El Gobierno podrá pedir a los operadores de telecomunicaciones el acceso a los datos anonimizados (tratados de forma anónima) de sus clientes para así controlar los posibles movimientos de los usuarios entre distintas comunidades. Esta iniciativa ya resulta posible tras la reciente derogación de la Ley de Protección de Datos Personales, que viene a responder a la excepcional situación de la crisis del coronavirus. La novedad trascendió el pasado 27 de marzo con la publicación de una orden ministerial por la que el Ejecutivo concede curso legal a un nuevo paquete de medidas para ayudar a controlar la pandemia. Pero al mismo tiempo, esas iniciativas legales también abren la puerta a un posible menoscabo de la privacidad de los ciudadanos, debido a causas mayores, tanto durante el confinamiento como en los días previos a la declaración de Estado de Alarma. Por todo lo anterior, el Gobierno podrá controlar cuántas personas se mueven de una comunidad a otra, con el riesgo de que puedan propagar la enfermedad. Sin embargo, la reforma legal no acarreará eventuales multas o sanciones puesto que la información proporcionada por los operadores de telefonía siempre omitirá nombres y apellidos de sus clientes.
El Ejecutivo ha encargado a la Secretaría de Estado de Digitalización e Inteligencia Artificial, dependiente del Ministerio de Asuntos Económicos y Transformación Digital, el análisis de la movilidad de las personas tanto en la víspera de la declaración de estado de alarma como durante el actual periodo de confinamiento. Para obtener esa información, se cruzarían los datos de los operadores de telefonía móvil con los del Instituto Nacional de Estadística (INE).
El Gobierno explica que, en la ejecución de este estudio, "se velará por el cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos". Es decir, únicamente se gestionarán datos agregados y anonimizados de los usuarios, con el propósito de verificar que la comunidad autónoma en la que el usuario declare estar realmente es la correcta, sin que se produzcan movimientos en el territorio nacional.
Al mismo tiempo, la iniciativa deroga la Directiva 95/46/CE y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y altera los criterios interpretativos dados por la Agencia Española de Protección de Datos. La misma orden ministerial apunta que "el responsable del tratamiento será el Instituto Nacional de Estadística" y que los encargados de proporcionar los datos serán los operadores de comunicaciones electrónicas móviles con los que se alcance un acuerdo, entre ellos Telefónica, Orange, Vodafone, MásMóvil o Euskaltel.
Las referidas reformas pretenden promover el desarrollo de "soluciones tecnológicas y aplicaciones móviles" orientada para "recopilar los datos" de los ciudadanos. De hecho, la normativa puesta en aplicación prevé "mejorar la eficiencia operativa de los servicios sanitarios", sin que ello presuponga un menoscabo en los derechos de protección de los datos personales. En concreto, la herramienta ofrece al usuario la posibilidad de autoevaluación en función de los síntomas médicos que comunique, la probabilidad de que esté infectado por el COVID-19, así como ofrecer información al usuario sobre el coronavirus y proporcionar consejos prácticos y recomendaciones de acciones a seguir según la evaluación. Esa futura herramienta no representa "un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos", ni tampoco "sustituirá la consulta con un profesional médico debidamente cualificado". Entre otras prestaciones, la aplicación en ciernes permitirá la geolocalización del usuario "a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar".
La Agencia Española de Protección de Datos (AEPD) se pronunció días antes de la aprobación de la referida orden ministerial para reconocer que "se están desarrollando iniciativas que implican un elevado volumen de tratamientos de datos personales y, especialmente, de datos sensibles como los de salud, debido a la actual situación de emergencia sanitaria derivada por el COVID-19". Pese a la excepcionalidad del momento, la AEPD incide en que "esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales", pero acto seguido señala que la normativa de protección de datos tampoco "puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común". Por los referidos motivos, la "agencia está colaborando con las autoridades competentes facilitándoles criterios que permitan compatibilizarlos".
Respecto al uso de aplicaciones que solicitan que los ciudadanos faciliten información personal, fundamentalmente relacionada con la salud, la agencia recuerda "los criterios que deben aplicarse para que el tratamiento de los datos personales sea lícito". Pero también indica que dichas salvedades quedan sometidas "a la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas". Dichas excepciones en el uso de los datos personales "se limitan a el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo".
Sobre el uso de aplicaciones de entidades privadas, la AEPD "recomienda a los ciudadanos que sean especialmente cuidadosos a la hora de informarse de quién, para qué y con qué garantías van a tratarse sus datos personales". El mismo organismo protector de los datos personales admite las "amplias competencias" de las autoridades en situaciones excepcionales y abre la puerta a la posible intromisión pública en los datos privados para así para prevenir que "todos aquellos ciudadanos que hayan dado positivo en la prueba del COVID-19 puedan ser geolocalizados a través del teléfono móvil". En todos los casos, los usuarios afectados por el coronavirus deberían facilitar previamente su consentimiento para así llevar a cabo un seguimiento de su cuarentena. En cualquier caso, la AEPD indica que "el único dato que a los efectos de la geolocalización debería facilitarse a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad".