+34 911 847 873 info@businessethics.es

Tecnología y apps en la lucha contra COVID-19 y la protección de datos personales en España y Brasil.

Por

LORENA PÉREZ CAMPILLO (1) / CRISTIANE BATISTA DE ARAUJO HONORATO (2)

Doctora en Derecho. Abogada del Ilustre Colegio de Abogados de Madrid / Abogada. Delegada de Protección de Datos

Revista General de Derecho Administrativo 57 (2021)

RESUMEN: Con la llegada del Covid-19 se evidenció la necesidad de un seguimiento rápido y eficaz en las cadenas de transmisión del virus y en la detección temprana de los brotes de contagio. En este contexto, las tecnologías y los datos digitales tienen una valiosa función que desempeñar en la lucha contra la crisis sanitaria. Las soluciones tecnológicas, y más específicamente, las aplicaciones móviles pueden ser herramientas puestas al servicio de los gobiernos y administraciones para ayudar a controlar y gestionar la pandemia

Ahora bien, será imprescindible la transparencia, la fiabilidad y la proporcionalidad en la selección de soluciones tecnológicas. Los usuarios deberán entender con total claridad qué se harán con sus datos personales. Se deberá fomentar el estatuto del “ciudadano empoderado” donde se le otorgue poder y control sobre la gestión de sus datos, máxime en la crisis Covid-19.

Los gobiernos tendrán que ser cuidadosos y meticulosos para que el mensaje que los ciudadanos reciban sea el correcto. La mejora de la legibilidad de las políticas de privacidad de las aplicaciones móviles podría ayudar a tranquilizar a los usuarios. Se necesitará repensar el “derecho de entendimiento y fácil de comprensión”. Las soluciones técnicas que deberán serán menos invasivas para los fines previstos (bluethooth mejor que GPS). Las evaluaciones de impacto deberán analizar el acceso o no de las autoridades sanitarias, las cesiones de datos, el almacenamiento de datos, la homologación de proveedores tecnológicos, etc. Optar por un enfoque descentralizado donde los usuarios almacenen sus datos en sus propios dispositivos sería lo correcto. La aceptación de estas herramientas por parte de la población las convertirá en herramientas verdaderamente éticas y eficientes. En cualquier caso, la tecnología e innovación en salud pública y la normativa no deberán estar reñidas sino deberán ser compatibles, e incluso, aliadas.

PALABRAS CLAVE: protección de datos; RGPD, LGPD, tecnología, Covid-19.

SUMARIO: I. INTRODUCCIÓN. II. ENFOQUE ÉTICO. III ESCENARIO TECNOLÓGICO. 1. Operadores de telecomunicaciones. 2. Gigantes tecnológicos. 3. Aplicaciones móviles con GPS. 4. Aplicaciones de rastro de contacto con bluethooth. 5. Pasaportes de inmunidad/vacunación. IV. MARCO REGULATORIO DE APLICACIÓN EN MATERIA DE PROTECICÓN DE DATOS PERSONALES. 1. Marco regulatorio en España en tiempos de Covid-19. 2. Marco regulatorio en Brasil en tiempos de Covid-19. V. REQUISITOS NORMATIVOS COMUNES Y ESPECÍFICOS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES. 1. Legitimación del tratamiento con tecnologías de localización. 2. Deber de información. 3. Privacidad desde el diseño: “hacia un modelo descentralizado”. 4. Minimización de datos. 5. Limitación de las finalidades. 6. Conservación y borrado. 7. Ejercicio de los derechos de los interesados. VI. CONCLUSIONES

TECHNOLOGY AND APPS IN THE FIGHT AGAINST COVID-19 AND THE PROTECTION OF PERSONAL DATA IN SPAIN AND BRAZIL

ABSTRACT: With the advent of Covid-19, the need for rapid and effective monitoring of virus transmission chains and early detection of outbreaks became apparent. In this context, digital technologies and data have a valuable role to play in combating the health crisis. Technological solutions, and more specifically mobile applications, can be tools at the service of governments and administrations to help control and manage the pandemic.

However, transparency, reliability and proportionality in the selection of technological solutions will be essential. Users must have a clear understanding of what will be done with their personal data. The status of the “empowered citizen” should be promoted, giving them power and control over the management of their data, especially in the crisis.

Governments will have to be careful and meticulous to ensure that the message citizens receive is the right one. Improving the readability of mobile apps’ privacy policies could help reassure users. The “right to understand and easy to understand” will have to be rethought. Technical solutions should be less invasive for their intended purpose (Bluetooth better than GPS). Impact assessments should analyze the access or otherwise of health authorities, data transfers, data storage, approval of technology providers, etc. Opting for a decentralized approach where users store their data on their own devices would be the right approach. Public acceptance of these tools will make them truly ethical and efficient tools. In any case, technology and innovation in public health and regulation should not be at odds, but should be compatible and even allied.

KEYWORDS: data protection; GRPD; LGPD, technology, Covid-19.

I. INTRODUCCIÓN

La tecnología y las aplicaciones móviles pueden ayudar a salvar vidas, piénsese en catástrofes como terremotos, incendios o, de forma individual, por ejemplo, a personas con problemas cardíacos(3) o hipoglucemia. Con la llegada del Covid-19 se evidenció la necesidad y exigencia de un seguimiento rápido y eficaz en las cadenas de transmisión del virus y en la detección temprana de los brotes. La movilidad se percibió como elemento crucial para conocer el alcance de la pandemia, y los científicos se dieron cuenta que si los habitantes de una cierta parte del país o región se trasladaban a otra parte quedaría reflejado en los dispositivos móviles. Los teléfonos inteligentes se convirtieron en una herramienta de ayuda para la gestión y control de la pandemia al generar datos sobre el comportamiento humano tanto a nivel individual como agregados y operadores de telecomunicaciones las cuales se pusieron en manos de las autoridades, organizaciones sociales y organismos epidemiológicos. Ahora bien, cualquier tipo de herramienta tecnológica no deberán funcionar de forma aislada, sino de forma complementaria o de apoyo sirviendo para potenciar otras medidas de salud pública, así lo han señalado las autoridades.

Entre esas soluciones de tecnología contra el Covid-19 nos centraremos principalmente en la geolocalización de los móviles por los operadores de telecomunicaciones, las aplicaciones móviles, webs y chatbots para autodiagnósticos con GPS, y en las aplicaciones móviles de rastreo de contacto con bluethooth (o identificación de positivos) mencionando brevemente el desarrollo los pasaportes de inmunidad y de vacunación.

De forma específica, las aplicaciones de rastreo de contacto recogen datos de especial utilidad y necesidad debido a que casi la mitad de todas las transmisiones del Covid-19 ocurren antes de que aparezcan los síntomas, la velocidad y la eficacia para alertar a las personas que pueden haber estado expuestas permitiendo mayor agilidad en el proceso de notificación, y en alguna manera, reducir la tasa de contagio.

En definitiva, los datos recogidos de ésta y del resto de soluciones tecnológicas resultan bastante necesarios para los gobiernos y administraciones sanitarias, además, sirven como caldo de cultivo para el desarrollo de la investigación científica sobre Covid-19 a corto y largo plazo.

Como iremos viendo cada una de ellas tiene sus particularidades ya que no todas son igual de invasivas en relación, por ejemplo, con la recogida de la exactitud de la localización o a la naturaleza de los datos recogidos, etc. Nos gustaría señalar algunas precisiones previas al lector antes de embaucarnos en el objeto de estudio de este trabajo.

En primer lugar, habrá que tener presente la naturaleza de los datos personales de salud y su alto valor, previendo toda incertidumbre derivada de la situación de emergencia pandémica evitando posibles abusos por parte terceros que conduzcan a situaciones discriminatorias, de pérdidas de libertad u otros daños en la situación personal de los ciudadanos. Los datos y la tecnología no deberán servir para controlar o estigmatizar a los ciudadanos sino para “empoderarlos” respecto a su derecho fundamental de protección de datos en todos los ámbitos de su vida.

En segundo lugar, y para conseguir lo mencionado, será imprescindible la transparencia, la fiabilidad y la proporcionalidad en la selección de soluciones tecnológicas. Los usuarios deberán entender con total claridad el objetivo o finalidad del tratamiento de sus datos personales, evitando que los ciudadanos reciban un mensaje erróneo que les induzca a pensar que van a ser objeto de vigilancia por parte de las autoridades sanitarias o de los gobiernos. El principio de transparencia y proporcionalidad en el tratamiento de datos personales con estas soluciones tecnológicas son primordiales para su uso legítimo y también, para que resulten ser herramientas eficientes y útiles para el objetivo previsto. El principio de proporcionalidad es esencial para medir un posible análisis del “coste y beneficio” para la sociedad y los derechos y libertades del individuo. La Agencia Española de Protección de Datos Española señaló que “el beneficio tendrá que medirse en función de una menor propagación de la infección en términos globales, con la posibilidad de recuperar la libertad de acción, y una protección de la salud de los individuos”(4).

En general, resulta imprescindible que cuando se opte por el desarrollo o uso de estas soluciones se haga comprobación de que estén adaptadas al marco jurídico competente y cuenten con medidas técnicas y organizativas legítimas, eficientes y proporcionales. Por ejemplo, la anonimización (irreversible) es una de las medidas a cumplir, no obstante, se debe tener en cuenta que garantizar la irreversibilidad o el anonimato absolutos 100% no es posible(5) (AEPD, 2016). En el pto. 8. la AEPD, no permite albergar grandes esperanzas sobre la técnica y así lo deja esclarecer: “No es posible considerar que los procesos de anonimización garanticen al 100% la no reidentificación de las personas, por lo que será necesario sustentar la fortaleza de la anonimización en medidas de evaluación de impacto (EIPD), organizativas, de seguridad de la información, tecnológicas y, en definitiva, cualquier medida que sirva tanto para atenuar los riesgos de reidentificación de las personas como para paliar las consecuencias de que éstos se materialicen”.

Por ello, se deberá compensar, tomando todas las medidas alternativas posibles que puedan salvaguardar la privacidad de los usuarios. Hemos de tener en cuenta que “el avance de la tecnología y los grandes volúmenes de información hará cada vez más difícil efectuar una anonimización que no reidentifique a los usuarios, y es un escenario con el que tendremos que lidiar.

En tercer lugar, y en referencia a los aspectos más técnicos, el modelo de gestión de datos que impere en las aplicaciones móviles deberá ser interoperable para que pueda ser eficientes y permitir la reutilización de datos entre regiones, provincias e incluso, países. Las decisiones de los gobiernos nacionales, autonómicos de España y de los estados que integran Brasil tendrían que ir alineadas a la priorización de la interoperabilidad de la tecnología contra la lucha de la pandemia, transitando, además, hacia una “ciencia abierta”. Combatir las enfermedades transmisibles es un objetivo estratégico común a todas las naciones, por lo que debe prestársele el mayor apoyo posible(6). Por otro lado, hay que tener en cuenta el alcance masivo y el impacto que puede tener en los ciudadanos. En el caso de la tecnología de rastreo de contacto a través de aplicaciones móviles, se tratan de herramientas “escalables” que alcanzan a miles de millones de usuarios y se han desarrollado en muchos países(7). Por este mismo motivo, se ha establecido que su uso sea voluntario, y no basado en movimientos individuales, sino en la información de proximidad relativa a los usuarios.

En cuarto lugar, en relación con lo anterior, vaticinamos que el papel relevante de la “ingeniería de la privacidad” será absolutamente esencial, hasta el punto de que serán necesarios los conservatorios o encuentros(8) constituidos por expertos en privacidad e ingenieros para analizar si es técnicamente posible, lo que la norma, las instituciones (EDPS, EBDP, Comisión Europea autoridades de control nacional, etc.) recomiendan u obligan. En estas reuniones se ha podido detectar que muchas veces, a los gobiernos les resultaba difícil el desarrollo de apps con modelos descentralizados por cuestiones técnicas. Ahora y en el futuro el diálogo entre los stakeholders(9) será primordial para armonizar y conseguir el equilibrio entre la tecnología, el cumplimiento normativo y la eficiencia en la sociedad.

En quinto lugar, el lector podrá intuir que el nivel de consolidación regulatoria en los países no siempre es el mismo motivado por diferentes circunstancias (políticas, culturales, económicas, etc.). Son aspectos que marcan definitivamente el éxito o el fracaso en la implantación de soluciones tecnológicos al servicio de su ciudadanía para proteger la salud pública. No obstante, nos gustaría recalcar algo: la regulación y normativa no debería poner en peligro la innovación y el desarrollo de una sociedad necesitada de soluciones tecnológicas que complementen a las políticas públicas de los países.

Hemos convenido estructurar el presente trabajo en cinco partes correlacionadas pero distinguidas con el fin de facilitar su lectura y comprensión. En la primera parte, atenderemos a la dimensión ética que despierta el impacto del uso de estas herramientas. En la segunda parte, mencionaremos dichas soluciones tecnológicas. En el tercer punto, abordaremos el marco regulatorio en materia de protección de datos personales. Y en el cuarto punto, abordaremos los requisitos normativos comunes y específicos en dicha materia.

II. ENFOQUE ÉTICO

Acerquémonos a un enfoque ético, señalando algunas cuestiones importantes aplicables al desarrollo y uso de la tecnología en la lucha contra el Covid-19 y a la ética de los datos recogidos para tal fin, y todas relacionadas entre sí.

En primer lugar, para cubrir las necesidades que requieren el control de la pandemia con tecnología e innovación es necesario poner a los “ciudadanos en el centro” focalizándonos en el factor humano. La tecnología debe servir como elemento de ayuda y soporte, sin olvidar la gran importancia de las relaciones médico-paciente(10) de todos los sistemas sanitarios, implantar de forma real la telemedicina en todas sus vertientes, mejorar la vigilancia epidemiológica, etc. Es necesario integrar al ciudadano en el sistema, fomentando la educación científica y cultura ética de los datos como bien común para conseguir la alineación de intereses entre los ciudadanos y la Administración. Respecto al sector privado, huelga mencionar el papel importante que tendrá en promover la autonomía y la famosa “autogestión de la privacidad”(11) del individuo como usuario.

En segundo lugar, el problema de la “tendencia a la mercantilización de los datos” con el pretexto de la lucha contra la pandemia con la participación de terceros (como gobiernos o grandes corporaciones como Google o Apple) y con fines ajenos a la misma.

En Singapur(12), su app “Trace Together” de rastreo de contacto dejaba en su política de privacidad bien limitada la finalidad (la lucha contra la pandemia), la cual ha sido modificada para añadir lo siguiente: “los oficiales autorizados de la policía podrían invocar el Criminal Procedure Code (CPC) para requerir de los usuarios que suban sus datos de TraceTogether para investigaciones criminales”. Es particularmente llamativo ya que se trata de una app que ha alcanzado el 78% de uso en la población siendo uno de los casos con más éxitos al inicio de la mismo.

Y es que la capacidad de las tecnologías para permitir la compartición de datos de forma barata ha derivado a una multitud de depósitos y plataformas de tecnología de la información para el intercambio de datos.

La opacidad que opera en los modelos digitales en el sector privado no se debería aceptar, al igual que no se debería asimilar la “institucionalización” de las tecnológicas. Los datos de geolocalización individual de alta resolución recogidos pasivamente de los teléfonos móviles se venden cada vez más en los mercados privados.

