Protección de Datos desestima los recursos de la Secretaría de Estado de Digitalización, apercibida por el encaje de la app RadarCOVID en el RGPD

La Agencia Española de Protección de Datos ha desestimado los recursos y alegaciones que interpuso la Secretaría de Estado de Digitalización e Inteligencia Artificial después de haber sido apercibida por el organismo de control. La creación de RadarCOVID vulneró varios artículos del Reglamento General de Protección de Datos.

El Gobierno, en los múltiples reales decretos que aprobó para tratar de hacer frente a la pandemia todavía en el año 2020, encomendó al Ministerio de Sanidad la condición de autoridad, con la cual este organismo comenzó a colaborar estrechamente con la Secretaría de Estado de Digitalización, del Ministerio de Asuntos Económicos y Transformación Digital.

El objetivo entonces era encontrar una solución tecnológica que facilitara la labor de rastreo, en un contexto en el que la capacidades sanitarias de las comunidades autónomas estaban completamente desbordadas.

De forma paralela, y a nivel prácticamente global, comenzaron a aparecer aplicaciones que se basaban en una vieja idea: herramientas informáticas al servicio de la epidemiología. Si se empleaba la tecnología adecuada, los terminales móviles permitirían alertar a los usuarios si habían sido contacto estrecho de un caso positivo contagiado con el COVID-19.

Para ello, el Gobierno se hizo con los servicios de Minsait —una filial de Indra—, que diseñó y desarrolló en tiempo récord una app que primero se probó en un municipio de las Islas Canarias. Tras un intenso debate que mereció una tribuna de la propia secretaria de Estado de Digitalización, Carme Artigas, en el diario El País, España acabó confiando en un protocolo diseñado por Apple y Google.

Aquel protocolo supuso una actualización para los sistemas operativos de ambos fabricantes que permitiría que los móviles de los ciudadanos emitiesen una suerte de 'fogonazos' mediante Bluetooth de baja intensidad —para no consumir demasiada batería—. En esos 'fogonazos' viajarían códigos cifrados que identificarían a los usuarios en una red descentralizada.

La pandemia ha puesto a prueba la capacidad de Europa para blindar la privacidad de sus ciudadanos: "No hay conflicto entre salud y datos"

Descentralizada porque esas cadenas de códigos se almacenarían en los dispositivos de cada uno, y no en un solo servidor que podría ser más vulnerable ante ataques informáticos. La idea es que si un usuario notificaba ser positivo de coronavirus, el sistema advertiría a todos los teléfonos que almacenasen sus códigos de haber estado cerca de una persona contagiada.

Todo esto gracias a la premisa de que esos códigos se compartían entre aquellos dispositivos que estuviesen a menos de metro y medio durante más de quince minutos. Esos códigos se almacenarían en los terminales además durante dos semanas, 15 días.

Pero Protección de Datos, que ya se quejó en 2020 de la falta de información sobre el desarrollo de esta aplicación, considera que se vulneraron varios puntos del articulado del Reglamento General de Protección de Datos. Ya lo notificó el año pasado, y lo vuelve a hacer en junio de este 2022 con una resolución con la que pone fin a su silencio administrativo.

En síntesis, no ha lugar a las alegaciones y recursos que la Secretaría de Estado de Digitalización e IA interpuso sobre sus resoluciones previas. No obstante, esta resolución no conlleva una sanción económica, ya que el RGPD no prevé esas multas millonarias que contempla el Reglamento para las instituciones.

Las posibles causas por las que ninguna de las apps para rastrear contactos de COVID-19 han conseguido detener las nuevas olas de la pandemia

La Agencia Española de Protección de Datos considera que se han visto vulnerados parcial o totalmente artículos del RGPD como el 5, 12, 13, 25, 28 o 35, a solo los efectos de los plazos de prescripcíón.

Entre las alegaciones que ha venido interponiendo durante estos meses la propia Secretaría de Estado que dirige Artigas se pueden apreciar argumentos como que el delegado de Protección de Datos del Ministerio de Sanidad nunca elevó ni interpuso queja alguna sobre la app, así como la urgencia con la que se debió contratar su desarrollo a Indra.

También reconoce aquel error informático que pudo ser fatal, ya que abría una seria vulnerabilidad a que terceros pudiesen acceder y deanonimizar datos personales —especialmente sensibles— de los usuarios. En la SEDIA corrigieron el error y continuaron el desarrollo ya que la alternativa era paralizar su uso "y privar a la sociedad de una herramienta con potencial de ayuda".

A pesar de todo, RadarCOVID no ha logrado ser el éxito que el Gobierno esperó. La propia Artigas reconocía esto en una entrevista con este medio hace un año, en la que desgranó algunos de los motivos que, a su juicio, habían provocado que el uso de la plataforma no se implantara más. Habló entonces de "una cuestión de cultura" que confía en que se vaya solucionando.

También defendió que la app logró sustituir hasta a 50.000 rastreadores en los momentos más complicados de la crisis sanitaria.