Desde este pasado lunes 10 de agosto ya está disponible en nuestro país la aplicación Radar COVID, diseñada por la Secretaria de Estado de Digitalización de Inteligencia Artificial, y cuya descarga puede realizarse tanto a través de dispositivos IOS como Android. No obstante, no será hasta el 15 de septiembre de este año cuando se produzca el despliegue nacional. 

A través del presente artículo vamos a tratar de analizar la aplicación desde la óptica del derecho fundamental a la protección de datos, reconocido en el artículo 18.4 de la Constitución Española, con la finalidad de conocer el grado de injerencia que el uso de la aplicación pudiera llegar a significar en nuestra privacidad.  

En primer lugar, y para ir entrando en materia: ¿EN QUÉ CONSISTE LA APLICACIÓN Y CUÁL ES SU FINALIDAD?

Radar COVID es una aplicación de alerta de contagios cuya finalidad es notificar a aquellas personas que se la hayan descargado, que han estado expuestos y en contacto con otros usuarios que hayan dado positivos en test COVID, mediante el envío del código de diagnóstico COVID a través de la propia app, facilitado y acreditado debidamente por las autoridades sanitarias.

                                                   

Además, debemos indicar que, tal y como se recoge en la propia Política de Privacidad del aplicativo, “Estas claves remitidas al servidor no permiten la identificación directa de los usuarios y son necesarias para garantizar el correcto funcionamiento del sistema de alerta de contagios.”

Ahora bien, ¿QUÉ DATOS VA A RECABAR LA APLICACIÓN DE SUS USUARIOS?

Una de las principales preocupaciones entre la población era el que la aplicación recabase de manera obligatoria datos de carácter personal.

A diferencia de otros aplicativos, como la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 (puede consultar el artículo de nuestro Blog en el que explicamos su funcionamiento haciendo clic aquí) la cual sí recababa datos de carácter personal,  como el nombre, apellidos, número de teléfono, DNI, dirección, fecha de nacimiento y datos de salud relacionados con los síntomas experimentados, así como los datos de género y geolocalización (éstos últimos con carácter opcional), la aplicación Radar COVID no almacena ni realiza ningún tratamiento de datos de carácter personal de sus usuarios.

Los únicos datos que la app va a procesar de los usuarios que hayan dado positivos en los test COVID serían los siguientes:

Publicado en Blog

Fue en los años 80 cuando salió al mercado el primer teléfono móvil analógico de la mano de Motorola, suponiendo toda una revolución, ya que por aquel entonces poder comunicarse desde cualquier lugar y sin cables era algo inédito. Desde entonces, la telefonía móvil ha sufrido un proceso de desarrollo en forma de generaciones, que ha ido coincidiendo en el tiempo con cada una de las décadas.

En cada generación, se han ido descubriendo nuevas funcionalidades, y a su vez, han ido apareciendo nuevas amenazas y riesgos para la privacidad de las personas:

  • La generación 1G (principios de la década de 1980) primaba la funcionalidad, sin tener en cuenta la privacidad.
  • La generación 2G (1991), permitió enviar mensajes de texto a través de los terminales de los usuarios. En esta generación ya se introducen técnicas de cifrado en las comunicaciones que mejoran la confidencialidad, aunque por contra, se sufren los primeros ataques de SPAM y de interceptación de comunicaciones.
  • La generación 3G (2000): aparecen los primeros dispositivos con funcionalidades multimedia. Estos teléfonos también trajeron las primeras vulnerabilidades por código malicioso o de localización por GPS.
  • La generación 4G: (2010) permitía acceso de alta velocidad a Internet, y se implementaron técnicas de cifrado más robustas. Sin embargo, su utilización masiva supuso un aumento de amenazas.
  • La generación 5G se espera que sea el gran canal de comunicaciones de esta década. Desde 2016 se están haciendo pruebas con tecnología 5G en varios países de América, mientras que en Europa llegó para quedarse a principios de 2019.

Las mejoras que 5G ofrece a los usuarios son principalmente tres:

  • Mayor velocidad de transferencia: el 5G permite navegar hasta diez veces más rápido que las actuales ofertas de fibra óptica del mercado. A esta velocidad se podrá, por ejemplo, descargar una película completa en cuestión de segundos.
  • Baja latencia en las comunicaciones: es el tiempo que transcurre desde que se inicia el envío de un mensaje y llega el primer bit a destino. Ese tiempo podría reducirse a 5 milisegundos, un período casi imperceptible, pero que nos permitirá conectarnos prácticamente en tiempo real.
  • Mayor capacidad de conexión: permite aumentar exponencialmente el número de dispositivos conectados en tiempo real.

Estas características propician el despliegue de aplicaciones multimedia o de realidad aumentada que requieren respuestas en tiempo real, así como el despunte definitivo del llamado Internet de las cosas (IoT).

Para poner en marcha las redes 5G, se está planificando una renovación sin precedentes en la historia más reciente de la tecnología móvil. En este sentido, cabe destacar tres características que hacen que hablemos de la tecnología 5G como un cambio de paradigma en la concepción de las redes de comunicaciones móviles: virtualización, edge computing, y localización.

VIRTUALIZACIÓN

La virtualización supone que la conexión de los dispositivos se gestione directamente por sus fabricantes o proveedores de servicio a través de una SIM integrada (eSIM) y conectada a una slice de red o red virtual.

La red core, estará dividida en lo que se conocen como network slices, que permiten establecer redes lógicas, con funciones de red propias, sobre una única infraestructura física de telecomunicaciones, con parámetros configurados específicamente para dar respuesta a distintos requisitos de cada aplicación.

Esto sirve para gestionar el registro, acceso y movilidad de los dispositivos de usuario, su geolocalización y la posible interceptación legal de las comunicaciones por los Cuerpos y Fuerzas de Seguridad del Estado.

En la práctica, supondría por ejemplo que los usuarios no tuviesen que gestionar la conexión con el operador, ni introducir una SIM en el dispositivo porque esa función de control es llevada a cabo por los fabricantes o proveedores.

Es inevitable pensar en el fuerte impacto que tiene la virtualización en la privacidad de las personas, sobre todo en relación con el filtrado de datos entre funciones compartidas entre distintos slices.

Publicado en Blog

A raíz de la situación actual de nuestro país surgen distintas controversias en lo que respecta a la protección de datos. Tras la aprobación de la Orden ministerial SND/297/2020, de 27 de marzo (en adelante Orden ministerial u Orden), se han hecho virales noticias en las que se ha hablado de dos polémicas principalmente: en primer lugar, qué dicha Orden derogaba la normativa en materia de protección de datos durante el estado de alarma y, en segundo lugar, que la APP ASISTENCIACOVID-19 tendría geolocalizados y controlados en todo momento a los ciudadanos españoles. Es por este motivo por lo que hemos considerado necesario dedicar un artículo en nuestro Blog para realizar determinadas aclaraciones al respecto.

¿Qué finalidad tiene la Orden ministerial?

Nos encontramos ante una norma de rango reglamentario que puede emanar de cualquiera de los ministros del Gobierno de España, en este caso en concreto del Ministerio de Sanidad. Tal y como podemos encontrar en la exposición de motivos de la mencionada Orden, su principal finalidad es «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública».

Para conseguir dicha finalidad lo que se va a intentar es contar con información real sobre la movilidad de las personas en los días de confinamiento que estamos atravesando en la actualidad:

  • El Instituto Nacional de Estadística (INE) está realizando un estudio impulsado por la Orden ministerial con DATAcovid. En relación con este estudio, el escollo a nivel protección de datos, podría surgir en definir cómo y  cuándo se van a tratar estos datos para conseguir información de los ciudadanos, pero en este caso concreto, en la orden se aclara que solamente: emplea datos de posicionamiento de los dispositivos móviles, anónimos y agregados, proporcionados directamente por los operadores y eliminando cualquier información personal, sin identificar ni realizar seguimientos de números de teléfono o titulares de forma individual”.A este respecto, merece la pena recordar que en octubre de 2019 el INE utilizó la misma técnica para realizar un estudio sobre cuántos ciudadanos se mueven de un municipio dormitorio a una ciudad; qué número de personas trabaja en el mismo barrio donde vive o en uno distinto; de dónde viene la gente que trabaja en una zona, o cómo fluctúa la población en un recuadro a lo largo del día. En esta ocasión también fue criticada la utilización del posicionamiento en los teléfonos móviles, pero a posteriori se pudo comprobar que se cumplía con todas las garantías normativas en materia de protección de datos por parte del INE.
  • Asimismo, el gobierno ha impulsado una App denominada AsistenciaCOVID-19, disponible por el momento en las siguientes Comunidades Autónomas: Canarias, Cantabria, Castilla-La Mancha, Extremadura y Principado de Asturias.Como hemos comentado en la introducción del presente artículo, esta aplicación ha sido muy criticada en los medios de por el uso de la geolocalización de los ciudadanos, diciéndose que el acceso al GPS de los teléfonos móviles sería “conditio sine qua non” para utilizar la App. Valoraremos más adelante este hecho.

¿Cómo puede afectar esto al derecho fundamental a la protección de datos?

Pues bien, a pesar de que como indicábamos anteriormente, ha habido noticias en las que se indicaba que esto podría afectar a la normativa en materia de protección de datos y por tanto a nuestro derecho fundamental reconocido en el artículo 18.4 de Constitución Española (CE), en la Orden no se establece ninguna excepción al derecho fundamental ni a la normativa. Tanto es así, que en la propia Orden se indica expresamente que será de aplicación:

El Reglamento General de Protección de Datos (RGPD).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

El hecho de que se haya podido llegar a pensar que se derogaba la normativa en materia de protección de datos, puedehaber sido consecuencia de un error interpretativo/lectura, tanto por la propia denominacion del Reglamento (UE) 2016/679 que deroga la Directiva 95/46/CE, como el no haber un “punto y aparte” ha creado confusión en lecturas rápidas.

Además, el Ministerio de Sanidad ha comunicado que, para hacer cumplir dicha Orden, velará por llevar a cabo los criterios interpretativos dados por la Agencia Española de Protección de Datos. En este sentido, contamos con muchos comunicados en la página web de la AEPD tratando estas cuestiones, pero el más vinculado al tema actual es el Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus.

Deberemos distinguir el análisis del impacto en materia de protección de datos,como derecho fundamental ,en cada uno de los puntos indicados:

Publicado en Blog

Sanción histórica a LaLiga: 250.000€ por 'espiar' con tu móvil en busca de piratería”; “La AEPD multa con 250.000 euros a LaLiga por la app que usa el micrófono de los móviles” estos son algunos de los titulares que hace unas semanas inundaban los medios de comunicación con motivo de la sanción que la Agencia Española de Protección de Datos (AEPD) impuso a La Liga Española de Futbol (en adelante LALIGA).

Sin embargo, durante este tiempo los profesionales de la privacidad nos hemos mantenido expectantes a la espera de la publicación de la resolución sancionadora por parte de la AEPD, para poder analizar cuáles son los fundamentos de la autoridad española de protección de datos.

Pues bien, la ansiada resolución finalmente se ha hecho pública esta semana, y sin lugar a duda supondrá un punto importante en lo que a interpretación de la norma se refiere.

De la extensa resolución sancionadora, debemos extraer como punto fundamental, que la autoridad española de protección de datos considera que LALIGA ha vulnerado el artículo 5.1 del Reglamento General de Protección de Datos (en adelante RGPD), en lo que respecta al principio de transparencia:

“Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)”

Para comprender por qué la AEPD ha llegado a esta determinación, debemos analizar los siguientes puntos de controversia entre la entidad sancionada y la autoridad de protección de datos:

¿Trata la AppLiga datos personales?

Uno de los asuntos que se sitúa en el lugar principal de controversia es la determinación de si el aplicativo del que La Liga es titular, trata datos de carácter personal. Es imprescindible que sea este uno de los puntos centrales en los fundamentos de derecho, toda vez que, de no existir un tratamiento de datos personales, no tendrían cabida el resto de fundamentos que ahora componen la resolución. Para defender su postura, se argumentan las siguientes cuestiones:

Publicado en Blog

Actualmente es incuestionable que asistimos, de un modo cada vez más frecuente, al uso, por parte de empresas privadas y entidades públicas, de diversos sistemas de control en el ámbito laboral tales como sistemas de monitorización, videovigilancia o mecanismos de registro biométrico y geolocalización de los trabajadores.

Pero ¿están amparadas estas tecnologías por la legalidad vigente?, ¿qué implicaciones conllevan en materia de protección de datos?, ¿qué limites han de tenerse en cuenta a la hora de valorar su implantación y uso? Y la jurisprudencia, ¿qué dice al respecto?

De entre todas estas tecnologías mencionadas centraremos nuestra atención, a ojos de este artículo, en los sistemas de geolocalización de los trabajadores vía GPS, en vehículos o a través de teléfonos móviles, por ser este uno de los sistemas más en alza en los últimos tiempos en las empresas como medio de control de los empleados, así como un recurrente punto de controversia en el ámbito laboral.

Lo primero que debemos dilucidar, es si nos encontramos, o no, ante un tratamiento de datos de carácter personal cuando una empresa accede a los datos derivados de la geolocalización de un empleado.

El artículo 4 del Reglamento Europeo de Protección de datos (RGPD) define los datos de carácter personal como “toda información sobre una persona física identificada o identificable (…)”. Asimismo, los datos de localización fueron ya definidos en el artículo 2 de la Directiva 2002/58/CE como "cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público".

A pesar de que el nuevo Reglamento de privacidad electrónica e-privacy, que sustituye a la Directiva 2002/58/CE, no recoge como tal este concepto; el mismo ha venido siendo mantenido tanto por la Agencia Española de Protección de datos (AEPD) como por el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, en su artículo 64.b.

Partiendo de ambas definiciones, ¿podremos, entonces, considerar los datos de localización como datos de carácter personal? La AEPD es clara a este respecto al indicar que los datos de localización se refieren siempre a una persona física identificada o identificable, consecuentemente, podremos considerarlos como datos de carácter personal, quedando su tratamiento sujeto a las disposiciones contenidas en la normativa vigente en materia de protección de datos. Así lo refleja en varias de sus resoluciones, de entre las que destacamos: E/00827/2018 y E/00868/2018.

¿Será, entonces, necesario contar con el consentimiento previo del trabajador?

Es, sin duda, una de las cuestiones que más incertidumbre causa entre los empresarios que valoran la instalación y uso de estos sistemas de control.

Publicado en Blog

En este mismo blog, hace unas semanas analizábamos la videovigilancia como control empresarial. Hoy toca detenernos en otras medidas de control que el empresario puede llevar a cabo para controlar a sus trabajadores.

1. La geolocalización de los trabajadores vía GPS en vehículos o a través de móviles.

Respecto a esta medida se plantean dos escenarios diversos, no desde el punto de vista del consentimiento ni de la información, sino desde la calidad de los datos, concretamente desde la proporcionalidad en el tratamiento.

En estos casos no es necesario obtener el consentimiento del trabajador para la instalación de los geolocalizadores ya que nos encontramos en el marco de una relación laboral y el empresario puede ampararse en el artículo 20.3 del Estatuto de los Trabajadores. Eso , hay que hacer énfasis en la importancia del deber de informar al trabajador de la instalación de dichos geolocalizadores.

Así lo establece la Agencia Española de Protección de Datos en su Informe 193/2008:

• "...las normas que legitiman el tratamiento de los datos, además de tener en cuenta el Reglamento Comunitario invocado en la consulta, no podemos dejar de mencionar que en el ámbito laboral el Estatuto de los Trabajadores (artículo 20.3) otorga los poderes de dirección del empresario y es en ese articulado, donde podemos encontrar la oportuna legitimación.
• "No obstante la existencia de legitimación no excluye el cumplimiento del deber de informar, por parte del empresario..."

En otro informe (0090/2009) la Agencia analiza la geolocalización a través de smartphones:

• "La finalidad que ocasiona el tratamiento de los datos de localización del escolta es garantizar la seguridad de la persona escoltada. No obstante siguiendo el razonamiento del informe anterior, podría acogerse al poder de dirección empresarial en vez de a la normativa de Seguridad Privada."
• "...el tratamiento de los datos de localización fuera del tiempo de la prestación laboral resulta excesivo en relación a la finalidad perseguida..."

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal