En estos últimos meses, se ha desarrollado la aplicación móvil de “Radar COVID” que está disponible en las principales plataformas de distribución digital de aplicaciones móviles.

Se trata de una aplicación,  para ayudar a evitar la propagación del coronavirus, cuya titularidad es de la Secretaría General de Administración Digital, dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital.

Si bien, la app de momento sólo funciona en algunas comunidades autónomas,  según se explica en este artículo de  Xataka Móvil, en este post analizaremos su funcionamiento, y de qué manera puede afectar a los derechos y libertades de los ciudadanos con su uso, y si pone en riesgo la privacidad de los interesados que decidan descargarse esta herramienta.

¿Cómo funciona la app Radar COVID?

Para poder utilizar esta app, es necesario disponer de un teléfono móvil con una versión actualizada de Android o iOS. Según vemos en su política de privacidad –pública en este enlace , se hace esta descripción sobre su funcionamiento: “aquellos usuarios que se hayan descargado la aplicación y acepten su uso recibirán una notificación en caso de que en los catorce días anteriores a esa notificación hayan estado expuestos a un contacto epidemiológico (a menos de dos metros y más de 15 minutos) con otro usuario (totalmente anónimo) que haya declarado en la aplicación haber dado un resultado positivo en la prueba de COVID 19 (previa acreditación de las autoridades sanitarias). La aplicación le informará exclusivamente sobre el día (dentro de esos catorce anteriores) en que se haya producido la exposición al contacto pero no sobre la identidad del usuario al que haya quedado expuesto (información imposible al ser una aplicación que no solicita, utiliza ni almacena datos de carácter personal de los usuarios) ni la identificación del dispositivo de este, ni sobre el momento o lugar en que la exposición se haya producido.”

Se explica en esta política que el éxito de la aplicación radica en que los usuarios la utilicen de forma masiva, y compartan su información que es de “carácter completamente anónimo.” Esta anonimización se consigue con la generación de “identificadores pseudo-aleatorios llamados clave de exposición temporal”, que sirven para derivar los “identificadores efímeros Bluetooth”. Gracias al sistema de identificadores efímeros de Bluetooth, se puede saber con qué otros dispositivos ha habido un contacto cercano. Los datos generados, se guardan por 14 días. Para que salten las alertas, es necesario que el usuario que haya sido diagnosticado positivo por COVID-19, introduzca voluntariamente el “código de confirmación de un solo uso”. Este código se validará por el Servicio Público de Salud, se recabará el consentimiento antes de la validación y se compartirá la exposición al COVID-19 con aquellos que hayan tenido una exposición con el contagiado de forma anónima (no dice quién es el contagiado) con un contacto estrecho (menos de dos metros y más de 15 minutos). Al usuario expuesto se le advierte del contacto y la exposición, se le indica la fecha del contacto estrecho con el contagiado, se le recomienda el aislamiento y también que se ponga en contacto con las autoridades sanitarias. Por último, es necesario tener activadas las opciones de Bluetooth y de Ubicación o Geolocalización para funcione la app; si no, te aparece una alerta solicitando su activación.

Política de privacidad Radar COVID. ¿Qué datos trata el responsable de la App?

En teoría la app trata datos anónimos, y consecuentemente, no personales. O da a entender que no hay tratamiento de datos personales, gracias al proceso de anonimización que realiza. Como reza el Considerando 26 del Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos o RGPD): “tanto los principios de protección de datos no deben aplicarse a la información anónima […] ni a los datos convertidos en anónimos de forma que el interesado no sea identificable».  Por lo que el tratamiento que se realiza, podría escaparse del ámbito del RGPD.

Informan en la propia política de privacidad de la app: “9. ¿Cómo protegemos tus datos? El sistema Radar COVID no almacena datos personales.”

