La utilización de herramientas inteligentes para la gestión de datos médicos es una necesidad en situaciones sanitarias extremas que se encuentra amparada por la normativa de protección de datos. No es necesario el consentimiento de los ciudadanos para su utilización. Esto permite el uso de aplicaciones de control de la movilidad de las personas con el fin de mitigar la extensión de la pandemia del coronavirus en estos meses.
De hecho, se ponen como ejemplos para erradicar la pandemia los casos de varios países asiáticos como Corea del Sur o Singapur. Vamos a ver cómo funcionan.
La primera de la que se tuvo noticias fue la coreana. La aplicación realiza un diagnóstico médico que permite detectar quien puede tener síntomas. Esto junto con una gran cantidad de test permite tener un mapa grande de en qué zonas en un radio de 100 metros hay gente infectada, permitiendo a los ciudadanos evitar las zonas de riesgo, que aparecen en un mapa con puntos verdes, amarillos y rojos, y a los que están en ellas auto confinarse. Las personas que estaban confinadas reciben un subsidio de unos 350€ para mantener su subsistencia. Corea tuvo una preparación de infraestructuras con la epidemia del Sars en 2003, tanto para material sanitario como para tener en el país la producción de test.
La aplicación de Singapur sólo solicita el número de móvil, se realiza un diagnóstico para saber si está infectado. Esta información se manda al Ministerio de sanidad con el único identificador del número de móvil y, compartiendo la conexión de bluetooth, permite detectar en un radio los dispositivos de las personas, posibilita evitar el contacto con los infectados. La información que se transmite es anonimizada transmitiendo sólo los datos de conexión de la señal de bluetooth del dispositivo.
El Gobierno de España ha realizado un análisis de datos agregados de las conexiones del móvil seleccionando las zonas de control con 15 conexiones, al menos, para observar la movilidad de las ciudadanía por Comunidades Autónomas. No es necesario el consentimiento de las personas ya que los datos ofrecidos por las tres principales operadoras de móviles son agregados y se consideran anónimos. Además, tiene en intención de desarrollar una app de autodiagnóstico.
La Comunidad de Madrid lanzó una aplicación de diagnóstico en la que se solicitaban como datos, el nombre, el DNI, el número de teléfono, fecha de nacimiento, fecha de nacimiento, sexo, geolocalización (opcional), datos de salud para el prediagnóstico. Es, sin duda, el más invasivo de todos los cuatro y, quizás, el que menos retorno le aporta al ciudadano. Los datos no sólo se suministran a autoridades sanitarias, sino que se pueden dar a las fuerzas y cuerpos de seguridad del estado.
El último ejemplo, es el de Israel y Rusia en los que se han encargado a los servicios secretos el seguimiento de los móviles de los ciudadanos para controlar el movimiento de sus ciudadanos. Estrategia totalmente equivocada.
En una situación normal el Reglamento General de Protección de Datos, de la Unión Europea, así como las legislaciones nacionales permiten, en estos casos de emergencia sanitaria, la utilización de datos sanitarios sin necesidad del consentimiento de la persona. Todos los ejemplos que hemos visto son legales. Lo que no implica que se tengan que poner por encima de otros derechos de los ciudadanos.
Sin embargo, mi interés en este post es destacar la necesidad de un uso ético de la tecnología. Un uso correcto y responsable de la tecnología mejora la consecución de los objetivos perseguidos con estas iniciativas porque consiguen una mayor participación de la ciudadanía al garantizar su legitimidad, que no sólo incluye la legalidad de las medidas.
Las dos características más destacables de las aplicaciones asiáticas son que su uso es voluntario y la garantía por parte del Estado de la anonimización y limitación de uso de la información utilizada.
Sin duda, el mejor sistema para la ciudadanía es la transmisión de información mediante bluetooth. Recientemente, un grupo de investigadores europeo ha diseñado un sistema descentralizado de seguimiento de los ciudadanos por cercanía que permite que sea anonimizado. Se basa de nuevo en la transmisión de datos por bluetooth entre los diferentes usuarios sin que pueda haber una identificación del sujeto.
Las iniciativas en las que se consigue la confianza de las personas, además de evitar la elección entre derechos que no tienen por qué ser inconciliables, permite que el objetivo final se consiga mediante su utilización masiva por parte de la ciudadanía.
Buenas prácticas para conseguir este fin son planificar claramente la utilización de datos -cuál es el fin, por cuánto tiempo se van a utilizar, qué datos son necesarios para conseguir el fin, sólo utilizar los datos mínimos necesarios, explicar la implicación del sector privado en la utilización y cuándo se van a borrar- analizar el impacto en los derechos fundamentales de los ciudadanos, ser claros en la reutilización de datos con fines diferentes a los de la pandemia, permitir la utilización de datos anonimizados para investigación y llevar una política de transparencia ante el ciudadano.
Deben ser consideradas como malas prácticas, en cambio, la utilización indiscriminada de datos, el no hacer un análisis equilibrado entre los datos y los resultados obtenidos, mermar la confianza del ciudadano con una posible utilización del mismo por las fuerzas y cuerpos de seguridad del Estado, la recogida de datos con poca o nula relevancia sanitaria o convertir el fin de prevención de la enfermedad en un posible fin de control y sanción por parte de las autoridades.
Como señala el Reglamento General de Protección de Datos en su artículo 35 hay que realizar una evaluación de impacto en el uso de este tipo de tecnologías que deberá llevar una evaluación de la necesidad y la proporcionalidad, evaluación de riesgos para los derechos y libertades y, finalmente, de las medidas que se van a tomar para evitarlos.
La cuestión no es que sea legal su uso, es que, además, sea responsable.