España
Cristina Zato
Consultora especialista en protección de datos y nuevas tecnologías

Numerosas son las tecnologías que se están empezando a implementar en muchos países del mundo a raíz la situación de crisis sanitaria ocasionada por el COVID-19, enfocadas todas ellas a la disminución de la propagación del virus, evitando así posibles futuros contagios.

Ahora bien, ¿a qué precio?

No cabe duda de que, ante situaciones excepcionales, deberán adoptarse medidas excepcionales, las cuales deberán cumplir en todo momento las garantías exigidas bajo el amparo de las legislaciones vigentes.

La tecnología, como bien sabemos, juega un papel esencial en nuestras vidas en prácticamente todos los sectores y ámbitos de la sociedad, reportándonos infinitos beneficios tanto a nivel personal, social, como profesional. Sin embargo, tampoco debemos olvidarnos de que muchas veces se están poniendo sobre la balanza nuestros derechos a la privacidad, al honor y a nuestra integridad moral, los cuales pueden llegar a verse completamente vulnerados, por causa de un uso incorrecto, e incluso a veces completamente injustificado.

La Agencia Española de Protección de Datos (AEDP) ha elaborado en el mes de mayo un documento enfocado a analizar las tecnologías que se están empezando a implementar en nuestro país con motivo de la lucha contra el Covid-19, evaluando las posibles inferencias y amenazas que pudieran llegar a suponer en la privacidad de los ciudadanos, y que serían las siguiente:

Geolocalización de los móviles por los operadores de telecomunicaciones.

A finales del pasado año, el Instituto Nacional de Estadística (INE), con la colaboración de las tres grandes teleoperadoras móviles en España, realizó un estudio de movilidad a través de datos anónimos de los teléfonos móviles, los cuales fueron facilitados por las propias teleoperadoras. Durante los días del estudio, el INE pudo analizar cuáles fueron los desplazamientos habituales de la población, determinó los lugares de residencia, así como el número de ciudadanos que se movieron de un municipio a otro para asistir a su lugar de trabajo, entre otras informaciones. El INE reiteró la anonimización de la información manejada, lo cual no supuso ningún conflicto con el incumplimiento de la normativa en materia de protección de datos.

De igual modo, durante el mes de marzo el INE ha realizado otro análisis de la movilidad de la población durante el estado de alarma por COVID-19 a partir de la posición de más del 80% de los teléfonos móviles en España, con el fin de estimar la movilidad de la población y comprobar qué parte de la misma permanece el mayor tiempo en su área de residencia, teniendo como referencia los datos anónimos utilizados en el estudio del mes de noviembre.

Dicha actuación, viene recogida en la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. El responsable del tratamiento será, como hemos venido indicando y recoge la propia Orden, el Instituto Nacional de Estadística, ostentando la figura de encargados de tratamiento los operadores de comunicaciones electrónicas móviles con los que se llegase a un acuerdo (finalmente fueron las tres grandes teleoperadoras móviles en España, como en el primer estudio realizado en noviembre). La Orden indica que el cruce de datos por parte de las operadoras móviles durante los días previos y durante el confinamiento se realizará de manera agregada y anonimizada.

Ahora bien, ¿es posible garantizar un anonimato absoluto de la información objeto de tratamiento? A este respecto, señala la propia AEPD en el documento elaborado de Orientaciones y garantías en los procedimientos de anonimización de datos personal, que, a pesar de que la anonimización ofrezca unas mayores garantías de privacidad en las personas, el avance de la tecnología dificulta garantizar el anonimato absoluto, sobre todo a lo largo del tiempo, siendo posible una posterior reidentificación de los sujetos, aunque ésta pudiera llegar a ocasionar un coste elevado. La AEPD asegura que ninguna técnica de anonimización puede garantizar la imposibilidad de una posterior reidentificación, por lo que se deberá atender a las garantías que recoge la legislación, con el fin de preservar la identidad de los ciudadanos.

Geolocalización de los móviles a partir de las redes sociales y autoevaluaciones voluntarias de contagios. 

A pesar de que la geolocalización a partir de los datos contenidos en las redes sociales sea una práctica habitual, el gigante Facebook, está creando nuevas herramientas para la lucha contra el Covid-19, de cara a poder analizar la evolución de la pandemia y apoyar la investigación en salud pública.
Como parte de su programa Data for Good, con el fin de crear una red de investigación para abordar los problemas humanitarios y de salud pública más importantes del mundo, Facebook, junto con el Centro de Investigación Delphi de la Universidad Carnegie Mellon, invitan a las personas de Estados Unidos a que, desde la propia red social, participen en una encuesta de autoevaluación, en la que se les pregunta cómo se sienten, incluyendo los síntomas, que tanto ellos, como las personas con las que convivan, hayan experimentado, así como sus factores para contraer el COVID-19.
A raíz de un mapa interactivo, se pueden comprobar, prácticamente a tiempo real, los siguientes datos:

  • Síntomas que las personas han informado, así como los casos confirmados.
  • Porcentaje de las personas que permanecen en su hogar y datos de movilidad, obtenidos por el Panel de movilidad de la propia red social, así como datos de distanciamiento físico entre las personas, obtenido a través del Depósito de Políticas Estatales de COVID-19.
  • Datos de la población con factor de riesgo (mayores de 65 años), relativos a la población total, densidad de la población por km cuadrado y porcentaje de las personas mayores de esta edad, obtenidos por el Censo de los EEUU.

A pesar de que desde la propia compañía se indique que la privacidad de las personas no se ve sacrificada a la hora de realizar la encuesta, además de no identificar al encuestado, ¿hasta qué punto Facebook no va a ser capaz de conocer la identidad de los encuestados y utilizarlos para fines propios, una vez terminada la pandemia? Facebook reconoce que utiliza los datos de la edad, sexo y ubicación de las personas encuestadas, por lo cual, y por mucho que garanticen la completa anonimización de los datos, viendo el historial de la compañía, tras el escándalo de Cambridge Analytica en el 2018, y la multa de 600.000€ impuesta por la AEPD el pasado año por el cruce de datos con Whatsapp incumpliendo las exigencias contenidas en la normativa en materia de protección de datos (en concreto, el Reglamento Europeo de Protección de Datos)  ¿hasta qué punto debemos fiarnos de la anonimización de tales datos, conociendo el grandísimo valor y negocio que hay detrás de todos ellos?

Resulta interesante sacar a colación la aplicación de autodiagnóstico que la Comunidad de Madrid ha lanzado para móviles: “CoronaMadrid”. Sin ánimo de entrar en un análisis exhaustivo de la misma, sí nos llama la atención que, únicamente se procederá a la anonimización de los datos una vez finalizada la emergencia sanitaria, así como cuando los mismos fueran necesarios para fines estadísticos, de investigación biomédica, científica o histórica, y para archivo en interés público, tal y como seña la política de privacidad de la aplicación. Los datos que recoge la aplicación son: nombre y apellidos, número de teléfono móvil, DNI/NIE para posterior cruce con la tarjeta sanitaria, fecha de nacimiento, dirección completa y comunidad autónoma en la que estás, género, geolocalización (con carácter opcional), y datos de salud relacionados con la evaluación realizada en función de los síntomas que se están experimentando. Estos datos se cederán, además de a la propia Consejería de Sanidad de la Comunidad de Madrid, a los profesionales sanitarios, a las Fuerzas y Cuerpos de Seguridad del Estado u órganos judiciales en caso de requerimiento, así como a los proveedores y colaboradores, junto con las empresas con las que éstos subcontraten.

En la página web del aplicativo se indican las empresas privadas que participan en el desarrollo de la aplicación (Carto, ForceManager y Mendesaltaren, con el apoyo y colaboración de las corporaciones Telefónica, Ferrovial, Goggo network y Google), sin embargo, no se especifica las empresas que puedan llegar a subcontratar tales compañías.

A pesar de que la aplicación recoja que el tratamiento se realizará con fines estrictamente de interés público en el ámbito de la salud pública, ante la situación de emergencia sanitaria, como consecuencia de la pandemia COVID-19, y debido a la “necesidad de su control y propagación, así como para proteger y salvaguardar un interés esencial para la vida de las personas, de conformidad con la normativa de protección de datos vigente”, todos los datos que recoge el aplicativo serán cedidos a las empresas participantes y colaboradoras, pero ¿sabemos cómo van a proceder al tratamiento de nuestros datos estas empresas privadas y aquellas con las que éstas subcontraten? Parece que nada se indica al respecto, por lo que se desconoce por completo el alcance real del tratamiento de los datos recabados por el aplicativo a tal efecto.   

Cámaras de infrarrojos para lecturas masivas de temperatura.

A este respecto, la AEPD ha lanzando un Comunicado en relación con la toma de temperatura por parte de los comercios, centros de trabajo y otros establecimientos, el cual ha generado numerosas críticas dentro del sector de la privacidad.

La aplicación de dichas medidas quedará sujeta a lo que determine el Ministerio de Sanitad, regulando los límites y garantías para un correcto tratamiento de los datos personales de los afectados. En todo caso, se deberá atender a la proporcionalidad de la medida y valorar si estos mecanismos pueden llegar a sustituirse por otras medidas menos intrusivas.

En la actualidad ya hay empresas que tienen incorporadas estas cámaras de temperatura, pero, sin entrar a analizar el mayor o menor tratamiento de datos que pudiera llegar a realizarse a través del uso de esos sistemas, ¿hasta qué punto es moral y socialmente aceptable el que este tipo de tecnologías pudieran llegar a normalizarse en un determinado país, suponiendo, tal y como indica la propia AEPD, una “injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias”? En el hipotético caso de un pronunciamiento a favor por parte de éstas, igualmente deberemos plantearnos la cuestión de, si una vez finalizada la pandemia, esta, junto con el resto de tecnologías aplicadas, han venido o no para quedarse.

Pasaportes de inmunidad.

Otra de las medidas que se están empezando a considerar en algunos países como España, EEUU, Alemania, Reino Unido o Chile, es un pasaporte digital que, a través de un código QR se comprueba si se ha pasado el SARS-Cov-2 y se es inmune al virus, de tal manera que dicho dato actuaría como salvoconducto para poder o no dejar pasar al portador.

El riesgo derivado del uso de esta tecnología es elevado, puesto que se estarían tratando datos de salud, los cuales deben de contar con garantías reforzadas a la hora de su tratamiento, recalcando la AEPD que dichos sistemas son muy vulnerables al acceso a manos de delincuentes informáticos, al cruce con otros datos de localización, incorporación de metadatos, lectura remota, etc.

En España, ya tenemos el aplicativo InmunoCard, una iniciativa tecnológica enfocada a ayudar a las empresas en el proceso de desescalada. A través de este sistema, las empresas pueden obtener la información relativa a la salud de sus empleados, y poder analizar cómo ha afectado el virus en su equipo, así como gestionar las posibles futuras incorporaciones de una manera segura.

Ahora bien, ¿no pueden llegar a suponen estos sistemas de control una violación de nuestros derechos a la intimidad y nuestro honor y dignidad como seres humanos? A mi modo de ver, estas medidas son totalmente desproporcionadas para la finalidad pretendida.

En China, por ejemplo, se están adoptando unas estrictas medidas en su lucha por el coronavirus. Aparte de ya disponer el país antes de la pandemia con cientos de millones de cámaras instaladas en todo el territorio chino, con millones de líneas de código, adaptadas con la tecnología de reconocimiento facial e inteligencia artificial para la identificación y rastreo de la totalidad de la población, en la ciudad de Wuhan ya se pueden ver robots desinfectantes, cascos inteligentes, e incluso drones equipados con cámaras térmicas. Los softwares de reconocimiento facial también han mejorado su tecnología.

Según apuntan investigadores chinos de Human Right Watch, “el brote de coronavirus está demostrando ser uno de esos hitos en la historia de la propagación de la vigilancia masiva en china”. El gobierno chino obliga a sus ciudadanos a instalar la aplicación “Suishenban”, que, tal y como asegura el propio gobierno, se basa en un análisis y cruce masivo de información de datos de movilidad, medios de transporte, datos de geolocalización de las lecturas de los códigos QR, así como de las compras y pagos realizados. Todos estos datos deberán ser actualizados diariamente.

Lo novedoso de este sistema es que, en función del estado de salud del ciudadano, la aplicación le asigna un color dentro del código QR, que determinará el grado de movilidad de la persona:(Color verde – libre de virus – movilidad permitida; color ámbar – peligro de contagio –confinamiento obligatorio de 7 días; color rojo – peligro alto de contagio – confinamiento obligatorio de 14 días.)

Como apuntaba al principio del artículo, ante situación excepcionales, se deberán tomar medidas excepcionales. Tal y como apunta el Comité Europeo de Protección de Datos en la declaración emitida el 19 de marzo de 2020 (CEPD) la normativa de protección de datos no debe ser un obstáculo en la lucha contra la pandemia del coronavirus. Asimismo, también indica que la emergencia es una condición legal que puede legitimar restricciones de libertad, siempre y cuando estas restricciones sean proporcionadas y limitadas al periodo de emergencia. 

No hay duda de que, a raíz de la pandemia del coronavirus, parte del mundo entero está sufriendo una evolución tecnológica de tales dimensiones, que todavía no podemos pararnos a analizar las consecuencias que todas ellas conllevaran en un futuro.
Parece ser, que la idea de los gobiernos a nivel global es tender a la digitalización de la sociedad en todos los ámbitos de nuestra vida, como venimos comprobando en los últimos años, la cual se ha visto notoriamente agilizada a raíz de la pandemia. Parece que todos los países juegan al unísono en la necesidad de implementar con la mayor rapidez posible, todos aquellos sistemas de cara a un control de la población, aludiendo en todo momento a motivos de salud pública.

Mi principal preocupación es, tal y como expone Joe McFadden, gerente de tecnología de la red social de salud Health Unlocked que “cuando ciertas cosas se introducen en condiciones de emergencia, luego no vuelven a la normalidad. Entonces, si aceptamos este tipo de monitoreo por este motivo ahora, podría ser la nueva normalidad en adelante.”

Fuente: www.legaltoday.cl