Nunca antes en la historia de la humanidad se han podido rastrear los movimientos humanos de una forma tan completa, y todo ello, es gracias a un dispositivo o a nuestro teléfono móvil. Los sistemas de monitorización de la salud han evolucionado rápidamente durante las dos últimas décadas y tienen el potencial de cambiar la forma en que se presta actualmente tanto la asistencia sanitaria como la investigación científica.

Un ejemplo de iniciativa de investigación en el marco del sector privado es Meta (Facebook), en Data For Good, que pretendía apoyar la investigación en salud pública y utilizaba mapeos de calor con usuarios con síntomas de la COVID-19, recopilando información agregada usando técnicas de ruido y mecanismos de privacidad diferencial.

Al inicio de la pandemia surgíó un aluvión de aplicaciones móviles escalables con tecnología de rastreo promovidos por las administraciones públicas y gobiernos que alcanzaban a miles de millones de usuarios y fueron desarrollados en varios países.

Por ejemplo, TraceTogether (Singapur), SwissCovid (Suiza), NHS COVID-19 App (UK), HaMagen (Israel), Coronalert (Bélgica), Chinese health code system (China), COVID Alert (Canadá), Aarogya Setu (India).

Mientras la pandemia hacía estragos, los tecnólogos de todo el mundo se apresuraron a crear aplicaciones, servicios y sistemas para el rastreo de contactos: identificar y notificar a todos los que entran en contacto con un portador. Algunas app son temporales, otras perduraban en el tiempo y resultaban ser más invasivos.

El sistema chino, por ejemplo, recogía datos como la identidad de los ciudadanos, su ubicación e incluso su historial de pagos en línea para que la policía local pudiera vigilar a quienes infringían las normas de cuarentena. Algunas de esas apps eran desarrolladas por grupos pequeños de programadores, mientras que otras procedían de multinacionales. De hecho, Apple y Google movilizaron enormes equipos para incorporar el rastreo a iOS y a Android de forma que millones de personas pudieran utilizarlo. Este fenómeno sobresaltó a toda la comunidad profesional global de la privacidad y a las instituciones comunitarias europeas.

Los smartphones se convirtieron en una herramienta de ayuda para la gestión y control de la pandemia al generar datos sobre el comportamiento humano. Los operadores de telecomunicaciones las pusieron en manos de las autoridades, organizaciones sociales y organismos epidemiológicos. Los datos recogidos por las soluciones tecnológicas resultaban bastante necesarios  y sirvieron como caldo de cultivo para el desarrollo de la investigación científica sobre el COVID-19 a corto y largo plazo.

Existen gigantes tecnológicos que de forma aislada o con alianzas con farmacéuticas1 tienen intereses en diferentes conjuntos de datos personales, más allá de los intereses de la comunidad investigadora responsable de los proyectos.

Hay falta de infraestructuras públicas europeas con fondos públicos e independientes y excesiva dependencia europea de las grandes tecnológicas, fundamentalmente, europeas. Se sabe que los datos de localización recogidos pasivamente de los teléfonos móviles por empresas de telecomunicaciones se comercializan en los mercados privados.

Pero, ¿qué diferencia hay entre los datos de localización,  los datos de tráfico y datos de geolocalización?

Los datos de localización por su parte, se definen como: “Todos los datos procesados en una red de comunicaciones electrónicas o por un servicio de comunicaciones electrónicas que indiquen la posición geográfica del equipo terminal de una persona que utiliza un servicio público de comunicaciones electrónicas, incluidos los datos relativos a: i) la latitud, longitud o altitud del equipo terminal; ii) la dirección del viaje del mismo; o iii) el momento en que se registró la información de localización».

Ahora bien, los datos de tráfico son: “Cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma”.

Y los datos de geolocalización, son: “Los datos tomados del dispositivo de una persona que indican la ubicación geográfica de ese dispositivo, incluyendo datos de GPS o datos sobre la conexión con el equipo wi-fi local”.

En España, las empresas de telecomunicación comercializan datos de geolocalización y datos masivos de manera anonimizada y agregada a empresas e instituciones, aunque no comparten información individual salvo mandato judicial.

Por ello, es oportuno reflexionar sobre la legitimidad del tratamiento de esos datos, su nivel de anonimato y límites.

Se ha comprobado que las personas se desplazan acudiendo a sitios aleatorios como son el lugar del trabajo u ocio, de forma repetida y esto les convierte en personas predecibles, de hecho, el noventa y cinco por ciento de las personas se pueden identificar fácilmente desde solo cuatro puntos de ubicación diferentes, pero no existe regulación sectorial a nivel internacional que regule los datos de localización y eso conlleva al riesgo de que los reguladores podrían llenar un vacío ético con reglas que no están bien calibradas para las necesidades de las comunidades.

En cualquier caso, el sector privado tiene que promover la autonomía y la famosa autogestión de la privacidad de las personas como usuarias, desde el nacimiento de cualquier proyecto tecnológico y de innovación.

Además de ello, la representatividad y el sesgo discriminatorio son excepcionalmente importantes para los conjuntos de datos de localización. Las prácticas injustas de tratamiento de datos que implican la geolocalización recaen desproporcionadamente en las comunidades marginadas y vulnerables, por ello, es especialmente importante para estos grupos que se aumente la protección de la privacidad.

Por ejemplo, los grupos de mayor riesgo de infección por la COVID-19 fueron los ancianos, personas sin hogar y personas indocumentadas.

El derecho de acceso universal de Internet está recogido en el artículo 81 de la LOPDGD. Esta es una cuestión clave a tener en cuenta para definir el marco ético-jurídico que deberán plantearse todos los stakeholders en el desarrollo de herramientas tecnológicas en el marco de una investigación en la lucha contra las pandemias u otras enfermedades.

El Comité Europeo de Protección de Datos, se ha pronunciado a raíz del escenario pandémico, señalando que tratar metadatos podría presentar problemas X de protección de datos a la ciudadanía.

Según la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas se incluyen como metadatos a los datos utilizados para rastrear e identificar el origen y el destino de una comunicación, los datos sobre la ubicación del dispositivo generados en el contexto de la prestación de servicios de comunicaciones electrónicas, así como la fecha, la hora, la duración y el tipo de comunicación.

En España, en la aplicación «asistencia Covid-19», se informaba de que los datos personales eran conservados durante el tiempo que perduraba la crisis sanitaria y, una vez finalizada, eran agregados de forma anónima para tratarlos con fines estadísticos, de investigación o de planteamiento de políticas públicas, durante un período máximo de dos años.

No obstante, la Agencia Española de Protección de Datos sancionó —con una resolución de más de 200 páginas— al gobierno por la vulneración de algunas de las obligaciones normativas en la implantación de esta solución tecnológica con fines de control y vigilancia pandémica. Respecto a lo que nos incumbe en este trabajo, cabe destacar la falta de información —específica y clara— sobre los plazos de conservación de los datos para los fines de investigación científica en la política de datos.

Pero, además, en la pandemia se requirió encontrar una dirección que permitiese equilibrar la gestión de la salud pública y la gobernanza de datos acercándonos a una ponderación de los derechos y libertades con las obligaciones públicas.

En este sentido, había autores que señalaron que “en el marco de una búsqueda biopolítica de la inmunidad perfecta frente al contagio, nuestras libertades básicas podrían verse considerablemente erosionadas si no introducimos un principio de proporcionalidadentre los distintos valores”.

Por ende, las decisiones políticas resultaron eminentemente determinantes para la gobernanza de datos, el respeto a los derechos fundamentales y la gestión de la salud pública.

En este período, por su parte, el Real Decreto Ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por la COVID-19, dedicó prácticamente un capítulo entero a la detección, control y vigilancia, imponiendo la obligación de facilitar al sector de salud, información y datos de contacto para la trazabilidad a “establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada en los que las autoridades sanitarias identifiquen la necesidad de realizar trazabilidad de contactos”.

La legitimidad del tratamiento se basaba en el interés público esencial en el ámbito de la salud pública para la protección de intereses vitales de los afectados y de otras personas, y no parecía existir previsión de reutilización, ni siquiera con fines de investigación o previsiones específicas respecto a las garantías o medidas de seguridad, remitiendo en todo caso al Reglamento general de protección de datos y la normativa nacional de desarrollo.

En la próxima entrega seguiremos hablando sobre el interés público de la salud pública y el uso de la tecnología.

Bibliografía:

Martínez, J.M., Pérez, L. (2021). La transformación del marketing sanitario. Cómo los datos son el petróleo del Siglo xxi. Madrid. ESIC Editorial, p. 123. Vid. https://www.esic.edu/editorial/la-transformacion-del-marketing-sanitario