El pasado 28 de marzo el Ministerio de Sanidad, a través de la Orden SND/297/2020, encomendaba a la Secretaría de Estado de Digitalización e Inteligencia Artificial el desarrollo de una aplicación móvil llamada “Asistencia Covid-19”. Además, por medio de esta Orden, se encomendaba también un estudio sobre la movilidad de los ciudadanos a través de los datos proporcionados por los operadores móviles.
¿Qué datos personales recoge esta aplicación?
La aplicación “Asistencia Covid-19” permite al usuario conocer si está infectado por Coronavirus a través de un cuestionario en el que debe facilitar su información personal como el nombre, apellidos, número de teléfono móvil, DNI o NIE para su posterior cruce con la tarjeta sanitaria, su dirección o fecha de nacimiento.
Según la Orden SND/297/2020, la aplicación debe permitir la geolocalización de los usuarios a los solos efectos de verificar que se encuentran en la Comunidad Autónoma en la que declaran estar con el fin de poderles ofrecer las mejores medidas preventivas y de evaluación en cada momento y conectarles con el sistema de atención sanitaria que les corresponda.
La geolocalización de los usuarios ha suscitado la preocupación y la desconfianza entre la población sobre la posible vulneración de su privacidad. No solo nuestro país ha adoptado este tipo de medidas, también han sido implantadas en Europa y en otros países del mundo como China y Corea del Sur.
¿Está legitimado el tratamiento de los datos de geolocalización?
Tras la lectura de la Política de Privacidad de la aplicación “Asistencia Covid-19”, Evolvers ha observado que el dato de geolocalización es un dato que se recaba de forma opcional, es decir, que el usuario puede o no ofrecer su consentimiento a dicho tratamiento.
Sin embargo, se prevé otra vía de obtención a través de la información del sistema operativo del dispositivo móvil desde el que se da de alta el usuario amparado en el interés público ante la actual situación de emergencia sanitaria.
Ello contradice la base de legitimación anterior ya que si la geolocalización es un dato que opcionalmente puede facilitar el usuario, sería dudosa la legalidad del tratamiento de los datos de localización GPS obtenidos por medio de la información facilitada por el dispositivo móvil sin su consentimiento.
Por su parte, el Comité Europeo de Protección de Datos, en su Guía 4/2020 de 21 de abril, ha considerado que el seguimiento sistemático y a gran escala de la ubicación de las personas físicas es una grave intrusión en su privacidad y que deben utilizarse técnicas de anonimización por medio de metodologías transparentes, no pudiendo sufrir ninguna desventaja aquellos usuarios que hubieran decidido no facilitar los datos de geolocalización.
Cabe resaltar que la Política de Privacidad hace referencia a la anonimización de todos los datos facilitados por los usuarios, incluso aquellos no relacionados directamente con las funcionalidades de la aplicación, con fines estadísticos, de investigación y archivo en interés público de tal forma que puedan conocerse, por ejemplo, las dinámicas actuales de la sintomatología en la población y su evolución.
¿Durante cuánto tiempo se conservarán los datos de los usuarios?
Respecto a la conservación de los datos parece claro que deberán destruirse cuando finalice la situación de crisis sanitaria. Así lo ha manifestado el Supervisor Europeo de Protección de Datos y así se contempla también en la Política de Privacidad de la aplicación en la que se añade que los datos anonimizados tendrán un plazo de conservación de un máximo de dos años.
Pese a todo, se hace necesario preguntarse si, previamente al tratamiento de los datos de los usuarios, se han realizado los análisis de riesgos correspondientes, así como una Evaluación de Impacto, tal y como obliga la regulación en materia de Protección de Datos.
Desde el pasado 3 de abril, el gigante tecnológico Google viene publicando reportes sobre datos de localización de sus usuarios en todo el mundo, con el objetivo de ayudar a los poderes públicos de 131 países (entre ellos España) a evaluar la eficacia de las medidas de distanciamiento social contra el COVID-19.
Estos datos revelan las tendencias generales de los movimientos en el tiempo y por zona geográfica de los ciudadanos. Google asegura que ninguna información personalmente identificable como el lugar, los contactos o los movimientos de una persona, serán puestos a disposición de terceros.
Por su parte, el Comité Europeo de Protección de Datos recuerda que los datos de ubicación recopilados por los proveedores de servicios de la sociedad de la información sólo pueden facilitarse a los mismos si han sido anonimizados previamente. De hecho, la Política de Privacidad prevé el acceso a los datos de la aplicación por parte de autoridades internacionales, sin concretar si este acceso constituye una cesión, un encargo de tratamiento o si este se produce con respecto a datos previamente anonimizados o no.
Vistos todos los antecedentes expuestos, desde Evolvers ponemos el acento en que la aplicación debe profundizar en el derecho a la privacidad de los ciudadanos a quien se ofrece su uso y mejorar su Política de Privacidad de tal forma que cumpla con la regulación en materia de Protección de Datos, especialmente en el ámbito de las transferencias internacionales de datos y la metodología de anonimización utilizada.
Asimismo, advertimos que, debido a que los datos tratados son de salud, esto es, datos sensibles según la normativa, debe existir una concienzuda evaluación de impacto (EIPD) previa a su tratamiento, así como un sistema de verificación de los consentimientos recabados de los usuarios.