Aplicaciones de rastreo móvil y protección de datos: ¿es compatible nuestra privacidad con las Apps de seguimiento de contactos?

Mientras vemos que se va produciendo en toda la Unión Europea la apertura progresiva de fronteras, y se pretende la reactivación del turismo y la economía, los distintos países han venido aplicando diferentes medidas digitales para tratar de impedir una nueva ola de contagios.

Pasaportes de inmunidad, chatbots para auto-tests, cámaras de temperatura, y aplicaciones móviles de rastreo, serían sólo algunas de las tecnologías que las autoridades consideran implementar para la vigilancia y control de la pandemia en esta nueva fase de apertura de fronteras. En concreto, entre las distintas tecnologías evaluadas para el control de la COVID-19, la UE ha destacado, por su potencial, el uso de las aplicaciones móviles de seguimiento de contactos (contact-trace Apps). Nos preguntamos en qué medida es compatible la garantía del derecho a la privacidad y la protección de datos personales con el uso de las aplicaciones móviles de rastreo.

Como se recordará, recientemente la Agencia Española de Protección de Datos (en adelante, AEPD), en su Comunicado de la AEPD en relación con webs y apps que ofrecen autoevaluaciones sobre el Coronavirus, advertía que el seguimiento masivo de los datos de salud, localización o contactos de los ciudadanos, supone una injerencia particularmente intensa en los derechos de los afectados y un riesgo para su privacidad. A esto hay que sumar la proliferación de páginas web, y aplicaciones de dudosa legitimidad y finalidades en relación con la prevención de la salud frente al Coronavirus.

Pero, ¿cómo funcionan este tipo de aplicaciones?

Si bien existen algunas variantes técnicas, estas aplicaciones de seguimiento usan la tecnología bluetooh de los teléfonos móviles para conectarse, e intercambiar códigos o “tarjetas” anónimas (mediante una ID de usuario que no es real) con dispositivos de otras personas con las que nos vamos cruzando en el transporte, el trabajo o el supermercado. Estos códigos cifrados se almacenan en un listado de contactos en el propio teléfono. En el caso de que un usuario estuviera infectado lo podría notificar a través de la app, recibiría un código QR que se introduce en su móvil para activar el sistema de alerta, y las personas con las que hubiera tenido contacto en los últimos días serían avisados para adoptar las medidas de prevención oportunas.

Como fácilmente se puede imaginar las posibilidades de esta tecnología son enormes, sin ir más lejos, recientemente se ha sabido que la Unión Europea quiere poner en marcha una función de «itinerancia» internacional que pueda ayudar a revivir los viajes y los circuitos del turista.

El Parlamento, en su resolución de 17 de abril de 2020 sobre la acción coordinada de la UE para combatir la COVID-19 y sus consecuencias, afirmaba que cualquier medida que adopten las autoridades de los países miembros deberá cumplir con la normativa de protección de datos; que las aplicaciones no sean de uso obligatorio y que los datos generados no queden almacenados en bases de datos centralizadas, más propensas a potenciales riesgos de abuso y pérdida de confianza. Además, según señala la resolución del Parlamento, estas aplicaciones de seguimiento en dispositivos móviles deberían estar basadas en los principios de privacidad desde el diseño y minimización.

Por su parte, la AEPD ha publicado recientemente un análisis sobre “Uso de las tecnologías en la lucha contra la COVID-19. Un análisis de costes y beneficios” en donde señala ―en línea con las resoluciones del Parlamento UE― que las soluciones tecnológicas en la lucha contra la COVID-19 deben estar basadas en criterios científicos, ser legítimas y proporcionales.
Como en otras ocasiones, aquí la garantía de la proporcionalidad va a requerir un análisis de la relación coste y beneficio que la medida pueda tener para la sociedad y los derechos individuales; de un lado, será necesario valorar en qué medida la aplicación cumple con la finalidad de protección de la salud pública y, por otro lado, tendremos que ver cómo se verán afectados los derechos de los individuos ante el riesgo de abusos y situaciones de discriminación o ataques a la privacidad.

Por el lado del coste, ¿estas aplicaciones suponen un riesgo para la privacidad?.

El informe de la AEPD señala que el riesgo se produce en la medida que se permita la reidentificación y la creación de mapas de relaciones, debido a la mayor o menor fragilidad de los protocolos de anonimización utilizados; y también se debe tener en cuenta el riesgo derivado de la acumulación de datos de forma centralizada ― si se adopta esta solución― que potencia una eventual utilización ilegítima de los datos, y la posibilidad de ciberataques.

En cuanto a los beneficios, el informe de la AEPD, destaca que en un escenario futuro, estas soluciones pueden tener éxito en ciertos colectivos (estudiantes o personas mayores), sobre todo, en función de su nivel de utilización (porcentaje de usuarios que decidan instalar la app), y aceptación; al tiempo, estas medidas deben acompañarse de otras complementarias como el acceso rápido a los test de diagnóstico para que la información sea actualizada y de calidad.

Como señalaba la Carta CEPD (Comité Europeo de Protección de Datos), publicada el 14 de abril de 2020, el desarrollo de estas aplicaciones debería hacerse de manera responsable, desde una óptica de “rendición de cuentas” de las autoridades, con sometimiento pleno al RGPD; documentando y analizando con carácter previo los riesgos de los tratamientos para los derechos y libertades de las personas mediante una evaluación de impacto de protección de datos (artículo 35 RGPD), y considerando la protección de datos desde el diseño y por defecto (artículo 25 RGPD).

En un escenario de diferentes velocidades entre los países miembros de la UE, y ante la dificultad de cumplir con la recomendación de la Comisión sobre la necesidad de una posición común, algunos países ya han comenzado a utilizar aplicaciones de seguimiento de contactos con diferentes resultados.

Por ejemplo, en el caso de Noruega, el Instituto Noruego de Salud Pública (el Folkehelseinstituttet o FHI) ha manifestado que dejaría de recopilar datos a través de la aplicación de rastreo Smittestopp; la suspensión temporal respondería al comunicado de la Autoridad Noruega de Protección de Datos, el Datatilsynet, que impedía a las autoridades sanitarias de Noruega seguir procesando datos personales a través de la app contra la Covid-19; y Alemania, en fase de prueba, ha sido de los últimos países europeos en lanzar una aplicación para teléfonos móviles que busca romper la cadena de infección por coronavirus, al rastrear los encuentros entre personas. Por su parte, en España las autoridades sanitarias también han puesto en marcha la app de rastreo en la isla de La Gomera, y estará sometida a prueba unas dos semanas antes de su lanzamiento en otras partes del territorio nacional.

Y la cuestión que se plantea ahora es ¿qué requisitos deberían cumplir las aplicaciones de rastreo de contactos para garantizar la privacidad y la protección de datos?

Para responder a la pregunta debemos tener en cuenta tanto el RGPD como la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas, en adelante la Directiva).

Vamos a destacar aquí los siguientes aspectos en materia de protección de datos a tener en cuenta para el desarrollo de las aplicaciones para dispositivos móviles:

Uso voluntario de la app y necesidad de consentimiento informado. El uso de las aplicaciones de rastreo deberá ser voluntario, y en caso de que la base de legitimación utilizada sea el consentimiento (artículo 6.1, apartado a), del RGPD) se recabará el consentimiento explicito; el consentimiento se debería obtener de forma granular (independiente para los distintos tratamientos y fines), y no sólo para la instalación de la aplicación sino también para cualquier acceso a la información almacenada en el dispositivo (artículo 5 de la Directiva). Si bien es cierto que los sistemas operativos de los dispositivos móviles suelen notificar y solicitar autorización para conceder el acceso de la app a ciertos recursos, en la mayoría de los casos, la información que se presenta al usuario es insuficiente desde el punto de vista del RGPD.

La información que se proporcione a los usuarios deberá cumplir con los requisitos establecidos en los artículos 13 y 14 del RGPD, y en el artículo 11 de la LOPDGDD, en los términos señalados en la Guía para el cumplimiento del deber de informar.

Las políticas de privacidad deberán ser completas, concretas y específicas, con información clara (preferiblemente en formato de doble capa) sobre la identidad del responsable; datos requeridos para el funcionamiento de la app; permisos que se van a solicitar; su finalidad y extensión; así como la posibilidad de revocar los permisos otorgados en cualquier momento. También será necesario informar a los usuarios de la aplicación sobre los periodos de retención, y la existencia de transferencias internacionales de datos.

La información deberá estar proporcionada en un lenguaje claro y sencillo, presentada de forma concisa, transparente, inteligible; y disponible en la política de privacidad de la propia aplicación y de la tienda de aplicaciones para su consulta por el usuario en cualquier momento.

Y por último será fundamental proporcionar a los usuarios información sobre los derechos en materia protección de datos (artículos 15 a 22 del RGPD), y mecanismos para que su ejercicio pueda ser efectivo.

A modo de conclusión,

Según hemos visto, el uso de tecnologías como las aplicaciones de rastreo para dispositivos móviles pueden resultar de gran utilidad en la lucha contra la COVID-19. Sin embargo, muchas de estas tecnologías tienen un carácter altamente intrusivo, y no debemos olvidar que se están utilizando en circunstancias extraordinarias, por lo que la respuesta debe ser proporcionada y limitada en el tiempo, y con respeto a los derechos individuales. Una vez más, la normativa de protección de datos permite compatibilizar una gestión responsable de nuestros datos personales, en esta ocasión para fines de salud pública, con la protección de los derechos fundamentales del interesado.

Para ello es imprescindible que los tratamientos derivados de estas aplicaciones cumplan, entre otros, con el principio de transparencia y de información, y que el ciudadano este siempre bien informado sobre condiciones del tratamiento de los datos.

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *