en Protección de Datos Personales

En un artículo anterior, hacíamos mención a que la aplicación encargada por el gobierno, por Real Decreto, para controlar la movilidad de la población estaba amparada por la propia normativa de privacidad.

Junto a ello, también alertábamos de que debemos desconfiar sanamente de este tipo de medidas, en el sentido de que con una aplicación de este tipo se pueda introducir código troyano para acabar generando un perfil de cada ciudadano que ya no responda a la necesidad de salud pública, sino a una arbitrariedad del Poder Público.

Pues bien, lo dicho se sitúa en línea con lo expuesto de manera más profusa por las autoridades de control europea, nacional y desde instancias como el Consejo General de la Abogacía.

Para resumir, todos ellos reiteran que la normativa de privacidad ampara una recogida de datos masiva de la población en un contexto de urgencia sanitaria.

No puede ser de otro modo puesto que, si bien es cierto que el derecho a la protección de datos personales constituye un derecho fundamental y su ejercicio no puede suspenderse ni durante un estado de excepción, como es el de alarma, tampoco puede entenderse que sea un derecho absoluto, razón por la cual puede condicionarse o limitarse en ciertos aspectos en un supuesto como el actual.

Ahora bien, también por aplicación del derecho europeo, y más concretamente por el Reglamento General de Protección de Datos, que instaura el principio de acceso mínimo a los datos y prevé la seudonimización y anonimización de datos personales como medidas no solo de seguridad sino, casi, como una exclusión de la necesidad de recoger datos personales, cabría plantearse si no existe una alternativa que no resulte intrusiva.

¿Sería posible una funcionalidad que no invadiera la privacidad, pero, al mismo tiempo, cumpliera con el fin y el interés legítimo de monitorizar una serie de procesos individuales en favor del bien común? De ser así, ¿Perdería el gobierno su legitimación para utilizar una tecnología que fuera intrusiva si fuera innecesaria?

Parece ser que la respuesta a la primera pregunta es afirmativa, lo que haría igualmente afirmativa la segunda.

De hecho, la Oficina del Comisionado de Información del Reino Unido, la autoridad de control equivalente en UK a nuestra Agencia Española de Protección de Datos, ha considerado que estas aplicaciones son aceptables siempre y cuando los datos sean anónimos. Esta variable ha sido ratificada, por su parte, por la iniciativa Paneuropea de Rastreo de Proximidad para la Preservación de la Privacidad (PEPP-PT), la cual ha destacado la anonimización como clave para proteger nuestros derechos a la privacidad.

Efectivamente, de acuerdo a lo publicado por Financial Times, los expertos en informática Ari Trachtenberg, Mayank Varia y Ran Canetti plantean que, ciertamente, los teléfonos móviles podrían utilizarse para ayudar a las organizaciones oficiales a rastrear COVID-19, especialmente porque podemos esperar futuras oleadas cuando se levanten las medidas de cuarentena y los cierres, pero, para preservar la privacidad, se adoptaría un enfoque de mínima intrusión.

Para ello, plantean dichos expertos que se podría crear una aplicación que aproveche la tecnología de difusión de corto alcance, como las transmisiones NFC, Bluetooth o SSID, para enviar una identificación generada al azar a los vecinos. Este número de identificación aleatorio cambia en base a un marco de tiempo – que podría ser un minuto, cinco minutos, o todos los días – por lo que el número no es fácilmente rastreable o utilizable para señalar la ubicación de un usuario. Los números se mantienen en los propios dispositivos, junto con las marcas de tiempo, así como cualquier otro número que se haya emitido en las cercanías.

Estos números podrían luego ser enviados a las autoridades y organizaciones médicas, como la Organización Mundial de la Salud (OMS) o los Centros para el Control y la Prevención de Enfermedades de los Estados Unidos (CDC). El dispositivo móvil también podría conectarse a bases de datos y comprobar si un usuario puede haber estado en contacto con un nuevo caso y, por lo tanto, necesita autoaislarse o someterse a pruebas.

El mero planteamiento de una posibilidad así ya debería considerarse. Que sea o no la solución técnica idónea para conciliar salud pública y privacidad, se lo dejamos a los expertos.

Ahora bien, lo más llamativo del Real Decreto publicado por el gobierno para poner en marcha dicha aplicación es justamente lo que no menciona de forma específica: que el desarrollo de la misma debería llevarse a cabo con la anonimización de datos, siempre que ello fuera posible. Y aunque se realiza una mención genérica a que la aplicación cumplirá con la normativa de protección de datos, del Reglamento y de la LOPD, no parece suficiente detalle.

Y es que el Real Decreto debería haberse publicado con más extensión; la intrusión en la privacidad y la consiguiente limitación a un derecho fundamental, así lo merecían.

Y por extensión debe entenderse que debería haberse regulado todo un pliego de condiciones sobre las múltiples cautelas y aspectos que su implementación debe considerar. Obsérvese cómo el Real Decreto refiere expresamente que la “aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar”, es decir, portar la aplicación equivaldrá a una declaración de voluntad auto inculpatoria, nada menos.

Surge, además, otra pregunta ¿Entonces la aplicación solamente va a controlar que nadie salga de su respectiva comunidad autónoma? ¿Qué sentido tiene introducir una medida limitativa tan poco “funcional” si su finalidad es servir para enfrentar la pandemia? Es decir, ¿Estamos ante una aplicación que busca limitar, más bien, la movilidad de los ciudadanos o una que busca estudiar la movilidad de los ciudadanos y sus interacciones para determinar causas, evolución y consecuencias de las mismas desde una perspectiva del contagio? Puesto que parece que, si fuera lo segundo, lo lógico sería que los datos de geolocalización fueran mucho más detallados y no se limitaran a un espacio tan amplio ¿Acaso el estudio que hizo el INE para conocer la movilidad de los ciudadanos no era mucho más localizado al efecto de planificar mejor el transporte y circulación en las regiones y ciudades?

Estas y otras preguntas surgen de una regulación exigua que, en absoluto satisface,  no ya las exigencias de la privacidad sino, incluso, de otros derechos fundamentales como el de la libre circulación, etc.