El Comité Europeo de Protección de Datos adopta dos guías relacionadas con el uso de datos en relación con el COVID-19

27-04-2020 — AR/2020/084

El comité ha publicado la Guía 03/2020 sobre el tratamiento de datos de salud relacionados con fines de investigación científica, y la Guía 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos. En la primera, prevé que los datos de salud se exceptúen de la prohibición del tratamiento de ciertas categorías especiales de datos personales, cuando sean necesarios para la investigación científica. En la segunda, aclara cómo hacer un uso proporcional de los datos de ubicación y las herramientas de seguimiento de contactos, y ofrece orientaciones para los diseñadores e implementadores de estas apps.

El CEPD (Comité Europeo de Protección de Datos), en su 23.ª sesión plenaria, ha adoptado:

  • la Guía 03/2020 sobre el tratamiento de datos de salud relacionados con fines de investigación científica, y
  • la Guía 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos.

Respecto a la primera, describe que el reglamento general de protección de datos (RGPD) prevé una excepción específica a la prohibición del tratamiento de ciertas categorías especiales de datos personales, como los de salud, cuando sean necesarios para fines de investigación científica.

En la segunda, señala que las guías de localización tienen como objetivo aclarar las condiciones y principios para el uso proporcional de los datos de ubicación y las herramientas de seguimiento de contactos, así como ofrecer una guía de orientación para los diseñadores e implementadores de este tipo de apps.

Guía 03/2020 sobre el tratamiento de datos de salud con fines de investigación científica en la pandemia del COVID-19

Debido a la crisis provocada por la pandemia del COVID-19, se están realizando enormes esfuerzos en la investigación científica para conseguir resultados lo más rápido posible.

En este contexto, el CEPD recuerda las normas de protección de datos en la utilización de los datos de salud:

Consentimiento

Debe ser dado libremente, ser específico, informado e inequívoco, y sin que haya un claro desequilibrio entre responsable e interesado.

Sin embargo, el comité destaca que, cuando los investigadores utilicen el consentimiento como base legal para sus tratamientos, deben ser conscientes de que puede ser retirado en cualquier momento  y que son responsables de suprimirlo de la investigación.

Legislación nacional

La UE y las legislaciones nacionales de cada Estado miembro pueden promulgar leyes específicas, de conformidad con el artículo 9 del RGPD, para proporcionar una base legal sobre los datos sanitarios con fines de investigación científica.

Se deberán contemplar medidas adecuadas y específicas para salvaguardar derechos y libertades del interesado y, en particular, el secreto profesional. Estas medidas podrán variar según los Estados miembros.

Tener en cuenta los riesgos del tratamiento en este contexto

El CEPD subraya la importancia de que los datos se traten de manera que se refuerce la seguridad de los datos personales, evitando el tratamiento no autorizado y aplicando medidas técnicas y organizativas apropiadas:

  1. aplicar las correspondientes medidas de minimización y,
  2. en su caso, someter dicho tratamiento a la correspondiente evaluación de impacto sobre los datos personales (DPIA, data protection impact assessment) (artículo 35 del RGPD).

Almacenamiento

Se fijarán los plazos de conservación de los datos, que deberán ser contrastados con las disposiciones nacionales en esta materia.

Ejercicio de derechos

El ejercicio de sus derechos por los interesados no está suspendido por el contexto de la pandemia, pero es posible que las legislaciones nacionales limiten el ejercicio de algunos de ellos.

Transferencias internacionales

En los casos de ausencia de decisión de adecuación o de salvaguardas apropiadas, podrán aplicarse las excepciones contenidas en el artículo 49, pero de manera restrictiva y caso por caso.

Guía 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos

Los gobiernos y agentes privados están recurriendo al uso de soluciones basadas en datos como parte de su estrategia de respuesta a la pandemia, lo que suscita numerosas preocupaciones sobre la privacidad.

El comité señala que, cuando el tratamiento de datos personales sea necesario para gestionar la pandemia, la protección de estos datos es indispensable para crear la confianza y las condiciones de aceptación social de la herramienta con dos propósitos específicos:

  1. Utilizar los datos de localización para apoyar la respuesta a la pandemia evaluando la eficacia de las medidas de confinamiento.
  2. Rastrear los contactos para notificar a las personas que han estado en estrecha proximidad de alguien que es positivo en COVID-19 y romper así las cadenas de contaminación.

Datos de localización

El comité hace hincapié en que este tipo de tratamientos debe realizarse preferentemente con datos anónimos y con transparencia en cuando a la metodología de anonimización empleada.

Las principales fuentes disponibles para elaborar los modelos de propagación del virus son los datos de:

  • localización, recogidos de los proveedores de comunicaciones electrónicas, y
  • tráfico, recogidos por las aplicaciones de proveedores de servicios de la sociedad de la información, que solo pueden transmitirse a las autoridades y terceros de manera anónima.

El uso de los datos de geolocalización del equipo terminal y su reutilización para fines estadísticos requieren contar con el consentimiento del usuario.

Aplicaciones y herramientas de rastreo de contactos

EL CEPD detalla que la vigilancia sistemática y a gran escala de la ubicación y los contactos entre personas es una grave intrusión en su intimidad y solo puede ser legitimada por cada uno de los usuarios, sin que la decisión voluntaria de no utilizar este tipo de aplicaciones pudiera acarrearles desventaja.

En este sentido, detalla, entre otros, los siguientes criterios:

  1. Los fines de estos tratamientos deben ser muy específicos, sin que puedan derivarse fines ulteriores no relacionados con la gestión de la pandemia.
  2. El principio de minimización y de protección de datos por diseño o defecto debe considerarse cuidadosamente.
  3. La legalidad del tratamiento se basa en que las aplicaciones de rastreo, que implican el acceso a la información ya almacenada en el terminal y estrictamente necesarias para prestar el servicio, requieren recabar el consentimiento de los interesados en todos los tratamientos que no sean necesarios para los fines. Cuando las autoridades públicas presten este servicio por mandato legal, la base para esos tratamientos será la necesidad de realizar una tarea de interés público.
  4. Los datos almacenados deben conservarse solo durante el periodo de la crisis del COVID-19. Después, esos datos deben ser borrados o anonimizados.
  5. Los algoritmos implementados por las aplicaciones de rastreo deben funcionar bajo la estricta supervisión de personal cualificado, sin que pueda basarse únicamente en tratamientos automatizados.
  6. La evaluación de impacto de protección de datos debe realizarse antes de aplicar la herramienta, pues el tratamiento de estos datos se considera de riesgo alto.
  7. Los datos difundidos solo deben contener identificadores únicos o seudónimos.
  8. La notificación de los usuarios como infectados en la aplicación ha de estar sujeta a la debida autorización mediante un código de uso único vinculado a una identidad seudónima y vinculado a un centro de prueba o profesional de la salud.