La Comisión Europea lanzó recientemente una Comunicación (Comunicación 2020/C 124 I/01 de la Comisión, DOUE de 17 de abril de 2020) con el fin de arrojar algo de luz al asunto de la protección de datos en estos tiempos de gestión de la crisis del COVID-19. La declaración a nivel europeo de los estados de alarma por parte de los Estados miembros de la Unión Europea, sin una legislación armonizada en materia sanitaria y control social, ha provocado cierto recelo en algunos sectores de la población y el espectro político por la emergencia de nuevas aplicaciones para el control de la pandemia.
Pese a que la utilidad de esta aplicación es, a priori, meramente de control sanitario y estadístico, se cuestiona la legitimidad y legalidad de algunas de las posibles medidas y funcionalidades que pudieran incorporar estas aplicaciones.
1. Contexto jurídico de las aplicaciones.
En cualquier caso, toda aplicación o instrumento que se sirva para su funcionamiento del tratamiento de datos personales está sujeto al Reglamento General de Protección de Datos. La Comunicación de la Comisión recoge recomendaciones, que no mandatos y aporta información sobre la posición de la Unión Europea respecto del control sanitario y social y la protección de los particulares frente a la gestión de la pandemia.
2. ¿Es obligatorio utilizarlas?
Las presentes orientaciones solo se refieren a aplicaciones de carácter voluntario para el apoyo a la lucha contra la pandemia de COVID-19 (aplicaciones descargadas, instaladas y utilizadas de forma voluntaria por los ciudadanos) que tengan como funcionalidad la facilitación de información, la orientación en la autoevaluación de posibles síntomas, alertar de la exposición a personas infectadas o proporcionar un foro de comunicación entre médicos y pacientes en autoaislamiento. En ningún caso se permitirá la instalación o utilización forzosa de aplicaciones gubernamentales que incumplan los preceptos del RGPD o cualquier otra norma susceptible de ser vulnerada durante la gestión de la crisis.
3. Funcionalidades de las aplicaciones de control de contagios.
La creación de estas aplicaciones incorporaría varias funcionalidades, como la de información, comprobación de síntomas, rastreo por una posible infección, etc. En cualquier caso, para un correcto uso de la misma, el particular debería estar plenamente informado de la finalidad de esta aplicación y el alcance de la misma en cuanto a la gestión de los datos personales.
A priori, las funcionalidades de la aplicación podrían ser las siguientes:
- La función de comprobación de síntomas:
Sería una herramienta que permitiría a las autoridades sanitarias públicas proporcionar a los ciudadanos orientaciones sobre las pruebas de la COVID-19 e información sobre el autoaislamiento, la manera de evitar la transmisión a otras personas y el momento en que deben pedir asistencia sanitaria. Esa funcionalidad puede complementar también la vigilancia en el marco de la asistencia primaria y dar a conocer mejor el ritmo de transmisión de la COVID-19 entre la población.
- Las funcionalidades de rastreo de contactos y alerta:
son herramientas que permiten identificar a las personas que han estado en contacto con alguien infectado por la COVID-19 e informarles de las medidas que conviene adoptar después, como someterse a autocuarentena o a pruebas, o proporcionar asesoramiento sobre qué hacer en caso de experimentar tal o cual síntoma. Aquí se abre la cuestión del rastreo de personas mediante geolocalización, que, en cualquier caso, debería cumplir con lo dispuesto en la normativa del RGPD y accesorias, y si se realizase cumpliendo la normativa, debería sólo activarse una vez el usuario iniciara la aplicación para utilizarla.
En combinación con las estrategias de pruebas adecuadas, tanto la funcionalidad de comprobación de síntomas como la de rastreo de contactos pueden proporcionar información sobre el nivel de circulación del virus y ayudar a determinar el efecto de las medidas de distanciamiento físico y de confinamiento, pero en ningún caso deberían emplearse como una herramienta de control social aprovechando la pandemia. La aplicación debiera ser una herramienta para la gestión de la crisis, nunca un medio de control social más allá del buen fin sanitario y erradicación de la pandemia, de lo contrario atentaría contra los principios de las sociedades democráticas occidentales. Por ello, al ser una herramienta situacional, dado el punto de gestión en el que nos encontramos, esta herramienta únicamente debería estar activa durante la etapa en la que nos encontramos, no prorrogándose más allá de las fases cercanas a la declaración del término de la crisis o incluso más allá de esta.
4. ¿Quién debe gestionar los datos?
Pese a las posibles críticas, la Comisión considera que el control, tratamiento y gestión de estos datos debe realizarse por las autoridades y administración del Estado, pero siempre bajo un estricto cumplimiento de las disposiciones del RGPD. Hace especial hincapié en la cuestión del almacenamiento de datos llegando a disponer que el almacenamiento de información en el dispositivo del usuario o la obtención de acceso a la información ya almacenada se permite únicamente si el usuario ha dado su consentimiento, o el almacenamiento y el acceso son estrictamente necesarios para el servicio de la sociedad de la información que el usuario ha solicitado de manera expresa.
Datos personales y datos de localización
Es importante matizar que cuando en el escrito de la Comisión Europea se habla de “datos personales” se trata de toda información sobre una persona física identificada o identificable (artículo 4, apartado 1, del RGPD), están protegidos en virtud del RGPD. Los datos relativos a la salud gozan de protección adicional (artículo 9 del RGPD). En cuanto a los “datos de localización” estos son datos tratados en una red de comunicaciones electrónicas, o por un servicio de comunicaciones electrónicas, que indican la posición geográfica del equipo terminal del usuario, están protegidos en virtud de la Directiva sobre la privacidad y las comunicaciones electrónicas.
Se establecen los frenos al alcance de las autoridades gubernamentales y sanitarias en materia de protección de los datos, información y contenido de los dispositivos personales, los cuales no pueden compartirse con las autoridades más allá de aquellos que sean necesarios para la correcta funcionalidad de la aplicación. Se imponen límites estrictos al almacenamiento de datos, como en el caso de que cualquier dato que se recoja al instalar una funcionalidad de información debe suprimirse inmediatamente. No hay justificación para mantener esos datos. En el caso de las funcionalidades de comprobación de síntomas y de telemedicina, las autoridades sanitarias deberían suprimir estos datos tras un período máximo de un mes o después de que la persona haya sido sometida a una prueba con resultado negativo. En el caso de las funcionalidades de rastreo de contactos y de alerta, los datos de proximidad deberían suprimirse tan pronto como dejen de ser necesarios para alertar a las personas.
5. ¿Cómo se gestionan los datos?
Entre otras medidas, con el fin de garantizar la seguridad de los datos, la Comisión recomienda que la gestión, tratamiento y almacenamiento de los datos tenga lugar en el dispositivo terminal de la persona de forma cifrada utilizando criptografía avanzada, pero en el caso de que se almacenasen en un servidor central, el acceso debería estar sujeto a registro previo.
Los datos de proximidad solo deberían generarse y almacenarse en el dispositivo terminal de la persona en un formato cifrado y pseudonimizado. Todas las transmisiones desde el dispositivo personal a las autoridades sanitarias nacionales deberían cifrarse. Los datos personales deben ser exactos para la eficiencia de la aplicación y para cumplir con las disposiciones de la legislación en materia de protección de dato personales. Esto permitirá la involucración de las autoridades de protección de datos para que participen y sean consultadas sobre el desarrollo de la aplicación y se les permita el seguimiento de su despliegue.