DATOS MÓVILES COMO SALIDA DE LA CRISIS DEL CORONAVIRUS: APUESTA DE LA UNIÓN EUROPEA

9 abril, 2020 por Govertis Blog, ITLaw 0 comentarios

DATOS MÓVILES COMO SALIDA DE LA CRISIS DEL CORONAVIRUS: APUESTA DE LA UNIÓN EUROPEA

El pasado 20 de marzo, el Comité Europeo de Protección de Datos emitió una Declaración sobre el tratamiento de datos en el contexto del COVID19 en la que afirmaba que la normativa de protección de datos no supone un obstáculo a las medidas adoptadas o que se adopten en la lucha contra la pandemia, señalando que incluso en el contexto de circunstancias excepcionales, los Responsables  y encargados del tratamiento deben garantizar la protección de los datos de los interesados.

En relación al tratamiento de datos de localización, el CEPD indica que, en principio, tal y como establece la Directiva 2002/58 los datos de localización “sólo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios” y que las autoridades públicas deberán primero tratar los datos de localización de manera anonimizada. Cuando no sea posible tratar solo datos anónimos, el CEPD estima viable la posibilidad (art 15) que establece la Directiva 2002/58 que permite a los Estados miembros introducir medidas legislativas para salvaguardar la seguridad pública. En caso de que se introdujesen medidas que permitieran el tratamiento de los datos de localización, el Estado miembro deberá adoptar las salvaguardas adecuadas.

Cinco días después, el 25 de marzo, el Supervisor Europeo de Protección de Datos afirmaba, en respuesta a la Comisión Europea, que la normativa de protección de datos en vigor, es suficientemente flexible para permitir varias de las medidas tomadas en la lucha contra la pandemia y destacaba varios aspectos para que la Comisión tuviese en cuenta, entre los que destacamos:

  • Los datos anonimizados no están dentro del ámbito de aplicación de la normativa de protección de datos. No obstante, una efectiva anonimización requiere algo más que simplemente eliminar identificadores, tales como números de teléfono o los números IMEI. Además, en el caso de los datos agregados, se requieren salvaguardas adicionales.
  • En cuanto a la retención de datos, los que han sido obtenidos de los operadores deberán ser borrados en cuanto la emergencia sanitaria termine. Debe quedar claro que estos servicios especiales se implementan debido a esta crisis específica y son de carácter
  • La importancia de la transparencia total hacia el público en cuanto a los propósitos y medidas que se lleven a cabo.

El 8 de abril, la Comisión Europea publica la Recomendación sobre instrumentos comunes para la utilización de la tecnología y los datos para combatir y salir de la crisis de COVID-19, en particular en relación con las aplicaciones móviles y el uso de datos de movilidad anonimizados, que recoge gran parte de las consideraciones realizadas tanto por el CEPD como por el SEPD.

La Recomendación establece un proceso para la adopción, junto con los Estados miembros, de un conjunto de instrumentos centrado en dos áreas en particular:

  • un enfoque coordinado paneuropeo sobre el uso de las App con objeto de empoderar a los ciudadanos para que adopten medidas eficaces y más selectivas de distanciamiento social y con fines de alerta, prevención y seguimiento de contactos, y
  • un enfoque común para utilizar datos anónimos y agregados sobre movilidad de la población para:
    • modelar y predecir la evolución de la enfermedad,
    • supervisar la eficacia de la toma de decisiones por parte de las autoridades de los Estados miembros en medidas tales como distanciamiento social y confinamiento, y
    • ayudar a una estrategia coordinada para salir de la crisis COVID-19.

 

La Comisión afirma que los Estados miembros deben tomar estas medidas con urgencia y en estrecha coordinación con otros Estados miembros, la Comisión y otras partes interesadas.

La Recomendación concretamente abarca cuatro áreas:

  • Un proceso para el desarrollo de los instrumentos para el uso de la tecnología y los datos

Este proceso deberá facilitar el desarrollo y la adopción urgente, por parte de los Estados miembros y la Comisión, de una batería de medidas prácticas, que incluya un enfoque europeo para aplicaciones móviles COVID-19 y para el uso de datos de movilidad para el modelado y la predicción de la evolución del virus.

Las autoridades de los Estados miembros y la Comisión deben garantizar una comunicación regular, clara y completa al público sobre las acciones tomadas y ofrecer oportunidades para que el público interactúe y participe en los debates.

 

La Comisión afirma que lo primordial en todo el proceso debe ser el respeto de los derechos fundamentales, especialmente la privacidad y protección de datos, la prevención de la vigilancia y la estigmatización.  Sobre estas cuestiones específicas se deberá:

 

  • limitar el tratamiento de datos personales a la finalidad de combatir el COVID-19 y garantizar que los datos personales no se utilicen para ninguna otra finalidad;
  • garantizar una revisión periódica de la necesidad de tratamiento de datos personales con el fin de combatir la crisis de COVID-19 y garantizar que el procesamiento no se extenderá más allá de lo necesario para el cumplimiento de dichos fines;
  • tomar medidas para garantizar que, una vez que el tratamiento ya no sea estrictamente necesario, se pondrá fin al mismo y los datos personales serán irreversiblemente destruidos, a menos que, por consejo de los Comités de ética y autoridades de protección de datos, su valor científico para servir al interés público supere el impacto sobre los derechos afectados, sujeto a las adecuadas garantías.

 

Todos los instrumentos deben compartirse con los socios internacionales de la Unión Europea, para intercambiar mejores prácticas y ayudar a frenar la propagación del virus en todo el mundo.

 

  • Un enfoque paneuropeo para aplicaciones móviles de covid-19

La primera prioridad será un enfoque paneuropeo para las aplicaciones móviles COVID-19, que será desarrollada conjuntamente por los Estados miembros y la Comisión, antes del 15 de abril de 2020. El Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos participarán en el proceso.

 

El enfoque consistirá en:

 

  • especificaciones para garantizar la eficacia de las aplicaciones móviles de información, alerta y seguimiento, desde el punto de vista médico y técnico;
  • medidas para prevenir la proliferación de aplicaciones incompatibles con el Derecho de la Unión, para apoyar los requisitos de accesibilidad para personas con discapacidades, requisitos que propicien la interoperabilidad y promoción de soluciones comunes.
  • mecanismos de gobernanza aplicables por las autoridades de salud pública y en cooperación con el ECDC (Centro Europeo para la Prevención y Control de Enfermedades);
  • la identificación de buenas prácticas y mecanismos para el intercambio de información sobre el funcionamiento de las aplicaciones; y
  • compartir datos con los organismos epidemiológicos públicos pertinentes e instituciones de investigación sobre salud pública, incluida la notificación de datos agregados al ECDC.

 

Se debe asegurar la interoperabilidad de las aplicaciones cuando se prevean escenarios transfronterizos.

 

  • Aspectos de privacidad y protección de datos en el uso de las App

 

En relación a las App móviles de advertencia y prevención COVID-19, deberán observarse los siguientes principios:

 

  • salvaguardas que garanticen el respeto de los derechos fundamentales y la prevención de estigmatización, en particular, las normas aplicables que rigen la protección de datos personales y confidencialidad de comunicaciones;
  • preferencia por las medidas menos intrusivas pero efectivas, incluido el uso de datos de proximidad y evitar el tratamiento de datos de localización y el uso de datos anónimos y agregados cuando sea posible;
  • requisitos técnicos sobre tecnologías apropiadas (por ejemplo, Bluetooth Low Energy) para establecer la proximidad del dispositivo, encriptación, seguridad de datos, almacenamiento de datos en el dispositivo móvil, posible acceso por parte de autoridades sanitarias y almacenamiento de datos;
  • requerimientos efectivos de ciberseguridad para proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos;
  • la finalización de las medidas y la eliminación de los datos personales, cuando se declare que la pandemia está bajo control, como máximo;
  • carga de datos de proximidad en caso de infección confirmada y métodos apropiados para advertir a las personas que han estado en contacto cercano con la persona contagiada, la cual permanecerá anónima; y
  • requisitos de transparencia en la configuración de privacidad para garantizar la confianza en las App.

 

La Comisión publicará orientaciones en materia de privacidad y principios de protección de datos, a la luz de consideraciones prácticas derivadas del desarrollo e implementación de los diferentes instrumentos.

 

 

  • Uso de datos de movilidad para informar sobre medidas contra la propagación y estrategia de salida del confinamiento

 

La segunda prioridad es un enfoque común para el uso de datos de movilidad, anonimizados y agregados, necesarios para:

 

  • modelizar y predecir la difusión de la enfermedad y el impacto en las necesidades en los sistemas de salud en los Estados miembros,
  • optimizar la efectividad de las medidas para contener la propagación y para abordar sus efectos, incluido el confinamiento (y la salida del confinamiento).

 

Las medidas deberán incluir, entre otros aspectos:

 

  • El uso apropiado de datos de movilidad anónimos y agregados para entender cómo se propagará el virus y modelar los efectos económicos de la crisis;
  • salvaguardas para evitar la reversibilidad de la anonimización y evitar re-identificaciones de las personas;
  • Eliminación inmediata e irreversible de todos los datos tratados ​​accidentalmente capaces de identificar a las personas y notificar a los proveedores de los datos, así como a las autoridades competentes del tratamiento accidental y su eliminación;
  • Eliminación de los datos en principio después de un período de 90 días o, en cualquier caso, no más tarde de la declaración de que la pandemia se encuentra bajo control; y
  • Restringir el tratamiento de los datos exclusivamente a los fines indicados y excluir el intercambio de datos con terceros.

 

Para todas las acciones anteriores, se establece el siguiente calendario:

  • A partir del 8 de abril: los Estados miembros deberán dar acceso a otros Estados miembros y a la Comisión a las medidas adoptadas en los ámbitos cubiertos por la Recomendación para que pueda realizarse una revisión por pares. En una semana, los Estados miembros y la Comisión podrán presentar observaciones sobre dichas medidas y el Estado miembro interesado deberá tener muy en cuenta tales observaciones.
  • A más tardar el 15 abril: se publicará el enfoque paneuropeo para las aplicaciones móviles COVID-19 que se complementará con las orientaciones de la Comisión sobre privacidad y protección de datos.
  • Antes del 31 de mayo: Estados miembros informarán a la Comisión sobre las acciones que hayan tomado de conformidad con la Recomendación. Dicha labor de reporte se realizará regularmente mientras persista la crisis COVID-19.
  • A partir de junio: La Comisión evaluará el progreso realizado y publicará informes periódicos mientras dure la crisis, en los que recomendará la adopción de nuevas medidas o la eliminación gradual de las que ya no sean necesarias.

 

Por su parte el Comité Europeo de Protección de Datos el 7 de Abril en su sesión plenaria ha aprobado la asignación de mandatos concretos a sus subgrupos de expertos para desarrollar directrices en varios aspectos del tratamiento de datos en la lucha contra el virus:

Mandate on geolocation and other tracing tools in the context of the COVID-19 outbreak

Mandate on the processing of health data for research purposes in the context of the COVID-19 outbreak

En relación al uso de datos de localización y otras herramientas de rastreo, las orientaciones se focalizarán, entre otros aspectos, en:

  • el uso de datos de localización agregados / anónimos (por ejemplo, proporcionados por operadores de telecomunicaciones o proveedores de servicios de la sociedad de la información) y la efectividad de las técnicas de agregación y anonimización;
  • la aplicación de los principios de legalidad, necesidad, proporcionalidad y minimización de datos a los diferentes medios disponibles para recopilar datos de localización o rastrear interacciones entre sujetos de datos;
  • las garantías necesarias para garantizar el respeto de los principios de protección de datos, incluso en relación a la retención de datos, en el contexto del uso de la ubicación geográfica u otras herramientas de rastreo.

 

El 6 de abril el Supervisor Europeo de Protección de datos ha dirigido una discurso con el título EU Digital Solidarity: a call for a pan-European approach against the pandemic [1] del que merece la pena destacar las siguientes afirmaciones:

“Our “mantra” is that big data means big responsibility. We have to know what we are doing, and to know that we are responsible for the results of our activity.

Responsibility also means however that we should not hesitate to act when it is necessary. There is also responsibility for not using the tools we have in our hands to fight the pandemic”.

“The crisis will not be finished in weeks. It will take months to fight with it and years to recover. If we are so connected with each other, we will not be able to solve it with national tools only. The more European will our answer be the better results we will gain”.

En relación a las diferentes iniciativas surgidas en los Estados miembros para desarrollar App, el SEPD señala como adecuadas para el respeto de la privacidad y protección de datos, el uso de identificadores temporales de la transmisión y la tecnología bluetooth. Atendiendo a las divergencias existentes, el Supervisor aboga por un modelo paneuropeo con una única aplicación móvil, coordinado en sede europea.

 

En las próximas semanas veremos el cumplimiento de los diferentes compromisos asumidos por los diferentes organismos europeos y los Estados miembros y la eficacia de las medidas adoptadas.

Es un hecho objetivo y pacífico que la normativa de protección de datos no es ningún obstáculo para que podamos utilizar la tecnología para la lucha contra el virus, más bien al contrario, nos ofrece las pautas y garantías necesarias para que podamos llevar a cabo dichas acciones, y como afirma el SEPD, “también existe responsabilidad por no usar las herramientas que tenemos a nuestra disposición para luchar contra la pandemia”.

 

María Loza

@Mlozac

Lead Advisor en Govertis

 

[1] Video disponible en https://edps.europa.eu/press-publications/press-news/videos/eu-digital-solidarity-call-pan-european-approach-against_en

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Coronavirus: ingeniería social para robar tus datos personalesEntrada anterior:
La cadena de valor en los eSportsSiguiente entrada