Fuente original: La aplicación del Plan para la Transición hacia una nueva normalidad del Ministerio de Sanidad y la previsible vuelta del turismo supone un desafío tanto para empresas como para Administraciones Públicas. En la gestión de las restricciones de aforo o la distancia social en lugares públicos se constata la aparición de nuevas iniciativas basadas en aplicaciones móviles.

En esta nota se dan recomendaciones para que el diseño de los tratamientos basados en dichas aplicaciones cumpla con lo establecido en la normativa de protección de datos, de forma que, además de representar garantías reales para la protección de la salud de los ciudadanos, no supongan un riesgo para sus derechos y libertades. Estas recomendaciones se orientan a las soluciones presentes, pero también son válidas para guiar el diseño de futuros tratamientos.

El Informe de la AEPD “El uso de las tecnologías en la lucha contra el COVID19” analizaba algunas  apps que aparecieron en el inicio de la pandemia como las de auto-test y cita previa para pruebas, las de información voluntaria de contagios, las de seguimiento de contactos y los pasaportes de inmunidad. En esta nota vamos a dar recomendaciones para los tratamientos basados en apps no sanitarias, como las de reserva o control de aforo en playas, espacios naturales y otros lugares públicos.

Los tratamientos con la finalidad de controlar el aforo y la distancia social ha llevado a varias entidades a desplegar sus propias soluciones, optando por apps que en ocasiones combinan la reserva de espacio con otras funcionalidades, como la geolocalización, control de acceso con código QR, registro de los datos personales del usuario o funciones vinculadas a redes sociales. Relacionado con el empleo de apps, están valorándose otros medios que utilizan la señalización de los teléfonos móviles, como es el registro de los datos procedentes de la señal wifi o bluetooth.

En este tipo de apps, la AEPD considera que, para alcanzar la finalidad perseguida, y en aplicación del principio de minimización, hay que justificar la necesidad de realizar la identificación de las personas. En este contexto, desde la AEPD se establece la siguiente lista no exhaustiva de recomendaciones para los responsables que estén evaluando implementar alguna de las soluciones anteriores en sus tratamientos:

La finalidad debe estar claramente definida y debe limitarse a la gestión de medidas distancia social tales como el control de aforo o el control de distancia.

Los tratamientos que se propongan han de ser realmente efectivos con relación a la finalidad y no pueden generar falsas expectativas de seguridad de acuerdo con el principio de lealtad del tratamiento.

La implementación de tratamientos basados en apps deberá fundamentarse en un análisis de necesidad y proporcionalidad que determine tanto la utilización de la app como el conjunto de datos mínimo necesario para conseguir los fines que se persiguen. En particular, la identidad del usuario o su seguimiento, incluido el uso de identificadores únicos de cualquier tipo o aquellos procedentes de la señal wifi o bluetooth, solo podrá tratarse si son estrictamente necesarios para la finalidad de la app.

No se deberán tratar categorías especiales de datos, en particular datos de salud, más allá de, en su caso, los estrictamente necesarios para gestionar los espacios reservados a personas con discapacidad.

Las funcionalidades de la app deben ser exclusivamente las necesarias para las finalidades concretas que se persiguen, no mezclando funcionalidades como fidelización, publicidad o redes sociales. No se deben tratar los datos personales para ninguna otra finalidad que no sea la relacionada con la gestión de las medidas de distancia social que justifiquen la implantación de la app.

El uso de la app debe ser de carácter voluntario, basado en el consentimiento del usuario para el tratamiento de los datos personales necesarios para cada una de las funcionalidades que se persiguen. El tratamiento deberá estar basado en un consentimiento libre, informado y específico. El uso de una determinada app no debe condicionar el acceso a espacios públicos, debiendo proporcionarse alternativas con el mismo grado de facilidad de uso.

El responsable del tratamiento deberá garantizar el cumplimiento de los principios del RGPD y LOPDGDD en todos los tratamientos que se realicen, incluidos los relativos a la necesidad de contratos o vínculos legales que regulen dichos tratamientos cuando sean realizados por terceros y las medidas de seguridad adecuadas.

 En el caso de espacios públicos, el responsable de tratamiento deberá ser la Administración Pública que ostente la competencia, que será quien decida los fines y medios del tratamiento.

La utilización de herramientas o recursos de terceros para la implementación del tratamiento o el desarrollo de la app podría incluir proceso de datos personales con finalidades de publicidad, análisis de uso u otros, en particular el tratamiento de identificadores únicos y datos de geolocalización que impliquen el seguimiento de las personas o la elaboración de perfiles. Por lo tanto, se deben utilizar aquellas que ofrezcan las suficientes garantías para que dicho procesamiento no se produzca.

Los datos personales tratados no deben almacenarse más allá del tiempo necesario para cumplir con las finalidades que se persiguen y en todo caso deben ser eliminados cuando estas se extingan, excepto para aquellos datos que sea necesario conservar por obligación legal.

En la medida de lo posible, se deben   adoptar soluciones comunes para el acceso a diferentes espacios públicos en un mismo entorno (ciudad, provincia, región), de forma que se evite exponer a los usuarios a los potenciales riesgos de múltiples apps.

El tratamiento de datos personales de menores de 14 años por este tipo de apps debe ser consentido por sus padres o tutores.

Finalmente, se aconseja seguir las recomendaciones elaboradas por la AEPD para aplicar los principios de responsabilidad proactiva que se pueden encontrar en el microsite de Innovación y Tecnología, específicamente aquellas para el desarrollo de aplicaciones en dispositivos móviles:

– Nota técnica: El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles

– Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva