Estás usando una versión desactualizada de este navegador (). Es probable que este sitio web no se muestre de forma adecuada o presente errores en su funcionamiento. Por favor, actualiza este navegador desde el sitio oficial del desarrollador. Haz click sobre este anuncio para cerrarlo. | You are using an outdated version of this browser. It is likely that this website will not display properly or could have errors. Please update this browser from the official developer site. Click on this ad to close it.

Este sitio web utiliza cookies propias y de terceros con fines estadísticos y para mejorar la experiencia del usuario. Más información

Artículo

La Comisión Europea dicta unas orientaciones sobre aplicaciones móviles contra la pandemia y protección de datos

19/04/2020

La Comisión Europea dicta unas orientaciones sobre aplicaciones móviles contra la pandemia y protección de datos

La Comisión Europea ha publicado unas Orientaciones (Comunicación 2020/C 124 I/01 de la Comisión, DOUE de 17 de abril de 2020) sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia del COVID-19 en lo referente a la protección de datos, las cuales pueden facilitar a las autoridades sanitarias públicas a nivel nacional y de la UE el seguimiento y contención de la pandemia de COVID-19 y ser especialmente pertinentes de cara al levantamiento de las medidas de confinamiento, además de proporcionar orientaciones directas a los ciudadanos y facilitar la labor de rastreo de contactos.

 

La Comisión ha elaborado sus Orientaciones partiendo de la Recomendación adoptada por la Comisión el 8 de abril de 2020, relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados.

 

 

Ámbito de cobertura

 

La Comisión determina las características y los requisitos que deberían reunir las aplicaciones para dispositivos móviles para asegurar el cumplimiento de la legislación de la UE en materia de protección de la intimidad y los datos personales, en particular el Reglamento General de Protección de Datos y la Directiva sobre la privacidad y las comunicaciones electrónicas.

 

No son jurídicamente vinculantes y solo se refieren a aplicaciones de carácter voluntario para el apoyo a la lucha contra la pandemia de COVID-19 (aplicaciones descargadas, instaladas y utilizadas de forma voluntaria por los ciudadanos) que tengan una o varias de las funcionalidades siguientes:

 

1.- Facilitar información exacta a las personas sobre la pandemia de COVID-19.

 

2.- Ofrecer cuestionarios de autoevaluación y orientación a los ciudadanos (funcionalidad de comprobación de síntomas).

 

3.-Alertar a las personas que hayan estado cerca de a una persona infectada durante un tiempo determinado, a fin de proporcionar información, por ejemplo, sobre la conveniencia de someterse a una autocuarentena y de hacerse las pruebas (funcionalidad de rastreo de contactos y de alerta).

 

4.- Proporcionar un foro de comunicación entre médicos y pacientes en autoaislamiento o en el que se brinden consejos adicionales en materia de diagnóstico y tratamiento (mayor recurso a la telemedicina).

 

 

Contribución de las aplicaciones a la lucha contra el COVID-19

 

La función de comprobación de síntomas es una herramienta que permite a las autoridades sanitarias públicas proporcionar a los ciudadanos orientaciones sobre las pruebas de la COVID-19 e información sobre el autoaislamiento, la manera de evitar la transmisión a otras personas y el momento en que deben pedir asistencia sanitaria, y las funcionalidades de rastreo de contactos y alerta son herramientas que permiten identificar a las personas que han estado en contacto con alguien infectado por la COVID-19 e informarles de las medidas que conviene adoptar después, como someterse a autocuarentena o a pruebas, o proporcionar asesoramiento sobre qué hacer en caso de experimentar tal o cual síntoma.

 

Ambas funcionalidades pueden ser una fuente pertinente de datos para las autoridades sanitarias públicas y facilitar la transmisión de ese tipo de datos a las autoridades epidemiológicas nacionales y al Centro Europeo para la Prevención y el Control de las Enfermedades. Y en combinación con las estrategias de pruebas adecuadas, pueden proporcionar información sobre el nivel de circulación del virus y ayudar a determinar el efecto de las medidas de distanciamiento físico y de confinamiento.

 

Y tal como se establece en la Recomendación, para propiciar la colaboración transfronteriza y garantizar la detección de contactos entre los usuarios de distintas aplicaciones, debería garantizarse la interoperabilidad entre las soluciones informáticas de los distintos Estados miembros. Así, cuando una persona infectada entre en contacto con un usuario de una aplicación de otro Estado miembro, debería permitirse, en la medida de lo estrictamente necesario, la transmisión transfronteriza de datos personales de ese usuario a las autoridades sanitarias de su Estado miembro.

 

 

Uso fiable y responsable de las aplicaciones

 

La Comisión detalla una serie de elementos que sirvan de orientación sobre la manera de limitar la intrusión de las funcionalidades de las aplicaciones para garantizar el cumplimiento de la legislación de la UE en materia de protección de datos personales y de la intimidad:

 

 

1.- Autoridades sanitarias nacionales (o entidades que realizan una misión que se lleva a cabo en favor del interés público en el ámbito de la salud) como responsables del tratamiento de datos: habida cuenta de la sensibilidad de los datos personales y la finalidad del tratamiento de los mismos, la Comisión considera que las aplicaciones deberían estar diseñadas de tal manera que dichas autoridades sanitarias nacionales o entidades que realicen una misión que se lleva a cabo en favor del interés público en el ámbito de la salud sean las responsables del tratamiento. Esas autoridades o entidades son responsables del cumplimiento del Reglamento General de Protección de Datos (principio de responsabilidad proactiva).

 

2.- Garantizar que la persona siga teniendo el control: dado que es esencial para confiar en las aplicaciones que las personas sigan siguen teniendo el control de sus datos personales, la Comisión considera que deberían cumplirse, en particular, las condiciones siguientes:

  • – La instalación de la aplicación en el dispositivo debería ser voluntaria, sin consecuencia negativa alguna para quien decida no descargar o no usar la aplicación.

 

  • – No deberían agruparse las distintas funcionalidades de la aplicación (por ejemplo, información, comprobación de síntomas, rastreo de contactos y alerta), de manera que la persona pueda dar su consentimiento específicamente para cada una de ellas. Sin embargo, el usuario debería tener la posibilidad de combinar distintas funcionalidades de la aplicación si el proveedor lo ofrece como opción.

 

  • – En caso de usarse datos de proximidad (datos generados mediante el intercambio de señales de Bluetooth de baja energía (BLE) entre dispositivos dentro de una distancia relevante desde el punto de vista epidemiológico y durante un tiempo relevante también desde el punto de vista epidemiológico), tales datos deberían almacenarse en el dispositivo de la persona. Si se prevé compartir estos datos con las autoridades sanitarias, debería hacerse únicamente cuando se haya confirmado que la persona en cuestión está infectada de COVID-19 y a condición de que la persona opte por que así se haga.

 

  • – Las autoridades sanitarias deberían proporcionar a la persona toda la información necesaria en relación con el tratamiento de sus datos personales.

 

  • – La persona debería poder ejercer sus derechos en virtud del RGPD 2016, en particular los de acceso, rectificación y supresión. Toda restricción de los derechos que se derivan del RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas debería estar en sintonía con esos instrumentos, además de ser necesaria y proporcionada y estar prevista en la legislación.

 

  • – Las aplicaciones deberían desactivarse a más tardar cuando se declare que la pandemia está controlada, no debiendo depender dicha desactivación de la desinstalación por parte del usuario.

 

3.- Base jurídica para el tratamiento: para que funcione una aplicación es necesario almacenar información y obtener acceso a la información ya almacenada en el dispositivo de la persona. Además, la funcionalidad de rastreo de contactos y alerta exige también el almacenamiento de otro tipo de información en el dispositivo del usuario, o incluso requerir que el usuario (infectado o posiblemente infectado) cargue datos de proximidad. Por ello, en el caso de estas aplicaciones, y dado que la carga de tales datos no es necesaria para el funcionamiento de la aplicación en sí misma, el consentimiento del usuario sería la justificación más adecuada para las actividades pertinentes, el cual debe ser libre, específico, explícito e informado en el sentido del RGPD 679/2016, manifestándose mediante una clara acción afirmativa de la persona, lo que excluye las formas de consentimiento tácito, como el silencio o la inacción.

 

Y por lo que respecta al tratamiento por parte de las autoridades sanitarias nacionales, la Comisión dispone que todo instrumento legislativo nacional ha de prever medidas específicas y adecuadas para salvaguardar los derechos y las libertades de los titulares de los datos. Por ello, dado que se tratan datos relativos a la salud, como categoría especial de los datos personales, así como las circunstancias de la actual pandemia de COVID-19, apoyarse en la legislación como base jurídica contribuiría a la seguridad jurídica.

 

Que las autoridades sanitarias traten los datos sobre la base de la legislación no cambia el hecho de que las personas siguen siendo libres para decidir si instalan la aplicación y si comparten sus datos con estas autoridades, por lo que no debe haber consecuencia negativa alguna para el usuario que se desinstale la aplicación. Y si la aplicación emite directamente la alerta, está prohibido que una persona sea objeto de una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos para la persona o le afecte significativamente de modo similar.

 

4.- Minimización de datos: la Comisión puntualiza la protección de la que gozan los datos generados a través de dispositivos y almacenados previamente en ellos y recuerda que el principio de minimización de datos exige que únicamente se traten los datos personales que sean adecuados, pertinentes y estrictamente necesarios en relación con los fines por los que se lleva a cabo el tratamiento. Por ello, es preciso llevar a cabo una valoración de la necesidad de tratar los datos personales y la pertinencia de tales datos personales atendiendo a la funcionalidad de la aplicación: información, comprobación de síntomas y de telemedicina o rastreo de contactos y de alerta.

 

5.- Limitación del acceso a los datos y su divulgación:

 

  • – Funcionalidad de información: no se puede compartir con las autoridades sanitarias ninguna información almacenada en el equipo terminal y a la que se acceda desde dicho equipo, aparte de la necesaria para disponer de esta funcionalidad.

 

  • – Funcionalidades de comprobación de síntomas y de telemedicina: puede decidirse que las autoridades sanitarias competentes y las autoridades epidemiológicas nacionales tengan acceso a la información facilitada por el paciente. El ECDC podría recibir datos agregados de las autoridades nacionales a efectos de vigilancia epidemiológica. Si se opta por permitir el contacto con los agentes sanitarios, y no un mero contacto a través de la propia aplicación, entonces también será necesario revelar a las autoridades sanitarias nacionales el número de teléfono de los usuarios de la aplicación.

 

  • – Funcionalidad de rastreo de contactos y de alerta: los datos de la persona infectada solo estarían a disposición de las autoridades sanitarias después de que la persona infectada (tras haber sido sometida a pruebas) los hubiera compartido de manera proactiva con ellas. Sin embargo, la persona infectada no debería ser informada de la identidad de las personas con las que haya podido tener un contacto epidemiológicamente relevante y que serán alertadas.

 

6.- Tratamiento de los datos con fines precisos: el fin debería ser explícito y específico, de modo que no quepa duda sobre la clase de datos personales que se han de tratar a fin de alcanzar el objetivo deseado, dependiendo aquél de las funcionalidades de la aplicación (información, comprobación de síntomas y de telemedicina o rastreo de contactos y de alerta).

 

7.-  Límites estrictos al almacenamiento de datos: el principio de limitación del almacenamiento exige que los datos personales no se conserven durante más tiempo del necesario, debiendo basarse los plazos en la importancia médica (dependiendo de la finalidad de la aplicación) y en lapsos realistas para las medidas administrativas que si acaso deban tomarse.

 

8.- Seguridad de los datos: la Comisión incluye una serie de recomendaciones para garantizar los datos que se almacenen en el dispositivo terminal de la persona de forma cifrada o en un servidor central.

 

9.- Exactitud de los datos: la Comisión considera esencial garantizar la exactitud de la información sobre si se ha producido efectivamente un contacto con una persona infectada (distancia y duración epidemiológicas), a fin de minimizar el riesgo de que se generen falsos positivos, aconsejando basarse en tecnologías que permitan una evaluación más precisa del contacto (por ejemplo, Bluetooth).

 

10.-  Involucrar a las autoridades de protección de datos: las autoridades de protección de datos deberían participar y ser consultadas plenamente en el contexto del desarrollo de la aplicación y seguir atentamente su despliegue.