Saltar al contenido

Desmontando Radar Covid. A cargo de Pablo García-Girón Pérez.

AD 152/2020

Resumen

El presente análisis nace del artículo corto “Amar (la privacidad) en tiempos revueltos[1] presentado para el I Certamen de Artículos Jurídicos Breves en la asociación Española de Derecho del Entretenimiento (DENAE).

Con motivo de la extensión (breve) de dicho artículo, surgió la necesidad de estudiar las cuestiones de privacidad que han aparecido alrededor de la iniciativa sobre el uso de aplicaciones móviles, para la lucha contra la pandemia motivada por el coronavirus Covid-19, con una mayor profundidad.

En el apartado I se introducen las reglas del juego sobre las que va a partir el análisis elaborado por el autor. El apartado II pretende presentar las alternativas tecnológicas que se han puesto a disposición de los Estados sacudidos por el virus, con la intención de prologar la Radar Covid. En el apartado III se estudian las políticas de privacidad de la aplicación, así como el ruido de fondo generado entorno a la misma, con un espíritu crítico. Finalmente, el apartado IV establece unas conclusiones que podemos extraer del modo en que se ha elaborado la aplicación, así como respecto de la importancia del uso de la tecnología en situaciones de emergencia. El apartado V establece las referencias bibliográficas, electrónicas y de cualquier tipo que hayan sido consultadas para la elaboración del presente artículo.

Abstract

This analysis is based on the short article «Loving (privacy) in troubled times» which was presented for the 1st Contest of Short Legal Articles at the Spanish Association of Entertainment Law (DENAE).

On the occasion of the (brief) extension of this article, the need arose to study the privacy issues that have arisen around the initiative on the use of mobile applications to combat the pandemic caused by the Covid-19 coronavirus, in greater depth.

Section I introduces the rules of the game on which the analysis prepared by the author is based. Section II aims to present the technological alternatives that have been made available to the States shaken by the virus, with the intention of prolonging the Covid Radar, although some circumstances relating to the applications of the Autonomous Communities will be mentioned. In section III the privacy policies of the application are studied, as well as the background noise generated around it, in a critical spirit. Finally, section IV establishes some conclusions that we can draw from the way in which the application has been developed, the way in which the data of the interested parties should be treated, as well as the importance of the use of the technology in emergency situations. Section V establishes the bibliographical, electronic and any other type of references that have been consulted for the preparation of this article.

Palabras clave

Coronavirus, Covid-19, Derechos Fundamentales, Protección de Datos, RGPD, Transparencia, Derecho de Información, Políticas de Privacidad Radar Covid, Pandemia, Organización Mundial de la Salud, Covidapp, Stop Covid-19 CAT, DENAE, Geolocalización.

Key Words

Coronavirus, Covid-19, Fundamental Rights, Data Protection, RGPD, Right to information, Privacy Policy, Transparency Radar Covid, Pandemic, World Health Organisation, Covidapp, Stop Covid-19 CAT, DENAE, geolocation.

Índice

I. Introducción II. La lucha tecnológica: a) Aplicaciones para rastreo de contagios. b) Geolocalización. III. Radar Covid: cuestiones de privacidad IV. Conclusiones V. Recursos utilizados.

I. Introducción

En marzo de 2020, Tedros Adhanom, director general de la Organización Mundial de la Salud, declaró oficialmente la situación de pandemia causada por el virus Covid-19, un nuevo tipo de coronavirus que ha sacudido a los sistemas sanitarios de todo el mundo con cientos de miles de fallecidos.

Bajo esta alarma sanitaria global, pronto pusimos nuestras miradas en las nuevas tecnologías como mecanismo para frenar el auge imparable de la pandemia, tecnologías que implican interacciones con la privacidad de los usuarios.

En España, esta corriente se traduce en, por un lado, desarrollos web-móviles cuyos sistemas pueden alimentarse de información por el ciudadano, con sus datos personales, entre los que se encontrarían datos de salud. Por otro lado, no son pocas las voces que han solicitado al Gobierno el uso de técnicas de geolocalización para controlar los desplazamientos de la población y el cumplimiento del confinamiento.

