Aspectos legales de las aplicaciones de geolocalización para vigilancia sanitaria

02/06/2020

Gerardo A. Steta Perea, de Cremades & Calvo-Sotelo. La privacidad jamás debe quedar expuesta.

Recientemente, el Gobierno de España ha anunciado la intención de colaborar con la Unión Europea (UE) para el desarrollo de aplicaciones que, por medio del uso de tecnologías de geolocalización, ayuden a combatir el SARS-CoV-2 o Covid-19. El objetivo no es sólo rastrear a los posibles infectados, sino también los contactos estrechos que hayan tenido con personas que posiblemente pudieron haber contraído el virus.

Medidas como la anterior han sido ya utilizadas por otros países, como es el caso de China o Corea del Sur, que han optado por el uso de la geolocalización para controlar la expansión del virus en sus respectivos territorios. Sin embargo, estas medidas chocan sin duda con el vigente sistema de libertades, pues nuestra privacidad e intimidad podrían quedar expuestas, de cierta forma, aunque sea para tratar de hacer frente a una situación extraordinaria que ha golpeado de forma particularmente agresiva a España.

Adicionalmente, hay que tener en cuenta que este tipo de actividades de geolocalización podrían contravenir la normativa vigente en materia de protección de datos. En concreto, el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, normativa de aplicación directa para los 27 Estados miembro de la UE. Así, es importante recordar que para poder tratar datos es importante establecer la base legal para hacerlo. Esto implica que para que dicho tratamiento sea considerado legítimo, debe estar amparado en algunos de los supuestos que determina el artículo 6 del citado reglamento.

Así, existen en ese reglamento determinadas excepciones, por interés público, para poder obtener determinada información personal. Como establece su artículo 6, se podrán aplicar medidas extraordinarias en el caso de que sea necesario, en interés público o por una autoridad pública.

Imagen: Masum Ali (obtenida en pixabay.com y modificada).

Además, cuando se tratan datos de carácter personal, y más cuando versan sobre cuestiones que pueden resultas sensibles, es importante llevar a cabo una evaluación de su impacto para determinar las finalidades de dicho tratamiento, así como la posible exposición al riesgo de dichos datos. Por otro lado, tanto el Gobierno de España como la propia UE deberán tomar exigentes medidas de seguridad para evitar perjuicios a los ciudadanos por el control de sus datos personales.

Así, las propias entidades públicas, tanto de España como de la UE, deberán determinar si los datos que sean recabados serán seudonimizados, esto es, si son datos tratados de forma tal que ya no se puedan atribuir a un interesado, sin utilizar información adicional —siempre que esta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable—, o bien son datos anónimos, de manera que no se puede identificar de forma concreta a una persona.

 Por otro lado, es importante tomar en cuenta que al tratarse de una medida que busca hacer frente a una crisis sanitaria sería importante considerar la protección de datos desde el diseño. Esto es, conforme al artículo 25 del reglamento, determinar el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.

Asimismo, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios para realizarlo como en el momento de llevarlo a cabo, medidas técnicas organizativas apropiadas, como la seudonimización. Todas ellas concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización, e integrar las garantías necesarias en su tratamiento.

Plazo de conservación
Otro punto fundamental por destacar sobre la recolección de estos datos de geolocalización es su plazo de conservación. Ningún responsable puede conservar los datos de un interesado por más tiempo del estrictamente indispensable. Esto implica que los responsables deben cumplir con criterios de proporcionalidad, lo cual conlleva que los datos solo pueden ser almacenados para cumplir con las finalidades que resulten estrictamente indispensables. Sin embargo, existen también determinadas excepciones; por ejemplo, cuando dichos datos deban ser tratados por tener un interés histórico, científico o informativo, se podrán almacenar durante más tiempo sin ningún problema por ser de interés general. Así, los datos solo deben ser almacenados para cumplir con las finalidades del tratamiento y para hacer frente a posibles obligaciones que se pudieran derivar en relación con su tratamiento.

Finalmente, no es raro que estas medidas anunciadas por el Gobierno de España y la propia UE causen cierta controversia, pues si bien buscan hacer frente a la expansión de la pandemia causada por el COVID-19 por medio de tecnologías de geolocalización de los ciudadanos, para así lograr controlar de una forma mucho más eficiente la expansión del virus, producen cierto rechazo en la ciudadanía.

Sin embargo, se trata de una medida extraordinaria ante la situación excepcional que se esta viviendo a escala internacional. En definitiva, los Estados están obligados a tomar todas las medidas posibles para garantizar que el derecho a la intimidad y a la privacidad —que en la Constitución Española está consagrado por el propio artículo 18— estén debidamente garantizados, y evitar así que se puedan producir brechas y vulneraciones de seguridad por el tratamiento de los datos de geolocalización, datos que el gobierno y la UE buscan recabar para hacer frente a la pandemia del Coronavirus.

Gerardo A. Steta Perea, asesor legal.


Gerardo A. Steta Perea (en Twitter, @Steta_Gerardo
) es asesor legal en Cremades & Calvo-Sotelo (@cremadescsotelo)

¿Te ha parecido interesante?

(+1 puntos, 1 votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.