Especial COVID-19

Comienza el contenido principal

Tratamiento de datos de geolocalización con el fin de controlar la expansión del COVID-19

| Especial COVID-19 | Privacy, IT & Digital Business

Estado de la cuestión tras la Orden Ministerial SND/297/2020 y las opiniones de la AEPD, el Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos

En los últimos días hemos sido testigos de una incesante labor legislativa, consultiva y ejecutiva de las distintas autoridades europeas, nacionales e internacionales con el fin de paliar y contener la pandemia de COVID-19, lo que se ha traducido en un número considerable de resoluciones, recomendaciones, decisiones y guías emitidas en relación con las medidas adoptadas y las recomendaciones de las autoridades sanitarias.

Recientemente, el Supervisor Europeo de Protección de Datos (“SEPD”) y la Agencia Española de Protección de Datos (“AEPD”) han publicado sendas comunicaciones estableciendo su criterio respecto al tratamiento de los datos personales en relación con la elaboración de mapas de seguimiento sobre la expansión del COVID-19, principalmente, a partir de la recogida de datos de geolocalización a través de dispositivos móviles. A ello cabe añadir la reciente publicación y entrada en vigor, en fecha 28 de marzo de 2020, de la Orden SND/297/2020 emitida por el Ministerio de Sanidad (la “Orden Ministerial”) sobre el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria.

En primer lugar, el SEPD, en contestación a una consulta de la Dirección General de Digital de la Comisión Europea, ha puesto de manifiesto que la normativa europea de protección de datos es lo suficientemente flexible como para permitir que se tomen medidas extraordinarias en la lucha contra el COVID-19, realizando, a su vez, un llamamiento a todos los Estados Miembro en aras de que actúen de forma conjunta y coordinada la hora de implementar estas medidas extraordinarias.

En relación con el uso de los datos para la elaboración de mapas de geolocalización y movimiento de las personas, el SEPD mantiene que dichos datos tienen que ser anonimizados, lo cual requiere de medidas adicionales, destacando que no es suficiente a tal fin la mera eliminación de los números de teléfono o el número de serie del terminal (IMEI). En este punto, el SEPD recuerda que tanto la Comisión Europea como los terceros que puedan colaborar con ella tienen la obligación de adoptar todas aquellas medidas necesarias y pertinentes que garanticen la seguridad y la confidencialidad de los datos personales.

Por último, el SEPD indica que todos los datos obtenidos de los operadores móviles deben ser destruidos una vez haya finalizado la presente crisis del COVID-19, instando a que los responsables del tratamiento y las autoridades europeas dispongan de un procedimiento transparente al efecto.

Recordemos que, en un sentido similar, aunque más escueto, se pronunció el Comité Europeo de Protección de Datos en su Declaración de 16 de marzo de 2020, de la que hablamos en una anterior nota informativa. Al respecto, señaló que: (i) las autoridades públicas debían garantizar que los datos de geolocalización debían ser tratados de forma anónima de forma que no se permita la re-identificación de los interesados y (ii) que los Estados Miembros de la UE tenían la posibilidad de adoptar diferentes medidas con el objetivo de garantizar la seguridad pública y nacional, siempre y cuando dichas medidas sean necesarias, proporcionadas y apropiadas en una sociedad democrática.

Por otro lado, la AEPD ha manifestado que la situación extraordinaria provocada por el COVID-19 no puede conllevar la suspensión ni la minoración del derecho fundamental a la protección de datos. No obstante, señala que la normativa en esta materia tampoco debe ser un impedimento para que las autoridades puedan tomar las medidas que tengan por objetivo el control y la lucha contra el COVID-19.

Así, teniendo en cuenta las diferentes iniciativas, tanto públicas como privadas, que están surgiendo con el objetivo de realizar un seguimiento de la expansión del virus, que solicitan datos personales a los ciudadanos mediante el uso de páginas webs y aplicaciones móviles, la AEPD ha considerado oportuno remarcar los criterios para que dichos tratamientos sean lícitos:

  1. La base legal que fundamenta el tratamiento debe ser siempre bien el interés público, o bien garantizar los intereses vitales de los afectados o de terceros.
  2. La finalidad del tratamiento debe ser, exclusivamente, el control de la epidemia (i.e. aplicaciones de autoevaluación sanitaria o la creación de mapas de riesgo mediante la obtención de estadísticas con datos de geolocalización agregados).
  3. Únicamente podrán tratar dichos datos las autoridades públicas competentes, lo que incluye las cesiones de datos entre dichas autoridades con el objetivo de controlar la epidemia.
  4. Además, la AEPD hace especial hincapié en el hecho de que las entidades privadas que colaboren con las autoridades únicamente podrán tratar los datos personales conforme a las instrucciones de éstas, sin poder utilizar los datos para ninguna otra finalidad.

En este sentido, la AEPD advierte a los ciudadanos que las aplicaciones o webs de entidades privadas que soliciten datos personales para la lucha contra el COVID-19 no cuentan con la base de legitimación indicada anteriormente para dichos tratamientos.

Por último, la AEPD recuerda que, con la finalidad de geolocalización de los usuarios, el único dato que debería facilitarse a los operadores de telecomunicaciones es el número de teléfono móvil que se pretende localizar, salvo que las autoridades competentes dispongan lo contrario.

Por otro lado, la Orden Ministerial encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19. Los objetivos de esta aplicación son principalmente los siguientes:

  1. Por un lado, permitir a los usuarios realizar una autoevaluación personal basada en los síntomas que comunique, ofreciendo información práctica y consejos sobre cómo actuar.
  2. Por otro lado, la aplicación permitirá la geolocalización del usuario a los efectos de verificar que se encuentra en la Comunidad Autónoma que ha indicado.

Tal y como dispone la Orden Ministerial, el responsable del tratamiento de la aplicación será el Ministerio de Sanidad, designando como encargado a la Secretaría General de Administración Digital, que está autorizada para recurrir a los sub-encargados que considere para el cumplimiento de sus funciones.

Adicionalmente, se prevé la creación de un chatbot para ser utilizado en las aplicaciones de mensajería instantánea, que proporcionará a los ciudadanos información oficial del Ministerio de Sanidad, así como el desarrollo de una página web informativa.

La Orden Ministerial permite asimismo el estudio de la movilidad de los ciudadanos (de forma agregada y anonimizada), con el objetivo de contar con información real sobre los traslados de las personas en los días previos y durante el confinamiento. Así, la finalidad es entender los desplazamientos y movimientos de la población para analizar las capacidades y recursos sanitarios de cada provincia.

Este estudio se realizará, siguiendo el modelo del Instituto Nacional de Estadística, mediante el cruce de datos facilitado por los operadores de telecomunicaciones. En este caso, el responsable del tratamiento será el Instituto Nacional de Estadística, siendo encargados de tratamientos los operadores de telecomunicaciones que faciliten la información de los usuarios.

 

Puede consultar los documentos en los siguientes enlaces: Carta del Supervisor Europeo de Protección de Datos, Comunicación de la AEPD, Declaración del Comité Europeo de Protección de Datos y Orden SND/297/2020 del Ministerio de Sanidad.

 

Puede descargar la nota informativa aquí en PDF.

 

Para más información, puede contactar con:

Isabel Martínez | Director en el área de Privacy, IT & Digital Business

isabel.martinez@andersentaxlegal.es

 

Fin del contenido principal