Guía para garantizar estándares de protección de datos de app contra el COVID-19

Las normas de la UE, en particular el Reglamento general de protección de datos (GDPR) y la Directiva de privacidad electrónica, “brindan las garantías más sólidas de confiabilidad (es decir, enfoque voluntario, minimización de datos, limitación de tiempo) para que dichas aplicaciones funcionen de manera amplia y precisa”.

Esta guía tiene como objetivo ofrecer el marco necesario para garantizar que los ciudadanos tengan una protección suficiente de sus datos personales y una limitación de intrusiones al usar dichas aplicaciones. Se consultó al Consejo Europeo de Protección de Datos sobre el proyecto de orientación. Al comprometerse con esos estándares, se puede garantizar la plena efectividad y cumplimiento de tales herramientas, incluso en tiempos de crisis.

Esta guía sigue la publicación reciente de la Recomendación de la Comisión sobre un enfoque común de la UE para el uso de aplicaciones móviles y datos móviles, y acompaña a una caja de herramientas de la UE sobre aplicaciones de rastreo de contactos, que también se publicaba esta semana.

¿Qué tipo de aplicaciones y funcionalidades?

La guía se centra en aplicaciones voluntarias con una o más de las siguientes funcionalidades:

  • información precisa para los usuarios sobre la pandemia de coronavirus;
  • cuestionarios para autoevaluación y orientación para individuos (funcionalidad de verificación de síntomas);
  • alertas para personas que han estado cerca de una persona infectada para hacerse la prueba o para autoaislarse (localización de contactos y funcionalidad de advertencia); y
  • un foro de comunicación entre pacientes en autoaislamiento y médicos que incluye un diagnóstico adicional y consejos de tratamiento (telemedicina).

Principales requisitos previos para el desarrollo de aplicaciones de coronavirus

  • El papel de las autoridades sanitarias nacionales:  debe establecerse claramente desde el principio, quien es responsable del cumplimiento de las normas de protección de datos personales de la UE. Dada la alta sensibilidad de los datos y el objetivo final de las aplicaciones, la Comisión ve esto como una responsabilidad de las autoridades sanitarias nacionales, que a su vez serían responsables de garantizar el cumplimiento del RGPD en el uso de los datos recopilados, incluido el suministro a las personas de todo lo necesario información relacionada con el procesamiento de sus datos personales.
  • Los usuarios mantienen el control total de sus datos personales: la instalación de una aplicación en el dispositivo de un usuario debe ser voluntaria; un usuario debe poder dar su consentimiento a cada funcionalidad de una aplicación por separado. Si se utilizan datos de proximidad, deben almacenarse en el dispositivo de un individuo y solo compartirse con el consentimiento del usuario; Los usuarios deben poder ejercer sus derechos bajo el GDPR.
  • Uso limitado de datos personales: una aplicación debe cumplir con el principio de minimización de datos, que requiere que solo se puedan procesar los datos personales que sean relevantes y limitados para el propósito en cuestión. La Comisión considera que los datos de ubicación no son necesarios para el seguimiento de contactos y aconseja no utilizar los datos de ubicación en este contexto.
  • Límites estrictos sobre el almacenamiento de datos: los  datos personales no deben conservarse durante más tiempo del necesario. Los plazos deben basarse en la relevancia médica, así como en la duración realista de los pasos administrativos necesarios que se deben tomar.
  • Seguridad de los datos: los datos deben almacenarse en el dispositivo de un individuo y encriptarse.
  • Garantizar la precisión de los datos procesados: es un requisito según las normas de protección de datos personales de la UE que cualquier dato personal procesado por un tercero debe ser exacto. Para garantizar la máxima precisión, que también es esencial para la eficiencia de las aplicaciones de rastreo de contactos, se debe utilizar tecnología como Bluetooth para proporcionar una evaluación más precisa del contacto de las personas entre sí.
  • Participación de las autoridades nacionales de protección de datos: las autoridades de protección de datos deben participar y ser consultadas plenamente en el desarrollo de una aplicación y se les debe asignar la tarea de revisar el despliegue de una aplicación.
Luis Miguel Belda
Director de Comunicación en la Universidad a Distancia de Madrid (UDIMA) y Redactor jefe en TodoStartups