Aplicacions mòbils: Utilització de les nostres dades en situacions excepcionals - Recomanació UE 2020/518
La información sobre nosotros y su tratamiento tecnológico es de gran valor para la lucha contra las crisis, como lo sería para la del COVID-19, tanto para entidades públicas como para los empresarios privados. ¿Porqué?
- Estamos conectados diariamente a la red (Internet) y por eso es más fácil saber sobre nosotros – Seguimiento del estado de salud y movilidad, por ejemplo.
- Alguna información sobre nosotros es una herramienta útil para las autoridades para poder tomar consecuentes medidas a partir del análisis de esos datos – Medidas de contención: Limitar la propagación de la enfermedad e interrumpir las cadenas de transmisión
- Permite tener mejor información o mayor calidad de datos sobre el estado de salud de forma actualizada.
- Permite afrontar de forma organizada y solidaria en toda Europa medidas para:
- Modelizar y predecir evolución de la enfermedad;
- Asistencia sanitaria;
- Orientación ciudadana;
- Evaluar la eficacia de medidas;
- Estrategias coordinadas;
- Estabilidad económica;
- Gestión de la forma de vida, etc.
A raíz del estado de alarma del COVID-19 se han desarrollado diferentes aplicaciones móviles, públicas y privadas, que tratan información altamente sensible sobre nosotros, como los datos de salud o geolocalización. La Comisión Europea ha publicado la Recomendación UE 2020/518 destinada a regular y fomentar el intercambio de datos entre empresas y administraciones para el interés público, que, no obstante, deberán complementarse con medidas adicionales, en especial de seguridad técnica.
Pero no toda acción de tratamiento de estos datos es lícita y legal.
Un estado de alarma no puede servir para saltarse los derechos y libertades fundamentales, en particular el derecho a la intimidad y a la protección de los datos personales de los ciudadanos; y esto ha sido reiterado tanto por la Comisión Europea, como por distintos Organismos internacionales, como, la European Data Protection Board (EDPB), y la propia Agencia Española de protección de Datos. ¿Qué es lo más importante entonces? que los Estados garanticen un alto grado de confianza y seguridad en la adopción de estas medidas excepcionales de uso de nuestros datos:
Ciberseguridad y privacidad
El uso de estas tecnologías y el uso de nuestra información afecta al ejercicio de nuestros derechos fundamentales, y por ellos es necesario regularlo muy bien. No debe ser una puerta trasera que permita a los Estados o terceros para controlarnos más de lo que ya están haciendo y desean en el S. XXI.
Antes del COVID-19, ya existía una regulación que impulsa la colaboración y trabajo coordinado de los Estados, en situaciones excepcionales contra amenazas a la salud pública, como son:
(1). Decisión N.° 1082/2013/UE, sobre normas específicas en materia de vigilancia epidemiológica, seguimiento, alerta precoz y lucha contra las amenazas transfronterizas graves para la salud.
(2). Directiva 2011/24/UE, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza. Esta Directiva, entre otros objetivos, tiene el de la cooperación e intercambio de información entre los Estados miembros, y la interoperabilidad de los sistemas y servicios europeos de sanidad electrónica, que permitan alcanzar confianza y seguridad, mejorar la continuidad de los cuidados, y garantizar el acceso a una asistencia sanitaria segura y de calidad.
(3). Decisión de Ejecución (UE) 2019/1765, sobre normas para el establecimiento, la gestión y el funcionamiento transparente de la red de sanidad electrónica, en el ámbito de la investigación.
Y más concretamente:
(4). Reglamento (UE) 2016/679, relativo a la protección de las personas físicas (RGPD); estableciendo que el uso o tratamiento de datos sanitarios de las personas sólo será válido (entre otras circunstancias), cuando:
- el interesado dé su consentimiento explícito;
- el tratamiento resulte en interés público, en particular con fines de supervisión y de alerta o de prevención y control de enfermedades transmisibles y otras amenazas graves para la salud.
- Y en cualquiera de los casos, debiendo establecer de forma clara y específica:
- El propósito,
- Los medios del tratamiento,
- Qué datos deben tratarse,
- Por quién.
(5). Directiva 2002/58/CE, relativa a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas); que establece las normas aplicables a los datos de tráfico y de localización, así como, al almacenamiento de información y a la obtención de acceso a la información almacenada en el equipo terminal (ejemplo. Un móvil). En esta directiva se reitera la necesidad de que el individuo reciba información clara y completa conforme al RGPD, sólo permitiéndose la recogida de dicha información del dispositivo electrónico:
- En circunstancias estrictamente definidas,
- En virtud del consentimiento otorgado por el usuario o abonado,
- Por el propio Estado, cuando necesite limitar los derechos del individuo para alcanzar determinados objetivos de interés general, cuando esa medida sea:
- Necesaria,
- Proporcionada,
- Apropiada en una sociedad democrática.
Como he comentado, las aplicaciones móviles que se han desarrollado a partir del COVID-19 han sido tanto por parte de Estados cómo por entidades privadas, y algunas de ellas de uso general y otras para grupos cerrados de usuarios, como empresas o puestos de trabajo. ¿Cuáles son las funcionalidades de estas aplicaciones móviles?
- Informar y asesorar/advertir a los ciudadanos (a menudo con cuestionarios de autodiagnóstico, pero sólo como medida sensibilizadora). Los expertos dicen que es la medida más idónea para la prevención, además de la más limitada en el impacto a la intimidad de las personas;
- Seguimiento médico de las personas con síntomas (a menudo con cuestionarios de autodiagnóstico). En algunos casos y según el Reglamento (UE) 2017/745 o la Directiva 93/42/CEE podría considerarse que son productos sanitarios por el hecho de diagnósticos, pronósticos médicos, etc.;
- Interrumpir las cadenas de contagio advirtiendo a las personas que han estado cerca de una persona infectada (a menudo con geolocalización);
- Control del cumplimiento de la cuarentena de las personas infectadas (a menudo con cuestionarios de autodiagnóstico y geolocalización).
Pero la eficacia y utilidad de estas aplicaciones, no sólo depende de que estén bien hechas, y de que sean seguras técnica y jurídicamente, sino del porcentaje de la población o grupo de personas que la utilizan, es decir, que un factor esencial para el éxito de estas aplicaciones es que las personas den el consentimiento, porque, en muy raros casos se puede imponer su uso como obligatorio; en principio, siempre se debe requerir el consentimiento individual, y la posibilidad de retíralo en cualquier momento, así como, el posterior borrado o bloqueo de los datos facilitados, independientemente de que estas aplicaciones informáticas traten datos personales, o datos anonimizados y agregados (estadísticos). Y tampoco debemos minusvalorar que, el uso de estas aplicaciones puede provocar un efecto negativo en la sociedad, como el de la estigmatización de personas, hecho que influirá decisivamente en la operativa final de los sistemas.
Además, para que la aplicación se acepte por el ciudadano y tenga alcance a nivel transfronterizo y global, es preciso que su política y gestión sean aplicados de forma coordinada por las autoridades sanitarias nacionales responsables, no sólo en el ámbito de la EU sino internacional. Como es sabido, el mercado siempre produce muchas alternativas de productos con servicios similares; pero para la lucha contra el COVID-19 y otras pandemias es conveniente prever la interoperabilidad entre todas las aplicaciones (enfoque paneuropeo o internacional), porque ¿hemos pensado en las transmisiones transfronterizas de ciudadanos de distintas nacionalidades? ¿Sería lícito intercambiar información de distintos Estados, regiones, o distintas aplicaciones? ¿Cómo? ¿Siempre se me ha de pedir el consentimiento?
Desde hace tiempo, algunas empresas de telefonía móvil ya han puesto a disposición de los Estados datos de la geolocalización de nuestros dispositivos móviles (básicamente por las tarjetas SIM), que han sido muy útiles para controlar el cumplimiento de las medidas de distanciamiento social y confinamiento, es decir, cuando nos movemos con estos dispositivos, el Estado puede saber si somos buenos y obedientes, y en el caso de cumplimiento por parte de la ciudadanía, si es una medida efectiva (siempre comparando con otros datos a disposición de la administración pública, como el número de infectados).
No obstante, hay que tener presente que este intercambio de información sólo ha sido posible, sin un consentimiento directo nuestro, por la declaración de estado de alarma y por tratarse de datos anonimizados o agregados, por lo que, el Estado no sabe a quién pertenece esa información de movimientos, al no poder cruzar ficheros de titularidad de las tarjetas SIM; eso sí, no olvidemos que desde siempre el proveedor de servicios de telecomunicación y las grandes plataformas tecnológicas saben nuestra identidad y movimientos.
Pero qué pasa en la actualidad y cuál es la tendencia de los Gobiernos; los Estados necesitan y quieren más información individualizada e identificativa nuestra, de salud o de costumbres, porque la información es poder y la información permite tomar medidas más ajustadas a la realidad de cada individuo. Como se ha comentado más arriba, esto supondría claramente una limitación del ejercicio de los derechos y libertades reconocidos en la Carta de los Derechos Fundamentales, por lo que ese tratamiento de información sólo será lícito si se cumple todas y cada una de las siguientes condiciones, para cada medida a adoptar:
Ha de ser temporal, revisada periódicamente durante su funcionamiento y garantizando la destrucción de los datos en todos los lugares de tratamiento o acceso de la información (deben conservarse como máximo 90 días o en el periodo de duración de la pandemia);
- Enfocarse estrictamente a lo necesario para combatir la crisis sanitaria, y no mantenerse en vigor con posterioridad;
- Ha de ser justificada;
- Ha de ser proporcional;
- Ha de ser lo menos intrusivas a la privacidad;
- No ha de existir otra alternativa;
- Adecuada tecnológicamente en relación a usos y fines;
- Minimizar los datos tratados (adecuados y pertinentes, limitándose a lo necesario para combatir la crisis sanitaria), en la recogida, tratamiento y en el posible archivo por interés científico-estadístico; y anonimizar de forma real e irreversible los datos;
- Siempre tiene que informarse de forma clara, directa y transparente al ciudadano. Los datos deben ser proporcionados sólo por mayores de 16 años.
- Ciberseguridad: garantizando la disponibilidad, autenticidad, integridad y confidencialidad de los datos; y otras medidas de seguridad, como las evaluaciones de impacto, análisis continuos de riesgos, o la restricción de quienes acceden a la información.
Quizás todo suene muy abstracto, pero el imperativo legal existe: todos los Estados miembros tiene esa obligación de trabajar conjuntamente y crear mecanismos urgentes de gobernanza, para garantizar:
- La efectividad y legalidad de las aplicaciones móviles que traten datos de salud, y evitar las malas prácticas o la proliferación de otras aplicaciones no compatibles con nuestro Derecho;
- El intercambio anonimizado y agregados de datos entre ellos para, modelizar, cartografiar, programar y optimizar la eficacia de las medidas a adoptar.
Este pasado 16 de abril la propia Comisión Europea ha sido la primera en publicar una toolbox de medidas técnicas y una guía de protección de datos para el desarrollo de aplicaciones móviles para controlar pandemias o virus, que serán muy útiles para los diseñadores de software (os dejamos el enlace de ambos documentos).
Algunos van más allá de estas utilidades de las app’s y proponen no sólo auto-diagnosis, sino la emisión de certificados y auto-certificados de salud, ¿el discutido pasaporte de inmunidad viral? Otro tema ampliamente debatible, pero una aberración legal desde cualquier punto de vista.
Contact
-
Departamento de Transformación Digital
-
Mallorca, 283
08037 Barcelona , Barcelona (Spain) - 93 601 12 39 / 93 496 18 80
- digitalicab@icab.cat
-
Mallorca, 283