Como parte de la lucha contra el COVID-19, el gobierno ha creado los files SI-DEP y Contact Covid y ha implementado la aplicación móvil StopCovid. Como previsto desde la ley del 11 de mayo 2020 que prorroga el estado de emergencia sanitaria, la CNIL, que se ha pronunciado sobre los textos que disciplinan estas curas, hace público su nueva opinión sobre la condiciones para la actuación de estos sistemas.

El esencial.

• La CNIL señala que los sistemas puestos en marca en el contexto de la crisis sanitaria (file SI-DEP y Contact Covid, aplicación StopCovid), son, por la mayor parte, respetuosos de los datos personales y que la mayor parte de las recomendaciones formuladas desde la CNIL en sus opiniones han sido tomadas en consideración.
• Todavía, ha señalado algunas malas prácticas y ha contactado las organizaciones en cuestión de manera que se podían conformar lo antes posible.
• La CNIL pide que sean actuados los indicadores para evaluar más precisamente el contributo de estos sistemas a la gestión de la crisis sanitaria. Una segunda fase de controles empezará dentro de la fin de septiembre 2020. Los resultados serán comunicados en la próxima opinión pública de la CNIL sobre las operaciones de tratamiento interesadas.

El contexto.
En el ámbito de la estrategia general de “cerramiento progresivo” implementada desde el 11 de mayo 2020, tres operaciones de procesacion de datos han sido implementadas para luchar contra la epidemia de COVID-19: files SI-DEP y el Contact Covid, a los cuales se anadie el deployment de la aplicación móvil StopCovid.

La legislatura quería supervisar la implementación de este tratamiento, que incluye una gran cantidad de datos personales, incluidos los datos de salud. A continuación, creó un comité de seguimiento y enlace COVID-19 y previó que el gobierno enviara un informe detallado al Parlamento sobre la aplicación de estas medidas cada tres meses desde la promulgación de la ley, hasta la desaparición. sistemas de información. También deseaba complementar estos informes con un aviso público de la CNIL (artículo 11 de la ley de 11 de mayo de 2020 por la que se prorroga el estado de la emergencia sanitaria).

La opinión de la CNIL
Mantener disposiciones sobre los principios de proporcionalidad y necesidad
La CNIL recuerda que el carácter despectivo de los diversos tratamientos aplicados sólo puede justificarse si su utilidad está suficientemente probada en vista del desarrollo de la salud del país.

La lucha contra la epidemia COVID-19, que forma parte del objetivo constitucional de la protección de la salud, es un imperativo importante que puede justificar, en determinadas condiciones, violaciones del derecho a la privacy y a los datos personales. Sin embargo, las violaciones de estos derechos por parte de las autoridades públicas deben ser necesarias y proporcionadas para lograr este objetivo.

A continuación, la CNIL hace las siguientes observaciones:

• toma nota de la temporalidad de estos mecanismos, cuyo período de aplicación se establece en seis meses a partir del final del estado de emergencia sanitaria por los decretos que rigen su establecimiento. Por lo tanto, cualquier ampliación de dichos sistemas de información más allá del 11 de enero de 2021 sólo puede ser autorizada por la ley;
• lamenta que el informe enviado por el Gobierno al Parlamento no mencione elementos más precisos que justifiquen la necesidad de mantener esos tratamientos en vista del entorno sanitario actual;
• apoya la solicitud del Comité de Control y Enlace COVID-19 de que se implementen indicadores de rendimiento de los sistemas de información a fin de poder medir su eficacia con respecto a sus objetivos.

Sobre las condiciones de trabajo para la aplicación de tratamientos
Acerca del archivo SI-DEP
Recordatorio: El archivo SIDEP es un sistema nacional de información implementado por el Ministerio de Solidaridad y Salud que permite la centralización de los resultados de las pruebas SARS-CoV-2 realizadas por laboratorios públicos o privados.

CNIL ha verificado con el AP-HP (Assistance Publique – Hapitaux de Paris) que gestiona la implementación operativa de los laboratorios de biología médica y tratamiento SI-DEP. Aunque las investigaciones aún están en curso, señala en esta etapa un nivel general satisfactorio de cumplimiento.

Con respecto a la seguridad de los datos, el nivel alcanzado con el sistema SI-DEP es generalmente satisfactorio. Sin embargo, hay algunas mejoras para administrar las cuentas de administración y el acceso de seguimiento.

La CNIL se ha puesto en contacto con el Ministerio de Solidaridad y Salud para llamar su atención sobre las prácticas a mejorar y las medidas que deben adoptarse en consecuencia.

En cuanto al archivo Contact Covid
Recordatorio: El tratamiento ContactCovid implementado por el Fondo Nacional de Seguros de Salud (CNAM) recopila información sobre casos de contacto y cadenas de contaminación. Las encuestas de salud se llevan a cabo en tres niveles diferentes (médicos comunitarios/institutos de salud/centros de salud (nivel 1), personal sanitario autorizado (nivel 2), organismos regionales de salud (SARS) (nivel 3).

La CNIL observa diferencias en los niveles de madurez en términos de protección de datos personales en función de los organismos inspeccionados.

Observa que, en general, estos organismos han tomado medidas para tener en cuenta los requisitos para la protección de los datos personales y la recopilación de datos sanitarios, que son datos sensibles de naturaleza y, por lo tanto, requieren protección adicional.

Sin embargo, durante las inspecciones, observó la existencia de algunas prácticas insatisfactorias, en particular con respecto a:

• proporcionar información a los afectados, a veces incompletos;
• el ejercicio de los derechos individuales, que no es objeto de un procedimiento formalizado en algunos ARS;
• seguridad de las transmisiones de datos entre determinadas organizaciones;
• en algunos casos, hay una falta de mecanismos para garantizar la retención de datos que se limita al período proporcionado por los textos.

La CNIL se ha puesto en contacto con CNAM y el Ministerio de Solidaridad y Salud para que puedan cumplir lo antes posible. Si este no es el caso al final de estos intercambios, corresponderá al Presidente de CNIL determinar si es necesaria una medida correctiva.

En cuanto a la aplicación móvil STOPCOVID
Recordatorio: StopCovid es una aplicación de monitoreo de contactos móviles, basada en el voluntariado de personas y el uso de la tecnología Bluetooth. Puesto a disposición por el gobierno como parte de su estrategia general de «cerramiento progresivo», permite a los usuarios ser alertados de un riesgo de contaminación cuando han estado cerca de otro usuario que ha sido diagnosticado o calificado positivo a COVID-19.

Aunque los controles realizados mostraron que el funcionamiento de la aplicación móvil StopCovid France está sustancialmente en consonancia con las disposiciones de protección de datos aplicables, también se han infringido numerosas infracciones del RGPD y de la Ley de Protección de Datos. Por lo tanto, el 15 de julio de 2020 se emitió una desconfianza, hecha pública, contra el Ministerio de Solidaridad y Salud.

Sin embargo, las pruebas de respuesta aportadas por el ministerio en agosto mostraron que las deficiencias detectadas durante la inspección habían cesado; el Presidente de la CNIL decidió cerrar esta guerra el 3 de septiembre de 2020.

Un procedimiento de monitoreo continuo
Las comprobaciones de CNIL continuarán durante todo el período de uso de archivos, hasta que terminen su implementación y borren los datos que contienen.

Una segunda fase de controles comenzará a finales de septiembre de 2020. Sus resultados se comunicarán en el próximo aviso público de CNIL sobre las operaciones de tratamiento involucradas.

Por último, se llevará a cabo una tercera oleada de controles al final de las operaciones de tratamiento, en particular con el fin de verificar la eliminación real de los datos.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL