Noticias
¿Debemos poner límites a la lucha contra el «COVID-19» utilizando nuestros datos personales?
Hace unos días, el comisario europeo que asume las competencias en materia de telecomunicaciones convocó una videoconferencia con responsables de varias empresas del sector, para trasladarles una petición: acelerar la creación de una base de datos centralizada con información de usuarios de toda la UE que facilite la lucha contra el Covid-19 y la capacidad de prevención en el futuro inmediato.
En tiempos normales, esa información por sí sola habría abierto portadas y estaría protagonizando un debate encarnizado sobre los poderes de la Comisión y los límites a la vida privada. Pero no estamos en tiempos normales: estamos (por más que algunos rechacen la analogía) en algo que tiene muchos elementos propios de un estado de guerra, sometidos a leyes de excepción y a una limitación más o menos consentida de algunos de nuestros derechos más elementales. Se anticipa ya un debate de monumentales consecuencias para nuestro futuro social y colectivo: ¿cuántas de esas renuncias fundamentales estamos dispuestos a mantener cuando pase la crisis, con tal de prevenir que se repita o impedir la llegada de la pandemia siguiente?
Si hay un ámbito en que ese debate es necesario y urgente es el de la privacidad. Porque como todos hemos entendido, en una pandemia es fundamental identificar a las personas infectadas, delimitar su localización, y asegurar su separación física de quienes no lo están. Y es sabido que en diversos países del mundo van surgiendo iniciativas destinadas a poner la tecnología móvil que a todos nos acompaña, nos identifica y localiza, al servicio de ese objetivo de salud pública cuya bondad de principio nadie puede discutir. Pero, ¿qué límites y diferencias puede y debe establecer un sistema democrático frente a lo que pueda imponer China, por citar el ejemplo más obvio?
Los distintos escenarios a examinar, y las soluciones tecnológicas que se están proponiendo, se pueden clasificar en función de la respuesta combinada que cada propuesta ofrezca a estas tres preguntas:
a) ¿De qué clase de datos estamos hablando? Puede tratarse de personales individualizados, o de datos anonimizados para su análisis de forma colectiva.
b) ¿Cómo se han obtenido esos datos? Ahí podemos estar ante una entrega voluntaria de nuestra información, con consentimiento tanto acerca de lo que hemos decidido compartir como del uso que se le va a dar, o ante una entrega forzosa, no consentida.
c) ¿Quién recibe, custodia, utiliza esos datos en la acción contra el Covid-19? Caben dos respuestas: el Estado, incluyendo a sus agentes o entidades con una función pública por delegación; o los particulares.
Veamos entonces los distintos escenarios abiertos o en discusión.
El Estado puede utilizar datos clínicos, recibidos del sistema de salud, y combinarlos de forma agregada y anonimizada con metadatos recabados de las empresas de telecomunicaciones, para implementar actuaciones de análisis y seguimiento colectivo de la pandemia. La Directiva Europea de Privacidad, la Ley General de Telecomunicaciones y el Reglamento General de Protección de Datos (RGPD) de la UE contienen suficientes elementos para legitimar esta actuación en una situación de crisis de salud pública, y así lo puede exigir a las operadoras. Es discutible, pero probable que el Estado pueda también facilitar datos agregados y anónimos de esta naturaleza al sector privado a los efectos de la investigación científica y el análisis.
La cuestión se complica más cuando hablamos de un modelo basado en el uso por el Estado de datos de salud y de identificación y localización de personas individuales, concretas. Y ello con dos posibles fines, no contradictorios entre sí: prestar asistencia personalizada a las personas afectadas, o ejercer funciones de control y policía (en el sentido más administrativo de esa expresión).
¿Se puede establecer con datos obtenidos sin consentimiento individual? La respuesta es afirmativa: las notables excepciones en materia de salud pública contenidas en el RGPD podrían también legitimar una ‘app’ de estas características, que incluya datos personales obtenidos sin consentimiento. Todo apunta a que la implantación de alguna solución de este tipo, esto es, de una app de naturaleza vertical con flujo de datos e información entre una autoridad pública y los particulares será indispensable y será parte del precio a pagar para volver a una cierta normalidad.
En todo caso, aunque sea legítimo, incluso si se hace sin consentimiento individual, será necesario delimitar legalmente el contenido de esa información, el uso que se puede hacer de ella (de la misma forma, por ejemplo, en que Hacienda no puede hoy compartir nuestros datos fiscales con otras autoridades) y establecer un estricto régimen de garantías y responsabilidades.
Pero hay una tercera hipótesis: el acceso digital de ciudadanos particulares a la información de salud de otros ciudadanos particulares, y de su localización. Esta aplicación sí resulta problemática, porque según parece combina datos de entrega voluntaria de quienes libremente deciden instalar la app junto a datos extraídos de los que difunde la Administración sanitaria o se facilitan en línea a efectos de transparencia. En la medida en que desde el sector privado se incorporan datos de enfermos o infectados obtenidos sin su consentimiento, para difundirlos también entre particulares, incluso si se trata de datos supuestamente anónimos, no parece que este tipo de aplicación pueda ser aceptada en Europa.
Obviamente, una estrategia seria sobre el uso de datos digitales contra el Covid-19 no puede limitarse a explorar lo que pueda ser jurídicamente posible. Lo más urgente y esencial será el debate político y ético sobre los límites del poder que se quiere dar al Estado en esta materia, sin permitir que medidas dictadas y aceptadas en situación de emergencia se consoliden como definitivas al margen del necesario debate y consenso social.
Pero hay también interrogantes y retos de otra naturaleza que se deberán afrontar: de entrada, el supuesto anonimato de los datos privados en el que se basa una parte de los modelos en discusión puede llegar a ser una falacia, como han demostrado diversos informes.
Por otro lado, nada de todo lo descrito será posible si no se acompaña de estrictas medidas de encriptación de los datos y de ciberseguridad en su custodia. Otro informe calculó que si un 1% de la población de Londres utilizaba una app infiltrada, se podía controlar todos los movimientos del 50% de los ciudadanos y ciudadanas de la capital. En tantos aspectos, a la salida de este túnel nos espera un mundo distinto. Con esfuerzo, deberíamos intentar salvar en él la mayoría de los principios que creíamos fundamentales.
Fuente: El Pais