¿Monitorizará el gobierno nuestra posición, sí o no?
👉 SÍ. El viernes pasado el Ministerio de Sanidad publicó en el BOE la Orden SND/297/2020 por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, el desarrollo de aplicaciones móvil con la intención de realizar detección preventiva de contagios y descongestionar los centros de salud públicos; así como la realización de un estudio de movilidad basado en el historial de localización de los dispositivos móviles. Sin embargo, esto no es una gran novedad ya que, como muchos habrán leído estos días, se lleva algunos días barajando la posibilidad de que se lance una aplicación de cobertura nacional cuyas primeras versiones regionales han aparecido en Cataluña y la Comunidad de Madrid -18 y 23 de marzo respectivamente-, las cuales han nacido con el objetivo de mejorar la eficiencia operativa de los servicios sanitarios, así como conseguir la mejor atención y accesibilidad por parte de los ciudadanos.
¿Podríamos entonces decir que el Gobierno podría geolocalizarnos con el fin de estudiar la evolución del contagio del COVID19?
La respuesta es que 👉SÍ. La Orden del pasado viernes hace referencia a la realización de un estudio sobre la movilidad de los ciudadanos de forma previa y durante el confinamiento con el fin de conocer la evolución del contagio. No obstante, tengamos en cuenta que no se va hacer de una forma tan invasiva como los casos de China y Corea del Sur, ya que por ejemplo en el caso de este último la app diseñada alertaba sobre la aproximación a menos de 100 metros a un lugar donde había estado un caso positivo en COVID-19, indicando al receptor de la alarma datos sobre el infectado como su información demográfica, y su historial de localización reciente.
Pero en los casos de Corea del Sur o China, ha sido muy efectivo, ¿Por qué aquí no podemos hacer lo mismo?
Porque al contrario que en otros países, en Europa el derecho a la privacidad o protección de datos es un derecho fundamental que debe observarse tanto por el sector público como el privado. Sin embargo, ha de tenerse en cuenta que no se trata de un derecho absoluto, ya que cuando entra en liza con otros derechos fundamentales -como el derecho a la vida- se necesita realizar un juicio de ponderación para determinar cuál prevalece.
Además, no es aconsejable reproducir casos como el de Corea del Sur, por ejemplo, porque de forma masiva se está informando a los ciudadanos de qué personas se encuentran contagiadas, y qué recorrido han seguido. Así las cosas, no es necesario analizar porqué y como de peligroso puede ser este tipo de medidas en situaciones de “histeria” o “miedo” colectivo; máxime cuando vivimos en una época en la que las fake news son más rápidas y se perciben más reales que las publicadas por medios acreditados o gobiernos.
No obstante, nada de lo anterior impide que se pueda utilizar la tecnología, la geolocalización por ejemplo, y la inteligencia artificial para estudiar la movilidad de la población, entender cómo se produjo el contagio o evitar -claro está, con intervención humana-, aglomeraciones o desplazamientos no permitidos o peligrosos para la salud pública.
¿Y entonces, por qué no utilizamos tecnología o soluciones similares?
La estamos utilizando, sólo que aún no se ha publicado una app oficial con cobertura nacional. Actualmente, y como se decía al principio han nacido proyectos en Madrid y Cataluña que además de informar de forma oficial sobre el COVID-19, comunican, a quien rellene el formulario la probabilidad de estar contagiado y las medidas recomendadas -sin querer en ningún momento emitir diagnósticos, o prescripción de tratamientos (así lo advierte la política de privacidad de la app “CoronaMadrid”). Asimismo también recaban datos de geolocalización.
¿Pueden las autoridades tratar mis datos de salud y geolocalización sin límites?
👉 NO. Pero antes de dar el porqué, primero conviene comentar que la localización de los individuos o el histórico de movilidad es información de carácter personal, ya que se encuentra dentro de la definición de dato personal que arroja el artículo 4 del Reglamento General de Protección de Datos, Reg. 679/2016, de 25 de marzo, por su utilidad en la identificación de personas; pues aunque para un usuario común no sea fácil la identificación directa de la persona detrás de ese geoposicionamiento, para un gobierno, empresa o gran tecnológica como Google o Apple, sí. ¿Por qué? Porque cruzando bases de datos como titulares de dispositivos, identificados por el número de IMEI (identificador único internacional de nuestro terminal móvil), contratos con compañías telefónicas, asociación entre ese IMEI y la tarjeta SIM, por ejemplo, se hace relativamente sencillo el identificar a personas. Igual de fácil es identificar a una persona y conocer sus gustos, preferencias e incluso creencias, basado en su historial de localización -por ejemplo, se puede determinar la creencia religiosa de una persona cuyo histórico muestra una visita semanal a un centro religioso-.
Determinado esto, y adentrándonos en los límites, el que procese datos de carácter personal, independientemente de que estos sean de geolocalización o no, deberá de cumplir con una serie de requisitos de transparencia, legitimidad, licitud, exactitud de la finalidad, minimización, integridad y confidencialidad. Por lo que el tratamiento sin límites no es posible.
Como decíamos, por un lado, sí hay límites, pero ello no significa prohibición. Las autoridades, como cualquier otro responsable del tratamiento, deberá de observar, como decíamos, ciertos principios, obligaciones y normas, pero en ningún caso deben suponer trabas o barreras imposibles de sortear para realizar tratamientos de datos en beneficio de la salud y seguridad pública como es el extraer conclusiones sobre el contagio del COVID-19 a partir de un estudio de movilidad -en el mismo sentido, se pronunciado la Agencia Española de Protección de Datos en su comunicado sobre apps y webs de autoevaluación del Coronavirus de 26 de marzo-. En definitiva, las autoridades, sí pueden tratar nuestros datos sin pedirnos el consentimiento, pero no pueden hacerlo olvidando nuestro derecho a la privacidad o alentando el desarrollo de apps como la surcoreana antes mencionada.
¿Cómo lo van a hacer?
Pues atendiendo al contenido de la Orden que comentábamos antes, hay dos vías por las que las autoridades van a poder hacer un seguimiento de los posibles casos de infectados y estudiar la propagación del COVID-19.
📌 La primera vía será el desarrollo de aplicaciones como las de Madrid o Cataluña, las cuales, además de proveer información y consejos de prevención, también proveerá de un servicio de autoevaluación del estado de salud del usuario para detectar posible contagio por Coronavirus y recibir instrucciones y recomendaciones para su tratamiento o para prevenir su propagación. Asimismo ambas aplicaciones tienen por objetivo principal -uno de los perseguidos por la Orden- aliviar la saturación de los centros de salud públicos, mediante la derivación sólo de aquellos casos más graves.
Es de destacar que ambas aplicaciones, previo consentimiento del usuario, tratan datos de geolocalización con la finalidad de controlar que la persona que accede pertenece al territorio donde se aplica, y localizar al usuario cuando realice sus autoevaluaciones. Asimismo, se procesarán los datos de forma anonimizada y agregada con el fin de controlar el contagio del COVID-19 y estudiar la propagación del mismo.
📌 La segunda vía que se ha planteado es realizar un estudio de movilidad analizando el historial de localización de los usuarios, solicitando dichos datos a los operadores de teléfono.
¿Por qué a las operadoras y no a compañías como Google o Apple?
La razón reside en que las compañías telefónicas están obligadas a la conservación y cesión (segura) de los datos asociados a las comunicaciones electrónicas móviles, en concreto la etiqueta de localización (identificador de celda) y los datos que permiten fijar la localización geográfica de dicha celda, es decir, el área de cobertura estipulada para receptores que pertenecen a la misma estación base (o estación transmisión y recepción de comunicaciones) -artículo 3.f apartados 1º y 2º de la Ley 25/2007, de 18 de octubre-.
¿Es esto seguro? ¿No utilizará el Gobierno estos datos para controlarnos o seguir nuestra actividad?
Si bien es cierto que la Orden hace referencia a un estudio de la movilidad previa y durante el estado de alarma de las personas, también menciona que dicho tratamiento sólo podrá realizarse de forma agregada y anonimizada, tal y como prevé el Instituto Nacional de Estadística en su estadística piloto sobre movilidad a partir de posicionamiento de teléfonos móviles. Así se asegura que no habrá identificación de las personas detrás de los dispositivos y se cumplirá con los principios aplicable al tratamiento de datos personales, especialmente el principio de minimización de los datos.
En conclusión, en España ya tenemos iniciativa tecnológica para la detección de infecciones por COVID-19 y la mejora del triaje en los centros de salud pública, la cual además se complementará con un estudio sobre la movilidad de las personas; todo ello sin que se infrinja derecho fundamental alguno. Esperemos así mismo, que estas iniciativas y excepcional situación nos de una razón para emplear más medios en la sanidad pública y el desarrollo e investigación de modelos de gestión alternativos.
Pablo Viedma
Abogado. Director Área Tech & Privacy.