Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Protección de datos y bien común, en profundidad: Sobre una «App» de geolocalización para combatir el coronavirus

Protección de datos y bien común, en profundidad: Sobre una «App» de geolocalización para combatir el coronavirus
Ricard Martínez es director de la Cátedra de Privacidad y Transformación Digital Microsoft-Universitat de València.
31/3/2020 06:35
|
Actualizado: 10/4/2023 17:51
|

En esta noticia se habla de:

Vivimos tiempos de una enorme complejidad en el tratamiento de datos personales en el ámbito de la salud. La llamada “Medicina de las 4P” personalizada, predictiva, preventiva y participativa a las que el Dr. Julio Mayol  añade la “Poblacional” es intensiva en tratamiento de datos de todo tipo.

La medicina del último lustro ha evolucionado de modo significativo gracias a las tecnologías de la información y las comunicaciones.

Antes de abordar consideraciones estrictamente jurídicas es muy conveniente considerar las posibilidades que ofrece la analítica de datos a la investigación, pero también para la gestión y tratamiento de pacientes.

En esta materia, los juristas venimos a obligados a no partir de una aproximación desconectada de la realidad material.

Así, resulta de casi obligada lectura el Informe del Observatorio Nacional de Telecomunicaciones (ONTSI) “Big Data en Salud Digital” de 2017.

Es un estudio didáctico y premonitorio del que aprender.

Hoy el uso de herramientas de analítica de datos combinadas con herramientas informáticas, sensores, «wearables» y aplicaciones móviles están llamadas a jugar un papel crucial en la investigación, la gestión estratégica inteligente de personas y stocks, y en la atención al paciente.

Un adecuado uso primario y secundario de los datos sencillamente: salva vidas.

Existen ejemplos altamente clarificadores. Los estudios retrospectivos sobre comorbilidad están produciendo resultados significativos a la hora de calcular el riesgo de enfermar para una persona sana.

Por otra parte, la inteligencia artificial, o al menos sus hermanos menores los procesos automatizados, poseen un alto valor en la prescripción farmacéutica a personas polimedicadas evitando riesgos de interacciones dañosas e incrementando la eficiencia de los tratamientos.

En otro orden de cosas, la localización de enfermos o la identificación de terminal puede rendir beneficios en materias estratégicas para la gestión hospitalaria. Piense el lector en el escenario actual.

¿Es razonable que Vd. sea atendido en su hospital de referencia? Hemos sido educados en esta rutina. Pero, en un escenario regido por la analítica de datos una inteligencia artificial puede pasar su llamada al gestor de la urgencia atendiendo a criterios relacionados con el riesgo en función del origen, su descripción de la urgencia, e incluso su estado emocional.

Seríamos atendidos por el operador specializado y se nos remitiría con los medios adecuados al hospital que esté en condiciones de atendernos más rápidamente.

Pero este hipotético modelo, no sólo beneficiaría al paciente, sino al sistema entero ya que optimizaría la gestión de personas y recursos.

Por otra parte, el mero estudio analítico con datos anonimizados permite un mapeado en tiempo real crucial para la asignación de recursos humanos, para la gestión de stocks de material, o para las políticas de prevención.

Y ello incluye la atención hospitalaria.

Hoy, equipos de investigación en todo el mundo estudian como la Internet de los Objetos ayudará a cambiar las rutas internas de los hospitales o la localización rápida de dispositivos, -como respiradores o bombas de perfusión-, en un aprendizaje que podría cambiar incluso la ordenación arquitectónica de estos centros.

Y esta breve descripción del potencial de la transformación digital para la garantía de la salud, la preservación de la vida, y el bien común, debe estar presente en las mentes de los juristas cuando nos aproximemos al tratamiento de datos de salud en un contexto de epidemia.

Con demasiada frecuencia los expertos en protección de datos operamos desde la norma prejuzgando la realidad.

En una sociedad en guerra contra la muerte, nuestro horizonte ético en tiempos de epidemia debería partir de una presunción de confianza en los esfuerzos de la Administración, los servicios de salud y la investigación.

Cuando se presume que en un Estado democrático la administración usará los datos de salud para fines espurios se erosiona la confianza social en un momento crucial.

Y no podemos olvidar que la ética de nuestra Constitución es una ética de la dignidad humana en la que el derecho a la vida y la promoción de la salud constituyen un objetivo primario.

Si venimos defendiendo el derecho a una salud universal cuyo sentido material sea promover las condiciones de igualdad material sin que pueda prevalecer ningún tipo de discriminación, deberíamos admitir el rol fundamental de la tecnología como herramienta que contribuya a maximizar la eficiencia de nuestro esfuerzo en un momento de altísima demanda.

Y ello exige una aproximación de los juristas radicalmente diversa.

La geolocalización permite saber con quién se ha relacionado la persona contagiada y, por lo tanto, cortar el avance del virus.

De la descripción al positivismo extremo

En los últimos días se ha producido mucha literatura sobre la protección de datos en la lucha contra COVID. Algunos trabajos son descripciones desde la literalidad de la norma de protección de datos.

En cierta medida es oportuno que se documenten y fijen los principios básicos aplicables, aunque ya resultasen conocidos a los expertos.

No obstante, las posiciones de la Agencia Española de Protección de Datos y del Comité Europeo de Protección de Datos han sido muy valiosas al recordarnos que existen habilitaciones para el tratamiento de datos personales en presencia de intereses públicos, razones de salud pública e interés vital e incluso para la localización.

Y, en este sentido, conviene recordar que estas habilitaciones alcanzan a todo tipo de datos y, con todas las prevenciones al tratamiento de datos personales sin consentimiento.

En este género podría distinguirse a su vez una subespecie cuyo enfoque no se comparte, y que de un modo un tanto amarillista indiqué que conduce “a la muerte por protección de datos”.

Consiste en un análisis limitado que únicamente contempla el derecho fundamental a la protección de datos. con una visión de túnel. Si no se aplica una visión de 360 grados que contemple el conjunto del Ordenamiento como sistema se suelen ofrecer soluciones rígidas o inaplicables.

Es más, usualmente se subordina la realidad a la norma haciendo inviable cualquier tratamiento.

Ponderar dos derechos para convertir un conflicto en una alianza estratégica. Un enfoque centrado en la ética

De extraordinaria utilidad resultan las aproximaciones éticas a la cuestión que nos ocupa, ya que nos permiten reflexionar sobre las profundas implicaciones de los retos que enfrentamos. En este sentido, el Grupo Independiente de Expertos de Alto Nivel sobre Inteligencia Artificial en sus Directrices éticas para una IA fiable señala:

  • «37) Creemos en un enfoque de la ética en la IA basado en los derechos fundamentales consagrados en los Tratados de la UE15, la Carta de los Derechos Fundamentales de la Unión Europea (la «Carta de la UE») y la legislación internacional de derechos humanos16. El respeto de los derechos fundamentales, dentro de un marco de democracia y estado de Derecho, proporciona la base más prometedora para identificar los principios y valores éticos abstractos que se pueden poner en práctica en el contexto de la IA».

Es comprensible sin duda que pensadores, como Harari o Byung-Chul Han, alerten contra la tentación totalitaria.

Es algo que debería preocuparnos a todos. Pero la nuestra debe ser también una reflexión basada en la ética de la vida, la ética del interés vital capaz de garantizar nuestro derecho a la vida privada.

Y esta ética se proyecta sobre el uso de nuestros datos. En el ejercicio de ponderación que debemos hacer una parte del juicio de proporcionalidad debería residir en los objetivos perseguidos por el sistema de salud. Y existe una reflexión primaria: identificar qué datos necesita el sistema y para que finalidad.

En este enfoque la consideración axiológica de la necesidad de la medida es esencial.

Y esta pregunta no debe responderse desde un pretendido buenismo ideológico sino desde la esencia. ¿Debería tratar el estado para gestionar la salud o limitar los movimientos?

Si la respuesta fuera afirmativa, el cómo, el procedimiento, las garantías son muy relevantes.

Según Ricard, «en una sociedad en guerra contra la muerte, nuestro horizonte ético en tiempos de epidemia debería partir de una presunción de confianza en los esfuerzos de la Administración, los servicios de salud y la investigación».

El procedimiento de ponderación

Permita el lector que me limite a una descripción básica de una metodología que el Dr. Presno Linera ha abordado de modo pedagógico y brillante.

La técnica de ponderación debe analizar la injerencia en el derecho a la vida privada desde un juicio basado en el interés público, la predeterminación normativa, la idoneidad, la necesidad de la medida, regido por el principio de mínima intervención.

El Tribunal Europeo de Derechos Humanos ha afrontado la aplicación del artículo 8 Convenio Europeo de Derechos Humanos (CEDH) desarrollando un método interpretativo que se articula en tres etapas de análisis netamente diferenciadas.

En primer lugar, se trata de determinar si realmente se ha producido una injerencia en el derecho al respeto de la vida privada, para a continuación verificar si dicha intromisión se halla prevista por ley y si es legítima y necesaria en una sociedad democrática de acuerdo con las excepciones del párrafo segundo.

