El CEPD reafirma la necesidad de consentimiento para el uso de ‘apps’ de rastreo contra la COVID-19

En su trigésimo segunda sesión plenaria del Consejo Europeo de Protección de Datos («CEPD»), la máxima autoridad europea en la materia, se ha reafirmado-Directrices 4/2020 sobre sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19-en la necesidad de un consentimiento voluntario de los individuos (que, bien, han sido diagnosticados o, bien, han resultado positivo en test, de la COVID-19) para compartir esta información mediante las aplicaciones de rastreo de contactos.

También ha recalcado que el acceso a datos y su compartición con motivo de la lucha contra el coronavirus no puede servir como pretexto para acceder a más datos personales de aquéllos que son estrictamente necesarios para el tratamiento (de conformidad con el el principio de minimización de datos-art. 5 RGPD-). Las aplicaciones de rastreo de contactos han de ser parte de la estrategia pública sanitaria de lucha contra pandemia. Igualmente, ha defendido la necesidad de que los responsables del tratamiento implementen medidas efectivas y proporcionadas en este sentido.

Estas manifestaciones del CEPD se producen en un momento en el que las fronteras se vuelven a abrir en el espacio Schengen lo que tendrá, como contrapartida, la implementación del uso voluntario de aplicaciones de rastreo de contactos y el uso de certificados sanitarios. Todos ellos, tratamientos de datos personales sensibles. El órgano supervisor europeo en materia de datos solicita a los Estados miembros que las decisiones de admitir o no a extranjeros en sus territorios no se basen en sistemas automatizados de toma de decisiones basadas en el perfilado de datos.

Una de los sistemas que ya están en marcha es el resultado del proyecto conjunto de Apple y Google para que sus últimas versiones del sistema operativo de los móviles permitan identificar si nos hemos cruzado con un paciente infectado o positivo («Contact Tracing Framework«). Si bien, ésta no está disponible en todos los Estados.

En otro orden de cosas, el CEPD también se ha pronunciado en relación a las dos cartas que el europarlamentario Moritz Körner ha trasladado al supervisor. La primera solicitando información sobre la necesidad de encriptar la información que se transmite a terceros países y la posibilidad de rebajar esta exigencia, a la que el CEPD responde reafirmando la necesidad del uso de tecnologías protectoras como el encriptado, máxima en las transmisiones fuera del espacio de la UE.

En la segunda misisiva, el europarlamentario solicitaba una postura sobre la posibilidad de que los ordenadores personales incorporasen de fábrica con sistemas de censura de las webcams para proteger la intimidad y privacidad de los individuos (basándose en los principios de privacidad por defecto y en el diseño). El CEPD entiende que aunque los fabricantes de ordenadores personales puedan valorar esto a los efectos de coadyuvar al cumplimiento del RGPD, ésta no es una obligación que les atañe, sino al responsable del tratamiento.

Imagen: EDPB by Twitter