Protección de datos y geolocalización en la Orden SND/297/2020
La Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, contempla un conjunto de medidas sobre las que se ha estado polemizando en las últimas dos semanas. Y sin duda merece una especial atención.
1.-El contexto de la norma.
Con carácter previo es fundamental situar la norma en su contexto atendiendo primero a los aspectos competenciales. La orden emana del Ministerio de Sanidad, y en el marco de sus competencias. Por otra parte, la exposición de motivos de la Orden indica finalidades muy específicas dirigidas a «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública». Estos fines pretenden ejecutarse por medio de acciones concretas:
▪ Ofrecer canales alternativos de información fiable a los ciudadanos, a través de aplicaciones, un asistente conversacional o una página web, que permitan aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud.
▪ Contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento para entender los desplazamientos de población y verificar cómo de dimensionadas están las capacidades sanitarias en cada provincia.
Para ello se invocan dos fuentes de legitimación:
▪ El artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, dispone que, con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.
▪ El artículo 4 del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 por el que se habilita a las autoridades competentes delegadas para dictar las órdenes, resoluciones, disposiciones e instrucciones interpretativas.
Así pues, a la luz de la exposición de motivos, la Orden bajo ningún punto de vista es comparable con las previsiones que se contienen en los estados de excepción y sitio respecto del marco ordinario de tutela del secreto de las comunicaciones y la inviolabilidad del domicilio. No es, por tanto, y como en ocasiones se sugiere, ni un estado excepcional respecto del derecho fundamental a la protección de datos ni tampoco una derogación del marco jurídico europeo o nacional.
2.-¿Qué tratamientos de datos personales?
Con carácter previo debe señalarse que la orden no establece excepción alguna al derecho fundamental a la protección de datos; al contrario, refiere expresamente la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Pero hace algo más: el Ministerio se compromete a seguir «los criterios interpretativos dados por la Agencia Española de Protección de Datos». Estos criterios son parcos en lo que a la situación actual se refiere, pero amplísimos si se considera el conjunto de informes y recomendaciones disponibles. Con carácter específico hay que atender al Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus. En el mismo se señalan algunos principios nucleares:
Como ya dijera con anterioridad en un Informe y después en unas preguntas frecuentes sobre tratamientos de datos en relación con el coronavirus, el derecho fundamental a la protección de datos puede ser limitado por razones de interés público relacionado con la salud de las personas. Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. Para ello, la Agencia está colaborando con las autoridades competentes, facilitándoles criterios que permitan compatibilizarlos.
Las finalidades legítimas para las que estas autoridades pueden tratar datos se extenderán a las relacionadas con el control de la epidemia, como ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo. En la geolocalización la autoridad extiende el ámbito del tratamiento bajo ciertas condiciones y/o circunstancias:
▪ Que hayan facilitado previamente el teléfono móvil. Criterio que no precisa, aunque habida cuenta de que la norma se refiere a usuarios cabe pensar que se facilite específicamente durante el proceso de instalación.
▪ Para una determinada finalidad: ofrecer canales alternativos de información fiable a los ciudadanos y aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud. Así como, contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento
▪ Y con una determinada legitimación: las amplias competencias que, en situaciones excepcionales, tienen las autoridades sanitarias. Además, la Agencia Española de Protección de Datos, a diferencia de lo que han negado diversos expertos, sí establece una correlación entre la medida de localización con el Estado de Alarma señalando que debe tenerse en cuenta que «una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas».
Si atendemos a las acciones definidas en la Orden se pretende realizar los siguientes tratamientos:
▪ Autoevaluación básica de síntomas médicos. Como resultado de la misma cabe deducir que se podrá identificar a pacientes potenciales. Sin embargo, ello ofrece alguna duda ya que expresamente se señala que:
La aplicación no constituirá, en ningún caso, un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos. La utilización de la aplicación no sustituirá en ningún caso la consulta con un profesional médico debidamente cualificado.
