localización

A raíz de la pandemia del COVID-19, el Comité Europeo de Protección de Datos (“CEPD”) publicó el pasado 21 de abril, dos guías diferentes: (i) la Guía 03/2020 sobre el tratamiento de datos de salud con fines de investigación científica, sobre la que os hablamos en esta otra entrada de blog ; y (ii) la Guía 04/2020 sobre el uso de datos de localización y herramientas de seguimiento (“Guía”).

En esta segunda Guía, el CEPD subraya que el marco establecido por el Reglamento General de Protección de Datos 2016/679 (“RGPD”) es un instrumento flexible y permite el tratamiento de datos personales siempre que resulte necesario para la gestión de la pandemia, mientras que se protege al mismo tiempo los derechos y libertades de los individuos.

No obstante, la utilización de estas tecnologías de localización y rastreo de contacto debe (i) obedecer siempre a los principios generales de eficiencia, necesidad y proporcionalidad, (ii) formar parte de una estrategia global de salud pública en la que se incluyan otras medidas conjuntas (realización de pruebas de detección, etc.), (iii) ser voluntario y (iv) no basarse en el rastreo de movimientos individuales, sino en la proximidad de los usuarios.

Considerando lo anterior, el CEDP

  • Otorga preferencia siempre al uso de datos de localización anonimizados, entendidos como aquellos que utilizan la técnica que permite suprimir la capacidad de asociar los datos a una persona física identificada o identificable mediante un “esfuerzo razonable”. Este concepto no debe ser confundido con la pseudonimización, en tanto que los datos seudonimizados siguen entrando dentro de la aplicación del RGPD. La localización y los rastros de los movimientos pueden estar muy relacionados entre sí y generar un patrón de datos único durante un período de tiempo que puede no ser anonimizado por completo.
  • Considera que el seguimiento sistemático y masivo de la localización o los contactos de las personas físicas es una grave injerencia en su privacidad y entiende, por tanto, que solo puede legitimarse en su adopción voluntaria por la población para cada una de las finalidades que se dispongan, sin sufrir ninguna desventaja en caso de decidir no utilizar estas aplicaciones.
  • Dado que estas aplicaciones implican el almacenamiento de información o acceso a datos ya almacenados en el equipo terminal del usuario, la legitimación (i) precisará el consentimiento del usuario, salvo que el tratamiento sea necesario para prestar el servicio solicitado explícitamente por el usuario. Además (ii), en virtud del RGPD, deberá contar con una base jurídica prevista en el RGPD, que podrá ser el cumplimiento de una misión de interés público cuando el servicio sea prestado por las autoridades públicas y venga establecido en el Derecho de la Unión o, en nuestro caso, de España (artículo 6.1.e) del RGPD). (iii) Si incluye la inferencia de datos personales relativos a la salud, se deberá estar, además, a las bases jurídicas relativas a las categorías especiales de datos (artículo 9.2 del RGPD).
  • Se requiere, además:
    • Definir con claridad quién es el responsable y las funciones y responsabilidades de cada uno de los agentes o intervinientes. A juicio del CEPD, el responsable del tratamiento serán las autoridades sanitarias.
    • Delimitar y especificar las finalidades del tratamiento, excluyendo cualquier tratamiento ulterior con fines ajenos a la gestión de la crisis
    • Utilizar datos de proximidad, y no realizar un seguimiento de la ubicación del usuario a título individual.
    • Establecer medidas adecuadas para no permitir la reidentificación de los usuarios.
    • Alojar la información en el equipo terminal del usuario y solo recogerse cuando sea absolutamente necesario.
    • Realizar una evaluación de impacto, que el CEDP recomienda publicar.
    • Apoyarse en la supervisión y rastreo manual de contacto realizado por personal sanitario cualificado.
    • Realizar la auditoría de los algoritmos y su revisión periódica por expertos independientes, debiendo el código fuente hacerse público.
    • Incluir solamente identificadores únicos y seudónimos, generados y renovados periódicamente.
    • No identificar al usuario contagiado frente al resto de usuarios ni frente al responsable.
    • Solo comunicar una situación de contagio con el consentimiento previo del usuario y previa aplicación de un método de verificación que permita afirmar que la persona está efectivamente infectada antes de emitir el aviso.

El CEPD termina la Guía ofreciendo una serie de orientaciones generales a los responsables del diseño e implementación de aplicaciones de rastreo de contactos.

Autores: Alejandro Negro y Adaya Esteban

Autores:

Consejero

43 artículos

Alejandro Negro

alejandro.negro@cuatrecasas.com

Asociada

49 artículos



adaya.esteban@cuatrecasas.com