Skip to content

LA APPDEMIA. A cargo de Iciar López-Vidriero.

AD 61/2020

RESUMEN

El presente artículo es un estudio acerca de las aplicaciones que se han creado en España, por los distintos organismos públicos, para el rastreo de personas en la lucha contra la pandemia COVID-19, haciéndose primero un análisis comparativo entre ellas y sus políticas de privacidad para, en segundo lugar realizar un análisis comparativo respecto de las aplicaciones nacionales y las recientes Directrices del EDPB (Directrices 4/2020), llevándolo a cabo a través de cuadros comparativos que hacen más sencilla la visualización del estado de adecuación de las distintas Apps.

SUMMARY

This article is a study about the Apps that have been created in Spain, by different public bodies, for the tracking of people in the fight against the COVID-19 pandemic, firstly making a comparative analysis between them and their privacy policies, and secondly making a comparative analysis with respect to national Apps and the recent EDPB Guidelines (4/2020 Guidelines), carrying it out through comparative tables that make it easier to see the state of suitability of the different Apps.

PALABRAS CLAVE

App – Geofencing – EDPB – pandemia – COVID – privacidad – EIDP – coronavirus – Directrices – GDPR – RGPD – tracking – geolocalizacion – minimizacion – conservacion – algoritmo – auditoria – DPO – DPD – AEPD

KEY WORDS

App – Geofencing – EDPB – pandemic – COVID – privacy – EIDP – coronavirus – Guidelines – GDPR – RGPD – tracking – geolocation – minimization – conservation – algorithm – audit – DPO –  AEPD

Es por ello que durante las primeras semanas se levantaron ampollas y se intentó estigmatizar la privacidad como la raíz o pilar que impediría llevar a cabo el tratamiento de datos de la población pero, nada más lejos de la realidad, dado que debemos entender la privacidad como un pilar maestro en nuestras vidas, como el junco que se dobla pero no se rompe y, con esto, me refiero que no debemos perder el horizonte de que la privacidad es un derecho fundamental y por tanto, no debe considerarse como un bache en nuestro camino, sino como un STOP cauteloso que ha de tenerse en cuenta en todo momento. A tal efecto, la balanza entre restricción de libertades y el respeto a derechos fundamentales debe ser proporcional y, a tal efecto, la confianza obtenida desde el principio de transparencia debería ser el punto de partida, por parte de los controladores de las distintas aplicaciones emergentes como medio de vigilancia sanitaria.

A tal efecto, el Comité Europeo de Protección de Datos (EDPB) ha publicado unas directrices el pasado 21 de abril (Directrices 4/2020) que pretenden dar un enfoque europeo común estableciendo un marco interoperable en el que los datos Personales y la tecnología sirvan para ayudar a luchar contra el COVID-19 en lugar de buscar el control y estigmatización de las personas, dado que una mala decisión que restrinja un derecho fundamental como es la privacidad pudiere conllevar en un futuro un mal mayor e imparable, puesto que acabaría siendo un “lo que se da, no se quita” y acabaríamos perdiendo la apreciación de la realidad y de nuestra privacidad, por lo que hay que avanzar pero con un objetivo fijo y es que nuestro junco “la privacidad” no se rompa y, para ello, debemos usar el armazón que tenemos a fecha presente, el Reglamento Europeo de Protección de Datos.

En este sentido, este artículo pretende hacer un estudio acerca de las recientes Directrices publicadas por el EDPB sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto del brote de COVID-19 y, contextualizarlo con las distintas aplicaciones nacionales que actualmente existen para el seguimiento y vigilancia del coronavirus, sin perder de vista que en la actualidad existirían más de 100 aplicaciones de 40 países diferentes que buscan informar a la población e intentar aplacar la propagación del virus.  Por ello, que el artículo acoja el nombre de APPDEMIA porque como se puede apreciar son muchas las aplicaciones que se están generando para evaluar el seguimiento de la pandemia, si bien no todas se encuentran bajo el paraguas del RGPD, centrando el presente artículo en las aplicaciones nacionales y bajo el prisma de las Directrices del EDPB.

Así pues, las aplicaciones autonómicas con las que actualmente contamos en España son:

Cabe destacar que cada una de las aplicaciones es gestionada por un responsable del tratamiento diferente y, por ende, por sus correspondientes delegados de protección de datos, por lo que, en vez de haber ido al unísono en la redacción de las políticas de privacidad y gestión de aplicaciones, disponiendo de una orquesta “disonante” que en algunos puntos convergen, pero en otros, no es que difieran, sino que se han quedado sin melodía.

Desde mi punto de vista, como he comentado, se debería haber trabajado de forma orquestada, ofreciendo la información bajo un mismo patrón, lo que hubiera facilitado el trabajo y hubiese sido más efectivo a la hora de ir incorporando aquellas modificaciones aplicables en cada caso, dando así por cumplido el principio de transparencia e información de una forma más efectiva. Al no haberse hecho de esta forma, se detectan diferencias, incluyendo a continuación un pequeño cuadro comparativo donde se han marcado algunas diferencias llamativas, tales como el tipo de datos que se recaban de forma opcional, debiendo destacar, entre otros que de 6 aplicaciones nacionales, sólo dos de ellas especifican que no llevarán a cabo geofencing, es decir, geolocalización para saber si el usuario se encuentra en su domicilio y, una única aplicación, la de Castilla y León, no trata datos de carácter personal, sino que sólo facilita un test que ayuda a tomar decisiones al usuario acerca de su sintomatología relacionada con el COVID-19.

De igual forma, cabe destacar que quizá la aplicación que menos información facilita, por así decirlo, es la correspondiente a la Comunidad Valenciana (GVA Coronavirus), puesto que a la hora de descargarse la aplicación el usuario no ofrece información previa al tratamiento de datos que se pueda llevar a cabo, incluyendo tan sólo dos links: el primero, a una política de privacidad genérica y el segundo a un Registro de Actividades de Tratamiento (RAT) que se denomina ASISTENCIA SANITARIA y que no comprende específicamente el tratamiento que se está llevando a cabo a través de dicha aplicación, puesto que la finalidad de dicho RAT es la siguiente:

  • Gestión del historial clínico de pacientes: Asistencia sanitaria especializada y asistencia sanitaria ambulatoria.
  • Gestión de la información radiológica de pacientes.
  • Almacenamiento y gestión de imágenes radiológicas.
  • Gestión de servicios de anatomía patológica.
  • Gestión del servicio de análisis clínicos de laboratorio en el entorno hospitalario.
  • Registro de incidentes laborales con riesgo biológico.
  • Triaje de las urgencias hospitalarias.
  • Elaboración y gestión de informes de alta hospitalaria.
  • Gestión y control de incidentes relacionados con la transfusión y donación de sangre.
  • Gestión de paciente con tratamiento de anti coagulantes.
  • Soporte a la gestión integral del paciente oncológico.

La reflexión a destacar es que si se hubieren orquestado los distintos responsables del tratamiento posiblemente todas las apps estarían ofreciendo información bajo un marco mucho más homogéneo y, por tanto, con una mayor capacidad de adecuación según las Directrices del EDPB o Agencia Española de Protección de Datos y, por ende, sería mucho más sencillo, al igual que detectar incongruencias o falta de información, por lo que una vez más en estos momentos de solidaridad, igual hubiese sido mejor orquestar una melodía conjunta en la que los participantes aportan para mejorar no para confundir y, por ende, obtener todo lo contrario que lo que se debería buscar, disminuir el riesgo en la percepción de los usuarios y dotar a las mismas de confianza.

Incluyo a continuación tabla comparativa de las aplicaciones Coronavirus provenientes de los responsables de tratamiento de carácter público, quedando fuera del estudio la aplicación de la Comunidad de Castilla y León al ser un test que sólo ofrece orientaciones sin llegar a recabar ninguna información de carácter personal.

