La CNIL da luz verde

La CNIL da luz verde a un concierto experimental en París

La CNIL da luz verde a un concierto experimental en París tras una solicitud de autorización, dado al tratamiento de datos de categoría sensible. 

 

A medida que los gobiernos de todo el mundo centran sus esfuerzos en reabrir e impulsar las economías afectadas por la pandemia del COVID-19, se están también intentando retomar la celebración de eventos masivos, algo que se ha prohibido en muchos países desde el inicio de la crisis sanitaria. El mes pasado publicamos la opinión de la CNIL sobre el uso de los pasaportes COVID para la admisión a eventos masivos. La autoridad de control abordó así los aspectos de privacidad y protección de datos que serían necesarios para que esta actividad se retome de manera funcional. Debido al gran volumen de datos personales que se tratarían, se solicitó autorización a la CNIL para la celebración del concierto, y estudiar de este modo el riesgo de propagación del COVID-19. La CNIL ha mostrado su total apoyo a la realización de este proyecto con fines de investigación, y ha reiterado la importancia de asegurar complimiento con el RGPD y la normativa nacional de protección de datos. 

 

Este concierto experimental es parte de un ensayo clínico que estudia el riesgo de infección por COVID-19 en multitudes.

 

El ensayo clínico consiste en dos grupos de personas, un grupo experimental de 5000 componentes que asistió al concierto y otro, denominado grupo de control y compuesto por 2500 participantes, que no lo hizo. El objetivo del estudio es analizar la transmisión del COVID-19 en una reunión a gran escala o en un evento de multitudes en una habitación cerrada, con la aplicación de los protocolos de salud. El concierto, que estaba programado para el 29 de mayo, se considera el primer intento de recuperar los conciertos con público de pie en Francia. Se han llevado a cabo experimentos similares en otros países europeos como España, y se espera que estas pruebas aporten información sobre cómo de seguro es reintroducir los eventos masivos en el día a día de una sociedad tras la pandemia.  

 

Dado el volumen de datos personales tratados para el desarrollo de este ensayo clínico, se solicitó autorización a la CNIL. 

 

La investigación llevada a cabo por el promotor del concierto experimental implicaba el tratamiento de datos personales de categoría especial de un gran número de sujetos. Durante el estudio, los participantes tuvieron que realizarse numerosas pruebas COVID-19, cuyos resultados se almacenaron de forma centralizada. Asimismo se les concedió la opción de presentar una prueba reciente de resultado negativo, bien de forma online o física. Además, los componentes del grupo experimental fueron grabados durante el proceso, mediante cámaras inteligentes, en un esfuerzo de evaluar las circunstancias bajo las cuales los asistentes a estos eventos son menos propensos a respetar la normativa sobre las mascarillas. Para ello, se informó a cada participante individualmente sobre la manera en la que se iba a realizar el estudio, y se recogió su consentimiento por escrito de manera previa, con la confirmación de que éste era libre, específico e informado. Se les solicitó consentimiento para participar en la investigación en general y también para ser grabados. A su vez, el mismo podía ser retirado en cualquier momento sin justificación. 

 

La CNIL apoyó completamente la iniciativa, y concedió la autorización el mismo día en que recibió la solicitud.  

 

La CNIL, en consideración de los retos a los que se han enfrentado los profesionales del entretenimiento en Francia durante la pandemia, ha otorgado su completo apoyo a este concierto experimental. La autoridad de control destacó la importancia de cumplimiento con el RGPD y el resto de la normativa de protección de datos, al igual que el hecho de otorgar garantías para la protección de los derechos y libertades individuales. Este concierto es tan sólo uno de los tantos proyectos de investigación que se han beneficiado del apoyo técnico y legal por parte de la CNIL durante la crisis sanitaria. Muchos de ellos se han autorizado en menos de dos días a fin de cumplir con los límites de tiempo establecidos, con un total de 117 autorizaciones de investigación médica emitidas por la CNIL durante la pandemia del COVID-19. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Orientaciones del Supervisor Europeo

Orientaciones del Supervisor Europeo de Protección de Datos en relación a los controles de temperatura con motivo del COVID-19

Los controles de temperatura durante el COVID-19 se han convertido en parte del día a día. El Supervisor Europeo de Protección de Datos (EDPS) ha publicado una serie de orientaciones para ayudar a las instituciones a desarrollar estas medidas con la privacidad de los individuos como prioridad. 

 

La pandemia del COVID-19 ha llevado a muchas instituciones europeas y de todo el mundo a implementar estrictos protocolos y medidas de seguridad para prevenir la propagación de los brotes. De esta forma, en muchos casos ha resultado necesaria la implementación de algunas garantías en los centros de trabajo, como lo son los controles de temperatura. Sin embargo, se debe avanzar con cautela, pues el derecho a la privacidad no puede verse afectado por esta situación.

 

EL EDPS ha publicado orientaciones en aras de proteger la seguridad y privacidad de los sujetos europeos. 

 

Hay una serie de requisitos que el EDPS ha impuesto de manera obligatoria a algunas instituciones europeas, a fin de confirmar que la seguridad y la protección de la privacidad son clave en esta nueva normalidad a la que nos enfrentamos. Una de las medidas clave es que no estará permitido registrar ningún tipo de datos personal cuando se toma la temperatura. En otras palabras, esto significa que el control de temperatura debe realizarse de manera manual y los resultados no podrán grabarse si añadirse a ningún tipo de archivo. Sin embargo, si se da algún tipo de sistema automatizado como una cámara térmica, es fundamental que estas no estén integradas en la nube o en un archivo donde se acumulen las temperaturas de los sujetos, los visitantes o cualquier otra persona que se vea expuesta a dicha comprobación. 

 

El personal encargado deberá estar entrenado no solo para utilizar la máquina, sino también para verificar la validez de la lectura inicial y recalibrar los dispositivos cuando sea necesario. 

 

Además, deberá haber personal preparado que no solo utilice el dispositivo, sino también que sea capaz de explicar a los interesados el motive por el cual se lleva a cabo dicha prueba. Los resultados de la prueba deben ser fiables dado el derecho de los sujetos de hacerse varias pruebas para verificar la validez de la lectura inicial. Los empleados presentes también tendrán que ser capaces de explicar cómo funciona la máquina, así como estar preparados para calibrar el sensor cuando sea preciso. Cabe recordar de nuevo que está completamente prohibido añadir la información recogida a ningún tipo de sistema de archive, pues esto sería una violación directa de la Carta de Derechos Fundamentales y de las orientaciones del EDPS. 

 

Las instituciones deben cumplir requisitos adicionales para alcanzar el estándar mínimo en relación a la gestión de la pandemia. 

 

Uno de los factores principales son los lugares de trabajo y los espacios públicos, pues estos deben cumplir el estándar mínimo para adaptarse a los protocolos de salud, tales como mascarillas, geles desinfectantes y controles de temperatura. Así por tanto, el objetivo es alcanzar un equilibrio entre los protocolos de seguridad y los requisitos de privacidad. La mayor preocupación para el EDPS es mantener el equilibrio entre legitimidad y seguridad de los ciudadanos, dado que muchas medidas podrían perdurar incluso una vez que el COVID-19 haya desaparecido.  

 

Los interesados deberán estar completamente informados. 

 

Por otro lado, es también muy importante que aquellas personas que entren en estas instituciones sean conscientes de los motivos por los cuales se lleva a cabo tal control, así como de toda la información al respecto, la cual debería estar disponible en el lugar y momentos relevantes. En caso de que, tras varias pruebas, el resultado de temperatura de una persona sobrepase los umbrales permitidos para acceder al sitio, dicha persona deberá recibir asistencia en relación a indicaciones donde pueden encontrar un hospital o centro cercano donde puedan tomarse la prueba del COVID-19. Se les debería entregar algún tipo de certificado de denegación de acceso a fin de validar cualquier trámite official o burocrático para verificar el motivo por el que no pudo entrar al sitio. 

 

A los empleados se les debería ofrecer alternativas para continuar trabajando en medio de la crisis sanitaria. 

 

En el caso de los empleados es necesario que se consideren métodos de trabajo alternativos, como el teletrabajo, dado a la disrupción que esta prueba puede suponer. De esta forma, se intenta evitar que la situación impacte de manera negativa su rutina a la vez que se saca el máximo Partido de los controles de temperatura, sin afectar a la privacidad. 

 

Es obligatorio que los dispositivos empleados para los controles de temperatura sean revisados y recalibrados de manera regular. 

 

También es importante señalar que debido a que el umbral en el control de temperatura por el COVID-19 es un grado de margen de error, el recalibrado y el mantenimiento de los dispositivos se debe hacer de forma regular y por personal cualificado. De nuevo, la base es que estas tecnologías no pueden estar conectadas a ningún medio de almacenamiento en la nube ni ningún Sistema de archive, y las lecturas se tendrán que realizar de forma manual por una persona que no solo comprueba resultados, sino que está cualificada para comprenderlos y detector cualquier error que pueda resultar de la máquina, pues es inconstitucional por la Carta de los Derechos Fundamentales de la Unión Europea permitir a una máquina ese nivel de decisión sin intervención humana. Así por tanto, es primordial que haya alguien para verificar los resultados recogidos. 

 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos, el RGPD y la LOPDGDD durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.