Vivimos una situación excepcional en el mundo. Esta crisis sanitaria nos ha cogido a todos de improviso. No solo las empresas han visto que su plan de continuidad no contemplaba escenarios de siniestro como el que vivimos, sino que la inmensa mayoría de gobiernos, que deberían tener todo preparado para estas situaciones, han demostrado que no estaban preparados para una crisis de este calibre.
En el caso de España, hace más de un mes que se decretó el estado de alarma en todo el país, y desde ese momento, las decisiones del gobierno han venido reguladas a través de decretos y órdenes que han ido permitiendo la aplicación de las medidas de actuación establecidas por el ejecutivo.
En este sentido, son muchos los artículos de opinión publicados en relación al ya citado estado de alarma y el impacto que este puede suponer en lo que respecta a los derechos y libertades de los ciudadanos. Nosotros, fieles a nuestra condición de blog de ciberseguridad, vamos a dejar de lado los aspectos políticos e ideológicos y a centrarnos en aquellos aspectos que pueden tener un impacto en la seguridad de los ciudadanos y la privacidad de sus datos.
No cabe duda de que la prioridad de todos es terminar con esta pandemia que ha terminado con tantas vidas humanas, y el empeño de todos debe seguir yendo en esa línea. No obstante, sería imprudente hacerlo dejando de lado los derechos humanos; la seguridad de los ciudadanos y su privacidad no deben ser sacrificados por el camino. En esta línea, Amnistía Internacional ha publicado una noticia donde emplaza a los estados a “respetar los derechos humanos al emplear tecnologías de vigilancia para combatir la pandemia”.
Una de las medidas que se están contemplando para la llamada desescalada son las aplicaciones de geolocalización, que permiten identificar los contactos que ha podido tener una persona que haya dado positivo por coronavirus dentro del periodo en el que es posible el contagio a otras personas. Tanto los gobiernos autonómicos como el gobierno central están desarrollando este tipo de aplicaciones, así como otras de autodiagnóstico de COVID-19.
Al respecto, la Agencia Española de Protección de Datos, desde el primer momento y de forma proactiva, ha realizado distintos comunicados facilitando información sobre la necesidad de mantener un adecuado equilibrio entre el derecho fundamental a la protección de datos y la aplicación de las medidas de las autoridades sanitarias:
Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común.
Agencia Española de Protección de Datos – https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-apps-webs-autoevaluacion-coronavirus-privacidad
Por su parte, al tratarse de una pandemia global (valga la redundancia), la Comisión Europea ha salido al paso, y el pasado día 17 de abril publicó una guía con orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia de COVID-19 en lo referente a la protección de datos.
En esta guía, la Comisión trata de dar una respuesta común al uso de estas aplicaciones móviles, que permiten adoptar medidas eficaces de distanciamiento social y facilitan la detección precoz de personas que hayan tenido contacto con una persona contagiada, con el único fin de poder limitar la propagación del virus. Para ello, dicha guía determina las características y los requisitos que deben reunir las aplicaciones para asegurar el cumplimiento de la regulación europea.
La guía se basa en dos aspectos que considero fundamentales:
- Principio de minimización de los datos. Es decir, utilizar los mínimos datos imprescindibles para la finalidad perseguida. Si la finalidad es el autodiagnóstico, no parece razonable que la aplicación tenga acceso a los contactos o a la geolocalización. Por su parte, si la finalidad es el rastreo de contacto y alerta, la Comisión recomienda el uso de una tecnología mínimamente intrusiva (por ejemplo, Bluetooth de baja energía), que los datos generados en el rastreo se almacenen en el dispositivo del usuario, y que solo se compartan con las autoridades sanitarias cuando se haya confirmado que la persona está infectada de COVID-19. Cito de la guía: “Generar y tratar menos datos restringe los riesgos para la seguridad”.
- Garantizar la seguridad de los datos. Para ello, el propio RGPD establece el principio de privacidad desde el diseño y por defecto, y esta situación no puede ser una excepción. Es muy importante tener en cuenta, no solo los aspectos de cumplimiento normativo, sino también las medidas de seguridad necesarias para garantizar la integridad y confidencialidad de los datos. Todo esto debe ser tenido en cuenta en la fase inicial de la evolución del desarrollo, junto al análisis y especificación de los requisitos funcionales. En este sentido, la Comisión establece otras recomendaciones como la utilización de identificadores temporales de usuarios, modo de almacenamiento de la información, cifrado de los datos, etc. Aunque con tal de detener la pandemia estemos tentados a relajar las medidas de seguridad, no debemos olvidar que los cibercriminales aprovechan cualquier situación para obtener beneficio (lo estamos viendo estos días), por lo que no me quiero ni imaginar las consecuencias que un fallo de seguridad en alguna de estas aplicaciones, con datos tan sensibles como los de salud, podría desencadenar.
Aunque las orientaciones que hace la Comisión Europea a través de esta guía no son jurídicamente vinculantes, sí son recomendaciones con un fundamento jurídico, principalmente en el Reglamento General de Protección de Datos y en la Directiva sobre la privacidad y las comunicaciones electrónicas.
Para finalizar, es evidente que las aplicaciones están pensadas con el objetivo último de controlar y erradicar la pandemia, facilitando a las autoridades la comunicación con la ciudadanía, la comprobación de síntomas o la realización de asistencia a través de telemedicina, entre otras finalidades. Sin embargo, cometeríamos una imprudencia si, existiendo medios técnicos de protección de la información compatibles con tales finalidades, nos olvidáramos de garantizar la seguridad de los datos y la privacidad de los ciudadanos. Entre todos saldremos de esta.
Muy interesante y bien enfocado Manuel. Importantes todas las aclaraciones que ha realizado