra en la robustez de los protocolos de criptografía y anonimización. En cuanto a la eficacia actual de estas apps, la AEPD plantea serias dudas, ya que considera que el éxito de este tipo de soluciones se basa en muchos factores que no dependen de la tecnología (implicación de un alto número de usuarios, la fiabilidad de las declaraciones de contagio, el acceso masivo a test, etc.). Por todo ello, se considera que en la situación actual de España no parece que estas apps vayan a tener éxito a corto plazo como estrategia global de lucha contra la pandemia.
- Pasaportes digitales de inmunidad: En cuanto a este tipo de Apps la AEPD plantea muchas reservas relacionadas tanto con la sensibilidad de los datos de salud que incorporan, la propia seguridad de los sistemas (acceso a ciberdelincuentes), como con el uso que se de a dichos datos tales como el cruce con otras informaciones como la localización, incorporación de metadatos, lectura remota o el no estar al alcance de personas que no pueden usar smartphones. Frente a ello defiende la idoneidad de las pruebas presenciales y realizadas por personal sanitario que aporte un certificado en papel o cualquier soporte de baja tecnología. Por lo que respecta a los beneficios, considera que los mismos se darían en ámbitos muy concretos, pero es difícil que pueda alcanzar a una totalidad de la población. Además, requeriría un uso bien gestionado de estas apps, que las mantuviera actualizadas, seguras e interoperables.
- Cámaras de infrarrojos para lecturas masivas de temperatura: en esta materia, la AEPD hace referencia al reciente comunicado que emitió sobre esta materia la semana pasada y que nosotros reflejamos en nuestra entrada “Legalidad de tomar la temperatura por el coronavirus”.
Para finalizar, la AEPD a modo de conclusión expone su preocupación por el riesgo que esta crisis puede representar no solo para la salud, sino también para el modelo de derechos y libertades de los que disfruta nuestra sociedad, por lo que hay que ser especialmente cuidadoso a la hora de tomar medidas que pueden estar guiadas por la urgencia, el miedo u otros intereses, y que el uso de las tecnologías de la información deben se debe producir en el marco de una estrategia global basada en evidencias científicas, evaluando su proporcionalidad en relación con su eficacia y teniendo en cuenta los recursos organizativos y materiales necesarios. Además, cumpliendo siempre los principios establecidos en el Reglamento General de Protección de Datos.
Si está interesado en obtener más información sobre este tema póngase en contacto con nosotros aquí o llamándonos al teléfono 619 414 937.
Autor: Federico Rodríguez Ardila. Abogado. Delegado de Protección de Datos con nº de certificación ES2011226 del CEPER según el Esquema de la AEPD.