Coronavirus y privacidad, ¿me espía el Gobierno?

Scroll down to content

Publicado por David Morro Cuenca.

Llevamos cinco semanas de confinamiento forzoso, camino ya de la sexta semana, desde que el día 15 de marzo de 2020 el Gobierno decretara el Estado de Alarma. Durante estas semanas hemos visto cómo valores tan necesarios como positivos, como la solidaridad, el espíritu de sacrificio y la unidad, han dejado a la vista una sociedad mucho más madura y comprometida con el bien común de lo que muchos creían. Así, estamos viendo al sector empresarial ponerse al servicio del bien común, efectuando donaciones económicas y/o materiales, al sector logístico gestionando los envíos y la recepción de material sanitario desde diversas partes del mundo y a la industria reinventándose para producir material sanitario. En definitiva, la clave para vencer en la lucha contra este virus está siendo la reinvención, la adaptación a este nuevo escenario.

¿Por qué el Gobierno saca una Orden para ver mi geolocalización justo ahora?

En este contexto están surgiendo multitud de aplicaciones móviles y herramientas desarrolladas con el objetivo de ayudar a frenar la expansión del COVID-19 (o SARS-CoV-2, como se le conoce en el ámbito científico), proteger la salud de todos y tratar de evitar, o al menos retrasar, el colapso del sistema sanitario. Todas estas herramientas, bien intencionadas sin duda, han surgido en un lapso muy breve de tiempo, con una gran dispersión y sin apenas coordinación y control, lo que sin duda ha generado cierta preocupación entre los usuarios, sobretodo en lo tocante a la protección de nuestros datos personales, y el uso que de ellos podrían hacer estas nuevas herramientas y aplicaciones móviles. 

La Orden SND/297/2020, ¿Licencia para espiar?

El pasado 28 de marzo, el Ministerio de Sanidad, publicó la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, que contempla el desarrollo de  actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. Esta Orden y las medidas que en ella se contienen han sido acogidas con mucho recelo por la sociedad, y esto es por una parte, porque nos falta sensibilización en cuanto a la protección de nuestros datos se refiere y, por otra parte, por la manera poco acertada de abordar este tema por parte de los medios que, en la mayoría de casos han optado por el titular de “brocha gorda” en lugar del rigor (quizá esto no sea culpa del medio en cuestión, sino del “experto” que asesora a ese medio). 

En este punto conviene remarcar que los datos médicos y datos relativos a la salud tienen una especial sensibilidad y gozan de una especial protección en nuestros ordenamientos jurídicos. De forma similar, el dato de la geolocalización es otro dato de carácter sensible, y ambas categorías de datos son las que esta Orden trata de canalizar y ordenar, por lo que es entendible el recelo con el que hemos acogido esta nueva Orden.

La Orden nace con un doble objetivo:

  • “Ofrecer canales alternativos de información fiable a los ciudadanos, a través de aplicaciones, asistente conversacional o página web que permitan aliviar la carga de trabajo de los servicios de emergencia de las Administraciones Públicas“.
  • Contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento, para ver cómo de dimensionadas están las capacidades sanitarias en cada provincia.”

Para lograr estos objetivos se ha encargado a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente de los siguientes servicios:

App de autoevaluación

Esta app permitirá al usuario realizar una autoevaluación con base en los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19. Además, la app ofrecerá información y recomendaciones sobre las acciones a seguir en función del resultado. Esta aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.

En cuanto a los roles en materia de protección de datos, el Ministerio de Sanidad será el Responsable del Tratamiento y la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital será  el Encargado del Tratamiento.

Chatbot de atención ciudadana

Es un asistente conversacional, o chatbot, que podrá ser utilizado vía WhatsApp u otras aplicaciones de mensajería instantánea. Proporcionará información oficial ante las preguntas que haga el usuario.

En cuanto a los roles en materia de protección de datos, el Ministerio de Sanidad será el Responsable del Tratamiento y la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital será  el Encargado del Tratamiento.

Web informativa

Web informativa con los recursos tecnológicos disponibles.

Estudio DataCovid-19

Este estudio pretende realizar un análisis de la movilidad de las personas en fechas previas al decreto del Estado de Alarma y durante el confinamiento. Para la realización de este estudio se cruzarán y compararán los datos de los operadores móviles, de manera agregada y anonimizada, es decir, de forma que sea imposible identificar a un usuario en concreto. Este estudio se realizará de acuerdo con el modelo empleado por el Instituto Nacional de Estadística (INE) en su estudio de movilidad.

El estudio de movilidad del INE generó controversia en su momento, sobre todo por la falta de transparencia con la que se llevó a cabo, obligando a la Agencia Española de Protección de Datos (AEPD) a intervenir solicitando información adicional al INE.

En este caso, en cuando a los roles en materia de protección de datos, el Responsable del Tratamiento será el INE. Los Encargados del Tratamiento serán los operadores de comunicaciones electrónicas y móviles, a los que se autoriza a recurrir a otros encargados.

En cuanto a estos “subencargados”, conviene remarcar que la ubicación de los sistemas de información y comunicaciones para el registro de datos deberán ubicarse y prestarse dentro del territorio de la Unión Europea (UE), pues según el Real Decreto-Ley 14/2019 de 31 de octubre, los datos y tratamientos de los mismos de usuarios del Sistema Nacional de Salud deben alojarse en servidores dentro del territorio de la UE, y los tratamientos de datos deben realizarse por empresas que radiquen en el territorio de la UE.  

