Tratamiento de datos personales durante la pandemia de COVID-19 – (I) Aplicaciones de rastreo de contactos

Desde la barra Análisis Tratamiento de datos personales durante la pandemia de COVID-19...
- Advertisment -

Este post ha sido escrito por Javier López Guzmán, legal researcher en la Vrije Universiteit Brussel y doctorando.

La pandemia de COVID-19 ha sido un acontecimiento de alcance mundial. Afirmar esto actualmente es una obviedad. Ha marcado las relaciones humanas, de derecho y las vidas de todo el planeta durante el último año 2020 y parte de este 2021. Se alzan voces afirmando que la vida no volverá a ser igual a la etapa anterior. Es indudable que también ha existido un fuerte impacto jurídico sobre derechos y libertades en todo el mundo.

El derecho a la privacidad ha sido uno de los afectados principalmente por las herramientas tecnológicas utilizadas para luchar contra la pandemia. En este artículo se pretende una reflexión crítica sobre su uso, el impacto en las vidas y derechos fundamentales de los ciudadanos, la proporcionalidad de la afectación de los derechos fundamentales y su oportunidad.

Para analizar las consecuencias jurídicas de la pandemia no se puede perder de vista el impacto sobre la salud y vidas humanas que ésta ha tenido. Se estima que, a fecha de publicación de este artículo, ha habido más de 122,3 millones de personas infectadas y más de 2,7 millones de fallecidos en todo el mundo. El Producto Interior Bruto mundial ha caído en un 4,2 %. Todas las medidas y cambios legislativos han ido, con mayor o menor acierto en la dirección de luchar contra la pandemia y salvar vidas. No obstante, cabe preguntarse ¿Cuáles son los límites?¿Está todo justificado contra la pandemia?¿Cómo de efectivas han resultado estas medidas?

Descendiendo a España, derechos fundamentales como la libertad deambulatoria y la libertad de fijar la residencia, el derecho a la salud de determinados colectivos y el derecho fundamental a la educación. Todo por la pandemia. Uno en particular nos ocupa en este artículo: la privacidad y la protección de datos personales.

Algunas de estas medidas son justificadas y han ayudado a luchar contra la pandemia: el rastreo de teléfonos móviles ha permitido a las personas al frente de las decisiones identificar lugares y momentos de mayor contacto y exposición. Las aplicaciones móviles de rastreo, a pesar de su bajo impacto, han permitido localizar y aislar algunos positivos rápidamente.

Sin embargo, cabe reflexionar sobre su éxito y proporcionalidad. Una de las medidas más debatidas en el origen de la pandemia y con mayor alcance a nivel mundial ha sido la utilización de estas llamadas aplicaciones de rastreo móvil de contactos.

Las aplicaciones móviles quisieron paliar un problema al inicio de la pandemia. Ante un virus que se transmite entre infectados asintomáticos, tener la información de los positivos y sus contactos cercanos es clave. Al inicio de verano de 2020 este rastreo se comenzó a hacer en Europa siguiendo métodos tradicionales. Se contactaba directamente con la persona infectada para preguntarle con quién había estado recientemente. Se elaboraba una lista y se contactaba, muchas veces por llamada telefónica con estas personas. Este método todavía se utiliza en muchos países. No obstante, sus problemas son evidentes. Es un proceso lento y poco eficiente, que supone en ciertos casos una sobrecarga administrativa sobre el personal sanitario excesiva. Y es totalmente imposible de llevar a cabo ante incidencias altas, cuando los hospitales se llenan de enfermos y hay una transmisión comunitaria elevada.

Ante estas dificultades, se pensó en automatizar el proceso. Los teléfonos móviles que la inmensa mayoría de la población mundial utiliza actualmente permiten una monitorización del movimiento de una persona total. El uso de la información de geolocalización podría permitir saber con gran exactitud los movimientos entre personas y contactos cercanos.

No obstante, en muchos países occidentales se pensó que este sistema es demasiado invasivo para la privacidad, aunque los datos se traten de forma anonimizada. Es fácil reidentificar a una persona a través de estos patrones de movimiento. Además esta información podría utilizarse con fines de represión política o social.

Es por esto que se comenzó a explorar alternativas a la geolocalización como tecnología de rastreo. La alternativa más viable que se encontró fue el uso de Bluetooth. Esta tecnología permite la comunicación a corto alcance entre dispositivos móviles y la inmensa mayoría de ellos la incorporan actualmente. Uno de los desarrollos tecnológicos de aplicaciones con este sistema que se presentó fue el protocolo del consorcio DP3-T. Este consorcio de organismos de investigación formó parte de la iniciativa Rastreo Privado de Proximidad Paneuropeo (PEPP-PT por sus siglas en inglés). Desarrollaron un sistema basado en tecnología Bluetooth para que los diferentes gobiernos lo utilizaran como base para el desarrollo de sus aplicaciones de rastreo de forma anónima y descentralizada. El consorcio publicó el código de programación en el repositorio Git-Hub, de forma totalmente abierta y altruista para ofrecer una alternativa respetuosa con la privacidad a todos los gobiernos que quisieran hacer uso de ella.