Para evitar que este sea el mensaje que reciba la ciudadanía usuaria deberán entender de forma clara las finalidades del tratamiento de sus datos y la eficacia en el uso de las soluciones tecnológicas para la lucha contra la pandemia.

En tercer lugar, las decisiones que se tomen en el marco de la Administración Pública deberán ser proporcionales a los fines que se persiguen, respetuosas con los derechos y libertades de las personas, además de temporales, reversibles y fundamentadas en la evidencia científica. Autores como Farina & Lavazza (2021)(13), señalaron que “en el marco de una búsqueda biopolítica de la inmunidad perfecta frente al contagio, nuestras libertades básicas podrían verse considerablemente erosionadas si no introducimos un principio de proporcionalidad entre los distintos valores”. En definitiva, las decisiones políticas son determinantes también para gobernanza de datos y la gestión de la salud pública en este periodo de pandemia sin precedentes.

En cuarto lugar, pensamos que los datos deberían entenderse como un “bien común” o “bien público”(14).En este punto, es donde surge un interrogante; ¿debería prevalecer el bien del derecho fundamental de protección de datos o el interés público de la salud pública?

Los datos personales de salud no deben ser tratados ya que son datos de categoría especial (Art. 9.1 RGPD y art. 5.II LGPD). No obstante, existen excepciones, aplicables en escenarios de crisis sanitarias, como la provocada por el Covid-19, donde los tratamientos de datos de salud son permitidos y autorizados para la lucha y el control de la pandemia en pro de los intereses “vitales” de la comunidad.

Y es que como señala Martínez (2020)(15) “tratar datos de salud con la función de prevenir y luchar en un escenario epidémico o pandémico no persigue un fin discriminatorio, al contrario, se alinea con el valor constitucional fundamental de la garantía de la vida, la salud y la dignidad humana”.

Pensemos en la necesidad de investigar sobre la pandemia y los datos de salud como bien común. No podemos desdeñar la importancia de los datos masivos como pilar de los sistemas sanitarios del mundo(16).

Por su parte, es de mencionar la iniciativa Facebook Data For Good para apoyar la investigación en salud pública, que se utilizó para mapear y combatir Covid19, recopilando información agregada en más de cien países de todo el mundo y incluye Brasil y España. La información colectada busca comprender el acceso a medidas preventivas, como el uso de máscaras, comportamientos en público y distancia social. Posteriormente la red social también comenzó a publicar datos del movimiento de sus usuarios que tienen la aplicación móvil en su Smartphone y tienen habilitados la función de ubicación. Los datos están disponibles en mapas de calor que brindan información sobre el porcentaje de personas en una región que informaron síntomas de Covid-19. En la primera pesquisa, Facebook recopiló información de millones de personas en 115 países, en la que incluya también Brasil y España.

Las generaciones futuras se podrían beneficiar del recurso inestimable de la investigación, el desarrollo de métodos, modelos y evaluación de respuestas a la pandemia.

En este sentido, el Comité de Bioética de España (CBE) apuesta por un enfoque utilitarista(17) señalando: “es importante el deber de solidaridad como miembros de una comunidad. La Declaración Universal de Derechos Humanos establece que “toda persona tiene deberes respecto a la comunidad, puesto que solo con ella puede desarrollarse libre y plenamente su personalidad”. Concretamente señala el CBE; “bajo el enfoque utilitarista, los derechos de los individuos pueden ser fácilmente infringidos porque sus beneficios individuales se agregan para constituir los beneficios colectivos…”ElBig Data, por ejemplo, puede considerarse un bien común de la humanidad y añade que: “el dato de salud es un auténtico tesoro para la investigación biomédica y tiene interés no solo para la asistencia sanitaria, sino también para su posterior explotación secundaria, es decir, al margen de los fines principales que justificaron su obtención”.

En quinto lugar, y en definitiva, es necesario que responsables de tratamiento y desarrolladores evalúen el desarrollo de esta herramienta desde una perspectiva ética y siguiendo un esquema o checklist posible donde se contemplen, por ejemplo, entre otras cuestiones como las que han señalado algunos autores (Morley, J; Cowls, J; Taddeo M & Flordi,L, 2020) (18) de forma bastante acertada como en el caso de aplicaciones móviles; a) ¿es necesaria para salvar vidas? ¿hay soluciones alternativas mejores o menos invasivas?; b.) ¿es proporcional, es decir, justifica el impacto negativo de las mismas?; c.) ¿es eficaz, oportuna, popular y precisa?; d.) ¿es temporal?; e.) ¿es voluntaria?; f.) ¿es necesario el consentimiento?; g.)¿se mantienen los datos privados y se preserva el anonimato de los usuarios (son reidentificables o no); g.) ¿los datos pueden borrarse por los usuarios?; h.) ¿está definida la finalidad de la recogida de los datos?; i.) ¿está limitada la finalidad? (únicamente para rastreo de Covid-19); j) ¿se utiliza únicamente para que las personas puedan limitar voluntariamente la propagación (o también como certificado de inmunidad o pasaporte); k.) ¿se utiliza para el cumplimiento de la ley (y ante su incumplimiento hay una sanción o pena de cárcel?); l.) ¿la app es de código abierto?; m.) ¿está disponible de forma equitativa?; n.) ¿es igualmente accesible para todos los usuarios? ñ) ¿existe un proceso de cierre

Probablemente las respuestas dependerán de las leyes, valores y actitudes de las distintas regiones, además como señalan dichos autores, la respuesta puede ser cambiable, piénsese en Alemania cómo cambió su enfoque centralizado a descentralizado.

Respecto a lo citado, quisiéramos detenernos en tres ítems: la eficiencia, la accesibilidad y la obligatoriedad. Las aplicaciones móviles pueden tener limitaciones técnicas y un incorrecto funcionamiento puede generar falsos positivos y requiere de una alta sensibilidad frente a los ataques de ciberseguridad con las consecuencias que acarrean las mismas. Hay que tener en cuenta que si la solución tecnológica fracasa deja de ser útil y necesaria y, por tanto, se cuestionaría si es verdaderamente ética.

En esta línea, estos autores(19), señalan que “las aplicaciones que ya no son beneficiosas deben ser mejoradas o retiradas” y añaden “debe haber una estrategia de revisión y salida para establecer cuándo y con qué rapidez debe ocurrir esto” y consideran que dichas evaluaciones “deben ser realizadas por un organismo independiente como un regulador o un consejo asesor de ética y no por los diseñadores o el propio gobierno”.

Nos planteamos, ¿qué debemos hacer si no hay suficiente aceptación y descargas de las herramientas? ¿existiría argumentación suficiente para otorgar “incentivos” como mencionan algunos autores(20)?

Además, las herramientas tecnológicas deben ser accesibles. La representatividad y el sesgo son excepcionalmente importantes para los conjuntos de datos de localización. Además, es sabido que las prácticas injustas de procesamiento de datos que implican la geolocalización recaen desproporcionadamente en las comunidades marginadas y vulnerables y que los grupos de mayor riesgo de infectarse por el Covid-19 son los ancianos, personas sin hogar y personas indocumentadas. El derecho de acceso universal de Internet está recogido en el artículo 81 de la Ley Orgánica del 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales(21) y también en la legislación brasileña, articulo 4º de la Ley 12.965 de 23 de abril de 2014, Marco Civil de la Internet.(22)

Estas preguntas abordan cuestiones claves para definir el marco ético-jurídico que deberán plantearse todos los stakeholders en el desarrollo de herramientas tecnológicas en la lucha contra la pandemia ahora y en el futuro.

III. ESCENARIO TECNOLÓGICO

1. Los operadores de telecomunicaciones (y gobiernos)

Pueden colaborar en la realización de estudios de movilidad a través de los metadatos extraídos -y de gran valor(23)– por sus antenas. Los operadores pueden tener información determinada que, unida a los datos personales como DNI, datos de facturación, ofrecen una cantidad ingente de información de uso interno como para datos anonimizados y agregados y venderlos a terceros como bancos, aseguradoras, grandes almacenes, ayuntamientos, etc. De hecho, en España, Telefónica (a través de Luca) venden a organizaciones como Repsol o ayuntamientos.

Por todo ello, nos planteamos algunos interrogantes: (i) ¿estamos seguros de que los metadatos no son datos personales?(24); (ii) ¿es lícito y ético que los operadores de telecomunicaciones extraigan lucro económico de los datos cuando no es por el pro del bien común o en el marco de una crisis sanitaria? Lícito sí, siempre que sean datos anonimizados, aunque pueda ser cuestionable éticamente. Pero ¿estamos seguros de que la anonimización es robusta?¿y de que no hay cruces de datos de las operadoras con datos internos propios para identificar clientes?

La realidad es que la poca transparencia con el uso de los mismos generaba desconfianza y sigue generándola incluso ante la situación actual respecto a la independencia de las autoridades nacionales de reglamentación y otras autoridades competentes. En cualquier caso, la innovación y el desarrollo de la sociedad por el bien común y la salud pública debería ir en sintonía con el respeto y cumplimiento de los derechos y libertades de las personas.

1.1. En España

En el 2019, antes de la crisis sanitaria, el Instituto Nacional de Estadística (INE) español gracias al contrato público con las tres teleoperadores principales realizó un estudio para analizar los movimientos de los teléfonos móviles en España, sin datos de posicionamiento exacto, los cuales solo podían someterse a tratamiento ulterior (al del estudio) con el consentimiento adicional del interesado o sobre la base de una disposición de la Unión o del Estado miembro que constituya una medida necesaria y proporcionada en una sociedad democrática(25).

Con la llegada de la pandemia, el procesamiento de datos anonimizados y agregados por parte de proveedores de servicios de comunicación electrónica y operadores de comunicaciones móviles como Telefónica, Vodafone, Orange se ha hecho para fines de salud pública y con escasa precisión en la localización (a diferencia de la exactitud que marcaría una app con GPS).

En el BOE, se publicó la Orden SND/297/2020 de 27 de marzo(26), por la que se encomendaba el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el Covid-19, entre ellas, se encontraba la encomienda de un estudio de movilidad (denominado dataCovid(27)) aplicada a la crisis a través del cruce de datos con los operadores móviles de manera agregada y anonimizada para los días previos y posteriores del confinamiento.

En cualquier caso, se debía optar siempre por datos anonimizados(28), es decir datos que gracias a un conjunto de técnicas suprimieran la capacidad de asociar los datos de una persona física identificada mediante un “esfuerzo razonable”. Esta <<prueba de razonabilidad>> debe tener en cuenta tanto los aspectos objetivos (tiempo, medios técnicos) como los elementos contextuales, que pueden variar de un caso a otro (carácter excepcional de un fenómeno teniendo en cuenta, por ejemplo, la densidad de la población y la naturaleza y volumen de los datos). Si los datos no superan esta prueba, no se han anonimizado y, por tanto, se mantienen dentro del ámbito de aplicación del RGPD.

Pero cuando no es posible tratar únicamente datos anónimos, la presidenta del Comité Europeo de Protección de Datos, Andrea Jelinek(29) señaló que, la Directiva sobre privacidad y comunicaciones electrónicos permite a los Estados Miembros introducir medidas legales para proteger la seguridad pública (art. 15).

Ahora bien, ¿deberíamos confiar plenamente en la robustez de toda anonimización? Aunque a las coordenadas de localización no fueran acompañadas de un nombre o dirección de email resultaría sencillo conectar “nombres reales” con los puntos de un mapa. Piénsese en su viaje diario al trabajo, ¿acaso existirá algún otro Smartphone que viaje directamente entre nuestro hogar y nuestra oficina todos los días?

1.2. En Brasil

La primera iniciativa del Gobierno Federal de Brasil, relacionada con la tecnología de monitoreo, se llevó a cabo el 28 de marzo de 2020. El Ministerio de Ciencia, Innovación, Tecnología y Comunicación (MCTIC) anunció un acuerdo con operadores de telefonía celular(30) que operan en el país – Algar, Claro, Oi, Tim y Vivo -, de modo que éstas podrían proporcionar los datos de geolocalización de sus clientes – aproximadamente de 222,2 millones de líneas móviles -, para la gestión de las políticas de salud pública para enfrentar el Covid-19(31). La iniciativa, que finalmente fue vetada por el presidente de Brasil, utilizaría datos anonimizados y agregados, que serían transferidos a una nube pública, con el fin de monitorear la movilidad de la población, los desplazamientos, los puntos de aglomeración, las situaciones de concentración de personas y el riesgo de contaminación por Covid-19.(32)

Posteriormente, el 17 de abril de 2020, el Gobierno Federal, mediante la Medida Provisional n.º 954, determinó que las empresas de telefonía deberían entregar los datos de sus usuarios al Instituto Brasileño de Estadísticas Geográficas – IBGE “con el fin de apoyar la producción estadística oficial durante la situación de emergencia de salud pública de importancia internacional producto del Covid-19, que trata la Ley n.º 13.979, de 6 de febrero de 2020 ”(33).

Esta nueva iniciativa del Gobierno Federal de monitoreo para combatir el Covid-19 fue obstaculizada por una decisión judicial, el 8 de mayo de 2020, proferida por el Tribunal Supremo Federal (STF) que prohibió el intercambio de datos por parte de las empresas de telecomunicaciones que prestan el Servicio de Telefonía Fija Conmutada y el Servicio Móvil Personal con la Fundación Instituto Brasileño de Geografía y Estadística. (IBGE). La decisión, ya considerada histórica, reconoce la existencia de un derecho autónomo a la protección de datos personales. Destacando, aún que la Medida Provisional (n.º954) cuestionada no define claramente la finalidad y forma de tratamiento de datos. Además, debate la necesidad de la medida, ya que se de podría buscar soluciones menos invasivas. En cuanto a la proporcionalidad del tratamiento, enfatiza que la autorización general del tratamiento, que conduce al acceso indiscriminado e irrestricto a los datos de millones de usuarios de servicios telefónicos en Brasil, está en claro desacuerdo con la característica de muestra de la investigación estadística, que sería el alcance del tratamiento. Concluye subrayando que este juicio de proporcionalidad no puede justificarse únicamente por la actual situación de emergencia sanitaria provocada por la pandemia, haciendo hincapié en: “(…) que aunque la referencia al momento de la pandemia global generada por la propagación del coronavirus no parece suficiente para cambiar esa conclusión. Por el contrario, el momento vivido en esta crisis no atenúa, sino que refuerza la necesidad de asegurar un ambiente institucional rígido para la protección de los datos personales ”. Se podría decir que mantiene el espíritu del discurso del Comité de Bioética de España y del Tribunal de Justicia de la Unión Europea como dijimos anteriormente.

Con la laguna dejada por las acciones fallidas del Gobierno Federal, los Estados Federados y algunos municipios adhirieron, colectiva o individualmente, al uso de herramientas de monitoreo, para combatir al Covid-19, desarrolladas por empresas de telefonía telefónicas, startups públicas o privadas o, aún por reputadas empresas de tecnología.

2. Gigantes tecnológicos: Facebook, Google y Apple

2.1. En España

Estas empresas, han publicado recientemente datos agregados sobre la pandemia y es que la geolocalización de Smartphone a través de las redes sociales no es algo desconocido, y como sabemos, suelen usarse para la publicidad activa. La amenaza a la privacidad por parte de los proveedores puede ser más crítica si se enriquece con información personal derivada de los perfiles de usuario. Según la AEPD, las condiciones de uso y las políticas de privacidad de estos servicios no son una base jurídica adecuada para realizar estos tratamientos. Si bien pueden ayudar como FB (data for good(34)). En cualquier caso, habría que justificar en qué medida supone una mejora con respecto a otras fuentes de información que ya pudieran tener a su disposición dichas autoridades.

