En el contexto de la difícil situación que vivimos en España, el Ministro de Sanidad ha resuelto / emitido una Orden Ministerial (Orden SND/297/2020) por la que se han aprobado ciertas medidas que involucran la utilización de nuevas tecnologías para hacer frente a la expansión del COVID-19. La AEPD no es ajena a este tipo de iniciativas y en su Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus (“Comunicado“) ya establece los cimientos para su encaje con el derecho a la protección de datos de los ciudadanos.

En concreto, el Ministerio de Sanidad ha establecido dos medidas principales que pueden plantear dudas e inquietudes: ¿Me va a vigilar el Gobierno? ¿Estamos ante un estado de alarma alarmista? ¿Cómo van a afectar estas medidas a mi privacidad?

1- Creación de una aplicación móvil para gestionar el contacto con posibles contagiados y descongestionar las centralitas y otros medios de las Administraciones.

En cuanto a la primera medida, y siguiendo la estela de otros países como Corea del Sur, se evidencia que la gestión del contacto con los ciudadanos a través de una aplicación puede agilizar enormemente los trámites sanitarios y administrativos, así como facilitar la elaboración de estadísticas. Como indica la Orden Ministerial, se busca “ofrecer canales alternativos de información fiable a los ciudadanos, a través de aplicaciones, asistente conversacional o página web que permitan aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud. Por otra, se pretende contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento“.

Además, se proporciona una respuesta unificada ante el coronavirus en el marco del mando único según el Decreto del Estado de Alarma. A nivel de protección de datos, esta aplicación deberá cumplir las obligaciones típicas de una aplicación médica: informar adecuadamente a los usuarios, respetar el principio de privacidad por defecto y desde el diseño, implantar unas medidas de seguridad adecuadas, etc. Como recuerda la AEPD “Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar (…)”. En el Comunicado, la AEPD describe los principales elementos del tratamiento:

Legitimación La necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas.
Finalidades únicamente, las relacionadas con el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo
Los datos que pueden obtenerse y utilizarse Los que las autoridades públicas competentes consideren proporcionados / necesarios para cumplir con dichas finalidades.
Quién puede tratar los datos Únicamente podrán tratar dichos datos las autoridades públicas competentes para actuar conforme a la declaración del estado de alarma, es decir, el Ministerio de Sanidad y las Consejerías de Sanidad de las Comunidades Autónomas, que podrán cederse datos entre ellas, y a los profesionales sanitarios que traten a los pacientes o que intervengan en el control de la epidemia.
Entidades privadas Las entidades privadas que colaboren con dichas autoridades sólo podrán utilizar los datos conforme a las instrucciones de estas y, en ningún caso, para fines distintos de los autorizados.
Si los ciudadanos utilizan
aplicaciones o webs de las que no son titulares las autoridades públicas, sino que son ofrecidos por entidades o personas privadas, no existirá la legitimidad que se ha indicado anteriormente para el tratamiento de los datos. En este sentido, es importante recomendar a los ciudadanos que sean especialmente cuidadosos a la hora de informarse de quién, para qué y con qué garantías van a tratarse sus datos personales.

Esperemos que esté lista pronto y sea útil.

2- Estudio de la movilidad aplicada a la crisis sanitaria (DataCOVID-19) a través de la geolocalización de los dispositivos móviles de los ciudadanos.

Esta segunda medida ha generado mucha más controversia. La geolocalización masiva de ciudadanos es una herramienta de control a priori extremadamente invasiva que puede vulnerar los derechos de protección de datos de los ciudadanos. El control sobre la privacidad que se genera al tener a disposición todos los desplazamientos de una persona es enorme. Además de su privacidad, pueden dañarse otros bienes jurídicos protegidos, como es la pérdida de libertad, así como producirse potenciales consecuencias adversas en caso de que dicha información sea objeto de algún ciberataque o pueda ser destinada a alguna finalidad diferente de la prevista.

Esta medida no parte de la nada, sino que –tal y como recoge la propia Orden Ministerial– enlaza con el análisis efectuado por el Instituto Nacional de Estadística en colaboración con los tres principales operadores móviles del país en octubre de 2019, tal y como se hizo eco en la prensa (por ejemplo, en el País y el Confidencial). Aunque a primera vista pueda parecer una medida excesiva, la AEPD en su Comunicado ya indicaba que:

la previsión de que todos aquellos ciudadanos que hayan dado positivo en la prueba del COVID-19 puedan ser geolocalizados a través del teléfono móvil que hayan facilitado previamente, de modo que se pueda llevar a cabo un seguimiento de su cuarentena, hay que partir de nuevo de las amplias competencias que en situaciones excepcionales, como sin duda lo es la presente epidemia, tienen las autoridades sanitarias, teniendo en cuenta, además, que una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas.

De nuevo, nos encontramos ante una obligación impuesta por las autoridades sanitarias con el fin de evitar la propagación del virus, y que requiere un especial control de las personas que han dado positivo y que han sido obligadas a permanecer en su domicilio en cuarentena, así como también permite conocer las zonas con mayor número de afectados a fin de adoptar las medidas oportunas.

La Orden Ministerial al referirse al estudio no se centra, como la AEPD, solo en quienes hayan dado positivo. Por ello, es importante analizar la Orden y entender sus límites.

¿Quién es el responsable de la información que se recoja?

La Orden Ministerial indica que el responsable del estudio de la movilidad es el Instituto Nacional de Estadística, actuando los operadores con quienes colabore como encargados del tratamiento (todo ello sin perjuicio de la existencia de sub-encargados).

Con respecto a la primera medida y la aplicación, el responsable del tratamiento es el Ministerio de Sanidad, actuando con la Secretaría General de Administración Digital y la Secretaría de Estado de Digitalización e Inteligencia Artificial a través de la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales como encargados del tratamiento (todo ello sin perjuicio de la existencia de sub-encargados).

Con respecto a la aplicación, ¿Alguien puede saber mis desplazamientos con los datos de mi móvil?

No. La Orden Ministerial solo prevé que la aplicación “permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar“. Como la AEPD indica en su Comunicado: “No obstante, el único dato que a los efectos de la geolocalización debería facilitarse a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad

Con respecto al DataCOVID-19, ¿Alguien puede saber mis desplazamientos con los datos de mi móvil?

No. Según la Orden Ministerial la información es anónima y agregada. El Gobierno podrá sacar estadísticas, establecer patrones, mapas de calor, etc., pero no podrá vincularse un móvil particular con un desplazamiento concreto. Este tratamiento masivo a la población sería nuevo en democracia y generaría muchísimas dudas en cuanto al cumplimiento de la normativa de protección de datos. Tu móvil será un punto anónimo más dentro de los millones de puntos que habrá en España.

Con respecto al DataCOVID-19, ¿Desde cuándo se recogen datos?

Según la Orden Ministerial se pueden recabar datos de geolocalización “en los días previos y durante el confinamiento“.

Con respecto al DataCOVID-19, ¿Las compañías de telecomunicaciones ayudan a la geolocalización?

Sí, pero solamente como prestadores de servicios (encargados del tratamiento). Para este tratamiento actúan en nombre y por cuenta del Instituto Nacional de Estadística. Las compañías de telecomunicaciones únicamente siguen instrucciones y no podrán tratar los datos de geolocalización para ninguna finalidad propia. Es más, deberán destruir o devolver los datos al final del tratamiento en lo que respecta a esta finalidad.

¿Puedo ejercitar algún derecho si no estoy de acuerdo?

Sí. La Orden Ministerial puede recurrirse por las vías usuales del ordenamiento jurídico. Además, en caso de que una persona se vea afectada por el tratamiento podrá acudir a la Agencia Española de Protección de Datos o incluso acudir a los tribunales si lo estima oportuno.

 

Esperamos haber despejado algunas dudas sobre la Orden Ministerial, que las medidas sean útiles y frenen la expansión del Covid-19, al mismo tiempo que se respete el derecho a la protección de datos de los ciudadanos. Y, sobre todo, esperamos que todos estáis bien y llevando la cuarentena lo mejor posible.