En el marco de la lucha contra el COVID-19 los diferentes estados han lanzado aplicaciones que facilitan el seguimiento y contención de la pandemia de COVID-19. Dado que a través de estas aplicaciones se puede recoger información muy sensible, la Comisión Europea (en adelante CE) consideró necesario emitir las recomendaciones que abordasen las cuestiones de privacidad. Hay que tener en cuenta que la eficacia de estas aplicaciones depende en gran medida de su uso masivo, por lo que es de vital importancia que no susciten ningún tipo de desconfianza en la ciudadanía. En este sentido los estados deberían poner todo el empeño a que estas aplicaciones cumplan con todos los requerimientos legales en materia de protección de datos y las más estrictas medidas de seguridad.
Para unificar los criterios, la CE publicó la “Comunicación 2020/C 124 I/01 de 17 de abril de 2020” que recoge una serie de orientaciones relativas a las aplicaciones para los dispositivos móviles cuyo fin es facilitar la información pertinente del COVID-19 a los usuarios, así como compartir la información con las autoridades sanitarias públicas a nivel nacional y de la UE.
En sus conclusiones, la CE considera que este tipo de aplicaciones deberían estar diseñadas de tal manera que las autoridades sanitarias nacionales, o entidades que realicen una misión en favor del interés público en el ámbito de la salud, sean las responsables del tratamiento de estos datos y por tanto deberán cumplir con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante RGPD).
Cabe destacar también que las indicaciones de la CE sobre los requisitos que deberían reunir estas aplicaciones no son jurídicamente vinculantes y tienen carácter voluntario. Por lo que los usuarios son libres para decidir si instalan la aplicación y si comparten sus datos con las autoridades. En todo caso, conforme a las orientaciones de la CE, las aplicaciones deberían contar con las siguientes funcionalidades:
- Facilitar a los usuarios la información sobre la pandemia (funcionalidad de información),
- Permitir la autoevaluación (funcionalidad de comprobación de síntomas),
- Alertar a las personas que hayan estado cerca de una persona infectada (funcionalidad de rastreo de contactos y de alerta),
- Proporcionar un foro de comunicación entre médicos y pacientes para poder realizar diagnósticos y tratamientos (telemedicina).
Puesto que las funcionalidades de estas aplicaciones pueden tener consecuencias sobre la privacidad de los usuarios, éstos deberían tener el control sobre los datos personales que decidan introducir. Para garantizar dicho control, la CE aconseja que se cumplan los siguientes requisitos:
- La instalación de la aplicación en el dispositivo debería ser voluntaria, sin consecuencia negativa alguna para quien decida no descargar o no usar la aplicación.
- No deberían agruparse las distintas funcionalidades de la aplicación (por ejemplo, información, comprobación de síntomas, rastreo de contactos y alerta), de manera que la persona pueda dar su consentimiento específicamente para cada una de ellas. Sin embargo, el usuario debería tener la posibilidad de combinar distintas funcionalidades de la aplicación si el proveedor lo ofrece como opción.
- Los datos de proximidad deberían almacenarse en el dispositivo del usuario. Si se prevé compartir estos datos con las autoridades sanitarias, debería hacerse únicamente cuando se haya confirmado que la persona en cuestión está infectada de COVID-19 y con su consentimiento.
- Las autoridades sanitarias deberían proporcionar a la persona toda la información necesaria en relación con el tratamiento de sus datos personales, en particular de sus derechos, en virtud del RGPD.
- Las aplicaciones deberían desactivarse cuando se declare el fin de la pandemia o que ésta esté controlada, no debiendo depender dicha desactivación de la desinstalación por parte del usuario.
A la luz de la normativa de protección de datos, una de las cuestiones más importantes es la legitimación del tratamiento de los datos en estas aplicaciones. Puesto que el almacenamiento de la información en el dispositivo del usuario o la obtención de acceso a la información ya almacenada depende de la instalación y/o la autorización por parte del usuario (por ejemplo, datos de proximidad en la funcionalidad de rastreo de contactos y alerta), la principal base legal sería el consentimiento.
