Algunas tecnologías en la lucha contra la covid-19 y su compatibilidad con la protección de datos
El pasado 14 de marzo, ante la situación de emergencia sanitaria derivada de la propagación de la COVID-19 el Gobierno declaró el estado de alarma. Para luchar eficazmente contra esta pandemia se están adoptando medidas necesarias para proteger la vida, integridad física, salud de las personas y un sistema de asistencia sanitaria con recursos limitados. A su vez dichas medidas han de ser compatibles, entre otros derechos fundamentales, con el uso lícito de los datos personales.
La propia normativa de protección de datos personales establece que en situaciones de epidemias, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria.
A pesar de lo cual, la publicación en el mes de marzo de una Orden Ministerial sobre el desarrollo de una aplicación de autoevaluación de síntomas del coronavirus ha abierto un debate en la sociedad española en torno a su incidencia en el derecho fundamental a la protección de datos personales. Un debate, como todos últimamente, no exento de críticas al Gobierno.
Entre los modelos tecnológicos orientados a controlar y reducir el contagio del virus, destaca por su efectividad el surcoreano donde las aplicaciones móviles hacen un seguimiento detallado de las personas para facilitar el rastreo de sus contactos. Sin embargo, la aplicación propuesta por el Gobierno solamente usará la geolocalización, “a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada”, para comprobar que la comunidad autónoma en la que el usuario declare estar es la correcta.
Según la referida Orden Ministerial, el Instituto Nacional de Estadística, como responsable del tratamiento de los datos, analizará la movilidad de los ciudadanos en los días previos así como durante el confinamiento domiciliario. Medida esta última que junto “al distanciamiento social y la limitación extrema de los contactos y actividades grupales, son las únicas que se han adverado eficaces para limitar los efectos de una pandemia de dimensiones desconocidas hasta la fecha”, como ha señalado nuestro Tribunal Constitucional. Tan necesarias son estas intensas limitaciones del derecho fundamental a la libertad deambulatoria como los datos obtenidos por las autoridades sanitarias para cumplir los fines del control de la epidemia que no son otros que la elaboración de mapas informativos sobre áreas de mayor o menor riesgo.
La Directiva comunitaria 2002/58/CE regula la protección de datos en las telecomunicaciones y, en concreto, los de geolocalización que indican la posición geográfica del equipo terminal de un usuario. Actualmente, dicha aplicación es utilizada, y con buenos resultados, en las pulseras electrónicas de localización telemática en la protección de las víctimas de la violencia de género.
Como regla general, sólo podrán tratarse estos datos de geolocalización “si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios…”, si bien, como excepción, los Estados se reservan en sus legislaciones nacionales la posibilidad de prescindir de dicho consentimiento. De ahí que, en esta situación excepcional, para evitar la propagación del virus las autoridades sanitarias podrían obligar a que todo ciudadano que haya dado positivo en la prueba de la COVID-19 pueda ser geolocalizado a través de su teléfono móvil que haya facilitado previamente, a fin de verificar el seguimiento de su cuarentena y de paso conocer las zonas con mayor número de afectados para adoptar las medidas oportunas.
Cierto que la geolocalización de toda la población supone “una degradación alarmante de la calidad de nuestra Constitución” (Pedro Cruz Villalón) pero es incuestionable que, además de su eficacia en la lucha contra el virus, en nada afecta a la privacidad de las personas si se garantiza su anonimato.
En estos momentos hay un protocolo europeo liderado por una ingeniera española que persigue crear una aplicación tecnológica que, como la surcoreana, rastree nuestros contactos y a la vez respete nuestra privacidad. Se trata de una herramienta útil para las salidas domiciliarias, sustitutiva del confinamiento y que frene los contagios.
El Rastreo de contactos, a diferencia de la geolocalización, permite conocer si una persona, de la que es irrelevante su identidad pero con la que se ha tenido contacto de proximidad (compartido un transporte público o el centro de trabajo, en un entorno de dos metros) nos ha podido contagiar el virus. Esta aplicación, que no precisa conocer el dato de la localización a través del GPS, utiliza la tecnología bluetooth.
De manera simplificada, cada teléfono emite por bluetooth identidades efímeras, unos códigos que duran lo suficiente como para medir si dos personas han estado juntas y a qué distancia. Dato este último que se mide en función de la potencia de la señal. Se intercambian los códigos de los móviles que son aleatorios para preservar el anonimato. Si a uno de los usuarios le diagnostican el virus se procede a publicar los códigos que su móvil ha repartido en los últimos catorce días para que sean conocidos por el resto de móviles que comparan estos códigos con las listas de los recibidos. Aquellos que coincidan están en riesgo, avisándoles la aplicación de hacer el test para conocer si están o no infectados, sin esperar a tener síntomas.
La cuestión es en qué condiciones el rastreo respetará nuestros derechos fundamentales. El Consejo Constitucional francés ha tenido ocasión de pronunciarse recientemente sobre esta aplicación, analizando la recogida, conservación, procesamiento e intercambio de datos personales de carácter médico y el derecho fundamental a la privacidad. Y concluye que es constitucionalmente admisible, sin el consentimiento de las personas afectadas, a fin de reforzar los medios de lucha contra la epidemia mediante la identificación de las cadenas de contagio. Eso si, para el tratamiento de esos datos médicos exige ciertas cautelas: limitación de datos personales a recoger (los necesarios para luchar contra la pandemia), garantizando su estricta confidencialidad y la trazabilidad del acceso a dicho sistema de información así como su temporalidad. La recogida y tratamiento de datos no debe aplicarse más allá del tiempo estrictamente necesario para luchar contra la propagación de la epidemia o, como mucho, más de seis meses después del final del estado de emergencia sanitaria.
Hay que concluir recordando que el Reglamento General de Protección de Datos, aprobado por el Parlamento Europeo y el Consejo en 2016, y aplicable a nuestro país, prescribe que “El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas”. Es vital buscar una herramienta tecnológica que permita controlar la pandemia, desde luego, pero no a cualquier precio. La cuestión es saber cómo debe de hacerse para evitar crear un estado de vigilancia.