Orientaciones de la Comisión Europea sobre protección de datos en Apps móviles de apoyo a la lucha contra el COVID-19

Como continuación a la Recomendación de 8 de abril, la Comisión Europea emitió el pasado viernes 17 de abril una Comunicación con el objetivo de armonizar las tecnologías y datos utilizados por los distintos Estados Miembros, que las hagan interoperables entre sí y permitan transmitir datos para la colaboración transfronteriza, garantizar la detección de contactos y una salida homogénea de las medidas de confinamiento en la Unión. 

En la vertiginosa carrera tecnológica en la lucha contra el COVID-19, hace semanas que vienen apareciendo Apps móviles que ayuden a las autoridades sanitarias al seguimiento y contención de la pandemia a través del uso de datos de movilidad, especialmente cuando se incremente el riesgo de contacto e infección por el levantamiento de las medidas de confinamiento. La realización de cuestionarios de autoevaluación de síntomas junto con el seguimiento y rastreo de contactos puede ser muy efectivo para interrumpir las cadenas de infección con mayor rapidez y eficacia que las medidas generales de confinamiento, dosificando eficientemente las hasta hoy muy escasas pruebas en la mayor parte del mundo. 

La Comisión acentúa en estas orientaciones el especial respeto que debe observarse al derecho fundamental a la intimidad y protección de datos personales en el diseño de las funcionalidades de estas Apps, atendiendo al tratamiento masivo de datos de salud, especialmente protegidos, así como al derecho de secreto de las comunicaciones por el alto grado de intrusión de esta solución. Para ello, estas orientaciones realizan una relación entre las distintas funcionalidades previstas para estas Apps y el cumplimiento de los principios relativos al tratamiento de datos desarrollados en el art. 5 RGPD y que resumimos a continuación:     

  1. Se establecen las autoridades sanitarias nacionales como responsables de tratamiento, a efectos de limitar el acceso de terceros a los datos, garantizar información completa del tratamiento, favorecer la coordinación entre autoridades y garantizar la base legal sobre la legislación aprobada que reconozca el interés público del tratamiento.
  2. Garantizar el uso voluntario de estas Apps y el control de los usuarios de sus datos personales, aplicando un consentimiento individualizado para cada funcionalidad y garantizando el ejercicio de derechos de los ciudadanos.

En cuanto a la instalación y almacenamiento de datos se prevé el acceso a información que sea estrictamente necesaria para el funcionamiento de la App, muy escaso de cara a alcanzar los fines propios pensados para la utilización de dichas Apps, que solo podrá basarse en el consentimiento de los usuarios. Por tanto, se establece una combinación entre el interés público en el ámbito de la salud y el consentimiento para fundamentar el tratamiento. Respecto a las funcionalidades analizadas por la Comisión en el uso de estas Apps son: (i) ofrecer información a los ciudadanos; (ii) comprobación de síntomas y telemedicina; y (iii) rastreo de contactos y alertas. En este punto sorprende que no se haya valorado la necesidad del tratamiento para proteger intereses vitales del interesado o de otra persona física [art. 6.1(d) y 9.2(c) y (h) RGPD], dado que el consentimiento, si bien resulta muy garantista para los derechos de los usuarios, puede suponer una barrera a la efectividad de las medidas en orden a una visión conservadora a la hora de aplicar excepciones que agilicen el tratamiento ante una situación de crisis sanitaria que pudiera justificar una mayor amplitud y flexibilidad del tratamiento.

Los datos recogidos deben, asimismo, responder el principio de minimización y limitación de acceso / divulgación de datos y limitación de conservación, según aquellos datos que resulten adecuados, pertinentes y estrictamente necesarios para las funcionalidades descritas. En este sentido, se establece:

  • El tratamiento de ningún dato personal para fines informativos, siendo accesibles solo los necesarios para comunicar la información. Dichos datos deberán ser suprimidos una vez proporcionada la información solicitada por el usuario.
  • Los fines de comprobación de síntomas y telemedicina resultan pertinentes para la gestión de los test de prueba, aislamientos selectivos, definir la asistencia sanitaria pertinente y labores de vigilancia. Lo anterior no justifica el acceso a contactos del interesado ni su conservación superior a un mes.
  • Para fines de rastreo, podrán tratarse datos de proximidad pseudonimizados. Estos serán almacenados en el dispositivo del usuario (descentralizado), o en un servidor accesible a las autoridades sanitarias (servidor final), cifrados en todo caso y haciendo accesible a las autoridades sanitarias únicamente los datos de proximidad y fecha del contacto para contactar con personas que hayan tenido contacto relevante (en distancia y duración del mismo) con otra persona confirmada por COVID que haya consentido compartir los datos.

En cualquier caso, dichos datos de proximidad deberán suprimirse en un plazo máximo de un mes cuando se hayan realizado pruebas al interesado con resultado negativo en COVID-19. 

  • En cuanto a servicios de alerta por contactos de riesgo, se prevén dos sistemas posibles: (i) que la App alerte al usuario del contacto estrecho con una persona infectada; o (ii) el almacenamiento en servidor de la autoridad sanitaria de identificadores pseudonimizados de aquellos usuarios que hayan estado en contacto estrecho con un usuario infectado.

No podrá revelarse la identidad del infectado. Sólo se alertará al usuario del contacto con una persona infectada en un plazo de 16 días (desde 48 h. antes de la manifestación de síntomas y durante 14 días posteriores).

La relación entre las funcionalidades admitidas, su finalidad y los datos tratados para ello debe ser muy precisa, estableciendo mecanismos para obtener consentimiento individualizado para cada una de ellas, que no podrán exceder de las necesarias para la lucha contra el COVID-19, o bien para fines de investigación y elaboración de estadísticas mediante el tratamiento de datos anonimizados.

En conclusión, la Comisión plantea un posicionamiento conservador y garantista de los derechos fundamentales a la intimidad y protección de datos, con una interpretación estricta de la aplicación normativa. Si el uso eficiente de las tecnologías a nuestro alcance favorece la lucha contra el COVID-19 y la gestión de recursos, lo desproporcionado pudiera ser limitar su uso cuando los riesgos en juego presentan un impacto mayor sobre la esfera de derechos y libertades superiores a la privacidad.

La valoración final sobre si bajo estas excepcionales circunstancias, el alto riesgo para la salud de los ciudadanos, las consecuencias económicas y sociales de la pandemia, entre otras, justifican una mayor intrusión en nuestra esfera privada corresponde a cada ciudadano, los gobiernos y autoridades nacionales competentes y, en última instancia, al Tribunal de Justicia de las Comunidades Europeas.

Leave a comment

4 × 4 =