ICO's Privacy Considerations for COVID-19

Consideraciones de privacidad de la ICO sobre tratamientos de datos relacionados con el COVID-19.

Las consideraciones de privacidad de la ICO sobre los tratamientos de datos relacionados con el COVID-19 han sido recientemente publicadas en el blog por la Comisionada de Información, Elizabeth Denham. 

 

Las consideraciones de privacidad de la ICO sobre los tratamientos de datos relacionados con el COVID-19 están recogidas en uno de los últimos blogs elaborados por la Comisionada de Información, Elizabeth Denham, lanzado algunas semanas después de su declaración inicial sobre el coronavirus. Mientras que la ICO ya aclaró entonces que las leyes de protección de datos no obstaculizan el uso de tecnología en una crisis de salud pública, cabe recordar que los principios de transparencia, legalidad, legitimidad y proporcionalidad continúan siendo de aplicación. En uno de nuestros últimos blogs informamos que la ICO había explicado sus planes o perspectivas de regulación durante la pandemia, y ahora han proporcionado información más detallada al respecto, mediante una serie de directrices centradas en aquellos que pretendan usar esta tecnología para frenar la expansión del COVID-19. Este marco es bastante específico y cubre algunos aspectos clave de privacidad que deberían adoptarse en cada iniciativa, tecnología o empresa que vaya a recoger datos públicos para la lucha contra el coronavirus, a fin de preservar la confianza del público.

 

Las consideraciones de privacidad de la ICO sobre tratamientos de datos relacionados con el COVID-19.

 

Mediante una sencilla estructura de preguntas y respuestas, la Comisionada de Información ha destacado los aspectos básicos del marco para el uso de las nuevas tecnologías con la implantación de las medidas que sean necesarias para velar por la privacidad de los usuarios. Uno de los principales requisitos es la elaboración de una Evaluación de Impacto, para demostrar cómo la privacidad se observa en la tecnología de tratamiento. La recogida de datos personales debe ser necesaria y proporcionada, aunque como sociedad aceptemos algunas limitaciones en la libertad a favor de la protección de la salud pública. Los desarrolladores de apps deberán ofrecer a los usuarios información clara sobre cómo se van a utilizar sus datos, así como cualquier alternativa con la que cuenten para evitar o limitar el tratamiento. La minimización sigue siendo crucial, y se debería evaluar y controlar el tratamiento de manera regular para asegurar que sigue siendo necesario y efectivo. La comisionada también apunta que las Evaluaciones de Impacto tendrán que ser actualizadas cuando sea posible.  

 

La ICO también ha publicado una opinión formal sobre las consideraciones de privacidad de la tecnología conjunta de Google y Apple. 

 

En relación a la tecnología de rastreo introducida de manera conjunta por Google y Apple a principios de este mes, la ICO ha publicado opinión formal al respecto donde explica de forma específica sus consideraciones sobre la privacidad. Esta iniciativa es “una solución completa que incluye interface de programación de aplicaciones (APIs) y una tecnología de nivel de sistema operativo para ayudar con el rastreo del contacto” y utilizará apps de las instituciones de salud públicas. En dicho documento, la Comisionada de Información resalta algunos aspectos clave que son esenciales para mantener la seguridad en el tratamiento de datos y en la privacidad. El marco de rastreo del contacto (CTF) cumple en principio con la minimización de datos, mediante la no inclusión de datos personales o el uso de datos de localización. Hasta ahora, las propuestas CTF parecen ser voluntarias y cualquier diagnosis posterior de tokens almacenados requiere permisos separados. Además, los usuarios tienen la posibilidad de desactivar el Bluetooth en sus dispositivos, que es la tecnología usada por estas apps. También tienen la alternativa de borrar o desinstalar toda la aplicación en sí misma. Por otro lado, parece que hay importantes medidas de seguridad en cuanto al intercambio de información entre dispositivos y la subida de datos a la app con CTF. 

 

La Comisionada también comentó que esta tecnología CTF muestra signos de posible evolución más allá de su actual estado y uso, y debe ser precavida con los riesgos de desarrollo que excedan la finalidad de rastrear el contacto durante la respuesta a la pandemia del COVID-19. La limitación de la finalidad es un principio central de la protección de datos a escala internacional y como tal la Comisionada de Información seguirá de cerca este marco para asegurarse de que no cae víctima del fenómeno conocido como “scope creep” o cambios no controlados en el alcance de un proyecto. 

 

Conforme a Cristina Contero Almagro, socia de Aphaia, “estas aplicaciones deberían ser especialmente cuidadosas con las brechas de seguridad, porque los sujetos pueden ser potencialmente identificables si se asocian los códigos encriptados con las direcciones IP, que son datos personales que pueden ser almacenados en el servidor”. 

 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

IA ayudar a controlar COVID-19

¿Puede la IA ayudar a controlar el COVID-19?

¿Puede la IA ayudar a controlar el COVID-19? ¿Puede usarse para predecir brotes, y sería esto ético? 

 

En las próximas líneas ofrecemos nuestra visión sobre la respuesta a la pregunta de si puede la IA ayudar a controlar el COVID-19. En uno de nuestros últimos blogs, lanzamos un artículo con las iniciativas tecnológicas que se están implementando en Europa para frenar la expansión del COVID-19. Ahora, en nuestro vlog, exploramos dichos proyectos y analizamos hasta qué punto puede la IA contribuir en la lucha contra esta pandemia, así como cuáles serían las implicaciones de privacidad derivadas.  Son más de 200 los países que se han visto afectados por el COVID-19, de manera que surgen ideas nuevas continuamente en este sentido, cada una con sus propias problemáticas de protección de datos y ética. 

 

Fue en diciembre cuando una startup de Toronto identificó un cluster de casos inusuales de neumonía que estaban teniendo lugar alrededor del mercado de Wuhan. Esta conclusión se alcanzó a través del análisis de los datos publicados en periódicos locales y la información disponible en internet. De esta forma, la herramienta, denominada BlueDot, pudo identificar el virus que después pasaría a conocerse como COVID-19 tan sólo unas horas después de que los médicos diagnosticasen el primer caso, nueve días antes de que la OMS informase al público general sobre la aparición del mismo.

 

Actualmente, algunos países como Corea del Sur emplean apps que monitorizan datos de localización para llevar un registro tanto de las personas infectadas como de las que no, y también de sus movimientos. La IA también puede utilizarse para analizar la forma en que se habla de la enfermedad a través de las redes sociales, para así trazar una imagen más precisa del impacto. No es ningún secreto que la IA puede prevenir la propagación del COVID-19 y aplanar así la curva, pero ¿cuáles serían las implicaciones del uso de tales medidas en Europa? ¿Cumplen con los requisitos del RGPD? 

 

En nuestro último vlog, que es la primera parte de dos sobre el uso de la IA en la lucha contra el COVID-19, exploramos cómo la IA puede prevenir o predecir la expansión de esta enfermedad vírica: 

 

 

No olvides suscribirte a nuestro canal para no perderte la parte 2.

 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Dutch DPA Imposed a Fine

La autoridad de control holandesa ha impuesto una multa a la Asociación de Tenis Holandesa por venta ilegítima de datos personales bajo el RGPD

La autoridad de control holandesa ha impuesto una multa de 525.000 € a la Asociación de Tenis Holandesa por la venta ilegítima de datos personales de sus miembros a dos patrocinadores.

La autoridad de control holandesa ha impuesto recientemente una multa a la Asociación de Tenis Holandesa (KNLTB) bajo el RGPD por la venta ilegítima de datos personales de sus miembros a dos de sus patrocinadores. La información cedida contenía nombres, direcciones y género, lo cual era después utilizado por los patrocinadores con fines de marketing, tanto por teléfono como por correo postal.  Uno de los patrocinadores compró la información de 50.000 miembros, y el otro adquirió datos de más de 300.000. Mientras que la KNLTB sostuvo que llevó a cabo dicha venta en su interés legítimo, la autoridad de control holandesa consideró que fue la ganancia económica el móvil que les llevó a infringir el RGPD.  

Otras multas impuestas por la autoridad de control holandesa.

La autoridad de control holandesa ha impuesto otras dos multas bajo el RGPD. La primera de ellas fue contra la Dutch UWV (Agencia de Seguridad Social) en 2018, a partir de la cual se solicitó a UWV que mejorase los niveles de seguridad en la entrada, lo cual debería haber realizado para octubre de 2019, pero ha sido pospuesto un año, lo que podría suponer una multa de 150.000 € por mes, hasta un total de 900.000 €. La segunda multa se impuso en el hospital Dutch Haga Hospital, con motivo de una falta de seguridad en el registro de datos de pacientes, lo cual provocó que unos 200 empleados tuviesen acceso a los datos médicos de una celebridad local que después se filtraron a la prensa. La multa fue de 460.000 €. 