Para su creación se pensó en contar con los grandes desarrolladores de software para teléfonos móviles del mercado. Entre otras razones, para paliar las dificultades con la activación continua del Bluetooth y el ahorro de batería. Las más interesadas en formar parte de estos proyectos fueron Google y Apple. Pero las razones no fueron puramente altruistas. El modelo de desarrollo de negocio de estas empresas exige una implantación en cada esfera de nuestra vida a través de la digitalización. Son las conocidas como Big Four o GAFA-M (Google, Amazon, Facebook, Apple más Microsoft). Obtener acceso y control de estas aplicaciones se reveló como un posicionamiento estratégico de negocio para ellas. Es por esto que Google y Apple en colaboración desarrollaron una tecnología API alternativa y luego incorporaron el protocolo DP3-T. Para más información, consultar el repositorio del grupo de investigación Law, Science, Technology and Society de la universidad Vrije Universiteit Brussel.

Sin embargo, a pesar de estos esfuerzos y la colaboración con las grandes tecnológicas, no se impulsó una solución totalmente respetuosa con la privacidad. La API de Google y Apple acabó exigiendo el acceso a la geolocalización en los dispositivos con sistema operativo Android. El protocolo DP3-T, a pesar de lo valioso de su aportación, acabó implementándose sólo parcialmente en algunas app nacionales.

Desde el punto de vista jurídico, una intromisión de tal calibre en la intimidad de las personas como es el rastreo de contactos continuo o a través de geolocalización solamente debe llevarse a cabo de manera muy controlada y fiscalizada. Existen ciertas opinones en que esto no debió llevarse a cabo en absoluto. El Comité Europeo de Protección de Datos emitió una directriz para el rastreo de contactos que sentó las bases en la Unión Europea para el uso de las aplicaciones. Asimismo, la Autoridad Española de Protección de Datos cubrió el uso de datos personales en la lucha contra la pandemia en un informe específico, en el que por desgracia no se citaba el uso de las apps directamente.

A grandes rasgos, ambas autoridades destacaron que sí existe una base jurídica apropiada para hacer uso de los datos personales de contactos y geolocalización durante la pandemia. Es importante destacar que la justificación o el buen fin del uso de los datos personales en este caso no se discute. Contra la pandemia,  es necesario adoptar medidas basadas en la mejor evidencia, que en algunos casos se provee a través de estas aplicaciones. No obstante, este tratamiento de datos personales debe hacerse, aún en una situación de emergencia como ésta, basada en criterios jurídicos claros y respetando las normas vigentes.

En España, el marco jurídico aplicable es la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. En su artículo 9 se regula el tratamiento de categorías especiales de datos personales. Los datos personales relacionados con la salud pertenecen a esta categoría, de acuerdo al artículo 9 del Reglamento General de Protección de Datos. Prácticamente todos los datos personales utilizados en la lucha contra la pandemia por las autoridades gubernamentales en España desde marzo de 2020 están incluidas en esta categoría. Esto sería debatible para los datos de geolocalización o el rastreo a través de las app en el caso de personas sanas. No obstante, al utilizar estos métodos de rastreo de datos tanto de personas infectadas de COVID-19 como de personas sanas, es necesario que el tratamiento de estos sistemas automatizados siga esta protección reforzada. El RGPD prohíbe el tratamiento de datos de salud, salvo basado en una serie de excepciones tasadas. Una de ellas, contenida en el artículo 9.2 i), es el interés público en el ámbito de la salud pública. Supuesto éste que encaja en la situación de pandemia de COVID-19.

No obstante, nuestra LOPD establece una prohibición reforzada para el caso de los datos sanitarios. Para acogerse a la excepción de interés público en el ámbito de la salud pública, es necesario que el encargado del tratamiento, en este caso las Administraciones públicas, esté amparado en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. Éste ha sido un debe en el actual Gobierno de España durante toda la pandemia, que ha utilizado el marco jurídico ya existente para luchar contra la pandemia y no ha generado normas específicas que permitan un marco jurídico firme durante el confinamiento y la pandemia. Sucesivos problemas han emergido de esta situación, como las medidas regionales de las Comunidades Autónomas no amparadas en el decreto de estado de alarma, muchas de ellas revisadas por los Tribunales Superiores de Justicia y que han llegado hasta el Tribunal Supremo. No obstante, en el caso del tratamiento de datos personales a través de las aplicaciones de rastreo de contactos, este tratamiento podría estar amparado en la Ley 33/2011, General de Salud Pública. Éste es un debate jurídico que excede el objetivo del presente artículo.

En este contexto es interesante analizar el papel de los organismos reguladores en el tratamiento de datos personales durante la pandemia. La Agencia Española de Protección de Datos ha tenido un papel activo en la evaluación del tratamiento de datos personales durante la pandemia. También el regulador europeo, el Comité Europeo de Protección de Datos ha tenido una actividad intensa, elaborando directrices para la mejor aproximación al tratamiento de datos personales para luchar contra la pandemia.

Es de interés destacar la publicación, en abril de 2020, de las Directrices para las apps de contacto por el Comité Europeo. En estas directrices, ya en la fase inicial de la pandemia, el coordinador europeo indicó que el tratamiento de datos personales en las aplicaciones de rastreo de contactos debía hacerse respetando el principio de minimización de los datos. En ningún caso estas aplicaciones podían sustituir el rastreo manual de contactos ni el papel de los profesionales sanitarios en éstos. La base jurídica o medida legislativa para el establecimiento de las apps debía “incorporar salvaguardias significativas, incluida una referencia al carácter voluntario de la aplicación” (Considerando 31). Además, se apostaba claramente por los sistemas basados en el rastreo DP3-T, bordeando los límites del principio de neutralidad tecnológica al afirmar que: “Todo servidor que participe en el sistema de rastreo de contactos debe limitarse a recoger el historial   de   contactos   o   los   identificadores   seudónimos   de   un   usuario   que   haya   sido diagnosticado  como  infectado  como  resultado  de  una  evaluación  adecuada  realizada  por  las autoridades  sanitarias  y  de  una  acción  voluntaria  del  usuario.” (Considerando 43). Se hiciera esto de manera centralizada o no por las autoridades gubernamentales.

La actividad de la Agencia Española de Protección de Datos está resumida en su web en la serie de publicaciones con informes y directrices sobre este tratamiento de datos personales. Destaca el Informe sobre los tratamientos de datos en relación con el COVID-19. Lamentablemente, no se ha hecho una publicación específica sobre las aplicaciones de rastreo de contactos. La Agencia ha tenido un papel activo en el lanzamiento y manejo de las aplicaciones de rastreo móvil. No obstante, éste ha sido criticado por falta de profundidad y ausencia de crítica a las administraciones que impulsaron su despliegue.

Las principales críticas han venido en el manejo y publicación de la Evaluación de impacto de la aplicación de rastreo de contactos en España, Radar COVID. Este informe es de obligatoria elaboración en cualquier tratamiento de datos personales con especial peligro para los derechos fundamentales, de acuerdo con el contenido del artículo 35 del Reglamento General de Protección de Datos. Los creadores de la aplicación han sido la compañía Indra, contratada bajo encargo de la Secretaría de Estado de Digitalización e Inteligencia Artificial, órgano dependiente del Ministerio de Economía. Ellos elaboraron esta Declaración de Impacto, que fue publicada en enero de 2021, tras muchas críticas y repetidas exigencias tanto de la sociedad civil, como de las autoridades públicas de transparencia. Actualmente esta publicación y los riesgos en el uso de aplicación Radar COVID para los derechos fundamentales de los ciudadanos están bajo investigación por parte del organismo regulador. Esta Secretaría de Estado ha tenido una labor intermitente durante la pandemia, con dificultades en su actividad por los continuos ceses de personal directivo y críticas por el gasto de recursos públicos en la implementación de estas aplicaciones.

Las aplicaciones de rastreo de contactos han sido una decepción que ha puesto en riesgo la privacidad de los usuarios sin aportar un avance significativo en la lucha contra la pandemia. A pesar del entusiasmo inicial en su uso, y voces autorizadas que han abogado por su implementación, han sido una decepción en su desarrollo, por las razones, múltiples y complejas, ya expuestas en este artículo. Este instrumento podría haber sido útil de haberse aplicado de manera correcta contra la pandemia. Es un aviso a navegantes para el siguiente elemento que quiere utilizarse como principal ayuda tecnológica para la reapertura de la economía: los pasaportes de vacunación COVID-19.

Lvcentinvs
Lvcentinvs
Desde la Asociación de Antiguos Alumnos del Magister Lvcentinvs y la Universidad de Alicante (España), información actualizada sobre los avances en materia de propiedad intelectual y de Derecho internacional privado para juristas europeos e iberoamericanos.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

LO ÚLTIMO

Must read

- Advertisement -

Quizá también te gusteRELACIONADOS
Recomendados para ti