Apps coronavirus y desconfianza ciudadana
Ricard Martínez Martínez
Director de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de Valencia
Diario La Ley, Nº 9684, Sección Tribuna, 29 de Julio de 2020, Wolters Kluwer
LA LEY 10088/2020
Las últimas noticias sobre la utilización de las Apps-Coronavirus apuntan a una gran desconfianza en distintos países. Resulta muy difícil profetizar lo que podría ocurrir en nuestro país. Lo cierto, es que ya hicimos de modo eficiente una tarea: alertar a la ciudadanía sobre los peligros para su vida privada. Sin embargo, nunca explicamos la importancia social de cooperar, nunca reflexionamos sobre el uso de los datos para el bien común. En España es más fácil que una persona te done un órgano a que permita el uso de sus datos para el bien colectivo por el sistema público de salud. Y mientras, la pandemia repunta y el individualismo rampante e insolidario nos entristece, debemos prepararnos para escenarios verdaderamente complicados esperando que no sucedan. Y ello obliga a reconstruir la confianza social y jurídica.
Por ello, es momento de realizar un nuevo análisis de riesgos básico. La epidemia parece volver a crecer en un escenario en el que la tarea de los rastreadores resulta extremadamente lenta. Si bien no hay duda de que este método de rastreo tradicional pueda surtir efecto en los contagios vinculados a contextos familiares, laborales o escolares, encuentra su límite cuando se enfrenta a los contactos «festivos».
Por su propia naturaleza parece que el contagio en una discoteca, botellón o juerga playera, o en cualquier otra concentración humana que reúna a desconocidos, y en los que no existe un control nominal de aforos, hace más difícil obtener la debida trazabilidad. Es más, el sentido común induce a pensar en posibles contagios de uno a muchos, o de muchos a muchos, cuya propagación de vuelta al núcleo familiar y laboral puede ser explosiva.
Llegados a este extremo, es indispensable recordar resumidamente cuál ha sido la posición de los expertos de privacidad incluidas las autoridades de protección de datos:
-
1. No es posible acceder a los registros de localización de las compañías de telecomunicaciones.
En primer lugar, por razones jurídicas ya que no existe la debida predeterminación normativa. Por otra parte, se argumenta que desde un punto de vista técnico no ofrecen la granularidad suficiente. Esto es no pueden registrar la cercanía de dos personas a menos de 2 metros durante al menos 15 minutos.
Curiosamente en Pamplona, ante esta tesitura los servicios de Salud Pública han debido realizar un bando a la antigua usanza y esperar que miles de jóvenes indeterminados estén dispuestos a realizar una prueba. Es decir, esperan que el mismo número indeterminado de jóvenes o personas que el registro de telefonía sabe «que estaban allí», comparezcan voluntariamente para practicar exactamente el mismo volumen de pruebas pero con siete días de retraso y con mucha menos precisión en la identificación que respecto del escenario en el que se les hubieran cedido los datos de identificación del usuario de terminales geolocalizados.
-
2. Las aplicaciones móviles que localizan personas con un control directo del Estado son contrarias a la privacidad.
La cultura de privacidad Unión Europea, heredera de una terrible tradición desde la Segunda Guerra Mundial y en los países del Telón de Acero, considera inaceptable que los servicios de Salud Pública traten datos para salvar vidas. Si bien el punto de vista de la experiencia histórica posee pleno sentido hay elementos que parecen ser irrelevantes incluso para las propias autoridades de protección de datos. El tratamiento de datos personales en la UE se ajusta a la más exigente regulación del mundo, en países como España las regulaciones internas aseguran garantías adicionales. En nuestro caso:
-
▪ La propia Ley Orgánica de Protección de Datos Personales contiene un marco muy detallado en la disposición adicional decimoséptima sobre tratamientos de datos de salud que asegura algo urgente: investigar.
-
▪ La Ley Orgánica de Medidas Especiales en Materia de Salud Pública y la Ley General de Salud Pública definen un marco de competencias y deberes de colaboración ciudadana.
-
▪ El Esquema Nacional de Seguridad y los sistemas implantados cumpliendo el Reglamento de desarrollo de la Ley Orgánica 15/1999 (LA LEY 4633/1999), aseguran la trazabilidad de cualquier acción de un profesional de la salud pública indexando día, hora, minuto, segundo, registros de datos accedidos y acciones realizados, y lo guardan por periodos de hasta dos años.
Y desde nuestro punto de vista, esto plantea sin duda una cuestión obvia: en qué medida en un Estado de Derecho resultan no confiables las acciones de la sanidad pública ordenadas a preservar o salvar la vida del paciente, sujetas a reglas y controles muy estrictos. ¿Qué grado de disvalor incorpora una actividad de esta naturaleza que la convierte en menos valiosa que el derecho a la vida privada individual?
-
3. Las manifestaciones públicas de ciertos profesionales y líderes de opinión con declaraciones encendidas y apocalípticas acabaron por cerrar el círculo de desconfianza.
También contribuyó sin duda, el entender la transparencia como algo formal en lugar de superar el artículo 13 del RGPD (LA LEY 6637/2016) explicando con claridad y precisión al público para que sirve una APP.
Y, sin embargo, desde un punto de vista material se da una paradoja ciertamente fascinante. En el sistema operativo de mi teléfono: 3 aplicaciones pretenden tener acceso a mi actividad física, ninguna de ellas guarda relación directa con este tipo de servicios; 22 aplicaciones requieren permisos de localización, aunque solo dos la necesitan realmente, y mi proveedor ha renunciado tan sólo hace un año a obligarme a que le permita acceder a «sensores corporales», aunque mantiene la función. Esto no es nuevo, ocurre hace un lustro pero al parecer no interesó a muchos de los campeones de la privacidad con las excepciones de organizaciones de derechos humanos y derechos de los consumidores e internautas expertas en la materia.
El resultado práctico no es otro que el del rechazo de una parte significativa de la población y, me temo, que contribuye a consolidar las teorías de la conspiración con «los chis» y «el 5G». El público no entiende, ni tiene porque hacerlo, sobre complejos sistemas de anonimización descentralizada basados en bluetooh. El comportamiento neuroemotivo en las redes se rige por otras reglas, y creo que los expertos lo sabemos, y algunos incluso lo aprovechamos.
La situación actual exige por tanto reconsiderar nuestro enfoque a partir de las lecciones aprendidas. Para ello:
-
1. Se requiere una revisión urgente de la legislación sectorial.
O bien las autoridades de protección de datos ofrecen una interpretación adecuada y con las debidas garantías a partir de la legislación existente, y tienen instrumentos de softlaw para hacerlo, o bien el legislador adecúa el ordenamiento. En este sentido, definir mejor las condiciones de obtención de datos, precisar las condiciones del teletrabajo, o redefinir la enseñanza online en todos los sectores son tareas urgentes.
-
2. En las cuestiones sobre COVID-19 no basta con la tarea preventiva y reactiva de las autoridades de protección de datos.
A día de hoy, no conocemos demasiado sobre las inspecciones de oficio realizadas sobre APPS de coronavirus. Si algo fue mal, necesitamos con urgencia obtener lecciones aprendidas. Si se hizo bien, el público necesita saberlo para volver a confiar.
Pero, sobre todo, necesitamos una tarea constructiva. Debemos ser conscientes que la línea de la independencia del regulador es muy fina. Y, sin embargo, necesitamos que las autoridades de protección de datos jueguen en equipo con el sistema sanitario y contribuyan a alcanzar soluciones viables, auditadas y compartidas.
Hablamos de vidas humanas, de nuestros sanitarios, de nuestras familias, de nosotros mismos. En tiempos de COVID el hilo no lo tejen las Parcas sino nuestras acciones. Por ello, el balance de intereses entre privacidad y uso de los datos, no puede responder a una fría operación jurídica. Las matemáticas de la vida exigen una aproximación de delegado de protección de datos centrada en cómo alcanzar los objetivos salvaguardando derechos.
Por ello, deberían asumirse los riesgos inherentes a un esfuerzo coordinado. Sería óptima la presentación de la futura APP-coronavirus con una transparencia absoluta. Y con la decisión anterior de formalizar ante la AEPD la consulta previa que incluye el RGPD y que obliga a un pronunciamiento expreso en el que los plazos deberían acortarse al máximo. Y en su caso, con una autoridad de protección de datos explicando a la población los resultados obtenidos en la auditoría. Y no estaría de más que habida cuenta de las excelencias del Esquema Nacional de Seguridad el CCN contribuyese con su parte. Debería ser un esfuerzo dirigido a no dejar ni un solo resquicio a la desconfianza de la población.
En este reto nos jugamos la vida de muchas personas. Y proteger los datos sirve para proteger personas no para la aberración de poner en riesgo sus vidas.