Desde hace días, todas las autoridades de control de protección de datos están preocupadas y dan criterios de cómo hacer uso de la información en época de pandemia. En este sentido, se han pronunciado indicando si procede o no el tratamiento de datos de salud de la población, con qué finalidad, si se requiere o no consentimiento previo, si los datos identificando personas enfermas de coronavirus pueden darse a conocer a la empresa, compañeros, entorno familiar y/o organismos de salud.
Además, se ha hecho eco que frente a la situación de alerta generada por el coronavirus a nivel mundial se han incrementado las campañas de phishing a través de servicios de mensajería instantánea, email y otros medios por parte de ciberdelincuentes que lo que buscan es información que la gente entrega sin pensar en momentos en los que hay miedo.
Si nos fijamos en el caso concreto de la Agencia Española de Protección de Datos, AEPD, el 26 de marzo emitía un nuevo comunicado sobre apps y webs de autoevaluación del coronavirus, dada la proliferación de estas herramientas, no siempre ajustadas al propósito indicado, ni tampoco conformes a los requerimientos de la normativa. Citamos a continuación las principales conclusiones que se extraen:
En relación con las aplicaciones y las páginas web que requieren datos personales, en primer lugar, se debe confirmar que el tratamiento de los datos será lícito, fundamentado en el interés público y/o garantía de los intereses vitales de la propia persona afectada u otras personas.
Seguidamente, también hay que verificar que la finalidad que justifica el tratamiento de los datos es exclusivamente el control de la epidemia. Recordar que los datos han de ser facilitados por personas mayores de 16 años, siendo a partir de esta edad proporcionadas por sus padres o representantes legales.
Los datos que se pueden recoger son sólo aquellos que las autoridades públicas competentes consideren necesarios para controlar la epidemia y sólo las autoridades sanitarias podrán tratar estos datos, también profesionales sanitarios que traten pacientes o que intervengan en el control de la epidemia. Las entidades privadas que colaboren con las autoridades únicamente podrán usar los datos en la medida en que sigan las instrucciones dadas por las autoridades sanitarias (Ministerio de Sanidad o consejerías autonómicas competentes en salud).
Por tanto, en base con lo explicado, resulta importante recordar a los ciudadanos que sean especialmente cuidadosos con las diferentes aplicaciones que se encuentran en el mercado, la mayoría de las cuales ofrecen personas privadas que no disponen de la legitimidad exigida para el tratamiento de los datos. En este sentido, se deben resaltar 2 cuestiones indispensables:
Por último, insistiendo en el hecho de que nos encontramos en una situación excepcional, las autoridades sanitarias pueden hacer seguimiento de la cuarentena de las personas que hayan dado positivo de la COVID-19 mediante la geolocalización a través del teléfono móvil que hayan facilitado. Recordar que en la gestión de esta crisis sanitaria se ha limitado la libertad de circulación de las personas y este control intensivo se hace precisamente para evitar la propagación del coronavirus. No obstante, el único dato que se podría facilitar a los operadores de telecomunicaciones a efectos de esta geolocalización es el del teléfono móvil.
Más información en:
https://www.aepd.es/es/documento/2020-0017.pdf
https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID_19.pdf
https://www.aepd.es/es/prensa-y-comunicacion/blog/campanas-de-phishing-sobre-el-covid-19
https://www.boe.es/boe/dias/2020/03/28/pdfs/BOE-A-2020-4162.pdf
@ Faura-Casas