Cómo conciliar el uso de la tecnología de rastreo con los requisitos de la GDPR durante la pandemia
La excepcional crisis sanitaria a la que nos enfrentamos, nos lleva a muchos de nosotros a comparar los métodos utilizados en diferentes regiones del mundo, en particular en Asia, para luchar contra la pandemia de COVID-19, al tiempo que lamentamos que algunos de ellos no se estén aplicando plenamente en nuestro propio país y, más en general, en la Unión Europea. Entre esas medidas, merece especial atención el uso de datos de localización móvil como forma de vigilar y contener la propagación de COVID-19.
El rastreo digital tiene dos propósitos: por un lado, geolocalizar a un individuo infectado, y por lo tanto, alertar a la gente alrededor de ese individuo, o incluso aislar a aquellos que han estado en contacto con él, y, por otro lado, asegurar que los individuos que han sido puestos bajo medidas de contención están cumpliendo con las instrucciones de las autoridades, frenando así la propagación del virus. Con este fin, las autoridades pueden confiar en los operadores de telecomunicaciones que aseguran la transmisión de los datos de localización móvil de las personas.
Hay varias razones, como el hecho de que la UE nunca ha experimentado una epidemia de esta magnitud en un período reciente, a diferencia de los países asiáticos, pero sobre todo su cultura de la privacidad y el marco normativo europeo, que a priori constituye un obstáculo.
En efecto, el tratamiento de los datos necesarios para el rastreo digital entra en el ámbito de aplicación del Reglamento (UE) 2016/679, de 27 de abril de 2016 (el GDPR).
Si bien el GDPR constituye un reglamento muy eficaz para la protección de los derechos y libertades fundamentales de las personas, en particular en lo que respecta a la transparencia, la necesidad de obtener el consentimiento previo de las personas para el tratamiento de sus datos personales, la seguridad de los datos y los derechos de los interesados, adolece de una falta de flexibilidad en su interpretación y aplicación, en particular cuando estamos atravesando una crisis excepcional que requiere respuestas inmediatas y adecuadas.
Ninguna de las autoridades nacionales de supervisión ni la Junta Europea de Protección de Datos (EDPB) han emitido opiniones claras que allanen el camino para el seguimiento digital individual en su versión más eficaz. Sin embargo, la EDPB, en un dictamen de fecha 19 de marzo de 2020, indicó que la GDPR no impedía que los Estados miembros adoptaran medidas para luchar contra la pandemia de COVID-19, invitándoles a recopilar datos de localización móvil de forma anónima y agregada. Posteriormente, la Comisión Europea invitó a los operadores de telecomunicaciones europeos a compartir sus datos de localización, de una manera agregada que sólo permita la vigilancia mundial de los movimientos de población.
Estas posiciones oficiales han evolucionado ligeramente en los últimos tiempos. Por ejemplo, el 8 de abril de 2020, la Presidenta de la Autoridad Supervisora Francesa (la CNIL), durante su entrevista ante la Comisión Jurídica de la Asamblea Nacional Francesa, declaró que si se aplicaba la vigilancia individualizada de las personas, tendría que ser de carácter voluntario, con el consentimiento libre e informado, y el sistema debería estar en funcionamiento durante un período limitado de tiempo. El Presidente explicó además que si este sistema de rastreo se aplicaba con carácter obligatorio, se requeriría una disposición legislativa cuya necesidad y proporcionalidad se tendría que demostrar.
El mismo día, la Comisión Europea publicó una recomendación para apoyar las estrategias de salida mediante datos y aplicaciones móviles. En esta recomendación se establece "un proceso hacia la adopción con los Estados miembros de un conjunto de instrumentos" a fin de elaborar, en particular, un enfoque común de la UE para la utilización de aplicaciones de rastreo para, en particular, el rastreo de contactos, y para predecir y modelar la propagación a fin de luchar contra la pandemia de COVID-19 mediante datos de localización móvil anónimos y agregados. El objetivo es poner en práctica este conjunto de instrumentos antes del 15 de abril de 2020.
En su recomendación, la Comisión Europea recuerda los principios de privacidad y seguridad para la utilización de estas aplicaciones y datos, por ejemplo, para la utilización de aplicaciones móviles, "salvaguardias que garanticen el respeto de los derechos fundamentales", "requisitos efectivos de seguridad cibernética para proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos".
En resumen, las autoridades parecen estar de acuerdo con el uso de la solución de rastreo de forma anónima y agregada o, si no, anónima de forma voluntaria con un consentimiento libre e informado. Sin embargo, desde un punto de vista estrictamente jurídico podemos preguntarnos si la GDPR permite o no el uso de soluciones de rastreo en estas circunstancias excepcionales sin depender del consentimiento del individuo.
No cabe duda de que la utilización de esas soluciones requeriría la reunión de categorías especiales de datos (por ejemplo, datos sanitarios como el hecho de que una persona haya sido infectada), así como datos de geolocalización (el movimiento de la persona infectada y de las personas en contacto con ella).
En lo que respecta a los datos sobre la salud, se puede argumentar que ciertas disposiciones de la GDPR podrían autorizar esa recopilación. El apartado g) del párrafo 2 del artículo 9 de la RBP permite el tratamiento de datos relativos a la salud cuando "sea necesario por razones de interés público importante, sobre la base del Derecho de la Unión o de los Estados miembros, que deberá ser proporcionado al objetivo perseguido, respetar la esencia del derecho a la protección de datos y prever medidas adecuadas y específicas para salvaguardar los derechos fundamentales y los intereses del interesado".
El artículo 9.2.i) permite además el tratamiento de datos relativos a la salud cuando "sea necesario por razones de interés público en el ámbito de la salud pública, como la protección contra amenazas transfronterizas graves para la salud o la garantía de un nivel elevado de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, en virtud del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional".
Se podría argumentar que la lucha contra la propagación de una epidemia está amparada por una de las excepciones mencionadas, aunque la ausencia de precedentes hace que el razonamiento sea más discutible.
En lo que respecta a los datos de localización móvil, tenemos que analizar las disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas 2002/58/CE, de 12 de julio de 2002 (la Directiva sobre la privacidad y las comunicaciones electrónicas). De hecho, el uso de los datos de localización está estrictamente regulado por el artículo 9 de la Directiva sobre la privacidad y las comunicaciones electrónicas, que dispone lo siguiente:
"1. Cuando puedan tratarse datos de localización distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, dichos datos sólo podrán tratarse cuando se hagan anónimos, o con el consentimiento de los usuarios o abonados en la medida y durante el tiempo necesarios para la prestación de un servicio de valor añadido. El proveedor del servicio deberá informar a los usuarios o abonados, antes de obtener su consentimiento, del tipo de datos de localización distintos de los datos de tráfico que se tratarán, de los fines y la duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio de valor añadido. Se dará a los usuarios o abonados la posibilidad de retirar su consentimiento para el tratamiento de datos de localización distintos de los datos de tráfico en cualquier momento.
2. Cuando se haya obtenido el consentimiento de los usuarios o abonados para el tratamiento de datos de localización distintos de los datos de tráfico, el usuario o abonado deberá seguir teniendo la posibilidad, por un medio sencillo y gratuito, de rechazar temporalmente el tratamiento de dichos datos para cada conexión a la red o para cada transmisión de una comunicación.
3. El tratamiento de los datos de localización distintos de los datos de tráfico de conformidad con los apartados 1 y 2 debe limitarse a las personas que actúen bajo la autoridad del proveedor de la red pública de comunicaciones o del servicio de comunicaciones disponible al público o del tercero que preste el servicio de valor añadido, y debe limitarse a lo que sea necesario a los efectos de la prestación del servicio de valor añadido".
En otras palabras, el artículo 9 no contempla la utilización de los datos de localización para fines distintos de los descritos en el artículo 9, a menos que la persona dé su consentimiento.
No obstante, de conformidad con el artículo 15 de la Directiva sobre la privacidad y las comunicaciones electrónicas, los Estados miembros pueden adoptar medidas legislativas para restringir el alcance de los derechos y obligaciones previstos, en particular, en el artículo 9 de la Directiva sobre la privacidad y las comunicaciones electrónicas "cuando dicha restricción constituya una medida necesaria, apropiada y proporcionada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública y la prevención, investigación, detección y enjuiciamiento de delitos o de la utilización no autorizada del sistema de comunicaciones electrónicas".
Como confirmó el GDPR en su declaración de fecha 9 de marzo de 2020, nada impide que los Estados miembros de la UE adopten medidas legislativas para autorizar el tratamiento de los datos de localización en el contexto de la lucha contra la difusión de COVID-19.
En conclusión, la aplicación de soluciones de rastreo parece posible en la UE si esta medida se combina con cierto número de precauciones, entre ellas el acceso limitado a esos datos sólo a las autoridades sanitarias, una limitación temporal de la aplicación de esta medida y, sobre todo, garantías de seguridad de los datos que los protejan contra el acceso no autorizado o la pérdida. Si se propusiera una medida de ese tipo con toda la transparencia necesaria en esta esfera, es muy probable que una gran mayoría de los ciudadanos de la UE estuviera a favor de su aplicación inmediata.
Corresponde ahora a la UE, a los Estados miembros y a las autoridades de supervisión decidir si el despliegue de esas soluciones es posible o no a muy corto plazo y en qué condiciones, sin renunciar a sus valores y principios fundamentales.
Enlaces relacionados
Menú principal