STOPCOVID: El viaje de una aplicación controvertida

STOPCOVID: El viaje de una aplicación controvertidaNo pasa un día sin que se aborde la cuestión del "desconfinamiento" de la población, en Francia y en otros lugares, en relación con el rastreo del virus y de los individuos que lo transmiten.

Algunos avances recientes mencionan la creación de un fichero para rastrear a las personas infectadas, cuyos detalles se someten a la CNIL para su revisión.

Los medios de comunicación también informaron de un enfrentamiento entre GAFAM y el gobierno para implementar la aplicación más virtuosa "stopCovid".

Aunque los debates parlamentarios sobre esta aplicación están actualmente suspendidos, ¿podemos tener una visión clara de los problemas e impactos de ese monitoreo digital?

¿Se trata de una cuestión de soberanía nacional, de control de datos o, más prosaicamente, de “simples” decisiones técnicas?

La pregunta es importante porque no afecta sólo a Francia, sino a la mayoría de los países europeos y a otros estados que intentan gestionar la pandemia.

Protocolos y su impacto en el procesamiento de datos

El proyecto PEPP-PT (Privacy Preserving Proximity Tracing) fue concebido originalmente para permitir el desarrollo de aplicaciones en Europa de forma armonizada y de conformidad con la ley.

El objetivo es informar a una persona de que ha estado en contacto con una persona infectada, basándose en la tecnología Bluetooth de su teléfono inteligente, sin geolocalizarla.

Aunque inicialmente el PEPP-PT pareció ganar apoyo, varios cientos de científicos se distanciaron y tomaron posición en una carta abierta a favor de un protocolo basado en un enfoque descentralizado como el DP-3T (rastreo de proximidad descentralizado que preserva la privacidad), de modo que los datos permanezcan almacenados localmente: esto ofrecería mejores garantías en términos de seguridad de los datos y con respecto a los riesgos de apropiación indebida de datos por parte de terceros o de uso para diferentes fines.

Recordemos que la conservación de datos a nivel local es un principio de proporcionalidad y de Privacidad por Diseño planteado en otros contextos como el tratamiento de datos biométricos.

La CNIL tiene una posición clara sobre este tema, que se puede encontrar en particular en su comunicación relativa al uso de datos biométricos por parte de teléfonos inteligentes o en el lugar de trabajo. 

Las herramientas implementadas por Google y Apple fueron desarrolladas (en particular) con esta perspectiva de almacenamiento local recomendada en el protocolo DP-3T, con el fin de evitar un uso demasiado intrusivo de los datos de las computadoras portátiles de los usuarios.

El problema radica cuando Francia (e inicialmente Alemania, que luego cambió de opinión) desarrolla una aplicación basada en el protocolo Robert (para ROBust y rastreo de proximidad que respeta la privacidad), que no puede funcionar en base a las funcionalidades propuestas por Apple y Google, con requisitos específicos en términos de Bluetooth y centralización de datos (los detalles se explican claramente aquí).

Esto no significa en sí que la solicitud francesa viole los principios de protección de datos: se han proporcionado garantías (en particular en términos de seudonimización) y la CNIL, al emitir algunas observaciones, ha emitido un dictamen favorable.

Pero si Francia toma precauciones, ¿cuántos otros países más o menos democráticos aprovecharían las funciones "a la carta" propuestas por Apple y Google para ejercer una vigilancia mucho más intrusiva sobre sus poblaciones?

Esto explica, en parte, la reticencia de los gigantes de la web y el estancamiento actual de la situación.

La Presidencia del Consejo Europeo ha incluido este punto en el orden del día de su reunión del 5 de mayo, durante la cual los ministros de Telecomunicaciones de la UE intentarán adoptar un enfoque común.

