El pasado 28 de marzo se publicaba en el Boletín oficial del Estado la Orden Ministerial SND/297/2020 (LA LEY 4276/2020) por la que, literalmente, «se encomendaba» a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.
El contexto en el que dicha Orden Ministerial se promulgaba es, tristemente, por todos conocido.
La decisión de la Organización Mundial de la Salud de elevar la situación de emergencia provocada por la crisis del COVID-19 a pandemia, adoptada el 11 de marzo de 2020, llevó al Gobierno español, en aplicación de las facultades que le confiere el art. 116 de la Constitución (LA LEY 2500/1978), a declarar el estado de alarma (Real Decreto 463/2020 de 14 de marzo (LA LEY 3343/2020)) con el fin de afrontar la crisis provocada por el coronavirus (1) .
Desde ese momento, parapetado en el contenido del art. 11 de la Ley Orgánica 4/1981, de 1 de junio (LA LEY 1157/1981)
(2) , de los estados de alarma, excepción y sitio (3) el Gobierno de nuestra nación, ha venido dictando una serie de resoluciones, en particular Órdenes Ministeriales, cuya finalidad primordial, según sus portavoces, es luchar contra la pandemia y, esencialmente, evitar el contagio de la enfermedad.
La Exposición de Motivos de la Orden Ministerial SND/297/2020 (LA LEY 4276/2020) menciona, asimismo, como fundamento de las actuaciones que la autoridad sanitaria encarga a la Secretaría de Estado de Digitalización e Inteligencia Artificial el contenido del art. 3 de la Ley Orgánica 3/1986, de 14 de abril (LA LEY 924/1986), de Medidas Especiales en Materia de Salud Pública el cual prevé la posibilidad de adoptar «medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible» fijando, entre otras, como finalidades del referido encargo «contar con información real sobre la movilidad de las personas».
La Orden Ministerial SND/297/2020 (LA LEY 4276/2020) prevé el desarrollo de una aplicación que, además de permitir al usuario «la autoevaluación en base a los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19 (...) permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar
» y faculta a la Secretaría de Estado de Digitalización e Inteligencia Artificial «siguiendo el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento
».
La medida adoptada supone una afectación, evidente, al derecho a la intimidad personal y familiar
Con respecto a la trascendencia constitucional de la primera de las medidas adoptadas por el Ministerio de Sanidad en la Orden Ministerial de referencia, la aplicación informática que permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar y obviando la cuestión, de evidente trascendencia, de que la medida puede afectar a derechos fundamentales reconocidos en el art. 18 de nuestra Constitución Española (LA LEY 2500/1978)
(4) y no se encuentra desarrollada, cuando menos, por una norma con rango de ley (5) , supone una afectación, evidente, al derecho a la intimidad personal y familiar desde el momento que autoriza a los responsables del tratamiento de los datos obtenidos con la aplicación a conocer, entre otras muchas cosas (6) , la relación que existe entre una persona y el titular de una línea de teléfono (aspecto éste en el que apenas se ha incidido pero que la Sentencia del Tribunal Supremo de 18 de marzo de 2010 (LA LEY 16977/2010), en su FJ 2º considera un aspecto básico de la intimidad personal) y la ubicación del terminal donde la misma se haya instalado (en cuyo caso, aún tangencialmente, también podría comprometerse el derecho a la protección de datos personales frente a su tratamiento automatizado)
Al margen de cuestiones (aparentemente) formales ya mencionadas lo cierto es que la citada aplicación no obvia el contenido de nuestra Jurisprudencia Constitucional (7) y requiere al usuario de la aplicación, su participación voluntaria en la recogida de los datos.
En sus «Condiciones de uso» comienza requiriendo «que te registres (sic) previamente y nos facilites una serie de datos básicos para identificarte como USUARIO, así como, en su caso, que verifiques tu número de teléfono móvil», señala que la «utilización de la Aplicación es gratuita, libre y voluntaria» y requiere la aceptación expresa de la Política de privacidad para convertirte en USUARIO de la misma.
