A raíz de la situación actual de nuestro país surgen distintas controversias en lo que respecta a la protección de datos. Tras la aprobación de la Orden ministerial SND/297/2020, de 27 de marzo (en adelante Orden ministerial u Orden), se han hecho virales noticias en las que se ha hablado de dos polémicas principalmente: en primer lugar, qué dicha Orden derogaba la normativa en materia de protección de datos durante el estado de alarma y, en segundo lugar, que la APP ASISTENCIACOVID-19 tendría geolocalizados y controlados en todo momento a los ciudadanos españoles. Es por este motivo por lo que hemos considerado necesario dedicar un artículo en nuestro Blog para realizar determinadas aclaraciones al respecto.
¿Qué finalidad tiene la Orden ministerial?
Nos encontramos ante una norma de rango reglamentario que puede emanar de cualquiera de los ministros del Gobierno de España, en este caso en concreto del Ministerio de Sanidad. Tal y como podemos encontrar en la exposición de motivos de la mencionada Orden, su principal finalidad es «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública».
Para conseguir dicha finalidad lo que se va a intentar es contar con información real sobre la movilidad de las personas en los días de confinamiento que estamos atravesando en la actualidad:
- El Instituto Nacional de Estadística (INE) está realizando un estudio impulsado por la Orden ministerial con DATAcovid. En relación con este estudio, el escollo a nivel protección de datos, podría surgir en definir cómo y cuándo se van a tratar estos datos para conseguir información de los ciudadanos, pero en este caso concreto, en la orden se aclara que solamente: “emplea datos de posicionamiento de los dispositivos móviles, anónimos y agregados, proporcionados directamente por los operadores y eliminando cualquier información personal, sin identificar ni realizar seguimientos de números de teléfono o titulares de forma individual”.A este respecto, merece la pena recordar que en octubre de 2019 el INE utilizó la misma técnica para realizar un estudio sobre cuántos ciudadanos se mueven de un municipio dormitorio a una ciudad; qué número de personas trabaja en el mismo barrio donde vive o en uno distinto; de dónde viene la gente que trabaja en una zona, o cómo fluctúa la población en un recuadro a lo largo del día. En esta ocasión también fue criticada la utilización del posicionamiento en los teléfonos móviles, pero a posteriori se pudo comprobar que se cumplía con todas las garantías normativas en materia de protección de datos por parte del INE.
- Asimismo, el gobierno ha impulsado una App denominada AsistenciaCOVID-19, disponible por el momento en las siguientes Comunidades Autónomas: Canarias, Cantabria, Castilla-La Mancha, Extremadura y Principado de Asturias.Como hemos comentado en la introducción del presente artículo, esta aplicación ha sido muy criticada en los medios de por el uso de la geolocalización de los ciudadanos, diciéndose que el acceso al GPS de los teléfonos móviles sería “conditio sine qua non” para utilizar la App. Valoraremos más adelante este hecho.
¿Cómo puede afectar esto al derecho fundamental a la protección de datos?
Pues bien, a pesar de que como indicábamos anteriormente, ha habido noticias en las que se indicaba que esto podría afectar a la normativa en materia de protección de datos y por tanto a nuestro derecho fundamental reconocido en el artículo 18.4 de Constitución Española (CE), en la Orden no se establece ninguna excepción al derecho fundamental ni a la normativa. Tanto es así, que en la propia Orden se indica expresamente que será de aplicación:
El Reglamento General de Protección de Datos (RGPD).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
El hecho de que se haya podido llegar a pensar que se derogaba la normativa en materia de protección de datos, puedehaber sido consecuencia de un error interpretativo/lectura, tanto por la propia denominacion del Reglamento (UE) 2016/679 que deroga la Directiva 95/46/CE, como el no haber un “punto y aparte” ha creado confusión en lecturas rápidas.
Además, el Ministerio de Sanidad ha comunicado que, para hacer cumplir dicha Orden, velará por llevar a cabo los criterios interpretativos dados por la Agencia Española de Protección de Datos. En este sentido, contamos con muchos comunicados en la página web de la AEPD tratando estas cuestiones, pero el más vinculado al tema actual es el Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus.
Deberemos distinguir el análisis del impacto en materia de protección de datos,como derecho fundamental ,en cada uno de los puntos indicados:
- En el estudio que se está realizando por parte del INE con fines estadísticos, en ningún caso se verá afectado el derecho fundamental a la protección de datos. Partimos de la base de que la actividad estadística desarrollada por el INE viene regulada principalmente por la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y el Reglamento 223/2009, de 11 de marzo, relativo a la estadística europea. Para la elaboración de las estadísticas oficiales se hace necesario el tratamiento de datos individuales, especialmente en las primeras fases del proceso estadístico. Ambas regulaciones establecen una protección especial para estos datos mediante la figura del secreto estadístico. Además, el RGPD establece en el artículo 89, las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos dentro de la protección de los datos personales. Podemos encontrar la información sobre el indicado estudio en la página web del INE (https://www.ine.es/covid/covid_inicio.htm). En la información proporcionada, es posible ver los datos agregados y anonimizados de las CCAA que están colaborando por el momento en dicho estudio (País Vasco, Cataluña, Galicia, Andalucía, Asturias, La Rioja, Comunidad Valenciana, Aragón, Extremadura, Madrid y Castilla y León). Al llevarse a cabo la utilización de los datos de posicionamiento de los teléfonos de forma anónima y agregada se vela en todo momento por el cumplimiento de la LOPDGDD.En el caso de la App “ASISTENCIACOVID19”, nos detendremos en su Política de Privacidad (puedes consultarla aquí), para poder verificar si esta cumple con la normativa en materia de protección de datos y no atenta contra el art. 18.4 CE. En el texto legal de la App encontramos la siguiente información:
- Identidad del responsable del tratamiento y contacto con su Delegado de Protección de datos.
- Exposición de la tipología de datos que se van a tratar en la App con su respectiva explicación, indicando además aquellos que son obligatorios y los que son opcionales, así como la forma de obtención de dichos datos. En cuanto a los obligatorios encontramos los siguientes:
Nombre y apellidos
Nº de teléfono
DNI
Dirección completa y Código Postal
Fecha de nacimiento
Datos de salud relacionados con los síntomas que estas experimentando
La Política de Privacidad deja claro que el acceso a la geolocalización es algo opcional, y así se puede verificar durante el uso de la App.
- Legitimación del tratamiento de dichos datos: “Toda la información se recogerá con fines estrictamente de interés público en el ámbito de la salud pública, y ante la situación de emergencia sanitaria decretada, a fin de proteger y salvaguardar un interés esencial para la vida de las personas, en los términos descritos en esta política de privacidad.” Dicha legitimación para el tratamiento de los datos la encontramos recogida en el art 6.e) del RGPD. Asimismo, se detalla toda la normativa aplicable al tratamiento de datos, y entre otras, se encuentra tanto el RGPD como la LOPDGDD.
- Finalidad del tratamiento: Entre las finalidades podemos encontrar dos tipos:
- Las relacionadas con el servicio de la App, como puede ser realizar una autoevaluación o proporcionar consejos prácticos sobre el COVID-19. También es importante el hecho de que se nos indica que, en ningún caso, la aplicación realiza geofencing, (servicio basado en la ubicación en el que una aplicación u otro software utiliza GPS, Wi-Fi o datos móviles para activar una acción preprogramada cuando un dispositivo móvil ingresa o sale de un límite virtual configurado en un entorno geográfico/ubicación), para determinar si el usuario se encuentra en su domicilio. Como podemos comprobar en este punto concreto se demuestra que se da todo lo contrario a lo indicado en las noticias que se han hecho virales durante estos días, la app no va a utilizar la geolocalización de forma predeterminada, sino que se deberá de contar con el consentimiento de usuario, tal y como podemos comprobar en la siguiente imagen:
Fuente- Captura de la aplicación.
2. No relacionadas directamente con las funcionalidades de la app, las cuales son estadística, investigación biomédica, científica o histórica, así como archivo de interés público.
- Cesión a terceros, garantizando el máximo nivel de protección en el acceso que estos terceros tengan a los datos e información de los usuarios. Se detallan en la Política algunos destinatarios como los profesionales sanitarios o las autoridades competentes de cada CCAA.
- Tiempo de conservación de los datos: sólo se conservarán durante el tiempo que perdure la crisis sanitaria, con la excepción de las finalidades estadísticas, de investigación o archivo en interés público, cuyo plazo de conservación será de un máximo de dos años, todo ello de conformidad con los principios legales de tratamiento de datos, en particular el de minimización de datos.
- Derechos de los interesados: Se indica tanto los derechos que les corresponden en materia de protección de datos como la información sobre su derecho para presentar una reclamación ante Agencia Española de Protección de Datos.
- Medidas de seguridad: Las medidas de seguridad implantadas se corresponden con las previstas en el anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Adicionalmente, y en lo que respecta al tratamiento de datos de menores, se indica que la Edad mínima de utilización de la App es la de 16 años, y si se da el caso de que un menor de esa edad quisiera utilizarla, ha de contar con el consentimiento de sus padres o representantes legales.
Como resumen del análisis de la App, en líneas generales, el Ministerio de Sanidad, como entidad responsable del tratamiento, ofrece información extensa y detallada sobre la forma de recopilación de los datos personales, la responsabilidad del tratamiento, las principales funciones del tratamiento y la finalidad de este, así como toda la información que se recopila de los interesados y los derechos que les asisten en materia de protección de datos.
Asimismo, se incluye información sobre los terceros que puedan ser beneficiarios de transferencias de información personal por parte de la entidad.
En conclusión, y en vistas del análisis realizado, se desprende que el Ministerio de Sanidad, como entidad responsable de la App, ofrece toda la información necesaria al respecto del proceso de recopilación de los datos personales, y los derechos del interesado en relación con el tratamiento de sus datos, velando así por el cumplimiento y garantía de los principios que rigen el marco normativo en materia de protección de datos, RGPD y LOPDGDD. Al fin y al cabo todo el proceso se ha llevado a cabo con el apoyo de la propia AEPD, era presumible esperar que la misma fuera respetuosa con nuestro derecho fundamental.