CUADRO COMPARATIVO DE APP COVID NACIONALES
APLICACIONEdad mínimaBase de legitimaciónConservaciónComunicacionesDatos recabadosGEOFENCIGEIDP 
AsistenciaConvid1916 añosInterés públicoDurante la crisis sanitaria.Un máximo de 2 años para fines  estadísticos, investigación o archivo en interés público.Profesionales sanitariosAutoridades competentesNombre y apellidos ?• Nª Móvil. • DNI / NIE.? • Dirección y CP ? • Fecha nacimiento ? • Geolocalización ?• Género (opcional) ?• Datos de saludNo se efectúaNo se publica ni se informa que se haya realizado 
CoronaMadrid16 años Durante la situación de emergenciaMientras sean necesarios para fines estadísticos, investigación y archivo. Nombre y apellidos ?• Nª Móvil. • DNI / NIE.? • Dirección y CP ? • Fecha nacimiento ? • Geolocalización (opcional) ?• Género ?• Datos de saludNo se lleva a caboNo se publica ni se informa que se haya realizado 
Salud InformaNo se menciona edad mínimaInterés públicoInterés vitalHasta finalización de la crisis sanitariaSeguridad Social.Órganos judicialesÓrganos de la Administración del EstadoÓrganos de la Comunidad Autónoma  D.N.I. / N.I.F.Nº S.S. / MutualidadNombre y ApellidosDirección y CPTarjeta sanitariaTeléfonoFirma electrónicaNúmero de Registro de Personal EdadNo se mencionaNo se publica ni se informa que se haya realizado 
STOP COVID19 CAT16 añosConsentimientoInterés público  Durante el tiempo necesarioAutoridades sanitarias Los obligados legalmente  Nombre y apellidos ?• Nª Móvil. • Mail • Geolocalización (opcional) ??• Datos de saludNo se mencionaNo se publica ni se informa que se haya realizado 
CoronaTest Navarra16 añosInterés público  No se menciona ningún periodo ni apartado específico a la conservaciónProfesionales sanitarios Proveedores y colaboradores  Nombre y apellidos?Nª Móvil.MailDNI / NIE.?CIPNADirección y CP ?Edad?Género ?Datos de saludNo se mencionaNo se publica ni se informa que se haya realizado 
GVA CoronavirusNo existe una política de privacidad como tal y dirige al usuario a la web de la Consellería donde no hay ningún RAT afecto de forma específica al COVID ni se hace mención por si se hubiere englobado dicho tratamiento en algún otro RAT. 
COVID-19.eus  16 añosInterés públicoInterés vitalDurante la crisis sanitaria.Límite máximo de un año.OsakidetzaAutoridades competentesMAM OBJECTS, SL, como propietario de la APPNombre.Apellidos (opcional)?Nª Móvil.MailDNI / NIE.?ADINADirección y CP ?Geolocalización ?Género ?Datos de saludNo se mencionaNo se publica ni se informa que se haya realizado 
SACYL CONECTA  No recaba datos es sólo un test que ayuda a tomar decisiones al usuario acerca de su sintomatología relacionada con COVID. 

Una vez tenida en cuenta la tabla comparativa expuesta, es el momento de ponerla en concordancia con las Directrices del pasado 21 de abril del EDPB, en este sentido, estas son las indicaciones que realizan y el estado de adecuación en el que se encuentran nuestras App nacionales respecto a las Directrices:

                  CUADRO COMPARATIVO APPS NACIONALES Y DIRECTRICES EDPB
Directrices 4/2020AsistenciaConvid19  CoronaMadrid  Salud Informa  STOP COVID19 CAT  CoronaTest Navarra  GVA Coronavirus  COVID-19.eus  
El uso de la aplicación debe ser voluntarioOkOkOkOkOkOkOk
No debe basarse en el rastreo de movimientos individualesNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respecto
Se da preferencia al procesamiento de datos anónimosX Se recaban datos personalesX Se recaban datos personalesX Se recaban datos personalesX Se recaban datos personalesX Se recaban datos personalesX Se recaban datos personalesX Se recaban datos personales
Directiva e-Privacy aplicableX No se hace mención al respectoX No se hace mención al respectoX No se hace mención al respectoX No se hace mención al respectoX No se hace mención al respectoX No se hace mención al respectoX No se hace mención al respecto
Se debe asegurar quien es el Responsable del tratamientoOkOk Viceconsejería de Asistencia Sanitaria de la Consejería de Sanidad de la Comunidad de Madrid (“CSCM”)Ok Dirección General de Derechos y Garantías de los Usuarios delDepartamento de Sanidad del Gobierno de AragónOk Departamento de SaludOk Departamento de Salud de Gobierno de NavarraOk Consellería de Sanidad Universal y Saldu PúblicaOk Dirección de Salud Pública y Adicciones del Departamento de Salud
Describir los agentes del RTNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoMAM OBJECTS, SL, como propietario de la APP
Fines específicosOkOkOkOkOkX No son congruentes ya que ha englobado el tratamiento del COVID con un RAT ya existente ASISTENCIA SANITARIA  Ok
Minimización de datosAl no haber unidad ni mismos criterios aplicados en cada una de las aplicaciones, se considera que ninguna de ellas parte de la minimización de datos, puesto que de partir de dicho principio, habría un bloque de datos mínimos, siendo el resto opcionales en todo caso.
Si se hace rastreo de contacto debe mediar consentimiento al no ser que sea una operación necesariaNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respectoNo se expresa al respecto
Base de legitimación interés públicoOkOkOk Además añade interés vital que no está respaldado por el EDPBOkOkOk  Ok Además añade interés vital que no está respaldado por el EDPB
También podrá usarse como base el consentimiento cumpliendo 6.1 RGPDNo se incluye dicha baseNo se incluye dicha baseNo se incluye dicha base¿ Incluye el consentimiento pero existen dudas razonables de que se cumpla el 6.1 RGPD  No se incluye dicha base¿ Incluye el consentimiento pero existen dudas razonables de que se cumpla el 6.1 RGPD  No se incluye dicha base
Los datos sólo deben conservarse durante la crisis de COVID-19X Incluye la posibilidad de hasta 2 años terminada la crisisX Incluye la posibilidad de que se traten mientras sean necesarios para fines estadísticos, de investigación y archivo.Ö  X Durante el tiempo necesario sin aplicar límitesX No se menciona ningún periodo ni apartado específico a la conservaciónX Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. La información se conservará al amparo de lo dispuesto en la Ley 41/2002, de 14 de noviembre, de autonomía del paciente,Ok Durante la crisis y un año más como límite
El código fuente debe ponerse a disposición del público¿   Código fuente es libre, pero no está a disposición, se pondrá a disposición del público en un futuro. https://asistencia.covid19.gob.es/manifiestoX   No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo accederX   No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo accederX   No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo accederX   No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo accederX   No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo accederX   No se expresa al respecto No se detecta a priori esa posibilidad o técnicamente no resulta sencillo acceder
Los algoritmos deben poder ser auditablesX   No se expresa al respectoX   No se expresa al respectoX   No se expresa al respectoX   No se expresa al respectoX   No se expresa al respectoX   No se expresa al respectoX   No se expresa al respecto
Debe realizarse una EIDP a priori del tratamiento y publicarse la mismaX   No se expresa al respecto  Y no hay publicación de la mismaX   No se expresa al respecto y no hay publicación de la mismaX   No se expresa al respecto  Y no hay publicación de la mismaX   No se expresa al respecto y no hay publicación de la mismaX   No se expresa al respecto  Y no hay publicación de la mismaX   No se expresa al respecto y no hay publicación de la mismaX   No se expresa al respecto  Y no hay publicación de la misma

De igual forma, las Directrices del EDPB concluyen con un Anexo donde se incluye una Guía de análisis de aplicaciones de rastreo de contactos muy interesante que permite identificar de forma estructurada, de tal forma que sea fácil de chequear todos los items, los cuales se dividen en 7 apartados:

  • General
  • Propósitos
  • Consideraciones funcionales
  • Datos
  • Propiedades técnicas
  • Seguridad
  • Principios que deben aplicarse cuando la aplicación envíe al servidor la lista de contactos del usuario.

Desde luego, este artículo pudiere extenderse hasta “el infinito y más allá” pero no es la intención de la que suscribe y con estas líneas y análisis agradezco a los lectores su tiempo y deseo salud y cuidado en tiempo de coronavirus y, que no perdamos la perspectiva de lo importante.

Autora: Iciar López-Vidriero Tejedor

6 de mayo de 2020


BREVE CURRICULAR

Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.

Redes sociales

Twitter:  @ICIARLVT

Linkedin: Iciar López-Vidriero

Deja un comentario

A %d blogueros les gusta esto: