Maldita Tecnología
13/03/2020

¿Podría en España decirte una app con precisión dónde hay una persona contagiada con COVID-19 o vigilar tu cuarentena? No si no está justificado el uso de esos datos

China, Corea del Sur e Irán son los países que más sufrieron el contagio del COVID-19 cuando surgió el brote. En los tres se han elaborado apps que de una manera u otra se usan para comprobar si una persona ha estado en contacto con otra con coronavirus. En Irán incluso retiraron una que vigilaba las cuarentenas. Algunas más invasivas que otras pero con un punto en común: buscan que el Gobierno correspondiente pueda obtener información de las personas contagiadas. En España estas medidas de control del coronavirus no son posibles. Os explicamos por qué.

Necesidad de una fuente pública y oficial de datos personales

En China, en pleno pico de contagio del coronavirus, se puso en marcha una aplicación para que las personas pudieran saber si cerca de ellas había alguien con COVID-19 y si corrían riesgo de contraerlo ellas. Funcionaba registrándose con un número de teléfono y después introduciendo su nombre y número de identificación. La aplicación la sacaron en conjunto la Comisión Nacional de Salud, la Oficina General del Consejo de Estado y la Corporación de Tecnología Electrónica de China (CETC).

Los datos los obtuvieron además de la Comisión Nacional de Salud, del Ministerio de Transporte, el operador de ferrocarriles y la Administración de Aviación Civil de China. El sistema incluía personas que trabajaran juntas, fueran juntas a clase, vivieran en la misma casa, también al personal sanitario de los hospitales, a personas que viajaran en tren o avión, etc.

Una recogida masiva de datos, entre ellos de los de salud y geolocalización, que en España no sería tan fácil tratar. Menos sin consentimiento. El artículo 9 del Reglamento General de Protección de Datos es el que hace referencia al tratamiento de una categoría especial de datos personales, entre ellos los datos de salud. Estos están mucho más protegidos que el resto de datos personales y su tratamiento mucho más limitado (casi prohibido).

"En China está conectada la historia clínica con el sistema de gestión de la polícia, del transporte e infraestructura. Aquí no tiene cabida", asegura Rahul Uttamchandani, abogado especializado en protección de datos de Legal Army sobre el modelo de la app de rastreo de China.

El Gobierno no puede imponer que todos los ciudadanos se instalen una app concreta ni señalar sitios o a personas específicas

Esta es otra de las claves de cómo funcionan las aplicaciones dispuestas en China o en Irán. En este último país se sacó una al mercado que pretendía vigilar si la gente hacía cuarentena o no con datos de geolocalización, registrando también el número de teléfono de las personas.

Jorge García Herrero, abogado especializado del grupo Secuoya, explica que no podría funcionar tampoco en España el que el Gobierno obligase a toda la población a descargarse una app. Y que aunque se pusiera a disposición una herramienta de rastreo, debería estar tremendamente justificada y necesitaría el consentimiento de los usuarios.

"Se podría hacer pero con un montón de limitaciones y de cuidados. Tampoco se podría hacer tan específica para que no se lleve por delante intereses de otro tipo", señala García Herrero. ¿Cómo cuáles? Bueno, imaginad que se señalara una cafetería concreta donde han pasado personas con coronavirus o un comercio. ¿En base a qué justificaría el Gobierno apuntar con el dedo de esa manera?

Apps disponibles en la Play Store relacionadas con el coronavirus: solo ofrecen noticias y datos del número de casos de COVID, según su descripción. Google Play ha retirado de la tienda española cualquiera que dijese rastrear.

Tengamos en cuenta que estamos hablando de una especie de mapa que pudieses consultar para ver por qué calles o sitios públicos ha pasado ua persona que ahora se habría confirmado que tiene COVID-19. Y que para ello se debe hacer un tratamiento de los datos de salud (incluso por parte del Gobierno) que puede además terminar por estigmatizar a parte de la población. Por eso son tan delicados los datos que entran en esa "categoría especial".

"No se puede amparar en la normativa el que el Gobierno ponga esa información en el conocimiento de los ciudadanos", dice Uttamchandani. "Una cosa es la información que tiene el Gobierno para gestionar los datos de la salud e infraestructuras, pero como ciudadanos no tenemos por qué saber esa información", recalca.

Que todo el mundo sea rastreado y geolocalizado sin estar contagiado no está justificado

Todos los profesionales consultados coinciden en que si se llegase a poner en marcha una herramienta de este tipo, debería hacerse de forma muy, muy justificada y que debería atenderse el principio de minimización que recoge el RGPD. Esto quiere decir que se debería aplicar a la zona más pequeña posible: "debería hacerse con lo mínimo imprescindible (área o número de personas involucradas en el seguimiento" y con la "obligación de restaurar la situación anterior en la forma más eficiente", explica Ofelia Tejerina, presidenta de la Asociación de Internautas.

Es decir, que costaría mucho que se hiciese un mapa de todo el país o de una comunidad completa porque las medidas tendrían que asegurar que se usan solo los datos imprescindibles. Así lo dice la ley europea:

Artículo 25 del RGPD.

Si en los países asiáticos han podido hacer algo así es porque los sistemas de vigilancia social que tienen activados (y tenían antes del coronavirus) no atienden a una protección individual de la privacidad de la sociedad.

"Tienen una regulación mucho más laxa, su fortaleza es la materia de seguidad publica. Tienen otro concepto de vulneración de privacidad y derecho de intimidad de la persona. EEUU, China... no tienen nada que ver con el entorno europeo", explica Verónica Sevilla, abogada experta en protección de datos de ePrivacidad. Y que por eso dar acceso general a la ciudadanía de datos específicos de una sola persona (tanto su localización como sus datos de salud) costaría mucho justificarlo.

Ahora bien, ¿puede cambiar este escenario si la situación se agrava?

Debería agravarse mucho y aun así no estaría del todo justificado que se pusieran datos ciudadanos al alcance de otras personas. El reglamento europeo contempla algunas excepciones para tratar y usar información tan, tan sensible como es la de la salud. Una de ellas es "por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud".

Ajá. ¿Qué significa esto? Tiene relación con lo que os contábamos antes: si después de todo se decidiese que es necesario para el interés vital de la gente desarrollar una herramienta así, las limitaciones serían muy duras. Siempre acogiéndose al principio de minimización que decíamos arriba.

La cosa no queda ahí, porque además, para aplicar esa excepción concreta de la ley europea se necesita además otra norma aprobada a nivel nacional o por los estados miembros que apruebe que se puede hacer el tratamiento de datos, según nos explican Sevilla y Uttamchandani. Con sus especificidades, claro: qué se va a hacer, por qué se necesitan los datos, para qué se van a usar, qué derechos tienen las personas a acceder a ellos...

En definitiva, poner en marcha una app de rastreo como se ha hecho en países asiáticos no tendría cabida en España si pretendemos que los datos sean precisos, fiables y procedentes de fuentes oficiales. Si la situación de riesgo para la población aumentase, aun así costaría justificar que se pusieran a disposición ciudadana los datos de salud o de geolocalización.

¿Qué hay de la vigilancia de la cuarentena con una app?

"A día de hoy, dadas las cifras de contagio, el riesgo no es suficiente como para imponer medidas de vigilancia masiva como las de China", dice Tejerina. Las cosas podrían tomar otro cauce si se declarara el estado de alarma, que permite otro tipo de medidas como imponer un toque de queda o que haya patrullas vigilando que esto se cumpla.

Aun así, si esto pasara, el hecho de que el Gobierno pudiera pedir los datos de salud a los centros sanitarios y los de localización a las operadoras para usarlos en la gestión de la crisis del coronavirus no implica que pudiera utilizarlo para vigilar las cuarentenas. El uso de estos datos no sería proporcional para el objetivo a alcanzar: que la gente se quede en casa. ¿Qué quiere decir esto? Que probablemente haya otras medidas menos invasivas para controlar las cuarentenas que no sea rastreando a toda la población en tiempo real.

Un reciente informe de la Agencia Española de Protección de Datos sobre el coronavirus incide en ese punto: vale que el coronavirus es una emergencia sanitaria suficientemente grave como para que el Gobierno utilice los datos de salud de los hospitales sin pedir el consentimiento. Pero con fundamento y atendiendo al principio de minimización.

Otros artículos de Maldita.es