La protección de datos: ¿qué marca el reglamento europeo de protección de datos?
El comienzo de la Desescalada ha reflotado una de las principales preocupaciones del siglo XX con la llegada de las tecnologías: la protección de datos. ¿Hasta qué punto puede el gobierno controlar o no nuestros movimientos o datos personales mediante el uso de las nuevas tecnologías? Estos sistemas deben cumplir una serie de requisitos para poder implantarse, sea el motivo que sea el que los justifique.
Tenemos grandes ejemplos de la intromisión que pueden suponer estas técnicas: el pasaporte sanitario, cámaras infrarrojas que detecten nuestra temperatura corporal o aplicaciones que almacenen información relativa a personas contagiadas, entre otros.
PROTECCIÓN DE DATOS FRENTE AL USO DE LA TECNOLOGÍA
Si hay que tener algo claro antes de analizar cada una de las tecnologías que podrían usarse es lo que se va a ver en juego. La protección de datos es un concepto creado para referirnos al tratamiento legal de nuestros datos de carácter personal. Concretamente, estamos ante la protección de un derecho fundamental recogido en el artículo 18.4 de nuestra Constitución Española, según el cual la Ley limita el uso de la informática con la idea de proteger nuestra intimidad personal y familiar.
Artículo 18
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
No es de extrañar entonces que el tema sea tan peliagudo y no esté del todo claro qué es lo que se puede y no se puede hacer sin infringir, entre otras normas, la Ley Orgánica 3/2018 de Protección de Datos Personales que derogó la Ley Orgánica 15/1999. Para arrojar un poco de luz, la Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analizan los riesgos y beneficios de siete tecnologías que podrían ser usadas para luchar, en este caso, contra la propagación del Covid-19.
INFORME DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
La intención de este informe no es otro que analizar el impacto que tendría el uso de ciertas tecnologías para combatir un posible rebrote a medida que se vaya recuperando la nueva normalidad.
Geolocalización de los móviles por las operadoras de telefonía
Esta técnica consiste en proporcionar información anónima de la ubicación de las personas por parte de las compañías de telefonía como podrían ser Movistar, Vodafone o Yoigo. La realidad es que esto es algo que lleva haciéndose años pero no de manera generalizada. En cualquier investigación judicial es posible solicitar dicha información respecto a una concreta persona para conocer dónde y en qué momento ha estado.
Al inicio de la crisis sanitaria se solicitó por el Gobierno y la UE para conocer el movimiento de la población y poder estimar cómo iba a evolucionar el Covid-19.
Geolocalización de los móviles a partir de las RRSS
La única diferencia con la tecnología anterior es quién obtiene y facilita esa información. Facebook, Whatsapp, Twitter… Son muchas las redes sociales que analizan a diario nuestro ubicación mediante nuestra IP. Pero no sólo lo hacen las redes sociales, cualquier sitio web al que accedes tiene la obligación de informarte del uso de cookies, que obtiene y almacena precisamente la ubicación desde la que estamos accediendo.
Para conocer qué implicación podría tener el hecho de que pueda conocerse nuestra ubicación a través del uso de las redes sociales sólo hay que leer las noticias. Subir a la red una foto celebrando un cumpleaños en pleno confinamiento les puede costar a 8 jóvenes de Ceuta una multa de hasta 10.400€.
Apps, Webs y chatbots para auto-test o cita previa
En esta categoría se han analizado todas aquellas apps que pueden facilitar información o que nosotros mismos podemos alimentar con datos médicos y personales aunque sin identificación exacta de la persona. El peligro real de esta solución no es tanto la app o web en sí, sino el servidor al que llega toda la información que facilitamos.
El principal beneficio de este sistema es que permitiría desbordar otros canales como las líneas telefónicas de atención al paciente. Sin embargo, podría dejar fuera a toda persona que no dispusiera de un móvil u ordenador (personas de avanzada edad, por ejemplo).
Apps de información voluntaria de contagios (Covapps)
Mientras que las aplicaciones anteriores estarían gestionadas por una autoridad sanitaria, las covapps surgen más bien de iniciativas ciudadanas o empresas privadas. En estos casos el riesgo es mayor si tenemos en cuenta que el gestor de la información sensible no está controlado por las autoridades.
Por otro lado, tampoco garantizaría la veracidad de la información si alguien decide acceder para boicotear la credibilidad de las aplicaciones.
Apps de seguimiento de contactos por bluetooth (contact trace apps)
Este tipo de aplicaciones utilizarían la conexión bluetooth para enviar una «tarjeta» por cada usuario a las personas que se encuentren cerca. Cada «tarjeta» estaría asociada a un apodo que no permitiera la identificación exacta de la persona. Podría utilizarse para saber las personas con las que ha estado alguien en contacto en el trabajo, en el transporte o en el supermercado. Además permitiría lanzar un aviso que recibirían todas esas personas en sus teléfonos en caso de síntomas, incluso de un positivo por Covid-19.
El mayor beneficio sería identificar rápidamente los posibles rebrotes y trazar la red de contagio de la persona afectada. Lógicamente el mayor riesgo sería dejar al margen un porcentaje de población que no tuviera acceso a estos dispositivos.
Pasaportes de inmunidad o tarjeta sanitaria
Estamos hablando de un pasaporte digital en el que se pudiera almacenar si el portador del mismo está inmunizado frente al Covid-19 o si está contagiado. Funcionaría de manera similar a las tarjetas de embarque, pero mediante el uso de un código QR o código de colores.
Almacenar información sanitaria de ese tipo en un móvil podría generar infinidad de riesgos en caso de robo del dispositivo, ciberdelitos o, de nuevo, marginar a aquellos usuarios que no dispongan de un móvil. No sólo eso, sino que el diagnóstico de esa inmunidad debe hacerse de manera presencial y aportarse un documento en papel que sirva de justificante en caso de ser requerido, de manera que se evite la manipulación de datos o de la propia aplicación. En este caso, sería necesario un test masivo a la población para garantizar el acceso a este sistema, lo que por ahora no es posible.
Cámaras de infrarrojos para lecturas masivas de temperatura
Este es otro de los sistemas que más se han comentado y más debate ha creado. Es evidente que la temperatura corporal de las personas es un dato sensible que requiere de una protección especial. Precisamente por tratarse de un dato sanitario no podrá ser recabado por cualquier persona, lo que limitaría mucho la instalación y control de estos dispositivos.
La puesta en marcha de estos sistemas en el entorno laboral podría estar justificado y amparado por la normativa de prevención de riesgos laborales. La protección de datos en empresas tiene una regulación específica. Sin embargo, hacerlo en locales, comercios, colegios o cualquier otro centro de acceso público supone un alto riesgo de contravenir una correcta protección de datos.
REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
Tres son los principios que deben respetarse siempre que se pretenda hacer un tratamiento de datos con todas las garantías:
- Principio de legalidad: debe tener una causa motivadora que legitime ese tratamiento. El Reglamento Europeo de Protección de Datos determina dichas causas en su artículo 6.1 y 9.2. En este caso, estaríamos ante la protección de un interés público esencial como es evitar la propagación de un virus.
- Principio de limitación de la finalidad: sólo podrán tratarse los datos para la finalidad concreta para la que se realice. Esto quiere decir que no podrían almacenarse dichos datos, dado que lo único que buscan es autorizar o no el acceso en ese preciso instante al interior del establecimiento.
- Principio de exactitud: supone que los sistemas que se utilicen deben ser fiables, lo que obligaría a utilizarse únicamente aquellos sistemas que estén homologados y por personal debidamente formado en su uso.