Una crisis global
Protección de datos e implantación en España: las dudas sobre las apps para rastrear el coronavirus
Las cifras de casos detectados y fallecidos por coronavirus bajan. Los datos de este domingo arrojaron la cifra de 674 muertes, la menor cifra desde el 26 de marzo. Por primera vez el número de decesos bajó de los 800. Los positivos por el virus fueron 6.023, la mejor cifra desde el 23 de marzo. La cautela del Gobierno sigue siendo máxima, ya que los datos siguen mostrando con dureza el impacto cada día y, en particular, porque los fines de semana pueden notificarse menos casos de los reales. Aunque es pronto, el aparente buen desarrollo de las cifras invita a pensar cómo será la vuelta a la normalidad. En este sentido, los epidemiólogos coinciden en la necesidad de realizar el mayor número posible de test serológicos, algo que puede acompañarse del uso de las nuevas tecnologías para intentar contener la pandemia. Un tratamiento de datos masivo en pro de la salud pública que, según los expertos consultados por infoLibre, no chocaría con la normativa europea y nacional siempre que no se rebasen ciertos límites.
El uso de información personal puede ser realmente útil a la hora de controlar y combatir estas crisis sanitarias. “Tener esos datos ayuda mucho a la hora de adoptar decisiones geosanitarias”, señala al otro lado del teléfono Antoni Pérez, profesor de Estudios de Informática, Multimedia y Telecomunicación de la UOC. La utilización de este tipo de técnicas no es nueva. “Se dice que el primer sistema de información geográfica data del siglo XIX, cuando para saber de dónde había procedido un brote de cólera se recurrió a la colocación de chinchetas sobre un mapa señalando donde vivían todos los infectados”. Sin embargo, las posibilidades que ofrecen ahora los avances tecnológicos son enormes. “En función de los datos, se podría saber dónde se están produciendo concentraciones, quién está cumpliendo con el confinamiento”, explica Félix Calvo, experto en telecomunicaciones de la tecnológica Nunsys. Pero no solo eso. Si los ciudadanos infectados decidieran facilitar, por ejemplo a través de una aplicación, información relativa a la edad, sexo o estilo de vida, “se podría tener una aproximación real de cómo afecta el coronavirus en determinados patrones de población”.
La semana pasada, el Ministerio de Sanidad encomendó a la Secretaría de Estado de Digitalización e Inteligencia Artificial la elaboración, en primer lugar, de una aplicación informática de autodiagnóstico para poner a disposición de aquellas comunidades que todavía no cuentan con una. La herramienta permitirá a aquellos ciudadanos que se la descarguen comprobar los síntomas que tienen al mismo tiempo que dan acceso a su geolocalización por GPS, algo que puede servir para elaborar mapas de focos de infección. Además, como segundo pilar de la estrategia, aquella orden también encomendaba a este mismo organismo “el análisis de la movilidad de las personas en los días previos y durante el confinamiento” a través del “cruce de datos de los operadores móviles”. El escrito dejaba bien claro que la técnica se haría “de manera agregada y anonimizada”, lo que permite ver grandes desplazamientos de población pero sin identificaciones individuales. Sin embargo, desde el partido de extrema derecha Vox no tardaron en llamar al boicot.
Pantallazo de la aplicación Open coronavirus
“La normativa contempla” estos supuestos
La expansión de la pandemia también ha llevado a la Comisión Europea a solicitar a ocho operadores de telefonía móvil, entre los que destacan Deutsche Telekom o Telefónica, datos de sus clientes –de nuevo de forma agregada y anonimizada– para identificar movimientos poblacionales, elaborar un mapa territorial de la enfermedad y analizar los efectos del confinamiento. Una medida que, al igual que las españolas, ha abierto el debate sobre la privacidad y la salud pública. Y, en este sentido, los expertos consultados por este diario tienen claro que el tratamiento de datos personales para luchar contra una pandemia no choca ni con la normativa comunitaria ni con la española en esta materia siempre y cuando no se rebasen ciertas líneas rojas. En este sentido, la Agencia Española de Protección de Datos ya ha señalado que si bien la situación de emergencia no puede suponer “una suspensión del derecho fundamental a la protección de datos personales”, tampoco la normativa “puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia”.
Sergio de Juan Creix, abogado experto en derecho digital del despacho Croma y profesor-colaborador de la UOC, explica que “la normativa contempla” este tipo de supuestos. Así, el Reglamento General Europeo de Protección de Datos (RGPD), que entró en vigor en mayo de 2018, establece en su artículo 6 que el tratamiento de datos personales “será lícito” cuando sea necesario para “proteger intereses vitales del interesado o de otra persona física” o “para el cumplimiento de una misión realizada en interés público”. Y en el considerando 46 añade: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. […] Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.
“Pero esto no es un planteamiento de todo o nada, de se puede o no”, explica a este diario otro experto en protección de datos que prefiere mantenerse en el anonimato al tener responsabilidades en el sector. En este sentido, señala tres elementos clave a tener en cuenta. En primer lugar, la finalidad: “Sólo pueden utilizarse para estos fines, para ningún otro”. En segundo término, la duración: “Exclusivamente durante el periodo que sea necesario”. Y, por último, la proporcionalidad: “Sólo se pueden emplear los datos que sean estrictamente necesarios para cumplir con el fin”. “El responsable del tratamiento de esos datos deberá, por tanto, hacer un análisis de los riesgos y una evaluación del impacto”, prosigue el experto, que considera necesario que el ministerio u organismo público que vaya a poner en marcha un proyecto de estas características cuente con el asesoramiento y el acompañamiento de la Agencia Española de Protección de Datos. “Es una garantía adicional de que se cumplen todos los requisitos, incluido el de que una vez que no sean necesarios esos datos se eliminan o se anonimizan de forma irreversible”.
“El modelo no se puede trasladar aquí sin más”
Desde que estallase el brote de coronavirus, varios países han estado tirando de la tecnología para intentar contener los contagios. En China, por ejemplo, se ha recurrido a una aplicación que otorga al ciudadano un código QR en función de su estado de salud –verde, libertad de movimiento; naranja, restricción de determinados servicios; y rojo, aislamiento– y permite su geolocalización. En Singapur, la app TraceTogether, en lugar de tirar del GPS, lo hace del Bluetooth, estableciendo conexiones cortas con otros teléfonos, información que se queda almacenada en el dispositivo para, en caso de que los usuarios estén contagiados, poder localizar a las personas con las que han tenido contacto. Con un modelo similar cuentan también en Israel. En el caso de Corea del Sur, Corona 100m avisa al usuario cuando se encuentra a menos de 100 metros de un lugar donde se ha registrado un contagio. Otros lugares como Hong Kong van todavía un paso más allá y hacen público un listado oficial de edificios en los que se ha confirmado algún caso de coronavirus en los últimos catorce días.
En España, algunas regiones como Madrid o Cataluña también han puesto en marcha apps para luchar contra la pandemia. En este caso, se trata de herramientas de autoevaluación que tienen un doble objetivo. Por un lado, desatascar los teléfonos de información. Y, por otro, permitir la creación de mapas de riesgo. Pero, ¿qué posibilidad hay de que en nuestro país se llegue a un extremado nivel de detalle en los datos personales tratados, como por ejemplo ocurre con el mapa de Hong Kong? Joan Navarro, vicepresidente de Asuntos Públicos de Llorente&Cuenca, lo descarta. “La capacidad que tienen, por ejemplo en China, de obligarte es enorme. Aquí, sin embargo, ni tenemos un Estado orientado a esas cosas ni una sociedad que lo permita. El falso debate se inclinó a favor de la libertad, no de la seguridad”, apunta. “El modelo desarrollado en países como China o Corea del Sur no se puede trasladar aquí sin más. Allí tienen regulaciones jurídicas muy diferentes y en muchos aspectos inexistentes”, comenta, por su parte, otro de los expertos consultados.
De hecho, a ojos de Creix, esta individualización sería una de las líneas rojas que no deberían sobrepasarse. “Esto no puede servir para hacer listas negras, sino que tiene que estar destinado a estudiar cómo se desarrolla el virus o evolucionan los contagios, para conocer al individuo y combatir contra él”, asevera. Preguntado por esta reducción al mínimo, el experto con responsabilidades en el sector de la protección de datos señala: “¿Es necesario para los fines que se buscan? Si no es necesario tener información sobre la persona concreta, si se puede obtener esa finalidad con datos agregados, no estaría justificado”. En este sentido, el abogado y profesor de la UOC cree que “no sería proporcionado”. “Con la sección censal ya sería suficiente. Tienes la información sobre un colectivo de unas 2.000 personas y con eso ya puedes saber por dónde se está desarrollando y tomar las decisiones oportunas. Desde el punto de vista de la salud pública, no necesitas saber nada más”, sentencia el profesor de Estudios de Informática, Multimedia y Telecomunicación de la UOC, que ha colaborado en varias ocasiones con la Agencia de Salud Pública de Barcelona.