Transparencia da un ultimátum al Gobierno para publicar un estudio de privacidad de la app Radar COVID

El Consejo de Transparencia acaba de reclamar al Ministerio de Economía la Evaluación de Impacto de la Protección de Datos (EIPD) previa al lanzamiento de la aplicación Radar COVID, tal y como ha podido saber Vozpópuli. La Agencia Española de Protección deDatos obliga a realizar esta prueba antes de la puesta en funcionamiento de cualquier servicio que pueda afectar al tratamiento de los datos de los usuarios que la utilicen, como es el caso de la aplicación desarrollada contra el coronavirus. Transparencia le ha dado un plazo de diez días al Ministerio de Economía para publicarla.

La asociación Rights International Spain lleva meses solicitando esa Evaluación de Impacto de la Protección de Datos al Ministerio de Economía. En enero del presente año finalmente publicó un documento con dicha referencia, pero la fecha del archivo no se correspondía con la prueba previa que ha de realizarse en estas ocasiones.

Entonces, la asociación acudió al Consejo de Transparencia, donde puso una reclamación. Transparencia acaba de pronunciarse, e insta al Ministerio de Economía a que facilite la primera prueba de impacto que debería haberse realizado antes del lanzamiento de Radar COVID.

El Gobierno no ha publicado la prueba inicial de impacto que debía realizarse antes del lanzamiento de la app Radar COVID

La AEPD amplia la investigación a Radar COVID

Además, la Agencia Española de Protección de Datos (AEPD) ha admitido a trámite una reclamación en la que se pide la investigación de la aplicación contra el coronavirus, Radar COVID, elaborada por Indra por 330.000 euros para la SEDIA (Secretaría de Estado de Digitalización e Inteligencia Artificial), órgano dependiente del Ministerio de Economía, con Carme Artigas al frente.

Se trata de, al menos, la segunda reclamación recibida por la AEPD en torno a Radar COVID. La primera de ellas corrió a cargo de Reclamadatos. Entonces, el órgano responsable de velar por el buen tratamiento de los datos de los españoles inició investigaciones, tal y como avanzó Vozpópuli.

En este caso, la reclamación contra Radar COVID ha corrido a cargo de la asociación Rights International Spain, quien pide sumarse a la investigación anterior, iniciada en octubre de 2020. En la documentación, a la cual ha tenido acceso este medio, la AEPD explica las alegaciones de la asociación. "Llama la atención el hecho de que, a pesar de poder ser descargada la aplicación en diversas Comunidades Autónomas (incluso se liberó una versión para un proyecto piloto), el código no se publicó hasta el 9 de septiembre de 2020, y el mismo difería del que tuvo la aplicación en su versión inicial. Además, hasta la fecha, no se ha publicado el histórico de desarrollo de la app, es decir, el historial con todos los datos y pasos que se han dado desde el principio de su desarrollo".

Se aprecian indicios racionales de una posible vulneración de la normativa en materia de protección de datosAgencia Española de Protección de Datos

La AEPD admite a trámite la reclamación contra Radar COVID por “presunta vulneración del artículo 32 del Reglamento General de Protección de Datos”. En concreto, este artículo regula lo referente a la seguridad en el tratamiento de los datos.

El escrito también hace referencia al proyecto piloto de la aplicación, ejecutado en La Gomera (Islas Canarias) durante el verano del año pasado. "Al no encontrarse publicado el código fuente, se desconoce su alcance concreto, aunque las descargas no se encontraban geolocalizadas, y, por tanto, la app podía ser descargada e instalada desde cualquier zona geográfica. Los índices utilizados para cuantificar el éxito de la acción iban más allá del territorio delimitado para las pruebas, pudiendo afectar a usuarios no informados o conscientes del uso de información de sus terminales", refleja la reclamación.

Por este motivo, la asociación considera que la mencionada ausencia de transparencia "provocó un retraso en la detección de una brecha de datos personales en la app , ya que, como luego se descubrió, únicamente enviaba información al servidor en caso de detectar un positivo".

La brecha de seguridad en la app fue detectada a finales del año pasado, y estuvo presente desde el lanzamiento de la misma (en La Gomera en torno al mes de julio y a partir de septiembre en otras regiones de España). Compañías como Amazon podían acceder a los datos de los usuarios que comunicaban el resultado positivo en coronavirus.

La conclusión de la AEPD sobre Radar COVID

Finalmente -continúa la reclamación- "la asociación llama la atención sobre algunas deficiencias relativas al documento de Evaluación de Impacto, el cual se publicó recientemente, en enero de 2021, a pesar de que la aplicación estuvo disponible ya en junio de 2020. Según su control de cambios, la versión publicada es la de noviembre de 2020, no indicando nada al respecto de las versiones anteriores, los cambios realizados, y los riesgos que puedan haber sido detectados con posterioridad a la evaluación inicial. Cuestionan la utilidad de una evaluación de impacto presentada y elaborada de esta manera".

La Agencia Española de Protección de Datos concluye casi al final del documento que, a tenor de la información preliminar facilitada por Rights International Spain, "se aprecian indicios racionales de una posible vulneración de la normativa en materia de protección de datos, sin perjuicio de lo que se determine en el curso de la tramitación".