En esta primera fase la Corte no prejuzga en absoluto la licitud de la medida, únicamente constata si se trata o no de un supuesto que interfiere o vulnera el bien jurídico protegido por el precepto.

La segunda y tercera secuencia del análisis se basan en el contraste del caso con las excepciones del artículo 8.2 del CEDH.

Una vez superado el test de legalidad, el Tribunal Europeo de Derechos Humanos finaliza su análisis emitiendo un juicio de proporcionalidad al amparo del principio de necesidad de la medida en una sociedad democrática.

Desde el punto de vista de los límites admisibles al derecho a la vida privada debe señalarse que existen un conjunto de principios comunes en distintos textos internacionales.

El artículo 8.2 CEDH incluye a la protección de la salud como fundamento para la limitación de aquel derecho.

La Carta de los Derechos Fundamentales de la Unión Europea reconoce el derecho a la protección de la salud en el artículo 35.

Asimismo, el artículo 52 contiene las previsiones relativas a las técnicas admisibles de limitación de los derechos fundamentales.

No solo recoge la técnica del Convenio Europeo de Derechos, sino que directamente ordena su aplicación en el párrafo tercero que dispone:

(…)

  1. «En la medida en que la presente Carta contenga derechos que correspondan a derechos garantizados por el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, su sentido y alcance serán iguales a los que les confiere dicho Convenio. Esta disposición no obstará a que el Derecho de la Unión conceda una protección más extensa».

Así pues, cabe considerar que la protección de la salud constituye un valor que en el contexto del Convenio y la Carta puede limitar los derechos relacionados con la vida privada y al que nuestra Constitución confiere un valor constitucional significativo.

Algunos criterios para la ponderación

A.- El valor de la vida y de la dignidad humana

Existe una general coincidencia, que comparto, en situar al Considerando 46 como el pilar sobre el que edificar tratamientos de datos personales lícitamente cuando sea necesario para proteger un interés esencial para la vida.

Además, se sitúa el control de epidemias y su propagación como un motivo importante de interés público que legitimaría tales tratamientos.

No se cita, sin embargo, ni una sola vez el conjunto de considerandos relativos a la investigación científica, también de interés público tan relevante en estos momentos.

Y tampoco un elemento nuclear en el pórtico de la regulación en el Considerando número 4 cuando refiere que el tratamiento de datos personales debe estar concebido para servir a la humanidad y no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

Es por tanto razonable afirmar que desde el propio Reglamento General de Protección de Datos y los artículos. 15 y 43 de la Constitución Española el derecho a la vida y a la protección de la salud modulan necesariamente el derecho a la protección de datos.

B.- La predeterminación normativa

La rigidez normativa, la carencia de visión que por ejemplo se ponía en evidencia en intervenciones parlamentarias en la tramitación de la LOPDGDD, y la interpretación de la realidad desde la norma, -a veces sin que la realidad importe-, nos ponen frente a la necesidad de profundizar en el significado de la protección de datos desde el diseño y por defecto.

Y, probablemente ante un momento transicional muy delicado, ante una frontera en la que el marco europeo de la privacidad se juega la funcionalidad de la normativa, la credibilidad de sus autoridades, y la responsabilidad de aplicadores y expertos.

Y he aquí el problema, si seguimos con la metodología de interpretación de túnel sin una visión global del ordenamiento de 360º será imposible acreditar predeterminación normativa alguna.

Les propongo un breve listado de normas a considerar:

Podría considerarse adicionalmente una interpretación funcional de las facultades que la capacidad de limitar la circulación de personas del artículo 11.1.a) de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio.

Si bien tal interpretación debería ser particularmente precisa y restrictiva aunque la AEPD no la ha descartado en absoluto.

No debe agotarse aquí la interpretación normativa que ineludiblemente debe incluir las garantías para la seguridad de la información previstas en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

La cuestión radica pues, en si la interpretación sistemática de estas normas permite operar la definición del conjunto de tratamientos necesarios para las autoridades sanitarias preservando el equilibrio constitucional de los derechos, y ofreciendo un nivel de garantías adecuadas en las que, a nuestro juicio las medidas de seguridad y en particular la trazabilidad en el uso de la información, la limitación y adecuación de finalidad, y las decisiones sobre volumen y naturaleza de los datos serían la clave de bóveda.

En la práctica la frontera a la que nos enfrentamos es la que va de una posición formalista y positivista del marco normativo de protección de datos a la de otra centrada en las necesidades de un tratamiento y en bajo qué condiciones puede realizarse un tratamiento.

En términos coloquiales, la primera visión es la que nos dice “se puede…” pero, dónde “el pero” consiste en un conjunto de reglas generalmente ambiguas que nadie resuelve.

La segunda, es la del “cómo”.

Esta es la que los esforzados delegados de protección de datos deben enfrentar en su día a día.

Y en esta segunda aproximación no valen las teorías, toca arremangarse y ofrecer soluciones viables.

Como se ha señalado en un reciente trabajo sobre Inteligencia artificial desde el diseño, los nuevos tiempos exigen al jurista un cambio metodológico fundamental.

Y una parte de este cambio consiste en salir de la zona de confort de los especialistas en protección de datos, ya que:

Exige entender la realidad material de los procesos, interactuar con los desarrolladores, y entender las finalidades que persigue la organización.

Modifica nuestro rol, nos quitamos la toga y nos ponemos el mono de trabajo. No pontificamos, servimos a los intereses del responsable.

▪ Debemos mantener un horizonte ético y jurídico firme: la garantía del derecho fundamental a la protección de datos es innegociable pero su limitación posible.

▪ Nos enfrentamos ante procesos y tratamientos éticamente legítimos con problemas de viabilidad jurídica cuando el enfoque del regulador es formal-positivista. Esto es, cuando quienes deben defender la protección de datos desde el diseño y por defecto no la aplican en su propia metodología de enfoque de los problemas.

Y esto genera serios problemas de enfoque que podrían hacer fracasar la transformación digital en la Unión Europea.

La virtud no reside en envolverse en la bandera de la privacidad y juzgar desde una atalaya moral inexpugnable sino en encontrar el cauce de conciliación necesaria que defina un modelo tecnológico europeo con rostro humano, centrado en la dignidad y en los derechos.

La crisis de COVID-19, en este sentido pone a pruebas las costuras del sistema.

¿Cómo resolvemos problemas?

La figura del delegado de protección de datos podría enfrentarse a una situación insoluble. El mensaje que recibe tanto del regulador como de ciertos expertos no es otro que: aplíquese la ley. Y lo que la sociedad necesita ante la complejidad actual no es una respuesta sencilla.

La sociedad reclama un enfoque global que defina:

▪ Hasta dónde alcanzan las potestades del Estado y cuáles son las garantías para los derechos fundamentales.

▪ Cuál es el margen de acción para las empresas y administraciones.

▪ Qué debe respetar la ciencia y la innovación privada.

Y esto en un contexto acelerado en el que la Comisión Europea ha preguntado ya a proyectos de investigación en marcha si se puede aplicar lo aprendido y en el que el Gobierno ha lanzado una línea de subvenciones.

Quienes estamos luchando contrarreloj para dar soluciones nos encontramos sin respuestas más allá de “léase Vd. el Reglamento”. Y esto, es absolutamente paralizador. No nos sirven los criterios genéricos ni las declaraciones. Y no siempre podemos esperar al legislador.

Los casos difíciles exigen soluciones fundadas en Derecho, pero altamente tributarias de una interpretación axiológica del ordenamiento que sea capaz de ponderar los derechos y garantizarlos.

Y ahora, la vida nos pone ante uno de los dilemas más complejos: conciliar privacidad y salud en su dimensión colectiva.

La respuesta no la tienen los que sólo saben decir “qué” con la conciencia tranquila de haber protegido nuestras libertades, pero sin aportar nada más allá de una estéril declaración. Necesitamos a aquellos que nos digan “cómo”.

Otras Columnas por Ricard Martinez:
Examinarse en casa: Sobre la demanda del alumno de la UCO por la «videovigilancia» de los exámenes «on line»
Salud o privacidad (a propósito de la «app» para geolocalizar personas con coronavirus): Un falso debate
Escuelas de verano y divulgación de imágenes de menores en la red
Google Incorporation es responsable
¿De vuelta al DPO? obligatorio
Sobre la ocultación de identidades en las sentencias del Constitucional
Últimas Firmas
  • Opinión | El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (y VI)
    Opinión | El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (y VI)
  • Opinión | Directiva Europea contra el «greenwashing»: hacia las auditorías rigurosas sobre las prácticas ESG
    Opinión | Directiva Europea contra el «greenwashing»: hacia las auditorías rigurosas sobre las prácticas ESG
  • Opinión | Caso Begoña Gómez: ¿voluntarismo judicial?
    Opinión | Caso Begoña Gómez: ¿voluntarismo judicial?
  • Opinión | Sobre la reparación del daño por el perdón del ofendido
    Opinión | Sobre la reparación del daño por el perdón del ofendido
  • Opinión | Anoche tuve un sueño: me llamó el presidente…  
    Opinión | Anoche tuve un sueño: me llamó el presidente…