El uso de datos telefónicos en tiempos de Covid-19

0
El uso de datos de teléfonos móviles para entender y contener la propagación del COVID-19 debe garantizar el respeto a la normativa vigente sobre protección de datos y privacidad.

El presidente de la comisión de Libertades Civiles del PE, Juan Fernando López Aguilar (S&D, España), subrayó: “Incluso en estos momentos excepcionales, debe garantizarse la aplicación y el respeto de los principios sobre protección de datos de la UE, en concreto el Reglamento sobre protección de datos (GDPR, en inglés) y la directiva sobre privacidad en internet”.

López Aguilar dijo que “la comisión de Libertades sigue estos avances de cerca, debido a los graves riesgos que este tipo de herramientas conllevan para los derechos fundamentales individuales a la vida privada y la protección de datos”.

Varios Estados miembros y también la Comisión Europea han puesto en marcha o están desarrollando diferentes mecanismos para comprender el mecanismo de contagio del COVID-19 a partir de los datos de los teléfonos móviles facilitados por los operadores a las autoridades nacionales. Antes de su transmisión a las autoridades, los datos son anonimizados.

“Tanto el Supervisor europeo para la protección de datos como el Comité europeo de protección de datos han reiterado que, mientras la información compartida con las autoridades esté anonimizada y no permita la identificación de un usuario individual, puede utilizarse. No obstante, son necesarias estrictas salvaguardas respecto al uso, acceso y almacenamiento de la información, así como sobre los periodos de retención”, agregó López Aguilar.

Pero también hay medidas y aplicaciones desarrolladas en varios países de la UE por las autoridades o el sector privado que requieren el suministro de datos de salud personales y permiten rastrear la ubicación y los contactos del individuo. Si bien algunas de estas aplicaciones exigen el consentimiento previo del usuario para acceder a la información, en algunos Estados miembros las personas pueden sentirse obligadas a facilitar los datos tras haber dado positivo por COVID-19. Esto permitiría a las autoridades rastrear la ubicación de la persona y sus contactos anteriores, y verificar el cumplimiento de la obligación de confinamiento.

López Aguilar advirtió de que estas herramientas pueden suponer una colisión con los derechos fundamentales a la vida privada y la protección de los datos personales y supondrían la implantación de un “Estado de vigilancia”. También recordó que las autoridades nacionales de protección de datos siguen siendo plenamente competentes para supervisar estas actividades de procesamiento de datos y garantizar el cumplimiento de la normativa comunitaria.

Por eso, el presidente de la comisión de Libertades Civiles insta a los organismos nacionales responsables de protección de datos a seguir de cerca la situación y pide al Comité europeo de Protección de Datos que emita de inmediato directrices claras.

La Junta Europea de Protección de Datos ha adoptado la siguiente declaración:

Los gobiernos, las organizaciones públicas y privadas de toda Europa están tomando medidas para contener y mitigar COVID-19. Esto puede implicar el procesamiento de diferentes tipos de datos personales.

Las reglas de protección de datos (como el GDPR) no obstaculizan las medidas tomadas en la lucha contra la pandemia de coronavirus. La lucha contra las enfermedades transmisibles es un objetivo valioso compartido por todas las naciones y, por lo tanto, debe apoyarse de la mejor manera posible. Es de interés para la humanidad frenar la propagación de enfermedades y utilizar técnicas modernas en la lucha contra los azotes que afectan a grandes partes del mundo. Aun así, a la EDPB le gustaría subrayar que, incluso en estos momentos excepcionales, el controlador y el procesador de datos deben garantizar la protección de los datos personales de los interesados. Por lo tanto, se deben tener en cuenta varias consideraciones para garantizar el procesamiento legal de los datos personales y, en todos los casos, se debe recordar que cualquier medida tomada en este contexto debe respetar los principios generales de la ley y no debe ser irreversible. La emergencia es una condición legal que puede legitimar las restricciones de las libertades, siempre que estas restricciones sean proporcionadas y limitadas al período de emergencia.

Legalidad del procesamiento
El RGPD es una legislación amplia y establece normas que también se aplican al procesamiento de datos personales en un contexto como el relacionado con COVID-19. El RGPD permite a las autoridades competentes de salud pública y a los empleadores procesar datos personales en el contexto de una epidemia, de conformidad con la legislación nacional y dentro de las condiciones establecidas en la misma. Por ejemplo, cuando el procesamiento es necesario por razones de interés público sustancial en el área de la salud pública. En esas circunstancias, no es necesario confiar en el consentimiento de las personas.
1.1 Con respecto al procesamiento de datos personales, incluidas categorías especiales de datos por parte de las autoridades públicas competentes (por ejemplo, autoridades de salud pública), la EDPB considera que los artículos 6 y 9 del RGPD permiten el procesamiento de datos personales, en particular cuando se encuentran bajo la ley mandato de la autoridad pública previsto por la legislación nacional y las condiciones consagradas en el GDPR.
1.2 En el contexto laboral, el procesamiento de datos personales puede ser necesario para cumplir con una obligación legal a la que está sujeto el empleador, como las obligaciones relacionadas con la salud y la seguridad en el lugar de trabajo, o con el interés público, como el control de enfermedades y otras amenazas a la salud.
El RGPD también prevé excepciones a la prohibición del procesamiento de ciertas categorías especiales de datos personales, como los datos de salud, cuando sea necesario por razones de interés público sustancial en el área de la salud pública (Art. 9.2.i), sobre la base de la legislación nacional o de la Unión, o cuando exista la necesidad de proteger los intereses vitales del interesado (artículo 9.2.c), ya que el considerando 46 se refiere explícitamente al control de una epidemia.
1.3 Con respecto al procesamiento de datos de telecomunicaciones, como los datos de ubicación, también deben respetarse las leyes nacionales que implementan la Directiva de privacidad electrónica. En principio, los datos de ubicación solo pueden ser utilizados por el operador cuando se hacen anónimos o con el consentimiento de las personas. Sin embargo, el art. 15 de la Directiva sobre privacidad electrónica permite a los Estados miembros introducir medidas legislativas para salvaguardar la seguridad pública. Dicha legislación excepcional solo es posible si constituye una medida necesaria, apropiada y proporcionada dentro de una sociedad democrática. Estas medidas deben estar de acuerdo con la Carta de los Derechos Fundamentales y el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales. Además, está sujeto al control judicial del Tribunal de Justicia de las Comunidades Europeas y del Tribunal Europeo de Derechos Humanos. En caso de una situación de emergencia, también debe limitarse estrictamente a la duración de la emergencia en cuestión.

Principios básicos relacionados con el procesamiento de datos personales.
Los datos personales necesarios para alcanzar los objetivos perseguidos deben procesarse con fines específicos y explícitos.
Además, los interesados ​​deben recibir información transparente sobre las actividades de procesamiento que se están llevando a cabo y sus características principales, incluido el período de retención de los datos recopilados y los fines del procesamiento. La información proporcionada debe ser fácilmente accesible y debe proporcionarse en un lenguaje claro y claro.
Es importante adoptar medidas de seguridad y políticas de confidencialidad adecuadas para garantizar que los datos personales no se divulguen a terceros no autorizados. Las medidas implementadas para gestionar la emergencia actual y el proceso de toma de decisiones subyacente deben documentarse adecuadamente.

 Uso de datos de ubicación móvil
En algunos Estados miembros, los gobiernos prevén el uso de datos de ubicación móvil como una posible forma de monitorear, contener o mitigar la propagación de COVID-19. Esto implicaría, por ejemplo, la posibilidad de geolocalizar personas o enviar mensajes de salud pública a personas en un área específica por teléfono o mensaje de texto. Las autoridades públicas deben primero tratar de procesar los datos de ubicación de forma anónima (es decir, procesar los datos agregados de manera que las personas no puedan volver a identificarse), lo que podría permitir generar informes sobre la concentración de dispositivos móviles en una ubicación determinada (“cartografía” )
Las reglas de protección de datos personales no se aplican a los datos que se han anonimizado adecuadamente. Cuando no es posible procesar solo datos anónimos, la Directiva de privacidad electrónica permite a los miembros
Los Estados deben introducir medidas legislativas para salvaguardar la seguridad pública (Art. 15).
Si se introducen medidas que permitan el procesamiento de datos de ubicación no anonimizados, un Estado miembro está obligado a establecer salvaguardas adecuadas, como proporcionar a las personas de los servicios de comunicación electrónica el derecho a un recurso judicial.
¿Pueden los gobiernos de los Estados miembros utilizar datos personales relacionados con los teléfonos móviles de las personas en sus esfuerzos por controlar, contener o mitigar la propagación de COVID-19?

El principio de proporcionalidad también se aplica. Siempre se deben preferir las soluciones menos intrusivas, teniendo en cuenta el propósito específico que se debe lograr. Las medidas invasivas, como el “seguimiento” de individuos (es decir, el procesamiento de datos históricos de ubicación no anonimizados) podrían considerarse proporcionales en circunstancias excepcionales y dependiendo de las modalidades concretas del procesamiento. Sin embargo, debe estar sujeto a un mayor escrutinio y garantías para garantizar el respeto de los principios de protección de datos (proporcionalidad de la medida en términos de duración y alcance, retención limitada de datos y limitación de propósito).

Dejar respuesta

Please enter your comment!
Please enter your name here