Covid-19 vs Protección de Datos: veredicto de los árbitros europeos

Este post, a diferencia del resto de artículos que se publican en Secuoya, no tiene como objetivo realizar un comentario sobre algún elemento de la sagrada y maravillosa protección de datos, sino servir como un recopilatorio de los hilos, escritos por el loco que suscribe estas palabras,  sobre las directrices que las autoridades europeas nos han dado sobre las apps y otros sistemas que se creen para la lucha contra el COVID-19, a fin de que la protección de datos se mantenga y no caiga en este tiempo de incertidumbre.

Doy la gracias a todos aquellos que se hayan pasado a leer, comentar, marcar como “me gusta” o retwittear los hilos, porque son ellos los que han conseguido que tuvieran una difusión mucho mayor de lo que me hubiera imaginado conseguir. Esperemos que también haya llegado a aquellos que deciden.

Para todos aquellos que prefieran el sistema del pájaro azul, aquí están los enlaces a los distintos hilos:

Comisión europea:

Parlamento Europeo:

Comité Europeo de Protección de Datos o EDPB:

Consejo de Europa (En Europa hay vida legal más allá de laUE😉)

Red europea de eHealth

Antes de entrar a reproducir los hilos, cabe destacar que todas las autoridades van a una como en Fuente Ovejuna, y que todos mencionan ciertos elementos que consideran clave:

  • La protección de datos no es una traba para la lucha contra el bicho, sino una garantía que genera verdadera confianza en la ciudadanía.
  • Interoperabilidad y coordinación europea como mejor forma para luchar contra un enemigo que no conoce ni respeta fronteras.
  • Las apps siempre voluntarias, y que no puedan suponer perjuicio alguno para las personas que no puedan usuarlas, o decidan no hacerlo.
  • Máxima transparencia posible.
  • Publicación del código fuente, y supervisión del algoritmo para evitar discriminación por falsos positivos, negativos, o datos inexactos.
  • Las apps de contact tracing no necesitan en absoluto monitorizar los movimientos de la persona.
  • Mejor bluetooth de baja energía como tecnología a utilizar por ser menos intrusiva y no permitir ese rastreo de los movimientos del ciudadano que no se necesita para nada.
  • El tratamiento de datos de salud amparado por el interés público en el ámbito sanitario (9.2.i del RGPD) requiere de una ley nacional que recoja las garantías concretas y adecuadas que se aplican para garantizar los derechos y libertades de la persona.
  • El almacenamiento de los datos mejor descentralizado, es decir, dentro del dispositivo del usuario. Cuando se controle la pandemia, desactivación de la app y borrado o anonimización de los datos.
  • Tratamiento de datos anónimos siempre que se pueda.
  • Privacy by default y by design, sí o sí.
  • PIA y PIA. Recomendable publicarla.

Sin más dilación, vamos como el recopilatorio. Obviamente si alguien ve alguna cosa importante en los documentos que se me haya pasado referenciar, es bienvenido para comentarlo por la vía que más rabia le dé😊.

Comisión Europea

1º hilo: recomendaciones para el uso de datos en el marco del COVID-19

Ayer la Comisión Europea publicó una serie de recomendaciones para el uso de datos de app y movilidad en el marco del bicho que nos aflige a todos, y más con un enfoque paneuropeo como adelantaban el Supervisor Europeo de Protección de Datos o EDPS https://ec.europa.eu/digital-single-market/en/news/coronavirus-recommendation-use-mobile-data-response-pandemic.

1)Referencia a la red de vigilancia epidemiológica de las enfermedades transmisibles, coordinada por el Centro Europeo para la Prevención y el Control de las Enfermedades (Decisión n.° 1082/2013/UE).

2) En las normas nacionales que habiliten el tratamiento de datos sanitarios sobre la base del interés público, deben establecerse, de forma clara y específica: el propósito y los medios del tratamiento de los datos, qué datos deben tratarse, y por quién.

3) Parece que las apps destinadas a informar y advertir a los usuarios son las más efectivas para prevenir la propagación (aunque no citan a los expertos que sostienen esta afirmación). Sin olvidar el impacto más limitado en lo que ya sabemos todos.

4) Las apps de autodiagnóstico y análisis de síntomas podrían considerarse producto sanitario (Reglamento (UE) 2017/745), siempre que den información relacionada con el diagnóstico, la prevención, el seguimiento, la predicción, o el pronóstico.

5) Posibilidad de que los estados cedan al centro europeo de prevención citado datos agregados de estas apps de autodiagnóstico (p.ej. número de casos de síndrome seudogripal (ILI) o de infección respiratoria aguda (ARI) para generar modelos predictivos en distintas regiones.

6) Cooperación entre estados para casos de transmisión transfronteriza e intercambio de información sobre los usuarios que hayan dado positivo, es decir, que las apps sean interoperables.

7) La actual fragmentación de enfoques de los estados miembros impide un verdadero esfuerzo común (otro llamamiento a la unidad que nos lanzan desde Europa).

8) Las limitaciones de derechos han de ser temporales (hasta el fin de la crisis), y en lo estrictamente necesario para afrontarla.

9) Cuidado con el riesgo de discriminación antes datos inexactos o falsos positivos de las apps y sistemas.

10) Aplicación de medidas como la seudonimización, la agregación, el cifrado o la descentralización.

11) Transparencia, no solo como obligación en materia de protección de datos, sino también como forma de generar confianza en la ciudadanía (gran mantra que repetirá con mayor detalle el EDPB en sus directrices).

12) Crear un plan común para el uso de datos anonimizados y agregados sobre movilidad a fin de predecir la evolución del bicho, controlar la eficacia de la toma de decisiones de los Estados miembros sobre distanciamiento social y confinamiento, y crear una estrategia coordinada.

13) El EDPS y el EDPB vigilarán desde arriba, con el Ojo puesto en los principios y privacy by design (y by default, espero).

14) Preferencia por medidas menos intrusivas pero eficaces (p.ej. datos de proximidad) y tecnologías adecuadas (p.ej. Bluetooth de baja energía).

2º hilo: documento de orientaciones de las apps en la lucha contra el covid-19 en materia de protección de datos)

La Comisión Europea publicó el pasado 17 de abril (después de aquellas recomendaciones iniciales que hizo) un documento de orientaciones sobre las apps en la lucha con el bicho, desde el punto de vista de la protección de datos https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=EN

1) Las orientaciones de la Comisión Europea tiene el sello de calidad del EDPB, junto con lo debatido en la red europea de sanidad electrónica (ehealth). Nos recuerda que el Comité presentará en los próximos días sus propias directrices (como así fue😉).

2) Centradas en el RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas, y no en las limitaciones que los Estados miembros dispongan en su legislación nacional en lo que respecta al tratamiento de datos personales relativos a la salud.

3) Interoperabilidad en las apps para facilitar la transferencia de información agregada entre las autoridades epidemiológicas nacionales, y al Centro Europeo para la Prevención y el Control de Enfermedades (ECDC). Una vez más las autoridades europeas recordando que la mejor opción de la Unión Europea es la lucha coordinada.

4) Las apps pueden afectar a múltiples derechos fundamentales: dignidad humana, el respeto de la vida privada y familiar, la libertad de circulación, la no discriminación, la libertad de empresa, la libertad de reunión y de asociación, y especialmente, la intimidad y protección de datos.

5) Las autoridades sanitarias nacionales, o en su caso, las entidades que lleven a cabo una misión de interés público sanitario, deberían ser los responsables del tratamiento. Sería lo suyo, y, además, es muy «accountable» por la confianza que le trasmitiría a la ciudadanía.

6) Apps voluntarias para el usuario, sin consecuencias negativas alguna para quien decida no descargarla o usarla.

7) No deberían agruparse las distintas funcionalidades de la app para que el usuario pueda dar su consentimiento específicamente para cada una de ellas.

8) Mejor Bluetooth de baja energía (BLE) que GNSS/GPS por ser una tecnología más precisa y que no permite el rastreo del usuario (para nada necesario en materia de contact tracing).

