La limitación del Derecho a la Privacidad posible por el Derecho a la Salud Pública

Redacción.

7 de abril de 2020.

El tratamiento de datos personales debe estar concebido para servir a la humanidad. Siempre que hablamos de proteger datos hablamos de proteger personas, pero hay que tratarlos para el bien común, es decir, el interés público y esto nos ha puesto frente a nuestro modelo de sociedad, basada en los derechos, centrada en el individuo y escasamente seguidora de las obligaciones y el compromiso social o común” como es el caso de la pandemia Covid19 que nos asola. Así se expresaba Ricard Martínez, doctor en Derecho Constitucional, experto en derechos digitales y Protección de Datos, en relación a la cobertura legal con la que se cuenta a la hora de realizar controles de la población a través de la tecnología, con el fin de controlar la pandemia.

La Asociación de expertos en Auditoria, Ciberseguridad y Privacidad volvió a dar en la diana con un webinar sobre el análisis de la privacidad en los tiempos de crisis, como la del COVID19 que nos afecta estos días, en su segundo #JuevexISACA, sobre “Los límites de la privacidad en tiempos de crisis” (ver aquí el webinar), organizada con la colaboración de la APEP – Asociación Profesional Española de Privacidad, en la que se inscribieron casi 600 personas llegaron a conectarse hasta 425 participantes. 

Además de Ricard Martínez, los expertos Josep Bardallo, director de tecnologías de la información y CISO en el grupo Hospitalario Recoletas, Jorge Morell Ramos, abogado y experto en derecho de las nuevas Tecnologías y Rosa García Ontoso, primera directora de la extinta Agencia de Protección de Datos de la CAM y matemática, respondieron a las cuestiones que Ricardo Barrasa, presidente de ISACAMadrid, planteó inicialmente: “los datos, la inteligencia artificial y el Big Data ¿pueden ayudar a vencer el coronavirus, como se ha visto en otros países? ¿Dónde empiezan y acaban los derechos individuales ante la obligación de los organismos públicos de asegurar la salud?”.

Rosa García Ontoso, como especialista en Privacidad, incidió en la necesidad de “vigilar qué se hace con los datos” siempre, y más en momentos como los actuales, en los que nos podemos descargar herramientas fomentadas por las instituciones que ayuden a controlar la pandemia,  pero que como “son apps voluntarias y no van a estar al nivel que sería deseable” aunque sí que recomendó  que tanto asociaciones como expertos “debemos hacer llegar a los ciudadanos la confianza necesaria en las nuevas tecnologías ante las noticias de alarma que se han visto estos días sobre ellas. Debemos asesorar para que los datos siempre sean anónimos, y si son necesarios a nivel sanitario, se traten con las garantías que marca la ley, de forma leal, para la finalidad determinada, es decir la solución de esta alerta, de manera anonimizada y darlos de baja en cuanto no sean necesarios ”.

Jorge Morell Ramos, experto en derecho y tecnología, fue el encargado de relatar qué, quién  y dónde se está haciendo a nivel internacional para, con los datos, luchar contra la pandemia. Según este analista, hay 5 herramientas que se están utilizando tienen las siguientes características:

  • Test de autoevaluación donde se recogen los síntomas y la geolocalización de la persona, puntuales, a intervalos o más regulares.
  • Apps para detectar y avisar contactos que pudieran estar infectados con dos sistemas; uno mediante el seguimiento de las personas relacionadas con el localizado y otro mediante bluetooth u otro sistema de proximidad, que avisa a contactos próximos que alguien está infectado.
  • El tercer sistema, que se usará en España, consiste realizar estudios de movilidad con tres sistemas; una gran estudio anonimizado a gran escala (nuestro caso), estudios de movilidad pudiendo identificar a las personas y las apps más incisivas para vigilar que se cumple la cuarentena.
  • El cuarto tipo don las webs de todo tipo y chats conversacionales.
  • El quinto son sistemas de identificación (códigos QR, que mayormente se realizan en Asia) para identificar a los que están contagiados o en riesgo. “Open coronavirus” es una de ellas, se está realizando en España y está basada en la Coreana.

Sobre quién está creando estos sistemas, Morrell explicó que hay una la gran cantidad de empresas privadas implicadas y desveló algunos ejemplos, como la App oficial de la Organización Mundial de la Salud (OMS), de código abierto, muy básica, y desarrollada por Google y Microsoft. Como ella, en España tenemos a de la Comunidad de Madrid, País Vasco, Aragón, Galicia, Cataluña Y Andalucía, que son también autotest con geolocalización. Existe una app basada en la madrileña, con ingeniería inversa, ha salido otra parecida el viernes pasado realizada por la empresa Ingenia, la app que ayer comenzó a poner en marca el Gobierno de España (AsistenciaCOVID-19, en la que han participado las empresas Carto, ForceManager, Mendesaltaren, Telefónica, Ferrovial, Google y Santander según la Secretaría de Estado de Digitalización) y el proyecto TelecoSeina, que es un gran estudio de movilidad.

En nuestro país se podría llegar a una solo app, pero se tardará tiempo. “De nada sirve tener varias aplicaciones cuando la pandemia no entiende de comunidades autónomas”, dijo Morrell. Según explicó, en el resto de Europa, Austria tiene app de autotest, con estudio de movilidad y otra para trazar contactos. Alemania hace un estudio de movilidad con datos anonimizados y una app para monitorizar y obtener rutas de personas que quieren aportar su movilidad para avisar a posibles contactos. Islandia e Irlanda tienen apps para monitorizar contactos, Noruega geolocaliza movimientos y monitoriza contactos, y el caso de Suiza con un sistema cifrado que monitoriza contactos y permite al usuario identificarse como infectado, para comunicárselo al resto de individuos, y que es la que más se ha comprometido con la privacidad.

En el Reino Unido están trabajando con Oxford, Microsoft y Palantir, menos comprometidas con la privacidad, que están obteniendo datos de inversiones privadas para controlar cuarentenas, de telecos para monitorizar y hacer un gran mapa y otra para monitorizar interacciones.  Eslovaquia solo controla quién entra y sale en cuarentena, la República Checa también utiliza datos de telecos y bancos para saber cómo se está moviendo la gente porque  quiere crear su cuarentena inteligente. Polonia controla los movimientos en cuarentena, Bélgica tiene estudio de movilidad anonimizado, Holanda tiene una app de autotest en hospitales, Italia tiene un estudio similar al sistema español, Dinamarca cuenta con una propuesta de estilo de movilidad pero utilizando datos de compras y de transporte.

En EEUU están más “verdes” en el tema, pero Apple  está colaborando con los centros para el control y prevención de enfermedades, no quiere que la gente se identifique, y es un autotest con geolocalización. Harvard y el MIT están desarrollando con código abierto para estudiar contactos y a nivel gubernamental  se buscan empresas privadas para que compartan los datos que tengan y hacer seguimiento.

Morell explicó que Asia juega en otra liga en cuanto a control de las personas, con sistemas más agresivos en Singapur y sobre todo Corea del Sur en los que se comparte en un mapa público, se monitorizan tarjetas de crédito y se realizan entrevistas personalizadas y si una persona está infectada está en tu zona, recibes una notificación en el móvil. China utiliza todos  los sistemas ya explicados, incluido el de reconocimiento y código QR y de manera obligatoria, Israel tiene un estudio de movilidad donde identifica personas en particular y obliga a las personas a hacer cuarentena (400 personas el primer día). Rusia prepara un estudio de geolocalización e Irán igual pero con identificación de las personas.

Para garantizar los derechos, las agencias gubernamentales, se han  centrado en si se podía ceder datos de empleados, de los entornos de trabajo desde casa y en las bases legales de interés público y vital. Otro criterio la protección de datos no es absoluta pero que el tratamiento de los mismo deben ser proporcionales y ahora ya se están centrando en los panes de movilidad que deben ser lo más anonimizados posible y tener en cuenta todas las garantías posibles.

Como conclusión, este experto indica que a nivel mundial se están utilizando datos de empresas públicas y privadas a gran escala y que en general se está haciendo bien, por lo que está se puede confiar en ellos, pero hay que seguirles la pista.

Para el experto en tecnología y privacidad Josep Bardallo, aunque existen límites delicados en la privacidad, estos están cubiertos por la legislación europea y nacional en materia de protección de datos. El tratamiento de datos sensibles sin consentimiento, la geolocalización o “Contact Tracing” para con los movimientos de los usuarios controlar la pandemia, con la recomendación de que los datos se anonimicen, está también cubierto legislativamente.  “La propia AEPD lo ha dejado claro; esto se puede hacer porque hay un interés público, porque es una pandemia, pero tienen que estar orientadas a controlar la pandemia y no salirnos de ahí”. Aunque participen entidades privadas, si hay datos personales debe controlarse qué se hace con ellos a futuro porque solo pueden ser utilizados por las Administraciones Públicas (en España, Sanidad).

Bardallo ha investigado los ensayos clínicos que se están realizando para poder minimizar los impactos del coronavirus. “Se ve que hay en marcha 13 estudios y a nivel internacional más. Todo esto está muy regulado. Al final lo que se dice es que no hay que salirse de las Ley de Protección de Datos, pero si estamos hablando de investigación científica es otra base legal, la de interés legítimo y público, no es un consentimiento; quien recoge los datos del paciente debe seguircumplimiento las normativas en materia del tratamiento de los mismos.

Ricard Martínez, como experto constitucionalista, tranquilizó explicando que en el caso de las apps pensadas para controlar la pandemia, “el tratamiento de datos personales debe estar concebido para servir a la humanidad. Siempre que hablamos de proteger datos hablamos de proteger personas, pero hay que tratarlos para el bien común, es decir, el interés público y esto nos ha puesto frente a nuestro modelo de sociedad, basado en los derechos, centrado en el individuo y escasamente seguidor de las obligaciones y el compromiso social o común”.

Con esta visión Martínez explica que ahora que se pierde de vista el interés colectivo, es lógico que la reacción ante la posibilidad de perder derechos sea extrema porque “Yo soy una persona individualista que ha perdido de vista ciertos intereses comunes. En la cultura asiática no ocurre así, es una cultura de Deberes”.

Para este experto en legislación sí tiene sentido que los datos se utilicen para el bien común, con garantías, “porque no es viable una medicina sin Big Data, Wearables, glucómetros y todo tipo de dispositivos que se conectan (Medicina de las 4P; personalizada, predictiva, preventiva y participativa) a lo que el Dr. Julio Mayol añade “Poblacional”.  “El problema no está en las aplicaciones y en la tecnología, sino en el desarrollo y uso de estas” dice Martínez e insiste en que no debemos preocuparnos de lo que ocurre hoy, pero sí en lo que podemos aprender de ello para saber qué necesitaremos mañana desde el punto de vista tecnológico.

Desde un punto de vista constitucional, tenemos que asegurarnos de que tenemos la base jurídica y normativa, “Y ya desde el Art. 8.2 del Convenio Europeo de los Derechos Humanos se sitúa la salud pública como una de las causas de limitación del Derecho Fundamental a la vida Privada, bajo ciertas condiciones”. Martínez enumeró las distintas normativas europeas y nacionales que ya recogen la legitimidad de las medidas relativas a la privacidad y explicó que se deben implantar basándose en criterios de idoneidad, de intervención mínima y garantizar la libertad de las personas y que no sirvan las medidas para que puedan ser discriminadas.

Las autoridades han aclarado que se mantiene el orden jurídico, como el RGPD. “La orden del Ministerio de Sanidad no deroga Ley alguna. Los bienes en conflicto son el derecho a la privacidad, que es innegociable pero su limitación posible, y el derecho a la salud pública y el control de la misma. Y hay normas que recogen esta tensión entre Derechos fundamentales”.

Para este experto, muchas de las investigaciones sanitarias que se vayan a hacer serán con datos, lo que está previsto en nuestra legislación. “Si pretendemos que la tecnología tenga un artículo para cuestión o novedad que surja. La tecnología va a su ritmo y la tecnología a otro”. La AEPD ha dado un salto y ha sugerido que podría haber cabida legislativa incluso para  controles poblacionales bajo el Estado de alarma”.

Ricard Martínez se mostró “preocupado por la actitud de los expertos en privacidad; se han encendido muchos fuegos en un momento en el que lo que se necesitaba de nosotros como expertos era tomar pausa. En epidemiología la recogida de datos aún se hace por teléfono y eso tarda horas y a veces días. En una sociedad actual no podemos recoger datos a pedales. De nosotros se requiere un aproximación de360º; desde el conocimiento de la tecnología y del Derecho”.

Para este experto, jurídicamente “hay menos problemas de los que creemos. Estamos sometiendo a sospecha todo lo que es privado (refiriéndose a las empresas desarrolladoras de las apps) pero este país  no ha invertido en tener cloud públicos y desarrollos tecnológicos. No debemos retraer la innovación y la investigación y los titulares en la prensa sobre la peligrosidad de una app. La anonimización es fuertemente dependiente del uso que se hagan de los datos y las garantías de trazabilidad que aseguren que no va a haber riesgo de reidentificación de nadie”.

Por último, este jurista entiende que el control poblacional es constitucional. “No tenemos medicinas, ni vacunas y sabemos que se contagia; al final la única manera que tenemos de controlarlo es mediante el confinamiento. Lo nuestro parece bastante razonable. Si es cierto que el confinamiento está salvando vidas en España, es constitucional la medida”.

En cuanto a los datos recogidos en los test en los Hospitales, que recogen información de ADN que te identifica a ti y a tu familia presente y futura, Martínez aclaró que “las muestras biológicas están reguladas por ley Orgánica (Art 16 Ley 2002), al igual que ocurre con los datos que hay en una historia clínica.