En los últimos compases vividos de la actual Pandemia por la COVID19 se ha demostrado que la detección temprana de casos sospechosos de COVID19 y la trazabilidad epidemiológica del paciente infectado son actuaciones esenciales para controlar la propagación del virus.

Los famosos rastreadores sanitarios se han convertido en la herramienta principal mediante la que llevar a cabo, valga la redundancia, las medidas de rastreo necesarias gracias a las cuales lograr trazabilidad y contención de la propagación de la COVID19.

Desde el comienzo de la pandemia, se han estudiado y desarrollado diversas soluciones tecnológicas para enfrentarnos a la propagación y contagios masivos de la COVID19 de forma descontrolada e indocumentada por parte de las autoridades nacionales competentes.

El objetivo de soluciones como la App Radar COVID puede situarse entre las medidas organizativas y operativas que buscan maximizar la eficacia del rastreo y la propagación de contagios. Pero, ¿se ajusta esta estrategia y sus objetivos a los criterios de legitimación y proporcionalidad en relación con la privacidad y las libertades de los ciudadanos?

¿Qué es Radar COVID?

La aplicación Radar COVID es una APP de seguimiento de contactos por blueetoth (Contact Trace App por su denominación anglosajona) gracias a la cual nuestro smartphone registra los contactos que hemos tenido con otros usuarios de la APP para generar un rastreo. Radar COVID genera un identificador que emplea la tecnología blueetooth de nuestros smartphones para enviar e intercambiar identificadores con otros usuarios con los que interaccionemos en un radio de acción predeterminado.

Esta sería la primera capa o nivel de funcionamiento de la aplicación, la creación de un mapa de interacciones y contactos ordenado en el tiempo que se almacena en el smartphone de cada usuario. El mapa de contactos e interacciones autogenera un historial de 14 días. Es decir, sólo registra las interacciones del usuario durante los últimos catorce días, borrando y desechando las interacciones e identificadores más antiguos.

La segunda capa de funcionamiento de la aplicación entra en juego en el momento en el que uno de los usuarios de la aplicación informa y declara a través de la aplicación que se ha infectado de COVID19. Una vez confirma en la aplicación que ha sido diagnosticado de COVID19, la aplicación solicita el permiso al usuario para enviar al servidor de Radar COVID el mapa de contactos e interacciones generado en los últimos 14 días.

En ese preciso momento, la aplicación verifica mediante las señales de rastreo intercambiadas, los patrones de contacto y su nivel de riesgo. La finalidad es notificar a los posibles terceros afectados, quienes deberán valorar con base en su responsabilidad social, si confinarse, contactar con los servicios sanitarios o solicitar la realización de una prueba de diagnóstico.

¿Qué implicaciones para mi privacidad tiene Radar COVID?

La duda fundamental que surge entorno al funcionamiento operativo de Radar COVID es cómo se respeta la privacidad de los usuarios. En puridad, estamos ante una ponderación del derecho individual a la privacidad y a la protección de datos personales en relación con la salud pública como interés superior.

En cierto sentido, la realización de estos mapas podría implicar la definición de relaciones entre personas e identificación de la geolocalización del usuario. Infringiendo tanto su derecho a la privacidad, como de todos aquellos usuarios cuyos tokens de identificación se están recopilando, provocándose un tratamiento de datos sinalagmático entre el propio usuario y los demás terceros con los que ha estado en contacto que deberá cumplir con los principios y la normativa de Protección de Datos.

Desde la Secretaria de Estado de Digitalización e Inteligencia Artificial (SEDIA) afirman que a este identificador no se le transfiere ningún dato personal o de identificación real del usuario sino un apodo de su identidad generado mediante claves aleatorias no vinculables al usuario, considerando que no existe prima facie un tratamiento de datos personales según define el Considerando 26 del RGPD.

Asimismo, aseguran haber seguido las directrices y estándares de la Recomendación UE 2020/518 de la Comisión Europea para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19. Así como los estándares de seguridad de la información y privacidad más actuales orientados a proteger la privacidad de los usuarios y la protección de sus datos personales.

Radar COVID y RGPD

En lo referente al análisis puramente normativo de protección de datos, la aplicación Radar COVID suscita controversia en cuanto a que, en puridad, se interrelaciona la privacidad en general del individuo con la categoría especial de  los datos de salud del usuario.

¿Y como encaja el funcionamiento de Radar COVID con el RGPD ante un eventual escenario en el que si hubiese tratamiento de datos personales?

A comienzos de la Pandemia de COVID19, la Agencia Española de Protección de Datos se pronunció en su Informe 17/2020 de 12 de marzo, que en el contexto de emergencia sanitaria en el que nos encontramos, el Reglamento General de Protección de Datos otorga legitimidad y licitud a aquellos tratamientos de datos personales que:

  • Sean necesarios para proteger intereses vitales del interesado u otras personas físicas (Art. 6.1 d).
  • Sean necesarios por razones de interés público (Art. 6.1 e).

El problema que suscita la presente casuística deriva de la categoría de datos tratados, siendo datos especialmente protegidos al tratarse de los datos de salud del interesado. En el mismo informe, la AEPD recuerda que el RGPD dispone en su Art. 9.2 que la protección de estas categorías de  datos especialmente sensibles no es total y absoluta, sino que podrán ser objeto de tratamiento siempre y cuando:

  • Se recabe el consentimiento explícito del interesado (Art. 9.2 a)
  • El tratamiento sea necesario por razones de interés público esencial (Art. 9.2 g)
  • El tratamiento de estos datos se deba a razones de interés público en el ámbito de la salud pública (Art. 9.2 i).

Estos criterios recogidos en el Informe 17/2020 se emitieron como marco jurídico de aplicación generalizada del RGPD en cuanto al tratamiento de datos de salud en los actuales tiempos de Pandemia, no haciendo referencia específica a las implicaciones en materia de protección de datos que tienen este tipo de soluciones tecnológicas como la aplicación Radar COVID.

A este respecto, queda por saber cómo se pronunciará la Agencia Española de Protección de Datos en ese esperado Informe de Evaluación de Radar COVID esperado para mediados de septiembre.

En Letslaw somos especialistas en Privacidad y Protección de Datos. Además mantenemos informados a todos nuestros clientes y usuarios de las novedades más importantes de las implicaciones jurídicas del Coronavirus.