En el post anterior de este blog de Conversia, hablábamos sobre cómo España utilizará los datos de los dispositivos móviles facilitados por las teleoperadoras para estudiar la expansión del COVID-19. Hoy queremos analizar la posible incidencia que tienen, a nivel de privacidad y protección de datos personales, las aplicaciones lanzadas para comprobar y llevar un seguimiento de los síntomas del virus.

Aplicación de autoevaluación de la Comunidad de Madrid

El miércoles 18 de marzo, la Comunidad de Madrid hizo pública la aplicación y página web Covidapp. Se trataba de una herramienta que quería prevenir el contagio del virus COVID-19 a través del autodiagnóstico de los usuarios. La app formulaba 8 preguntas relacionadas con  síntomas, y en base a lo que se iba respondiendo se iba sumando una puntuación. Si esta era superior a 30, el sistema te informaba que era posible que tuvieses el virus y te explicaba los pasos a seguir.

Pero no tardaron en saltar las alarmas entorno a la privacidad de esta app. Las condiciones legales especificaban que a la información facilitada en la aplicación “tienen acceso” las empresas privadas Google, Telefónica, Carto, Ferrovial, Goggo Network, Forcemanager y Mendesaltren, desarrolladores de la herramienta. Aclaraba que este acceso sería “eventual” y que los datos serían anonimizados cuando terminara la emergencia sanitaria y solo se conservarían para fines de investigación.

La misma semana que se lanzó esta aplicación, más de 60 personas relacionadas con el mundo académico y jurídico firmaban un manifiesto en el que mostraban su preocupación en referencia a la gestión de la privacidad y los datos personales de los ciudadanos por parte del Gobierno y de empresas privadas.

Comunicado de la AEPD sobre apps y webs de autoevaluación

Unos días más tarde, la Agencia Española de Protección de Datos (AEPD) emitía un comunicado en su página web en el que hacía referencia a estas aplicaciones que trataban un gran volumen de datos personales muy sensibles, como los sanitarios. La Agencia recordaba que esta situación de emergencia “no puede suponer una suspensión del derecho fundamental a la protección de datos personales”. Sin embargo, añadía que “la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la pandemia”.

Por este motivo, la AEPD recordaba los criterios que debían adoptarse para que el tratamiento de los datos personales de estas aplicaciones fuera lícito:

Interés público / garantizar intereses vitales de los afectados.

  • Finalidades relacionadas con el control de la pandemia.
  • Los datos que pueden obtenerse tienen que ser considerados proporcionados/necesarios por parte de las autoridades públicas competentes.
  • Los datos deben ser facilitados por mayores de 16 años (en caso de menores, es necesario la autorización de los representantes legales).
  • Solo podrán tratar los datos las autoridades públicas competentes.
  • Las entidades privadas que colaboren con dichas autoridades públicas sólo podrán utilizar los datos conforme a las instrucciones de estas.

Además, la Agencia recomendaba a los ciudadanos que fueran especialmente cuidadosos a la hora de informarse de quién, para qué y con qué garantías se tratarían sus datos personales.

Otras aplicaciones para la detección del COVID-19

La Comunidad de Madrid no es la única autoridad que ha lanzado una aplicación móvil de autoevaluación. Pocas horas después de la puesta en funcionamiento de Covidapp, Catalunya puso en funcionamiento la app STOP Covid-19 CAT. Al cabo de unos días, el Gobierno Vasco ponía en marcha la aplicación COVID-19.EUS, junto con la empresa vasca EricTel. La misma compañía Apple también publicaba su propia aplicación en su mercado y la Organización Mundial de la Salud (OMS) y el Gobierno Español explicaban que ya estaban diseñando sus apps.

Ante este escenario y en plena crisis sanitaria, hay expertos en epidemias que piden que todos los datos obtenidos se utilicen para frenar la expansión del virus: comprobar los positivos, avisar a las personas que han estado en contacto con contagiados, verificar que se están cumpliendo los aislamientos, cuarentenas y confinamiento, etc. Sin embargo, los defensores de la privacidad y la protección de datos recuerdan que el uso de toda esta información podría comprometer y vulnerar uno de los derechos fundamentales de los ciudadanos europeos, recogido en el Reglamento General de Protección de Datos.

Lee más noticias relacionadas con la privacidad y la protección de datos en la crisis sanitaria del COVID-19 en este blog de Conversia.