2.2. En Brasil

La principal iniciativa centralizada de Brasil, puesta a disposición por el Gobierno Federal, para el monitoreo y rastreo del contacto de Covid-19, es la aplicación Coronavirus -SUS. Lanzada el 28 de febrero de 2020, esta app ha incorporado cinco meses después de su lanzamiento, la tecnología desarrollada conjuntamente por Google y Apple.

Estas dos empresas han desarrollado aplicaciones móviles que permiten a las autoridades de salud gubernamentales crear soluciones que utilizan el Bluetooth del Smartphone para detectar otros dispositivos cercanos. Mediante un sistema de claves cifradas y aleatorios, que permite que estos datos sean almacenados en el dispositivo de una manera segura. Apple y Google establecieron algunas reglas para el uso de esta herramienta.

Por ejemplo, cada usuario tendrá que hacer una elección explícita para activar la tecnología la cual puede ser desactivada en cualquier momento, el sistema de notificación de exposición no compartirá datos de ubicación con la autoridad sanitaria, Apple o Google, y aún, que el sistema de notificación de exposición a nivel regional se deshabilitará cuando ya no sea necesario.

3. Aplicaciones móviles de autodiagnóstico y apps con GPS (COVapps)

3.1. En España: “Asistencia Covid-19 (35)

Es iniciativa de la Secretaría General de Administración Digital, dependiente del Ministerio de Asuntos Económicos y Transformación Digital. Su ejecución se ha llevado a cabo utilizando la fórmula de convenio con Telefónica subcontratando su desarrollo a la filial española de Carto DB, a Medensaltren y a Tritium Software.

Se trata de una aplicación móvil para la autoevaluación o autodiagnóstico con aportación de consejos y recomendaciones de índole sanitaria. Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo. Para activar el sistema GPS será necesario el permiso de ubicación los usuarios (quienes deberían estar protegidos indistintamente fueran de iOS o de Android )(36).

Los datos personales recogidos son nombre y apellidos, número de teléfono móvil, DNI, dirección completa y código postal, fecha de nacimiento y género. Los datos de localización se solicitan para conocer en qué Comunidad Autónoma se encuentran las personas que se autoevalúan y poder conectarles con el sistema de atención sanitaria que corresponda, por tanto, no se trata de una ubicación exacta en primer plano sino en segundo plano. Los datos de salud que se recogerán son sintomatología (fiebre, falta de aire, patologías previas, si se ha estado con un contacto positivo confirmad, mucosidad nasal, dolor muscular y/o malestar general).

De forma concreta, solo se permitirá el acceso a los datos a los profesionales sanitarios y a las autoridades competentes autorizadas. Los datos personales serán conservados durante el tiempo que perdure la crisis sanitaria y, una vez finalizada, serán agregados de forma anónima para tratarlos con fines estadísticos, de investigación o de planteamiento de políticas públicas, durante un período máximo de dos años. Las entidades privadas que colaboren con dichas autoridades sólo podrán utilizar los datos conforme a las instrucciones de estas y, en ningún caso, para fines distintos de los autorizados(37).

3.2. En Brasil: “Monitora Covid-19”

Esta aplicación móvil tuvo su desarrollo y utilización liderados por los nueve estados del Nordeste de Brasil, estando también disponible para usuarios de los demás Estados del país. Esta solución tuvo su operación iniciada en mayo de 2020. La aplicación fue desarrollada por el sector privado (Novetech), en alianza con el Consorcio Noreste(38), la Secretaría de Ciencia, Tecnología e Innovación de Bahía (Secti), la Secretaría de Salud del Estado de Bahía (SESAB) y la Fundación Estatal de Salud de la Familia (Fesf-SUS / FESF-tech), y es ratificado por la C4NE (Comité Científico de Combate contra el Coronavirus)(39). El acceso a la solución es a través de un registro que solicita diversos datos personales, incluido el número de identificación fiscal – el CPF (Catastro de Persona Física), hecho que, en sí mismo, elimina el carácter anónimo del tratamiento de los datos. La solución disponible para iOS y Android, cuenta con una Política de privacidad muy resumida (40) que no cumple con los requisitos legales.

Una vez instalado, tiene acceso a la ubicación aproximada (basada en la red) y precisa (GPS y basada en la red). (41).

Es importante destacar la deficiencia en la obtención del consentimiento, máxime porque se trata del tratamiento de datos sensibles. El consentimiento no puede ser considerado como libre, expreso e informado, ya que todos los permisos de acceso no están claramente indicados y no hay un detalle completo sobre cómo se tratarán los datos.(42)

La tecnología de la aplicación está conectada al Registro Electrónico de Salud(43) y habilita a los encargados del seguimiento y al equipo de gestión del Sistema Único de Salud – SUS. (44)

4. Aplicaciones de rastro de contacto a través de bluethooth (Contract trace apps)

Son sistemas o herramientas escalables a miles de millones de usuarios e interoperables, ya que funcionan a través de las fronteras y las autoridades sanitarias, y que utilizan bluethooth. Se debe entender que los datos de localización recogidos tendrán la finalidad de apoyar la respuesta a la pandemia mediante la elaboración de modelos de la propagación del virus a fin de evaluar la eficacia general de las medidas de confinamiento. En el caso de la utilización de la localización de contactos, el objetivo será notificar a las personas que puedan haber estado en estrecha proximidad con alguien a quien se confirme finalmente como portador del virus, a fin de romper las cadenas de contaminación lo antes posible.

Según algunos autores(45), las aplicaciones móviles de rastreo de contacto podrían ser útiles sobre todo si se utilizan en una proporción suficientemente alta de la población, al menos la de un 60%, situación que no ha sido posible en el escenario europeo ni brasileño.

4.1. En España: “Radar Covid”

En España, los más de 5,5 millones de descargas no han podido alcanzar el doble de los usuarios deseados y necesarios para la app Radar Covid cumpliera con sus expectativas (un 20%). No obstante, según una investigación(46), la app detecta más del doble de contactos positivos que un rastreador donde detectó alrededor de 6,3 contactos cercanos de un contagiado, mientras que la media de contactos rastreados en España de forma manual, algo que resulta insostenible, se sitúa en 3 contactos de media.

España ha defendido que esta aplicación cumple tres criterios fijados por el Comité Europeo de Protección de Datos(47) para poder utilizarse la aplicación es de descarga voluntaria; que utiliza un sistema descentralizado; y que se basa en criterios de proximidad y no de geolocalización.

4.2. En Brasil: “Coronavirus SUS”

Como se mencionó anteriormente la iniciativa del Gobierno Federal ha sido la aplicación “Coronavirus SUS” que fue lanzada a principios de 2020 por el Ministerio de Salud y tenía inicialmente la función de facilitar el acceso a la información sobre el Covid-19, combatiendo la difusión de noticias falsas, ofreciendo consejos de prevención, además de la descripción de síntomas, formas de transmisión y mapa de centros de salud (48). La aplicación, disponible para sistemas iOS y Android, ha tenido varias funcionalidades añadidas desde entonces, incluido el rastreo de contactos basado en tecnología desarrollada por Apple y Google(49). Cuando fue lanzada, no contaba con una política de privacidad y en la instalación, se permitían, por defecto, varios accesos, incluyendo GPS. Los permisos de acceso han sido actualizados y se restringen y limitan a la funcionalidad básica requerida para el funcionamiento de la aplicación. Al día de hoy, cuenta con una Política de Privacidad que cumple con los requisitos básicos de la LGPD(50) y, adicionalmente, cuenta con un documento que detalla los Términos de Uso. Al acceder por primera vez al Coronavirus SUS, se le preguntará al usuario si quiere activar la función de rastreo de contactos, que detecta si hubo un acercamiento a alguien que dio positivo por Covid-19, indicando que para poder utilizar esta funcionalidad es necesario utilizar Bluetooth, que debe estar habilitado(51).

También destaca que la imposibilidad de rastrear la ubicación se puede confirmar en los permisos de acceso, donde la autorización para acceder a la ubicación del usuario no es necesaria. El rastreo de contactos de la aplicación, denominada Sistema de Notificación de Exposición, se inicia cuando una persona con un resultado positivo de la prueba del Covid-19 introduce en la aplicación el resultado del test, informando el código generado a partir de la página web(52). La información proporcionada es anónima, y se basa en el token (código numérico) generada por el Ministerio de Salud. El Ministerio señala que, buscando evitar falsas notificaciones, antes de generar el código, hay una verificación cruzada de los datos, el resultado del examen informada por el usuario y los registros integrados de la plataforma de vigilancia (e-SUS Notifica) y la Red Nacional de Información sobre la Salud (RNDS). Como en el resto del mundo, en Brasil, la plataforma solo se puso a disposición de agencias gubernamentales. De este modo, solo el Ministerio de Salud es el responsable del sistema y el único que puede utilizar la tecnología Google-Apple. El Ministerio de Salud destacó a finales de julio de 2020 las funcionalidades, seguridad y privacidad de la aplicación(53).

Aunque no haya datos oficiales, estimase que la cifra de downloads llega a poco más de 5% de la población del país(54) prueba del bajo índice de aceptación y adhesión de población.

5. Pasaportes de inmunidad/vacunación digitales

A priori, no existen iniciativas reales en la actualidad, en Brasil o España tales como la de países como China donde se utilizaron aplicaciones equivalentes a un pasaporte o salvoconducto en papel que mostraban en pantalla un código de colores(55) o un código QR para que vigilantes o un sistema de control de acceso permitiera su acceso.

A priori, podemos pensar en los pasaportes inmunológicos como medidas desproporcionales, discriminatorias, estigmatizadoras y sin validez científica.

Se trataría de una triple discriminación; a). en materia de protección de datos, b.) entre trabajadores al exigirles dicha inmunidad, fomentando incluso su contagio, y c) en el acceso al empleo. La exigencia del pasaporte de inmunidad para acceder a un puesto de empleo no tiene cobertura jurídica.

Por ejemplo, en relación con la exposición o no de la información voluntaria personal de inmunidad en curriculum vitae hubo cierta polémica en España, situación que acabó esclareciendo la propia AEPD señalando que “la empresa deberá proceder a suprimirla para no infringir la normativa de protección de datos, lo que podría llegar a implicar la destrucción del currículum cuando no fuera posible asegurar que el dato de la inmunidad no va a influir en la decisión que finalmente se adopte, y la eliminación del candidato del proceso selectivo. La difusión de datos de salud, al estar considerados éstos como una categoría especial de datos personales, cuyo tratamiento implica la exigencia de garantías reforzadas, supone un riesgo para la privacidad y los derechos y libertades de los interesados. El RGPD, en su considerando 75, recoge que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse entre otros al tratamiento de datos relativos a la salud, como sería un tratamiento de los datos sobre la inmunidad frente a la Covid-19.”

Al inicio del debate de su existencia aparecía una cierta tendencia a la “normalización” del “destape” de los datos personales en referencia a la inmunidad de la enfermedad cuando la opinión pública ya había manifestado su rechazo, algo que podría parecer incoherente.

Gobiernos, aerolíneas, empresarios, universidades y restaurantes o centros comerciales está viendo la posibilidad de crear aplicaciones móviles de “pase sanitario” que permitan a los usuarios solicitar a los laboratorios y sistemas sanitarios participantes que envíen sus resultados de pruebas autenticados. Por ejemplo, IBM(56), Commons Project y Covid Credentials Iniaciative son compañías que estarían involucradas para dar este servicio. Se ha estudiado la posibilidad de registrar pasaportes de inmunidad o vacunación a través de blockchain o DLT(57) donde no pueden ser falsificados ni modificados, la cual podría suponer una solución al mercado negro en auge(58) de resultados falsos de pruebas de diagnósticas en informes impresos.

Países como Reino Unido(59) ya han declarado no tener nada previsto acerca de los pasaportes de vacunación y en EEUU resultaría técnicamente imposible debido a la nula interoperabilidad entre los Estados

Para los defensores de estas herramientas digitales -o también analógicas-, éstas podrían ayudar a volver a la normalidad, pero como vienen sosteniendo los científicos y la OMS(60), la inmunidad no significa seguridad, ya que no hay suficientes evidencias de la inmunidad por anticuerpos.

Para la Agencia Española de Protección de Datos, los riesgos son numerosos; el acceso a los mismos por parte de ciberdelincuentes, el cruce de datos como los de la localización, etc., aunque si se hace un buen uso para las certificaciones o registros de salud, seguros, actualizados, interoperables y realizado por el personal vinculado al cumplimiento de las finalidades relacionadas con las políticas públicas para el control de la pandemia, será beneficioso, aunque no eficiente y posible materialmente si se pretende implantar a la sociedad en su conjunta, situación que sería diferente en ámbitos concretos y reducidos. Se podrían tratar de medidas masivas, inmediatas, que generarían seguridad y rentables en el marco de la prevención de riesgos laborales(61).

IV. MARCO REGULATORIO DE APLICACIÓN EN MATERIA DE PROTECICÓN DE DATOS PERSONALES

1. Marco regulatorio en España en tiempos de Covid-19

1.1. El Reglamento General de Protección de Datos (RGPD).

Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018(62), dos años durante los cuales las empresas, organizaciones, organismos e instituciones se fueron adaptando para su cumplimiento. Es una normativa a nivel de la Unión Europea, por lo que cualquier empresa de la unión, o aquellas empresas que tengan negocios en la Unión Europea, que manejen información personal de cualquier tipo, deberán acogerse a ella. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros o el 4% de la facturación anual de la empresa. Trae algunas novedades como la ampliación de la información a comunicar a los interesados (art. 13 y 14 RGPD), el carácter preventivo -frente al espíritu reactivo de la anterior norma-, que obliga a los responsables a realizar un análisis de riesgo tomando las medidas correspondientes de seguridad (art. 25 Y 32 RGPD), además determinadas empresas deberán realizar un documento de evaluación de impacto (obligación que afectará a este tipo de soluciones tecnológicas). El RGPD exige que los responsables del tratamiento implementen medidas de control adecuadas para demostrar que se garantizan los derechos y libertades de las personas y la seguridad de los datos teniendo en cuenta los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas. Es decir, deberá tomar las medidas preventivas suficientes para identificar, evaluar y tratar los riesgos asociados, y así, poder asegurar los principios de protección de datos.

Desaparece la obligación de notificación de ficheros por la realización de un documento denominado registro de actividades (Art. 30 RGPD), además, aparece la figura del Delegado de Protección de Datos (Art. 37 RGPD) y la obligación de comunicar la brecha de seguridad en un periodo de 72 horas. Por otro lado, se recalca que el consentimiento deberá ser inequívoco, es decir, una manifestación voluntaria, informada y activa, donde se acepte de forma explícita. Además, se crean nuevos derechos como el de supresión o del olvido, la limitación del tratamiento, el de portabilidad y el de oposición al tratamiento de datos automatizado.

A nuestro modo de ver, el protagonismo que adquieren los principios del tratamiento de datos en esta nueva forma se acopla bastante bien al escenario de necesidad ante la crisis pandémica y su “incertidumbre” (Bradford et al, 2020)(63) ya que el legislador europeo intuyó un escenario que se podría dar, quizás pensando en otras epidemias pasadas como el ébola, la gripe aviar, la gripe A, el VIH, etc., donde el uso de los datos podría ser determinante para su control, gestión e investigación, siendo precavido e incluyó expresamente la base legitimadora a la que se podrían los gobiernos, administraciones públicas y demás entes sujetar. Y no sólo eso, la norma también se podría encajar a escenarios de tecnología e innovación, sobre todo, porque uno de los principales motivos de su creación fue poder “estar a la altura” de regular el tratamiento de datos masivos recogidos por tecnología. No obstante, las autoridades de control y el mismo grupo de trabajo del Art. 29 contemplarían y analizarían el impacto del tratamiento de datos a través de dispositivos móviles(64)(65).

1.2. La Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD )(66)

Es la adaptación de la normativa española al reglamento europeo sobre protección de datos (RGPD). Pone énfasis especial en los derechos digitales como el derecho a la desconexión digital en el ámbito laboral, el derecho al olvido en internet y redes sociales, derecho a la educación digital y protección de menores, derecho de acceso a Internet, derecho a la neutralidad de Internet, Derecho al testamento digital, etc.

2. Marco regulatorio en Brasil en tiempos de Covid-19

En este país, el amparo a la protección de datos personales, inspirada en el Reglamento Europeo, fue acogida por la Ley n.º 13.709 del 14 de agosto de 2018 (LGPD)(67) , que prevé y regula la protección de datos personales. Dicho instrumento normativo, que entró en vigor el 18 de septiembre de 2020, es de obligatoria aplicación en el tratamiento de datos personales para todas las personas físicas y jurídicas de derecho público o privado.(68)

El nuevo texto legal, al resguardar a la autodeterminación informativa, brinda a los ciudadanos(69) mayor control sobre sus datos personales, asegurando la inviolabilidad de la intimidad, el honor y la imagen, los derechos humanos, el libre desarrollo de la personalidad, la dignidad y el ejercicio de la ciudadanía por las personas naturales y establece que se deben adoptar prácticas transparentes y seguras para garantizar estos derechos y libertades fundamentales.

En el ordenamiento jurídico brasileño esta protección también está amparada por el derecho fundamental del art. 5, X, de la Constitución Federal, que garantiza la inviolabilidad de la privacidad y la intimidad y, su protección está asegurada por el habeas data,tratado en el mismo art. 5 °, LXXII, de la CF (70), como acción constitucional de defensa del derecho a la intimidad, la intimidad, el honor y la imagen, al permitir el acceso y rectificación de la información relativa al interesado.

A pesar de la reciente entrada en vigor de la LGPD, el ordenamiento jurídico brasileño ya contenía varias leyes, para tratar diferentes aspectos de las relaciones jurídicas que involucraban la protección de datos, como pueden ser las concernientes a las relaciones de consumo o las que sean o no de consumo, que se desarrollen el ámbito de la internet.

El nuevo escenario, provocado por la propagación pandémica del Covid-19, generó un enorme crecimiento en el uso de tecnologías de procesamiento de datos personales, también en Brasil, poniendo en contraste las herramientas para el procesamiento de datos y la inviolabilidad de la intimidad y la vida privada, elementos que implican en la protección del individuo contra la recopilación, almacenamiento, uso y transmisión irrestrictos e indiscriminados de sus datos personales.

Paradójicamente, el Gobierno Federal de Brasil utilizó el estallido de la pandemia como base para posponer la entrada en vigor de la LGPD, mediante la Medida Provisional n.º 959, de 29 de abril de 2020 (Reglas para ayudas de emergencia y aplazamiento de la LGPD), justo cuando en este contexto, la vigencia de la Ley General de Protección de Datos es crucial para regir el equilibrio entre el interés público y privado, en el afán de proteger la privacidad, intimidad y garantizar la protección de datos de los ciudadanos.(71)

Superados los trámites y obstáculos legales, que incluyen sanciones, vetos y revocación de vetos y postergaciones(72). En la actualidad, es la LGPD la que alberga los principios, directrices y normas de obligado cumplimiento que deben guiar la protección de datos personales en Brasil, concretamente, para el procesamiento masivo de datos en el contexto de Covid-19.

No obstante, el inicio de la vigencia de la LGPD en septiembre de 2020, la Ley n.º 14.010, de 10 de junio de 2020 pospuso al 1 de agosto de 2021 la vigencia de las sanciones que la Autoridad Nacional de Protección de Datos (ANPD) pueda aplicar.

Ante esta situación, algunas instituciones tomaron la iniciativa de llenar el vacío dejado por el vacatio legis que se extendió hasta septiembre de 2020 y por la inoperatividad de la ANPD, emitiendo lineamientos sobre el uso de tecnologías de rastreo de usuarios, en el ámbito de las medidas para combatir la pandemia de Covid-19, con énfasis en la AGU (Abogacía General de la Unión), ANATEL (Agencia Nacional de Telecomunicaciones) y el IDEC (Instituto de Protección al Consumidor).

En abril de 2020, la AGU emitió un dictamen favorable para el intercambio de datos de geolocalización de usuarios de servicios de telecomunicaciones con el propósito de combatir Covid-19 por parte de los operadores de telecomunicaciones, señalando que esta práctica no viola la Constitución Federal y la LGPD, siempre que la información se proporcione al gobierno de forma anónima y agregada.(73)

En un pronunciamiento posterior al emitido por la AGU, la ANATEL también destacó, en abril de 2020, que:

“1. Los mecanismos y datos recolectados y procesados en este momento constituirán una base heredada que estará sujeta a las disposiciones de la LGPD a partir de su efectividad, por lo que, dicho instrumento normativo surge como importante baliza para evaluar la regularidad de las acciones en curso.

2. La recogida y tratamiento de datos están sujetos a la legislación vigente y, sobre todo, a los dictados de la Constitución Federal. El equilibrio de protección entre salud y privacidad se encuentra en el grado más alto de nuestra jerarquía normativa. A pesar de la crisis actual, el momento aún incluye la posibilidad de armonización entre los dos activos legales, de forma motivada y transparente.

3. El juicio de proporcionalidad debe observarse en la medida en que los derechos de las personas puedan ser maculados. El costo-beneficio debe ser medido expresamente, frente a otras soluciones a manos del Poder Público que pueden resultar menos invasivas. Cuestiones como el consenso del individuo también deben ser al menos apreciadas y motivadas para ser descartadas, si corresponde.

4. La cultura de la protección de la privacidad, aunque está creciendo, es todavía incipiente en Brasil. En un escenario en el que la conciencia de los individuos sobre el tema es puntual, es responsabilidad del Poder Público protegerlos en diversas dimensiones cuyos reflejos pueden ser mucho más permanentes que la crisis actual ”(74).

A su vez, a finales del mismo mes, al analizar herramientas de geolocalización en el contexto del Covid-19, el IDEC propuso pautas para el uso de datos destacando cinco principios rectores a seguir por los agentes públicos y privados para el tratamiento de los datos de geolocalización, haciendo referencia a artículos de la LGPD, aún no vigentes, que son: 1. Transparencia (Art. 6, inciso VI, LGPD), 2. Objeto y adecuación (Art. 6, incisos I y II, LGPD). 3. Minimización y necesidad (Art. 6, inciso III, LGPD) 4. Ciclo de vida: se debe determinar claramente el inicio, la mitad y la finalización del tratamiento (Arts. 5º, ítem X y 16, LGPD). 5. Anonimización, agregación y no discriminación (Arts. 6, inciso IX, 12, 13 y 18, LGPD). Estos últimos íntimamente relacionados con el enfoque ético del tratamiento.

V. REQUISITOS NORMATIVOS COMUNES Y ESPECÍFICOS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

1. Legitimación del tratamiento de datos personales

El fundamento jurídico de una actividad de tratamiento de datos personales es, en cierto modo, la justificación de la existencia de la operación de tratamiento. La elección de una base jurídica tiene una repercusión directa en las condiciones de aplicación de la operación de tratamiento y en los derechos de las personas. Se puede decir que, la anticipación del fundamento jurídico de las operaciones de tratamiento antes de cualquier desarrollo ayudará a integrar las funciones necesarias para garantizar que estas operaciones de tratamiento se ajusten a la ley y respeten los derechos de las personas, todo ello, teniendo en cuenta el contexto Covid-19. El tratamiento de datos sanitarios, principalmente por medios automatizados y en gran volumen, constituye un activo intangible de gran valor que debe ser custodiado por el responsable del tratamiento.

1.1. En España

El tratamiento de los datos personales debe basarse en uno de los seis bases legitimadoras mencionados en el artículo 6 del RGPD; a.) el consentimiento; b.) la ejecución de un contrato; c.) una obligación legal; d.) intereses vitales y de interés público relativos para fines humanitarios (incluido el control de epidemias y su propagación); e.) una misión realizada en interés público o en el ejercicio de poderes públicos; f.) interés legítimo.

Ahora bien, como regla general, el tratamiento de datos de categoría especial (datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, etc., (art. 9.1. RGPD) está prohibido salvo algunas excepciones (Art. 9.2. RGPD) como a.) el cumplimiento de obligaciones en el ámbito laboral; b. ) la protección de intereses vitales del interesado; c.) el tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical; d.) tratamiento de datos manifiestamente públicos; e.) Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial; f.) por razón de interés público en el ámbito de la salud pública; g.) es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.

Resulta pertinente señalar como viene declarando el Comité Europeo y el Supervisor Europeo de datos que el hecho de que la app sea voluntaria no implica que la base legitimadora deba ser el consentimiento. Y es que cuando las autoridades públicas prestan un servicio sobre la base de un mandato asignado por la ley y de conformidad con los requisitos establecidos en ella, la base jurídica más pertinente para el tratamiento es la necesidad de realizar una tarea de interés público. Las apps son respuesta frente a la pandemia en el marco de la misión de interés público que se les ha encomendado facilitando ciertas salvaguardas como la explicación clara de la finalidad, las limitaciones explícitas del uso posterior, la identificación de quién tendrá acceso a los datos, etc. En cualquier caso, la necesidad de adoptar nuevas medidas legislativas o la posibilidad de apoyarse en una base jurídica ya existente dependerá de las leyes de los Estados Miembros, dependiendo, además, del grado de injerencia, es decir, a mayor injerencia, mayor necesidad de incluir garantías detalladas en la ley (SEPD, 2020)(75)

1.2. En Brasil

La LGPD en su art. 7 alberga diez bases legales para el procesamiento de datos personales. Seis bases legales coincidentes con el RGPD; a.) consentimiento; b.) cumplimiento de obligación legal; c.) contrato, d.) interés Legítimo; e.) interés Vital(76) y f.) ejecución de Políticas Públicas, y otros tres que son consecuencia de las seis bases anteriores; g.) estudio por órgano de investigación(77), h.) ejercicio regular de derecho en procesos judiciales; j.) protección de la Salud(78) y una base innovadora: la protección al crédito.

Al igual que en el RGPD, los datos sensibles tienen un mayor nivel de protección en la LGPD y solo se pueden procesar con el consentimiento del interesado (explícito, activo e inequívoco como en el RGPD). Las excepciones al requisito de consentimiento para el procesamiento de datos sensibles, categoría en la que se incluyen los datos de salud, solo deben considerarse cuando el tratamiento sea esencial para lograr el objetivo de la base legal en la que se fundamenta el tratamiento(79).

El tratamiento de los datos personales mediante la tecnología de rastreo de contactos es una hipótesis clara en la que el interés público se antepone al interés privado, ya que el tratamiento -compartición, análisis, procesamiento, etc.- de datos sensibles de salud sobre los infectados o individuos con sospecha de infección por Covid-19 es indispensable para combatir la expansión del virus(80). Sin embargo, no se ajusta a las hipótesis del artículo 11 de la LGPD que autorizan el tratamiento de datos personales de salud, sin consentimiento, ya que no puede considerarse imprescindible para ninguna de las bases jurídicas acogidas por el citado articulo, ni siquiera, como indispensable para la protección de la vida o la seguridad física del interesado o de un tercero, o incluso para la protección de la salud.

A diferencia del RGPD, la legislación brasileña de protección de datos personales ni siquiera menciona situaciones de pandemia. De tal forma, la única base legal que debe ser considerada para el tratamiento de datos de salud, por tecnología de monitoreo y/o rastreo de contacto de infectados, es el consentimiento del interesado.

2. Deber de información

El principio de transparencia en el contexto del combate a Covid-19 implicará que los responsables del tratamiento deben ser proactivos en la adecuación y en la claridad de la información sobre el tratamiento de datos, indicando qué agentes estarán involucrados en este procesamiento de información, así como, que esta información deberá ser fácil acceso. Se suele materializar en el marco de la propia política de privacidad. En este sentido, estamos de acuerdo con algunos autores(81) que afirman que la mejora de la legibilidad de las políticas de privacidad de las aplicaciones móviles podría ser potencialmente tranquilizadora para los usuarios y podría facilitar el aumento del uso de las mismas.

2.1. En España

Este deber de información está recogido en el principio de transparencia (art. 5.1. a RGPD) acerca de las circunstancias y finalidades del tratamiento de datos que deberá ser en un lenguaje claro y sencillo y de forma concisa, transparente, inteligible y de fácil acceso. En España, las autoridades de control recomiendan adoptar un modelo de “información por capas o niveles” (formada por información básica junto con la información adicional a través de links) donde la AEPD elaboró una guía para ayudar a su cumplimiento(82). Con la nueva normativa se ampliaron los requisitos a informar a los interesados (art. 13 RGPD).Por ejemplo, se debe informar de los datos de contacto el DPO, de la base legitimadora, del plazo o criterios de conservación de la información, la existencia o no de decisiones automatizadas o elaboración de perfiles, la previsión de transferencias a terceros países. Además, en el caso de que los datos no se obtengan del propio interesado (art. 14 RGPD) se deberá informar el origen de los datos y la categoría de datos.

Respecto a la web App de autodiagnóstico de “Asistencia Covid-19”(83), hemos de decir que cumplen el principio de deber de información, con un lenguaje claro y conciso. Se señala en negrita: “Toda la información se recogerá con fines estrictamente de interés público en el ámbito de la salud pública, y ante la situación de emergencia sanitaria decretada, a fin de proteger y salvaguardar un interés esencial para la vida de las personas, en los términos descritos en esta política de privacidad”. El usuario puede entender que los datos son proporcionados por ellos mismos a través de los formularios o a través del contacto con las autoridades y en el caso de los observados a través del sistema operativo o ubicación GPS que debería ser activada en todo caso y sólo con el fin de conocer en qué comunidad autónoma se encuentra el usuario y conectar con las correspondientes autoridades. Deja claro que “la aplicación no realiza geofencing para determinar si el usuario se encuentra en su domicilio”.

Por su parte, “Radar Covid”(84), hemos detectado que también cumple con dicha obligación. Se señala en negrita, también, las finalidades “Toda la información se recogerá con fines estrictamente de interés público en el ámbito de la salud pública, y ante la situación de emergencia sanitaria decretada, a fin de proteger y salvaguardar un interés esencial para la vida de las personas, en los términos descritos en esta política de privacidad, y atendiendo a los artículos 6.1.a), 9.2.a), 6.1.c), 6.1.d), 6.1.e), 9.2.c), 9.2.h) y 9.2.i)”.