Punto central de coordinación

La Orden habilita la creación de un Punto Central de Coordinación para evaluar las propuestas tecnológicas remitidas por otros organismos y entidades, con la finalidad de centralizar todas las iniciativas públicas y privadas que se han ido sucediendo desde que se decretó el Estado de Alarma, y las que vendrán en próximas fechas, evitando así situaciones de dispersión, optimizando los recursos tecnológicos disponibles.

Con esta Orden se ponen en marcha desde la Administración, con urgencia, soluciones tecnológicas que permitan optimizar y canalizar los recursos, los medios y la información disponibles, para garantizar la fiabilidad de la información, evitando así la propagación de bulos y de fake news, asegurar el respeto a los derechos y libertades de los ciudadanos y generar confianza en la sociedad en general.

Pues bien, como decía más arriba, no es de extrañar que esta Orden haya generado cierta controversia, sobretodo en lo relativo al dato de la geolocalización. Recordemos que este dato se empleará para elaborar el estudio de movilidad DataCOVID-19, por parte del INE.

En este supuesto el INE será el responsable del tratamiento de estos datos, y las operadoras móviles serán encargadas de tratamiento (un grado menor de responsabilidad), autorizándoles expresamente a subcontratar los servicios necesarios.

Nuestros datos de geolocalización y movilidad los tienen actualmente las operadoras móviles (cuando utilizamos la ubicación para enviársela a nuestros amigos por Whatsapp, o cuando usamos Google maps, por ejemplo), para que el INE tenga acceso a estos datos será necesaria una cesión previa de las operadoras, dando lugar a una comunicación de datos entre dos responsables de tratamiento, amparada por una norma, que en este caso es la Orden SND/297/2020.

Una vez realizada esta cesión, la monitorización de estos datos continuará hasta que finalice la crisis del coronavirus, y es en este punto en el que se traba la relación de responsable (INE) y encargado (operadoras) del tratamiento, que preceptúa la Orden.

¿Tiene el INE ya estos datos, y la Orden es sólo una forma de “enmascarar” esa situación? 

No parece muy probable porque el estudio de movilidad que en su día se anunció, estaba inicialmente muy acotado, en concreto el estudio se acotaba a «cuatro días laborales de noviembre (del 18 al 21); un domingo (el 24 de noviembre); un festivo (el 25 de diciembre); y dos días de verano (el 20 de julio y 15 de agosto, también festivo)».

¿Puede el Estado monitorizar mi geolocalización y tratar mis datos de salud sin mi consentimiento? ¿Esto es conforme a la normativa estatal y europea de protección de datos?

El reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, por el que se aprueba el Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD), contemplan ya estas situaciones de excepcionalidad. Concretamente, en el artículo 9.2 RGPD se contemplan una serie de excepciones que permiten el tratamiento de datos de salud, a saber:

  • Interés público en el ámbito de la salud pública (9.2.i), configurado en este supuesto como de interés público esencial (9.2.g).
  • Cuando sea necesario para la realización de diagnóstico médico (9.2.h).
  • Tratamiento necesario para la protección intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (9.2.c).

Por otra parte, la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública y la Ley 33/2011 General de Salud Pública establecen lo siguiente:

“con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

Por lo tanto, las autoridades sanitarias tienen competencias para adoptar las medidas necesarias previstas por la ley, para situaciones de crisis sanitaria y pandemia como la actual. Pero para ello es necesario que exista una norma, una decisión o una orden, como la que estamos analizando, que los responsables de los tratamientos de datos personales deberán seguir, incluso cuando conlleven un tratamiento de datos personales de salud. Todo ello, con el fin de salvaguardar nuestros derechos en cuanto a la protección de nuestros datos personales.

Por tanto, y pese a lo mucho que se está publicando al respecto, no parece que se vulnere ninguna norma en cuanto a las medidas anunciadas en esta Orden, el problema es más bien el contrario: la Orden “peca” por defecto, quedándose ciertamente corta y da la sensación que el Ministerio de Sanidad está temeroso de desarrollar sus competencias en plenitud.

Precisamente porque se queda corta, la Orden genera cierta inseguridad por cuanto que no se desarrolla al detalle cómo se van a mantener las garantías que el ordenamiento jurídico impone para el tratamiento de este tipo de datos, durante la ejecución, desarrollo y puesta en marcha de las medidas que plantea.

Como conclusión, podríamos afirmar que, en principio, existe un tratamiento de datos lícito. Habrá que estar pendientes y comprobar que se cumplen el resto de garantías, en particular las relativas a la proporcionalidad del tratamiento.

Ésta es una magnífica oportunidad para demostrar que, tanto el RGPD como la LOPD, no son una mera carga administrativa, sino que son un mecanismo fundamental para garantizar que no se cometan abusos en contra de nuestros derechos y libertades aún en situaciones extremas como las que estamos viviendo estos días. La protección de datos no es una barrera ni un lastre, sino un trampolín para avanzar en el camino del afianzamiento de nuestra Libertad, y no, el Gobierno no me espía.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: