Skip to content

02. Consideraciones legales

Jump to bottom
Elad Rodriguez edited this page May 11, 2020 · 12 revisions

No pretendemos publicar esta APP, puesto que ha de ser el Ministerio del país u organismo pertinente quien lo haga. Ponemos este código a disposición de los organismos relevantes por si les fuera de utilidad.

Cualquier Ministerio de Sanidad, o las administraciones autonómicas sanitarias competentes, se hicieran cargo de la difusión de la app y del tratamiento de los datos que se obtengan, el uso de la app sería de acuerdo a la Ley RGPD.

Los datos que se recaben deberán gestionarse de conformidad con la ley en cuanto a la medidas de seguridad de su almacenamiento, plazo máximo de custodia y almacenamiento, e información al usuario de sus derechos (especialmente de finalidad y revocación del consentimiento).

Así mismo, pese a que esta app solicita al usuario su consentimiento, también el RGPD contiene excepciones a la necesidad de recabar el consentimiento previo al tratamiento de datos, en el caso de epidemia o de protección de la salud de las personas en base al interés general, que es la situación en la que nos encontramos. El escenario en el que se centra este informe es el de que las autoridades sanitarias autonómicas adoptan medidas extraordinarias para la protección de la salud pública, pues es la única legitimada para adoptar este tipo de medidas.

Según la AEPD Para cumplir las decisiones sobre la pandemia de coronavirus que adopten las autoridades competentes, en particular las sanitarias, la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades, en la lucha contra la pandemia. La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado. En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular los de minimización, limitación de la finalidad y minimización de la conservación.

Recomendación de la Unión Europea

La Comisión Europea ha emitido una serie de recomendaciones para asegurar el cumplimiento de la normativa de protección de datos personales en las aplicaciones vinculadas al Coronavirus y que se deberían seguir en su diseño y desarrollo: Mobile applications to support contact tracing in the EU’s fight against COVID-19 Common EU Toolbox for Member States.

En resumen, las recomendaciones son las siguientes:

  • Dada la alta sensibilidad de los datos que se tratan, se recomienda que los responsables del tratamiento de los datos de estas apps sean las autoridades sanitarias. En esa condición deberán ser esas Autoridades Sanitarias quienes decidan sobre los medios y finalidades del tratamiento de datos, se identifiquen como responsables y faciliten la información necesaria a los usuarios.

  • El usuario debe mantener el control de sus datos personales.

    La instalación de la aplicación debe ser voluntaria y sin consecuencias negativas si decide no descargarla o usarla; el usuario debe ser capaz de dar su consentimiento a cada funcionalidad de la app (información, rastreo de contactos, funcionalidades de alerta...) por separado.

    El uso de los datos de proximidad se debería almacenar en el dispositivo y solo compartirse cuando se confirme el contagio y con el consentimiento del usuario.

    Los usuarios deben poder ejercer sus derechos reconocidos por el RGPD.

  • La app se deberá desactivar cuando la pandemia se declare bajo control, sin depender de la desinstalación por el usuario.

  • Se debe cumplir el principio de minimización de datos, por el que solo los datos personales que son relevantes para cada finalidad en cuestión de la app. Por ejemplo, no usar datos de contacto de las personas salvo que sean estrictamente necesarios para alguna de las finalidades.

    La Comisión Europea recomienda el uso de la tecnología Bluetooth Low Energy o similar para determinar la proximidad, sin utilizar datos de localización GPS ni de la hora exacta (basta con aproximada) y lugar del contacto.

  • Se debe limitar el tiempo durante el cual se almacenan los datos, basándose en la relevancia médica y las necesidades administrativas.

    Los datos relativos a chequeos y telemedicina o a la proximidad deberán borrarse una vez que haya pasado un mes o después de que el test haya resultado negativo.

    Se pueden mantener datos para seguimiento e investigación de forma anonimizada.

  • Se debe asegurar la seguridad de los datos. En este aspecto, se recomienda:

    • Que los datos se almacenen en el dispositivo del usuario y se encripten con técnicas de criptografía que sean state of the art.
    • Que si los datos se almacenan en un servidor central, los accesos sean logados.
    • Que la activación del Bluetooth sea posible sin activar otros servicios de localización.
    • En Bluetooth Low Energy crear IDs temporales en lugar del ID del dispositivo.
    • Hacer público y disponible para revisión el código fuente de la app.
    • Incluir procedimientos automáticos de borrado y anonimazión de datos desde determinados plazos.
    • Las comunicaciones de datos a autoridades sanitarias deben estar encriptadas.
    • Los datos para investigaciones se deben pseudonimizar.

  • Se debe asegurar la exactitud de los datos que sean objeto de tratamiento.

  • Se debe implicar a las autoridades de protección de datos, con consultas y colaboración antes de empezar a usar las apps.

  • Se prefiere la opción de que los identifiers (identificadores) se almacenen de forma descentralizada.

Para ello también proporcionamos un ejemplo:

Wiki

Wiki en Español

Clone this wiki locally