9) Almacenamiento en el dispositivo del usuario (lo recomendado por todas las autoridades).

10) Cesión de datos del usuario con autoridades sanitarias, cuando se confirme el bicho, y que consienta que se haga.

11) Información del PD, sí o sí.

12) Ejercicio de derechos (en particular, de acceso, rectificación y supresión).

13) La app debe desactivarse cuando se declare controlada la pandemia (la Comisión Europea matiza que esto es distinto a que el usuario se la desinstale ;))

14) Consentimiento para la app, e interés público (de ese vitaminado con una ley nacional que recoja esas medidas específicas y adecuadas para salvaguardar los derechos y las libertades de los titulares de los datos, que pide el 9.2.i el RGPD) para el tratamiento de los datos.

15) Ojo cuidao con que la app emita directamente la alerta sin comprobación de las autoridades. Por aquello de no ser objeto de una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos, o que te afecte significativamente de modo similar.

16) Minimización a tope.

17) Las apps que solo den información no necesitan tratar dato personal alguno.

18) En las apps de comprobación de síntomas y de telemedicina es factible tratar el número de teléfono de quienes hayan usado la comprobación de síntomas y cargado los resultados en la misma.

19) Si las autoridades sanitarias desean comunicarse con los usuarios que han estado en contacto con una persona infectada (previa comprobación) a través de una llamada o un SMS, necesitarán que estos usuarios consientan en facilitar sus números de teléfono.

20) Los plazos de conservación deberían basarse en la importancia médica (dependiendo de la finalidad de la aplicación o el período de incubación, etc.) y en períodos realistas para las medidas administrativas aplicadas.

21) Publicación del código fuente de la app.

22) Cesiones de datos a autoridades sanitarias siempre cifradas.

23) Grand finale: PIA, PIA y PIA.

Parlamento Europeo: propuesta de resolución.

El Parlamento Europeo publicó el 15 de abril una propuesta de resolución que no se separa de lo comentado por la CE o el EDPB, y que se dirige a la CE y los estados miembros. https://www.europarl.europa.eu/doceo/document/RC-9-2020-0143_ES.pdf.

1) El uso de las apps no puede ser obligatorio.

2) Los datos generados no deben almacenarse en bases de datos centralizadas.

3) Información clara sobre el uso de apps de localización de contactos (contact tracing) por una parte de la población y transparencia por bandera, incluyendo publicación del código.

4) Control público y la plena supervisión por parte de las autoridades de protección de datos.

5) Los datos de localización móvil solo pueden tratarse de conformidad con la Directiva sobre la privacidad y las comunicaciones electrónicas, y el propio RGPD.

Comité Europeo de Protección de Datos.

1º hilo: sesión plenaria.

En la línea de la Comisión Europea y cogiendo el guante en este sentido, el @EU_EDPB emite un doc tras su sesión plenaria con varias directrices para las apps COVID-19. https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-concerning-european-commissions-draft-guidance-apps_en.

1) Nos vuelve a recordar que la aplicación de los principios de P.D y el respeto de los derechos y libertades fundamentales no sólo es una obligación jurídica, sino también un requisito para reforzar la eficacia de toda iniciativa basada en datos para combatir al bicho.

2) Se debe consultar a las autoridades nacionales de protección de datos para asegurar el cumplimiento adecuado, antes de soltarla la app y que vuele libre por el mundo.

3) Se debe ir por la vía de la accountability, a través de documentar en una PIA las medidas de privacy by design y by default aplicadas, así como poner a disposición del público el código fuente para su examen.

4) Apoyo a la propuesta de la Comisión Europea de que las apps sean voluntarias para los ciudadanos (eso no significa que deba legitimarse el tratamiento por consentimiento, sino que reconoce, como no puede ser de otra, la posibilidad de acudir al interés público).

5) Las apps de contact tracing no requieren el seguimiento de la ubicación individualizada de los usuarios ni persiguen monitorizar al usuario o hacerle cumplir lo prescrito. Recopilar los movimientos del usuario en este contexto, vulneraría el principio de minimización.

6) En atención al principio de minimización, y dejando claro que ambas opciones serían validas, el EDPB aboga por un almacenamiento descentralizado en local dentro del dispositivo del usuario, antes que de manera centralizada.

7) Los algoritmos de contact tracing deben funcionar bajo la estricta supervisión de personal cualificado para limitar los falso positivos y negativos.

8) Tras el fin de la crisis, adiós a las apps con borrado u anonimización de los datos personales.

9) Por último, el EDPB declara estará vigilando cuál Batman, y que en los próximos días sacará unas directrices de geolocalización y otras herramientas de rastreo sobre el bicho.

2º hilo: directrices sobre localización y contact tracing

Ayer se publicaron las esperadas directrices de localización y contact tracing en materia del Microbio del EDPB. Puede que sea la última, pero también la más importante, al estar formada por las autoridades nacionales de protección de datos del E.E.E y el EDPS. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en.

1) El RGPD está tan bien montado que es lo suficientemente flexible como para permitir una lucha efectiva contra el bicho, y respetar el derecho fundamental a la protección de datos.

2) La protección de los datos es indispensable para crear confianza en la ciudadanía.

3) Crear una respuesta común europea, o al menos una interoperabilidad real (por aquello de que el bicho no conoce fronteras).

4) La tecnología y datos usados deben servir para la lucha contra el bicho, y no para controlar, discriminar o reprimir (eficacia, necesidad y proporcionalidad).

5) Estas directrices se centrar en aclarar las condiciones de uso de datos de localización y contact tracing con dos finalidades:

-Datos de localización para crear modelos de propagación.

-Localización de contactos (personas que ha podido estar en contacto con contagiados).

6) Las apps de contact tracing deben formar parte de una estrategia integral de salud pública, y tener confirmación manual de los supuestos de contagio.

7) Estas apps tienen que ser voluntarias y que rastreen solo info de proximidad y no movimientos (lo que ya sabemos).

8) Dos fuentes de datos de localización para crear modelos de propagación (1ºtipo):

-Los recogidos por los proveedores de servicios de comunicación electrónica (telecos).

-Los recogidos por las apps de los proveedores de servicios de la sociedad de la información.

9) Los datos de localización recogidos de las telecos y similares, solo pueden ser cedidos a las autoridades o a otros terceros si han sido anonimizados por el proveedor; o si indican posición geográfica, con el consentimiento del usuario (Incombustible Directiva e-privacy en previsión de que la nueva no parece que vaya a llegar muy pronto).

10) El almacenamiento de información en el dispositivo del usuario o el acceso a la información ya almacenada solo se permite si el usuario ha dado su consentimiento, o el almacenamiento y acceso es estrictamente necesario para el servicio de la sociedad de la información solicitado (more e-privacy).

11) Posibilidad de exceptuar derechos y obligaciones de la Directiva e-privacy, siempre que constituyan una medida necesaria, apropiada y proporcionada dentro de una sociedad democrática (casi nada).

12) Preferencia absoluta por datos anónimos antes que personales (buena idea).

13) La prueba de razonabilidad que determina si la info es anónima o no, debe valorar los aspectos objetivos (tiempo o medios técnicos) y los elementos contextuales de cada caso (frecuencia del fenómeno, incluyendo a la población, densidad, naturaleza y el volumen de los datos).

14) La robustez de la anomización depende de tres criterios: la singularización (aislamiento de un individuo en un grupo más grande), la vinculación (unión de varios registros relativos al mismo individuo) y la inferencia (deducción probable de info desconocida del individuo).

15) No se debe confundir seudonimización con anonimización.

16) Recordatorio de que solo pueden anonimizarse conjuntos de datos (data set) y no datos sueltos, y que intentarlo sobre estos «versos sueltos», solo se conseguiría seudonimizarlos.

17) Recordatorio de estar al día en técnicas de anonimización, debido a que los datos de localización (procedentes de telecos o servicios de la sociedad de la información.) son conocidos por ser difíciles de anonimizar. El rastro de los movimientos del usuario puede dar sustos en ese sentido.