Una vez instalada la aplicación en el terminal móvil se incide en la «voluntariedad» de la cesión de datos personales (o de parte de tu intimidad) cuando, desde un primer momento, cuando habla de los Permisos necesarios para utilizar la aplicación se refiere a la «geolocalización» recomendando (sic) al usuario a activar la geolocalización para poder ofrecerte las mejores medidas preventivas y de evaluación. Añade «no es necesario para
poder continuar».
En conclusión, la aplicación desarrollada por la Secretaría de Estado de Digitalización e Inteligencia Artificial, disponible en los principales repositorios desde el día 5 de abril de 2020, es tan respetuosa con la intimidad como cualquier otra de las que, en nuestros dispositivos móviles, educadamente, solicitan permiso al usuario para activar su «ubicación» en el momento de su instalación o activación destacando, entre ellas, por el hecho de que, a diferencia de otras, a pesar de que, únicamente, hayas introducido tus datos personales (véase Política de privacidad) la misma puede funcionar aún sin geolocalización del usuario en cuestión.
Cosa distinta es la segunda de las medidas desarrolladas por la Orden Ministerial SND/297/2020 (LA LEY 4276/2020).
Obviando de nuevo, aunque quizá no deberíamos, la cuestión de «la forma», la realización de un análisis de la movilidad de las personas en los días previos y durante el confinamiento
(8) es una cuestión que, sin duda, desde el momento en que fue anunciado, ha llamado poderosamente la atención a la ciudadanía.
En primer lugar, debo apuntar que si estamos hablando de datos «anonimizados» como la Exposición de motivos de la Orden Ministerial (LA LEY 4276/2020) caracteriza a aquellos que van a ser objeto de tratamiento huelga toda referencia al «cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995)
» pues el mencionado Reglamento en su Considerando n.o 26 (LA LEY 6637/2016) deja bien claro que «los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo».
Si seguimos haciendo caso de la Exposición de motivos estamos ante un «cruce de datos de los operadores móviles» para analizar «la movilidad de las personas en los días previos y durante el confinamiento». En la (ya clásica) Sentencia del Tribunal Supremo (Sala 2ª) n.o 777/2012 de 17 de octubre de 2012 (LA LEY 161057/2012) rechazaba la posibilidad de que lo que entonces denominaba «rastreo de datos» (como forma de preconstituir una prueba, eso sí) vulnerara de forma relevante la intimidad pues «lo único que pretende es conseguir, en un radio de acción prefijado, la activación de unos mecanismos de comunicación, traducidos en números, de donde pueda inferirse la localización de unos terminales de donde inducir la presencia de unos pocos sospechosos» remitiéndose a la línea seguida por la Sentencia del Tribunal Supremo (Sala 2ª) 906/2008, de 19 de diciembre (LA LEY 226043/2008) de acuerdo con la cual «esa ubicación sólo puede concretarse con una aproximación de varios cientos de metros, que es la zona cubierta por la BTS o estación repetidora que capta la señal, en modo alguno puede considerarse afectado, al menos de forma relevante, el derecho a la intimidad del sometido a la práctica de la diligencia» (9)
En consecuencia, asumiendo que estamos ante un mero «cruce de datos» obtenidos de las conexiones realizadas automáticamente por teléfonos móviles respecto de antenas BTS (10) (deducimos que así será cuando en la Orden Ministerial se habla, como responsable de la cesión de los datos de «los operadores de comunicaciones electrónicas móviles») que estamos ante datos agregados (resumidos) y anonimizados (definidos por la Agencia Española de Protección de datos como aquellos con respecto a los cuales se ha roto la cadena de identificación de personas) (11) y verificado que dichos datos «no son susceptibles de crear perfiles que afecten a la vida privada de una persona» no resultarían conculcados derechos individuales a la intimidad o a la protección de datos personales contenidos en archivos automatizados.
