La crisis actual, provocada por la pandemia del COVID-19, viene acompañada de todo un séquito de calamidades, sin duda alguna. Pero también puede dejar algunos elementos positivos a futuro, por hacer bueno aquel dicho popular de no hay mal que por bien no venga. O quizá mejor, tratar de hacer de la necesidad virtud, para salir de esta situación lo antes posible o, al menos, para aprender lecciones de ella.

protección de datos
Datos seguros. Foto en Pixabay

*** Juan José Pérez, Delegado de Protección de Datos de la CNMC

El Gobierno ha publicado la reciente Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. Tras este título se encuentran fundamentalmente dos actividades:

  • El desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19. Dicha aplicación permitirá, entre otras cosas, realizar una autoevaluación, en base a los síntomas médicos que comunique el usuario, acerca de la probabilidad de que esté infectado por el COVID-19, ofrecerle información sobre el COVID-19 y proporcionar al usuario consejos prácticos y recomendaciones de acciones a seguir según la evaluación.

Como elemento más destacado a los efectos de la protección de datos personales, se advierte que la aplicación permitirá la geolocalización del usuario, aunque se aclara que “a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar”.

  • Encomendar a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el análisis de la movilidad de las personas en los días previos y durante el confinamiento siguiendo el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.

Está claro que se trata de dos actuaciones muy diferentes: en la primera, el usuario se descargará voluntariamente una aplicación, seguramente en el formato de una app para su teléfono móvil. La aplicación le solicitará, con toda probabilidad, acceso al sistema de localización de su terminal, con lo que se podrá seguir de forma fiel todos sus movimientos.

En el segundo caso, se trata de un estudio con los datos que ya poseen los operadores sobre nuestra localización cuando usamos nuestros móviles. Esta información se trataría sin nuestro consentimiento para dicha finalidad, aunque se aclara que se utilizará de forma agregada (por grupos de usuarios de un tamaño indeterminado, que debería ser el suficiente para que no se pueda individualizar a ninguno en concreto); y anonimizada (es decir, información que ha sido transformada de manera que no se pueda reconstruir los datos identificativos del usuario del que procede, con un grado razonable de probabilidad, puesto que la anonimización absoluta no existe).

En primer lugar habría que aclarar que nuestro móvil puede facilitar nuestra posición a un tercero (el operador de telecomunicaciones, las empresas que elaboran y operan las apps, y los terceros a los que cedan los datos) de dos modos:

  1. Utilizando el sistema de localización incorporado en el terminal. Se trata del GPS, como normalmente lo conocemos. Puede ser activado y desactivado a voluntad y que es de una gran precisión, pudiendo situarnos con un error de pocos metros en cualquier lugar de la Tierra, en cualquier momento. Así, como suena.
  1. Utilizando la información que tiene el operador respecto de a qué estación base concreta (antena) se va conectando el móvil cuando nos movemos. En este segundo caso se trata de información no muy precisa, pero que sí permite localizarnos dentro de un barrio de una ciudad determinada. Y, normalmente, siempre estará disponible para el operador a menos que apaguemos el terminal o lo pongamos en modo avión.

La geolocalización como dato personal

¿Por qué hacemos aquí hincapié en el aspecto de la geolocalización como dato personal? Porque se trata de un dato de especial sensibilidad y que afecta de manera íntima a la privacidad. Conocer dónde estamos en todo momento, permite perfilar nuestros usos y costumbres, lo cual dice mucho de nosotros y de nuestra conducta. Y, además, porque el estado de alarma no afecta en modo alguno a las leyes sobre protección de datos personales, que siguen en pleno vigor, protegiendo un derecho fundamental del ciudadano.

La Agencia Española de Protección de Datos (AEPD) publicó, de forma previa a la Orden ministerial, un interesante comunicado (aquí) sobre apps y webs de autoevaluación del Coronavirus. Está dirigido a todos los públicos y su lectura completa es más que recomendable. No obstante, quiero llamar la atención sobre dos aspectos fundamentales que menciona la Agencia:

  1. Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia. Por ejemplo, ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas; o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo. Por esta razón, los datos que pueden obtenerse y utilizarse han de ser los que las autoridades públicas competentes consideren proporcionados o necesarios para cumplir con dichas finalidades. Y sólo podrán tratar dichos datos las autoridades públicas competentes para actuar conforme a la declaración del estado de alarma, entre ellas el Ministerio de Sanidad y las Consejerías de Sanidad de las Comunidades Autónomas. Ambas administraciones podrán cederse datos entre ellas. Así como los profesionales sanitarios que traten a los pacientes o que intervengan en el control de la epidemia.
  2. El segundo aspecto destacable es la posibilidad de que todos aquellos ciudadanos que hayan dado positivo en la prueba del COVID-19 (o, añado yo a la luz de la Orden posterior, de que se tenga simple sospecha de que puedan estar infectados) puedan ser geolocalizados a través del teléfono móvil que hayan facilitado previamente, de modo que se pueda llevar a cabo un seguimiento de su cuarentena. En este punto hay que partir de nuevo de las amplias competencias que en situaciones excepcionales, como sin duda lo es la presente epidemia, tienen las autoridades sanitarias. Además, hay que tener en cuenta que una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas.

La segunda de las consideraciones de la AEPD implica que a dichos datos podrían también tener acceso otros agentes, como el Ministerio del Interior o las Fuerzas y Cuerpos de Seguridad, implicados en el control de las restricciones de movilidad actualmente impuestas a la población, En este sentido, el tratamiento de datos que, aunque pueda sorprender al ciudadano, sería legalmente compatible con la finalidad declarada en la Orden Ministerial a la que hacíamos referencia al comienzo (literalmente, se dice allí, el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19).

En definitiva, desde el aspecto estricto de la protección de datos personales, la finalidad del tratamiento de los datos de geolocalización de los usuarios, tanto si media su consentimiento (en la app instable en el móvil) o no (en el estudio a partir de los datos de los operadores), parece ajustarse a la ley, respetando lo dispuesto en la normativa (el RGPD y nueva LOPD), según avala aparentemente la AEPD. Por esa parte, no cabría a priori reproche formal alguno.

Ahora nos corresponde a nosotros como ciudadanos informados decidir cómo obrar respecto a nuestros datos, y a las Autoridades les corresponde respetar de forma escrupulosa los fines declarados para el uso de esta información.

Y entretanto, hasta que el horizonte se aclare, algo habremos aprendido sobre la importancia de la protección de nuestros datos. O al menos, eso esperamos…

Comparte esta noticia en tus redes