Back

Aplicaciones móviles, datos de localización y Covid-19: ¿Qué opinan las autoridades europeas de protección de datos al respecto?

30-Apr-20

Los teléfonos móviles nos acompañan en nuestro día a día, hasta el punto de que casi no somos capaces de salir de casa sin ellos. Nos sirven para comunicarnos, para buscar información, estar al tanto de lo que ocurre en el mundo, y ahora ¿por qué no? nos pueden ayudar también a salir de esta crisis sanitaria global que estamos viviendo. 

En pleno siglo XIX y con una pandemia mundial de estas características, creo que no debe ser de recibo querer salir de la misma únicamente con las medidas que se plantearon hace 100 años para combatir la llamada “gripe española” que asoló el mundo. ¿Distanciamiento social? Por supuesto, ¿cuarentena, lavarse las manos con frecuencia y utilizar mascarillas? Claro que sí. Pero en plena era de la tecnología y el mundo conectado no debemos limitarnos únicamente a esto. Utilicemos todo lo que hemos aprendido en los últimos años y saquémosle partido, pongamos la tecnología de nuestro lado y asegurémonos de que se utiliza de la forma adecuada.

En este contexto, el Comité Europeo de Protección de Datos (EDPB) aprobó recientemente la Guía 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto del brote de COVID-19 con el fin de facilitar una serie de recomendaciones e instrucciones dirigidas a entidades públicas y privadas encargadas de desarrollar aplicaciones móviles basadas en el uso de datos de localización y el rastreo de los contactos con el fin de combatir el virus, favoreciendo un marco global de protección y garantizando que todas ellas se desarrollan en el cumplimiento de los principios básicos de la protección de datos.

El referido documento aclara las condiciones y principios que deben seguirse para la utilización proporcionada de los datos de localización y herramientas de rastreo de contactos, debiendo utilizarse para cumplir con los siguientes propósitos:

  • La utilización de los datos de localización podrá permitir crear patrones de propagación del virus y de este modo, evaluar la eficacia general de las medidas de confinamiento, siendo de gran utilidad para las fases de desescalada que están por llegar.
  • El rastreo de los contactos tendrá como objetivo el notificar a las personas sobre si han estado en estrecho contacto o próximos a alguien que eventualmente pudiera confirmarse como portador del virus, con el fin de romper las cadenas de contagio lo antes posible.

En cualquier caso, se recuerda que la instalación de este tipo de aplicaciones deberá ser, en todo caso, de carácter voluntario, no debiendo afectar de forma negativa a quienes no dispongan de ellas.

Se hace especial hincapié en la importancia de optar por utilizar sistemas de localización de usuarios que traten datos anónimos, y que el proceso de anonimización de los datos ofrezca la suficiente robustez para impedir la reidentificación de los datos, debiendo ser continuamente evaluado.

En cuanto a las aplicaciones utilizadas para el rastreo de contactos, dada la importante injerencia que puede suponer para la privacidad de los mismos, éstas deben ser desarrolladas siempre tomando como base los principios de minimización de los datos y protección de datos desde el diseño y por defecto, optando por medidas como (i) no utilizar la ubicación exacta de los usuarios individuales, siendo suficiente con la utilización de datos de proximidad, (ii) no identificar de forma directa a las personas, (iii) no extraer más información de la necesaria de los dispositivos de los usuarios, en la medida de lo posible la información debe residir en el propio equipo terminal del usuario.

Además, en el contexto de desarrollo de una aplicación con estas finalidades, deberán estar claramente identificados los plazos de conservación de la información, no debiendo conservarse durante un tiempo desproporcionado, puesto que el fin es la gestión de la crisis sanitaria, por lo que una vez finalizada deberán ser destruidos.

La utilización de este tipo de aplicaciones debe ser concebida como un apoyo a la gestión manual que cada Estado esté llevando a cabo para la gestión de la crisis, la identificación de casos positivos, y su posible contagio a personas próximas. Precisamente por ser concebido como una herramienta de apoyo, los algoritmos utilizados en estas aplicaciones deberán funcionar siempre bajo la estricta supervisión de personal cualificado, dado que pueden existir casos de falsos positivos o negativos que pueden afectar a una toma de decisiones con efectos con un alto impacto en los sujetos, y por tanto no debe basarse únicamente en un tratamiento automatizado sin intervención humana.

La Guía 04/2020 también incluye un anexo que sirve de orientación a los desarrolladores de este tipo de aplicaciones que define una serie de cuestiones concretas sobre:

  • Los usos para los que pueden utilizarse (p.e. la aplicación debe tener como único propósito el rastreo de contactos para que las personas que potencialmente se hayan visto expuestas al virus puedan ser notificadas. No debe utilizarse para otros propósitos o fines).
  • Cómo deben configurarse (p.e. la aplicación debe ser interoperable con otras aplicaciones desarrolladas en otros Estados Miembros de la UE, de modo que, si los usuarios viajan a través de diferentes países, puedan ser notificados de la misma manera).
  • Qué tipo de datos pueden tratarse (p.e. de acuerdo con el principio de minimización de los datos, la aplicación no debe recopilar más datos que los estrictamente necesarios para la localización de contactos).
  • Qué propiedades técnicas deben ofrecer (p.e. la aplicación debería disponer de determinadas tecnologías, como el uso de tecnología de comunicación por proximidad (por ejemplo, Bluetooth) para detectar a usuarios que se encuentren próximos al dispositivo que ejecuta la aplicación.)
  • Cómo configurar la seguridad (p.e. el acceso a todos los datos almacenados en el servidor central y no disponibles públicamente debe restringirse únicamente a las personas autorizadas).
  • Qué principios deben seguir (p.e. el uso de la aplicación no debería permitir a los usuarios conocer información sobre el resto de usuarios (y, en particular, si son portadores del virus o no)).

Finalmente, como el propio Comité Europeo de Protección de Datos indica, una importante crisis de salud pública requiere de respuestas contundentes. No debe ser necesario elegir entre ofrecer una respuesta eficaz a la crisis actual y la protección de nuestros derechos fundamentales: se pueden lograr ambas. En nuestras manos está el hacer un uso responsable de la tecnología y de los datos que disponemos para combatirla de la mejor manera posible, por supuesto, cumpliendo con todos los requisitos necesarios que garanticen el derecho fundamental a la privacidad de los usuarios.

Loreto Jiménez Muñoz | Head of Privacy | L-A

Read more

Related posts that might interest you

All our news
We didn't find similar results for this one
content. We recommend that you try another item.