Dos procedimientos sancionadores contra Radar COVID
La Agencia Española de Protección de Datos finalmente ha abierto dos procedimientos sancionadores por una posible vulneración del Reglamento General de Protección de Datos (RGPD) en la aplicación Radar COVID. Uno de ellos, contra la Dirección General de Salud Pública, dependiente del Ministerio de Sanidad, y otro al Ministerio de Asuntos Económicos y Transformación Digital, dependiente del Ministerio de Economía.
Con esto da seguimiento a las demandas de una ONG, Rights International y un particular, Pau Enseñat, y a cuatro consultas más sobre Radar COVID, que se han incorporado al expediente abierto. Por el momento la agencia no facilita más detalles a Newtral.es al tratarse de un expediente en curso.
Tanto Rights International como Enseñat han denunciado que Radar COVID no cumplía con las directrices marcadas por el Reglamento General de Protección de Datos.
Los comunicados de la AEPD a los demandantes además indican que no reconocen a los denunciantes condición de interesados, algo para lo que no dan justificación en el escrito. Esto significa que al no ser parte, no se les irá informando del procedimiento a lo largo del proceso.
Enseñat, presentó la primera reclamación en septiembre de 2020. Allí preguntaba si Radar COVID ha cumplido con los principios de licitud, lealtad, transparencia y responsabilidad proactiva del Reglamento General de Protección de Datos (RGPD, art. 5), de conformidad con las directrices del Comité Europeo de Protección de Datos (Art. 70 RGPD), dado que no se había publicado la evaluación de impacto obligatoria.
La agencia española apreció “indicios racionales de una posible vulneración de la normativa en materia de protección de datos”, según el documento al que Newtral.es ha tenido acceso, y en octubre de 2020 dio admisión a trámite a esta reclamación.
La evaluación de impacto previa
En una aplicación de rastreo de contactos entran en juego normativas que protegen nuestros datos personales. Los datos de salud, que son considerados más sensibles porque su mal uso puede afectar derechos fundamentales, y son uno de los tipos de datos que hacen necesaria una Evaluación de Impacto en Protección de Datos (también llamado EIPD), trámite obligatorio según el RGPD.
Con la llegada de la pandemia, el Comité Europeo de Protección de Datos publicó unas directrices específicas para las aplicaciones de rastreo de contactos en las que regula el uso de datos de localización. En ellas considera que esa evaluación de impacto debe llevarse a cabo “antes de empezar a utilizar una aplicación de este tipo por cuanto se considera que el tratamiento puede entrañar un alto riesgo (datos sanitarios, adopción previa a gran escala, seguimiento sistemático, utilización de una nueva solución tecnológica)” y además recomienda “encarecidamente” su publicación.
Rights International Spain (RIS) es una ONG independiente sin ánimo de lucro, asociada a la European Liberties Platform, que promueve libertades civiles para ciudadanos de la Unión Europea. Esta organización estuvo durante meses solicitando la evaluación de impacto al Gobierno. La Secretaría de Digitalización e Inteligencia Artificial (SEDIA), responsable de la ejecución de Radar COVID, le prometió que facilitaría el informe antes de que acabara el año, lo que no cumplió. El informe terminó siendo publicado a fines de enero, pero las irregularidades continuaron.
Lo que la SEDIA publicó entonces fue una evaluación de impacto presuntamente realizada en noviembre de 2020, aunque el PDF mostraba como fecha de creación enero de 2021, y sin que conste firma electrónica alguna, control histórico de versiones, ni ninguna otra información que permitiese conocer la evolución del documento desde su versión inicial.
Fue entonces cuando Enseñat envió una ampliación de la reclamación, porque desde que presentaron la inicial en septiembre hasta enero había habido modificaciones en la app y en la documentación publicada. “Por ejemplo, en la política de privacidad hubo muchísimos cambios”, indica Enseñat. “Muchas de las cosas que denunciamos en la primera reclamación las corrigieron, las cambiaron”. Aunque los cambios eran silenciosos, para algo debieron haber servido esas reclamaciones, o así lo cree este abogado. “Recuerdo que un lunes presentamos la reclamación, y el martes publicaron la declaración de impacto. En la vida existen las casualidades pero esto yo creo que es más una causa”, reflexiona Enseñat.
