Geolocalización y DataCOVID-19

​​​​​Publicado el 8.4.2020

En marzo se declaró por la Organización Mundial de la Salud el estado de pandemia a nivel mundial generado por el Covid-19.

A los países se les ha llamado a adoptar medidas urgentes y exigentes para frenar la propagación del virus y mitigar, en lo posible, sus efectos. Esta emergencia sanitaria se está produciendo en un mundo mucho más digitalizado y conectado, en el cual los países disponen de grandes herramientas de tratamiento de información relativa a los ciudadanos. Países como China, Italia o Israel están haciendo uso de esta tecnología para rastrear y predecir la propagación del virus. 

En España, se ha aprobado recientemente la Orden SND/297/2020 que habilita:

• El desarrollo de una aplicación informática que permite al usuario una autoevaluación en función de los síntomas que comunique y que proporcionará recomendaciones y consejos prácticos. Además permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.
• DataCOVID-19: análisis de la movilidad de las personas en los días previos y durante el confinamiento, a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada. El estudio permitirá recabar datos anónimos y agregados, que proporcionen los operadores, sobre desplazamientos de la población buscando identificar si aumentan o disminuyen los desplazamientos entre las CCAA o si hay zonas en las que hay una mayor concentración de población.

El tratamiento de datos personales que se realizará a través de la aplicación informática y mediante la ejecución del estudio de movilidad, se justifica sobre la base del interés público relacionado con la salud pública, esto es, en la imperiosa necesidad de controlar la propagación del virus y localizar los focos de riesgo. Si bien la situación de crisis no puede servir de excusa para olvidarnos del derecho fundamental a la protección de datos, la normativa que regula ésta tampoco está diseñada para obstaculizar las medidas dirigidas al fin mencionado.

El cumplimiento del REPD

Esto implica que tanto la Secretaría de Estado de Digitalización e Inteligencia Artificial como Instituto Nacional de Estadística (INE) como Responsables del tratamiento de las medidas adoptadas deberán asegurar que se cumple con la obligación de la Privacidad desde el Diseño y por Defecto recogida en el Reglamento Europeo de Protección de Datos y el resto de obligaciones contenidas en éste. Tanto en el diseño como en la implementación de las medidas, las Autoridades deberán tener en cuenta lo siguiente:

• Transparencia, esto es, informar debidamente al ciudadano, especialmente en relación con la finalidad para la que se recogen sus datos personales;
• Temporalidad, es decir, conservar los datos únicamente durante el plazo estrictamente necesario para cumplir con la finalidad, asegurando un retorno a la situación inicial;
• Limitar la finalidad del tratamiento, no utilizando los datos para finalidades adicionales o ulteriores;
• Limitar el acceso a los datos personales únicamente al personal autorizado y aplicando estrictas medidas técnicas que protejan la información frente a posibles brechas de seguridad;
• Que la medida sea proporcional y necesaria respecto al fin perseguido.

A nivel europeo, las Autoridades de protección de datos piden que los Estados miembros trabajen de forma coordinada y desarrollen una Aplicación de forma conjunta, que cumpla con la normativa de protección de datos desde el principio, esto es, desde su diseño.