El pasado 15 de septiembre os informábamos en nuestro blog  Esfera Digital de la plena operatividad de la app Radar Covid en España. Casi un año más tarde, la aplicación de rastreo no solo no ha cumplido con su objetivo, sino que, además, afronta dos procesos sancionadores por violación del Reglamento General de Protección de Datos (RGPD). En este post de Conversia te contamos todos los detalles.

Dos demandas de ONG Rights International y Reclamadatos

Medio año después del inicio de la pandemia, las aplicaciones de rastreo parecían ser una buena solución para disminuir el contagio de la Covid-19. Sin embargo, nada más lejos de la realidad: en España solo se descargaron la aplicación Radar Covid un 15% de la población, de manera que su efectividad fue prácticamente nula. A pesar de que la app se basaba en la conectividad bluetooth y el gobierno aseguró que no se vulneraba en ningún momento la privacidad de los usuarios, ahora la Agencia Española de Protección de Datos (AEPD) ha abierto dos procesos sancionadores  contra el Ministerio de Sanidad y contra el Ministerio de Economía por posible vulneración del RGPD.

Concretamente, tal y como señalan desde el portal Newtral.es, en otoño de 2020 la AEPD admitió a trámite las demandas de la ONG Rights International Spain, así como la de un particular, Pau Enseñat, director ejecutivo de la organización Reclamadatos, que alertaban que la aplicación Radar Covid no cumplía con las directrices marcadas por el RGPD. Por un lado, desde Rights International Spain solicitaron durante meses la evaluación de impacto que era obligatoria para poner en marcha una aplicación de este tipo y apuntaban a la existencia de «irregularidades con respecto a la publicación del código de la aplicación». Por otro lado, Enseñat de Reclamadatos interpuso una demanda en la que comparaba aspectos legales y jurídicos de Radar Covid frente a aplicaciones análogas puestas en marcha por otros gobiernos europeos: «en comparación con las aplicaciones de Italia y Alemania, Radar Covid no especifica de forma suficientemente clara en la Política de Privacidad las distintas finalidades del tratamiento y las respectivas bases legitimadoras, ni los plazos de conservación de los datos para fines de investigación científica o histórica o fines estadísticos, tal y como determina el Comité Europeo de Protección de Datos». Asimismo, el particular también solicitó que se informara sobre el código fuente de la aplicación, uno de los requisitos que imponía el Comité Europeo de Protección de Datos.

Apercibimiento para los ministerios

Con la llegada de la pandemia, el Comité Europeo de Protección de Datos publicó una serie de  directrices específicas que tenían que cumplir todas las aplicaciones de rastreo de contactos, entre ellas, la necesidad de realizar una evaluación de impacto y recomendando “encarecidamente” que esta se publicara para que fuera accesible para todo el mundo. En este sentido, Rights International Spain estuvo durante meses solicitando la evaluación de impacto al Gobierno y, a pesar que la Secretaría de Digitalización e Inteligencia Artificial (SEDIA) prometió que facilitaría el informe antes de que acabara el año, este no se publicó hasta finales de enero.  

Enseñat (Reclamadatos) explicó en varios medios de comunicación que entre septiembre y hasta enero “en la política de privacidad hubo muchísimos cambios”. “Muchas de las cosas que denunciamos en la primera reclamación las corrigieron, las cambiaron”. Pero, al parecer, la evaluación de impacto que acabó publicando la SEDIA no recogía el histórico de todas las modificaciones que se habían ido realizando, sino que era una foto de la aplicación en enero de 2021.

A diferencia de otros países, en España un organismo público no puede ser sancionado económicamente. La AEPD solo puede apercibir a los ministerios, tal y como establece el punto 2 del artículo 77 de la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales.

Puedes leer más noticias relacionadas con la protección de datos en este blog de Conversia.