Contradicciones y falta de transparencia
Las coincidencias no se limitaron a eso. Además de la publicación de la evaluación de impacto, Enseñat en su reclamación de septiembre había pedido la publicación del código fuente, un requisito que también pedía el organismo europeo y que venían pidiendo públicamente un centenar de investigadores y académicos.
Enseñat dice que recuerda que presentó la reclamación “y al día siguiente o esa misma tarde” se publicó el código fuente. Que luego se vio que estaba ofuscado, como contamos en Newtral.es, por lo que no se podía saber si era el que estaba en la app que estaba en las tiendas, y del que faltaban versiones del repositorio, como corresponde a la transparencia exigida por la normativa europea.
La tercera solicitud de Enseñat en la reclamación de septiembre 2020 se refería a la transparencia. Uno de los requisitos de la normativa de protección de datos europea es que se explique para qué se van a utilizar los datos, si son anónimos o no, y todo esto tiene que ser comunicado con un lenguaje claro y sencillo para el público en general.
Y según Enseñat, “esa primera versión de la política de privacidad tenía contradicciones bastante básicas a nivel de protección de datos. Por un lado se decía que los datos eran anónimos, pero por otro lado se estaba informando con requisitos que el RGPD establece cuando tú no recabas datos anónimos, cuando estás recolectando datos de la persona. Eso era bastante contradictorio y lo pusimos en una serie de puntos en la reclamación”, explica.
Sin sanción económica
A partir de la fecha de inicio de acuerdo que cita el documento, el procedimiento sancionador puede durar hasta 9 meses en los que se comprobará la realidad, las actuaciones llevadas a cabo durante el procedimiento, y posibles medidas correctoras.
A Enseñat le parece “una vergüenza” que la fecha límite para la resolución esté en mayo de 2022, ya que otros países donde hubo reclamaciones similares de la población, han parado sus aplicaciones en mitad de la pandemia. “Aquí, que se inicie procedimiento sancionador una vez que ya está buena parte de la población vacunada, como que vamos tarde, como siempre. Vamos tarde”.
Sergio Carrasco Mayans, abogado encargado de la litigación estratégica en nombre de Rights International Spain, señala que “se trata de un procedimiento garante, con lo que la infracción debe quedar acreditada para poder sancionar”. El instructor del caso recogerá pruebas, y el punto de vista de los Ministerios presuntos infractores, hasta llegar a una propuesta de sanción.
Pero a diferencia de otros países, no habrá sanción económica. La Ley no lo contempla para estas entidades públicas. La sanción consiste en un apercibimiento, “lo cual al final no supone realmente un incentivo para cumplir”, señala Carrasco Mayans. Enseñat cree que “todo queda en casa”.
3,2 millones de euros, el coste de Radar COVID
“Es evidente que el Estado tenía que centrar esfuerzos en la pandemia”, admite Enseñat, “Pero es público y notorio lo que ha costado esta aplicación a todos los ciudadanos, pues qué menos que pedir que cumpla la normativa, y dar un poco de ejemplo”, remata.
Radar COVID ha costado hasta la fecha 3,2 millones de euros y es promocionada por el Gobierno de España, que en plena pandemia ha pedido a toda la población que se la descargara como una forma de luchar contra la COVID. 1,5 millones de esa cantidad ha sido destinado al plan de promoción en campañas publicitarias.
Sin embargo, esta app registraba en abril sólo un 1,66% de casos positivos en la población mayor a 14 años. Con una tecnología común con las apps de otros países europeos que también la pusieron en marcha, la comparación no nos deja en buen lugar. Reino Unido ha logrado medio millón de descargas entre sus ciudadanos, que se estima que han evitado entre 4.000 y 8.000 muertes por COVID.
Con una tecnología funcionando correctamente y un piloto exitoso según los datos oficiales, el análisis sobre sus bajos resultados de uso señala a la falta de transparencia y por lo tanto de confianza como el principal problema por el que Radar COVID no ha despegado en España.