El Comisionado de informaciones ha sido informado mediante los medios de un proyecto de ley para establecer y garantizar el funcionamiento de una aplicación móvil para informar las personas sobre los contactos con personas infectadas por el virus SARS-CoV-2 con el fin de prevenir la difusión de la enfermedad infectiva COVID-19.
Se supone que el proyecto de ley establece que la instalación y el uso de una aplicación móvil sean voluntarios y gratuitos, excepto en los casos en los cual el interesado el positivo al virus – en estos casos es obligatorio instalar la aplicación móvil e insertar un código casual. De acuerdo con el comunicado de prensa del Gobierno de la República de Eslovenia, la aplicación es proyectada para registrar anónimamente los datos sobre los contactos entre los usuarios de esta aplicación móvil, esto significa que no estamos hablando de un tratamiento de datos personales, sino también da datos anónimos.
Hasta el envío de este pliego, el Comisionado de informaciones no fue informado del proyecto de ley desde el solicitante, ni tampoco el tiesto es presente al público, no obstante es una cuestión muy delicada en la sociedad democrática, en particular sobre la transparencias de las propuestas legislativas, que permite al público interesado de comentar las propuestas mismas e iniciar un debate sobre el mismo tema.
Según los medios, el Comisionado de Informaciones no puede ofrecer una opinión completa sobre la propuesta de ley o la misma solicitud, porque nos no conozcamos los detalles técnicos y la base jurídica propuesta. Por esto, en este punto particular, subrayando algunos punto claves sobre las aplicaciones de rastreo de contactos por nuestras opiniones (están disponibles en este link), por un dictamen del Comité de Protección de Datos Personales (EDPB en inglés) y por las opiniones de la Comisión Europea en su marco para los instrumentos de desarrollo de las aplicaciones.
El Comisionado de Informaciones entiende las expectativas sobre las aplicaciones en materia de protección de la salud y su funcionamiento que tienen que ser debidamente comprendido, porque es un punto fundamental de confianza en ellas. Las aplicaciones de rastreo de contactos comportan el tratamiento de datos personales de los ciudadanos y la cantidad y la naturaleza de los datos personales procesados depende de la implementación técnica.
Incluso si la aplicación procesa solamente las informaciones de contacto, la proximidad a las personas y estas informaciones no son difundidas a los usuarios de manera que alguien sepa exactamente quien fue el contacto peligroso, esto no significa que sean datos anónimos.
Los datos sobre el nombre y el apellido de una persona – usuario – sustituyen solamente a otro identificador (por ejemplo, un número), con el cual no se poder identificar fácilmente, pero los datos de contacto de cada uno de nosotros son datos personales y proyectos desde la ley y desde la Constitución de la Republica Eslovena. Además, tomando en consideración las quejas según las cuales el uso de la aplicación seria obligatorio por las personas que se ponen enfermos efectivamente, en un contexto muy lejos está una recogida de datos personales de los que se confirman como infectados (y estos son datos personales sensibles).
Los datos de contacto podrían ser obtenidos desde las autoridades autorizadas de la ley de tratamiento de datos. Cualquier queja según el cual el uso de la aplicación significaría uso de datos anónimos o no interferiría con los datos personales de los interesados, es engañosa.
Como resultado de las fuentes anteriormente mencionadas, los datos personales tienen que ser protegido en cumplimento del GDPR, ZVOP- 1 y de la Constitución de la Republica Eslovena.
Solamente la adquisición voluntaria de una aplicación puede ser aceptada en cumplimento con la adquisición. Todavía, las nuevas bases legales que exigirían el uso obligatorio de la aplicación (por ejemplo los infectados confirmados) tendrían que respetar los estandartes bases de protección de los derechos de los individuales: tienen que ser legales y constitucionales, limitados en el tiempo, necesarios y proporcionados al objetivo perseguido, esto significa limitar el contagio y esto no puede ser logrado con medios menos intensivos.
En particular, la proporcionalidad y la necesidad son extremadamente difíciles de justificar en el caso de una aplicación obligatoria, como hemos deja subrayado según la opinión del Ministerio competente, porque muchas personas que resultan infectadas no estarían en condiciones de descargar la aplicacion porque no tienen un smartphone reciente. Solamente sobre estos dispositivos esta aplicaciones funcionan, como es demostrado desde la experiencia, esto significa que una gran parte, también la población más vulnerable, sería excluida (los ancianos, todos los que no tienen un smartphone de última generación, los niños y los socialmente débiles).
Dado que la aplicación sólo puede ser eficaz si es descargada por más de la mitad de la población, el mero hecho de que una gran parte de la población ni siquiera tenga teléfonos adecuados para esto requiere la evaluación de la necesidad y la proporcionalidad en gran cuestión.
Las preguntas de seguimiento plantean muchas preguntas sobre la privacidad de las personas y la protección de sus datos personales, y éstas deben abordarse adecuadamente en la toma de decisiones democráticas transparentes antes de que se pueda iniciar la aplicación. Además de considerar en qué medida puede ser eficaz para limitar la propagación del virus y el tratamiento de dichos datos por parte de los particulares es proporcionado a las opiniones de los supervisores y de la Comisión Europea, se considera que los reguladores y las aplicaciones tienen en cuenta los siguientes puntos de partida:
- las aplicaciones no pueden reemplazar, pero sólo pueden apoyar el seguimiento manual de contactos por parte de personal de salud pública cualificado, lo que puede determinar si es probable que los contactos cercanos conduzcan a la transmisión de virus (por ejemplo, la interacción con una persona protegida por equipos adecuados (Cajeros, etc.) o desprotegidos). En particular, la tarea de asesorar sobre los próximos pasos no debe basarse únicamente en el procesamiento automatizado.
- El seguimiento de las ubicaciones de las personas no es proporcionado, se prefiere el seguimiento de contactos;
- mientras que las aplicaciones de seguimiento de contactos pueden funcionar sin la identificación directa de las personas, deben introducirse medidas adecuadas para evitar la reidentificación;
- La información recopilada debe almacenarse en el equipo terminal del usuario y sólo se debe recopilar información relevante cuando sea realmente absolutamente necesario.
- La base jurídica o medida legislativa que constituye la base jurídica para el uso de las solicitudes de seguimiento de contactos debe incluir garantías razonables, incluida una referencia al carácter voluntario de la solicitud.
- Debe incluirse una definición clara de la finalidad y debe identificarse claramente la restricción explícita al uso continuado de los datos personales y a los responsables del tratamiento en cuestión. También deben identificarse los tipos de datos y sujetos a los que se pueden divulgar datos personales (y para qué fines).
- Dependiendo del nivel de intervención, deben incluirse salvaguardias adicionales, teniendo en cuenta la naturaleza, el alcance y la finalidad del tratamiento.
- Antes de la introducción de una herramienta de este tipo, debe realizarse una evaluación del impacto en la protección de datos, ya que el tratamiento se considera un riesgo probablemente alto (datos sanitarios, adopción planificada a gran escala, seguimiento sistemático, uso de una nueva solución tecnológica). El Comité Europeo de Protección de Datos recomienda encarecidamente publicar evaluaciones de impacto en la protección de datos.