Apps de rastreo de ciudadanos ante Covid-19: luces y sombras

Recientemente hemos conocido la noticia de que el Gobierno probará en Canarias en el mes de junio una aplicación para el rastreo de los ciudadanos con COVID-19. España ha optado por utilizar el código abierto en el que vienen trabajando los gigantes Google y Apple desde hace algún tiempo, a los efectos de contar con una herramienta interoperable.

En China y Corea del Sur este tipo de aplicaciones ya se encuentran en el mercado. Ya hay algunas que incluso disponen la posibilidad de conocer quienes están contagiados ¿Cómo? Con datos de salud y datos de geolocalización.

España, al igual que varios países europeos se han decantado por el uso de una tecnología menos invasiva, el protocolo DP3T que utiliza tecnología bluetooth y que al parecer comunica los distintos móviles de forma tal que quien informe que se encuentra infectado luego será comunicado vía alerta a los demás usuarios, pudiendo saber si se ha estado en contacto con el infectado, de cara a confinarse nuevamente y evitar nuevos contagios. Los desarrolladores han estado buscando fórmulas para evitar que los usuarios puedan identificarse entre ellos, pero ello no impide que la aplicación tenga acceso a dicha información, aunque efectivamente existan medidas de seguridad que impidan tener los datos al descubierto.

Con independencia de la utilidad práctica o moral que cada uno pueda tener sobre este tipo de servicios, la realidad es que el Estado de Alarma no ha suspendido el derecho fundamental a la protección de datos y así lo ha dejado claro la Agencia Española de Protección de Datos (en adelante, “AEPD”) en un informe reciente sobre los tratamientos de datos en relación con el COVID-19. Asimismo, han informado en un comunicado reciente que investigarán también esta aplicación del Gobierno para verificar que cumple correctamente con la normativa.

Fuera de esta aplicación oficial que se está testeando, cada vez son más las aplicaciones lanzadas por empresas para facilitar la vida a los ciudadanos ahora que estamos vetados de circulación. Aplicaciones de telemedicina, aparatos y cámaras de toma de temperatura… ¿pueden estas aplicaciones tratar datos de geolocalización, de salud, utilizar tecnologías invasivas? Habría que estar al caso concreto. Desde luego en primer lugar habrá que comprender para qué se quieren tratar dichos datos y si existe una base legítima válida. A diferencia de lo que muchos creen el consentimiento no lo soporta todo.

No cualquier base legítima es válida ni permite llevar a cabo cualquier finalidad. El ordenamiento jurídico permanece, y es por ello que ante este nuevo escenario, invitamos a las empresas a evaluar correctamente el lanzamiento de estas aplicaciones, sobre todo porque la Autoridad Competente en un comunicado de 16 de marzo de 2020 ha declarado que dada la sensibilidad de la materia estarán realizando seguimiento.

Dicho lo anterior, lo suyo sería realizar un análisis de riesgos para ver en qué situación se encuentra el proyecto y ver en qué medida puede realizarse y cómo.

En segundo lugar y sólo en la medida en que la primera condición sea posible habrá que verificar las medidas de seguridad a aplicar. En este sentido, recordamos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”) establece la obligación de evaluar las medidas atendiendo al nivel de riesgo asociado. Tanto el tratamiento de datos de salud, como de geolocalización, al igual que el uso de tecnologías invasivas son factores que elevan el riesgo, más si cabe si la implementación es a escala nacional, por el volumen de datos implicados. Asimismo, tampoco pueden olvidarse las evaluaciones de impacto. Su finalidad es precisamente evaluar con mayor profundidad si cabe el riesgo asociado. Serán obligatorias siempre y cuando el riesgo sea alto o elevado.

Las empresas que no puedan mitigar el riesgo y que no puedan establecer unas medidas de seguridad lo suficientemente elevadas no podrán operar so pena de ser sancionadas. Además, deberá realizarse la correspondiente consulta previa a la AEPD.

Todo lo anterior deberá ir unido a unos Términos y Condiciones de Uso de la Plataforma y fundamental a la correspondiente Política de Privacidad que deberá especificar de forma clara, transparente y sencilla el qué y el cómo.

Por último, no podrá dejarse de analizar la legislación sectorial específica existente, por ejemplo, legislación sanitaria o legislación laboral si la aplicación está destinada a los empleados de una empresa.

Es evidente que todos queremos la vuelta a la normalidad cuanto antes, pero sigue existiendo un ordenamiento jurídico que protege a las personas físicas y establece una serie de limitaciones. El no realizar estas evaluaciones podría suponer multas cuantiosas. Ya lo vimos con la entrada en vigor del RGPD. Es evidente que la vulneración de la norma estando implicados tratamientos de este tipo podrían suponer multas cuya calificación por la Autoridad Competente sea de muy grave, o incluso la prohibición absoluta del servicio.