Privacidad en las aplicaciones para combatir el COVID-19

Privacidad en aplicaciones para combatir el COVID-19

Análisis del comunicado de la comisión europea en relación a la privacidad de aplicaciones móviles en el tratamiento de datos en relación al COVID-19.

1000
Covid-19

Nota informativa de KPMG sobre la comunicación de la Comisión Europea del pasado 17 de abril de 2020 con relación a las orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia covid-19 en lo referente a protección de datos.

Las aplicaciones para dispositivos móviles, y en particular las funcionalidades para el rastreo de contactos pueden desempeñar un papel muy importante dentro de las fases de levantamiento de medidas de confinamiento que se van a suceder durante los próximos meses en la práctica totalidad de países de la unión europea.

Dependiendo de las características de dichas aplicaciones y la medida en que los ciudadanos las utilicen estas aplicaciones pueden ser realmente útiles para romper las cadenas de contagio y contribuir a la reducción de la epidemia. Para que todo ello funcione la confianza debe ser un factor clave, los ciudadanos deben tener certeza sobre la finalidad de los tratamientos de sus datos personales, garantizando los derechos fundamentales, que no se produzca una vigilancia a gran escala y que los ciudadanos tengan control sobre sus datos en todo momento.

Por todo ello el Comité Europeo de Protección de Datos propone una serie de elementos para un uso fiable y responsable de las aplicaciones, que procedemos a destacar:

  • Las autoridades nacionales de salud de cada país deberán ser los responsables de los datos. Dada la sensibilidad de la información a recabar, estas autoridades serán los responsables de garantizar, ente otros, el principio de responsabilidad proactiva, establecido en el RGPD.
  • Garantizar que los ciudadanos siguen teniendo el control, para lo cual se propone que:
    • La instalación de la aplicación sea voluntaria.
    • Consentimientos específicos por funcionalidad, no agrupados.
    • Los datos que se recaben por proximidad, usando bluetooth de baja energía, deberán almacenarse en el teléfono del usuario y únicamente compartirse en caso de confirmación de contagio, y previa aceptación del usuario.
    • Información clara y precisa sobre las finalidades de los tratamientos.
    • Libertad para ejercer derechos de acceso, rectificación y supresión de los datos.
    • Las aplicaciones deberán desactivarse, como tarde, cuando la pandemia esté controlada y esta desactivación debe depender de que el usuario desinstale la aplicación.
  • Base jurídica del tratamiento. Se entiende que el usuario al instalar la aplicación acepta dicho tratamiento de datos, quedando exceptuado el de los datos de proximidad que, como hemos comentado previamente, deberá ser aceptado de manera explícita antes de su compartición.
  • Minimización de los datos. Únicamente se deben tratar datos personales que sean adecuados, pertinentes y estrictamente necesarios con relación a la finalidad de la aplicación.
  • Limitación del acceso a los datos y su divulgación. Únicamente se compartirá con las autoridades sanitarias la información necesaria que requiere la aplicación, quedando excluida cualquier otro tipo de información del usuario almacenada en el terminal.
  • Tratamiento de los datos con fines precisos. La finalidad del tratamiento debe ser clara, explícita y específica, de manera que no de lugar a dudas sobre el tipo de datos personales que se van a tratar dentro de la finalidad establecida.
  • Límites de almacenamiento. La limitación de almacenamiento exige que los datos se mantengan únicamente durante el periodo de vigencia de la finalidad, superado este periodo de vigencia los datos no deberán conservarse, procediendo a su supresión.
  • Seguridad de los datos.
    • La recomendación es que los datos se almacenen en el terminal del usuario de manera cifrada, en caso de que se almacenasen en un servidor, este deberá contar con las medidas de seguridad y registros de acceso pertinentes.
    • Respecto a los datos de proximidad, deberán generarse y almacenarse en el terminal del usuario, sin excepción, y además deberán estar pseudonimizados.
    • La activación del bluetooth debe permitirse sin activar otros servicios de localización, de manera que garanticemos la exclusión del rastreo por parte de terceras partes.
    • Todas las comunicaciones de datos entre la aplicación y las autoridades sanitarias deberán ir cifradas.
  • Exactitud de los datos. Los datos deben ser exactos, por cumplimiento con la regulación y por eficiencia de la aplicación. Ser pulcros con estos análisis redundará en un mayor éxito en la lucha contra la pandemia, evitando falsos positivos o negativos que puedan influir en la cadena.
  • Participación de las autoridades de protección de datos. En este caso la Agencia Española de Protección de Datos se ha mostrado especialmente proactiva en as últimas semanas, y deberá ser el órgano de consulta competente en esta situación.

En resumen, creemos que es una comunicación relevante, que pretende ir por delante de la situación que abordaremos en las próximas semanas y meses y que pretende garantizar que la privacidad de los ciudadanos no se vea mermada dentro de un escenario muy específico de lucha contra la pandemia. Si hacemos las cosas bien, de manera segura, llevando a cabo una evaluación de impacto en privacidad (PIA), según las recomendaciones ofrecidas, contribuiremos a garantizar esta privacidad desde el diseño, evitando lamentar potenciales brechas o usos indebidos en el futuro.

Accede al comunicado íntegro de la comisión.

© 2024 KPMG, S.A., sociedad anónima española y firma miembro de la organización global de KPMG de firmas miembro independientes afiliadas a KPMG International Limited, sociedad inglesa limitada por garantía. Todos los derechos reservados. Para más detalles sobre la estructura de la organización global de KPMG, por favor visita https://kpmg.com/governance.

Contacta

Mi perfil

El mejor contenido personalizado para ti