AD 61/2020
RESUMEN
El presente artículo es un estudio acerca de las aplicaciones que se han creado en España, por los distintos organismos públicos, para el rastreo de personas en la lucha contra la pandemia COVID-19, haciéndose primero un análisis comparativo entre ellas y sus políticas de privacidad para, en segundo lugar realizar un análisis comparativo respecto de las aplicaciones nacionales y las recientes Directrices del EDPB (Directrices 4/2020), llevándolo a cabo a través de cuadros comparativos que hacen más sencilla la visualización del estado de adecuación de las distintas Apps.
SUMMARY
This article is a study about the Apps that have been created in Spain, by different public bodies, for the tracking of people in the fight against the COVID-19 pandemic, firstly making a comparative analysis between them and their privacy policies, and secondly making a comparative analysis with respect to national Apps and the recent EDPB Guidelines (4/2020 Guidelines), carrying it out through comparative tables that make it easier to see the state of suitability of the different Apps.
PALABRAS CLAVE
App – Geofencing – EDPB – pandemia – COVID – privacidad – EIDP – coronavirus – Directrices – GDPR – RGPD – tracking – geolocalizacion – minimizacion – conservacion – algoritmo – auditoria – DPO – DPD – AEPD
KEY WORDS
App – Geofencing – EDPB – pandemic – COVID – privacy – EIDP – coronavirus – Guidelines – GDPR – RGPD – tracking – geolocation – minimization – conservation – algorithm – audit – DPO – AEPD
Es por ello que durante las primeras semanas se levantaron ampollas y se intentó estigmatizar la privacidad como la raíz o pilar que impediría llevar a cabo el tratamiento de datos de la población pero, nada más lejos de la realidad, dado que debemos entender la privacidad como un pilar maestro en nuestras vidas, como el junco que se dobla pero no se rompe y, con esto, me refiero que no debemos perder el horizonte de que la privacidad es un derecho fundamental y por tanto, no debe considerarse como un bache en nuestro camino, sino como un STOP cauteloso que ha de tenerse en cuenta en todo momento. A tal efecto, la balanza entre restricción de libertades y el respeto a derechos fundamentales debe ser proporcional y, a tal efecto, la confianza obtenida desde el principio de transparencia debería ser el punto de partida, por parte de los controladores de las distintas aplicaciones emergentes como medio de vigilancia sanitaria.
A tal efecto, el Comité Europeo de Protección de Datos (EDPB) ha publicado unas directrices el pasado 21 de abril (Directrices 4/2020) que pretenden dar un enfoque europeo común estableciendo un marco interoperable en el que los datos Personales y la tecnología sirvan para ayudar a luchar contra el COVID-19 en lugar de buscar el control y estigmatización de las personas, dado que una mala decisión que restrinja un derecho fundamental como es la privacidad pudiere conllevar en un futuro un mal mayor e imparable, puesto que acabaría siendo un “lo que se da, no se quita” y acabaríamos perdiendo la apreciación de la realidad y de nuestra privacidad, por lo que hay que avanzar pero con un objetivo fijo y es que nuestro junco “la privacidad” no se rompa y, para ello, debemos usar el armazón que tenemos a fecha presente, el Reglamento Europeo de Protección de Datos.
En este sentido, este artículo pretende hacer un estudio acerca de las recientes Directrices publicadas por el EDPB sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto del brote de COVID-19 y, contextualizarlo con las distintas aplicaciones nacionales que actualmente existen para el seguimiento y vigilancia del coronavirus, sin perder de vista que en la actualidad existirían más de 100 aplicaciones de 40 países diferentes que buscan informar a la población e intentar aplacar la propagación del virus. Por ello, que el artículo acoja el nombre de APPDEMIA porque como se puede apreciar son muchas las aplicaciones que se están generando para evaluar el seguimiento de la pandemia, si bien no todas se encuentran bajo el paraguas del RGPD, centrando el presente artículo en las aplicaciones nacionales y bajo el prisma de las Directrices del EDPB.
Así pues, las aplicaciones autonómicas con las que actualmente contamos en España son:
- AsistenciaConvid19 que da servicio a Canarias, Cantabria, Castilla – La Mancha, Extremadura e Islas Baleares.
- CoronaMadrid que da servicio a la Comunidad de Madrid.
- Salud Informa que da servicio a Aragón
- SACYL CONECTA que da servicio a Castilla y León.