Por otro lado, la autoridad de control holandesa lanzó una investigación sobre Facebook por no informar de manera adecuada del uso de sus datos para fines de publicidad dirigida. Este hecho no desencadenó una multa, pero inspiró un cambio en la política de privacidad de Facebook. 

La política de la autoridad de control holandesa para la imposición de multas. 

A fin de mantener una consistencia con la multas impuestas, la autoridad de control holandesa ha desarrollado unas políticas específicas para determinar el nivel de las mismas. Las sanciones están divididas en categorías, determinadas por el artículo del RGPD que corresponda. Como señala el artículo de la INPLP, las multas pueden verse incrementadas o reducidas en función de los siguientes factores: 

  • La naturaleza, severidad y duración de la infracción, teniendo en cuenta también la naturaleza, ámbito y finalidad del tratamiento en cuestión, el número de personas afectadas y el daño infringido en las mismas. 
  • La naturaleza deliberada de la infracción. 
  • Las medidas tomadas por el responsable o el encargado para limitar el daño en los sujetos involucrados. 
  • La responsabilidad del encargado o responsable de los datos, considerando las medidas técnicas y organizativas que deberían haberse tomado conforme a los artículos 25 y 32 RGPD. 
  • Infracciones previas. 
  • Nivel de cooperación con la autoridad de control holandesa para remediar la infracción y reducir las posibles consecuencias negativas. 
  • Las categorías de datos personales afectadas por la infracción. 
  • La manera en la que la autoridad de control ha sido notificada de la infracción y si el responsable ha informado de la misma. 
  • En qué medida el responsable o el encargado ha cumplido con otras medidas previas impuestas por la autoridad de control conforme al artículo 58 (2) del GDPR.
  • Cumplimiento con códigos de conducta conforme al artículo 40 del RGPD o con mecanismos de certificación aprobados referidos en el artículo 42 RGPD. 
  • Cualesquiera otras circunstancias que puedan ser consideradas factores agravantes o atenuantes, como ganancias adquiridas o pérdidas evitadas, independientemente de que se deriven de forma directa o no del incumplimiento.  

Su guía general para la imposición de multas se basa en las siguientes categorías, como determina el RGPD: 

Categoría Rango de multas Multa estándar
I €0 to €200,000 €100,000
II €120,000-€500,000 €250,000
III €300,000-€750,000 €525,000
IV €450,000-€1,000,000 €725,000

La multa impuesta a la Asociación de Tenis Holandesa, KNTLB, se basó en una categoría III de incumplimiento y por lo tanto incurrió en la multa base para esta categoría: 525.000€. Hasta ahora este año, hemos informado de dos multas impuestas por el Garante, la autoridad de control italiana: a Tim Spa y a Eni Gas E Luce, por 27,8 y 11,5 millones de euros respectivamente. De forma más reciente, la ICO en Reino Unido ha impuesto una multa de medio millón de libras a CRDNN Ltd

Con las autoridades tomando medidas contra las empresas que hacen un mal uso de los datos que tratan, es esencial que las organizaciones aseguren cumplimiento con el RGPD, la LSSI y la LOPDGDD. Aunque esta es sólo la tercera multa impuesta por la autoridad de control holandesa bajo el RGPD, se trata de la primera autoridad de control en la UE que define una política para imponer multas, de manera que puede inspirar a otros Estados Miembro a hacer lo mismo.   

¿Tu empresa ha implementado todas las medidas de seguridad adecuadas en conformidad con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

technology privacy: COVID-19 pandemic

Tecnología y privacidad en la lucha contra la pandemia del COVID-19

Con miles de casos nuevos de infectados cada día a nivel global, muchas autoridades de sanidad están optando por la tecnología en esta batalla mundial contra la pandemia. Pero ¿pueden funcionar estas apps sin interferir con la privacidad de los ciudadanos? ¿Cuál es la relación entre tecnología y privacidad en la lucha contra la pandemia del COVID-19?

Muchos países de la Unión Europea han anunciado de manera reciente su intención de emplear una app que permita monitorizar los contactos de todo aquel que haya dado positivo en coronavirus, y así notificar a las personas que por ese medio puedan haberlo contraído también, con lo que parece que hay fuertes vínculos entre tecnología y privacidad en la lucha contra la pandemia del COVID-19. La iniciativa Pan-European Privacy Preserving Proximity Tracing (PEPP-PT) reúne a 130 investigadores de ocho países para desarrollar aplicaciones que desempeñen dicha función. Se espera que este proyecto común se lance el 7 de abril y la idea es que la app indique a la gente si su nivel de riesgo es alto o bajo en función del contacto que hayan tenido con otros individuos que han dado positive en la prueba, y de esta forma instruirles sobre si deberían realizarse el test o guardar el período obligatorio de cuarentena en sus casas. La proximidad con los pacientes infectados se calcula mediante Bluetooth o a través de códigos QR disponibles en espacios públicos. Se pretende que la app también identifique las áreas communes y medios de transporte utilizados por dicha persona, para así informar de la necesidad de desinfección de dichas zonas. La app podría también funcionar como un hub para todos los servicios relacionados con el coronavirus, como las solicitudes de comida o medicamentos. Conforme a un a un artículo publicado en el New York Times, la plataforma se diseñará con respeto a todos los requisitos y principios impuestos por el RGPD. Las conexiones entre dispositivos se guardarán durante dos semanas con fuerte cifrado y, parece que serán sólo las autoridades de sanidad locales, consideradas personas de confianza, las que podrán descargarse tales datos y notificar a los individuos en riesgo.

El Reino Unido lanzará su propia aplicación cerca del levantamiento de la cuarentena. Según Sky News y por fuentes cercanas al proyecto, la app lleva existiendo un tiempo, pero se necesitaba precisar algunos detalles que no se han especificado y acordado hasta ahora por el NHSX, la Unidad del Servicio Nacional de Salud de Reino Unido encargada del proyecto. El NHSX nombrará también a un comité ético para que supervise el proceso, y la app será acorde al RGPD. El uso de la misma será voluntario y requerirá consentimiento. 

En España son tres las medidas que se han desarrollado: una aplicación de auto-evaluación, un chatbot y un estudio de la movilidad a través de los datos recogidos por los operadores de telecomunicaciones. Mientras que estos últimos podrán ser tratados sobre la base de interés público en el área de salud pública, que es una de las bases cubiertas por el RGPD, según el Gobierno español la movilidad se analizará con datos agregados y anonimizados. Sin embargo, ha de tenerse en cuenta que los datos tratados por los operadores de telecomunicaciones son generalmente pseudonimizados, no anonimizados, con lo que el RGPD se seguiría aplicando. De no ser así, por parte del Gobierno se deberían especificar las técnicas empleadas y las medidas de seguridad aplicadas. 

Mientras que el uso de estas apps será opcional por ahora, este estudio elaborado por investigadores del Instituto de Big Data de la Universidad de Oxford concluyó que para dicha tecnología sea efectiva y realmente lleve a la reducción de casos de contagio, debería ser utilizada por al menos el 60% de la población. El Servicio Nacional de Salud de Reino Unido espera que la app sea acogida por el menos el 50% de los ciudadanos. Una herramienta muy similar fue lanzada para combatir el coronavirus en Asia, y en países como China su uso es obligatorio para el público general. Existe por tanto ahora una probabilidad de que se solicite a la gente que demuestren a través de la app que son individuos de bajo riesgo, antes de permitirles entrar en zonas muy concurridas, como restaurantes. También se les podría requerir que usen códigos QR en algunas áreas públicas. 

Esta tecnología podría ayudar a los gobiernos a reducir las medidas impuestas, pero también se deben tener en cuenta las implicaciones para la privacidad. Conforme al Dr Bostjan Makarovic, Socio Gerente de Aphaia, “Mientras que puede resultar necesario reducir los requisitos de privacidad en momentos tan duros como lo es la amenaza de una pandemia, los gobiernos también deberían asegurar a la gente que dichas medidas son proporcionales y temporales”. 

Y tú, ¿qué opinas? ¿Usarías este tipo de apps de manera voluntaria? ¿Qué información te gustaría recibir sobre la manera en que se van a tratar tus datos antes de hacerlo? 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.