La AEPD advierte a la ciudadanía de los riesgos que implica facilitar datos sensibles como los relacionados con la salud.
Protección de Datos comprobará si las aplicaciones móviles sobre coronavirus son legales
La Agencia Española de Protección de Datos constata que proliferan páginas web y 'apps' que ofrecen ayuda y consejos sobre el coronavirus
|
18/3/2020 06:35
|
Actualizado: 17/3/2020 22:46
|
La Agencia Española de Protección de Datos (AEPD) advierte al conjunto de la ciudadanía de los riesgos que implica facilitar categorías de datos sensibles, como son los relativos a la salud, a estas webs y «apps» (aplicaciones), incluso en aquellos casos en los que aparentemente esos datos no se asocian a la identidad del usuario que utiliza la aplicación.
Por ello, iniciará actuaciones de investigación para constatar posibles tratamientos ilícitos de datos personales, identificar a sus responsables e imponerles en tal caso sanciones económicas.
Recientemente se ha clausurado una web llamada ‘coronavirusstop‘, que, con el pretexto de ayudar a entender mejor los síntomas del COVID-19, pedía datos personales. Entre ellos dirección, código postal, edad, sintomatología, incluso la existencia de contacto con alguna persona contagiada o la presencia en alguna zona de riesgo, además de patologías.
Ante la presión de muchos expertos en ciberseguridad a través de redes, la web terminó cerrando.
El Ministerio de Sanidad, por su parte, confirmó que no tenía nada que ver con esta iniciativa privada.
Para Víctor Salgado, socio de Pintos & Salgado Abogados, especializado en derecho informático y privacidad desde 1997, “la AEPD está haciendo una gestión proactiva de esta cuestión. Surgen páginas webs y aplicaciones móviles oportunistas con el momento que vivimos. También hay un ‘malware’ para aprovecharse de la confianza y del temor de las personas”.
«Es bueno esta alerta de la AEPD y las directrices que está dando sobre este tema. Incluso anuncia acciones de investigación y posibles sanciones fuertes sobre este tipo de prácticas”.
Con el Reglamento General de Protección de Datos (RGPD) en la mano, señala, «las sanciones serían importantes alcanzado los 10 millones de euros o el 2% del volumen de facturación, incluso podríamos movernos en la escala máxima de 20 millones y 4% de dicha facturación a nivel global”.
Víctor Salgado, socio de Pintos & Salgado Abogados.
A su juicio, “lo que realmente buscan estas aplicaciones es lograr datos de los interesados sin cumplir previamente los requisitos establecidos. Estamos hablando que los datos de salud son sensibles, por lo que habría que contar con el juicio de proporcionalidad y el principio de minimización de datos, pues se trata de recabar el mínimo de información de los interesados”.
La AEPD, apunta este jurista, “también nos lanza el mensaje que aunque nos hablen de la minimización de los datos hay que desconfiar. La inmensa mayoría de proyectos en los que hemos intervenido, se habla de tratar datos anonimizados, pero en el 95% de los casos esos datos no están. Están seudoanonimizados, que en un momento se puede quitar el dato personal y sustituir por un número, pero es perfectamente revertible y se puede volver a identificar”.
Recuerda que toda web o ‘app’ “debe contar con su política de privacidad, donde se deben incluir los datos responsables, su ubicación y cuáles son sus datos de contacto o si podemos dirigirnos a un delegado de protección de datos. Si falta esa información podemos dirigirnos a la AEPD y reportar esa falta de información”.
En cuanto a si el desarrollador del ‘app’ debe reportar a la AEPD, indica que parece que no es obligatoria. “Lo primero que tengo que preguntarme es si necesito datos personales de cara a las precauciones que se deben tomar. De todas formas en crisis como esta del coronavirus lo mejor es ir a fuentes oficiales fiables de información para evitar los bulos informativos”.
Junto con ello, “si quiero desarrollar una aplicación se puede hacer, es lícito, pero hay que saber si utilizaré datos. En este caso debo ser transparente y en todo momento informar al interesado para que los voy a utilizar y si me ampara una ley para realizar esta actividad. Se trata de tener el consentimiento pleno, formado y expreso del interesado, tal y como dice el RGPD para tratar los datos dentro de la aplicación”.
Salgado señala que “debemos informar de lo que haremos con esos datos si los cedemos a terceros o utilizarlos para enviar información publicitaria, eso significa que debe haber varias casillas separadas donde el consumidor pueda marcar si realmente quiere recibir esa información. También deberé tener al día el registro de actividades de tratamiento”.
Conocer el respaldo oficial de la ‘app’
Ofelia Tejerina, presidenta de la Asociación de Internautas, señala que comparte la preocupación de la AEPD sobre la proliferación de estas aplicaciones.
«Algunas se crean con las mejores intenciones, pero eso no significa que cumplan todos los requisitos legales y realmente sean tan útiles como pretenden sin exponernos a un riesgo por el tipo de información que recaban”, apunta.
Al mismo tiempo, añade, “hay gente que quiere aprovecharse de la situación y sacar rédito. Es tremendo pero es así. Todas las cautelas son pocas”.
Tejerina comparte la opinión de otros expertos en relación a que la protección de datos no está por encima del derecho a la vida. “En el RGPD ya queda regulado las excepciones en cuanto al tratamiento de datos sanitarios”.
Ofelia Tejerina, presidenta de la Asociación de Internautas.
«Cualquier aplicación móvil o web relacionado con el coronavirus debería ser consultada a la AEPD o a un experto en protección de datos para minimizar el uso de datos personales. que en el campo sanitario son de carácter sensible. El problema son las sanciones que pueden sufrir si no se cubre la legalidad”.
Esta jurista también valora que la AEPD haya comunicado públicamente que investigará este tipo de asuntos y procederá a sanciones si así fuera necesario.
“Puede investigar de oficio, como ya lo hizo en su día en relación al sector hotelero o ahora en iniciativas como las de esta pandemia. Creo que genera un efecto disuasorio anunciar que puede haber sanciones”.
Desde un punto de vista práctico, Tejerina explica que “debería crearse un canal de comunicación con la AEPD para saber si se dan las condiciones adecuadas que señala el RGPD. Lo más prudente además es conocer quién está detrás de esta iniciativa y si tiene el respaldo legal adecuado a nivel de política de privacidad actualizada para cancelar o modificar nuestros datos”.
Hay que seguir los postulados del RGPD
Por su parte, Rodolfo Tesoné, vocal de la Junta de Gobierno del Ilustre Colegio de la Abogacía de Barcelona (ICAB) y presidente de la Comisión de Transformación Digital del ICAB, destaca que “en una situación de emergencia no se baja la guardia, como se ha visto en esta problemática del coronavirus”.
Sobre este tipo de aplicaciones móviles que llegan ahora al mercado cree que deben estar supervisadas por las autoridades sanitarias.
A juicio de este experto, “en este tipo de situaciones es importante el papel del delegado de protección de datos y si no lo hay, porque no todas las empresas lo tienen, ya que hablamos de datos sensibles, la empresa debe contar con un profesional que pueda orientar este tipo de trabajos a nivel de privacidad, siempre teniendo en cuenta los conceptos del RGPD de privacidad desde el diseño”.
Rodolfo Tesone, presidente de la Comisión de Transformación Digital del ICAB.
Si se cuenta con el beneplácito del supervisor sanitario y si se respeta la política de privacidad actual, “no se deben paralizar este tipo de iniciativas, en situaciones de emergencia no se puede lograr el 100% del rigor pero debe haber criterios de proporcionalidad. Con una evaluación de impacto razonable que acreditase que ese tratamiento no es invasivo podría ser suficiente”.
Para este jurista, “estamos hablando de soluciones con un fin social con bajo coste. Esto nos pone en la pista de que no estamos ante desarrollos de ‘software’ malintencionados. Que algún día se cree un sello de calidad para este tipo de aplicaciones móviles podría ser una garantía de que esta herramienta cumple con criterios de calidad”.
Tesoné cree que sería interesante que en esta crisis del coronavirus la AEPD pudiera establecer un sistema de verificación de dichas aplicaciones móviles con el fin de dotarlas de la seguridad jurídica que necesitan estas herramientas. “No es su cometido, pero sería de gran utilidad el contar con un listado de aplicaciones de estas soluciones que ya están verificadas y tasadas”.
Noticias Relacionadas:
