Fuente: Unión Europea
El Comité Europeo de Protección de Datos (EDPB) ha aprobado dos conjuntos de directrices en el contexto del brote de COVID-19 para garantizar una mejor aplicación de las normas del Reglamento General de Protección de Datos – RGPD.
– Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19:
Las directrices 03/2020 sobre el procesamiento de datos relativos a la salud con fines de investigación científica abordan en primer lugar la cuestión del cumplimiento del RGPD en el contexto del brote y establecen específicamente que la legislación vigente no obstaculiza las medidas adoptadas para luchar contra la pandemia. Además, existen excepciones especiales en la legislación para conceder el tratamiento de determinadas categorías de datos cuando sea necesario para fines científicos. Las Directrices permiten a los lectores comprender: i) las definiciones específicas; ii) la base jurídica del tratamiento; iii) los principios de protección de datos; iv) los derechos de los interesados; v) las transferencias internacionales de datos.
– Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto del brote de COVID-19:
Las Directrices 04/2020 sobre la utilización de datos de localización e instrumentos de localización de contactos en el contexto del brote de COVID-19 tienen por objeto ayudar a las autoridades públicas y a los agentes privados a adaptar el diseño de las aplicaciones basadas en datos de modo que los instrumentos digitales puedan contribuir a la lucha contra COVID-19.
Las directrices están disponibles en el siguiente enlace:
https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_en
En las directrices se establece que al diseñar las herramientas de localización de contactos y utilizar los datos de localización es necesario tener en cuenta dos principios:
1.- Los datos de localización deben utilizarse para elaborar un modelo de la propagación del virus y evaluar el efecto general de las medidas de confinamiento;
2.- El rastreo de contactos debería utilizarse únicamente para notificar a las personas cuando hayan estado cerca de alguien que sea portador confirmado del virus. Esto puede ayudar a reducir al mínimo la contaminación.
Al obtener datos de localización, los proveedores sólo podrán procesar esos datos dentro de las competencias de los artículos 6 y 9 de la Directiva sobre la privacidad y las comunicaciones electrónicas. Esto significa que los datos sólo pueden ser transmitidos a las autoridades o a terceros después de haber sido anonimizados. Las excepciones a determinadas disposiciones sólo son posibles cuando, de conformidad con el artículo 15 de la Directiva sobre la privacidad y las comunicaciones electrónicas. Siempre se debe hacer hincapié en el tratamiento de los datos anónimos en lugar de los datos personales cuando se procesan los datos de localización.
Además, debe prestarse especial atención a los datos anónimos y a los datos pseudónimos. Como ambos no son directamente intercambiables y la anonimización puede confundirse a veces con el último. Mientras que la anonimización permite utilizar los datos sin ninguna restricción, los datos seudonimizados siguen estando en el ámbito de la GDPR.
En cuanto a las aplicaciones de contacto, la EPDB considera que los controladores de datos deberían estar claramente definidos y que las autoridades sanitarias nacionales podrían actuar como controladores de dichas aplicaciones. La finalidad de las aplicaciones debería limitarse estrictamente a la contención de la crisis de COVID-19 y no debería permitirse su ampliación a otros fines (comerciales o de aplicación de la ley).
La actual crisis sanitaria no debería aprovecharse para establecer mandatos de retención de datos desproporcionados. Las limitaciones de almacenamiento sólo deben tener en cuenta la relevancia médica y los datos personales deben conservarse únicamente durante la duración de la crisis de COVID-19. Después, como regla general, todos los datos personales deben ser borrados o anonimizados.
La EPDB también recomienda que, antes de poner en práctica esas herramientas, se lleve a cabo una evaluación del impacto de la protección de datos, ya que este tipo de tratamiento de datos se considera de alto riesgo. Al diseñar las aplicaciones, deberían tenerse en cuenta ciertas recomendaciones.
1.- De conformidad con la protección de datos por diseño y por defecto, los datos procesados deberían reducirse al mínimo;
2.- Los datos difundidos por las aplicaciones deben incluir únicamente algunos identificadores únicos y seudónimos;
3.- Se deben aplicar las técnicas criptográficas más avanzadas para asegurar los datos almacenados;
4.- La notificación de los usuarios como infectados por el virus COVID-19 en la aplicación debe estar sujeta a la debida autorización;
5.- Cierta información debe permanecer en el terminal del usuario y sólo debe procesarse cuando sea estrictamente necesario y con su consentimiento previo y específico.
Por último, el documento también va acompañado de un anexo que sirve de orientación a los diseñadores y ejecutores de esos instrumentos. En el Anexo se esbozan ciertas definiciones, propósitos, consideraciones funcionales, tipos de datos y cómo utilizarlos, mecanismos de seguridad y algunos principios específicos de aplicación adicionales.