Piden a Protección de Datos que investigue si hay vulneración de privacidad con la app RadarCovid

En caso de que una persona dé positivo, el sistema sanitario aragonés alertará a dicho ciudadano y le trasladará un código que tendrá que introducirse en la aplicación
photo_camera En caso de que una persona dé positivo, el sistema sanitario aragonés alertará a dicho ciudadano y le trasladará un código que tendrá que introducirse en la aplicación

La plataforma Reclamadatos ha pedido a la Agencia Española de Protección de Datos (AEPD) que investigue si la aplicación app RadarCovid cumple el Reglamento General de Protección de Datos (RGPD) y las directrices del Comité Europeo de Protección de Datos (EDPB).

En su reclamación, Reclamadatos solicita a la AEPD que confirme que esta aplicación que ha lanzado el Gobierno cumple con los principios de licitud, lealtad, transparencia y responsabilidad proactiva (art.5 RGPD), ya que asegura que el Gobierno no ha publicado la Evaluación de Impacto sobre la Protección de Datos (EIPD), en contra de lo indicado expresamente por el EDPB.

También pide que la Agencia investigue si el Gobierno elaboró la EIPD antes de efectuar el tratamiento de datos personales y, en su caso, si consultó a la propia AEPD, tal y como exige la normativa europea.

Adicionalmente, también denuncia que en la Política de Privacidad no se han definido las funciones y responsabilidades de las autoridades sanitarias de las comunidades que han completado los procesos técnicos necesarios para integrar la aplicación en sus sistemas sanitarios (art. 13 y 14 RGPD).

Reclamadatos señala en un comunicado que en comparación con las aplicaciones de Italia y Alemania, RadarCovid no especifica de forma suficientemente clara en la Política de Privacidad las distintas finalidades del tratamiento y las respectivas bases legitimadoras, ni los plazos de conservación de los datos para fines de investigación científica o histórica o fines estadísticos, tal y como determina el Comité Europeo de Protección de Datos.

Pau Enseñat, fundador de Reclamadatos, añade que tampoco se ha publicado el código fuente, aunque la Secretaría de Digitalización que dirige Carme Artigas ha anunciado que lo hará mañana, 9 de septiembre, más de 2 meses después de que superase la fase de pruebas, con 3,4 millones de descargas y la integración en los sistemas sanitarios de 12 Comunidades Autónomas. En la otra cara de la moneda se encuentran las aplicaciones de Italia y Alemania, que han cumplido desde el primer momento las directrices del EIPD y han recibido el dictamen favorable de las autoridades de control de estos países respecto al RGPD, tal y como se apunta en la denuncia.

En la misma se hace referencia al manifiesto en el que más de un centenar de académicos de diferentes ámbitos reclamaba al Gobierno más transparencia con la app exigiendo la publicación del código fuente. Cabe recordar que durante el pasado mes de agosto más de 20 diputados británicos instaron a la presidenta de la Agencia Británica de Protección de Datos (ICO) a investigar al Gobierno británico, después que éste último admitiese no haber llevado a cabo la Evaluación de Impacto requerida por el RGPD durante la fase piloto de “NHS Test and Trace”, la aplicación británica de rastreo de contactos.

Para el fundador de Reclamadatos, “esta herramienta es necesaria pero la forma en la que se ha llevado a cabo no es la correcta. Es especialmente grave que no se haya contado con la AEPD desde un inicio. Si echamos la vista atrás, el pasado 23 de junio la Agencia tuvo que emitir un comunicado aclarando su limitada participación en el proyecto, así como su desconocimiento de los detalles de la articulación práctica de Radar Covid y de la experiencia piloto, aspectos que le impidieron valorar su adecuación a la normativa de protección de datos”.