en Protección de Datos Personales

La app que prepara el gobierno en relación al coronavirus y las cautelas con que debería realizarse

El día 28 de marzo se publicó en el BOE la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

Esta orden regula, en su artículo segundo, denominado “DataCOVID-19: estudio de la movilidad aplicada a la crisis sanitaria” la encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el análisis de la movilidad de las personas en los días previos y durante el confinamiento.

Para ello establece que se seguirá el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad hace unos meses y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.

Además, como no podía ser de otro modo, en todo momento se velará por el cumplimiento de RGPD y la LOPD vigentes, siendo designado el Instituto Nacional de Estadística como responsable del tratamiento y a las operadoras como encargados.

Destaca que se autoriza al INE a contratar subencargados directamente para que le auxilien en la ejecución del proyecto.

Por lo tanto, la iniciativa no servirá para controlar cómo se cumple el Estado de Alarma, como se ha dicho, sino para obtener información sobre qué movilidad existió de forma previa al estado excepcional y qué movilidad existe durante su vigencia, a fin, entendemos, de cruzar datos con las estadísticas sobre infectados, recuperados y fallecidos que permitan tener una radiografía sobre ciertas variables que pueden influir en la propagación del virus.

Como decimos, la medida adoptada no puede permitir controlar el cumplimiento del estado de alarma de ningún modo, puesto que los datos son agregados y anonimizados; de modo que resultaría imposible conocer la geolocalización de individuos concretos, la cual parece haberse reservado única y exclusivamente para la app en la que se registrarán las personas infectadas y que se regula en el artículo primero.

Efectivamente, el artículo primero de la norma, en cambio, establece la encomienda del desarrollo de una aplicación que permita, al menos:

  1. Realizar al usuario la autoevaluación en base a los síntomas médicos que comunique; Ofrecer información al usuario sobre el COVID-19;
  2. Proporcionar al usuario consejos prácticos y recomendaciones de acciones a seguir según la evaluación y;
  3. La geolocalización del usuario, supuestamente infectado, a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.

Destaca que la dicción literal de la referida orden no regula que se obligará a los usuarios a usarla, sino que permitirá realizar esas funciones. Se trata, por tanto, de una norma que establece los requerimientos de las funciones de la aplicación únicamente.

Si embargo, podemos esperar otra norma reglamentaria que finalmente imponga dicho control como una obligación y no con carácter facultativo.

Podríamos darle un margen de confianza al gobierno, pero, visto lo visto, lo más lógico es esperar que se incoe dicha medida que, por otra parte, parece totalmente razonable. Veremos cómo se implementa y si no se aprovecha para otras cosas.

Desde aquí apuntamos a que, dada la grave intrusión en los móviles personales que esta aplicación puede tener, el código de la aplicación no solamente debería ser libre, sino que debería ser públicamente auditable por terceros ante el riesgo de que se filtre código espía que se extralimite de la finalidad coyuntural. Esto es, la posibilidad de que incluso desinstalando la aplicación tras finalizar las medidas excepcionales, quede código residual troyano en los móviles que permita al gobierno, las operadoras y los terceros intervinientes en su desarrollo espiar después a los ciudadanos.

Lo que proponemos, además, iría no solo en línea con el movimiento de Open Data, sino que también sería conforme con la exigible transparencia a la administración, como ya venía reclamándose con relación a otras iniciativas. A más intervencionismo mayores deben ser las garantías y la transparencia.