Recomendación Europea para las Apps del COVID-19

En el DOUE del 14 de abril de 2020 se ha publicado la RECOMENDACIÓN (UE) 2020/518 DE LA COMISIÓN de 8 de abril de 2020 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados.

Destaca que, desde el inicio de la crisis de la COVID-19, se han desarrollado diversas aplicaciones móviles, en ocasiones por parte de las autoridades públicas, y se han producido llamamientos de los Estados miembros y del sector privado a favor de la coordinación a nivel de la Unión para abordar, entre otras cuestiones, las relativas a la ciberseguridad, la seguridad y la privacidad. 

Estas aplicaciones suelen cumplir tres funciones generales: i) informar y asesorar a los ciudadanos, y facilitar la organización del seguimiento médico de las personas con síntomas, a menudo en combinación con un cuestionario de autodiagnóstico; ii) advertir a las personas que han estado cerca de una persona infectada, a fin de interrumpir las cadenas de contagio e impedir que se produzca un resurgimiento de las infecciones durante la fase de relajación de las medidas de confinamiento, y iii) el seguimiento y el control del cumplimiento de la cuarentena de las personas infectadas, eventualmente en combinación con características que permitan determinar su estado de salud durante el período de cuarentena. 

Algunas aplicaciones están disponibles para el público en general, mientras que otras solo lo están para grupos cerrados de usuarios a fin de rastrear los contactos en el lugar de trabajo. Por lo general, no se ha evaluado la eficacia de estas aplicaciones. Las aplicaciones de información y análisis de síntomas pueden ser útiles para sensibilizar a la ciudadanía. No obstante, el dictamen de los expertos apunta a que las aplicaciones destinadas a informar y advertir a los usuarios parecen ser las más prometedoras a la hora de prevenir la propagación del virus, habida cuenta también de su impacto más limitado en la intimidad, y en la actualidad varios Estados miembros están considerando su utilización.

Además, destaca que, la eficacia de estas aplicaciones móviles, depende de una serie de factores. Entre estos factores se encuentra la penetración entre los usuarios, es decir, el porcentaje de la población que utiliza un dispositivo móvil y, dentro de ese grupo, el porcentaje que ha descargado la aplicación, ha otorgado su consentimiento para el tratamiento de sus datos personales y no ha retirado dicho consentimiento. 

Otros factores importantes son la confianza de la población en que los datos estarán protegidos por medidas adecuadas de seguridad y se utilizarán exclusivamente para alertar a las personas que puedan haber estado expuestas al virus, el refrendo de las autoridades de salud pública, la capacidad de las autoridades sanitarias para tomar medidas basadas en los datos generados por la aplicación, la integración y el intercambio de datos con otros sistemas y aplicaciones, o la interoperabilidad transfronteriza e interregional con otros sistemas.

Por lo que, a fin de garantizar que estas aplicaciones cumplan el objetivo declarado de vigilancia epidemiológica, es preciso que las políticas, los requisitos y los controles en que se apoyen estén armonizados y sean aplicados de forma coordinada por las autoridades sanitarias nacionales responsables. Pues, a fin de detectar los encuentros de proximidad entre usuarios de distintas aplicaciones de seguimiento de contactos (una situación que se producirá con mayor probabilidad entre personas que atraviesen fronteras nacionales o regionales), es conveniente prever la interoperabilidad entre aplicaciones. 

La experiencia de varios Estados miembros que han empezado a introducir aplicaciones de seguimiento de contactos demuestra que, para lograr una mayor aceptación, se requiere una gobernanza integrada para diseñar y llevar a la práctica las medidas, implicando a distintas autoridades además de las sanitarias (en particular las responsables de la protección de datos), así como al sector privado, a expertos, al ámbito universitario y a partes interesadas como los grupos de pacientes. 

Asimismo, para que la aplicación se acepte y tenga éxito, es fundamental una amplia comunicación al respecto.

Además, determinadas empresas, en particular proveedores de servicios de telecomunicación y grandes plataformas tecnológicas, ya han puesto a disposición de las autoridades públicas datos de localización anonimizados y agregados. Estos datos son necesarios para la investigación dirigida a combatir el virus, la modelización destinada a comprender la forma en que el virus se propagará y la modelización de los efectos económicos de la crisis. 

En particular, los datos ayudarán a entender y modelizar las dinámicas espaciales de la epidemia, así como a determinar la repercusión de las medidas de distanciamiento social (limitaciones de viaje, cese de actividades no esenciales, confinamiento total, etc.) en la movilidad. 

Esto resulta fundamental, en primer lugar, para contener los efectos del virus y determinar las necesidades, especialmente en cuanto a equipos de protección individual y unidades de cuidados intensivos, y, en segundo lugar, para respaldar la estrategia de salida con modelos basados en datos que señalen los posibles efectos de relajar las medidas de distanciamiento social.

Y, además, para las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud, sería útil disponer de un mayor acceso a información esencial para analizar la evolución del virus y valorar la eficacia de las medidas de salud pública.

Visto lo anterior, la Recomendación Europea, establece lo siguiente para las apps europeas sobre el COVID-19:

  1. En esencia, sugiere para el mercado único europeo una herramienta app única e interoperable entre los países miembros y distintos actores para informar al público y ayudar a las autoridades públicas pertinentes en sus esfuerzos por contener la propagación del virus o para permitir que las organizaciones sanitarias intercambien datos sobre la salud, proporcionándoles datos suficientes y precisos para comprender la evolución y la propagación del virus causante de la COVID-19, así como sus efectos. De igual modo, porque estas tecnologías pueden empoderar a los ciudadanos para que adopten medidas eficaces y más selectivas de distanciamiento social.
  2. Entiende que, las apps de alerta y seguimiento, pueden desempeñar un papel importante en el rastreo de los contactos y, así, limitar la propagación de la enfermedad e interrumpir las cadenas de transmisión. Por lo tanto, combinadas con estrategias adecuadas de realización de pruebas y con el seguimiento de los contactos, entiende que las aplicaciones pueden ser especialmente importantes a la hora de proporcionar información sobre el nivel de circulación del virus, evaluar la eficacia de las medidas de distanciamiento físico y confinamiento y orientar las estrategias de desescalada.
  3. Establece un plan común para el uso de datos anonimizados y agregados sobre la movilidad de la población a fin de i) modelizar y predecir la evolución de la enfermedad, ii) controlar la eficacia de la toma de decisiones de las autoridades de los Estados miembros en lo referente a medidas como el distanciamiento social y el confinamiento, y iii) obtener información de cara a una estrategia coordinada para la salida de la crisis de la COVID-19.
  4. Entiende que dichas apps han de garantizar que toda medida adoptada sea conforme con el Derecho de la Unión, en particular el Derecho en materia de “productos sanitarios” y de protección de datos personales, así como los demás derechos y libertades consagrados en la Carta de los Derechos Fundamentales de la Unión. En particular establece que, el conjunto de instrumentos, se complementará con orientaciones de la Comisión, especialmente en lo referente a las implicaciones en materia de protección de datos y de la intimidad que tiene el uso de aplicaciones móviles de alerta y prevención.
  5. Fundamenta dichas apps en los siguientes cuerpos legislativos:
    1. La Decisión n.° 1082/2013/UE del Parlamento Europeo y del Consejo, por la cual se establece normas específicas en materia de vigilancia epidemiológica, seguimiento, alerta precoz y lucha contra las amenazas transfronterizas graves para la salud. En particular, su art. 2, apartado 5, exige que la Comisión garantice, en colaboración con los Estados miembros, la coordinación y el intercambio de información entre los mecanismos y estructuras que se establezcan.
    2. La Directiva 2011/24/UE del Parlamento Europeo y del Consejo, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, para conseguir unos beneficios económicos y sociales sostenibles merced a sistemas y servicios europeos de sanidad electrónica y a aplicaciones interoperables que permitan alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de los cuidados y garantizar el acceso a una asistencia sanitaria segura y de calidad. De hecho, establece que la Unión apoyará y facilitará la cooperación y el intercambio de información entre los Estados miembros dentro de una red voluntaria que conecte a las autoridades nacionales encargadas de la sanidad electrónica que designen los Estados miembros («red de sanidad electrónica»).
    3. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el cual se establece las condiciones por las que se rige el tratamiento de los datos personales, incluidos los de carácter sanitario. Tales datos pueden tratarse, entre otras circunstancias, cuando el interesado dé su consentimiento explícito o cuando el tratamiento resulte en interés público, según lo especificado en el Derecho de los Estados miembros o en el Derecho de la Unión, en particular con fines de supervisión y de alerta o de prevención y control de enfermedades transmisibles y otras amenazas graves para la salud.
    4. La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, por el cual se establece las normas aplicables a los datos de tráfico y de localización, así como al almacenamiento de información y a la obtención de acceso a la información almacenada en el equipo terminal, por ejemplo un dispositivo móvil, del usuario o abonado. Con arreglo al artículo 5, apartado 3, de dicha Directiva, tal almacenamiento u obtención de acceso solo se permite en circunstancias estrictamente definidas o en virtud del consentimiento otorgado por el usuario o abonado, tras haber recibido información clara y completa, de conformidad con los requisitos del Reglamento (UE) 2016/679. Además, el artículo 15, apartado 1, de dicha Directiva permite a los Estados miembros adoptar medidas legales para limitar el alcance de determinados derechos y obligaciones establecidos en la Directiva, incluidos los que contempla su artículo 5, cuando tal limitación constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática para alcanzar determinados objetivos.
    5. Y, en la medida en que algunas de estas aplicaciones móviles podrían considerarse productos sanitarios si están destinadas por el fabricante a ser utilizadas, entre otros fines, para el diagnóstico, la prevención, el seguimiento, la predicción, el pronóstico, el tratamiento o el alivio de una enfermedad, entiende que entrarán en el ámbito de aplicación del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo (7) o en el de la Directiva 93/42/CEE del Consejo (8). Por lo que, en el caso de las aplicaciones de autodiagnóstico y análisis de síntomas, se debería determinar su posible calificación como productos sanitarios, de acuerdo con el marco regulador de dichos productos [Directiva 93/42/CEE o Reglamento (UE) 2017/745], en la medida en que proporcionen información relacionada con el diagnóstico, la prevención, el seguimiento, la predicción o el pronóstico.
  6. Además de también involucrar a varios organismos europeos y la opinión de todos los interesados e incluso de la comunidad internacional, en su énfasis para respetar todos los derechos fundamentales, establece que el conjunto de instrumentos debe:
    1. limitar estrictamente el tratamiento de datos personales a la lucha contra la crisis de la COVID-19 y velar por que los datos personales no se utilicen para otros fines, como la coerción o con fines comerciales;
    2. garantizar la revisión periódica de la necesidad continuada del tratamiento de datos personales para la lucha contra la crisis de la COVID-19 y establecer cláusulas de extinción adecuadas, con el fin de velar por que el tratamiento no se extienda más allá de lo estrictamente necesario para dichos fines;
    3. adoptar medidas para garantizar que, una vez que el tratamiento ya no sea estrictamente necesario, se ponga realmente fin a este y los datos personales correspondientes sean destruidos de forma irreversible, a menos que, en opinión de los consejos de ética y las autoridades de protección de datos, su valor científico al servicio del interés público sea mayor que la repercusión sobre los derechos en cuestión, sujeto a las salvaguardias adecuadas.
  7. Entiende que, la prioridad principal del conjunto de herramientas, ha de ser un enfoque paneuropeo para las aplicaciones móviles relacionadas con la COVID-19, que deben desarrollar conjuntamente los Estados miembros y la Comisión, a más tardar el 15 de abril de 2020. Establece que, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, participarán en el proceso. Este enfoque consistirá en lo siguiente:
    1. especificaciones que garanticen la eficacia de las aplicaciones móviles de información, alerta y rastreo para combatir la COVID-19 desde el punto de vista médico y técnico; 
    2. medidas para prevenir la proliferación de aplicaciones que no sean compatibles con el Derecho de la Unión, desarrollar los requisitos de accesibilidad para las personas con discapacidad y propiciar la interoperabilidad y la promoción de soluciones comunes, sin excluir una eventual aplicación paneuropea;
    3. mecanismos de gobernanza aplicables por las autoridades públicas sanitarias y cooperación con el ECDC;
    4. la identificación de buenas prácticas y mecanismos para el intercambio de información sobre el funcionamiento de las aplicaciones, así como
    5. intercambio de datos con los organismos públicos epidemiológicos y las instituciones públicas de investigación en el ámbito de la salud pertinentes, incluidos los datos agregados al ECDC.
  8. Para lo anterior, insiste en que, las autoridades de los Estados miembros, representadas en la red de sanidad electrónica, deben fijar un proceso de intercambio de información y velar por la interoperabilidad de las aplicaciones cuando se prevean situaciones transfronterizas.
  9. En lo que atañe específicamente al uso de aplicaciones móviles de alerta y prevención sobre la COVID-19, establece que deben respetarse los principios siguientes:
    1. salvaguardias que garanticen el respeto de los derechos fundamentales y eviten la estigmatización, en particular las normas aplicables en materia de protección de los datos personales y la confidencialidad de las comunicaciones;
    2. preferencia por el uso de las medidas menos intrusivas pero eficaces, como el uso de datos de proximidad y evitar el tratamiento de datos relativos a la localización o los movimientos de personas, así como el uso de datos anonimizados y agregados cuando sea posible;
    3. requisitos técnicos relativos a las tecnologías adecuadas (por ejemplo, Bluetooth de baja energía) para establecer la proximidad del dispositivo, el cifrado, la seguridad de los datos, el almacenamiento de datos en el dispositivo móvil, el posible acceso de las autoridades sanitarias y el almacenamiento de datos;
    4. requisitos de ciberseguridad efectivos para proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos
    5. la expiración de las medidas adoptadas y la supresión de los datos personales obtenidos a través de estas medidas a más tardar cuando se declare que la pandemia se encuentra bajo control
    6. la carga de datos de proximidad en caso de contagio confirmado y métodos adecuados de alerta a las personas que hayan estado en estrecho contacto con la persona contagiada, que seguirá manteniendo el anonimato, así como
    7. requisitos de transparencia sobre la configuración de privacidad para garantizar la confianza en las aplicaciones.
  10. Finalmente, establece que, el conjunto de herramientas, ha de ser un enfoque común respecto del uso de los datos agregados y anonimizados de movilidad necesarios para:
    1. modelizar, a fin de cartografiar y predecir la propagación de la enfermedad y su incidencia en las necesidades de los sistemas sanitarios de los Estados miembros, como, por ejemplo, las unidades de cuidados intensivos en los hospitales y los equipos de protección individual, y
    2. optimizar la eficacia de las medidas para contener la propagación de la COVID-19 y hacer frente a sus efectos, en particular el confinamiento (y el desconfinamiento), así como para obtener y utilizar dichos datos.
  11. Este enfoque debe incluir los elementos siguientes:
    1. el uso adecuado de datos de movilidad anónimos y agregados con vistas a la modelización, para comprender cómo se va a propagar el virus y modelizar los efectos económicos de la crisis;
    2. asesoramiento a las autoridades públicas para que verifiquen ante los proveedores de datos la metodología que han aplicado para anonimizar los datos y procedan a un examen de verosimilitud de la metodología aplicada;
    3. aplicación de salvaguardias para prevenir la desanonimización y evitar la reidentificación de personas, en particular garantías de unos niveles adecuados de seguridad de los datos y seguridad informática, y evaluación de los riesgos de reidentificación en caso de que los datos anonimizados se pongan en correlación con otros datos;
    4. supresión inmediata e irreversible de todos los datos tratados accidentalmente que permitirían identificar a las personas, y notificación a los proveedores de datos, así como a las autoridades competentes, de este tratamiento accidental y de la supresión de los datos;
    5. supresión de los datos, en principio, tras un período de 90 días o, en cualquier caso, a más tardar cuando la pandemia se declare bajo control, y
    6. restricción del tratamiento de los datos exclusivamente a los fines antes mencionados, y exclusión del intercambio de datos con terceros.
  12. En cuanto a los informes que prevé, son en esencia los siguientes:
    1. El enfoque paneuropeo para las aplicaciones móviles relacionadas con la COVID-19 se publicará el 15 de abril y será complementado con orientaciones de la Comisión sobre la protección de la intimidad y de los datos.
    2. A más tardar el 31 de mayo de 2020, los Estados miembros deberán informar a la Comisión acerca de las medidas adoptadas con arreglo a la presente Recomendación. Estos informes se enviarán de forma periódica mientras persista la crisis de la COVID-19.
    3. A partir de junio de 2020, la Comisión, basándose en estos informes de los Estados miembros, valorará los progresos realizados y el efecto de la presente Recomendación. La Comisión podrá formular nuevas recomendaciones a los Estados miembros, en particular sobre el calendario de las medidas aplicadas en los ámbitos cubiertos por la presente Recomendación.
Así pues, la RECOMENDACIÓN (UE) 2020/518 DE LA COMISIÓN de 8 de abril de 2020, en esencia, recomienda apps europeas (en realidad, una única e interoperable entre los países y distintos organismos y actores para evitar diferencias en el mercado único) para el COVID-19 en la misma línea de la app de Corea del Sur, pero en forma más garantista en la materia siguiendo los más fieles principios europeos en materia de los derechos fundamentales a la intimidad y protección de datos y, por tanto, alejándose de la app China bajo un país autoritario.

Leave a comment

10 − 6 =