COLUMNA DE OPINIÓN
Problemas de protección de los datos personales de la aplicación “CoronApp”
22.04.2020
Hoy nuestra principal fuente de financiamiento son nuestros socios. ¡ÚNETE a la Comunidad +CIPER!
COLUMNA DE OPINIÓN
22.04.2020
En esta detallado análisis de la política de privacidad y de los “términos y condiciones” de CoronApp, -la aplicación lanzada por el MINSAL para hacer seguimiento de personas con Covid-19 – los autores detectan vacíos y el uso de lenguaje impreciso al momento de fijar las reglas de la App y los derechos de los usuarios. Argumentan que esto puede permitir que los datos sean usados para fines que sus titulares no dimensionan. “Las palabras de los contratos nunca son elegidas al azar por los abogados”, explican. En el caso del negocio de los datos esa vaguedad busca “dejar abierta la posibilidad de recolectar más datos de los expresamente señalados y/o poder usarlos con fines distintos a las informados”. Eso es inaceptable para una aplicación del estado, argumentan.
La aplicación móvil “CoronApp” lanzada por el Ministerio de Salud para hacer seguimiento de personas con Covid-19 o sospechosas de tenerlo, no ha dejado a nadie indiferente, generando discusiones en torno a su real utilidad, así como a su legalidad, y muy especialmente, acerca de los riesgos que podrían derivarse de su uso, dado el alcance del tratamiento de datos que permite llevar a cabo.
CoronApp trae las mismas trampas que la mayoría de las aplicaciones móviles cuyo negocio es el tratamiento y venta de la información de sus usuarios: términos y condiciones poco claros y falta de transparencia en su política de privacidad, además, terceros ajenos al MINSAL (tanto privados como públicos) podrían acceder a los datos recolectados por la App. Si ello sucede, será muy difícil –si no imposible– seguir la huella de los datos y controlar la forma en que los mismos sean usados.
La legalidad del tratamiento es un aspecto basal en la protección de datos personales. De acuerdo a la ley que regula esta materia (Ley 19.628), un determinado tratamiento de datos sólo puede ser llevado a cabo si la ley lo autoriza o el titular consiente con ello. En el caso de los organismos públicos, cuando el tratamiento se basa en el consentimiento, además se discute si el mismo solo puede ser realizado dentro del ámbito de las competencias del respectivo organismo, o si, por el contrario, el alcance del tratamiento estará dado exclusivamente por los términos en que se otorgó el consentimiento.
Los órganos estatales no sólo tienen el deber de respetar, proteger y promover derechos, como la protección de datos personales, sino que además deben apegarse a la legalidad vigente para el tratamiento masivo de datos sensibles.
¿Qué sucede con CoronApp? Su Política de Privacidad no deja claro cuál sería esta base de legitimidad. Si bien se hace referencia a las facultades que por ley tienen el MINSAL y sus organismos relacionados para tratar información de salud conforme a sus competencias (“explícitas e implícitas”), al mismo tiempo se establece que el tratamiento de datos de la aplicación se rige por su política de privacidad la que reiteradamente se refiere al consentimiento de sus usuarios. La práctica internacional con robustas legislaciones sobre protección de datos personales es que la base de legitimidad sea clara y expresamente señalada, porque esta delimitará, en gran medida, las actividades de tratamiento posibles.
En nuestra interpretación la legitimidad de la recolección y tratamiento de datos realizado a través de CoronApp estaría dada por el consentimiento de sus usuarios. De lo contrario no se justificaría, por ejemplo, la habilitación que se da en la Política de Privacidad para que terceros ajenos a la administración del Estado puedan publicar los resultados de investigaciones realizadas con datos recolectados a través de CoronApp, pues la ley no autoriza esta cesión de datos, de manera que no podrían realizar estudios a nombre propio con los mismos. Lo anterior no debe ser confundido con el tratamiento por encargo, en cuyo caso se entiende que el tratamiento es realizado en nombre de quien lo encarga, y en este sentido, cualquier publicación se entendería realizada por el MINSAL, con lo que no requeriría autorización adicional.
Dicho lo anterior, para conocer el alcance del tratamiento de datos que los usuarios estarían autorizando (qué datos, quienes y de qué forma podrán usarlos, tiempo por el cual podrían tratarlos, y demás autorizaciones), es necesario revisar tanto los Términos y Condiciones de la aplicación, como su Política de Privacidad. En ambos instrumentos deberían encontrarse las reglas del juego, entendiéndose ambos aceptados por sus usuarios en su totalidad por el sólo hecho de utilizar la aplicación.
En relación al acceso, además de las dudas ya mencionadas en relación a los casos y finalidades bajo las cuales terceros podrían acceder a los datos de CoronApp, tampoco queda claro si los mismos podrían ser transferidos a otros órganos del Estado en virtud del consentimiento otorgado por sus usuario.
En la Política de Privacidad se señala que eventualmente MINSAL podría ser requerido a “entregar acceso o divulgar los datos a terceros, en virtud de una orden judicial o administrativa”, pero no especifica, por ejemplo, si para ello sólo podría darse en el contexto de una orden dada por una autoridad autorizada por ley para requerir determinados datos, o si, al ser la autorización del usuario la fuente de licitud del tratamiento, su consentimiento estaría ampliando las hipótesis bajo las cuales autoridades administrativas podrían acceder y tratar datos personales.
En cuanto a su finalidad, CoronApp “es una aplicación gratuita de seguimiento de síntomas y acompañamiento de pacientes sospechosos y confirmados con COVID-19”. Sin embargo, no es esa la única finalidad para la cual serán tratados los datos. Podemos encontrar otras, por ejemplo, en la sección referida al almacenamiento de datos, donde se declara que estos podrán ser tratados “con fines históricos, estadísticos, científicos y de estudios o investigaciones” (Sec. 5a), sin que ello sea circunscrito a determinados fines específicos (ni siquiera a cuestiones de interés público) ni limitando las categorías de terceros que podrían llevar a cabo dicho tratamiento.
Además, en los términos y condiciones de servicio de la app, se establece que “puede resultar necesario recopilar y procesar cierta información, la cual se obtendrá desde el dispositivo móvil en donde se ha instalado la aplicación”, añadiendo una nueva finalidad: “realizar mejoras en la aplicación que la optimicen y fortalezcan, tendiente a conseguir una experiencia del usuario satisfactoria”. Pese a que los Términos anuncian que las condiciones de tratamiento serán descritas en la Política de Privacidad, ésta no sólo omite dicha nueva finalidad sino que también no especifica cuál es “cierta información” que vagamente se anuncia.
Por otra parte, sólo en el caso particular de la geolocalización se señala expresamente la base de legitimidad para su tratamiento –el consentimiento del usuario– y la finalidad del mismo: realizar “acciones útiles de seguimiento de pacientes para la protección de la salud pública, durante la vigencia de la emergencia sanitaria”. No obstante, no queda claro cuál es la extensión de la expresión “protección de la salud pública”. Conceptualmente, podría ir mucho más allá del control de los contagios de COVID-19. Los datos de geolocalización son particularmente relevantes para el análisis: a su vez podrían entregarnos otra información, de carácter sensible – por ejemplo, revelar los hábitos personales de los individuos– y, además, son muy difíciles de anonimizar (¿cuántas personas, además de cada usuario de la app, van todos los días de su casa a su oficina?).
En cuanto a los datos que son recolectados, llama la atención que no se aplique el principio de minimización, según el cual solo sean recolectados los datos estrictamente necesarios para la finalidad que se propone la CoronApp.
¿De qué manera conocer enfermedades anteriores o medicamentos que toman las personas podría ayudar a controlar la propagación del COVID-19? Además, se emplean fórmulas abiertas (datos “tales como”), que hacen imposible decir exactamente qué datos serán recolectados.
La duración del almacenamiento de los datos también es incierta. ¿Los datos serán guardados “durante el tiempo que sea necesario para la protección de la salud pública, en el contexto de la emergencia sanitaria” o por el “período de 15 años”? Ambas referencias están contenidas en la sección 5 de la Política y no permiten discernir si es un plazo cierto o indeterminado.
Por último, en cuanto a los derechos de los titulares de los datos, no se explica por qué estos solo pueden ejercer su derecho a actualizar o rectificar su información, y no así su derecho a eliminarlos u oponerse a su tratamiento. Acceso, rectificación, cancelación y oposición son las facultades de todo titular del derecho fundamental a la protección de datos. En este caso, no estamos ante los datos de una ficha clínica o en el contexto de prestaciones de salud, en donde se restringen el ejercicio de tales facultades (sería desastroso que la gente pudiera exigir la eliminación de información de su historial médico). Esta es una aplicación móvil que trata datos en base al consentimiento, que –de acuerdo a la propia Política de Privacidad–, podrán ser utilizados para otros fines que no dicen relación con la atención de salud del paciente, o peor aún, por terceros ajenos a la administración del Estado.
Si CoronApp es útil o no para controlar los contagios de COVID-19, escapa de nuestra expertise (aún cuando ello es criticado en el derecho comparado). La soluciones tecnológicas que buscan recolectar masivamente datos sensibles de las personas deben ser sometidas al más intenso escrutinio, aún cuando la emergencia sanitaria pudiese recomendar implementarlas. Por ello, es necesario alertar sobre los peligros de la utilización de un lenguaje impreciso y fórmulas abiertas en su Política de Privacidad. Las palabras de los contratos nunca son elegidas al azar por los abogados y en el caso de las empresas privadas que tratan datos, estas expresiones generalmente tienen por objeto dejar abierta la posibilidad de recolectar más datos de los expresamente señalados y/o poder usarlos con fines distintos a las informados. Esta apertura permite aprovechar nuevas oportunidades de negocio a futuro, que no se tenían a la vista en un inicio, o derechamente esconder actividades de tratamiento poco éticas.
Aquello que sucede en contratos propios del ámbito privado, no puede tener correlato respecto de los órganos estatales. Éstos no sólo tienen el deber de respetar, proteger y promover derechos, como la protección de datos personales, sino que además deben apegarse a la legalidad vigente para el tratamiento masivo de datos sensibles. En el caso del Estado, resulta clave la transparencia del uso de estos datos. Los organismos públicos deben dar cuenta cómo y por qué toman las decisiones, así como de qué manera vigilan a sus administrados. Lo anterior además, es esencial para cuidar la confianza de los ciudadanos, tan importante por estos días.
La discusión global que estamos enfrentando entre respuestas tecnológicas de vigilancia y la privacidad y autodeterminación informativa de las personas no se diluye por la mera apelación a las normas legales vigentes. No se trata sólo de una facultad legal del MINSAL o de una correcta política de privacidad, sino que los procesamientos de datos se den bajo un ecosistema normativo que permita confiar en su uso adecuado y con una institucionalidad robusta para sancionar sus infracciones, cuestión que no existe en nuestro país. Por ello, las ambigüedades en esta materia sólo menoscaban los esfuerzos para controlar la pandemia.
Este artículo es parte del proyecto CIPER/Académico, una iniciativa de CIPER que busca ser un puente entre la academia y el debate público, cumpliendo con uno de los objetivos fundacionales que inspiran a nuestro medio.
CIPER/Académico es un espacio abierto a toda aquella investigación académica nacional e internacional que busca enriquecer la discusión sobre la realidad social y económica.
Hasta el momento, CIPER/Académico recibe aportes de cinco centros de estudios: el Centro de Estudios de Conflicto y Cohesión Social (COES), el Centro de Estudios Interculturales e Indígenas (CIIR), el Instituto Milenio Fundamentos de los Datos (IMFD), el Centro de Investigación en Comunicación, Literatura y Observación Social (CICLOS) de la Universidad Diego Portales y el Observatorio del Gasto Fiscal. Estos aportes no condicionan la libertad editorial de CIPER.