Apercibimiento por la aplicación Radar Covid por infringir un gran número de obligaciones de protección de datos
Durante la pandemia por el COVID-19, una aplicación móvil llamada “Radar COVID” fue desarrollada por Indra por encargo del gobierno español. El objetivo de la aplicación era conseguir controlar la propagación de la enfermedad mediante el rastreo de las personas infectadas por COVID, que debían introducir en la aplicación el diagnóstico positivo, de forma que ésta detectara los contactos que había tenido y que podían haber sido, en consecuencia, afectados por la enfermedad.
A pesar de que el desarrollo de la aplicación implicó una gran inversión económica por parte del Estado, la aplicación tuvo, finalmente, escaso éxito entre los ciudadanos. Esto fue debido tanto a la desconfianza que generó en la sociedad como por los fallos de funcionamiento de la propia aplicación.
Además del fracaso del proyecto, ahora la Agencia Española de Protección de Datos (AEPD) ha publicado una resolución sancionadora contra la Secretaría de Estado de Digitalización e Inteligencia Artificial por infringir nada menos que los siguientes preceptos de la normativa de protección de datos:
- Artículos 5.1.a) y 5.2 del RGPD, relativos a los principios de licitud, lealtad y transparencia en el tratamiento, así como al principio de responsabilidad proactiva de los responsables del tratamiento de datos personales.
- Artículos 12 y 13 del RGPD, relativos a la obligación del responsable del tratamiento de informar a los interesados sobre el tratamiento de sus datos personales.
- Artículo 25 del RGPD, relativo a las exigencias que debe observar el responsable del tratamiento para el cumplimiento del principio de protección de datos desde el diseño y por defecto.
- Artículos 28.3 y 28.10 del RGPD, que establece la obligación del responsable del tratamiento de suscribir acuerdos con todos los terceros que, en calidad de encargados del tratamiento, vayan a acceder a los datos personales por su cuenta, así como el contenido mínimo que deben incluir estos acuerdos.
- Artículo 35 del RGPD, sobre la obligación de llevar a cabo una Evaluación de Impacto relativa a la protección de datos estando el responsable en este caso obligado a ello.
A pesar de que se trate de un expediente sancionador de la AEPD, hay que tener en cuenta que las consecuencias para el gobierno español en este caso se limitan a un simple apercibimiento, con lo que el estado no tendrá que hacer frente a una sanción de carácter económico.