La Agencia Española de Protección de Datos (AEPD) ha dictado en los últimos meses varias resoluciones en los que cuestiona el cumplimiento por parte de la aplicación Radar Covid de hasta ocho artículos de la ley que garantiza la privacidad de los ciudadanos.
La Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) puso fin el pasado mes de octubre a esta aplicación, cuya prueba piloto se llevó a cabo en la isla de La Gomera entre el 6 y el 20 de julio de 2020.
Durante los últimos meses la AEPD ha emitido varias resoluciones en las que se afirmaba que la SEDIA y la Dirección General de Sanidad, incumplieron al parecer hasta ocho artículos de la Ley que Protección de Datos.
Entre las respuestas que la Secretaria dependiente del Ministerio de Asuntos Económicos y Transformación Digital ha dado a estas resoluciones, está la afirmación de que los datos extraídos de la prueba piloto realizada en La Gomera, “no eran reales”.
Otro tanto ocurre con los códigos de contagiados que eran falsos y se asegura que cuando se abrió en la isla al público, los verdaderamente infectados no podían introducir sus datos.
En el período de prueba se llegaron a alcanzar 11.000 descargas y aunque no hay cifras concretas se estima que se alcanzó al objetivo de sumar 3.500, un 35%, en San Sebastián de La Gomera y en el proyecto participaron empleados públicos del Cabildo, ayuntamientos y servicios sanitarios y de media cada uno de ellos lo compartió con otras tres personas.
La AEPD, sin embargo, concluye en varias resoluciones a las que ha tenido acceso Efe, que la transparencia de la información facilitada desde la prueba realizada en La Gomera para dar a conocer la aplicación, fue “confusa, prolija y contradictoria. Cuando precisamente la transparencia se asienta como el pilar fundamental para demostrar la diligencia de la autoridad y dar confianza a los ciudadanos”.
Recuerda que la aplicación costó cuatro millones e identificó a 124.000 casos, ninguno de ellos en Canarias, de los más de 13 millones de contagios.
El Ministerio de Sanidad desde un principio indicó que se trataba de un instrumento para ayudar a controlar la propagación del Covid-19 a través de la identificación de posibles contactos estrechos de casos confirmados a través de la tecnología Bluetooth.
La AEPD recuerda que el compromiso era que los datos no permitieran la identificación directa del usuario o de su dispositivo, tan sólo los necesarios para informar que se había estado expuesto a una situación de riesgo.
También se descartó rastrear los movimientos de los usuarios, que toda la información tendría fines estrictamente de interés público en el ámbito de la salud y ante la emergencia sanitaria y que serían eliminados después de 14 días.
Frente al argumento oficial de que la protección de datos se puede suspender en caso de una situación de emergencia, se indica desde la AEPD que la privacidad es un derecho fundamental que no puede quedar en suspenso por la declaración de un estado de alarma. En todo caso puede condicionarse su ejercicio pero no suspenderlos.
La propia Secretaria de Estado reconoció que hubo fallos en el sistema pero asegura que fueron corregidos “en plazos razonables” lo que según la Agencia no supone que se dejara de cometer la infracción.
“Cualquier aplicación que vaya a utilizar datos personales debe ser concebida y diseñada desde cero identificando, a priori, los posibles riesgos a los derechos y libertados de los interesados y minimizarlos para que no lleguen a concretarse en daños”, indica la resolución.
La SEDIA responde que “no hay constancia de que durante los momentos de fallos fueran utilizados los datos personales de los usuarios y se recuerda que no existe ningún sistema informático que sea “cien por cien” perfecto.
En su momento, la AEPD advirtió que a pesar de que los usuarios no puedan ser identificados directamente, podrían llegar a serlo realizándose mapas de relaciones entre personas, mediante reidentificación por localización implícita llegando, incluso, a poder identificar la identidad de los contagiados y de las personas con las que estuvo en contacto.
“Una vez que se aceptó la reclamación presentada, la SEDIA alegó que la declaración del estado de alarma y de emergencia sanitaria, la protección de la salud en un contexto de pandemia determinó la necesidad de actuar rápidamente de forma coordinada”, indica.
Esta entidad defendió que se limitó a manejar el tratamiento de los datos mientras que el responsable final de su uso eran las comunidades autónomas y el Ministerio de Sanidad aunque la propia SEDIA puso con su nombre varios anuncios en la prensa informando sobre esta aplicación y sus usos.
La Secretaría de Estado descarta que fuera responsable de la misma, y defiende que actuaron de forma conjunta con el Gobierno central y los autonómicos mientras que la AEPD asegura que no hay constancia de que existiera tal coordinación.