Este artículo fue publicado por Aranzadi Jurídico.
Las aplicaciones móviles pueden ser instrumentos de gran utilidad para contener la pandemia provocada por la Covid-19. No obstante, su uso plantea una serie de interrogantes a nivel jurídico, que consideramos conveniente dar respuesta, tomando en consideración los recientes pronunciamientos de las autoridades europeas. A continuación, enumerarnos las cuestiones que pretendemos abordar en este artículo:
-
aplicabilidad de los derechos fundamentales.
-
establecimiento de garantías relativas a la privacidad.
-
posible consideración de producto sanitario.
En primer lugar, las funcionalidades incluidas en las aplicaciones pueden suponer una injerencia en la intimidad de las personas, así como, un impacto en su privacidad, afectando a derechos recogidos en la Carta de los Derechos Fundamentales de la Unión Europea. De conformidad con esta última, las limitaciones al ejercicio de los derechos y libertades fundamentales deberán ser establecidas por ley y en todo caso, respetar el principio de proporcionalidad y necesidad. En el caso particular de España, la actual situación de estado de alarma no habilita a las autoridades a la suspensión de los derechos fundamentales, -ni siquiera una eventual declaración de estado de excepción- relativos a la dignidad humana, el honor, la intimidad personal y familiar y a la propia imagen -art. 18.1 Constitución Española-, ni tampoco, a la protección de datos –art.18.4 Constitución Española-. En este mismo sentido, se ha pronunciado recientemente la Agencia Española de Protección de Datos (AEPD): “con carácter general, debe aclararse que la normativa de protección de datos personales, en tanto que, dirigida a salvaguardar un derecho fundamental, se aplica en su integridad la situación actual, dado que no existe razón alguna que determine la suspensión de derechos. fundamentales, ni dicha medida ha sido adoptada”-Informe 2020/0017-.
Sentado lo anterior, y partiendo de la plena aplicabilidad del Reglamento General de Protección de Datos 2016/679 (RGPD), así como de la de Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), procederemos a analizar las garantías que deberán adoptarse para proteger la privacidad de las personas. En este sentido, traemos a colación una serie de orientaciones y recomendaciones recientes, emitidas por la Comisión Europea -cuyo objetivo es ofrecer un enfoque coherente-, sobre los requerimientos que deben cumplir las aplicaciones móviles en lo referente a la protección de datos. Sus orientaciones están dirigidas a los Estados Miembros que tengan a bien utilizar aplicaciones con funcionalidades relativas a la telemedicina, autoevaluación, así como, el rastreo de contactos y de alerta. A continuación, presentamos sus principales recomendaciones:
- Garantizar que las autoridades sanitarias nacionales sean las responsables de determinar los fines y medios del tratamiento de datos, sin perder de vista el papel esencial de las empresas privadas (proveedores de telecomunicaciones y las principales plataformas tecnológicas) en la facilitación de datos de localización de forma anonimizada.
- Garantizar al usuario el control sobre sus datos. La Comisión defiende el carácter voluntario de las aplicaciones, así como, su inmediata desinstalación una vez contralada la pandemia.
- Describir la base de legitimación adecuada para tratar los datos. La Comisión propone el consentimiento o la legislación nacional promulgada específicamente para luchar contra el Covid-19, como bases legales apropiadas.
- Prestar especial atención a los principios del RGPD relativos a: minimización de datos, limitación de la finalidad y exactitud, aconsejando el uso de tecnologías que permitan una evaluación más precisa del contacto-por ejemplo, Bluetooth-.
- Limitar el acceso a los datos y a su divulgación.
- Establecer límites estrictos al almacenamiento de datos.
- Garantizar la seguridad de los datos. La Comisión recomienda que éstos se almacenen en el dispositivo terminal del usuario de forma cifrada. En cuanto a la recogida de datos de proximidad, se recomienda su seudonimización, así como, el uso de identificadores temporales.
- Involucrar a las autoridades de protección de datos.
- Realizar una evaluación de impacto sobre el tratamiento de datos, habida cuenta de la existencia de tratamientos a gran escala de categorías especiales de datos.
En tercer y último lugar, es posible que estas aplicaciones utilicen algún tipo de dispositivo tecnológico que pudiera llegar a ser calificado de producto sanitario, de conformidad con la Directiva 93/42/CEE o el Reglamento (UE) 2017/745. En estos casos, cuando las aplicaciones estén destinadas, específicamente por el fabricante, a una o varias de las finalidades médicas -relativas al diagnóstico, predicción, pronostico, prevención, seguimiento, tratamiento o alivio de una enfermedad-, aquellas tendrán la calificación de productos sanitarios. No obstante, lo anterior, las aplicaciones para usos generales que son utilizadas en el marco de la asistencia sanitaria no tendrían esa calificación. Por consiguiente, resultará esencial identificar la finalidad del software, así como, el modo de acción de este para determinar la aplicabilidad del marco regulatorio de los productos sanitarios.
Para concluir, consideramos que el diseño y uso de estas aplicaciones debe ofrecer garantías legales suficientes, no solo a los efectos de cumplir con la normativa precitada, sino también, de transmitir un grado de confianza a la ciudadanía suficientemente elevado, para que ésta tenga la certeza de que la instalación y uso de las aplicaciones no suponga una vulneración de sus derechos. El éxito de las medidas pretendidas dependerá, en gran parte, de la utilización masiva de las aplicaciones.
