Protección de Datos cuestiona el cumplimiento de la ley con la app 'Radar Covid'

La Agencia Española de Protección de Datos (AEPD) ha dictado en los últimos meses varias resoluciones en los que cuestiona el cumplimiento por parte de la aplicación 'Radar Covid' de hasta ocho artículos de la ley que garantiza la privacidad de los ciudadanos.

La Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) puso fin el pasado mes de octubre a esta aplicación, cuya prueba piloto se llevó a cabo en la isla de La Gomera entre el 6 y el 20 de julio de 2020.

Durante los últimos meses la AEPD ha emitido varias resoluciones en las que se afirma que la SEDIA y la Dirección General de Sanidad incumplieron, al parecer, hasta ocho artículos de la Ley de Protección de Datos.

Entre las respuestas que la Secretaria dependiente del Ministerio de Asuntos Económicos y Transformación Digital ha dado a estas resoluciones, está la afirmación de que los datos extraídos de la prueba piloto realizada en La Gomera "no eran reales".

Otro tanto ocurre con los códigos de contagiados que eran falsos y se asegura que cuando se abrió en la isla al público, los verdaderamente infectados no podían introducir sus datos.

La AEPD, sin embargo, concluye en varias resoluciones, que la transparencia de la información facilitada desde la prueba realizada en La Gomera para dar a conocer la aplicación, fue "confusa, prolija y contradictoria. Cuando precisamente la transparencia se asienta como el pilar fundamental para demostrar la diligencia de la autoridad y dar confianza a los ciudadanos".

Recuerda que la aplicación costó cuatro millones e identificó a 124.000 casos, ninguno de ellos en Canarias, de los más de 13 millones de contagios.

"Hubo fallos en el sistema"

El Ministerio de Sanidad desde un principio indicó que se trataba de un instrumento para ayudar a controlar la propagación de la Covid-19 a través de la identificación de posibles contactos estrechos de casos confirmados a través de la tecnología "bluetooh".

La AEPD recuerda que el compromiso era que los datos no permitieran la identificación directa del usuario o de su dispositivo, solo los necesarios para informar que se había estado expuesto a una situación de riesgo.

También se descartó rastrear los movimientos de los usuarios, que toda la información tendría fines estrictamente de interés público en el ámbito de la salud y ante la emergencia sanitaria y que serían eliminados después de 14 días.

Frente al argumento oficial de que la protección de datos se puede suspender en caso de una situación de emergencia, se indica desde la AEPD que la privacidad es un derecho fundamental que no puede quedar en suspenso por la declaración de un estado de alarma. En todo caso puede condicionarse su ejercicio pero no suspenderlos.

La propia Secretaría de Estado reconoció que hubo fallos en el sistema pero asegura que fueron corregidos “en plazos razonables” lo que según la agencia no supone que se dejara de cometer la infracción.

“Cualquier aplicación que vaya a utilizar datos personales debe ser concebida y diseñada desde cero, identificando, a priori, los posibles riesgos a los derechos y libertados de los interesados y minimizarlos para que no lleguen a concretarse en daños”, indica la resolución.

La SEDIA responde que “no hay constancia de que durante los momentos de fallos fueran utilizados los datos personales de los usuarios y se recuerda que no existe ningún sistema informático que sea 100% perfecto.