RadarCOVID: ¿transparencia y garantía de los derechos?

28 septiembre, 2020
radarcovid

A finales de junio el Gobierno aprobó el desarrollo de una prueba piloto (en La Gomera), cuya implementación correspondió a la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) relativa a una aplicación de notificación de contactos de riesgo para facilitar el control de la pandemia (RadarCOVID).

Según dio a conocer el Ministerio de asuntos económicos y transformación digital a principios de agosto 2020, dicha aplicación superó la fase de pruebas cumpliendo todos los objetivos marcados y la app ya quedó lista para su implementación por parte de las CCAA. RadarCOVID se basa en el uso del móvil para conocer con qué personas se ha estado en contacto y poder alertar al resto de usuarios y facilitar la interrupción de las cadenas de contagio.

En situaciones de pandemia es clave llevar a cabo un rastreo de los contactos. Tradicionalmente ello se ha hecho de forma manual, lo que tiene como principal inconveniente que la persona infectada no siempre recordará ni conocerá la identidad de aquellos con los que se ha encontrado o coincidido momentáneamente. La tecnología sin duda puede proporcionar una gran ayuda en esta reconstrucción de contactos ya que permite la escalabilidad de esta labor.

¿Cómo funciona RadarCOVID?

El funcionamiento de esta aplicación (descentralizada o centralizada), se basa en la comunicación entre móviles mediante señales bluetooth y el intercambio de identificadores guardados en los móviles durante cierto tiempo.

En el modelo descentralizado, cuando el usuario se descarga la app, el móvil genera unos identificadores que van cambiando. En la vida diaria, al circular por la calle, usar el transporte público, entrar en centros comerciales o ir al trabajo, el móvil va emitiendo estos identificadores que va comunicando a los otros móviles que tienen descargada la aplicación. En cada terminal se generan dos listados, uno relativo a los códigos generados por el propio móvil periódicamente y otro de los códigos que va recibiendo. Ambos listados se guardan en el móvil del usuario temporalmente.

Cuando un usuario conoce que está afectado por la COVID-19 sube al servidor central la lista de códigos generados por su móvil (no aquellos con los que se ha cruzado) mediante una clave que el centro de salud u hospitalario le facilita para evitar falsos positivos o incluso que un usuario no afectado por la COVID-19 pueda, maliciosamente, subir la lista de códigos generados por su móvil con el fin de boicotear la app.

El resto de usuarios de la aplicación consulta y descarga de forma periódica los nuevos códigos cargados al servidor (los listados de quienes han dado positivo) y los descarga en su móvil. En el terminal de cada usuario se coteja el listado de los contagiados y aquellos códigos que el usuario que consulta ha ido interceptando.  Al hacer este cotejo, el móvil del usuario que consulta realiza un cálculo del riesgo de infección (en función del tiempo y distancia de la coincidencia). En caso de considerar que se trata de un riesgo elevado se generará una señal de alarma y entonces quien consulta deberá tomar la decisión correspondiente (someterse a un test, confinarse, etc…).

En el caso de los sistemas centralizados, el servidor asigna unos identificadores a cada móvil (de algún modo podría llegar a conocer qué usuario está detrás de cada identificador). En este modelo el servidor también evalúa el riesgo de exposición de cada móvil (usuario) y genera la alerta correspondiente.

Protección de datos y aplicaciones móviles

Sin duda estas apps pueden ser útiles para generar confianza, especialmente en un momento en que los contagios vuelven a incrementarse y en que es preciso reactivar la economía y especialmente retomar las actividades lectivas. 

Sin embargo también plantean interrogantes, singularmente la posible afección a los derechos fundamentales entre los que cabe destacar la dignidad humana, el respeto de la vida privada y familiar, la protección de los datos personales, la libertad de circulación, la no discriminación, la libertad de reunión y de asociación o la libertad de empresa. La injerencia en la intimidad y el derecho a la protección de los datos personales pueden ser especialmente relevantes, ya que la implementación y uso de estas apps se basan en un modelo de uso intensivo de datos.

Estas apps deben garantizar el respeto a los derechos fundamentales y que no serán utilizadas para el control y vigilancia de la población

Por otra parte también existe el peligro de la inexactitud de los datos y la estigmatización de determinadas personas así como problemas de seguridad de estas aplicaciones.

En cualquier caso el desarrollo y adopción de estas apps requiere la aceptación y adopción por parte de la población y para ello es preciso que la ciudadanía confíe en las mismas. Ello solo será posible si se garantiza el respeto a los derechos fundamentales y que no serán utilizadas para el control y vigilancia de la población. En consecuencia, es esencial hallar soluciones que sean lo menos intrusivas posible y respeten la legislación vigente. Singularmente, en aquellos casos en que efectivamente se traten datos personales, la normativa específica de la UE.

La protección de los derechos fundamentales

En la medida que los riesgos son evidentes, determinadas instancias se pusieron en marcha para elaborar unas orientaciones. En 8 de abril 2020 la Comisión de la UE adoptó la Recomendación (UE) 2020/518 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular respecto a las aplicaciones móviles y la utilización de datos de movilidad.

En esta Recomendación se indican varios aspectos, entre los que cabe destacar: la necesidad de la interoperabilidad; el respeto a los principios de protección de datos y la adopción de medidas efectivas de seguridad y de salvaguardias que garanticen el respeto de los derechos fundamentales. La Comisión subrayó la necesidad de evitar medidas intrusivas y que las apps se basaran en datos anonimizados así como el recurso al Bluetooth de baja energía (BLE) y la limitación temporal de las medidas adoptadas.

Si una persona se desplaza entre países de la Unión Europea por trabajo o turismo la app de rastreo de contactos debe seguir funcionando

El 17 de abril la Comisión publicó unas orientaciones que especificaron con más detalle los principios de protección de la intimidad y de los datos sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia de COVID-19 (ver 2020/C 124 I/01). En las mismas se determina las características y los requisitos que deberían reunir las aplicaciones para asegurar el cumplimiento de la legislación de la UE. Debe subrayarse que se trata de orientaciones que no son jurídicamente vinculantes.

De nuevo la Comisión subraya la conveniencia de garantizar la interoperabilidad entre las soluciones informáticas de los distintos Estados miembros (si un sujeto se desplaza entre los países de la UE por trabajo o turismo, la App debe seguir funcionando) y que la adopción de estas apps debe ser voluntaria.

También es preciso tener en cuenta las Directrices 04/2020 del Comité Europeo de Protección de datos (CEPD), adoptadas el 21 de abril de 2020 relativas al uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19

Orientaciones de la Comisión de la UE

En cuanto a las orientaciones indicadas, cabe señalar los aspectos más relevantes:

  • Necesidad de determinar quién es el responsable del tratamiento (RT), sobre quien gravita el cumplimiento de las obligaciones relativas al tratamiento de datos. La Comisión considera, dado el carácter sensible de los datos tratados, que las autoridades sanitarias deberían ser las RT.  
  • Necesidad de garantizar que la persona siga teniendo el control de sus datos. Para ello es preciso:
    • la instalación voluntaria de la aplicación;
    • no agrupar las distintas funcionalidades de la misma (poder aceptar una y rechazar otra);
    • en caso de usar datos de proximidad, almacenar los datos en el dispositivo del usuario;
    • proporcionar toda la información necesaria al afectado y garantizarle el ejercicio de sus derechos
    • desactivar las aplicaciones como máximo al declarar el control de la pandemia.
  • La base jurídica (BJ) que permite el tratamiento relativo a la instalación de las aplicaciones y almacenamiento de información en el dispositivo del usuario, es su consentimiento (art. 4.11 RGPD: libre, específico, informado e inequívoco). Si se tratan categorías especiales de datos (p. ej. datos de salud), es necesario el consentimiento explícito (art. 9.2.a RGPD). En cuanto al tratamiento llevado a cabo por las autoridades sanitarias, la BJ será la legislación que habilite el tratamiento. Deben cumplirse las exigencias de los arts. 6.1.c) y 9.2.i) RGPD. También puede permitirse el tratamiento si el mismo es necesario para la realización de una misión llevada a cabo a favor de un interés público esencial [9.2.g) RGPD].
  • El tratamiento de datos que comporta la utilización de la app deberá respetar en todo caso los principios de protección de datos. Entre estos cabe subrayar el de minimización [art. 5.1.c) RGPD] y la protección de datos desde el diseño y por defecto (§ 27, Directrices 04/2020 del CEPD) así como el principio finalidad (art. 5.1.b RGPD). Se recomienda no agrupar diferentes funcionalidades. La Comisión considera que la mera indicación de la finalidad de «prevención de nuevas infecciones de COVID-19» no es suficientemente específica.
  • A fin de respetar el principio de limitación del plazo de conservación [art. 5.1.e) RGPD], los datos deben suprimirse cuando dejen de ser necesarios. También es necesario garantizar la exactitud de los mismos (art. 5.1.d. RGPD), lo que constituye un requisito previo para la eficiencia de la aplicación y el principio de integridad y confidencialidad [art. 5.1.f) RGPD] así como la seguridad de los datos. Se recomienda almacenar los datos en el dispositivo terminal de la persona de forma cifrada.

Un aspecto clave es la aplicación del principio de protección de datos desde el diseño y por defecto (art. 25 RGPD). En la medida que la tecnología no es neutra, ello comporta que ante las distintas opciones de diseño se busque y opte por aquella que proteja mejor la privacidad y los datos personales de los afectados. Unido a este principio debe subrayarse la necesidad de llevar a cabo una evaluación de impacto relativa a la protección de datos (EIPD) antes de que el tratamiento se lleve a cabo según las exigencias del art. 35 RGPD. El CEPD también reconoce la imperiosa necesidad de llevar a cabo dicha evaluación en la medida que es un tratamiento que puede entrañar un alto riesgo, y “recomienda encarecidamente la publicación de las EIPD” (§ 39, Directrices 04/2020 del CEPD).

Finalmente, es indispensable tener en cuenta el principio de responsabilidad proactiva (art. 5.2 RGPD), de modo que el RT deberá garantizar que ha cumplido con la normativa de protección de datos tanto en la fase de diseño como de implementación de la app y que además puede acreditarlo.

Dudas en el desarrollo de RadarCOVID

Sin embargo, los principios y recomendaciones expuestos serán papel mojado si los algoritmos en que se basan las aplicaciones no están sujetos a un escrutinio público. Como declara el CEPD en las Directrices 04/2020, “Para asegurar su equidad, la rendición de cuentas y, más en general, su consonancia con la ley, los algoritmos deben ser auditables y han ser revisados periódicamente por expertos independientes. El código fuente de la aplicación debe hacerse público con miras a un control lo más amplio posible (§ 37).

La publicidad del código fuente es indispensable y es preciso que ello se produzca durante el proceso de elaboración e implementación del mismo, de modo que se pueda ir evaluando y corrigiendo sus posibles errores y limitaciones. En los procesos de desarrollo de software con código abierto (como es el caso) se acostumbra a abrir el código a la comunidad antes del lanzamiento final del mismo, para que la comunidad pueda revisarlo y detectar posibles errores.

Si esto no se produce, se lanza un producto ya cerrado que, si bien es susceptible de auditorías a posteriori como prevé entre otras la normativa de protección de datos, puede causar perjuicios y vulnerar derechos, lo que con un análisis previo puede evitarse.  En el caso de la app RadarCOVID este proceso de publicidad no fue suficiente en su momento, como declaran algunos medios de comunicación

Es por ello y en consonancia con esta exigencia, que parte de la comunidad académica hizo un llamamiento a la necesidad de revelar el código y hacer públicos una serie de elementos relativos a su desarrollo y publicó un manifiesto al respecto. En éste se refleja la necesidad de “implementar procesos abiertos que permitan a la sociedad participar en la integración de nuevas tecnologías en la administración desarrolladas con dinero público. Entre otros, la publicación de documentación y código que provean a la comunidad científica y la sociedad civil de la capacidad de escrutinio necesaria para identificar puntos a mejorar y contribuir a desarrollar y desplegar soluciones digitales democráticas, inclusivas y conformes a los más altos estándares”.

Si bien como ponen de relieve múltiples instancias implicadas la simple implementación de este tipo de apps no servirán por ellas mismas para controlar la pandemia si no van acompañadas de otras soluciones, sí que es preciso que las soluciones tecnológicas se sometan a una evaluación y al tamiz del respeto a los derechos fundamentales. En definitiva, como señala el CEPD, “debemos ser cautelosos con el carácter irreversible de ciertas medidas. Es nuestra responsabilidad garantizar que cada una de las medidas adoptadas en estas circunstancias extraordinarias sea necesaria, limitada en el tiempo y de alcance mínimo, y que se someta a una verdadera revisión periódica y a evaluación científica” (§ 48 Directrices 04/2020).

Autor / Autora
Profesora de los Estudios de Derecho y Ciencia Política de la UOC. Directora del Postgrado en Protección de Datos de la UOC.
Comentarios
Deja un comentario