Si no es posible identificar al «titular» de los datos que se «tratan» no se puede hablar de infracción de un derecho individual.
Ahora bien, incluso en el hipotético caso de que entendiéramos que los datos cedidos por los «operadores de comunicaciones electrónicas móviles» no cumplen con los criterios señalados (han sido, únicamente, objeto de pseudonimización (12) , por poner un ejemplo o, por su naturaleza, son susceptibles de crear perfiles que afecten a la vida privada de las personas) y, ahora sí, acudiendo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 no puede olvidarse que, aún sin consentimiento de su titular, es lícito el tratamiento de datos personales si «es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento» (art. 6.1.e (LA LEY 6637/2016)) y la medida cuenta con la cobertura legal derivada de la aprobación del Real Decreto 463/2020 de 14 de marzo (LA LEY 3343/2020) que declara el estado de alarma, el contenido del art. 12.1 de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio (LA LEY 1157/1981) y con la que dimana del art. 3º de la Ley Orgánica 3/1986, de 14 de abril (LA LEY 924/1986), de Medidas Especiales en Materia de Salud Pública (13) .
En el caso de una pandemia global provocada por un virus, hasta ahora, desconocido, muy contagioso y cuya capacidad de desarrollo desborda la capacidad potencial de nuestro sistema sanitario la cesión, sin permiso de su titular, de datos que se hayan recogido y almacenado para fines diferentes por parte de las Operadoras de Telefonía y su utilización, digamos, por la autoridad sanitaria (responsable del tratamiento) resulta, desde mi punto de vista, legítima siempre dentro de los márgenes conferidos a dicha autoridad por el Reglamento (UE) 2016/679 (LA LEY 6637/2016) y nuestra nueva Ley Orgánica de protección de datos (LA LEY 19303/2018).
Pero, incluso en este caso, cabría preguntarse cuál es la finalidad concreta del estudio encargado para valorar si, en los términos habitualmente empleados por nuestro Tribunal Europeo de Derechos Humanos dicha medida puede reputarse «necesaria y proporcionada en una sociedad democrática».
Dice la Exposición de motivos que con el estudio de movilidad «se pretende contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento» con el fin de «entender los desplazamientos de población para ver cómo de dimensionadas están las capacidades sanitarias en cada provincia».
La norma no explica las razones por las cuales es necesario analizar la movilidad de las personas durante los días previos
No explica las razones por las cuales es necesario analizar la movilidad de las personas durante los días previos, ni parece que sea demasiado útil, en este momento, «entender» los desplazamientos de la población (mucho más cuando la gran mayoría de la población española se encuentra confinada) ni se aclara en qué sentido conocer esos desplazamientos puede contribuir a mejorar la respuesta frente a la crisis de nuestra «capacidad» sanitaria ni tampoco queda claro qué aspecto de «las capacidades sanitarias» va a verse mejoradas por un estudio «big data» de esta naturaleza.
Lo «impopular» de este tipo de medidas, entiendo, guarda una estrecha relación con cierta opacidad en la actuación de quienes las han adoptado y la falta de una explicación cercana y asimilable por la población de lo que se pretende con su puesta en práctica pues, desde mi punto de vista queda claro que, más allá de las dificultades para asumir la adopción de medidas que pueden «afectar», aún tangencialmente, a derechos fundamentales en virtud de una Orden Ministerial la trascendencia que las mismas puedan tener en la esfera íntima de las personas estaría, lógicamente, autorizada por la persecución de un fin legítimo (la lucha contra la pandemia), tendrían cobertura legal (como se ha dicho ut supra) y, en la ponderación de los intereses en juego (derecho a la privacidad /derecho a la vida o integridad física de las personas y mantenimiento de la salud pública) constituiría una medida, a mi juicio, proporcionada en un Estado democrático de Derecho.