Sin embargo, en la actual situación de la pandemia COVID-19, el acceso a los datos por parte de las autoridades sanitarias estaría legitimado en base al cumplimiento de la obligación legal. En todo caso, deberían asegurarse que dichas aplicaciones cumplen con los principios del RGPD, en especial con el de minimización, en virtud del cual únicamente deben tratarse los datos adecuados, pertinentes y estrictamente necesarios en relación a los fines del tratamiento.
Teniendo en cuanta el volumen y la sensibilidad de los datos personales tratados, así como diferentes funcionalidades (que como ya mencionamos son el de información, comprobación de síntomas, telemedicina, rastreo de contactos y de alerta), las aplicaciones deberían contar con unas medidas de seguridad muy estrictas. En este sentido se debería limitar el acceso y la divulgación de los datos.
Puesto que los datos de salud que se almacenan en los dispositivos del usuario son considerados especialmente protegidos, se recomienda que éstos estén cifrados utilizando las técnicas criptográficas más avanzadas. En caso de que estos datos se alojen en un servidor central, el acceso a dicho servidor debería ser restringido a las personas no autorizadas y sujeto a registro previo. A su vez, los datos de proximidad deberían generarse y almacenarse exclusivamente en el terminal del usuario y en un formato cifrado.
Además, se aconsejan otras medidas para garantizar la seguridad como la supresión automática de los datos transcurrido un plazo necesario para su tratamiento o la adopción de las técnicas de anonimización. Todas las transmisiones desde el dispositivo personal a las autoridades sanitarias nacionales deberían cifrarse.
Para garantizar la exactitud de la información sobre si se ha producido efectivamente un contacto con una persona infectada y con el fin de minimizar el riesgo de que se generen falsos positivos, se aconseja utilizar tecnologías que permitan una evaluación más precisa del contacto (por ejemplo, Bluetooth).
Asimismo, de acuerdo con el principio de limitación del almacenamiento, los datos almacenados en la aplicación no deben conservarse durante más tiempo del necesario (para cumplir con sus funcionalidades), debiendo basarse los plazos en la importancia médica y en lapsos realistas para las medidas administrativas que deban tomarse.
En relación a la funcionalidad de información, la aplicación debería impedir que se comparta con las autoridades sanitarias cualquier otra información almacenada en el equipo terminal aparte de la necesaria para disponer de esta funcionalidad. Los datos deben suprimirse inmediatamente, una vez que desaparezca la necesidad de su tratamiento con fines de información.
Sin embargo, las autoridades sanitarias podrían tener acceso a la información almacenada en la aplicación, para facilitar la operativa de las funcionalidades de comprobación de síntomas y de telemedicina. Si el usuario opta por permitir el contacto con los agentes sanitarios, y no un mero contacto a través de la propia aplicación, entonces también será necesario revelar a las autoridades sanitarias el número de su teléfono. Estos datos se deberían suprimir tras un período máximo de un mes (período de incubación más el margen) o después de que la persona haya sido sometida a una prueba con resultado negativo.
Al respecto de la funcionalidad de rastreo de contactos y de alerta, los datos del usuario solo estarían a disposición de las autoridades sanitarias después de que se confirmase que está infectado y los hubiera compartido de manera proactiva. No obstante, la persona infectada no debería ser informada de la identidad de las personas con las que haya podido tener un contacto epidemiológicamente relevante y que serán alertadas. Los datos de proximidad deberían suprimirse tan pronto como dejen de ser necesarios para alertar a otras personas o después de que el afectado haya dado el resultado negativo en la prueba.
En todo caso, las autoridades sanitarias podrán conservar los datos durante períodos más largos a efectos de información sobre la vigilancia e investigación, así como de la proximidad, siempre que los conserven en un formato anonimizado.
Por último, al tratarse de tratamientos de datos de categorías especiales y posiblemente a gran escala se insta a las autoridades de protección de datos que se involucren en la supervisión del despliegue de estas aplicaciones y puedan ser consultadas plenamente en el contexto de su desarrollo e implantación.
Áudea, Seguridad de la Información
Karol Sedkowski
Consultor Legal