II. La lucha tecnológica

La “lucha tecnológica” viene a recoger un sentimiento que recorre los primeros meses, me atrevería a decir semanas incluso, de la pandemia por Covid 19, según el cual, es necesario recurrir a la tecnología para combatir el virus. Esto viene amparado por resultados positivos en países asiáticos como Corea del Sur[2] o Singapur, donde consiguen controlar sus contagios mediante dos medidas:

  • Aplicaciones de rastreo de contagios provocados por el virus.
  • Control de la población mediante mecanismos de geolocalización.

a) Aplicaciones de rastreo de contagios

En primer lugar, las aplicaciones para facilitar el rastreo de los contagios del virus han generado varias situaciones en España, concretamente:

  • Radar Covid: Su objetivo es facilitar la autoevaluación y seguimiento de posibles contagios por Covid 19. En el apartado III., se analizará en mayor profundidad. Es la aplicación que ha desarrollado el Gobierno central, y cuyo análisis se hará esperar hasta llegar al apartado III.
  • Covidapp, posteriormente CoronaMadrid: es un desarrollo externo motivado por el interés de la Comunidad de Madrid de ofrecer una aplicación independiente de la desarrollada por el Gobierno central, presentada en sociedad el 18 de marzo de 2020 en la página web http://www.coronavirusmadrid.com. El objetivo principal con el que surgió la app era descargar la tensión de las líneas telefónicas habilitadas para aconsejar a aquellas personas que pueden tener sospechas sobre su posible contagio. La finalidad que comunicaba en sus políticas de privacidad era la de “examinar síntomas para recibir recomendaciones de actuación y descongestionar las líneas de atención telefónica”. Tras polémicas derivadas de la falta de información y vaguedad respecto del modo en que se trataban los datos, se publicó una versión a 3 de julio de 2020, donde mejoraron algunos de los aspectos criticados por parte de la Doctrina.
  • Stop Covid19 CAT: es la respuesta que el gobierno autonómico catalán ha desarrollado para el control de contagios. Es una aplicación para dispositivos móviles con el objetivo de hacer un seguimiento sobre los pacientes de Covid, aportar consejos de salud al usuario, quien debe contestar una serie de preguntas sobre su salud, y descargar la atención primaria.

En un primer vistazo, una de las circunstancias que destacan de esas primeras aplicaciones que surgieron durante los primeros meses de pandemia (covidapp y Stop Covid19 CAT) es que sus finalidades iban dirigidas, fundamentalmente, a la descarga de tensión en la atención primaria y líneas telefónicas de lucha contra el Covid, dos vías que estaban absolutamente colapsadas. Por tanto, no surgieron con una finalidad preponderante de rastreo de contagios. Posteriormente, esas finalidades se han redirigido hacia el control de los contagios, lo que ha implicado acceder a datos de salud del usuario, y a su geolocalización, en algunos casos.

Asimismo, en ambos casos, y desde diversos ámbitos, surgieron una serie de críticas hacia la forma en que se habían redactado sus políticas de privacidad, así como el modo con que trataban los datos y la falta de funcionalidad, en algún caso[3].

Estas soluciones han supuesto una fricción con el derecho fundamental (art.18.4 CE) a la protección de datos de carácter personal, dado que la acción que despliegan sobre el control de la pandemia implica una injerencia sobre la privacidad de los ciudadanos. Generalmente, datos de salud por cuanto realizan un seguimiento de contagios, pero también permiten perfilados relativos, desde el momento en que se procesa la geolocalización de una persona.

Además, la AEPD ya aclaró en su Informe 0017/2020 sobre la vigencia de las disposiciones relativas al RGPD en la situación del estado de alarma, dada la existencia de recursos y bases de legitimación suficientes para realizar tratamientos de datos en caso de emergencia, con un alto grado de protección sobre los derechos y libertades de los titulares de los datos.

Por tanto, recurrir a las Tecnologías de la Información y la Comunicación (TIC) para controlar la pandemia no es eximente del cumplimiento del RGPD. Y tampoco son ideas contrapuestas.

Con respecto a las aplicaciones autonómicas que se habían desmarcado de la aplicación del gobierno central, parece que, final y muy paulatinamente, todas se irán integrando en los sistemas del Radar Covid[4].

b) Geolocalización

En segundo lugar, la “vía tecnológica” se ha centrado en medidas relativas a la geolocalización de la población. Estas técnicas han sido determinantes en los casos de Corea del Sur o Italia, donde permitieron detectar incumplimientos masivos de los ciudadanos confinados, respecto del respeto a los límites de las zonas de exclusión.

De entre las medidas tecnológicas que se han puesto sobre la mesa de debate, la geolocalización no se ha hecho esperar, entendida por sus defensores como un medio óptimo para estudiar los patrones de movimiento de la población, y gestionar mejor los recursos públicos a todos los niveles, tanto sanitarios como represivos. Pensemos en la necesidad de controlar grandes extensiones de territorios con recursos humanos limitados, lo que puede obstaculizar el cumplimiento de zonas de cuarentena, por ejemplo.

A continuación, podemos realizar un pequeño análisis sobre las principales propuestas que han surgido entorno a la geolocalización[5]:

Singapur

Ha sido uno de los primeros países en poner a disposición de sus ciudadanos una aplicación que realiza funciones de rastreo, basada en tecnología Bluetooth, dada su experiencia anterior en el control de enfermedades.

El funcionamiento de esta aplicación se basa en el uso masivo por parte de la población, al igual que el planteamiento que se ha seguido con Radar Covid, dado que funciona como un “radar”, detectando aquellas personas que, con base en los datos que han introducido en la app, se encuentran en situación de contagio. De esta forma, la aplicación nos avisa sobre la posible coexistencia física con un usuario susceptible de estar contagiado.

En el caso de Singapur, la información que se introduce en la aplicación se encuentra cifrada, y no almacena internamente los datos de localización del usuario, aunque sí acceda a ellos para poder cumplir con su función “radar”.

Corea del Sur

El modelo coreano ha sido de los más invasivos sobre la privacidad que se han desplegado entre los distintos Estados afectados por el coronavirus, si bien, tuvieron un éxito en el control de la pandemia bastante temprano, no es menos cierto que también han sufrido fuertes rebrotes[6], al igual que el resto de países afectados por la pandemia.

Este modelo ha sido posible debido a los cambios que se produjeron en 2018 sobre la legislación de protección de datos coreana, que suponía el control por parte del gobierno de los datos de carácter personal de sus ciudadanos sin necesidad de recurrir a su consentimiento, con menores restricciones que las circunstancias en las que podrían utilizarse estos datos en la legislación comunitaria.

Básicamente, el sistema se fundamenta en la labor policial y la colaboración de las operadoras de telecomunicaciones, quienes permiten al Ministerio de Sanidad acceder a los datos de GPS de los teléfonos móviles, y a las tarjetas de crédito, en aquellos casos en que los contagiados no quieran revelar cuáles han sido sus últimos contactos.

Posteriormente, los casos de contagio son publicados en una web del Gobierno coreano, y se alerta a través de teléfono móvil a aquellas personas que tuvieron contactos con los contagiados.

China

En el caso del gobierno chino, ha sido fundamental la colaboración de empresas privadas como Alibaba, quienes han utilizado los datos que sus usuarios habían ingresado en sus aplicaciones para cederlos al Ministerio de Sanidad, así como gestionar la asignación de un semáforo de colores para esos usuarios, en función de su gravedad.

Gracias a los datos de geolocalización, se elabora un mapa de colores por regiones que permite bajar a un importante nivel de detalle.

Estados Unidos

En EEUU el debate se produjo muy tempranamente, iniciando conversaciones entre la Casa Blanca y los gigantes tecnológicos, Facebook y Google, fundamentalmente. Con estos datos, lo        que se planteaba era ayudar a los epidemiólogos a estudiar la propagación de la pandemia y comprobar si los ciudadanos respetaban las distancias de seguridad[7]. En este caso, según informa The Washington Post, los datos se tratarían de forma anónima y agregada.

Los detractores de esta medida se encuentran en el Centro de Internet y Sociedad de la Facultad de Derecho de Stanford, que alertan sobre la posible invasión no justificada en la privacidad del ciudadano.

España

Como hemos visto en el apartado 2.1 del artículo, en ambas aplicaciones se utilizan los datos de geolocalización como parte nuclear del tratamiento llevado a cabo por las dos Administraciones Públicas. En estos casos, el tratamiento de esos datos se ha fundamentado en la existencia de un interés público, basado en la protección de la salud pública y la necesidad de controlar la pandemia.

Por tanto, con respecto al uso de datos de geolocalización, es esencial fiscalizar convenientemente las finalidades para los que estos van a ser destinados, dado que, en muchos de los casos, con utilizar datos anónimos o agregados es suficiente para cubrir gran parte de las finalidades que han surgido entorno a esta técnica (control del cumplimiento de zonas de exclusión, dibujo de patrones de movimiento de la pandemia, mapas de contagios geográficos, etc.).

III. Radar Covid: cuestiones de privacidad

El “Radar Covid” es un desarrollo externo (utiliza protocolo abierto DP-37 sobre desarrollo de Google) impulsado por la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA), puesta a disposición de las Comunidades Autónomas desde el pasado 15 de septiembre, una vez pasado el período de pruebas en las Islas Canarias que abarcó desde el 29 de junio hasta el 13 de julio de 2020. Posteriormente, el Ministerio de Sanidad y la AEPD pasarían a valorar los resultados y la posibilidad de extenderlo a todo el país[8].

Durante esta fase de pruebas, la aplicación aumentó a 6,4 el número de detecciones de contactos, lo que suponía un incremento sustancial respecto de los contactos que venían gestionando de media los profesionales que trabajaban con medios manuales o tradicionales, en 3.5 registros[9].

El objetivo de esta iniciativa consiste en “reducir el volumen de llamadas a los números telefónicos puestos a disposición de los ciudadanos, y permitir un triaje inicial de posibles casos y seguimiento posterior”. Por tanto, como veíamos en el apartado II., para los casos de Singapur y Corea del Sur, la aplicación funciona como un radar, lo que implica que su eficacia depende del grado de difusión que ésta tenga entre la población: cuantas más descargas de las tiendas digitales, por los usuarios, mayor fiabilidad y eficacia tendrá la app. Es por este motivo que la SEDIA ha desplegado varias iniciativas:

  • Desarrollos para todos los sistemas, tanto Android como iOS.
  • Publicar el código fuente de la aplicación[10]. El análisis del código fuente no será objeto del presente artículo.

Por un lado, el sentido de esta aplicación consiste en permitir a los usuarios conocer su nivel de exposición al virus, ofrecer un indicio de diagnóstico previo y comunicar, anónimamente, el resultado a los contactos del usuario que puede haber sido contagiado. Por otro lado, lo que se persigue es rastrear los contagios que se están produciendo actualmente por Covid 19.

Funcionando con Radar Covid

Una vez nos descargamos la app, encontramos una interfaz donde se nos solicita la elección del idioma en que manejaremos la herramienta, así como información sobre las funciones a las que está destinada Radar Covid, y la dependencia que tiene respecto de la sincronización con las Comunidades Autónomas.

A continuación, se adjunta Imagen 1 (análisis sobre Android):

Posteriormente, se nos despliega una serie de tips “compromiso con la privacidad” que nos conducen a dos casillas que debemos marcar, una de Términos y Condiciones, y otra de Política de privacidad.

A continuación, se adjunta Imagen 2:

Más adelante, la aplicación nos informa que deberemos activar el Bluetooth ya que, como en los casos de los países asiáticos, la herramienta se basa en este tipo de tecnología para poder generar su “función radar”.

A continuación, se adjunta Imagen 3:

Si marcamos la opción “siguiente”, el teléfono solicitará un permiso al usuario para activar la función Bluetooth, que deberá ser marcado activamente por éste.

A continuación, el teléfono nos solicitará el permiso para que la aplicación se encuentre activa en segundo plano, lo que podemos confirmar o denegar. En este último caso, supone que la aplicación no funcionará, por lo que, además de tener activado el bluetooth, también deberemos permitir que la aplicación funcione constantemente en segundo plano.

Una vez le otorguemos permisos para ambas funciones, el terminal móvil nos solicitará permiso para compartir con otros teléfonos, que tengan descargada la aplicación y activadas las mismas funciones, una “ID” aleatoria correspondiente a nuestro terminal, lo que permitirá que la aplicación despliegue su funcionalidad “radar”.

