Orden SND/297/2020 de 27 de Marzo, de habilitación legal del uso de las nuevas tecnologías para combatir el Coronavirus: Seguridad Nacional versus Privacidad.

La dimensión de esta pandemia global del Coronavirus está provocando que los países de todo el mundo emprendan soluciones de ataque contra el enemigo común de muy diversas maneras y enfoques. Mientras en el ámbito económico se trata de “contener” más que de “re componer” es decir, evitar la descomposición del tejido empresarial por el complejo binomio de una crisis de oferta y demanda, a su vez, al pararse el país, inyectando liquidez en el sistema para aguantar la tormenta (las empresas no mueren de solvencia, mueren de liquidez, he escuchado decir a un importante directivo hoy mismo disertando sobre el tema), en el ámbito estrictamente sanitario los Gobiernos están adoptando diferentes medidas y/o planes que, básicamente, se constriñen a medidas de confinamiento máximo con el objetivo de no colapsar el sistema de atención sanitaria en espera de una vacuna y en la confianza de que habida cuenta su baja letalidad podrá afrontarse y asumirse con los recursos existentes (ósea, retrasar el inevitable contagio en el tiempo) o bien apostar por la propia naturaleza y desarrollo del virus que, en opinión de algunos expertos, termina por auto contenerse sobre la base de las propias dificultades del virus para extenderse a un determinado nivel de infectados en la propia población.

Las tecnologías del fenómeno de la digitalización y, dentro de ellas, sus claras protagonistas, la Inteligencia Artificial (cerebro) y el Big Data (músculo) han sido llamadas a asistir a la solución de casi cualquier desafío o problema ante el cual la humanidad se enfrenta, incluido, por supuesto el Coronavirus, toda vez que son capaces de procesar más capacidad de información y más rápido que nosotros hasta niveles nunca sospechados.

En China, por ejemplo, cuyo uso de la tecnología ha permitido poder detectar a millones de infectados a efectos de proceder a su aislamiento evitando así el contagio de otros tantos, se está yendo un paso más allá con las pulseras biométricas que pueden detectar la temperatura en tiempo real de los ciudadanos y gracias a los datos de geolocalización advertir la ubicación de un posible positivo. Mientras, en Israel, estas medidas de control y monitorización de la población que solo se usan en la lucha antiterrorista han sido autorizadas para afrontar el coronavirus.

En España el Gobierno Central ha aprobado esta misma posibilidad con idénticos fines hace escasamente un par de días, mediante la ORDEN SND/297/200 de 27 de Marzo, que también habilita la creación de una aplicación móvil (APP) que permita al usuario proceder a realizar un autodiagnóstico de síntomas compatibles con esta enfermedad y que posibilitará la geolocalización del mismo a efectos de análisis de la movilidad del virus y su incidencia geográfica. Y en nuestra comunidad valenciana se acaba de anunciar que el equipo liderado por nuestra compatriota y laureada científica Nuria Oliver usará la inteligencia artificial para luchar contra esta terrible enfermedad usando la ingente cantidad de datos que los operadores de telecomunicaciones tratan en su día a día que incluyen, sobre todo,  los geolocalización de los usuarios de telefonía móvil  a fin de poder rastrear y monitorizar a la población en orden a analizar cómo han sido las fases de contagio, dónde se han producido, cómo ha sido la movilidad de las personas entre diferentes zonas, etc,.. y con todo ello, anticiparse a las decisiones que pueda adoptar la Conselleria de Sanidad del Gobierno Valenciano.

Frente a todo ello debe señalarse que si bien en este caso no solamente se trata de un interés general de salud pública y de enorme gravedad, sino que, además, en la mayoría de los casos, los datos van a tratarse de forma anonimizada (de manera que resulta imposible identificar a la persona física que está detrás de cada dato o conjunto de datos tratado/s o, en el peor de los casos, que solo sea posible por la autoridad responsable del tratamiento: en este caso el propio Estado) para poder determinar los lugares de los focos de infección y la movilidad de los mismos por todo el territorio nacional, debe traerse  aquí esta reflexión acerca de los eventuales conflictos y límites que el uso de estas tecnologías en relación con nuestra privacidad se ponen de manifiesto en este tipo de situaciones. Y obviamente aún dadas por sentadas las bondades de la finalidad de estos proyectos de investigación para poder ayudar a una mejor y más eficiente toma de decisiones en la lucha contra la enfermedad por los responsable políticos, debemos, no obstante ello, subrayar  que, habida cuenta de la experiencia ya obtenida anteriormente (en la búsqueda de la verdad ante la manipulación espúrea de los hechos realmente acontecidos o informaciones sesgadas por algoritmos predictivos interesados, así como las decisiones automatizadas por algoritmos prescriptivos que afectarán a nuestras vidas (seguros, hipotecas, acceso al trabajo, etc,..) la observancia de los principios que sustentan el tratamiento de nuestro datos personales e íntimos aún en circunstancias especiales como la presente resulta de obligada observancia.

En consecuencia, tanto en el diseño de la APP de autodiagnóstico previo, como el tratamiento de los datos de movilidad de los usuarios de terminales móviles, el Responsable del tratamiento (El Ministerio de Sanidad y el INE, respectivamente)  y de conformidad con el Artículo 25 del Reglamento Europeo de Protección de Datos (“GDPR”, por sus siglas en inglés) se deberá implementar el Principio de Protección de datos desde el diseño y por defecto y que consistirá en observar las disposiciones siguientes:

1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo

Por consiguiente y de conformidad con éste artículo  que consagra el Principio de minimización que resulta clave en la protección de nuestra privacidad y en virtud del cual habría que fiscalizar de manera efectiva su cumplimiento autorizando el tratamiento de los datos para cualquier proyecto que se enarbole con la bandera de la seguridad y/ó interés general de tal forma que:

• I) sólo se traten aquellos estrictamente necesarios para la finalidad perseguida,
• II) únicamente por el periodo estrictamente necesario para ello y
• III) su uso se extienda exclusivamente al fin previamente autorizado.

De otro modo, los principios se flexibilizan y, a menudo, ceden ante exigencias de lucha frente a calamidades y eventos desastrosos como el que sufrimos actualmente y en los que la seguridad de las personas indudablemente debe primar sobre la intimidad o privacidad en relación con el tratamiento de sus datos personales empero, en ningún caso, podemos permitir que tal excepcionalidad prolongada en el tiempo termine por relajar la aplicación de dichos principios como, desgraciadamente, suele ocurrir una vez desparece la excepcional causa que lo motivó.

Juan José Cortés

Socio del Área Compliance y Legaltech en Devesa & Calvo Abogados