La Agencia Española de Protección de Datos (AEPD) ha publicado un análisis preliminar de algunas tecnologías ya puestas en marcha, o cuya implementación se está valorando en la lucha contra el coronavirus, examinando la relación entre los posibles beneficios para el control de la pandemia y los riesgos para la privacidad.
Esta análisis recoge un total de siete tecnologías que podrían ser de utilidad en la lucha contra la pandemia, pero antes de implementar soluciones de este tipo se debe comprobar y estudiar si su implementación se realizar dentro del marco de marco de una estrategia de medidas jurídicas y organizativas realistas, eficaces, basadas en criterios científicos, legítimas y proporcionales.
Estas son las siete tecnologías que estudia la AEPD:
1. Geolocalización de los móviles por los operadores de Telecomunicaciones.
Esto permite que los operadores de telefonía móvil proporcionen información anonimizada de la ubicación de sus usuarios. Esta información, sin anonimizar, puede ser demandada por las Fuerzas y Cuerpos de Seguridad siempre mediando una orden judicial.
Durante la gestión de la crisis de la COVID-19, el Gobierno y la Comisión Europea han pedido a las operadores esta información anonimizada para ver los movimientos de población. ¿Representan estos datos un amenaza contra la privacidad? Con una gestión cuidadosa, el acceso apropiadamente anonimizado a dicha información no debería de representar una amenaza mayor que la que ya representaban antes.
2. Geolocalización de los móviles a partir de las Redes Sociales.
Las direcciones IP desde las que accedemos a Internet pueden ser conocidas por los administradores de las páginas web, y se usan habitualmente con fines de publicidad. En la medida de que el tratamiento realiza la localización de los interesados, esta práctica puede ser una amenaza a la privacidad, pero no exclusiva de este momento que atravesamos.
Esta amenaza puede ser más crítica si esta información es enriquecida con información personal derivada de la actividad en los perfiles de usuario o se toman acciones sobre sus perfiles. Las condiciones de uso y las políticas de privacidad de estos servicios no son una base jurídica adecuada para realizar estos tratamientos.
3. Aplicaciones de información voluntaria de contagios (CovaApps).
En esta categoría estarían algunas aplicaciones móviles que han surgido de forma casi instantánea, en algunos casos de iniciativas ciudadanas, y que pretenden hacer sus propios mapas y estadísticas de propagación de la COVID-19 a partir de datos proporcionados voluntariamente por los usuarios. En un entorno muy abierto y transparente se apela a la colaboración desinteresada para descargarse estas aplicaciones y subir datos de localización y datos de su posible infección, contribuyendo así a hacer mapas y cuadros de mando.
Estas apps podrían ser una amenaza para la privacidad si los fines que declaran no son tan altruistas como los que promueven o las prisas conducen a desarrollos sin garantías para la privacidad. Si la cantidad y calidad de los datos de salud fuera la suficiente, gracias a un número significativo de usuarios, se dispondrían de conclusiones como barrios con alto nivel de infección o zonas tóxicas, con el estigma social que eso puede acarrear para sus habitantes o sus negocios.
4. Aplicaciones de seguimiento de contactos por Bluetooth
Este tipo de aplicaciones usa la tecnología bluetooth de los teléfonos móviles que permite la conexión con aparatos cercanos como auriculares, altavoces o relojes. En este caso, las apps utilizan el bluetooth para enviar la «tarjeta» correspondiente al usuario con los móviles que se va encontrando en su camino, y a la vez recolecta las “tarjetas” de esos mismos móviles. Cada tarjeta no tiene una identificación real del usuario, sino un apodo de su identidad.
Las principales amenazas a la privacidad de este tipo de soluciones vienen de la realización de mapas de relaciones entre personas. Debe tenerse en cuenta que el tratamiento de la información no solo afecta al usuario de la aplicación sino también la de todos los terceros con los que ha estado en contacto, por lo que este tratamiento ha de cumplir los principios de protección de datos.
5. Pasaportes de inmunidad
En algunos países ha empezado considerarse el uso de apps equivalentes a lo que sería un pasaporte o un salvoconducto en papel, mostrando en pantalla un código de colores o un código QR, para que un vigilante o un sistema de control de acceso pueda dejar pasar o no al portador.
Este procedimiento es similar al que se usa con las tarjetas de embarque de los aeropuertos, solo que en lugar de decir que un usuario tiene un billete de avión válido o está en una lista, lo que revela es si el portador está contagiado, o presuntamente inmunizado por haber pasado la enfermedad.
6. Cámaras infrarrojas para lecturas masivas de temperatura
En las últimas semanas, el debate sobre las cámaras de videovigilancia con reconocimiento facial se ha visto desplazado por el debate alrededor de otro tipo de cámaras que añaden la capacidad de tomar la temperatura a los individuos que cruzan un área.
La AEPD manifestó su preocupación sobre el uso de estos dispositivos y la necesidad de contar con el criterio previo de las autoridades sanitarias antes de proceder a su instalación. El uso de cámaras u otros dispositivos para registrar la temperatura de los individuos supone un tratamiento de categorías especiales de datos que debe respetar los principios de legalidad, limitación de finalidad y exactitud.
7. Aplicaciones, webs y chatbots para auto-test o cita previa
Dentro de este amplio grupo de soluciones estarían las aplicaciones, webs y chatbots que implementan test de preguntas y respuestas, consultas de información, o incluso registro de citas previas en los servicios sanitarios. En este documento están agrupados todos en una misma categoría por ser tal vez las soluciones menos novedosas desde el punto de vista tecnológico, aunque, por otro lado, pueden estar entre las más utilizadas.
Dependiendo de cómo estén realizadas y de cuáles sean sus objetivos pueden surgir amenazas a la privacidad. Estas pueden aparecer por la urgencia en ofrecer soluciones en funcionamiento que relajen los controles y requisitos para proteger los datos de los ciudadanos. En algunas de estas las aplicaciones se han encontrado con posibles amenazas a la privacidad en la implementación de la misma.
Informe completo