Ojo, almacenar es una forma de tratamiento, pero no tiene por qué ser la única. Asimismo excluyen cualquier forma de geolocalización. No obstante legitiman el tratamiento de datos en virtud del “interés público en el ámbito de la salud pública, y ante la situación de emergencia sanitaria decretada, a fin de proteger y salvaguardar un interés esencial para la vida de las personas” y ponen al RGPD como legislación aplicable, y también la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

En caso informar del diagnóstico positivo al responsable, se solicita el consentimiento que sería otra base de legitimación del 6.1 del RGPD, además del tratamiento con fines de investigación científica, histórica y estadística que sería otra causa de legitimación. Las finalidades de tratamiento que se llevan a cabo a través del “Radar COVID-19” son:

• Ofrecerte información sobre contactos considerados de riesgo de exposición a la COVID-19.
• Proporcionarte consejos prácticos y recomendaciones de acciones a seguir según se produzcan situaciones de riesgo de cara a la cuarentena o auto-cuarentena.

Nuestro análisis de la App Radar COVID.

  • Verdaderamente la App es fácil de encontrar y de descargar en las principales plataformas (Android e iOS).
  • Muy intuitiva y con un contenido asumible para cualquier usuario que se la descargue. La información que publican es de fácil comprensión y muy accesible en todo momento.
  • No obstante, hay indeterminación sobre si se tratan o no datos personales de los usuarios, que se tendría que dilucidar para dar tranquilidad; y potenciar su uso.
  • Que identifiquen al RGPD como legislación aplicable para no cumplir con el deber de informar -¿Delegado de Protección de Datos?- resulta una contradicción de difícil explicación, aunque estén tratando datos anónimos o así lo pretendan. Además parece ser que se han adoptado medidas de seguridad apropiadas –“corresponden con las previstas en el anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica”– y todo está debidamente fundamentado sobre distintas condiciones de licitud, por lo que no debería de haber miedo en dar más información sobre qué se está haciendo con los datos que se están generando. Al fin y al cabo estamos hablando de una medida más que nos sirve para hacer frente a esta pandemia como comunidad y conjunto, que será más eficaz a medida de que vaya habiendo más usuarios; como las mascarillas que se utilizan para evitar la propagación del virus no para evitar un propio contagio. Cualquier medida que sirva para hacer frente a esta terrible crisis, se tiene que considerar como positiva, que además esperamos que se vea mejorada con el tiempo, como toda tecnología que se lance.
  • Además, en entornos cerrados (laboral, p.ej.) podría ser de gran utilidad. Sobre si hace un tratamiento de datos personales, teniendo en cuenta que la definición de “datos personales” es “toda información sobre una persona física identificada o identificable” entendemos que sí que hay identificadores que permiten determinar a las personas físicas en casos concretos; p.ej. que el usuario al que se le activa el alerta sólo haya tenido contacto con una persona en el día que le dice la app. El propio Ministerio habla sobre que realmente se tratan datos personales, como consideramos que se produce, aunque con las máximas garantías: “Además, garantiza la proporcionalidad y minimiza el uso de datos personales” . En la misma noticia, se concluye con “La Agencia Española de Protección de Datos ha participado en el proceso previo a la puesta en marcha de este piloto y participará también en la evaluación de los resultados para poder proponer mejoras que garanticen en todo momento la privacidad a los usuarios” .

En definitiva, sí que opinamos que se realiza un tratamiento de datos personales a través de la app, por lo tanto sí es aplicable el RGPD; y aunque se decidiera lo contrario, sería recomendable enfocarlo de esta manera incluso. En consecuencia, sería recomendable proporcionar toda la información que obliga el Reglamento, que haya más transparencia -¿hay destinatarios?; el desarrollador Indra Soluciones Tecnológicas de la Información S.L.U. ¿qué papel juega, o si tiene acceso a los datos, p.ej.?-, que se puedan tutelar los derechos de protección de datos mediante algún canal de comunicación solvente, o que se den los datos del Delegado y su canal de comunicación, y del responsable de tratamiento a donde revisar su registro de actividades de tratamiento (obligado para organismos públicos, Artículo 77.1.d) LOPDGDD).

Pablo Montis, Abogado en International SOS España