- STOP COVID19 CAT que da servicio a Cataluña.
- CoronaTest Navarra que da servicio a la Comunidad Foral de Navarra.
- GVA Coronavirus que da servicio a la Comunidad Valenciana.
- COVID-19.eus que da servicio al País Vasco.
Cabe destacar que cada una de las aplicaciones es gestionada por un responsable del tratamiento diferente y, por ende, por sus correspondientes delegados de protección de datos, por lo que, en vez de haber ido al unísono en la redacción de las políticas de privacidad y gestión de aplicaciones, disponiendo de una orquesta “disonante” que en algunos puntos convergen, pero en otros, no es que difieran, sino que se han quedado sin melodía.
Desde mi punto de vista, como he comentado, se debería haber trabajado de forma orquestada, ofreciendo la información bajo un mismo patrón, lo que hubiera facilitado el trabajo y hubiese sido más efectivo a la hora de ir incorporando aquellas modificaciones aplicables en cada caso, dando así por cumplido el principio de transparencia e información de una forma más efectiva. Al no haberse hecho de esta forma, se detectan diferencias, incluyendo a continuación un pequeño cuadro comparativo donde se han marcado algunas diferencias llamativas, tales como el tipo de datos que se recaban de forma opcional, debiendo destacar, entre otros que de 6 aplicaciones nacionales, sólo dos de ellas especifican que no llevarán a cabo geofencing, es decir, geolocalización para saber si el usuario se encuentra en su domicilio y, una única aplicación, la de Castilla y León, no trata datos de carácter personal, sino que sólo facilita un test que ayuda a tomar decisiones al usuario acerca de su sintomatología relacionada con el COVID-19.
De igual forma, cabe destacar que quizá la aplicación que menos información facilita, por así decirlo, es la correspondiente a la Comunidad Valenciana (GVA Coronavirus), puesto que a la hora de descargarse la aplicación el usuario no ofrece información previa al tratamiento de datos que se pueda llevar a cabo, incluyendo tan sólo dos links: el primero, a una política de privacidad genérica y el segundo a un Registro de Actividades de Tratamiento (RAT) que se denomina ASISTENCIA SANITARIA y que no comprende específicamente el tratamiento que se está llevando a cabo a través de dicha aplicación, puesto que la finalidad de dicho RAT es la siguiente:
- Gestión del historial clínico de pacientes: Asistencia sanitaria especializada y asistencia sanitaria ambulatoria.
- Gestión de la información radiológica de pacientes.
- Almacenamiento y gestión de imágenes radiológicas.
- Gestión de servicios de anatomía patológica.
- Gestión del servicio de análisis clínicos de laboratorio en el entorno hospitalario.
- Registro de incidentes laborales con riesgo biológico.
- Triaje de las urgencias hospitalarias.
- Elaboración y gestión de informes de alta hospitalaria.
- Gestión y control de incidentes relacionados con la transfusión y donación de sangre.
- Gestión de paciente con tratamiento de anti coagulantes.
- Soporte a la gestión integral del paciente oncológico.
La reflexión a destacar es que si se hubieren orquestado los distintos responsables del tratamiento posiblemente todas las apps estarían ofreciendo información bajo un marco mucho más homogéneo y, por tanto, con una mayor capacidad de adecuación según las Directrices del EDPB o Agencia Española de Protección de Datos y, por ende, sería mucho más sencillo, al igual que detectar incongruencias o falta de información, por lo que una vez más en estos momentos de solidaridad, igual hubiese sido mejor orquestar una melodía conjunta en la que los participantes aportan para mejorar no para confundir y, por ende, obtener todo lo contrario que lo que se debería buscar, disminuir el riesgo en la percepción de los usuarios y dotar a las mismas de confianza.
Incluyo a continuación tabla comparativa de las aplicaciones Coronavirus provenientes de los responsables de tratamiento de carácter público, quedando fuera del estudio la aplicación de la Comunidad de Castilla y León al ser un test que sólo ofrece orientaciones sin llegar a recabar ninguna información de carácter personal.
CUADRO COMPARATIVO DE APP COVID NACIONALES | ||||||||
APLICACION | Edad mínima | Base de legitimación | Conservación | Comunicaciones | Datos recabados | GEOFENCIG | EIDP | |
AsistenciaConvid19 | 16 años | Interés público | Durante la crisis sanitaria.Un máximo de 2 años para fines estadísticos, investigación o archivo en interés público. | Profesionales sanitariosAutoridades competentes | Nombre y apellidos ?• Nª Móvil. • DNI / NIE.? • Dirección y CP ? • Fecha nacimiento ? • Geolocalización ?• Género (opcional) ?• Datos de salud | No se efectúa | No se publica ni se informa que se haya realizado | |
CoronaMadrid | 16 años | Durante la situación de emergenciaMientras sean necesarios para fines estadísticos, investigación y archivo. | Nombre y apellidos ?• Nª Móvil. • DNI / NIE.? • Dirección y CP ? • Fecha nacimiento ? • Geolocalización (opcional) ?• Género ?• Datos de salud | No se lleva a cabo | No se publica ni se informa que se haya realizado | |||
Salud Informa | No se menciona edad mínima | Interés públicoInterés vital | Hasta finalización de la crisis sanitaria | Seguridad Social.Órganos judicialesÓrganos de la Administración del EstadoÓrganos de la Comunidad Autónoma | D.N.I. / N.I.F.Nº S.S. / MutualidadNombre y ApellidosDirección y CPTarjeta sanitariaTeléfonoFirma electrónicaNúmero de Registro de Personal Edad | No se menciona | No se publica ni se informa que se haya realizado | |
STOP COVID19 CAT | 16 años | ConsentimientoInterés público | Durante el tiempo necesario | Autoridades sanitarias Los obligados legalmente | Nombre y apellidos ?• Nª Móvil. • Mail • Geolocalización (opcional) ??• Datos de salud | No se menciona | No se publica ni se informa que se haya realizado | |
CoronaTest Navarra | 16 años | Interés público | No se menciona ningún periodo ni apartado específico a la conservación | Profesionales sanitarios Proveedores y colaboradores | Nombre y apellidos?Nª Móvil.MailDNI / NIE.?CIPNADirección y CP ?Edad?Género ?Datos de salud | No se menciona | No se publica ni se informa que se haya realizado | |
GVA Coronavirus | No existe una política de privacidad como tal y dirige al usuario a la web de la Consellería donde no hay ningún RAT afecto de forma específica al COVID ni se hace mención por si se hubiere englobado dicho tratamiento en algún otro RAT. | |||||||
COVID-19.eus | 16 años | Interés públicoInterés vital | Durante la crisis sanitaria.Límite máximo de un año. | OsakidetzaAutoridades competentesMAM OBJECTS, SL, como propietario de la APP | Nombre.Apellidos (opcional)?Nª Móvil.MailDNI / NIE.?ADINADirección y CP ?Geolocalización ?Género ?Datos de salud | No se menciona | No se publica ni se informa que se haya realizado | |
SACYL CONECTA | No recaba datos es sólo un test que ayuda a tomar decisiones al usuario acerca de su sintomatología relacionada con COVID. |
Una vez tenida en cuenta la tabla comparativa expuesta, es el momento de ponerla en concordancia con las Directrices del pasado 21 de abril del EDPB, en este sentido, estas son las indicaciones que realizan y el estado de adecuación en el que se encuentran nuestras App nacionales respecto a las Directrices:
CUADRO COMPARATIVO APPS NACIONALES Y DIRECTRICES EDPB | |||||||
Directrices 4/2020 | AsistenciaConvid19 | CoronaMadrid | Salud Informa | STOP COVID19 CAT | CoronaTest Navarra | GVA Coronavirus | COVID-19.eus |
El uso de la aplicación debe ser voluntario | Ok | Ok | Ok | Ok | Ok | Ok | Ok |
No debe basarse en el rastreo de movimientos individuales | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto |
Se da preferencia al procesamiento de datos anónimos | X Se recaban datos personales | X Se recaban datos personales | X Se recaban datos personales | X Se recaban datos personales | X Se recaban datos personales | X Se recaban datos personales | X Se recaban datos personales |
Directiva e-Privacy aplicable | X No se hace mención al respecto | X No se hace mención al respecto | X No se hace mención al respecto | X No se hace mención al respecto | X No se hace mención al respecto | X No se hace mención al respecto | X No se hace mención al respecto |
Se debe asegurar quien es el Responsable del tratamiento | Ok | Ok Viceconsejería de Asistencia Sanitaria de la Consejería de Sanidad de la Comunidad de Madrid (“CSCM”) | Ok Dirección General de Derechos y Garantías de los Usuarios delDepartamento de Sanidad del Gobierno de Aragón | Ok Departamento de Salud | Ok Departamento de Salud de Gobierno de Navarra | Ok Consellería de Sanidad Universal y Saldu Pública | Ok Dirección de Salud Pública y Adicciones del Departamento de Salud |
Describir los agentes del RT | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | MAM OBJECTS, SL, como propietario de la APP |
Fines específicos | Ok | Ok | Ok | Ok | Ok | X No son congruentes ya que ha englobado el tratamiento del COVID con un RAT ya existente ASISTENCIA SANITARIA | Ok |
Minimización de datos | Al no haber unidad ni mismos criterios aplicados en cada una de las aplicaciones, se considera que ninguna de ellas parte de la minimización de datos, puesto que de partir de dicho principio, habría un bloque de datos mínimos, siendo el resto opcionales en todo caso. | ||||||
Si se hace rastreo de contacto debe mediar consentimiento al no ser que sea una operación necesaria | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto | No se expresa al respecto |
Base de legitimación interés público | Ok | Ok | Ok Además añade interés vital que no está respaldado por el EDPB | Ok | Ok | Ok | Ok Además añade interés vital que no está respaldado por el EDPB |
También podrá usarse como base el consentimiento cumpliendo 6.1 RGPD | No se incluye dicha base | No se incluye dicha base | No se incluye dicha base | ¿ Incluye el consentimiento pero existen dudas razonables de que se cumpla el 6.1 RGPD | No se incluye dicha base | ¿ Incluye el consentimiento pero existen dudas razonables de que se cumpla el 6.1 RGPD | No se incluye dicha base |
Los datos sólo deben conservarse durante la crisis de COVID-19 | X Incluye la posibilidad de hasta 2 años terminada la crisis | X Incluye la posibilidad de que se traten mientras sean necesarios para fines estadísticos, de investigación y archivo. | Ö | X Durante el tiempo necesario sin aplicar límites | X No se menciona ningún periodo ni apartado específico a la conservación | X Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. La información se conservará al amparo de lo dispuesto en la Ley 41/2002, de 14 de noviembre, de autonomía del paciente, | Ok Durante la crisis y un año más como límite |
El código fuente debe ponerse a disposición del público | ¿ Código fuente es libre, pero no está a disposición, se pondrá a disposición del público en un futuro. https://asistencia.covid19.gob.es/manifiesto | X No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo acceder | X No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo acceder | X No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo acceder | X No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo acceder | X No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo acceder | X No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo acceder |
Los algoritmos deben poder ser auditables | X No se expresa al respecto | X No se expresa al respecto | X No se expresa al respecto | X No se expresa al respecto | X No se expresa al respecto | X No se expresa al respecto | X No se expresa al respecto |
Debe realizarse una EIDP a priori del tratamiento y publicarse la misma | X No se expresa al respecto Y no hay publicación de la misma | X No se expresa al respecto y no hay publicación de la misma | X No se expresa al respecto Y no hay publicación de la misma | X No se expresa al respecto y no hay publicación de la misma | X No se expresa al respecto Y no hay publicación de la misma | X No se expresa al respecto y no hay publicación de la misma | X No se expresa al respecto Y no hay publicación de la misma |
De igual forma, las Directrices del EDPB concluyen con un Anexo donde se incluye una Guía de análisis de aplicaciones de rastreo de contactos muy interesante que permite identificar de forma estructurada, de tal forma que sea fácil de chequear todos los items, los cuales se dividen en 7 apartados:
- General
- Propósitos
- Consideraciones funcionales
- Datos
- Propiedades técnicas
- Seguridad
- Principios que deben aplicarse cuando la aplicación envíe al servidor la lista de contactos del usuario.
Desde luego, este artículo pudiere extenderse hasta “el infinito y más allá” pero no es la intención de la que suscribe y con estas líneas y análisis agradezco a los lectores su tiempo y deseo salud y cuidado en tiempo de coronavirus y, que no perdamos la perspectiva de lo importante.
Autora: Iciar López-Vidriero Tejedor
6 de mayo de 2020
BREVE CURRICULAR
Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.
Redes sociales
Twitter: @ICIARLVT
Linkedin: Iciar López-Vidriero