Resumen

· Control y responsabilidad del tratamiento por las autoridades sanitarias.

· Instalación voluntaria por parte del usuario.

· Consentimiento como base legitimadora de las funcionalidades más intrusivas (proximidad de infectados, etc.).

· Información transparente.

· Evitar agrupación de funcionalidades, permitiendo aceptaciones específicas para cada una de ellas.

· Desactivación automática de las aplicaciones una vez controlada la pandemia y no dependiente de la desinstalación por el usuario.

· Medidas de seguridad de cifrado en dispositivos.

· Minimización de datos.

· Uso de tecnologías precisas (Bluetooth, etc.) para garantizar la exactitud de los datos.

· Las autoridades de protección de datos no pueden quedar al margen y deben ser consultadas en el desarrollo y despliegue de dichas aplicaciones.

Desde la expansión del coronavirus, distintos países han abordado el lanzamiento de aplicaciones móviles destinadas a apoyar la lucha contra el Covid-19. Estas aplicaciones pretenden facilitar, tanto a las autoridades sanitarias a nivel nacional, como a las autoridades de la Unión Europea (“UE”) el seguimiento y contención de la pandemia. Las distintas funcionalidades que contengan las aplicaciones pueden ser especialmente relevantes de cara al levantamiento de las medidas de confinamiento, además de proporcionar orientaciones directas a los ciudadanos y facilitar la labor de rastreo de contactos.

La Comisión Europea, a través de la Comunicación 2020/C 124 I/01 de 17 de abril de 2020 [1], ha presentado sus orientaciones sobre este tipo de aplicaciones móviles de apoyo a la lucha contra el Covid-19 en lo relativo a la protección de datos (en adelante, la “Comunicación”).

Esta Comunicación sucede a la Recomendación (UE) 2020/518 de la Comisión de 8 de abril de 2020 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados [2] (la “Recomendación”). El objetivo de la Recomendación es desarrollar un enfoque europeo común para el uso de estas aplicaciones, con el fin de alertar, prevenir y rastrear contactos con miras a limitar la propagación de la enfermedad del Covid-19.

El uso correcto de aplicaciones móviles es una pieza fundamental en la estrategia contra la pandemia ya que ayudan a interrumpir las cadenas de infección con rapidez y eficacia. La clave para la aceptación de estas medidas por parte de la ciudadanía se basa, principalmente, en la confianza. En esta línea, la Comunicación determina las características y requisitos que deben reunir las aplicaciones para ajustarse a la legislación de la UE en materia de protección de la intimidad y los datos personales, en particular, el Reglamento General de Protección de Datos y la Directiva sobre la privacidad y las comunicaciones electrónicas.

La Comunicación presentada no es jurídicamente vinculante y sólo se refiere a aplicaciones de carácter voluntario para el apoyo a la lucha contra el Covid-19 que cuenten con alguna de las siguientes funcionalidades: a) faciliten información sobre la pandemia; b) permitan la autoevaluación para la comprobación de síntomas; c) rastreen el estado de las personas infectadas y sus contactos; y/o, d) proporcionen un foro de comunicación entre médicos y pacientes en autoaislamiento (telemedicina).

El uso de las funcionalidades de las aplicaciones puede tener consecuencias sobre la privacidad de los usuarios. En este sentido, la Comunicación contiene una serie de orientaciones que se exponen a continuación y que tienen como objetivo garantizar a los ciudadanos la protección de sus datos cuando usen estas aplicaciones:

1. Determinar quién es el responsable del tratamiento de los datos de la aplicación móvil. Dada la categoría de los datos que van a ser objeto de tratamiento, la Comisión estima que esta responsabilidad debe recaer sobre las autoridades sanitarias nacionales o sobre las entidades que realicen esta misión en favor del interés público. De esta manera, se contribuiría a reforzar la confianza de los ciudadanos en las aplicaciones de apoyo a la lucha contra la pandemia. Además, se alienta a las autoridades sanitarias nacionales responsables a armonizar y aplicar de manera coordinada las políticas, requisitos y controles diseñados.

2. Garantizar que el usuario sigue teniendo el control de sus datos, teniendo en cuenta que:

· La instalación de la aplicación por el usuario debe ser voluntaria.

· Se debe proporcionar al usuario toda la información relativa al tratamiento de sus datos.

· Sólo se van a compartir los datos de proximidad cuando se haya confirmado que el usuario está infectado.

· No deberían agruparse las distintas funcionalidades de la aplicación (por ejemplo, información, comprobación de síntomas, rastreo de contactos y alerta), de manera que la persona pueda dar su consentimiento específicamente para cada una de ellas.

· Cuando se declare que la pandemia está controlada, la aplicación debería desactivarse automáticamente.

3. Base legitimadora: para que la aplicación funcione es necesario almacenar información y obtener acceso a la información ya almacenada en el dispositivo de la persona. Sin embargo, para poner en marcha determinadas funcionalidades como el rastreo de contactos y de alerta, se exige también el almacenamiento de otro tipo de información en el dispositivo del usuario, o incluso requerir que el usuario (infectado o posiblemente infectado) cargue datos de proximidad. Por ello, en el caso de estas aplicaciones, y dado que la carga de tales datos no es necesaria para el funcionamiento de la aplicación en sí misma, se necesita el consentimiento del usuario. Por lo que respecta al tratamiento por parte de las autoridades sanitarias nacionales, la Comisión determina que, teniendo en cuenta la naturaleza de los datos y las circunstancias de la actual pandemia, apoyarse en el cumplimiento de obligaciones legales como base legitimadora contribuiría a una mayor seguridad jurídica.

4. La aplicación debe respetar el principio de minimización de datos. Se aconseja llevar a cabo una valoración de la necesidad de tratar aquellos datos y limitar estrictamente el tratamiento a la finalidad en cuestión. También debe limitarse el acceso a los datos y la divulgación de los mismos.

5. Establecer límites a la conservación de los datos. Los datos personales no deben conservarse más tiempo del necesario para cada funcionalidad. Los plazos deberían basarse en la importancia médica y en lapsos realistas para las medidas administrativas que si acaso deban tomarse. Por ejemplo, se establece que para las funcionalidades de comprobación de síntomas y de telemedicina, las autoridades sanitarias deberían suprimir esos datos tras un período máximo de un mes (período de incubación más el margen) o después de que la persona haya sido sometida a una prueba con resultado negativo.

6. Garantizar la seguridad de los datos. La Comisión recomienda que los datos se almacenen en el dispositivo del usuario de forma cifrada y, en caso de que se conserven en un servidor central, limitar su acceso con registros previos.

7. Garantizar la exactitud de los datos. Para ello, se aconseja el uso de tecnologías más precisas como por ejemplo la tecnología Bluetooth, proporcionando así una evaluación precisa de la localización de las personas.

8. Involucrar a las autoridades de protección de datos tanto en el desarrollo como en el despliegue de la aplicación al tratarse de un tratamiento a gran escala y de datos especialmente protegidos.