18) Recordatorio de que un único patrón de datos que rastree la ubicación de un individuo durante un período de tiempo significativo no puede llegar a ser totalmente anónimo.

19) Recomendable transparencia sobre la metodología de anonimización utilizada.

20) La vigilancia sistemática y a gran escala de la ubicación o de los contactos entre personas físicas es una grave intrusión en su intimidad y privacidad. Una vez más, se recuerda que debe ser voluntaria y que no haya perjuicio para lo que decidan o no puedan usar las apps.

21) El responsable del contact tracing debe quedar clarinete. Si participan varias entidades, también debe quedar clarito quiénes son y qué hacen.

22) Limitación de la finalidad: nada de usarlos después para fines no relacionados con el bicho (comerciales o de aplicación de la ley, entre otras).

23) El contact tracing pide minimización y privacy by design. Nos recuerda que ni de coña requiere rastreo de la ubicación o movimientos para cumplir con su finalidad.

24) Que la app sea voluntaria, no significa que el tratamiento debe ir por consentimiento (lo mismo que la Comisión Europea).

25) Aquel pequeño matiz de que la ley nacional que ampare el tratamiento en base al interés público en el ámbito sanitario, debe tener medidas y garantías específicas para salvaguardar los derechos.

26) Estar en una crisis, no significa que puedan conservarse lo datos sine die, sino que deben aplicarse criterios objetivos (período de incubación u otros elementos epidemiológicos). Máximo hasta el fin de la crisis, y después, como regla general, anonimización o borrado.

27) Las apps de contact tracing no pueden sustituir al personal cualificado que verifique el contagio (nada de automatizarlo totalmente). Los algoritmos bajo supervisión para minimizar riesgo de falsos positivos y negativos.

28) Código fuente publicado.

29) PIA y PIA, porque el tratamiento puede suponer un alto riesgo (datos sanitarios, adopción anticipada a gran escala, vigilancia sistemática, uso de nuevas tecnologías). Recomendadísimo publicarla.

30) La app no debe recopilar info no relacionada o necesaria (estado civil, mensajes, registros de llamadas, o ubicación, entre otros posibles).

31) Identificadores únicos y seudonimizados generados por la app y renovados para limitar el riesgo de identificación y seguimiento.

32) Posibilidad de almacenamiento centralizado o descentralizado, pero con preferencia por lo segundo. Ya que te pones, márcate un descentralizado porque encaja mejor con el principio de minimización.

33) El mejor cifrado que puedas (servidores y apps, intercambios entre ambos…).

34) La notificación a los usuarios infectados por la app debe estar sujeta a una autorización (p. ej código de uso único vinculado a una identidad seudónima de la persona infectada y vinculada a un test o a un profesional sanitario).

35) Si no se puede obtener confirmación segura de lo anterior, no deberá realizarse un tratamiento sobre el estado del usuario.

36) Información clara para descargar la app oficial de contact tracing, y evitar así que el usuario acabe en una app de tercero.

37) Solo las personas con las que el usuario infectado ha estado en estrecho contacto en el período de relevancia epidemiológica, deben ser informadas.

38) Esa verificación de la infección podría realizarse alertando a los contactos, después de la intervención de un médico profesional (p.ej. a través de un one-time code).

39) Referencia concreta al ya famoso bluetooth de baja energía (BLE).

40) Grand finale: un anexo centrado en los técnicos que implementen las apps, junto con un glosario de términos, y una tabla con puntos concretos que debe cumplir la app, divididos por finalidades, funcionalidades, datos, tecnología y seguridad (muy privacy patterns).

3º hilo: Bonus clip – Directrices con fines de investigación de los datos de salud tratados en el marco del bicho.

Un nuevo documento del bicho, supone un nuevo hilo. Cabe empezar diciendo que no son las directrices que todos estamos esperando para completar nuestro particular póker de ases de apps (ya anunciadas), sino unas centradas en la finalidad de investigación. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_en.

1) Los derechos fundamentales se debe aplicar en el tratamiento de datos de salud con la finalidad de investigación del bicho. Ni la protección de datos ni la investigación científica tiene prioridad sobre otro, así que toca currar y equilibrar ambos derechos fundamentales.

2) Son datos de salud no solo los de la historia clínica, resultados de exámenes o tratamientos, sino también los datos que al cruzarlos con otros arrojen info de salud, encuestas de autodiagnóstico, o la info que se convierta en dato de salud por su uso en un contexto concreto.

3) «Investigación científica» debe entenderse exclusivamente como suena (y justo como nos lo imaginamos todos), es decir, un proyecto con todas las de la ley que cumpla con las normas metodológicas y éticas del sector (y las buenas prácticas).

4) Existen dos tipos de tratamiento de datos de salud para investigación científica:

-Investigación que solo va a cumplir la finalidad científica que lo justifica (uso primario).

-Investigación que implica un tratamiento posterior de los datos con otro fin (uso secundario).

5) El consentimiento siempre ha molado, pero tiene sus manías: que te lo retiren en cualquier momento, para verte sin poder tratar los datos hasta que encuentres otra base de legitimación adecuada, o hasta que tengas que destruirlos en el Monte del Destino.

6)El interés público (9.2.i) en el ámbito de la salud pública y el fin de investigación científica (9.2.j) son la pera, pero necesitan el pequeño detalle de ley nacional que contenga medidas adecuadas y específicas para salvaguardar los derechos y libertades del interesado.

7) Artículo 14 en su caso, y vuelta a informar si hay nuevo fin. En atención a que es información sensible, el Comité considera que no cuesta nada informar a la persona en un plazo majo (amplio) de tiempo si se pretenden usar posteriormente con fines de investigación.

8) Cuidado con agarrarse a la excepción de no informar por ser imposible, porque tiene que ser imposible de verdad y hay que probarlo. Además de que en el momento en que ya no sea imposible, se deberá informar.

9) Cuidado con no informar por considerarlo un esfuerzo desproporcionado, porque, una vez más, hay que probarlo y no es tan fácil. No le vaya a pasar a nadie lo de aquella compañía polaca que consideró que enviar cartas a los que no tenían e-mail era mucho lío.

10) La excepción de información relativa a que sea imposible o haga casi imposible cumplir con la finalidad, aplicará si se prueba que el deber de información, por sí solo, anularía los fines del tratamiento.

11) Recordatorio de la presunción de compatibilidad de los fines iniciales y el uso posterior con fines de investigación.

12) Minimización a través de limitar las preguntas y los datos necesarios para contestarlas. Anonimizar si es posible llevar a cabo la investigación así.

13) Conservación proporcional teniendo en cuenta la duración y fines de la investigación.

14) Cuidado con los datos salud para evitar consecuencias negativas, y más en el caso del bicho por el grado de reutilización para investigación que van a tener.

15) Mínimo: seudonimización, codificación, acuerdos de confidencialidad, perfiles y restricciones de acceso, y logs.

16) PIA y «better call your DPO».

17) La restricción de derechos lo mínimo posible.

18) Aplicable «razones importantes de interés público» para la transferencia.

Consejo de Europa

Saliéndonos de la UE, pero quedándonos en Europa, tenemos una declaración conjunta del Presidente de la Convención 108 y el Comisario de P.D del Consejo de Europa sobre contact tracing y🦠. Al ser del 28, incluye referencias a la guía del EDPB. Hilo: https://rm.coe.int/covid19-joint-statement-28-april/16809e3fd7

1) Empieza recordando que la localización (y alerta) de contactos no es una modernidad, sino que este procedimiento se ha utilizado (manualmente, eso sí) en previas vigilancias y control de epidemias.

2) Pararse a pensar ciertas cosillas (ese rollo de la proporcionalidad):

-¿Estas apps son la solución?

-Sin tener pruebas reales de su eficacia, ¿Lo son, y justifican la limitación de derechos?,

-¿Cuáles son las garantías jurídicas y técnicas para mitigar el riesgo?

3) La eficacia depende de mil historias: exista un plan nacional epidemiológico que lo combine con pruebas generalizadas (Test, test, test, como decía el boss de la OMS), tecnología, arquitectura, acceso generalizado a smartphones y conexión (ojo ciudao con los ancianos por esto).

4) Las autoridades públicas al desarrollar esas apps deben tener en cuenta la P.D (remisión a la guía del EDPB), y adoptar un marco legal apropiado (la autoridad francesa de protección de datos le pidió al Gobierno francés el proyecto de ley sobre su app, con independencia de si van por consentimiento o interés público).

5) Que la app sea voluntaria es esencial para general la confianza en la ciudadanía necesaria para que la adopción sea lo mayor posible. Si lo combinas con la protección de datos y la transparencia, es el combo definitivo.

6) Lo mismo que el resto de autoridad: sin consecuencias negativas por no usarla, voluntariedad de la app no significa que el tratamiento de datos sea por consentimiento, o interés público en el ámbito sanitario como base, siempre que la ley nacional recoja garantías adecuadas.

7) PIA y PIA.

8) La finalidad del tratamiento limitada a lo que ya todos sabemos. El tratamiento posterior para investigación epidemiológica o estadística bajo consentimiento explícito (salvo que se aplique el hechizo de la anonimización, y lo sea de verdad).

9) Finale: lo mismo que el resto de autoridades de la UE sobre datos de localización, minimización, almacenamiento, seguridad, identificadores, información y transparencia, e interoperabilidad. Lo más novedoso, es que sea haga público y entendible el funcionamiento de la app.

Red europea de eHealth

La red europea de e-health (aquella mencionada por la CE en sus orientaciones sobre el bicho ) ha publicado un doc sobre la interoperabilidad que las apps deben tener entre sí, a fin de aunar esfuerzos en esta particular comunidad de vecinos que es la UE. Hilo https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_guidelines_en.pdf

1) Por interoperabilidad se entiende el intercambio de la información estrictamente necesaria para permitir las alertas por proximidad con aquellos usuarios que hayan notificado en su app nacional que están infectados (especialmente pensando en trabajadores transfronterizos).

2) Pasos muy claritos del proceso y funcionamiento de los sistemas de contact tracing y notificación del posible contacto o exposición👇.

3)Apartado de definiciones completito (de esos que el legislador parece haber olvidado incluir en algunas normas), y que incluye hasta el concepto de método epidemiológico (“heurística epidemiológica” en palabros «centíficos»).

4)Los parámetros epidemiológicos puede ser ligeramente diferentes en los estados de la UE, pero no incompatibles o inconsistentes (buena suerte persiguiendo a 27 niños hasta arriba de azúcar (poderes especiales) por la clase).

5)Bluetooth, please. El identificador único generado tiene que cumplir con lo dispuesto en el RGPD y ser interoperables entre las apps oficiales nacionales.

6)Si un usuario da positivo en otro estado de la UE, la autoridad competente debe establecer un mecanismo para que se confirme esta positivo en su app nacional. Este intercambio de datos personales entre autoridades competentes debe ser a prueba de bombas.

7)Se debe poder calcular el riesgo de exposición de manera que se alerte al usuario que pueda haber estado cerca en cualquier punto de la UE (por eso que los estados no se inventen sus propios criterios de medición).

8)Las alertas al usuario deben claras, incluir referencia a posibles medidas de seguimiento aplicadas en el estado en el que se encuentre, mejor en su idioma, y con indicaciones para contactar con las autoridades de su país.

9)Comunicación entre sistemas de los estados con mecanismos seguros y fiables.

10) La información de «encuentros de proximidad» del usuario se almacene en el servidor de su estado de origen, y que el resto de estados solo obtengan info mínima de los usuarios expuestos o infectados.

11)Mecanismos de interoperabilidad a disposición del público.

12)Comunicación entre los estados miembros para un control y supervisión adecuada, así como comunicar cambios en las apps o sistemas nacionales.

13)Finale: se crearán unas directrices técnicas sobre la base de este doc, un espacio Wiki, y una ¿PIA? (assessment of the value of data processed in the interoperability protocol).