¿El Gobierno me va a rastrear y saber dónde estoy en cada momento? ¿Me van a poder multar si salgo de casa? ¿Van a geolocalizarme para saber si estoy contagiado de Covid-19? Estas y otras preguntas similares se están difundiendo, propagándose una enorme preocupación ya no sanitaria, sino de protección personal desde que el pasado 28 de marzo se publicara una Orden del Ministerio de Sanidad para “el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el Covid-19” (Orden SND/297/2020, de 27 de marzo).
La finalidad de la medida es mejorar la gestión de la crisis sanitaria y, para ello, “contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento”. Por esta razón, el Ministerio de Asuntos Económicos y Transformación Digital se ocupará del desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el Covid-19.
Al igual que lo han hecho algunas Comunidades Autónomas, la aplicación nacional llamada ASISTENCIACOVID19 permitirá al usuario realizar la autoevaluación de síntomas y le ofrecerá información, consejos prácticos y recomendaciones a seguir según la evaluación. Como aclara el Ministerio de Sanidad en la política de privacidad de la app, se trata de “reducir el volumen de llamadas al número de emergencias sanitarias que trata las dudas sobre la enfermedad infecciosa Covid-19 (…), informar a la población, permitir un triaje o autoevaluación inicial de posibles casos y un seguimiento posterior, y aliviar la carga de los Servicios de Emergencia”.
Según la Orden Ministerial, la aplicación permitirá “la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar”. Por tanto, además de recabar datos como nombre, número de teléfono móvil (para el envío de SMS), DNI o NIE (para posterior cruce con la tarjeta sanitaria), dirección completa o fecha de nacimiento, la geolocalización es un dato opcional que requiere el consentimiento del usuario de la aplicación.
La localización vía GPS del teléfono móvil de los usuarios, según la norma, sólo permite saber dónde se encuentra el usuario para ofrecerle medidas preventivas y de evaluación. De acuerdo con la política de privacidad, “la geolocalización sólo se utilizará a la hora de registrarte y realizar tus autoevaluaciones, para poder conocer en qué Comunidad Autónoma te encuentras y poder conectarte con el sistema de atención sanitaria que te corresponda. No se rastrea tu localización para finalidades distintas de las señaladas”.
Tratamiento de los datos
Igualmente, el Ministerio de Sanidad informa en los textos legales de esta importante advertencia: “Toda la información se recogerá con fines estrictamente de interés público en el ámbito de la salud pública, y ante la situación de emergencia sanitaria decretada, a fin de proteger y salvaguardar un interés esencial para la vida de las personas, en los términos descritos en esta política de privacidad”.
No obstante, sí es preocupante que al especificar cómo se obtienen los datos abre la posibilidad a que sean “los observados cuando usas la aplicación o los que obtenemos de tu dispositivo (por ejemplo, el sistema operativo de tu dispositivo, o tu ubicación GPS)”. De este modo, se va a facilitar no sólo la prevención o la cura del Covid-19 gracias a la geolocalización, sino una posible “vigilancia permanente” del ciudadano.
Parece contradictorio que esa política de privacidad sea a la vez poco clara al concretar la base legal para el tratamiento de datos personales, incluida la geolocalización. De una parte, afirma que los datos los proporciona directamente el usuario y se parte de su consentimiento expreso por utilizar la aplicación. Pero, de otra parte, pese a su literalidad, determina de modo demasiado genérico que “serán tratados con fines estrictamente de interés público en el ámbito de la salud pública, ante la actual situación de emergencia sanitaria como consecuencia de la pandemia del Covid-19 y la necesidad de su control y propagación, así como para garantizar intereses vitales tuyos o de terceros”.
A esa indeterminación se añade el hecho de que por la Orden Ministerial se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, “el análisis de la movilidad de las personas en los días previos y durante el confinamiento”.
Sorprende que no se concrete “hasta cuántos días previos” podrá geolocalizarse, lo que genera inseguridad jurídica: ¿desde que aparece el virus en China? ¿Cuando llegó a España? ¿Cuando el Gobierno declaró el estado de alarma o cuando lo determine a su criterio? Además, la Orden remite a que se siga el polémico modelo emprendido en su día por el Instituto Nacional de Estadística (INE) en el estudio de movilidad y a través del cruce de datos de los operadores móviles, aunque lo fuera de manera agregada y anonimizada, pues las apps del Covid identificarían a cada ciudadano que la emplee.
En la práctica se trata de rastrear más de 50 millones de teléfonos móviles de toda España para conocer los movimientos de población entre territorios y contribuir a la toma de decisiones sobre el coronavirus. Algo similar ha publicado Google estos días con su informe geográfico de cumplimiento del Covid-19. Los datos obtenidos por la app del Gobierno se usarán estadísticamente para conocer, por ejemplo, si la población sigue la cuarentena o si un repunte de casos se debiera a un crecimiento en las salidas. Estos datos sí estarán disponibles para estudios, investigación y desarrollo de políticas públicas durante dos años como máximo.
Medidas compatibles
La Orden dictada afecta a una materia que compromete ni más ni menos que el derecho fundamental a la protección de datos, protegido en Europa por el Reglamento General de Protección de Datos de 2016 y en España por la Ley Orgánica de 2018, de Protección de Datos Personales y garantía de los derechos digitales.
En este sentido, los criterios de la Agencia Española de Protección de Datos (AEPD) sobre apps y webs de autoevaluación del coronavirus recuerdan dos aspectos clave: el primero, sobre el momento actual, es que “esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales”. Y el segundo, sobre la salud pública, es que “la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia”.
Sin embargo, la Orden deja un margen de dudosa interpretación cuando, para las apps y los “Data-COVID19”, fija como responsable del tratamiento al INE y no al Ministerio de Sanidad. Por ejemplo, en el caso de la aplicación móvil COVID19-EUS del País Vasco el titular responsable es una empresa privada; y en el caso de la app catalana COVID19xat el responsable es el Departamento de Salud autonómico.
Asimismo, los encargados del tratamiento “serán los operadores de comunicaciones electrónicas móviles, con los que se llegue a un acuerdo”. Por si fuera poco, además será el INE y no la autoridad sanitaria quien autorizará a los operadores “a recurrir a otros encargados en la ejecución de lo previsto” en la Orden Ministerial de Sanidad.
La AEPD ha recordado que para que el tratamiento de los datos personales de salud sea lícito, aquellos ciudadanos que hayan dado positivo en la prueba del Covid-19 sólo podrán ser geolocalizados a través de su móvil siempre que lo hayan facilitado previamente. Para mayor claridad, la AEPD ha establecido el único dato de geolocalización que se podría facilitar a los operadores de telecomunicaciones: el número de teléfono móvil. Y solo se prevé una excepción: que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad.
En definitiva, estas medidas legales para proteger los derechos de los ciudadanos son compatibles con que las autoridades sanitarias competentes, para evitar la propagación del virus, fijen un control de las personas contagiadas, o también puedan conocer las zonas con mayor número de afectados a fin de adoptar las medidas sanitarias oportunas.
***Efrén Díaz Díaz es abogado y delegado de protección de datos (DPO) del Bufete Mas y Calvet