Utilización de medios tecnológicos frente al Covid-19 y protección de datos

2020.05.19 shutterstock_1677012730-p273124-m843760-768x334_w100

Utilización de medios tecnológicos frente al Covid-19 y protección de datos

Entre la más que abundante normativa dictada a raíz de la crisis del Covid19, se encuentra la “Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

Esta norma hubiera parecido impensable hace sólo unos meses. El título de su artículo 1 es de una vaguedad preocupante. “Primero. Desarrollo de soluciones tecnológicas y aplicaciones móviles para la recopilación de datos con el fin de mejorar la eficiencia operativa de los servicios sanitarios, así como la mejor atención y accesibilidad por parte de los ciudadanos”.

Se trata de desarrollar una aplicación informática que permitiera “realizar una autoevaluación, en base a los síntomas médicos que comunique el usuario, acerca de la probabilidad de que esté infectado por el COVID-19 …”, Pero para ese fin señala “La aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. La aplicación puede incluir dentro de sus contenidos enlaces con portales gestionados por terceros con el objeto de facilitar el acceso a información y servicios disponibles a través de Internet”. En ningún caso se viene a delimitar el carácter público o privado de estos terceros, ni limitación alguna del contenido de la información transferida.

Más adelante se encomienda “a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el análisis de la movilidad de las personas en los días previos y durante el confinamiento siguiendo el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.

Los dos párrafos transcritos dan una libertad de tratamiento sobre nuestros datos prácticamente ilimitada, y sin nuestro consentimiento. Veamos:

  • Pueden transmitirse a terceros, sin limitación de cantidad ni de contenido de la información.
  • Existe un cruce de datos con la información que se encuentra en poder de los operadores telefónicos. Precisemos que se trata de una información agregada(por grupos de usuarios de un tamaño indeterminado, que no permita la identificación de ninguno) y anonimizada (sin vincular la individualización del usuario con la información). Sobra decir lo fácil que es para estos operadores eludir estas limitaciones, sin contar con la completa anonimización no existe.

Esta es una sola de las problemáticas que se están dando en el campo de la tecnología aplicada a la lucha contra la pandemia. La Agencia Española de Protección de Datos ha tomado cartas en el asunto y dictado diversas comunicaciones. A principio de mayo ha recopilado los riesgos y beneficios de las soluciones tecnológicas en el uso de las tecnologías en la lucha contra el covid19. un análisis de costes y beneficios. Vamos a sintetizar la posición de la Agencia sobre las aplicaciones tecnológicas más en boga.

Geolocalización de los móviles

Puede realizarse por los operadores de telefonía móvil o por las redes sociales. La geolocalización suministrada por los operadores de telefonía móvil ya ha sido facilitada organismos oficiales como el Instituto nacional de estadística. También previa petición judicial para la averiguación de actividades delictivas. Esta información debe facilitarse de forma anonimizada, los riesgos vendrían de posibles hackeos o subcontrataciones no autorizadas.

Mayor problema representa la utilización de redes sociales para la geolocalización. De hecho en la actualidad gran parte de la política comercial de Facebook o Google viene dado por la segmentación de los clientes a través de su geoposicionamiento. Las políticas de privacidad o las condiciones de uso no son suficientes para la utilización de este geoposicionamiento, dándose la circunstancia de que a la vez estas empresas pueden enriquecer los datos del usuario. La utilización de estas prácticas por las autoridades sanitarias vendrá condicionada por su utilización con un propósito y tiempo determinado.

Prevención mediante información a través de Apps

En primer lugar las apps de información voluntaria de contagios (COVAPPS).  Surgidas en ocasiones de la iniciativa ciudadana, estas apps. pretenden hacer sus propios mapas y estadísticas de propagación de la COVID-19 a partir de datos proporcionados voluntariamente por los usuarios.

Estas aplicaciones, a pesar de que algunas hayan sido creadas de buena fe, representan un problema potencial. En primer lugar, por desconocer en muchos casos el origen, finalidad e intencionalidad de los promotores de las aplicaciones. No debe descartarse que tras un fin altruista, se encuentre un ánimo lucrativo y de tráfico de datos.

Distintas son las apps de seguimiento de contactos por bluetooth (CONTACT TRACE APPS).  Conectan por bluetooth los teléfonos móviles. El  usuario infectado crea una “tarjeta” anónima que puede compartirlo con aquellas personas con las que estuvo en contacto, que recibirán un aviso. La centralización de este sistema se puede plantear por la Autoridad o por entes privados. Incluso  Google y Apple se han aliado para ofrecer una solución de seguimiento o contact trace usando sus sistemas iOS y Android. La problemática a la privacidad viene, como en otros casos, por el uso que estas compañías hagan de los datos, así como las consecuencias que de decisiones erróneas puedan inferirse a terceros. Hoy parece una solución difícil de implantar, pues implica la voluntariedad de sus usuarios, salvo para el caso de que se imponga por alguna autoridad imperativamente.

Otras apps. Contienen los llamados PASAPORTES DE INMUNIDAD. Estas aplicaciones ya vienen siendo utilizadas en algunos países. Identificarían al portador del teléfono móvil, como portado o no de riesgo. En el estado actual de la técnica los riesgos son múltiples. Al igual que el resto de aplicaciones el problema mayor estriba en el destinatario de esta información.

Cámaras de medición de temperatura

El pasado 30 de abril la Agencia de Protección de datos publicó el  Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. La utilización de este tipo de cámaras deberá ajustarse a unos parámetros claros manifestados por las autoridades sanitarias. El criterio de legitimidad de su utilización está constituido por una norma jurídica que determine su necesidad de aplicación.

Aquí la problemática mayor vendrá dada por la consecuencias que se deriven para la persona a la que se adjudicado una determinada temperatura. Por ejemplo, acceso al trabajo, situación de aislamiento, etc. En este caso la infracción no solamente se produciría la normativa de protección de datos, sino incluso a sus propios derechos personales o laborales. Por tanto, debe de utilizarse de una forma muy rigurosa, y evaluando cuidadosamente sus consecuencias.

Por último, no podemos olvidar que la infracción de la privacidad no solamente acarrea consecuencias en el campo de la protección de datos. No está de más recordar sus consecuencias penales . Así el artículo 197 bis señala:  “1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”.

En los próximos meses asistiremos a un interesante debate entre procedimientos tecnológicos de control, y legalidad de los mismos.

Los artículos 197 y 201 del Código Penal 

  1. «El que, por cualquier procedimiento, vulnera las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda al conjunto o a una parte de un sistema de información en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años».
  2. «El que, mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses».

Artículo 197 bis

  1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
  2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses.

NOTICIA ORIGINAL:

Utilización de medios tecnológicos frente al Covid-19 y protección de datos

Ir arriba