El marco legal

Más allá de estos aspectos técnicos, la gestión de datos de contacto a través de este tipo de aplicaciones plantea cuestiones comunes de cara a la ley: aclaremos desde el principio que los datos no son anónimos sino seudonimizados, lo que da lugar a la aplicación del RGPD y de los principios de protección de datos de telecomunicaciones.

Además del carácter voluntario del uso de la aplicación, el gobierno sólo puede procesar este tipo de datos sensibles si está autorizado a hacerlo por una base legal específica.

Además, debe garantizarse la transparencia del tratamiento, los datos deben estar protegidos y su eliminación debe planificarse dentro de plazos estrictos.

Ya se trate de la CNIL, el CEPD (grupo de las "CNIL" europeas), el Supervisor Europeo de Protección de Datos (SEPD) en su audiencia en el Senado el 27 de abril o el Consejo de Europa, las autoridades de control recuerdan que ningún sistema puede evitar completamente las vulnerabilidades y los riesgos de reidentificación, ya sea un sistema centralizado o descentralizado.

Coinciden en las precauciones que hay que tomar en el diseño y utilización de las aplicaciones, pero también destacan ante todo el carácter no trivial de este tipo de herramientas, citando el riesgo de prolongar las situaciones de emergencia y de que la población se acostumbre a una vigilancia latente. 

En la misma línea, podemos citar a los estudiantes que hoy en día tienen que acostumbrarse a las capturas de pantalla periódicas de su terminal por parte de su profesor cuando realizan un examen a distancia, y que eventualmente podrían encontrar normal este tipo de intrusión en otros contextos.

Se trata, pues, sobre todo de no eludir la cuestión fundamental de la necesidad de la medida, de su impacto y de su proporcionalidad frente a las consecuencias sobre los derechos fundamentales de los individuos.

Y además:

• En Francia:

Además de un número significativo de Fichas prácticas relacionadas con la gestión de pandemias En el marco de la investigación científica, las relaciones laborales y el seguimiento de las personas, la CNIL acaba de lanzar una Consulta pública sobre los derechos de los menores en el entorno digital. Estará abierto hasta el 1 de junio de 2020.

• Europa e Internacional:

El Comité Europeo de Protección de Datos (CEPD)) adoptó varios documentos destinados a orientar a las autoridades públicas y a las empresas en el contexto de la gestión de datos en el contexto de la pandemia: se centró en particular en las condiciones de tratamiento de datos con fines de investigación médica, en las transferencias internacionales de estos datos y en el seguimiento y la localización a través de terminales móviles.

A nivel internacional, los documentos de todas las autoridades están disponibles en el sitio web de la Asamblea Global de Privacidad.

BEUC (Organización Europea de Consumidores) comunicó el 21 de abril una acción conjunta con más de 40 organizaciones de derechos y libertades de los consumidores con respecto a la vigilancia generalizada por parte de la industria de tecnología publicitaria y el seguimiento digital.

Bélgica :La autoridad de protección de datos ha impuesto una Multa de 50.000 € por violación del principio de independencia del DPO :la sala de controversias consideró entonces que la acumulación de esta función con las de director de los departamentos de riesgos, auditoría y cumplimiento constituía un conflicto de intereses.

Países Bajos: La Autoridad de Supervisión Holandesa impuso su multa más alta a finales de abril, que asciende a 725 000 €, contra una empresa que procesaba huellas dactilares de sus empleados sin justificación real en términos de seguridad.

Anne Christine Lacoste

Abogada especializada en derecho de datos, fue Responsable de Relaciones Internacionales del Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

Como parte de la expansión del teletrabajo, la autoridad también ha realizado una comparación muy detallada de los principales sistemas de videoconferencia en materia de protección de datos. Solo la versión en neerlandés está disponible en línea, por lo que adjuntamos la traducción completa no oficial al inglés (gracias a Christopher Schmidt). También cabe añadir a esta lista la solución Tixeo, mencionada por la CNIL en sus recomendaciones sobre videoconferencia y certificada por la ANSSI.