Innovaciones tecnológicas ante la crisis del COVID-19

En medio de esta devastadora pandemia a la que estamos plantándole cara, estamos viendo que las medidas adoptadas por el Gobierno priorizan la salvaguarda de salud pública de la ciudadanía, para poder dar una ayuda, y un pequeño respiro, al personal sanitario que, de forma admirable, está asistiendo a miles de contagiados por el Covid-19 que están saturando los hospitales, UCIs y distintos centros de médicos.

Una de estas medidas de actuación para confrontar esta amenaza sanitaria, se publicó el pasado sábado 28 de marzo mediante la Orden SND/297/2020, de 27 de marzo, para el “desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19 ”.

En esta orden, se contempla la necesidad y la urgencia de desarrollar “soluciones tecnológicas y aplicaciones móviles para la recopilación de datos con el fin de mejorar la eficiencia operativa de los servicios sanitarios, así como la mejor atención y accesibilidad por parte de los ciudadanos.”

Objetivos de estas soluciones tecnológicas ante la crisis del COVID-19

Las finalidades de lo que al parecer va a ser una App, van a ser:

1. Realizar al usuario la autoevaluación en base a los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el Covid-19.
2. Ofrecer información al usuario sobre el Covid-19 y proporcionar al usuario consejos prácticos y recomendaciones de acciones a seguir según la evaluación.
3. La geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.

Incluso se contempla que esta App o la solución tecnológica ofrezca un “asistente conversacional/chatbot” para ser utilizado vía WhatsApp, o por otras aplicaciones de mensajería instantánea.

Además, se va a permitir el estudio de la movilidad aplicada a la crisis sanitaria, que se llamará “DataCOVID-19”; a “través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.” Este estudio de movilidad, estará por ver de qué manera lo plantean, recordando que la información anónima escapa del ámbito de aplicación del Reglamento General de Protección de Datos (RGPD, en adelante); Considerando 26.

La privacidad de nuestros datos en estado de alarma

Entonces, ¿qué pasa con nuestra privacidad y con nuestra intimidad si nos bajamos esta App?

Primero de todo habrá que ver si tendremos que bajarnos esta solución, cuándo estará disponible, y de qué manera. Después y ya bajada la aplicación, hay que considerar que los datos personales que se tratarán, van a ser de diversos tipos –de carácter identificativo, datos de contacto, etc.- entre los cuales, también se tratarán datos de categoría especial y sensible (datos de salud, de diagnóstico sanitario), y de la geolocalización, datos que la Ley considera que tienen un mayor valor jurídico, que los considera más sensibles de utilizar y que su tratamiento puede generar controversia al poner en un mayor riesgo al derecho a la intimidad personal y la privacidad.

No obstante en las circunstancias críticas en las que nos encontramos y con la declaración del estado de alarma:

¿No nos han limitado otros derechos fundamentales, en pro de proteger a la población de esta amenaza?

Básicamente, la declaración de estado de alarma implica eso. Otra cosa a tener en cuenta a la hora de hacerse esta reflexión es que los historiales médicos y casi toda la información personal y privada, de mayor importancia –por ejemplo, los tributos que pagamos- ya obra en manos del Estado.

Por lo que en definitiva, siempre y cuándo no se extralimiten en el uso y tratamiento de los datos personales que van a recoger, y se cumpla con los principios relativos al tratamiento del Artículo 5 del RGPD, no deberíamos de preocuparnos sobre nuestra privacidad y cómo se protegen los datos a través de esta App, más allá de lo normal.

Y dicho esto, será necesario leer la información de protección de datos que vayan a proveer, el plazo de conservación, los encargados de tratamiento que vaya a haber, si va a haber transferencias internacionales de datos a terceros países, y por último, la actualización del registro de actividades de tratamiento que procede que haga el responsable, que en este caso sabemos que será el Ministerio de Sanidad, que además uno de los encargados y titular de la aplicación será la Secretaría General de Administración Digital.

En definitiva, nuestra privacidad va a estar protegida y el tratamiento de datos personales va a ser lícito, presumiblemente las medidas de seguridad serán elevadas y adecuadas para este tratamiento, a pesar que se haya generado un debate al respecto, que algunos entienden que se está utilizando la coyuntura del estado de alarma para controlar y geolocalizar a la población para otros fines.

Con respecto a este debate también, qué mejor que la lectura de la opinión y análisis de José Luis Piñar,  “La protección de datos durante la crisis del coronavirus ”, que entiende y considera que se garantiza la privacidad en las actuaciones que se están tomando y que además apunta y recuerda que: “Una lectura sosegada de la opinión de la AEPD y de la declaración de la Presidencia del Comité Europeo de Protección de Datos nos lleva a la conclusión de que la protección de datos en absoluto puede ser un obstáculo en la lucha contra el coronavirus.”

¿Qué dice la Agencia Española de Protección de Datos?

La AEPD publicó un informe jurídico N/REF 0017/2020 donde recuerda el Considerando 46 que “reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física”, además de las bases jurídicas aplicables al tratamiento de datos personales en este contexto: “como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).”

Si bien es cierto, que este informe estaba enfocado a la actual realidad de las empresas con el teletrabajo, también se extiende a los tratamientos de datos en un sentido más amplio y general en plena crisis sanitaria. Asimismo, y como contestación a las Apps y Webs que se están lanzando, como la de la Comunidad de Madrid (www.coronamadrid.com), también la AEPD publicó una nota de prensa haciendo una valoración de estas herramientas y plataformas . En esta nota de prensa la Agencia indica, al igual que en el mencionado informe jurídico, que “Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales”; informa sobre las bases legitimadoras ya expuestas que fundamentarán el tratamiento de datos personales; que las finalidades de tratamiento sean única y exclusivamente el control de la epidemia; y que sólo se pueden tratar los datos personales por las autoridades públicas competentes o entidades privadas que colaboren en el desarrollo de estas Apps o Webs.

También apunta dos cuestiones importantes a tener en cuenta:

1. Los datos personales tendrán que ser facilitados por mayores de 16 años, y en el caso de tratamiento de datos de menores de 16 años, será necesaria la autorización de los padres o representantes legales.
2. Recomienda a los ciudadanos mucha cautela a la hora de utilizar aplicaciones o webs de entidades privadas, y que recaben la información de protección de datos necesaria: “informarse de quién, para qué y con qué garantías van a tratarse sus datos personales.”

Consejos en caso de que te siga preocupando tu privacidad durante el confinamiento si te bajas la App; ¿Qué hago?

Si nos tenemos que bajar esta aplicación, es recomendable hacer una lectura de la información de protección de datos, tanto la información básica como la ampliada que seguramente estará en la política de privacidad.

Confirmar quién es el responsable del tratamiento; el contacto del delegado de protección de datos; confirmar fines del tratamiento y la base jurídica del tratamiento; es muy importante saber qué plazo de conservación se va establecer, que en aras de los principios de protección de datos del RGPD, su tratamiento se deberá de minimizar y limitar el plazo de conservación hasta la finalización del estado de alarma o, al menos, hasta que la amenaza del Covid-19 termine.

En este sentido, la fórmula del portal www.coronamadrid.com sería muy recomendable para garantizar la privacidad y la protección de los datos personales: “Sólo conservaremos y trataremos tus datos mientras sean necesarios para las finalidades indicadas en el punto 4 anterior, y durante el período que dure la situación de emergencia sanitaria, todo ello de conformidad con los principios de minimización de datos y limitación del plazo de conservación establecido por la normativa aplicable”. Asimismo, habrá que revisar otra información que llame la atención, como a dónde irán destinados los datos personales, o si van a haber decisiones automatizadas y, en caso de duda, contactar con el delegado de protección de datos para que informe sobre qué se están haciendo con los datos personales.

Por último, también es relevante saber a dónde se tienen que dirigir las solicitudes de nuestros derechos como interesados, para poder ejercitar el derecho a la supresión de los datos personales, a pesar de que estamos ante uno de los supuestos contemplados en el Artículo 9.2 del RGPD, apartado 2, letras h) e i), y del apartado 3, al tratarse de un tratamiento efectuado por razones de interés público en el ámbito de la salud pública.

Conclusión sobre tu privacidad durante el estado de alarma

La privacidad, el derecho a la intimidad y la protección de datos, siempre han de estar presente en cualquier momento de nuestras vidas, son derechos fundamentales irrenunciables y estas medidas, como se ha expuesto, no contravienen nuestros derechos y principios que no se han visto eclipsados por la declaración del estado de alarma. Como conclusión válida podemos perfectamente citar a Piñar, muy acertado en lo que apunta: “El RGPD y la LOPDGDD, la legislación sectorial y la normativa que declara, regula y desarrolla el estado de alarma legitiman tratamientos de datos de salud sin consentimiento de los afectados. Es más, permiten legítimamente cualquier tratamiento que sea imprescindible (pero solo el que sea imprescindible) para luchar contra la pandemia global que sufrimos. Pero del mismo modo esas normas exigen que tales tratamientos sean escrupulosos con los principios que fundamentan el derecho a la protección de datos. Dejemos ya de afirmar, ni siquiera insinuar, que el derecho fundamental a la protección de datos es un obstáculo para el desarrollo de otras libertades y otros derechos fundamentales”.

Por lo que hagamos todo lo que esté en nuestras manos para evitar males mayores, quedémonos en casa, y si el día de mañana tenemos que utilizar alguna solución de este estilo, hagámoslo sin preocuparnos más de la cuenta de nuestra intimidad y privacidad, y terminamos con esta terrible amenaza.

Pablo Montis, Abogado en International SOS España

Bibliografía

1 Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19 [2020], Boletín Oficial del Estado. <https://www.boe.es/boe/dias/2020/03/28/pdfs/BOE-A-2020-4162.pdf>

2 José Luis Piñar Mañas, ‘La protección de datos durante la crisis del coronavirus’ (CGAE, 20 marzo 2020) <https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/> accedido en 6 de abril 2020.

3 AEPD Gabinete Jurídico, ‘informe jurídico N/REF 0017/2020’ <https://www.aepd.es/es/documento/2020-0017.pdf> accedido en 6 de abril 2020

4 AEPD, ‘Nota de prensa: Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus’ (AEPD 26 marzo 2020) <https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-apps-webs-autoevaluacion-coronavirus-privacidad> accedido en 6 de abril 2020

5 Consejería de Sanidad de la Comunidad de Madrid, ‘Alerta de privacidad CORONAMADRID’ (CSCM, 26 marzo 2020) <https://www.coronamadrid.com/proteccion-de-datos> accedido en 6 abril 2020.

6 José Luis Piñar Mañas, ‘La protección de datos durante la crisis del coronavirus’ (CGAE, 20 marzo 2020) <https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/> accedido en 6 de abril 2020.