Las consideraciones de privacidad de la ICO sobre los tratamientos de datos relacionados con el COVID-19 han sido recientemente publicadas en el blog por la Comisionada de Información, Elizabeth Denham.
Las consideraciones de privacidad de la ICO sobre los tratamientos de datos relacionados con el COVID-19 están recogidas en uno de los últimos blogs elaborados por la Comisionada de Información, Elizabeth Denham, lanzado algunas semanas después de su declaración inicial sobre el coronavirus. Mientras que la ICO ya aclaró entonces que las leyes de protección de datos no obstaculizan el uso de tecnología en una crisis de salud pública, cabe recordar que los principios de transparencia, legalidad, legitimidad y proporcionalidad continúan siendo de aplicación. En uno de nuestros últimos blogs informamos que la ICO había explicado sus planes o perspectivas de regulación durante la pandemia, y ahora han proporcionado información más detallada al respecto, mediante una serie de directrices centradas en aquellos que pretendan usar esta tecnología para frenar la expansión del COVID-19. Este marco es bastante específico y cubre algunos aspectos clave de privacidad que deberían adoptarse en cada iniciativa, tecnología o empresa que vaya a recoger datos públicos para la lucha contra el coronavirus, a fin de preservar la confianza del público.
Las consideraciones de privacidad de la ICO sobre tratamientos de datos relacionados con el COVID-19.
Mediante una sencilla estructura de preguntas y respuestas, la Comisionada de Información ha destacado los aspectos básicos del marco para el uso de las nuevas tecnologías con la implantación de las medidas que sean necesarias para velar por la privacidad de los usuarios. Uno de los principales requisitos es la elaboración de una Evaluación de Impacto, para demostrar cómo la privacidad se observa en la tecnología de tratamiento. La recogida de datos personales debe ser necesaria y proporcionada, aunque como sociedad aceptemos algunas limitaciones en la libertad a favor de la protección de la salud pública. Los desarrolladores de apps deberán ofrecer a los usuarios información clara sobre cómo se van a utilizar sus datos, así como cualquier alternativa con la que cuenten para evitar o limitar el tratamiento. La minimización sigue siendo crucial, y se debería evaluar y controlar el tratamiento de manera regular para asegurar que sigue siendo necesario y efectivo. La comisionada también apunta que las Evaluaciones de Impacto tendrán que ser actualizadas cuando sea posible.
La ICO también ha publicado una opinión formal sobre las consideraciones de privacidad de la tecnología conjunta de Google y Apple.
En relación a la tecnología de rastreo introducida de manera conjunta por Google y Apple a principios de este mes, la ICO ha publicado opinión formal al respecto donde explica de forma específica sus consideraciones sobre la privacidad. Esta iniciativa es “una solución completa que incluye interface de programación de aplicaciones (APIs) y una tecnología de nivel de sistema operativo para ayudar con el rastreo del contacto” y utilizará apps de las instituciones de salud públicas. En dicho documento, la Comisionada de Información resalta algunos aspectos clave que son esenciales para mantener la seguridad en el tratamiento de datos y en la privacidad. El marco de rastreo del contacto (CTF) cumple en principio con la minimización de datos, mediante la no inclusión de datos personales o el uso de datos de localización. Hasta ahora, las propuestas CTF parecen ser voluntarias y cualquier diagnosis posterior de tokens almacenados requiere permisos separados. Además, los usuarios tienen la posibilidad de desactivar el Bluetooth en sus dispositivos, que es la tecnología usada por estas apps. También tienen la alternativa de borrar o desinstalar toda la aplicación en sí misma. Por otro lado, parece que hay importantes medidas de seguridad en cuanto al intercambio de información entre dispositivos y la subida de datos a la app con CTF.
La Comisionada también comentó que esta tecnología CTF muestra signos de posible evolución más allá de su actual estado y uso, y debe ser precavida con los riesgos de desarrollo que excedan la finalidad de rastrear el contacto durante la respuesta a la pandemia del COVID-19. La limitación de la finalidad es un principio central de la protección de datos a escala internacional y como tal la Comisionada de Información seguirá de cerca este marco para asegurarse de que no cae víctima del fenómeno conocido como “scope creep” o cambios no controlados en el alcance de un proyecto.
Conforme a Cristina Contero Almagro, socia de Aphaia, “estas aplicaciones deberían ser especialmente cuidadosas con las brechas de seguridad, porque los sujetos pueden ser potencialmente identificables si se asocian los códigos encriptados con las direcciones IP, que son datos personales que pueden ser almacenados en el servidor”.
¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
