Especial COVID-19

Comienza el contenido principal

Directrices del Comité Europeo de Protección de Datos sobre el uso de datos de localización y la utilización de otras herramientas de rastreo en el contexto del COVID-19

| Especial COVID-19 | Privacy, IT & Digital Business

El pasado 21 de abril, el Comité Europeo de Protección de Datos (“CEPD”) publicaba las Directrices 04/2020 sobre el uso de datos de localización y la utilización de otras herramientas de rastreo en el contexto del COVID-19 (las “Directrices”), con el objetivo de orientar y establecer un marco legal a nivel europeo para el tratamiento de datos personales mediante aplicaciones de rastreo en la lucha contra el virus.

Recientemente, a fin de controlar y eliminar la pandemia causada por el COVID-19, han surgido diferentes iniciativas, tanto públicas como privadas, relacionadas con la contención y el control de la propagación del COVID-19. Entre ellas, podemos destacar la creación de mapas o modelos sobre cómo se expande la pandemia, utilizando los datos de geolocalización de los dispositivos móviles de los ciudadanos. En esta misma línea, cabe recordar que el Gobierno de España se encuentra actualmente desarrollando una aplicación para el control de la pandemia en nuestro país, lo que ya explicamos aquí.

A parte de las iniciativas públicas, algunas empresas como Apple y Google han presentado un proyecto de colaboración conjunta para ayudar a las autoridades a reducir la propagación del virus mediante el uso de la tecnología Bluetooth. En este sentido, cabe indicar que la Information Commissioner´s Office, la autoridad de protección de datos del Reino Unido, se ha pronunciado recientemente a favor de este proyecto.

Por medio de las Directrices, el CEPD pretende esclarecer cuales son las condiciones y principios que se han de tener en cuenta para realizar estas actividades de rastreo cuya finalidad sea evitar la propagación de la enfermedad. En primer lugar, el CEPD recuerda que, en todo caso, el uso de este tipo de aplicaciones de geolocalización debe ser voluntario. Asimismo, se hace especial hincapié en el hecho de que estas herramientas no deben rastrear o hacer un seguimiento de los movimientos individuales de las personas, sino únicamente recabar información sobre la proximidad entre los usuarios (contact tracing).

Igualmente, el CEPD hace hincapié en que cualquier tipo de medida adoptada por los Estados Miembros o por parte de cualquier organismo de la Unión Europea sobre el uso de datos de localización y herramientas de rastreo tiene que estar supeditado a los principios de eficacia, proporcionalidad y necesidad.

En este sentido, el CEPD pretende establecer unos criterios y recomendaciones orientativas y armonizadas a nivel europeo, destacando, en todo caso, que el empleo de dichas tecnologías debe ser únicamente la lucha contra el COVID-19, sin que pueda utilizarse para controlar o reprimir a la población. En concreto, el CEPD expresa que: 

  • El uso de las herramientas de geolocalización debe limitare a la elaboración de mapas de propagación del COVID-19, con el objetivo de comprobar la eficacia de las medidas de distanciamiento social implantadas por parte de los diferentes Estados Miembros.
  • En cuanto a las aplicaciones o herramientas de rastreo, el objetivo de su utilización debe ser notificar a los interesados si han estado en contacto con alguien que, o bien esté contagiado o bien que se haya confirmado posteriormente como portador de la enfermedad, con la finalidad de romper o reducir la cadena de contagios.

A nivel estructural las Directrices establecen que:

  • Los datos de geolocalización obtenidos, ya sea por las operadoras de telecomunicaciones como por diferentes proveedores de servicios de sociedad de la información (i.e. Facebook, Google, etc.) solamente podrán ser tratados si previamente han sido anonimizados. Asimismo, dichos datos únicamente podrán ser transferidos a las autoridades o terceros que cuenten con la autorización de las autoridades.
  • Es necesaria realización de una Evaluación de Impacto en la Protección de Datos, dado el carácter sensible de los datos personales que serán objeto del tratamiento.
  • De manera preferente, los datos personales deben ser anonimizados y los encargados o responsables de tratamiento tienen que tomar medidas de seguridad adecuadas para salvaguardar la protección de los datos recabados. De cara a valorar cuándo se deben tratar datos personales, deben analizarse aspectos objetivos (i.e. tiempo o medios técnicos) y los elementos contextuales de cada situación concreta (i.e. frecuencia del fenómeno, incluyendo a la población, densidad, naturaleza y el volumen de los datos). En este sentido, el CEPD recuerda que no debe confundirse el concepto de datos anónimos con datos seudonimizados.
  • Las aplicaciones de rastreo que notifiquen si se ha estado en contacto con un posible contagiado tienen que utilizar datos relativos a la proximidad de las personas y no su ubicación exacta. Además, es necesario garantizar que no es posible su identificación, quedando la información almacenada únicamente en sus dispositivos. En concreto, el CEPD recuerda que el contact tracing requiere medidas destinadas a cumplir con el principio de privacidad desde el diseño y el principio de minimización. En este mismo sentido, se recomienda la publicación del código fuente de la aplicación, identificando asimismo al responsable o responsables de la misma.
  • Las aplicaciones o herramientas de contact tracing no pueden sustituir al personal cualificado a fin de verificar el contagio (es decir, se prohíbe la completa automatización del proceso de verificación de contagios). Los algoritmos deben estar bajo la correcta supervisión para minimizar riesgo de falsos positivos y negativos.
  • El almacenamiento de información en el dispositivo del usuario o el acceso a la información ya almacenada solo se permite si el usuario ha prestado su consentimiento, o el almacenamiento y acceso es estrictamente necesario para el servicio de la sociedad de la información solicitado.
  • Respetar el principio de minimización de datos, es decir, que el tratamiento de los datos se tiene que reducir al mínimo estrictamente necesario. En consecuencia, las aplicaciones de rastreo en ningún caso podrán recoger datos no necesarios como es el nombre, el número de teléfono, el número de serie del terminal, el registro de llamadas, entre otros.
  • Respetar el principio de finalidad del tratamiento, por lo que, los datos personales no podrán ser utilizados posteriormente para fines no relacionados con el COVID-19 y la pandemia.
  • Los datos deberán conservarse conforme a criterios razonables y objetivos (i.e. periodo de incubación u otros criterios epidemiológicos) y, como máximo, hasta el final de la crisis. Posteriormente, como regla general deberán ser borrados o anonimizados.
  • La notificación a los usuarios infectados desde la aplicación o herramienta debe estar sujeta a una autorización previa (i.e. código de uso único vinculado a un seudónimo de la persona infectada y vinculada a la verificación mediante un test o un profesional sanitario). En caso contrario no deberá realizarse el tratamiento sobre el estado del usuario. En este punto, únicamente las personas con las que el usuario infectado ha estado en contacto directo en el período de relevancia epidemiológica deben ser informadas.

En último lugar, es preciso destacar que las Directrices del CEPD constan de un anexo final que contiene una guía dirigida a desarrolladores y programadores, cuyo objetivo es establecer ciertos criterios de orientación básica a la hora de desarrollar las mencionadas aplicaciones de rastreo.

En definitiva, el CEPD mantiene que el Reglamento General de Protección de Datos es lo suficientemente flexible como para dar encaje y permitir todos aquellos tratamientos que se deriven de la lucha contra el COVID-19. Sin embargo, es preciso cumplir con los requisitos para garantizar el debido respeto al derecho a la protección de datos de los interesados, fomentando la transparencia en el tratamiento, y garantizando así la confianza y el apoyo de la ciudadanía.

Esperamos que la información sea útil y de su interés. Desde Andersen Tax & Legal hemos creado un equipo multidisciplinar para atender todas las cuestiones que puedan surgir sobre este aspecto o en relación con el COVID-19.

Puede consultar las Directrices del CEPD sobre el uso de datos de localización y la utilización de otras herramientas de rastreo en el contexto del COVID-19 haciendo clic aquí o descargar el documento completo aquí

Para más información, puede contactar con:

Isabel Martínez Moriel | Director en el área de Privacy, IT & Digital Business

isabel.martinez@andersentaxlegal.es

Fin del contenido principal