Soluciones digitales para la lucha contra el COVID-19 | Orden SND/297/2020, de 27 de marzo.
Tras varios días de debate jurídico ante la posibilidad de crear aplicaciones informáticas que proporcionasen una asistencia a la sociedad frente a la crisis sanitaria del COVID-19 y la incidencia que dichas herramientas pudieran tener en el ámbito de la privacidad de las personas, ayer día 28 de marzo de 2020, finalmente se publicaba en el Boletín Oficial del Estado lo siguiente:
“Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.”
De dicha Orden destacan los siguientes puntos:
PRIMERO. – DESARROLLO URGENTE DE UNA APLICACIÓN INFORMÁTICA
| Responsable del Tratamiento | Ministerio de Sanidad |
| Encargado del Tratamiento | Secretaría General de Administración Digital |
| Subencargados | Habilitación genérica:
“El Ministerio de Sanidad, como responsable del tratamiento, autoriza a la Secretaría General de Administración Digital a recurrir a otros encargados en la ejecución de lo previsto en este apartado.” |
Desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19 que permita, como mínimo:
- Autoevaluar: El usuario podrá usar la aplicación para la autoevaluación en base a los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19;
- Informar: La aplicación ofrecerá al usuario información sobre el COVID-19;
- Aconsejar y recomendar: Se proporcionarán consejos prácticos y recomendaciones de acciones a seguir según la evaluación; y
- Geolocalizar: La aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.
Esta herramienta informática podrá incluir enlaces a portales gestionados por terceros con el objeto de facilitar el acceso a información y servicios disponibles a través de Internet y no constituirá, en ningún caso, un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos por lo que su uso no sustituirá en ningún caso la consulta con un profesional médico debidamente cualificado.
SEGUNDO. – ASISTENTE CONVERSACIONAL / CHATBOT
| Responsable del Tratamiento | Ministerio de Sanidad |
| Encargado del Tratamiento | Secretaría de Estado de Digitalización
e Inteligencia Artificial |
| Subencargados | No hace mención |
Desarrollo de un asistente conversacional o chatbot para ser utilizado vía WhatsApp y otras aplicaciones de mensajería instantánea, la cual proporcionará información oficial del Ministerio de Sanidad ante las preguntas de la ciudadanía.
TERCERO. – WEB INFORMATIVA
Se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital el desarrollo de una web informativa con los recursos tecnológicos disponibles.
En este punto, no existe información sobre Responsable y Encargado del Tratamiento. A tratarse de una web informativa, es posible que esta no recopile información de carácter personal o que lo haga de forma anonimizada.
CUARTO. – ANÁLISIS DE MOVILIDAD DE PERSONAS
| Responsable del Tratamiento | Instituto Nacional de Estadística |
| Encargados del Tratamiento | Operadores de comunicaciones electrónicas móviles
(con las que se llegue a un acuerdo) |
| Subencargados | Habilitación genérica:
“El Instituto Nacional de Estadística, como responsable del tratamiento, autoriza a los operadores a recurrir a otros encargados en la ejecución de lo previsto en este apartado.” |
Se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, siguiendo el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento.
En la ejecución de este estudio, se velará por el cumplimiento de lo establecido en el Reglamento General de Protección de Datos; la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, así como también a los criterios interpretativos dados por la Agencia Española de Protección de Datos.
QUINTO. – PUNTO CENTRAL DE COORDINACIÓN
Debido a que son muchas las actuaciones simultáneas que ya se están desarrollando en la lucha contra el COVID-19, se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, la creación de un punto central de coordinación para la evaluación de otras propuestas tecnológicas por parte de otros organismos y entidades.
Con ello, se pretende aunar todos los esfuerzos con el fin de evitar duplicidades y permitir un uso más eficaz y eficiente de los recursos.
CONCLUSIONES
Tras dos semanas de confinamiento y algún que otro debate entre juristas especializados en la protección de datos personales, el Gobierno español ha decidido apoyarse en la tecnología para hacer frente al COVID-19.
En primer lugar, cabe mencionar que la Orden va dirigida a la creación de aplicaciones, webs o herramientas que vayan a ser de titularidad pública, y no hace mención alguna a aquellas que sean desarrolladas por empresas privadas, debiendo ser estas las que establezcan las medidas oportunas respecto a la protección de datos de sus interesados.
En este aspecto, la Agencia Española de Protección de Datos el pasado 26 de marzo en su comunicado sobre apps y webs de autoevaluación del Coronavirus, advirtió a los ciudadanos sobre el uso y comunicación de sus datos a aplicaciones o webs de titularidad privada, estableciendo que el tratamiento de datos que realicen dichas entidades no estará basado en el interés público o en la garantía de intereses vitales. Por lo que recomendaba a quienes quisiesen hacer uso de ellas, que fueran especialmente cuidadosos a la hora de informarse de quién, para qué y con qué garantías van a tratarse sus datos personales.
La Orden, por lo tanto, recoge los criterios establecidos por la Agencia Española de Protección de Datos para aplicaciones o webs cuya titularidad sea de las autoridades públicas.
La AEPD disponía en el mencionado comunicado que, en estas aplicaciones de titularidad pública, la legitimidad para el tratamiento de datos estaría basada en la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas.
Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia, y siempre que utilizando los datos que las autoridades públicas competentes consideren proporcionados/necesarios para cumplir con dichas finalidades.
Por lo que, las entidades privadas que colaboren o puedan colaborar con dichas autoridades sólo podrán utilizar los datos conforme a las instrucciones de estas y, en ningún caso, para fines distintos de los autorizados.
En este punto trae a colación mencionar el Considerando 54 del Reglamento General de Protección de Datos, el cual recuerda que los tratamientos de datos de salud por razones de interés público no deben dar lugar a que “terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.”
Otro de los platos fuertes de esta Orden SND/297/2020, de 27 de marzo es el uso de la geolocalización con dos finalidades: la primera, para verificar a través de la App que se desarrolle, que el usuario se encuentra en la Comunidad Autónoma que dice estar y, la segunda, para realizar estudios sobre la movilidad de las personas y durante el tiempo de confinamiento.
En el primer caso, será el propio interesado que mediante el uso de la aplicación permita conocer su ubicación, y mientras no se descargue o no se use, la información de geolocalización de dicho individuo, por ende, no se conocerá. Sin embargo, habría que averiguar por qué la aplicación tiene la necesidad de conocer que el usuario se encuentra en la Comunidad Autónoma que dice estar… Se me pasan por la cabeza dos posibilidades: Que sirva como herramienta de posible sanción o que sirva para una mejor prestación de los servicios sanitarios al usuario como saber a qué centro hospitalario más cercano puede acudir.
“We will see…”
En cuanto al segundo caso, la geolocalización del dispositivo únicamente sería usada con el fin de realizar un seguimiento de la movilidad de las personas para, muy posiblemente, cruzarlo con la información sobre fallecidos, afectados, y curados del COVID-19, sin necesidad de estar siguiendo a un determinado individuo para saber qué hace y deja de hacer.
Con esta información es muy probable que pueda analizarse dónde hay mayor o menor riesgo de contagio, o aportar mayor vigilancia en determinadas zonas donde se vea un considerable flujo de desplazamientos con el fin de controlar y evitar la propagación del virus.
Entonces, ¿El gobierno me espía? ¿Me pongo ya el gorro de papel de aluminio? Pues… de ser, así las cosas, no exactamente. En el primer caso, la geolocalización no se activará salvo que la persona realice un uso de la aplicación (el texto no explica si con el solo uso se requiere geolocalización o si es una función que solo se deberá activar en el momento de la autoevaluación) y en el segundo caso, la información es agregada y anonimizada, con lo que podrán saber el flujo de movimiento que hacen unos móviles sin averiguar a quién pertenecen.
Expuesto lo anterior, por el momento sigo manteniendo la fe en el Reglamento General de Protección de Datos y nuestra Constitución. En definitiva, me considero de esa rama de juristas que piensa que no todo vale y como ha podido comprobarse en la Orden, también parece que así debe ser.
Aunque muchos no lo sepan o crean, la protección de datos de carácter personal es un derecho fundamental recogido en la Constitución Española en su artículo 18.4 y que, como tal, no debe ser menoscabado pese a las actuales circunstancias.
Ahora bien, ¿significa ello que el Reglamento General de Protección de Datos un instrumento limitador de la lucha contra este maldito virus? Pues de acuerdo con dicho texto y la Agencia Española de Protección de Datos, no parece ser así.
RGPD – Considerando 46:
“Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.”
Agencia Española de Protección de Datos:
“La normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común.”
Un servidor:
“Juguemos y con agilidad, pero sin trampas.”
*Alguna gente*:
¡¡Pero si yo no he dado mi consentimiento!!
(pues sigue leyendo…)
La normativa sobre protección de datos, encabezada por el Reglamento General de Protección de Datos (en adelante, RGPD), dispone de herramientas suficientes que legitiman el tratamiento de datos personales (artículo 6.1 RGPD) y datos de categoría especial (art. 9.2 RGPD) como, por ejemplo, los de salud, con el fin de no obstaculizar su uso cuando sean necesarios para hacer frente a la actual situación y sin necesidad de que el interesado preste el consentimiento.
Por lo tanto, todos aquellos tratamientos que puedan ayudar contra la lucha del coronavirus y su propagación durante estas semanas, deberán realizarse dentro del marco establecido por el Reglamento General de Protección de Datos y el resto del ordenamiento jurídico sin olvidar, principalmente los principios establecidos en su artículo 5, es decir, que únicamente se traten los datos mínimos necesarios (principio de minimización de datos) con la única finalidad de controlar la pandemia (principio de limitación de finalidad), y debiéndose tratar solo durante el tiempo imprescindible (principio de limitación del plazo de conservación).
Asimismo, será muy importante que el interesado esté informado de sobre el uso que se dará a sus datos (principio de licitud, lealtad y transparencia) y, ahora más que nunca, será de vital importancia que los datos que se proporcionen sean veraces y estén actualizados (principio de exactitud).
Todo ello garantizando una seguridad adecuada de los datos personales como la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (principio de integridad y confidencialidad).
Por lo tanto, el Reglamento General de Protección de Datos no debe verse como un aliado del Coronavirus, existen herramientas, solo falta mantener la seguridad de la información y agilizar el trabajo.
José Manuel Cañedo Ribas
30 de marzo de 2020
- Graduado en Derecho en la Universidad de las Islas Baleares (UIB)
- Máster Universitario de Abogacía (UIB-ICAIB)
- Máster en Contratación Turística (Título propio de la UIB)
- Colegiado en el Ilustre Colegio de Abogados de les Illes Balears con el número 6646.