Esta previsión, seguramente excluya el requisito de ser mayor de 16 años, definido por la agencia española de protección de datos, probablemente en aplicación del criterio de consentimiento informado de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Sin embargo, deja en el aire que consideración tendrá para el sistema de salud un usuario de cuya autoevaluación sugiera claramente la presencia de un enfermo.
La herramienta además prestará un servicio a la ciudadanía consistente en ofrecer información al usuario sobre el COVID-19 y proporcionarle consejos prácticos y recomendaciones de acciones a seguir según la evaluación, así como conectarle con portales gestionados por terceros con el objeto de facilitar el acceso a información y servicios disponibles a través de Internet.
▪ La única función que se enuncia para la aplicación en materia de localización individualizada de una persona consiste en la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. Y de nuevo aquí la semántica plantea dudas de orden material. Es un espacio geográfico amplísimo. Obviamente una geolocalización tan extensa no sirve ni al control, salvo que se trate de las infracciones más evidentes, ni a la gestión asistencial. De modo que sólo parecería servir a los estudios de movilidad.
▪ Y esta es la ulterior finalidad perseguida, realizar un estudio de la movilidad aplicada a la crisis sanitaria a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento. Debe señalarse, una cuestión técnica particularmente relevante en esta materia. Si se logra la anonimización irreversible a la que se refiere el RGPD resulta que señala su Considerando núm. 26 que «el Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación».
Sin embargo, el inciso final del artículo segundo de la Orden no solo se refiere al RGPD y la LOPDGDD expresamente, sino que atribuye al Instituto Nacional de Estadística la condición de responsable del tratamiento y a los operadores de telecomunicaciones la de encargados.
3.-El juicio de ponderación.
Desde el punto de vista de la limitación del derecho fundamental a la protección de datos podría decirse que parece satisfacerse el test de ponderación que exige el Tribunal Europeo de Derechos Humanos, por ejemplo, en el asunto Z. c. Finlandia. Primero, se invoca una finalidad legítima y necesaria en una sociedad democrática, la salud pública y la lucha contra la epidemia. Es más, incluso las referencias del TEDH en alguna ocasión a la idea de necesidad social imperiosa podrían verse satisfechas.
En segundo lugar, existiría una suerte de predeterminación normativa en cascada. El artículo tercero de la Ley Orgánica 3/1986 faculta para adoptar medidas de control, y la Orden SND/297/2020 define algunas de las acciones a desplegar. Como se señalaba, el tratamiento más invasivo, la localización, se refiere a usuarios y si traspasan la comunidad autónoma. Ir más allá, traspasar el umbral de este tipo de localización a “los enfermos”, exigiría incluir alguna previsión específica en el artículo 7, o un artículo 7 bis en el Real Decreto 463/2020, entendiendo como la AEPD que el artículo 11.a) de la Ley Orgánica 4/1981, permite limitar la circulación de personas y ofrece un fundamento adecuado.
En tercer lugar, desde el punto de vista de la proporcionalidad, las medidas se limitan a un concreto tipo de personas, usuarios que hubieran facilitado su teléfono móvil, y para una determinada finalidad verificar que se encuentran en la comunidad autónoma que declaran. Y en el caso de estudios de movilidad se ordena su anonimato absoluto.
Incluso se sugiere la celebración del contrato de encargado del tratamiento del artículo 28 RGPD a tratamientos de datos anonimizados, obligación que no se desprende del RGPD, sino que parece que se ofrece como garantía adicional.
4.-¿Estado policial?
Visto el contenido de la Orden, parece que se busca el despliegue de herramientas funcionales a la lucha contra una epidemia. La Orden no se refiere en ningún momento ni al Ministerio del Interior ni señala ningún interés policial en el tratamiento. Se trata ofrecer y obtener información de usuarios de una aplicación, así como la movilidad general y anónima a fin de adoptar las medidas oportunas. Lo cierto es que leída en su contexto la Orden se encuentra muy lejos del apocalipsis orwelliano que se anuncia. Lo que no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría.