Radar COVID: ¿Una injerencia en nuestra privacidad?

Desde este pasado lunes 10 de agosto ya está disponible en nuestro país la aplicación Radar COVID, diseñada por la Secretaria de Estado de Digitalización de Inteligencia Artificial, y cuya descarga puede realizarse tanto a través de dispositivos IOS como Android. No obstante, no será hasta el 15 de septiembre de este año cuando se produzca el despliegue nacional. 

A través del presente artículo vamos a tratar de analizar la aplicación desde la óptica del derecho fundamental a la protección de datos, reconocido en el artículo 18.4 de la Constitución Española, con la finalidad de conocer el grado de injerencia que el uso de la aplicación pudiera llegar a significar en nuestra privacidad.  

En primer lugar, y para ir entrando en materia: ¿EN QUÉ CONSISTE LA APLICACIÓN Y CUÁL ES SU FINALIDAD?

Radar COVID es una aplicación de alerta de contagios cuya finalidad es notificar a aquellas personas que se la hayan descargado, que han estado expuestos y en contacto con otros usuarios que hayan dado positivos en test COVID, mediante el envío del código de diagnóstico COVID a través de la propia app, facilitado y acreditado debidamente por las autoridades sanitarias.

Además, debemos indicar que, tal y como se recoge en la propia Política de Privacidad del aplicativo, “Estas claves remitidas al servidor no permiten la identificación directa de los usuarios y son necesarias para garantizar el correcto funcionamiento del sistema de alerta de contagios.”

Ahora bien, ¿QUÉ DATOS VA A RECABAR LA APLICACIÓN DE SUS USUARIOS?

Una de las principales preocupaciones entre la población era el que la aplicación recabase de manera obligatoria datos de carácter personal.

A diferencia de otros aplicativos, como la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 (puede consultar el artículo de nuestro Blog en el que explicamos su funcionamiento haciendo clic aquí) la cual sí recababa datos de carácter personal,  como el nombre, apellidos, número de teléfono, DNI, dirección, fecha de nacimiento y datos de salud relacionados con los síntomas experimentados, así como los datos de género y geolocalización (éstos últimos con carácter opcional), la aplicación Radar COVID no almacena ni realiza ningún tratamiento de datos de carácter personal de sus usuarios.

Los únicos datos que la app va a procesar de los usuarios que hayan dado positivos en los test COVID serían los siguientes:

  • Claves de exposición temporal, a través de las cuales el dispositivo genera una serie de códigos aleatorios (identificadores efímeros Bluetooth) que se envían a los dispositivos con los que el usuario ha estado en contacto en contacto durante los últimos 14 días
  • Código de confirmación de 12 dígitos facilitado por las autoridades sanitarias de cada Comunidad Autónoma, en caso de que los resultados de las pruebas hayan dado positivo.
  • Cuestionario con carácter voluntario con el fin de conocer la experiencia del usuario en lo relativo a la aplicación.

A tenor de lo dispuesto, debemos indicar que, a pesar del no almacenamiento de datos personales por parte de la aplicación, y por ende, no ser posible el ejercicio de ninguno de los derechos que confiere la normativa en materia de protección de datos a todo interesado (derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad), en la propia Política de Privacidad del aplicativo sí se indica expresamente que le son de aplicación tanto el Reglamento (UE) 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos ya  la libre circulación de estos datos (RGPD) como la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Otra de las características más importantes de la app es que, siempre y cuando un usuario acredite que ha sido diagnosticado por COVID-19, la app notificará a toda persona que haya estado en contacto él, en un periodo de tiempo como mínimo de 15 minutos y en un radio menor de 2 metros, que se trata de un contacto de riesgo.

Debemos puntualizar que, en ningún supuesto se identificará el nombre del usuario, ni el lugar de la exposición, ni el dispositivo ni número de teléfono móvil, ni cualquier otro dato personal del usuario.

En lo relativo a los datos de geolocalización, muchas han sido las quejas de los usuarios de dispositivos Android, al denunciar que para poder utilizar correctamente la aplicación se les requería la activación de la localización del terminal.

Este dato de localización es requerido en todos los sistemas Android 6.0 y posteriores, los cuales incluyen Bluetooth de Baja Energía o “BLE”, cuyo escaneo necesita estos permisos de localización para poder operar. Así lo indicaban en una de las webs oficiales del sistema operativo desarrollado por Google, donde se indica expresamente que “el escaneo BLE necesita permisos de ubicación ya que el escaneo BLE identifica objetos que podrían usarse para la geolocalización. Desactivar los servicios de ubicación desactivará la exploración de Bluetooth.”

Por lo tanto, ¿esto quiere decir que en los sistemas Android la aplicación va a tratar tus datos de ubicación?

La respuesta a esta pregunta es NO, y así se indica expresamente en la Política de Privacidad del aplicativo: “En ningún caso de rastrearán los movimientos de los usuarios, excluyendo así cualquier forma de geolocalización.”

De igual modo, desde la propia página de ayuda de Google se indica lo siguiente: “Google y Apple han incorporado medidas de protección para que las aplicaciones gubernamentales de seguimiento de contactos con el sistema ENS no puedan deducir tu ubicación. Para que no se pueda hacer el seguimiento de tu dispositivo, se le asignan ID aleatorios que van rotando. Estos ID no contienen información sobre tu ubicación cuando se comunican con otros dispositivos del sistema.”

Una cuestión que también ha suscitado muchas dudas al respecto es el conocer cómo procederá la aplicación si detecta que se ha estado en contacto con algún usuario diagnosticado positivo por COVID-19.

A este respecto, al no estar todavía la aplicación en funcionamiento, tampoco podemos comprobarlo directamente y de una manera fehaciente, pero, tal y como recoge el propio aplicativo:

  1. Se mostrará una notificación en el dispositivo del usuario que se ha encontrado expuesto a riesgo de contagio, al haber estado a menos de 2 metros durante un periodo superior a 15 minutos con una persona diagnosticada como positivo.
  2. Se advertirá al usuario del contacto, comunicándole la fecha del mismo.
  3. Se le invitará a auto-confinarse y a contactar con las autoridades sanitarias.

A modo de conclusión, debemos recordar que la Agencia Española de Protección de Datos (AEPD), ya recoge este tipo de apps de seguimiento de contactos por bluetooth (o contact trace apps), como una de las tecnologías enfocadas a la lucha contra el COVID-19, tal y como recoge su documento elaborado en el mes de mayo, cuyo título versa “El uso de las tecnologías en la lucha contra el COVID19. Un análisis de coste y beneficios”

En el documento se expone que, dentro de estas apps de seguimiento, existen dos opciones de control sobre las identidades y la red de usuarios contactados:

  • Control centralizado por la autoridad.
  • Control descentralizado, donde es el propio usuario el que tiene el control.

A este respecto, debemos exponer que la app Radar COVID se trata de un modelo descentralizado, basado en un protocolo DP-3T, el cual trata de asegurar a nivel europeo una anonimización de los datos. 

Por último, una de las principales quejas de los usuarios hasta la fecha a este respecto, es que todavía no se tiene acceso al código fuente de la aplicación, por lo tanto, no se puede auditar dicho código, y, por ende, no se puede asegurar un óptimo funcionamiento de la aplicación, así como que esté cumpliendo con todas las medidas de seguridad y privacidad de datos que afirma cumplir. No obstante, desde la Secretaria de Estado de Digitalización de Inteligencia Artificial se informa que el código quedará libre a partir del mes de septiembre.