A continuación, se adjunta Imagen 4:

Asimismo, la aplicación solicitará activar la geolocalización, y permiso para su acceso, por los motivos que el autor ha explicado en el párrafo anterior.

Por lo visto hasta ahora lo cierto es que, en términos de seguridad informática, no son las medidas más seguras el mantenimiento del Bluetooth y los datos de geolocalización permanentemente activos, aunque sean medidas fundamentales para que la aplicación permita funcionar correctamente. En este sentido, el autor concuerda con que es un “mal necesario” tener activadas estas funciones, pero resultaría interesante incidir en la concienciación de los usuarios para estar alerta respecto de posibles intrusiones en sus sistemas a través de phishing o pharming, por esa vía de entrada[11].

Una vez realizadas todas estas acciones, podremos disponer de la aplicación en toda su funcionalidad.

La interfaz principal de la aplicación mostrará tres iconos a los que podemos recurrir:

A continuación, se adjunta Imagen 5:

  • Casa: nos dirige a la interfaz inicio de la aplicación, donde obtenemos la posibilidad de analizar nuestro grado de exposición al Covid 19, la actividad de la aplicación (activo, o no) y un canal de comunicación a la app sobre nuestro posible contagio. En este último caso, el teléfono tan sólo nos solicitará el código de diagnóstico que hemos recibido confirmando el positivo por Covid 19. Por lo que, de un modo directo, la aplicación no estaría recogiendo datos de salud.

A continuación, se adjunta Imagen 6:

  • Mis datos: en el apartado “mis datos”, nos permite acceder a cuestiones de privacidad donde se afirma que la aplicación no recoge datos de carácter personal, ni recoge datos de geolocalización o GPS. Asimismo, redirige a través de un enlace a las condiciones de uso y política de privacidad.
  • Ayuda: el icono con el signo de interrogación nos aporta distintos apartados relacionados con la información general sobre el Covid 19 y la aplicación Radar Covid como son noticias, recursos del Ministerio de Sanidad, etc.

Por tanto, hasta ahora la aplicación no sólo no nos ha solicitado el ingreso de datos de carácter personal que permita identificarnos directamente, si no que ha afirmado que no recoge ningún tipo de dato que le permita identificarnos a nosotros, ni a las personas con las que hemos estado.

Este es un cambio bastante sustancial con respecto a las opciones de la Comunidad de Madrid, Cataluña e incluso de la versión beta que se probó en Canarias por el propio Gobierno, donde se recogían: Nombre y apellidos, Teléfono móvil, Dirección postal, Fecha de nacimiento, Género, DNI, Domicilio, Datos de geolocalización, Acceso a conexión Wi-fi, Datos de salud, Datos de uso e interacciones de los usuarios con la aplicación.

En conclusión, desde un punto de vista funcional, la aplicación resulta sencilla e intuitiva, aunque se aprecian algunas mejoras:

  • Una mayor concienciación en términos de seguridad informática, en tiempos donde vemos cómo se han intensificado los ataques por phishing y pharming.
  • El éxito de la aplicación depende del número de usuarios que se encuentren registrados en la misma, luego, es necesario profundizar en la concienciación sobre su utilidad.
  • La eficacia de la funcionalidad “radar” depende de la buena praxis del usuario: si éste no introduce su condición de positivo en la aplicación, ésta no puede generar esa alarma a usuarios que no se encuentren contagiados.
  • Existe un problema muy difícil de solventar: la aplicación no es eficaz en cuanto a detección, ni alarma, sobre asintomáticos.
  • Sería importante profundizar en la capacidad que tiene la aplicación para encontrarse siempre disponible y actualizada, dado que en pruebas reales que ha llevado a cabo el autor durante 15 días, han sido frecuentes las desconexiones con el servidor, y los problemas para actualizar datos de contagio.

