El informe está centrado en siete tecnologías: geolocalización mediante la información recogida por los operadores de telecomunicaciones; geolocalización de los móviles a partir de redes sociales; apps, webs y chatbots para auto-test o cita previa; apps de información voluntaria de contagios; apps de seguimiento de contactos por Bluetooth; pasaportes de inmunidad y cámaras infrarrojas para la realización de lecturas masivas de temperatura.
Le informamos que la Agencia Española de Protección de Datos (AEPD) ha
publicado un análisis preliminar de algunas tecnologías ya puestas en
marcha, o cuya implementación se está valorando en la lucha contra el
coronavirus, examinando la relación entre los posibles beneficios para el control de la pandemia y los riesgos para la privacidad. En
el documento, la Agencia pone de manifiesto que nos encontramos en un
punto de inflexión crítico, no solo debido a la situación de pandemia,
sino en relación con nuestro modelo de derechos y libertades.
publicado un análisis preliminar de algunas tecnologías ya puestas en
marcha, o cuya implementación se está valorando en la lucha contra el
coronavirus, examinando la relación entre los posibles beneficios para el control de la pandemia y los riesgos para la privacidad. En
el documento, la Agencia pone de manifiesto que nos encontramos en un
punto de inflexión crítico, no solo debido a la situación de pandemia,
sino en relación con nuestro modelo de derechos y libertades.
La AEPD recuerda que la utilización de la tecnología no puede ser
entendida de forma aislada, sino en el marco de un tratamiento de datos
personales con un propósito claramente definido. En la medida en que
este propósito debe ser para la lucha efectiva contra la COVID-19, el
tratamiento ha de implementar una estrategia coherente basada en
evidencias científicas, evaluando su proporcionalidad en relación con su
eficacia, eficiencia y teniendo en cuenta de forma objetiva los
recursos organizativos y materiales necesarios. En todo caso, la
utilización de estas tecnologías debe realizarse en el marco de los
criterios establecidos por las autoridades sanitarias y, en particular,
del Ministerio de Sanidad. Además, como en cualquier tratamiento de
datos personales, deben cumplirse los principios establecidos en el
Reglamento General de Protección de Datos (RGPD).
entendida de forma aislada, sino en el marco de un tratamiento de datos
personales con un propósito claramente definido. En la medida en que
este propósito debe ser para la lucha efectiva contra la COVID-19, el
tratamiento ha de implementar una estrategia coherente basada en
evidencias científicas, evaluando su proporcionalidad en relación con su
eficacia, eficiencia y teniendo en cuenta de forma objetiva los
recursos organizativos y materiales necesarios. En todo caso, la
utilización de estas tecnologías debe realizarse en el marco de los
criterios establecidos por las autoridades sanitarias y, en particular,
del Ministerio de Sanidad. Además, como en cualquier tratamiento de
datos personales, deben cumplirse los principios establecidos en el
Reglamento General de Protección de Datos (RGPD).
El informe está centrado en siete tecnologías:
geolocalización mediante la información recogida por los operadores de
telecomunicaciones; geolocalización de los móviles a partir de redes
sociales; apps, webs y chatbots para auto-test o cita previa; apps de
información voluntaria de contagios; apps de seguimiento de contactos
por Bluetooth; pasaportes de inmunidad y cámaras infrarrojas.
geolocalización mediante la información recogida por los operadores de
telecomunicaciones; geolocalización de los móviles a partir de redes
sociales; apps, webs y chatbots para auto-test o cita previa; apps de
información voluntaria de contagios; apps de seguimiento de contactos
por Bluetooth; pasaportes de inmunidad y cámaras infrarrojas.
Apps de seguimiento de contactos por Bluetooth
El informe detalla que los riesgos para la privacidad provienen,
entre otros, de la posible realización de mapas de relaciones entre
personas, la reidentificación por localización implícita, la recogida de
datos de terceros o la fragilidad de los protocolos a la hora de
intercambiar información. Cuanto mayor sea el tratamiento que se realice
en un servidor que recoja los datos de los usuarios, menos control
tienen éstos sobre sus propios datos, por lo que las soluciones
centralizadas siempre parecen menos respetuosas con la privacidad que
las distribuidas. La posibilidad de que, debido a la acumulación de los
datos de forma centralizada, se produjese un abuso, se ampliaran los
propósitos del tratamiento o se sufriera una quiebra de seguridad son
otras de las amenazas.
entre otros, de la posible realización de mapas de relaciones entre
personas, la reidentificación por localización implícita, la recogida de
datos de terceros o la fragilidad de los protocolos a la hora de
intercambiar información. Cuanto mayor sea el tratamiento que se realice
en un servidor que recoja los datos de los usuarios, menos control
tienen éstos sobre sus propios datos, por lo que las soluciones
centralizadas siempre parecen menos respetuosas con la privacidad que
las distribuidas. La posibilidad de que, debido a la acumulación de los
datos de forma centralizada, se produjese un abuso, se ampliaran los
propósitos del tratamiento o se sufriera una quiebra de seguridad son
otras de las amenazas.
El documento precisa que el éxito de este tipo de soluciones se basa
en factores que no dependen sólo de la tecnología. Existen otros
factores determinantes para su eficacia, como, por ejemplo, la
implicación de un elevado número de usuarios o la garantía de una
declaración responsable. Finalmente, es necesario disponer de acceso a
una comprobación fiable del estado de salud para poder actualizar la
información recogida por estos sistemas y que, además, se realice
periódicamente, especialmente para aquellos que sean notificados de
haber estado en contacto con un infectado.
en factores que no dependen sólo de la tecnología. Existen otros
factores determinantes para su eficacia, como, por ejemplo, la
implicación de un elevado número de usuarios o la garantía de una
declaración responsable. Finalmente, es necesario disponer de acceso a
una comprobación fiable del estado de salud para poder actualizar la
información recogida por estos sistemas y que, además, se realice
periódicamente, especialmente para aquellos que sean notificados de
haber estado en contacto con un infectado.
Cámaras de infrarrojos para la realización de lecturas masivas de temperatura.
Dichas cámaras identifican mediante algoritmos de inteligencia
artificial los rostros humanos, los discriminan del resto de elementos
que aparecen en la imagen y revelan la temperatura corporal aproximada
de cada individuo. La Agencia, que ya ha manifestado su
preocupación por el uso de estos dispositivos y la necesidad de contar
con el criterio previo de las autoridades sanitarias antes de proceder a
su instalación, alerta de un posible riesgo de
discriminación, de difusión pública de datos de salud y de crear una
falsa sensación de seguridad que facilite el contacto con personas
realmente infectadas.
artificial los rostros humanos, los discriminan del resto de elementos
que aparecen en la imagen y revelan la temperatura corporal aproximada
de cada individuo. La Agencia, que ya ha manifestado su
preocupación por el uso de estos dispositivos y la necesidad de contar
con el criterio previo de las autoridades sanitarias antes de proceder a
su instalación, alerta de un posible riesgo de
discriminación, de difusión pública de datos de salud y de crear una
falsa sensación de seguridad que facilite el contacto con personas
realmente infectadas.
En algunos entornos, como el de la normativa de prevención de riesgos
laborales, la toma de la temperatura podría ser de utilidad dentro del
marco de un tratamiento más extenso del que formen parte otras
comprobaciones y garantías adicionales que, en todo caso, respeten los
derechos y libertades establecidos en el RGPD.
laborales, la toma de la temperatura podría ser de utilidad dentro del
marco de un tratamiento más extenso del que formen parte otras
comprobaciones y garantías adicionales que, en todo caso, respeten los
derechos y libertades establecidos en el RGPD.
El informe completo con el análisis de todas las tecnologías puede consultarse en este enlace.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi