Después de que en las últimas semanas hayan proliferado las apps relacionadas con el coronavirus, la Comisión Europea ha publicado un documento un documento con directrices sobre este tema. Los países miembros y autoridades sanitarias tienen ya, por tanto, una guía oficial para la creación de estas aplicaciones.

“Las tecnologías y los datos digitales tienen una valiosa función que desempeñar en la lucha contra la crisis de la COVID-19. Las aplicaciones para dispositivos móviles que suelen estar instaladas en teléfonos inteligentes («aplicaciones») pueden facilitar a las autoridades sanitarias públicas a nivel nacional y de la UE el seguimiento y contención de la pandemia de COVID-19 y son especialmente pertinentes de cara al levantamiento de las medidas de confinamiento.”, dice la Comisión Europea en su documento. “Esas aplicaciones pueden proporcionar orientaciones directas a los ciudadanos y facilitar la labor de rastreo de contactos.”.

El documento presenta en sus 14 páginas una serie de medidas y requerimientos que las apps deben seguir para asegurarse el cumplimiento de las leyes europeas en materia de protección de datos y privacidad, en especial el Reglamento Europeo de Protección de Datos (RGPD) y la Directiva ePrivacy.

Garantizar el control por parte del usuario

La instalación de la aplicación en el dispositivo debería ser voluntaria, sin consecuencia negativa alguna para quien decida no descargar o no usar la aplicación. El documento dedica un apartado especial a las garantías para que el usuario mantenga el control sobre sus datos en todo momento. Para ello recoge cinco puntos fundamentales:

  1. No deberían agruparse las distintas funcionalidades de la aplicación (por ejemplo, información, comprobación de síntomas, rastreo de contactos y alerta), de manera que la persona pueda dar su consentimiento específicamente para cada una de ellas. Sin embargo, el usuario debería tener la posibilidad de combinar distintas funcionalidades de la aplicación si el proveedor lo ofrece como opción.
  2. En caso de usarse datos de proximidad [datos generados mediante el intercambio de señales de Bluetooth de baja energía (BLE) entre dispositivos dentro de una distancia relevante desde el punto de vista epidemiológico y durante un tiempo relevante también desde el punto de vista epidemiológico], tales datos deberían almacenarse en el dispositivo de la persona. Si se prevé compartir estos datos con las autoridades sanitarias, debería hacerse únicamente cuando se haya confirmado que la persona en cuestión está infectada de COVID-19 y a condición de que la persona opte por que así se haga.
  3. Las autoridades sanitarias deberían proporcionar a la persona toda la información necesaria en relación con el tratamiento de sus datos personales (en consonancia con los artículos 12 y 13 del RGPD y el artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas).
  4. La persona debería poder ejercer sus derechos en virtud del RGPD (en particular, de acceso, rectificación y supresión). Toda restricción de los derechos que se derivan del RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas debería estar en sintonía con esos instrumentos, además de ser necesaria y proporcionada y estar prevista en la legislación.
  5. Las aplicaciones deberían desactivarse a más tardar cuando se declare que la pandemia está controlada. La desactivación no debería depender de la desinstalación por parte del usuario.

Base jurídica para el tratamiento de las apps del Covid-19

El documento también proporciona la base jurídica sobre la que se puede apoyar el tratamiento de datos por parte de estas apps. El interés público en el control de una pandemia se cita expresamente como una base sólida para el tratamiento por parte de las autoridades sanitarias:

“En principio, tanto la legislación de la UE y de los Estados miembros anterior al brote de COVID-19 como aquella que los Estados miembros están promulgando específicamente para luchar contra la propagación de epidemias podrían usarse como base jurídica para el tratamiento de datos personales si, en dicha legislación, se prevén medidas que autoricen el seguimiento de epidemias y se cumplen los demás requisitos del artículo 6, apartado 3, del RGPD.”

Minimización de datos en las apps del Covid-19

El documento recuerda también la importancia del principio de minimización de datos por el que sólo deberían recogerse aquellos datos personales estrictamente necesarios y ninguno más.

“La Comisión recuerda que el principio de minimización de datos exige que únicamente se traten los datos personales que sean adecuados, pertinentes y estrictamente necesarios en relación con los fines por los que se lleva a cabo el tratamiento”.

Tratamiento de los datos con fines precisos

Por último, el documento de la Comisión Europea también destaca la importancia de informar con claridad de la finalidad de la app para que de ese modo se pueda identificar si los datos que se solicitan sirven realmente para alcanzar el fin que se manifiesta.

“El fin debería ser explícito y específico, de modo que no quepa duda sobre la clase de datos personales que se han de tratar a fin de alcanzar el objetivo deseado.”