También señalan de forma expresa quiénes tienes acceso haciendo especial hincapié en el “modelo descentralizado” recomendado por las instituciones comunitarias, indicando que las claves diarias de bluetooth se almacenan en el dispositivo del usuario, indicando que “las claves no guardan relación alguna con la identidad de los dispositivos móviles con datos personales de usuarios de la aplicación”. Además, se indica que no se realizan transferencias de datos fuera de la UE.

A pesar de que este aspecto está siendo muy cuidado en estas dos aplicaciones convendría acercarse a un modelo de “legal design” para poner a la persona en el centro(85) que permitiera una interacción más amigable con el contenido, y que pudiera resultar aún si cabe más fácil de comprender sin requerir mucho tiempo para entender las cuestiones principales, por ejemplo, pensamos en iconografía (como la señalada en el borrador del RGPD(86), donde se señalaba cuando se accedían a terceros, si se monetizaban los datos, etc…). Hay que pensar en un “derecho de entendimiento y fácil comprensión” que sea posible sin tener que buscar la pestaña de “política de privacidad”. Lo ideal sería utilizar el modelo de “información por capas” pero con iconos, viñetas, videoguías, etc.

2.2. En Brasil

El sistema legal brasileño acogió el principio de transparencia en la Constitución Federal, art. 37 de la Constitución Federal y la Ley de Acceso a la Información, art. 31, caput, siendo ratificado y reforzado por la LGPD en su artículo 6, VI: “Garantizar, a los interesados, información clara, veraz y de fácil acceso sobre la realización del tratamiento y los respectivos agentes de tratamiento, observando los secretos comerciales e industriales “. La transparencia, también conocida como deber de información, debe estar presente en las actividades de tratamiento de datos, en los términos definidos en la LGPD, especialmente, en las tecnologías de rastreo de contactos. La publicación de detalles técnicos, como el Código Fuente, aparece como un elemento más para demostrar una gestión transparente en las acciones de combate al Covid-19.

Destacase un claro desajuste entre las dos aplicaciones analizadas, mientras que el Coronavirus SUS cumple con los requisitos de transparencia, incluso con un código fuente abierto, Monitora Covid-19 es extremadamente deficiente en este aspecto.

3. Limitación de las finalidades

3.1. En España

Está recogido en el art. 5.1.b del RGPD pero existe una excepción permitiéndose los tratamientos de datos posteriores e incompatibles con el fin inicial cuando tengan fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. En “Asistencia Covid-19” se señala:

“Adicionalmente, conforme a lo establecido en la normativa aplicable, podremos tratar tus datos para las siguientes finalidades no directamente relacionadas con las funcionalidades de la app, adoptando las medidas técnicas y organizativas necesarias, en particular, para garantizar el respeto al principio de minimización de datos personales, incluyendo su anonimización para: a) finalidades estadísticas; b.) investigación biomédica, científica o histórica; y c) archivo en interés público. Estas finalidades permitirán hacer tanto un análisis anonimizado descriptivo de la situación, que permita conocer qué y por qué está ocurriendo (p.ej. las dinámicas actuales de la sintomatología en la población), así como un análisis anonimizado predictivo sobre la evolución de ésta (p.ej. como podrían evolucionar dichas dinámicas en el futuro)”.

Por su parte, la app “Radar Covid” señala que se utilizarán los datos para fines estadísticos y epidemiológicos cuando sean anonimizados.

Un escenario que está preocupando es el de Singapur con la app Trace Together donde se han modificado las condiciones afirmando la posibilidad de permitir el acceso alos datos para investigaciones criminales en virtud de una norma de su código procesal penal (art. 20)(87). En concreto, no se habla de ninguna autorización judicial, sino el “poder” de pedir por ejemplo, emitir una orden escrita donde se permita a esa autoridad policial (con rango de sargento o superior) para “permitir” el acceso a su computadora (o en estos casos a su dispositivo móvil, se podría entender). En España, se prevé la colaboración de las operadoras para la investigación penal, ahora bien, la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones(88) señala expresamente la necesidad de una resolución judicial conforme a la Ley de Enjuiciamiento Criminal y de acuerdo con los principios de necesidad y proporcionalidad, los datos conservador podrían ser cedido a los agentes facultativos.. Ahora bien, las aplicaciones Asistencia Covid-19 y Radar Covid no están creadas pensando en finalidades ajenas a la de la lucha contra la pandemia o para que su responsable del tratamiento, el Ministerio de Sanidad, ceda al Ministerio de Justicia la ubicación exacta de un sospechoso de asesinato, por ejemplo.

3.2. En Brasil

La LGPD estipula que los datos deben cumplir con el principio de la finalidad, dicha finalidad siempre debe ser respetada hasta la finalización del tratamiento y debe ser informada al interesado. En las aplicaciones el documento adecuado para ello es la Política de Privacidad.

Para las soluciones de rastreo y monitoreo de contactos, no basta con indicar de manera general que la tecnología se utilizará para prevenir la propagación del Covid-19, también debe indicarse cuál será la medida de combate específica. Este detalle permite un análisis de la adecuación entre los datos solicitados y procesados y la finalidad específica definida. De esta forma, será más fácil controlar y evitar el uso de estos datos para finalidades distintas a las indicadas al dar su consentimiento para el tratamiento.

La Política de Privacidad de la aplicación Monitora Covid-19 no indica, ni siquiera de forma genérica, cuál es la finalidad del tratamiento. En contrapartida, la aplicación Coronavirus SUS informa claramente el propósito del tratamiento:“(i) permitir que el Responsable identifique y contacte el Interesado con fines de relación y podrá informar que estuvo en contacto con un usuario que descubrió que estaba infectado: y (ii) permitir que el Responsable se ponga en contacto con los usuarios que han estado en contacto con el interesado, ante un hallazgo de que el interesado está infectado con el coronavirus”.(89)

4. Evaluación de impacto de protección de datos personales

4.1. En España

En el artículo 35 RGPD se establece la obligatoriedad de realizarla con carácter previo al tratamiento de datos cuando éste suponga un alto riesgo para los derechos y libertades, el cual se verá incrementado cuando se utilice las “nuevas tecnologías”. En el apartado 3 se especifica su obligatoriedad cuando estemos ante: a.) una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado como la elaboración de perfiles, y sobre cuya base tomen decisiones; b.) un tratamiento a gran escala de las categorías especiales de datos o de los datos relativos a condenas e infracciones penales y c.) una observación sistemática a gran escala de una zona de acceso público.

La AEPD ha diseñado un listado no exhaustivo(90) que se puede consultar los tratamientos que entrañan probablemente un alto riesgo a los efectos del RGPD. Cuanto más criterios reúna el tratamiento en cuestión, mayor será el riesgo y mayor será la certeza de necesitar realizar una EIPD. Esta autoridad también creó para facilitar la labor de esta evaluación una guía de utilidad para el análisis de riesgo(91) y otra para la evaluación de impacto(92).

El desarrollo de soluciones tecnológicas como las del objeto de estudio de este trabajo, suponen, por ejemplo, un tratamiento de datos que implican observación, monitorización, geolocalización, incluida la recogida de metadatos a través de redes, aplicaciones o en zonas de acceso público, (…) aplicaciones móviles, etc., o el tratamiento de datos de categoría especial como son los datos (punto 4) o el tratamiento “a gran escala” (93) (punto 7) o el uso de la utilización de nuevas tecnologías (punto 10).

De forma específica, por ejemplo, en el caso de tecnologías de rastreo de contacto, será necesario estudiar los requisitos técnicos como el uso de bluethooth (que servirá para establecer la proximidad del dispositivo), la anonimización, la seguridad de los datos, el almacenamiento de datos en el dispositivo móvil, el posible acceso de las autoridades sanitarias y el almacenamiento de datos, además, se deberá examinar el ciclo de vida de los datos de los procesos (captura de datos, clasificación-almacenamiento, uso-tratamiento, cesión de datos a un terceros para su tratamiento, destrucción). Para la aplicación Radar Covid se ha realizado un informe de evaluación de impacto relativa a la protección de datos(94) en publicado el mes de noviembre de 2020 de 36 páginas.

Respecto a la anonimización y al peligro de la reidentificación, la Comisión Europea(95) señaló que se debería eliminar de forma inmediata los datos procesados “inmediatamente” que permitan identificar a las personas. Como hemos mencionado al inicio del trabajo hay que tener en cuenta que los rastros de las personas son únicos e intrínsecos entre sí, por lo que la reidentificación es posible. De hecho para autores como, Paul Ohm, “la información de geolocalización longitudinal realmente precisa es absolutamente imposible de anonimizar”.

En el caso de las apps de rastreo de contacto donde Google y Apple colaborarían, han señalado claramente que los identificadores de proximidad no podrían ser correlacionados sin tener la clave diaria de seguimiento reduciendo el riesgo de pérdida de privacidad para el usuario claramente.

4.2. En Brasil

La LGPD no define claramente cuándo es obligatoria la elaboración de Informe de Impacto en Protección de Datos (RIPD), como lo hace el RGPD. Solo indica que la ANPD podrá solicitar el RIPD al responsable del tratamiento, en casos puntuales, entre ellos en el tratamiento de datos sensibles, categoría en que se incluyen los datos de salud(96).

De este modo, en el desarrollo de tecnologías de monitoreo o rastreo de contactos se debe considerar la necesidad de un RIPD.

Tal Informe, en los términos de la LGPD, deberá contar con los siguientes elementos mínimos: la descripción de los tipos de datos recolectados, la metodología utilizada para la recolección, las medidas de seguridad de la información y el análisis del responsable de las medidas, salvaguardas y mecanismos de mitigación de riesgos adoptados.

5. Ejercicio de los derechos de los interesados

5.1. En España

Tanto, la app “Asistencia Covid-19” como “Radar Covid” remiten a la web oficial de la AEPD(97) para explicar con mayor entendimiento cada uno de los derechos que los interesados pueden ejercitar, remitiendo a la sede electrónica del Ministerio de Sanidad, Consumo y Bienestar Social (responsables del tratamiento de datos) y rellenando un formulario(98) o en caso de preferir dirigirse presencialmente podrán acudir a las oficinas(99) utilizando un modelo de solicitud.

5.2. En Brasil

La LGPD proporciona un conjunto de herramientas para el ejercicio de los derechos de los interesados, muy similares a las definidas en los artículos 15 y siguientes del RGPD. Además, ante los poderes públicos, estos derechos podrán ejercitarse a través del derecho de acceso a la información, previsto en la Ley 12.527/2011. La citada Ley, antes de la entrada en vigor de la LGPD, ya contenida en su art. 31, procedimientos y directrices básicas para el tratamiento de datos personales por parte de organismos públicos, tales como transparencia, garantía de los derechos de la personalidad y consentimiento del interesado para la cesión de sus datos.

La LGPD, adoptó este legado y determinó los términos y procedimientos para el ejercicio de los derechos del interesado ante el Poder Público o un responsable de la iniciativa privada. Con la particularidad que la LGPD destaca que el ejercicio de derechos ante el Poder Público, también se regirá por lo dispuesto en la legislación específica, citando, de manera no exhaustiva, la Ley de Acceso a la Información, la Ley de Proceso Administrativo y la Ley de Habeas, de aplicación en juicios. Asimismo, en los términos de la LGPD, el interesado de los datos tiene ciertos derechos(100), previa solicitud expresa de él o de un representante legalmente constituido, sin costo alguno, dentro de los plazos y en los términos que se establezcan reglamentariamente, a solicitar una declaración concluyente al responsable u otro agente que realice el tratamiento.

La solución Coronavirus SUS informa en su Política de Privacidad cuáles son los derechos de los interesados, destacando, incluso la posibilidad de revocar el consentimiento. Sin embargo, no existe una indicación clara del procedimiento para el ejercicio de estos derechos, tales como: formato, dirección física o electrónica para el envío, documentos necesarios para la tramitación de la solicitud o fecha límite para la respuesta. La tecnología Monitora Covid-19 sólo pone de manifiesto la posibilidad de ejercer el derecho de revocar el consentimiento, indicando brevemente un procedimiento de envío de comunicación postal o electrónica a “Novetech Soluciones Tecnológicas”.

6. Conservación y borrado

6.1. En España

El RGPD introduce expresamente un principio (art. 5º, c), y lo denomina “limitación del plazo de conservación”. A raíz de este principio el inicio, el medio, y específicamente el momento de que serán eliminados los datos personales toma bastante relevancia en el tratamiento de los datos, especialmente, en lo referente a los datos de salud recompilados por soluciones tecnológicas para combatir la propagación del Covid-19.Una vez alcanzada la finalidad, los datos deben archivarse, eliminarse o hacerse anónimos(101) (por ejemplo, para elaborar estadísticas). De forma específica, la Comisión Europea (Recomendación 10, apartado 3)(102) ha recomendado su destrucción irreversible a menos que, con el asesoramiento de los comités de ética y las autoridades de protección de datos, su valor científico para servir al interés público sea superior a las repercusiones en los derechos de que se trate, con sujeción a las salvaguardias apropiadas. Por otro lado, a efectos prácticos, se aconseja que los desarrolladores implementen un sistema de borrado automático o revisiones manuales periódicos que podrían utilizar para demostrar el cumplimiento de esta obligación.

En la app “Asistencia covid19”, se señala que solo se conservarán “durante el tiempo que perdure la crisis sanitaria” con la excepción de las finalidades estadísticas, de investigación o archivo de interés público, cuyo plazo de conservación será de “un máximo de 2 años” cumpliendo el principio de minimización. Por su parte, en la app “Radar Covid” señala que “las claves de exposición temporal y los identificadores efímeros de Bluetooth son almacenados en el dispositivo por un periodo de 14 días, después de los cuales son eliminados”. Hay que recordar que tanto los claves como los identificadores no contienen datos personales ni permiten identificar los teléfonos móviles.

6.2. En Brasil

Según la legislación brasileña junto con la definición de la necesidad de los datos recogidos para la política pública deseada, tanto los organismos públicos como privados deben definir un plazo claro para el tratamiento de los datos. Se debe vetar con vehemencia el uso indefinido de estos datos y una vez completado el ciclo de vida, los datos deben ser eliminados.

En tecnologías de monitoreo o rastreo de contactos desarrolladas en alianza con instituciones privadas, una vez superada la crisis provocada por el Covid-19, existe el deber del Poder Público de fiscalizar y velar por la exclusión de los datos de los interesados. Estos datos que estén en poder de organismos del sector privado deben seguir los mismos supuestos de temporalidad y descarte. Asimismo, la Autoridad Pública debe impedir la reutilización y cesión de estos datos a otras bases de datos de la Administración Pública.

La aplicación Monitora Covid-19 en su Política de Protección de Datos guarda silencio con respecto al ciclo de vida de los datos y su eliminación. El Coronavirus SUS, que maneja datos anonimizados y agregados, destaca en el ítem “Terminación del Procesamiento de Datos” de su Política de Privacidad que los datos se conservarán para alcanzar los propósitos definidos y que los datos anonimizados se conservarán por tiempo indefinido(103).

7. Minimización de datos

7.1. En España

Las autoridades de salud pública y las instituciones de investigación deben procesar los datos personales sólo cuando sea adecuado, pertinente y limitado a lo necesario. Así, por ejemplo, la Comisión Europea señala claramente en su guía respecto a las app en lucha contra Covid-19 de abril de 2020(104), que “los datos de localización no son necesarios a los efectos de las funciones de rastreo de contactos, ya que su objetivo no es seguir los movimientos de las personas ni hacer cumplir las prescripciones”, desaconsejando su uso. Se garantizará la revisión periódica de la necesidad de seguir procesando datos personales para combatir la crisis y establecer cláusulas de extinción adecuadas, a fin de asegurar que el procesamiento no se extienda más allá de lo estrictamente necesario para esos fines(105) (Recomendación 10, apdo. 2). Se deberá observar o estudiar la “carga de datos de proximidad” en caso de una infección confirmada

Algunas características pueden mejorar la experiencia del usuario, pero no son estrictamente necesarias para que su aplicación funcione correctamente (por ejemplo, la geolocalización para simplificar una búsqueda geográfica). En este caso, el usuario final debe poder elegir si utiliza o no esta funcionalidad. Si la utiliza, los datos que se le piden para su funcionamiento sólo deben conservarse durante el tiempo estrictamente necesario y nunca deben utilizarse para otros fines.

Es el caso de la app “Asistencia Covid” donde el usuario puede usar esa funcionalidad para que con la información recogida del GPS (o datos de localización por la Administración Pública(106), en este caso, el Ministerio de Sanidad) se contacte con las autoridades sanitarias de la Comunidad Autónoma correspondiente. Lo deseable quizás hubiera sido no utilizarlo pero se trata de algo opcional y además posiblemente mejore la experiencia del usuario.

Un ejemplo de la aplicación de este principio en la app “Radar Covid” sería reducir todo lo posible la cantidad de datos a recoger (la IP del ordenador, los movimientos de los usuarios, o vinculación con datos personales), situación que permite el rastreo de contacto por bluethooth al no permitir la ubicación exacta como sí lo hacen millones de aplicaciones móviles.

7.2. En Brasil

Las iniciativas de contención y transición por contagio del Covid-19, así como las tecnologías para monitorear el impacto de la enfermedad y el rastreo de contactos deben esforzarse por minimizar la recopilación y el tratamiento de datos personales bajo los términos definidos por la LGPD. Los datos recopilados y procesados solo deben ser los estrictamente necesarios para lograr el propósito previsto. La elección de la tecnología que se utilizará es fundamental para reducir el impacto no deseado sobre los derechos fundamentales. Se deben priorizar las soluciones técnicas menos invasivas y adecuadas para los fines previstos.

Como se destacó anteriormente, la aplicación Monitora Covid-19, al solicitar una cantidad injustificable de datos personales y permitir un acceso que excede el propósito de la tecnología, incumple el principio de la necesidad y desafía la premisa de minimizar la recolección y el tratamiento de datos. La aplicación Coronavirus SUS, por el contrario, se estructura en una solución técnica de contact tracing basada en el intercambio de claves e ID aleatorias generadas por Bluetooth, que elimina la recogida de datos de geolocalización e identificadores únicos de dispositivos, y solo tiene acceso a datos limitados al mínimo necesario.

8. Privacidad desde el diseño. “Hacia un modelo descentralizado”

En pocas palabras, significa incluir la privacidad desde el momento cero en el que se crea el proyecto o solución, tecnológica en la lucha contra el Covid-19 con el uso de una gran cantidad de datos masivos(107), en nuestro caso. La tendencia y evolución de este enfoque debería ir en la línea de ampliar las arquitecturas descentralizadas con el fin de posibilitar de gestionar la recogida de datos de localización permitiendo a los usuarios compartir sus datos agregados siempre que lo desee con fines específicos, por ejemplo, con las autoridades sanitarias. Podría ser interesante como comparten algunos autores realizar a largo plazo la visión de almacén de datos personales dando la oportunidad a los usuarios de contribuir al bien colectivo (Nanni et al. 2021)(108). En definitiva, se trataría de que el enfoque descentralizado tomara la idea de “autogestión de datos personales” del autor Solove y, además, llevarlo al servicio del “bien común” de una sociedad desarrollada y saludable.

8.1. En España

El SEPD(109) se pronunció a favor del sistema o modelo descentralizado PEPP-PT(110) para asegurar el derecho de protección de datos personales a las aplicaciones de rastreo de contacto.

El sistema descentralizado funciona en cuatro fases: (i) Instalación. La app se instala y genera un dato secreto que utiliza para derivar una cadena de identificadores para emitir. (II) Funcionamiento normal. Cada app difunde identificadores efímeros vía bluetooth, y registra identificadores efímeros que son emitidos por otras aplicaciones en las cercanías. La aplicación rota los identificadores emitidos con frecuencia. (iii) Manejo de pacientes infectados. Después de que los pacientes son diagnosticados, y sólo con su consentimiento y con la autorización de una autoridad sanitaria, ellos (con una autorización código) suben los datos de su teléfono al servidor backend, desde el cual los últimos 14 días de los identificadores que emiten pueden ser recreados. A partir de estos datos, la identidad de el paciente no puede ser derivado por el servidor o por las aplicaciones de otros usuarios. Es, por tanto, anónima. (iv) Rastreo de contactos descentralizado. Cada app puede utilizar los datos que descargue para procesar privadamente en su “propio dispositivo” si el usuario de la aplicación estaba en proximidad física de una persona infectada y potencialmente en riesgo de infección, se podrá informar al usuario para que tome medidas. Además, los usuarios de la aplicación pueden proporcionar voluntariamente datos (anónimos) a la investigación epidemiológica centros.

Puede resultar de interés para su aplicación, la Guía 4/2019 sobre el artículo 25 de Privacidad por diseño(111) creada por el Supervisor Europeo de Protección de Datos.

Además, como hemos mencionado al inicio, es esencial que las apps se desarrollen con la posibilidad de que sean interoperables y así rastrear las cadenas de contagio entre los diferentes países. Por ello, la UE creó la pasarela de interoperabilidad entre Estados Miembros (actúan como corresponsables)(112) desde el mes de octubre de 2020(113), donde su data center está alojando en Luxemburgo con 20 apps conectadas en Europa basadas en sistemas descentralizados donde una vez finalizada la pandemia, la pasarela será eliminada.

8.2. En Brasil

Aunque no lo acepta con tanta claridad, como lo hace el RGPD en su art. 25, la LGPD acoge expresamente la privacidad desde la concepción, en su artículo 46 y este concepto también se evidencia en sus fundamentos y principios. La indicación de la LGPD de la necesidad de realizar un Informe de Impacto, para el tratamiento de datos sensibles, a ser realizada en la fase de desarrollo o antes de la utilización de la tecnología es un factor de apoyo para la implementación de la privacy by design. Uno de los puntos a considerar en este principio en las tecnologías de rastreo y monitoreo de contactos es la preferencia por el Código Abierto, es decir, las soluciones que no tienen códigos propietarios. Característica que, además, es una medida de transparencia, al permitir el escrutinio público.

La aplicación Monitora Covid-19, no cumple con este requisito. Sin embargo, el Coronavirus SUS se basa en tecnología Open Source, y su código fuente está disponible(114).

VI. CONCLUSIONES

a. El derecho a la protección de salud es un derecho constitucional a través del cual se encomienda a los poderes públicos su organización y tutela a través de medidas preventivas y prestaciones y servicios necesarios. En este sentido, los gobiernos y administraciones tienen la obligación de crear medidas para controlar y gestionar crisis sanitarias como las pandémicas sirviéndose si fuera necesario de soluciones tecnológicas. Todas las restricciones de los derechos de los interesados deben aplicarse sólo en la medida en que sea estrictamente necesario y proporcionado para salvaguardar ese objetivo de salud pública.

b. Si bien la innovación y la tecnología puede comprometer e impactar en los derechos y libertades de los ciudadanos no debería de considerarse un obstáculo sino una oportunidad para alcanzar los objetivos de toda sociedad desarrollada y saludable. De hecho, la tecnología puede en ocasiones facilitar el cumplimiento normativo o solventar problemas jurídicos, piénsese, en la posibilidad de utilizar blockchain/DLT para los pasaportes de inmunidad o vacunación en ámbitos reducidos y concretos como los laborales o educativos.

c. La naturaleza de los datos personales de salud como datos de categoría especial determina la necesidad de tomar medidas especiales frente a todas las incertidumbres que pudieran surgir en la situación de emergencia sanitaria del Covid-19. Requieren de mayor refuerzo de protección si cabe.

d. Se deberá fomentar el estatuto del “ciudadano empoderado” donde las administraciones le otorguen poder y control sobre la gestión de sus datos personales en entornos de crisis sanitarias como la vivida. En ningún caso, le ocasionarán “estigmatización” o “persecución” o “vigilancia”. Por ejemplo, en el caso de las aplicaciones de rastreo de contacto, los datos de localización no son necesarios a los efectos de las funciones de rastreo de contactos, ya que su objetivo no es seguir los movimientos de las personas ni hacer cumplir las prescripciones” (Comisión Europea, 2020). El caso de Taiwán llamó la atención por haber utilizado los datos del seguro de salud nacional, combinados con datos de inmigración y aduanas, para rastrear los historiales de viaje de los ciudadanos y los posibles síntomas de Covid-19. Este procedimiento siempre que exista base legitimadora y cumpla las salvaguardas correspondientes estudiadas (ético-jurídicas) podría llevarse a cabo.

e. Los gobiernos deberán ser cuidadosos y meticulosos para que el mensaje que los ciudadanos reciban sea el correcto y no tengan dudas acerca de finalidades opacas (vigilancia masiva del gobierno o venta de datos a terceros). La concienciación y la formación de una cultura de privacidad social definida y consolidada son la clave. Para ello, se requiere aumentar el presupuesto de las autoridades nacionales para que puedan destinar partidas a la difusión didáctica (a través de YouTube, de RRSS, de televisión o radio). El deber de información debe cumplirse meticulosamente evitando todo tipo de escenarios de opacidad o incertidumbre en las políticas de privacidad (como en la app Monitora Covid 19).

f. Para que los ciudadanos puedan tener una percepción positiva de estas soluciones tecnológicas, conviene encarecidamente que sean informados de forma inteligible acerca del tratamiento de datos personales. La mejora de la legibilidad de las políticas de privacidad de las aplicaciones móviles podría ser potencialmente tranquilizadora para los usuarios y podría facilitar el aumento del uso de las mismas (Zhang M, Chow A, Smith H, 2020).

g. Los datos recogidos que tengan como finalidad la investigación biomédica sobre el Covid-19 se podrían considerar como “bien común” o “bien público”. Los datos de salud pueden ser un “tesoro” (Comité Bioética Español, 2020) inestimable para la investigación ahora y en el futuro.

h. Los gobiernos y administraciones deberán plantearse cuestiones como las planteadas por Morley, J et al (2020): como si la herramienta es necesaria para salvar vidas, hay soluciones alternativas, es eficaz, oportuna, popular y precisa, es temporal, voluntaria, el consentimiento es necesario, los datos son reidentificables, los datos se pueden borrar, está definida la finalidad de la recogida de datos, se utiliza únicamente para limitar la propagación, se utiliza para el cumplimiento de una ley, está disponible de forma equitativa o es igualmente accesible para todos los usuarios.

i. Respecto a las cuestiones más técnicas cabe destacar a modo de conclusión y sin pretender exhaustivo las siguientes: (i) se deberán priorizar las soluciones técnicas menos invasivas y adecuadas para los fines previstos (bluethooth mejor que GPS) y se deberán estudiar en la evaluaciones de impacto el acceso o no de las autoridades sanitarias, las cesiones de datos, el almacenamiento de datos, la homologación de proveedores tecnológicos, etc.; (ii) se podría pensar en un “almacén de datos” a largo plazo donde los usuarios pudieran contribuir al bien colectivo (Nanni et al, 2021); (iii) es importante la interoperabilidad a nivel comunitaria, regional, nacional y autonómica para la eficiencia de las soluciones tecnológicas descentralizadas; (iv) se deberá optar por un enfoque descentralizado donde los gobiernos no tengan acceso a la identificación individual de los ciudadanos; (v) se deberá eliminar de forma inmediata los datos procesados que permitan re/identificar a las personas (por ejemplo, los datos de identificación fiscal en la app Monitora Covid-19 y demás cantidad de datos injustificable); (vi) se aboga por el código abierto en el desarrollo de las apps; (vii) se deberá repensar el “derecho de entendimiento y fácil de comprensión” implantándose estrategias de “legal design” para cumplir con el deber de información incorporando iconografía, viñetas, videoguías en las pestañas de políticas de privacidad, pensando siempre en la accesibilidad para personas con discapacidad (uso de color azul y rojo, subtítulos, tamaño grande de la letra, etc..).

j. Para que las soluciones tecnológicas sean éticas deberán ser útiles, eficientes y aceptadas por la población. El uso de las mismas se convierte en una mera cuestión de confianza. Este punto es uno de los más críticos entre todos los estudiados a lo largo del trabajo. En España, la app de rastreo de contacto habría conseguido solo 5,5 millones (no alcanzando el 10%, siendo el 20% el deseado). No obstante, se ha podido demostrar que es el doble (o más) de eficiente que los rastreadores físicos. Brasil, comparte el mismo problema que todas las aplicaciones de rastreo de contacto: el bajo índice de aceptación y adhesión de población. Aunque no haya datos oficiales, estimase que la cifra de downloads llega a poco más de 5% de la población del país. Hecho que no es más que la consecuencia de la falta de una política publica por parte del gobierno federal, que fuera centralizada y eficaz en el combate y contención de la pandemia. A lo anterior, se suma que, en Brasil, antes de encontrar una solución tecnológica centralizada y acorde con la legislación en protección de datos, el gobierno federal ha generado una seria inseguridad en la población cuanto a su capacidad de proteger el derecho a la autodeterminación informativa del individuo. A las seguidas medidas procrastinadoras que adiaran la entrada en vigor de la LGPD súmanse los intentos fallidos de imponer medidas claramente invasivas y desacordes con la protección a los datos personales y culminan con la poca clareza con las cifras de infectados y fallecidos por causa del Covid-19.

k. Por su parte, el legislador europeo menciona de forma expresa este escenario en el texto regulatorio a diferencia que el brasileño, que ni siquiera menciona situaciones de pandemia.

No obstante, el escenario de necesidad ante la crisis pandémica y su “incertidumbre” encaja con el papel protagonista de los principios del tratamiento de datos (Bradford et al, 2020).

NOTAS:

(1). LORENA PÉREZ CAMPILLO (1) Doctora en Derecho. Abogada del Ilustre Colegio de Abogados de Madrid. Investigadora UPV/EHU,Cátedra de Derecho y Genoma Humano. Profesora de Postgrado de Derecho de Universidad de Villanueva y Universidad Carlos III. Mentora académica en ESADE y en Massachusetts Institute of Technology (MIT).

(2). CRISTIANE BATISTA DE ARAUJO HONORATO (2) Abogada. Delegada de Protección de Datos. Certificada bajo el Esquema de Certificación de la AEPD – Agencia Española de Protección de Datos. Certificada en Compliance por CESCOM – ASCOM / IFCA. Consultora internacional en protección de datos. 

(3). Por ejemplo, Apple Watch serie 4 incorpora un sensor que permite realizar electrocardiogramas y es capaz de detectar arritmias cardíacas con una exactitud de un 97%. Existen varios casos declarados donde se ha podido salvar la vida de pacientes gracias a estos dispositivos. Vid. https://www.abc.es/tecnologia/abci-apple-watch-salva-vida-hombre-22-anos-201907160038_noticia.html (ultimo acceso 08/11/20).

(4). AEPD (2020). El uso de las tecnologías en la lucha contra el Covid19. Un análisis de costes y beneficios. Recuperado de https://www.aepd.es/sites/default/files/2020-05/analisis-tecnologias-COVID19.pdf (último acceso 08/11/20).

(5). AEPD. Orientaciones y garantías en los procedimientos de Anonimización de datos personales.

Recuperado de https://www.aepd.es/media/guias/guia-orientaciones-procedimientos-anonimizacion.pdf (último acceso 08/02/21).

(6). Vid. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_art_23gdpr_20200602_es_1.pdf (último acceso (último acceso 08/02/20).

(7). O’Neill, P; Mosley, T; Johnson, B (2020) A flood of coronavirus apps are tracking us. Now it’s time to keep track of them.

[Una avalancha de aplicaciones de coronavirus nos sigue la pista. Ahora es el momento de seguirles la pista. ]

MIT Technonlogy Review. Vid. https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/ (último acceso 08/11/20).

(8). Vid. https://edps.europa.eu/press-publications/press-news/blog/what-does-covid-19-reveal-about-our-privacy-engineering_en (último acceso 08/02/21).

(9). En el marco de la AEPD, por ejemplo, se ha mantenido reunión con la investigadora Carmela Troncoso para acercar las cuestiones más técnicas a la disciplina del derecho de protección de datos.

https://www.youtube.com/watch?v=XBluwY4jSFs&feature=youtu.be (último acceso 08/02/21).

(10). Martínez, J.M.; Pérez, L (2021). Digitalización y Marketing: Petróleo para la Sanidad. Editorial ESIC.

(11). Solove, Daniel J., Privacy Self-Management and the Consent Dilemma (November 4, 2012). 126 Harvard Law Review 1880 (2013), GWU Legal Studies Research Paper No. 2012-141, GWU Law School Public Law Research Paper No. 2012-141, Available at SSRN: https://ssrn.com/abstract=2171018

(12). Vid. https://www-xataka-com.cdn.ampproject.org/c/s/www.xataka.com/privacidad/donde-dije-digo-singapur-dara-acceso-a-datos-covid-19-a-sus-cuerpos-seguridad-para-investigaciones-criminales/amp. Y https://www.youtube.com/watch?v=LjhIegyyLHk (último acceso 08/11/20).

(13). Farina, M., Lavazza, A. The meaning of Freedom after Covid-19. [El significado de la libertad después de Covid-19 ]

HPLS 43, 3 (2021). https://doi.org/10.1007/s40656-020-00354-7

(14). Calacci, D et al. (2029). The tradeoff between the utility and risk of location data and implications for public good.

[El compromiso entre la utilidad y el riesgo de los datos de localización y las implicaciones para el bien público ]

Cornell University. Recuperado de https://arxiv.org/abs/1905.09350

(15). Vid. http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/ (último acceso 08/11/20).

(16). Por su parte, es de mencionar la iniciativa Facebook Data For Good para apoyar la investigación en salud pública, que se utilizó para mapear y combatir Covid19, recopilando información agregada en más de cien países de todo el mundo y incluye Brasil y España. La información colectada busca comprender el acceso a medidas preventivas, como el uso de máscaras, comportamientos en público y distancia social. Posteriormente la red social también comenzó a publicar datos del movimiento de sus usuarios que tienen la aplicación móvil en su Smartphone y tienen habilitados la función de ubicación. Los datos están disponibles en mapas de calor que brindan información sobre el porcentaje de personas en una región que informaron síntomas de Covid-19. En la primera pesquisa, Facebook recopiló información de millones de personas en 115 países, en la que incluya también Brasil y España.

(17). Comité de Bioética de España, Informe del comité de bioética de España sobre la financiación pública del medicamento profilaxis preexposición en la prevención del VIH, 24 de noviembre de 2016, http://assets.comitedebioetica.es/files/documentacion/es/Informe_PrEP.pdf en Montalvo, F; Bellver, V (2020). Una crisis bioética dentro de la crisis sanitaria provocada por la Covid-19: una reflexión sobre la priorización de pacientes en tiempos de pandemia.”

(18). Morley, J; Cowls, J; Taddeo M & Flordi,L (2020) Ethical guidelines por Covid-19 tracing apps. [Directrices éticas para las aplicaciones de rastreo de Covid-19 ]. Nature 582, 29-31. doi: https://doi.org/10.1038/d41586-020-01578-0

(19). Ibid.

(20). Parker MJ, Fraser C, Abeler-Dörner L, et al (2020) Ethics of instantaneous contact tracing using mobile phone apps in the control of the COVID-19 pandemic . [Ética del rastreo instantáneo de contactos mediante aplicaciones de telefonía móvil en el control de la pandemia de COVID-19]. Journal of Medical Ethics;46:427-431.

(21). Vid. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Recuperado de https://boe.es/buscar/act.php?id=BOE-A-2018-16673 (último acceso 08/11/20).

(22). Vid. Ley 12.965 de 23 de abril de 2014 – Marco Civil de la Internet. Recuperado http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm (último acceso 08/11/20).

(23). Vid. https://ssd.eff.org/es/module/por-qu%C3%A9-los-metadatos-son-importantes (último acceso 08/11/20).

(24). Vid. https://www.publico.es/sociedad/proteccion-datos-metadatos.html (último acceso 08/11/20).

(25). Vid Directiva 2002/58/CE de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, artículo 5, apartado 3. Además habrá que tener presente que el tratamiento de datos en el ámbito de la función estadística pública deberán estar a lo establecido en el art. 25 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y de Garantía de Derechos Digitales y a la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.

(26). Vid. https://www.boe.es/boe/dias/2020/03/28/pdfs/BOE-A-2020-4162.pdf (último acceso 08/11/20).

(27). Vid. https://www.lamoncloa.gob.es/serviciosdeprensa/notasprensa/asuntos-economicos/Paginas/2020/010420-datacovid.aspx

(28). Canetti, R; Trachtenberg, A; Varia, M (2020). “Anonymous Collocation Discovery: Harnessing Privacy to Tame the Coronavirus”. [Descubrimiento de colocaciones anónimas: Aprovechando la privacidad para domar el Coronavirus]. Boston University. Recuperado de https://arxiv.org/pdf/2003.13670.pdf

(29). Vid. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_art_23gdpr_20200602_es_1.pdf (último acceso 08/11/20).

(30). Vid. https://www.uol.com.br/tilt/noticias/redacao/2020/04/02/para-combater-a-covid-19-o-governo-federal-vai-monitorar-o-seu-celular.html(último acceso 08/02/21)

La medida fue anunciada el 27 de marzo de 2020, en video con el Ministro Marcos Pontes, en el Twitter de MCTIC. El día 29 se eliminó la publicación, pero el video está disponible en: https://twitter.com/claudioportoo/status/1244290405082050561(último acceso 08/02/21)

(31). Vid. https://www.sinditelebrasil.org.br/sala-de-imprensa/releases/3375-operadoras-vao-disponilizar-dados-de-mobilidade-ao-mctic-para-monitorar-deslocamento y https://www.bbc.com/portuguese/brasil-52154128 (último acceso 06/01/21).

(32). La solución, aunque frustrada, a priori, afrontaba principios y preceptos básicos de la legislación que ampara la protección de datos personales, ya que no cumplía con los requisitos básicos. No existía Política de Privacidad para informar a los interesados de la base legal del tratamiento, qué datos serían tratados, cómo, por quién (responsable y encargado) y durante cuánto tiempo se llevaría a cabo el tratamiento. Y, si realmente serían anonimizados, de lo contrario el tratamiento estaría sujeto al consentimiento del interesado.

(33). La determinación del Gobierno Federal generó polémica y cuestionamientos, que llegarán a la vía Judicial, sobre su legalidad, por patente violación a la privacidad. Al obligar a las compañías de telefonía, fija y móvil, a fornecer al Instituto Brasileño de Geografía y Estadística la lista de nombres, números de teléfono y direcciones de sus clientes, personas físicas o jurídicas. Por otra parte, determinaba la cesión de datos los interesados para una finalidad distinta para los cuales habían sido recogidos, sin información o consentimiento del interesado de los datos.

(34). Vid. https://covid-survey.dataforgood.fb.com/ (último acceso 08/02/20).

(35). Vid. https://asistencia.covid19.gob.es/ (último acceso 08/02/21).

(36). Bu-Pasha, S., Alen-Savikko, A. K., Mäkinen, J-S., Guinness, R., & Korpisaari, P. H. (2016). EU Law Perspectives on Location Data Privacy in Smartphones and Informed Consent for Transparency. [Perspectivas del Derecho de la UE sobre la privacidad de los datos de localización en los teléfonos inteligentes y el consentimiento informado para la transparencia]. European Data Protection Law Review, 2(3/2016), 312-323. http://edpl.lexxion.eu/article/EDPL/2016/3/7

(37). Vid. https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-apps-webs-autoevaluacion-coronavirus-privacidad (último acceso 08/02/21).

(38). Vid. https://iree.org.br/consorcio-nordeste-entenda-o-que-e-a-iniciativa/ (último acceso 08/02/21).

(39). Vid. https://www.comitecientifico-ne.com.br/c4ne/app-monitora-covid-19 (último acceso 08/02/21).

(40). Vid. https://esusatendsaude.com.br/docs/politica-de-privacidade.html(último acceso 08/02/21).

(41). También habilita por defecto acceso a fotos, medios y archivos; leer el contenido de su almacenamiento USB y modificar o eliminar el contenido de su almacenamiento USB; cámara: toma fotos y videos; micrófono: graba audio; información sobre la conexión WI-FI y ver conexiones WI-FI, recibir datos de Internet; visualización de conexiones de red; emparejar con dispositivos Bluetooth; acceso completo a la red; cambiar su configuración de audio; ejecutar en el arranque; control de vibraciones y evitar que el dispositivo hiberne. Vid. Permissões. Ver detalhes. https://play.google.com/store/apps/details?id=br.com.novetech.monitoracorona&hl=pt_BR (último acceso 08/02/21).

(42). Podría decirse, también, que afronta el principio de la necesidad al solicitar una cantidad injustificada de los datos personales para llevar a cabo el registro y también por habilitar por defecto varios permisos de acceso, que extrapolan la finalidad de la aplicación.

(43). Repositório de informações processáveis sobre o cuidado em saúde do individuo, armazenadas e transmitidas de forma segura e acessível por múltiplos usuários autorizados. [Repositorio de información sanitaria individual procesable, almacenada y transmitida de forma segura y accesible por múltiples usuarios autorizados] http://www.ans.gov.br/images/stories/Interecoes_com_ANS/Apresentacao_CSS/css_93_apresentacao_registro_eletronico.pdf

(44). El seguimiento se hace a través de un panel de control que permite visualizar el tiempo de cuarentena que está siguiendo cada paciente, monitoreo georreferenciado en tiempo real de las condiciones clínicas de los pacientes, comunicación permanente entre profesionales de la salud y usuarios en estrés clínico y/o psicológico, entre otras características que pueden contribuir a la toma de decisiones en salud pública y atención. https://www.gov.br/saude/pt-br/assuntos/saude-de-a-a-z-1/s/sistema-unico-de-saude-sus-estrutura-principios-e-como-funciona (último acceso 08/02/21).

(45). Ferretti, L et al (2020). Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing. [La cuantificación de la transmisión del SARS-CoV-2 sugiere el control de la epidemia con el rastreo digital de contactos ]Science. Vol 368. Doi 10.1126/science.abb6936. Recuperado https://science.sciencemag.org/content/368/6491/eabb6936.full

(46). Vid Rodríguez, P., Graña, S., Alvarez-León, E.E. et al. A population-based controlled experiment assessing the epidemiological impact of digital contact tracing. [ Un experimento controlado basado en la población para evaluar el impacto epidemiológico de la localización digital de contactos ]. Nat Commun 12, 587 (2021). https://doi.org/10.1038/s41467-020-20817-6

(47). Vid. Carta del Comité Europeo de Protección de Datos https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf (último acceso 08/02/21) y Comunicación de la Comisión: Orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia de covid-19 en lo referente a la protección de datos https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=ES (último acceso 08/02/21).

(48). Vid. https://www.unasus.gov.br/noticia/ministerio-da-saude-disponibiliza-aplicativo-sobre-o-coronavirus (último acceso 08/02/21).

(49). Vid. https://g1.globo.com/economia/tecnologia/noticia/2020/07/31/aplicativo-com-tecnologia-google-apple-vai-alertar-sobre-contato-com-infectados-por-coronavirus-diz-ministerio.ghtml (último acceso 08/02/21).

(50). Vid. https://validacovid.saude.gov.br/politica-privacidade (último acceso 08/02/21).

(51). En un enlace “Más información”, la aplicación puntualiza que “Coronavirus SUS utiliza el sistema de notificación de exposición desarrollado por Apple y Google. Debido a una limitación del sistema operativo, los servicios de ubicación deben estar habilitados para permitir que las señales de fondo sean escaneadas en busca de señales de Bluetooth (necesarias para intercambiar códigos aleatorios y, en consecuencia, registrar cualquier contacto que ocurra). Sin embargo, la aplicación no tiene acceso a su ubicación y, por lo tanto, no puede rastrear sus movimientos”.

(52). Vid. https://validacovid.saude.gov.br/onboard (último acceso 08/02/21)

(53). Se puede leer que “La aplicación funciona sin rastrear los movimientos de la persona que ha dado positivo y sin conocer su identidad o la identidad con la que entró en contacto. La aplicación no tiene acceso a ninguna información personal, como número de identificación fiscal – CPF, nombre o número de teléfono. No se recopilan datos de geolocalización, incluidos los datos de GPS. Por eso el uso de Bluetooth, que detecta cuando dos dispositivos están cerca uno del otro, sin revelar dónde se encuentran. La persona recibirá una notificación si ha tenido contacto con alguien infectado (o dio positivo en la prueba de Covid) en los últimos 14 días, sin ninguna hora específica o información de tiempo, justamente para no identificar quién tenía la enfermedad”. Y, además, se señala que “todos los datos están encriptados y guardados localmente en el smartphone. Los datos solo están disponibles en la herramienta durante un período de 14 días “.

(54). Vid. https://manualdousuario.net/notinha-brasil-downloads-app-coronavirus-sus/ (último acceso 08/02/21).

(55). Vid. https://www.bbc.com/mundo/noticias-52215521 (último acceso 08/02/21).

(56). Vid. https://www.ibm.com/blogs/watson-health/health-pass-puts-privacy-first/ (último acceso 08/02/21).

(57). Vid. https://www.elconfidencial.com/economia/2020-04-13/coronavirus-pasaporte-sanitario_2546495/ (último acceso 08/02/21).

(58). Vid. https://www.travelandleisure.com/travel-news/travelers-using-counterfeit-covid-test-results (último acceso 08/02/21).

(59). Vid. https://www.bbc.com/news/uk-55143484 (último acceso 08/02/21).

(60). Vid. https://www.who.int/news-room/commentaries/detail/immunity-passports-in-the-context-of-covid-19 (último acceso 08/11/20).

(61). Para más info, vid. Campillo, LP (2020). “El impacto del Reglamento General de Protección de Datos en el Blockchain, la Inteligencia Artificial y las futuras tecnologías” en obra colectiva “Reflexión general sobre el RGPD y la LOPDGDD” dirigida por el Dr. Antonio Troncoso Tomo I. ISBN: 978-84-9197-925-8. Editorial Civitas.

(62). Vid. https://www.boe.es/doue/2016/119/L00001-00088.pdf (último acceso 08/02/21).

(63). Bradford, L; Aboy, M; Liddell, K (2020). COVID-19 contact tracing apps: a stress test for privacy, the GDPR, and data protection regimes [ COVID-19 aplicaciones de localización de contactos: una prueba de resistencia para la privacidad, el RGPD y los regímenes de protección de datos ] Journal of Law and the Biosciences, Volume 7, Issue 1, January-June 2020, lsaa034, https://doi.org/10.1093/jlb/lsaa034

(64). WP 202 Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes. Recuperado de https://studylib.es/doc/3547168/dictamen-del-grupo-de-trabajo-del-art.29-sobre-las-aplica. (último acceso 08/02/21).

(65). WP 185. Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes. Recuperado de https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp185_es.pdf (último acceso 08/11/20).

(66). Vid. https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673 (último acceso 08/02/21).

(67). Brasil. Lei Geral de Proteção de Dados Pessoais (LGPD), de 14 de agosto de 2018. Disponible en: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. (último acceso 08/02/21)

(68). Ibíd. Art. 1º.

(69). Ibíd. Art. 2º.

(70). BRASIL. Constituição da República Federativa do Brasil de 1988. [Constitución de la República Federativa de Brasil de 1988 ] Brasília, DF: Presidência da República, [2020]. Disponible en: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. (último acceso 08/02/21).

(71). SANTOS, Alex. Os riscos do adiamento da Lei Geral de Proteção de Dados Pessoais. [Los riesgos de aplazar la Ley General de Protección de Datos Personales]. Jornal Estadão. 13/05/2020. Disponible:https://politica.estadao.com.br/blogs/fausto-macedo/os-riscos-do-adiamento-da-lei-geral-de-protecao-de-dados-pessoais/. (último acceso 05/10/2020).

PALHARES, Felipe. O adiamento da LGPD. Valor Econômico.[El aplazamiento de la LGPD. Valor Económico].

05/05/2020. Disponible: https://valor.globo.com/legislacao/noticia/2020/05/05/o-adiamento-da-lgpd.ghtml. (último acceso 06/10/2020)

(72). SANTOS, Brunas Martin dos Santos. SANTARÉM., Paulo Rená da Silva. Jota Info. Vigência da LGPD: uma odisseia brasileira. 18/09/2020. Disponible: https://www.jota.info/paywall?redirect_to=//www.jota.info/opiniao-e-analise/artigos/vigencia-da-lgpd-uma-odisseia-brasileira-18092020.

(último acceso 03/10/2020)

(73). Brasil. Advocacia Geral da União -AGU. Consultoria Geral da União. Parecer n. 00280/2020/CONJUR-MCTIC/GGU/AGU. 01/04/2020. Disponible: https://drive.google.com/file/d/1kGcI-79c2MemJbkdmOcPV7S7jERbuX5C/view. (último acceso 03/10/2020)

(74). Brasil. Agência Nacional de Telecomunicações – ANATEL. Posicionamento da Anatel a respeito da utilização de rastreamento de usuários de telecomunicações no âmbito de medidas no combate à pandemia de Covid-19 [Posición de Anatel con respecto al uso del rastreo de usuarios de telecomunicaciones como parte de las medidas para combatir la pandemia Covid-19]. Publicado: Quarta, 15 de abril de 2020, 10h58 | Última atualização em Terça, 10 de novembro de 2020, 09h09. Disponible https://www.anatel.gov.br/institucional/mais-noticias/2561-posicionamento-da-anatel-a-respeito-da-utilizacao-de-rastreamento-de-usuarios-de-telecomunicacoes-no-ambito-de-medidas-no-combate-a-pandemia-de-covid-19. (último acceso 11/11/2020).

1. “Os mecanismos e os dados coletados e processados neste momento constituirão base legada que estará submetida às disposições da LGPD a partir de sua vigência, razão pela qual tal esse instrumento normativo constitui importante baliza para aferição da regularidade das ações em curso.

2. A coleta e o tratamento de dados estão sujeitos à legislação vigente e, sobretudo, aos ditames da Constituição Federal. A ponderação de tutela entre saúde e privacidade encontra-se no mais alto grau de nossa hierarquia normativa. A despeito da presente crise, o momento ainda comporta a possibilidade de harmonização entre os dois bens jurídicos, de forma motivada e transparente.

3. O juízo de proporcionalidade deve ser observado na medida em que os direitos dos indivíduos possam ser tangenciados. O custo-benefício deve ser expressamente aferido, cotejado a outras soluções à mão do Poder Público que se revelem porventura menos invasivas. Questões como o consenso do indivíduo também devem ser ao menos apreciadas, e motivadamente afastadas, se for o caso.

4. A cultura de proteção da privacidade, embora crescente, ainda é incipiente no Brasil. Num cenário em que a consciência dos indivíduos a respeito do tema é pontual, cabe com primazia ao Poder Público protegê-los em diversas dimensões cujos reflexos podem ser muito mais permanentes que a atual crise.”

(75). Vid. https://edps.europa.eu/sites/edp/files/publication/20-04-27_edps_qa_fr_senate_en.pdf (último acceso 08/02/21).

(76). La legitimación estaría fundada en la protección de la vida o seguridad física del interesado o de un tercero. Hipótesis para utilizar en situaciones en las que el tratamiento es fundamental para proteger un interés vital. Al priorizar la protección de la vida o la seguridad, surge como otra base jurídica que no requiere el consentimiento del interesado.

(77). La legitimación estaría fundada en la realización de estudios por parte de un organismo de investigación, aunque se base en una actividad de interés público, con aplicación específica a la investigación científica, el tratamiento puede ser realizado por una institución pública o privada.

(78). La base legal sería la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria; situación que prescinde del consentimiento del interesado, en caso de imperiosa necesidad de proteger la salud del interesado o de un tercero o, para la protección de la salud pública. Es de destacar que el precepto legal determina que el tratamiento debe ser realizado exclusivamente por un agente: profesionales de la salud, servicios de salud o autoridad sanitaria. De esta forma, busca evitar el acceso a los datos por parte de otros operadores como farmacias, planes de salud y hospitales.

(79). Tales hipótesis fueron aceptadas por el art. 11, de la LGPD, a saber: 1. Cumplimiento de obligación legal o reglamentaria por parte del responsable del tratamiento; 2. intercambio de datos para la implementación de políticas públicas por parte de la administración pública; 3. realización de estudios por organismos de investigación; 4. ejercicio regular de derechos, incluso contractuales, en procedimientos judiciales, administrativos y de arbitraje; 5. para la protección de la vida o la seguridad física del interesado o de un tercero; 6. si son indispensables para la protección de la salud, únicamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria. 7. Asegurar la prevención del fraude y seguridad del interesado, en los procesos de identificación y autenticación del registro en sistemas electrónicos.

(80). Vid. https://www.expansion.com/blogs/sociedad-empresa-digital/2020/11/24/reflexiones-sobre-el-uso-de-la-app-movil.html (último acceso 08/02/21).

(81). Zhang M, Chow A, Smith H. COVID-19 Contact-Tracing Apps: Analysis of the Readability of Privacy Policies.

[COVID-19 Aplicaciones de seguimiento de contactos: Análisis de la legibilidad de las políticas de privacidad ]J Med Internet Res. 2020 Dec 3;22(12):e21572. doi: 10.2196/21572. PMID: 33170798; PMCID: PMC7717894

(82). Vid. https://www.aepd.es/sites/default/files/2019-11/guia-modelo-clausula-informativa.pdf (último acceso 08/02/21).

(83). Vid. https://asistencia.covid19.gob.es/politica-de-privacidad (último acceso 08/02/21).

(84). Vid. https://radarcovid.gob.es/politica-de-privacidad (último acceso 08/02/21).

(85). Hagan, M (2020) Legal Design as a Thing: A Theory of Change and a Set of Methods to Craft a Human-Centered Legal System. [El diseño jurídico como algo: una teoría del cambio y un conjunto de métodos para crear un sistema jurídico centrado en el ser humano] Massachusetts Institute of Technology. Volume 36. Design Issues 2020 36:3, 3-15. https://doi.org/10.1162/desi_a_00600

(86). Parlamento Europeo (21 de noviembre de 2013). Informe sobre sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)). Recuperado de http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2013-0402+0+DOC+PDF+V0//ES (último acceso 08/02/21).

(87). Vid. https://sso.agc.gov.sg/Act/CPC2010?ProvIds=P1IV-#pr20- (último acceso 08/02/21).

(88). Vid. https://noticias.juridicas.com/base_datos/Admin/l25-2007.html#a6 (art. 7) (último acceso 08/02/21).

(89). Vid. https://validacovid.saude.gov.br/politica-privacidade (último acceso 08/02/21).

(90). Vid. https://www.aepd.es/sites/default/files/2019-09/listas-dpia-es-35-4.pdf (último acceso 08/02/21).

(91). Vid. https://www.aepd.es/sites/default/files/2019-09/guia-analisis-de-riesgos-rgpd.pdf (último acceso 08/02/21).

(92). Vid. https://www.aepd.es/sites/default/files/2019-09/guia-evaluaciones-de-impacto-rgpd.pdf (último acceso 08/02/21).

(93). WP 243 Directrices sobre delegados de protección de datos” del GT29 para ver los criterios de interpretación de “gran escala”. Recuperado de https://www.aepd.es/sites/default/files/2019-09/wp243rev01-es.pdf (último acceso 08/02/21).

(94). Vid. https://media-exp1.licdn.com/dms/document/C4D1FAQGNBC-c94Chog/feedshare-document-pdf-analyzed/0/1611702983536?e=1612555200&v=beta&t=An01Z1OkRcWXulVs5wcm7ALqDdNEo-LOugOT3vxiXsE (último acceso 08/02/21).

(95). Vid. https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf (último acceso 08/02/21).

(96). Brasil. Lei Geral de Proteção de Dados Pessoais (LGPD), de 14 de agosto de 2018. Disponible en:http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Art. 38

(97). Vid. https://www.aepd.es/es/derechos-y-deberes/conoce-tus-derechos (último acceso 08/11/20).

(98). Vid. https://www.mscbs.gob.es/servCiudadanos/proteccionDatos/docs/Formulario_DPD_MSCBS.pdf (último acceso 08/02/21).

(99). Vid. https://sede.mscbs.gob.es/canalesAcceso/oficinas.htm (último acceso 08/02/21).

(100). Por ejemplo, nos referimos a los; a) derecho de confirmación la existencia del tratamiento; b.) derecho de acceso a los datos recopilados; c.) derecho de Rectificación de datos incompletos, desactualizados o incorrectos; d.) derecho a anonimizar, bloquear o eliminar datos si son innecesarios, excesivos o tratados en incumplimiento de las disposiciones de la LGPD; e.) derecho a la portabilidad de sus datos personales a otro proveedor de servicios o productos; f.) derecho a compartir información sobre entidades públicas y privadas con las que el responsable del tratamiento ha compartido uso de datos; g.) derecho a revocar el consentimiento; h.) derecho a revisar las decisiones tomadas en tratamiento automatizado las decisiones tomadas únicamente sobre la base de datos personal que afecten a sus intereses, incluidas las decisiones para configurar su perfil personal, profesional, consumidor y crediticio o aspectos de su personalidad;

(101). Hay que tener en cuenta que si se quieren usar esos datos con los fines mencionados podrían usarse “pseudonimizados” (sujetos a la normativa RGPD) o “anonimizados” (no sujetos a la norma).

(102). Vid. https://ec.europa.eu/info/sites/info/files/5_en_act_part1_v3.pdf (último acceso 08/02/21).

(103). Señala específicamente que: “La Responsable podrá mantener y procesar los datos personales del Interesado durante el período en el que sean relevantes para alcanzar propósitos enumerados en este documento. Los datos personales anonimizados, sin posibilidad de asociación con el particular, pueden conservarse por tiempo indefinido. El Interesado puede solicitar por correo electrónico o correspondencia al Responsable, en cualquier momento, que se eliminen los datos personales no anonimizados del Interesado. El Interesado es consciente de que puede no ser factible que el Interesado continúe proporcionando la información o los servicios previstos al Interesado a partir de la eliminación de datos personales ”.

(104). Vid. https://ec.europa.eu/info/sites/info/files/5_en_act_part1_v3.pdf (último acceso 08/02/21).

(105). Vid. Salathé, M; Catutto, Ciro (2020). COVID-19: What data is necessary for digital proximity tracing?. [COVID-19: ¿Qué datos son necesarios para el rastreo digital de proximidad?] Recuperado en https://github.com/digitalepidemiologylab/COVID-documents/blob/master/COVID19%20Response%20-%20What%20Data%20Is%20Necessary%20For%20Digital%20Proximity%20Tracing.pdf

(106). Comisión Europea (2016). Guidelines for public administrations on location privacy. Vid. https://joinup.ec.europa.eu/sites/default/files/news/attachment/jrc103110_1-dc246-d3.2_eulf_guideline_on_location_privacy_v1.00_final_-_pubsy.pdf(último acceso 08/02/21).

(107). D’Acquisito, G.et al. (2015) Privacy by design in big data. An overview of privacy enhancing technologies in the era of big data analytics. [Privacidad por diseño en el big data. Una visión general de las tecnologías privacidad en la era del análisis de los grandes datos] . ENISA. DOI 10.2824/641480 Recuperado de https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/big-dataprotection

(108). Nanni, M., Andrienko, G., Barabási, AL. et al. Give more data, awareness and control to individual citizens, and they will help COVID-19 containment. [Dar más datos, conciencia y control a los ciudadanos individuales, y ellos ayudarán a la contención COVID-19]. Ethics Inf Technol (2021). https://doi.org/10.1007/s10676-020-09572-w

(109). Vid. https://www.youtube.com/watch?v=g8b9hvZDjq0 (último acceso 08/02/21).

(110). Decentralized Privacy-Preserving Proximity Tracing (2020) Vid. https://github.com/DP-3T/documents

(111). Vid. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en (último acceso 08/11/20).

(112). Vid.https://ec.europa.eu/health/sites/health/files/ehealth/docs/gateway_jointcontrollers_en.pdf

(113). Vid. https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/travel-during-coronavirus-pandemic/how-tracing-and-warning-apps-can-help-during-pandemic_es (último acceso 08/02/21).

(114). Recuperado en https://github.com/spbgovbr/aplicativo-coronavirus-sus (último acceso 08/02/21).

 

 

BLOG

Otros artículos de interés

Google y Apple multadas en Brasil por la aplicación FaceApp

Google y Apple multadas en Brasil por la aplicación FaceApp

Los gigantes estadounidenses de tecnología Google y Apple han sido multados por el órgano de defensa al consumidor del estado brasileño de São Paulo por considerar que infringieron la legislación con la aplicación FaceApp.En un comunicado divulgado este...

CONTATO

+34 911 847 873

Rua Príncipe de Vergara, 109 - 2ª andar. Madri - 28002 - Espanha

Business Ethics SL  tratará os seus dados para processar sua consulta com base no consentimento expresso dado ao enviar este formulário. Esses dados não serão comunicados a terceiros e estarão sujeitos a transferência internacional de dados, especificamente para Espanha. Poderá exercer seus direitos de acesso, retificação, exclusão e outros direitos, conforme explicado na Política de Privacidade.

BUSINESS ETHICS © 2019 · AVISO LEGAL · POLÍTICA DE PRIVACIDAD