Protección de Datos amplía la investigación de la app Radar COVID tras admitir a trámite una denuncia

La Agencia Española de Protección de Datos (AEPD) ampliará la investigación de la aplicación Radar COVID, lanzada por el Gobierno para tratar de combatir la pandemia del coronavirus.

El organismo ha admitido a trámite la denuncia presentada por Pau Enseñat el pasado 8 de septiembre en nombre de Reclamadatos, empresa dedicada a desvelar qué datos personales están en manos de organizaciones y reclamarlos. En concreto, Enseñat denunció a la Secretaría General de Administración Digital (SGAD), ente encargado de implantar la app Radar COVID en nuestro país.

En la denuncia, Reclamadatos pedía un análisis para resolver si la Radar COVID cumplía con los principios de licitud, lealtad, transparencia y responsabilidad proactiva reflejados en el Artículo 5 del Reglamento General de Protección de Datos (RGPD), ya que la SGAD no ha publicado la Evaluación de Impacto sobre la Protección de Datos. También se alega que la Política de Privacidad de la app no tiene definidas las funciones y responsabilidades de las autoridades sanitarias de las comunidades autónomas. "Además, no se dan detalles sobre los plazos de conservación de los datos para fines de investigación científica o histórica o fines estadísticos, algo que exige Bruselas", explicaba Pau Enseñat tras presentar la denuncia.

Tal y como ha podido saber Vozpópuli, la reclamación se ha integrado al expediente iniciado el pasado 23 de junio por el cual la AEPD anunciaba el comienzo de las investigaciones para saber si el tratamiento de los datos de los usuarios de la app desarrollada por la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) se ajusta al Reglamento General de Protección de Datos.

Fuentes del sector jurídico explican que hay "indicios razonables de vulneración de la normativa. Protección de Datos tenía tres meses para pronunciarse respecto a la denuncia de Reclamadatos, pero han empleado menos de un mes en responder".

Desde el organismo encargado de velar por el buen tratamiento de los datos de los españoles no facilitan información respecto al estado del procedimiento, o si hay más empresas o corporaciones que hayan reclamado a la aplicación ante la AEPD. "Al estar en esa fase de actuaciones previas, la Agencia no puede puede facilitar información sobre las mismas", declara la Agencia.

La AEPD tendrá que mover de nuevo ficha tras concluir las investigaciones, un proceso que podría durar hasta doce meses. Las mismas fuentes jurídicas consideran que "atendiendo al problema y situación actual lo lógico es que esta fase del proceso se acelere lo máximo posible".

El antecedente noruego

Si tras la investigación se resuelve que hay evidencias de un mal tratamiento de los datos de los usuarios de Radar COVID, se deberá iniciar un expediente sancionador. Así las cosas, antes de que la sanción sea en firme la AEPD podría tomar medidas provisionales, como exigir el cambio del tratamiento de los datos o suspender temporalmente la aplicación para que no pueda ser utilizada.

Un supuesto que en Noruega ha sido una realidad. La app Smittestopp para reducir los contagios en el país nórdico cesó su actividad el pasado mes de junio. El organismo competente en el ámbito de Protección de Datos en la nación prohibió al Instituto Noruego de Salud Pública continuar recopilando datos de los ciudadanos a través de la app, cuyo uso quedó, por consiguiente, interrumpido.

El punto 'caliente' que provocó que la autoridad de datos noruega decidiera detener el uso de la app estaba en que la plataforma utilizaba el GPS de los teléfonos, algo que no sucede con Radar COVID. La aplicación española se sirve de la tecnología bluetooth para cruzar los datos de contagiados o posibles contagiados, pero en ningún caso accede al GPS.