La necesidad de utilizar macrodatos sobre la salud de millones de personas en la lucha contra la pandemia por coronavirus, el uso de los llamados big data sanitarios, plantea riesgos importantes para los derechos fundamentales que solo podrán sortearse si mantenemos el control sobre quién, cómo, durante cuánto tiempo y con qué fin concreto los maneja. La geolocalización, el pasaporte sanitario o las aplicaciones en móviles para luchar contra la COVID-19 han demostrado su eficacia pero también suponen riesgos, opinan magistrados y juristas consultados por EFE.
Para tener una idea de la importancia del asunto baste decir que en el diseño de un gran sistema de tratamiento de estos datos compiten Google y Apple con los propios estados europeos, muchos de los cuales, entre ellos España, se han sumado a la Pan-European Privacy-Preserving Proximity Tracing Project (proyecto de diseño de un sistema europeo de seguimiento en proximidad con respeto al derecho a la intimidad).
Y para dar una visión de los riesgos, imaginemos que esta información se centralizara en una sola base de datos que no reuniera la suficiente seguridad. Constituiría un "botín" de enorme valor para piratas informáticos. Si esos datos acabaran en manos equivocadas, podríamos encontrarnos con que nos resulta imposible firmar una póliza de seguros o que nos contrate una empresa por razones relacionadas con nuestra salud, o con que la Administración supiera más de nosotros que nosotros mismos.
"La alternativa no debe ser maniquea, no tiene sentido plantear la elección entre la propia vida o la cesión de los datos sanitarios", explica Lorenzo Cotino, catedrático de Derecho Constitucional, magistrado del Tribunal Superior de Justicia valenciano y miembro del Consejo de Transparencia de la Comunidad Valenciana.
Cotino opina que para hacer ambas posibilidades compatibles y no seguir el ejemplo de países asiáticos que han sacrificado las libertades y derechos a la eficacia, “el diablo está en los detalles”.
Por su lado, José Luis Piñar, catedrático y exdirector de la Agencia Española de Protección de Datos, explica que es lógico asumir que en una situación de epidemia algunos derechos tienen que encontrar un límite, aunque añade: "Todos tenemos un poder de disposición sobre nuestros datos, tenemos que saber quién los tiene y por qué. Si no lo sabemos, algo falla; si no somos capaces de saber quién los está manejando, hay un grave problema”.
De la misma opinión es Carlos Alberto Saiz, vicepresidente de la Asociación Española para el Fomento de la Seguridad de la Información y abogado experto en Privacidad y Tecnologías, para quien los ciudadanos "están cediendo algunos datos a las administraciones públicas, por ejemplo si son tratados del propio virus o si se someten a una prueba".
Pero también los trabajadores se pueden encontrar con que la empresa toma pruebas de su temperatura, pone Saiz como ejemplo. "Además, están los usuarios de aplicaciones de móvil privadas. Y los clientes de establecimientos privados. El pasado lunes, por ejemplo, el ferri entre Ibiza y Formentera hizo algunas pruebas”, explica.
“En todos los casos, pero mucho más en la relación con una empresa privada y no digamos una aplicación de móvil privada, es fundamental saber a quién cedemos los datos, quién va a tener acceso y por cuánto tiempo. Y todo ello desde el principio de la minimización de datos, es decir, que cedemos solo los imprescindibles para determinados fines”, añade Saiz.
Sobre las aplicaciones de móvil, Pau Enseñat, abogado de Barcelona especializado en protección de datos y que acaba de lanzar una iniciativa empresarial, Reclamadatos, que ofrece la oportunidad de recuperar los datos cedidos a cualquier empresa, cree que es necesario estar alerta.
“En principio, hay que diferenciar las aplicaciones de administraciones autonómicas, como la catalana, madrileña o vasca, o la estatal, y las privadas. En cuanto a las públicas, hay que pensar que, al menos, no vayan a comercializar nuestros datos. Pero en cuanto a las privadas, la confianza tiene que ser mucho menor. Y son datos sensibles, porque combinan la geolocalización con la identidad y algunos síntomas", advierte.
Otro elemento fundamental para Piñar, que también es abogado de CMS Albiñana y Suárez de Lezo, es la limitación en el tiempo: “Hay un principio esencial a este respecto, los datos deben ser tratados durante el tiempo imprescindible y luego eliminarlos”. Ahora bien, continúa, será difícil definir el momento exacto en que dejen de ser necesarios, porque se puede, por ejemplo, temer un rebrote.
Cotino opina que “el sistema Pan-European Privacy-Preserving Proximity Tracing Project reúne condiciones de control sobre los datos", pero sobre la iniciativa de Apple y Google manifiesta "muchas dudas, porque lo harán muy bien, pero la capacidad de controlar lo que hagan con nuestros datos es nula. Es verdad que la UE será lenta, pero la alternativa será todavía peor".
Por su lado, Piñar no es tan reticente, en principio, contra las aplicaciones que diseñan Google y Apple, pero insiste en que lo más preocupante de generar un sistema de este tipo es “el día después”. “El problema es que la violación posible del derecho a la protección de datos pasa desapercibida. Por ejemplo, cuando estamos confinados, limitan nuestra posibilidad de circulación, y lo sabemos. Pero ¿cómo sabremos que se han cancelado los datos, que ya no estamos geolocalizados?", se pregunta Piñar.
“¿Y cómo estar seguros de que la información no puede caer en malas manos?”, inquiere por su parte Saiz, quien concluye que en estos casos “la seguridad absoluta no existe”.