Política de privacidad

En relación con su política de privacidad[12], procede señalar lo siguiente:

  • En primer lugar, se afirma la titularidad de la aplicación por la Secretaría General de Administración Digital.
  • Con respecto a su funcionamiento, las políticas informan que la aplicación alerta al usuario sobre el riesgo por cercanía (menos de 2 metros y más de 15 minutos) con otro usuario que ha sido diagnosticado por las autoridades sanitarias como contagiado por Covid 19. Esta alerta informa sobre el día en que se produjo la exposición, pero no revela la identidad del usuario expuesto.
  • La Política afirma que el dispositivo móvil del usuario generará un identificador “pseudoaleatorio” llamado “clave de exposición temporal” de 16 o 128 bits, que será el objeto de la alerta que saltará a otro usuario. Por tanto, este es el mecanismo que enmascara los datos de los teléfonos móviles de otros usuarios, impidiendo su identificación. Esos identificadores serán generados cada 10-20 minutos, y transmitidos vía bluetooth. Esas claves, generadas aleatoriamente, serán almacenadas por el teléfono por un término de 14 días. El problema surge con el término “pseudoaleatorio” y con la vaguedad respecto a la técnica utilizada para conformar ese identificador, lo que permitiría conocer con mayor certeza la reversibilidad del mismo.
  • En caso de contagio diagnosticado por autoridad sanitaria, la aplicación solicitará al usuario su consentimiento para enviar esos códigos aleatorios que ha almacenado durante 14 días, para remitirlos al servidor de la aplicación. Estos datos se utilizan para componer el listado diario de personas susceptibles de haber sido contagiadas al haber mantenido un contacto suficiente con el sujeto que ha comunicado su contagio.
  • En el apartado “3. ¿Qué datos tratamos sobre ti?” se afirma que los datos manejados por la aplicación no permiten la identificación directa del usuario o su dispositivo, si no sólo los necesarios para realizar la función “radar” e informar sobre contactos expuestos. Asimismo, se niega cualquier tratamiento sobre los datos de geolocalización de los usuarios.
  • En el apartado “7. ¿Quién tiene acceso a tus datos?” se afirma que ni la aplicación ni el servidor utilizado para las alertas de contagios, almacenan ningún dato de carácter personal. Los datos utilizados para lanzar informes sobre el riesgo de exposición del usuario, se guardarían en local, en el dispositivo móvil del usuario, de acuerdo con las políticas.
  • La lectura de las políticas resulta un tanto extraña, desde el momento en que se afirma que no se realizan tratamientos sobre datos de carácter personal, pero se informa sobre la sujeción de la relación a la normativa vigente en materia de Protección de datos, se informa sobre la fuente de la que se obtienen los datos, las finalidades, plazo de conservación de los identificadores (14 días) y se enuncia la base de legitimación del interés público (salud pública).

Dudas sobre el Radar Covid

Más allá de todo lo comentado anteriormente, existen cuestiones con respecto a la aplicación del Gobierno que ponen en cuestión algunas circunstancias. Concretamente, las principales críticas surgen respecto de lo siguiente:

  • Como hemos comentado en este mismo apartado, no queda claro que resulte del todo confiable, en términos de seguridad informática, el uso permanente del bluetooth y los datos de geolocalización[13]. Al menos, así lo manifestaba INCIBE[14] (antiguo INTECO, en su guía sobre protección y uso seguro del móvil, apartado 6 “Medidas a adoptar en dispositivos que incorporan bluetooth página 15 cuando explica “El bluetooth es una tecnología bastante potente y útil para la transmisión de datos y voz (…) pero su nivel de seguridad no lo es tanto (…)”.
  • El hecho de mantener permanentemente encendidos las funciones GPS y Bluetooth, pueden afectar al rendimiento de algunos terminales. Además, se echa en falta afinar un poco las transacciones que la aplicación realiza con el servidor, ya que no siempre permiten garantizar su disponibilidad, o su actualización.
  • Respecto de las cuestiones sobre privacidad, es cierto que la aplicación asegura no utilizar, ni recoger, datos de carácter personal, tampoco de salud, para realizar el rastreo. De hecho, afirma utilizar IDs aleatorias, lo que induce a pensar que utiliza técnicas de anonimización, para llevar a cabo las alarmas propias de su función “radar”. Incluso, se ha informado sobre la intervención de la Agencia Española de Protección de Datos (AEPD) en el proceso de elaboración del Radar Covid. El problema reside en que, a fecha de redacción del presente artículo, la AEPD no acaba de pronunciarse de forma contundente sobre la aplicación[15].
  • El punto anterior genera dudas sobre el uso de los datos de geolocalización dado que, a pesar de que se afirme desde la SEDIA como desde Google que no se utilizan estos datos, lo cierto es que es requisito indispensable que esté activada la función GPS. Según Google, el motivo se debe a que desde 2015, en versiones superiores a Android 6.0, se exige la geolocalización para utilizar cualquier aplicación de estos, no sólo para el Covid[16].
  • La plataforma “Reclamadatos” ha solicitado a la AEPD una investigación sobre el cumplimiento RGPD del Radar Covid[17]: concretamente, se cuestiona el cumplimiento de los principios de licitud, lealtad, transparencia y responsabilidad proactiva. Por tanto, existe un procedimiento administrativo en marcha sobre las dudas respecto a los datos que realmente trata la aplicación.
  • Se echa en falta una mayor información sobre las medidas de seguridad utilizadas por la aplicación, así como la técnica por la que se conforman los identificadores de usuario, que ayuda a no identificar a estas personas. Enunciar el Anexo II del Esquema Nacional de Seguridad, es lo mismo que no decir nada, dado que aparecen una amalgama de medidas diferenciadas por niveles de seguridad. Si no conocemos el nivel de seguridad del sistema, no podremos conocer las medidas concretas que se están utilizando sobre la información.
  • Es confuso estudiar unas políticas de privacidad, con las características que exige el RGPD al respecto, sobre una aplicación que afirma no tratar datos de carácter personal, en cuyo caso, no estaría sujeta a dichas obligaciones de información, esto es, en los términos del RGPD. En ese sentido, nos sentimos un poco como Astérix en las doce pruebas, persiguiendo el formulario A38.

IV. Conclusiones

De acuerdo con lo analizado hasta ahora, podemos extraer las siguientes conclusiones:

  1. Las TIC siguen cambiando el modo en que vivimos, ahora también, el modo en que gestionamos crisis sanitarias a escala mundial. Seguimos viviendo un paradigma que deja de ser cosa del futuro, para haberse instalado en nuestro presente más inmediato.
  2. El uso de las TIC para la gestión de la pandemia generada por el Covid 19 implica una injerencia sobre los derechos y libertades de las personas, concretamente, sobre el derecho a la protección de datos de carácter personal y la privacidad. Esas injerencias deben ser estudiadas, gestionadas y limitadas.
  3. Existen herramientas y mecanismos suficientes en la actual legislación en materia de protección de datos para poder gestionar estas circunstancias con garantías para los derechos y libertades de los ciudadanos. Asimismo, aplicando los principios de necesidad y minimización de datos, podemos llegar a la conclusión de que quizás no necesitemos el tratamiento de datos de carácter personal, como ha sido el caso del Radar Covid, a expensas de conocer las conclusiones de la AEPD.
  4. El hecho de convivir con situaciones excepcionales, como de  una emergencia sanitaria, que ponen en riesgo la salud de la población, incluso, no deben ser excusa para flexibilizar los mecanismos y garantías que hacen esencia de nuestra sociedad. Perder esa esencia implica la pérdida del sentido con el que se elaboraron las bases de nuestro Estado Social y Democrático, de Derecho.
  5. Radar Covid parece suponer un paso adelante muy importante, por encima de las alternativas autonómicas que han sido puestas sobre la mesa. Es de valorar el equilibrio que se ha alcanzado respecto del binomio protección de la salud – protección de la privacidad, a pesar de lo cual, todavía no podemos dar una respuesta contundente a la gestión de asintomáticos por Covid 19.

Pablo García-Girón Pérez

24 de septiembre de 2020


V. Recursos utilizados

a) Recursos legales

  • Reglamento (UE) del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (…).
  • Constitución Española (CE).
  • Informe 0017/2020 de la AEPD.

b) Recursos electrónicos


[1] Se puede consultar en la siguiente dirección https://elderecho.com/amar-la-privacidad-tiempos-revueltos

[2] Se puede consultar la noticia de 16 de marzo en El País: https://elpais.com/sociedad/2020-05-28/corea-del-sur-reimpone-medidas-de-distanciamiento-social-ante-un-nuevo-brote-de-contagios.html

[3] En el caso de Covidapp o CoronaMadrid, puede consultarse la noticia de 18 de marzo de 2020 en elDiario.es aquí https://www.eldiario.es/tecnologia/coronavirus-madrid-google-telefonica-cuarentena_1_1015797.html . En este artículo se explica la “remodelación” de Stop Covid-19 CAT https://medium.com/@littlejudit/redise%C3%B1o-de-stop-covid19-cat-ux-case-study-42f0b96a367

[4] Puede consultarse en la noticia de elDiario.es de 1 de septiembre de 2020 por Carlos del Castillo en este enlace: https://www.eldiario.es/tecnologia/madrid-catalunya-haran-propias-pruebas-app-rastreo-contagios-gobierno-implantarla_1_6191629.html

[5] Ver noticia en “Digitales” aquí https://www.digitales.es/blog-post/asi-estan-usando-la-geolocalizacion-otros-paises-para-luchar-contra-el-coronavirus/

[6] Sobre los rebrotes de Corea del Sur, puede consultarte la noticia de EuropaPress de 17 de agoto de 2020 aquí https://www.europapress.es/internacional/noticia-corea-sur-roza-200-nuevos-casos-relacionados-rebrote-area-metropolitana-seul-20200817071209.html

[7] Se puede consultar la noticia de The Washington Post en https://www.washingtonpost.com/technology/2020/03/17/white-house-location-data-coronavirus/

[8] Ver entrevista a Carme Artigas en https://www.eldiario.es/tecnologia/Entrevista-Carme-Artigas_0_1041496812.html

[9] Ver noticia en la página web RTVE de 4 de septiembre de 2020 aquí: https://www.rtve.es/noticias/20200904/asi-funciona-radar-covid-app-para-rastrear-contactos/2040150.shtml .

[10] Consultar la página de Xataka https://www.xataka.com/aplicaciones/radar-covid-libera-hoy-su-codigo-fuente-sera-compatible-otras-aplicaciones-europeas-viajamos-fuera

[11] Sobre los riesgos de conexión del Bluetooth, resulta interesante el artículo publicado en bbc.com en septiembre de 2017, que puede leerse aquí: https://www.bbc.com/mundo/noticias-41306697

[12] Se puede consultar aquí: https://radarcovid.covid19.gob.es/terms-of-service/privacy-policy.html .

[13] Así lo manifestaba INCIBE en su web is4k.es Internet Segura For Kids, en abril de 2018 sobre las nuevas funcionalidades de Whatsapp, donde se incluía la geolocalización, y los posibles riesgos que entrañaba para los menores, que puede consultarse aquí: https://www.is4k.es/blog/riesgos-asociados-las-funcionalidades-de-geolocalizacion-y-borrado-de-mensajes-de-whatsapp .

[14] Ver en https://www.incibe.es/extfrontinteco/img/File/intecocert/Proteccion/usoseguromoviles.pdf

[15] Ver el comunicado de la AEPD sobre su participación en el Radar Covid: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-sobre-la-participacion-de-la-aepd-en-la-app-de .

[16] En Newtral se realiza un magnífico trabajo sobre las debilidades que se apreciaban en Radar Covid a fecha agosto 2020 por Marilín Gonzalo. Puede consultarse aquí: https://www.newtral.es/radar-covid-app-rastreo-espana/20200810/

[17] Se puede consultar la noticia de Marcos Sierra, publicada el 8 de septiembre de 2020, en vozpópuli.com aquí https://www.vozpopuli.com/economia-y-finanzas/Primera-denuncia-Radar-COVID-tratamiento_0_1390061340.html .


Pablo garcia giron perez
Pablo García-Girón Pérez 

Pablo García-Girón Pérez 

Licenciado en Derecho por la UAM y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la UC3M, ha desarrollado su carrera en el ámbito de la consultoría en nuevas tecnologías. Especializado en el campo de la Protección de Datos, desarrolla su trabajo en Minsait, una compañía de Indra.

Deja un comentario

A %d blogueros les gusta esto: