GEOLOCALIZACIÓN DE USUARIOS PARA COMBATIR EL COVID-19 Y PRIVACIDAD. ALGUNAS CUESTIONES DE INTERÉS (II)

31 marzo, 2020 por Govertis Blog 0 comentarios

GEOLOCALIZACIÓN DE USUARIOS PARA COMBATIR EL COVID-19 Y PRIVACIDAD. ALGUNAS CUESTIONES DE INTERÉS (II)

Durante estos días, con motivo de la situación excepcional de pandemia y la consiguiente declaración del estado de alarma en España, hemos asistidos a la proliferación de aplicaciones móviles y herramientas para tratar de ayudar a prevenir la pandemia del coronavirus, proteger la salud de los ciudadanos o evitar de colapso de los servicios sanitarios. La premura que ha acompañado a estas iniciativas ha originado una dispersión y falta de coordinación que no ha estado exenta de polémicas, entre otras, por las posibles derivadas en materia de protección de datos.

Estando así las cosas, el Gobierno acaba de publicar la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, que contempla el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, y cuyo contenido ya analizamos en este artículo.

Una vez estudiada la Orden, planteamos algunas cuestiones de interés, de cara a evaluar el encaje que tiene en nuestra legislación sobre protección de datos.

Huelga decir que las medidas adoptadas en la Orden han suscitado un reguero de titulares de “brocha gorda” más o menos acertados, señalando en muchos de ellos que, bajo el pretexto de la alerta sanitaria, se abre la puerta para la vigilancia masiva de los ciudadanos. Vamos a intentar aportar algo de luz a la cuestión:

 

Roles y responsabilidades

La Orden asigna una serie de roles a las entidades que participan en cada una de las iniciativas. En el caso del estudio de movilidad DataCOVID-19, se indica que el INE será responsable de tratamiento, y las operadoras encargadas de tratamiento, autorizándoles expresamente a subcontratar los servicios necesarios.

Si los datos actualmente los tienen las operadoras, para que el INE tenga acceso a los mismos será necesaria una cesión previa de las operadoras, por lo que lo que habría sería una comunicación de datos entre dos responsables de tratamiento, amparada por una norma.

Una vez realizada esta cesión, se entiende que la monitorización continuaría hasta finalizar la pandemia, y en ese caso sí que podríamos hablar de una relación de responsable (INE) y encargado (operadoras).

Solo bajo la premisa de que los datos obraran ya en poder del INE (en virtud del estudio de movilidad encargado en su día), podría ser el Instituto responsable y las operadoras encargadas. Pero lo que se anunció es que el estudio acotaba el análisis a “cuatro días laborales de noviembre (del 18 al 21); un domingo (el 24 de noviembre); un festivo (el 25 de diciembre); y dos días de verano (el 20 de julio y 15 de agosto, también festivo)”, por lo que no parece que el INE pueda disponer actualmente de esta información.

En este punto adquiere especial relevancia la ubicación de los sistemas de información y comunicaciones para el registro de datos, ya que, según el Real Decreto-ley 14/2019, de 31 de octubre, los datos y tratamientos de los mismos de usuarios del Sistema Nacional de Salud deberán ubicarse y prestarse dentro del territorio de la Unión Europea. Por tanto, todos los encargados y subencargados de tratamiento deberán cumplir con esta premisa.

 

¿Este sistema es conforme a la normativa de protección de datos?:

El Reglamento General de protección de datos y la nueva LOPD contemplan ya estas situaciones de excepcionalidad. El artículo 9.2. RGPD señala una serie de excepciones que permiten el tratamiento de datos de salud, entre otras:

  • El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).
  • Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).
  • Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).

Por su parte, la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública y la Ley 33/2011 General de Salud Pública contemplan que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

En virtud de lo señalado, se otorgan a las autoridades sanitarias competencias para adoptar las medidas necesarias previstas por la ley por razón sanitaria de urgencia o necesidad.  Por ello, las autoridades deberán adoptar las decisiones preceptivas, y los responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando conlleven un tratamientos de datos personales de salud.

Por tanto, pese a lo mucho que se publica, no se está transgrediendo ningún precepto legal en la previsión de actuaciones anunciada por esta Orden, el problema es la insuficiencia de la misma. El riesgo que se plantea es en su ejecución, ya que no quedan detalladas las garantías necesarias para asegurar el cumplimento en su desarrollo y puesta en marcha. Esto deberá ser abordado en breve y es de esperar que se haga con la mayor transparencia. Luego existe -a priori- un tratamiento de datos lícito, estando pendiente de comprobar que se cumplan el resto de garantías, en particular las relativas a la proporcionalidad del tratamiento.

A modo de conclusión: no es la protección de datos una barrera para la protección de nuestra salud, igual que tampoco era un pretexto para destrozar discos duros, ni un obstáculo para acceder a las grabaciones de Barajas. Y es ésta una magnífica oportunidad para demostrar que los manidos RGPD y LOPD no son una mera carga administrativa, sino el mecanismo que establece las garantías que puedan evitar que se cometan abusos de nuestras libertades y derechos en situaciones extremas, bajo el falso (y viejo) pretexto de tener que escoger entre libertad y seguridad.

 

 Javier Villegas Flores

Lead Advisor en @govertis

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ORDEN PARA LA CREACIÓN DE UNA APP Y ESTUDIO DE MOVILIDAD PARA EL COVID-19Entrada anterior:
El Teletrabajo una realidad; Decálogo de buenas practicasSiguiente entrada