1.Introducción.
Por el Consejo de Ministros se aprobó, en el último fin de semana de marzo, un nuevo plan de medidas de urgencia en coordinación con el Ministerio de Asuntos Económicos y de Transformación digital y la Secretaría de Estado de Digitalización e Inteligencia Artificial.
Concretamente se publicó en el BOE el 28 de marzo, la Orden SND/297/2020, de 27 de marzo por la que se aprueba el desarrollo de diversas actuaciones, a través de aplicaciones de control remoto de teléfonos móviles, para gestionar la crisis sanitaria originada por el COVID-19, de esta manera se sigue el ejemplo de países como Corea del Sur, que lleva tiempo empleando dicha estrategia a fin de contener la enfermedad usando la inteligencia artificial, pero que aquí en España es una medida que no deja de resultar extraña y ajena puesto que no se ha prodigado su uso.
Es de reseñar, por tanto, que la medida aprobada posibilita al ejecutivo a llevar a cabo una vigilancia de los movimientos de los ciudadanos, creando una aplicación móvil que sirva a este fin, utilizando datos proporcionados por las operadoras de telefonía móvil.
El encargado de esta monitorización será el Instituto Nacional de Estadística (INE), que controlará la movilidad de los ciudadanos, en situación de confinamiento por la crisis del COVID-19, tras la entrada en vigor el 14 de marzo el Estado de Alarma (artículo 116 CE) mediante el Decreto 463/20; a este control se sumará el desarrollo de otras medidas y actuaciones.
Evidentemente, esta medida y su aplicación genera dudas sobre si realmente serán anónimos los datos empleados, el tratamiento que de los mismos se haga y si su uso se pudiera destinar a otros fines, con respeto a la legislación española vigente (Ley Orgánica 3/2018 de 5 diciembre de Protección de datos personales y garantía de derechos digitales) y comunitaria sobre protección de datos (Reglamento UE 2016/679).
En el BOE se indica que es “necesario el desarrollo de diversas actuaciones que, sin perjuicio de las competencias de otras Administraciones Públicas, contribuyan a mejorar la gestión de la crisis”, de esta manera se busca un alivio de la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas.
Así el Ejecutivo tendrá un control sobre la movilidad de los españoles, antes y durante el confinamiento en sus casas.
2. Equilibrio entre seguridad ciudadana y derechos fundamentales.
Pero la pregunta que habría de hacerse es, si las medidas tomadas por el Ejecutivo provocan un choque entre el equilibrio de la seguridad ciudadana y los derechos fundamentales de los ciudadanos consagrados en nuestra Constitución.
Hay que recordar que ya hace unos meses se sucedió una polémica similar, cuando se anunció la utilización de los datos de los usuarios, proporcionados por las compañías telefónicas, con fines estadísticos de estudio de movilidad, no permitiendo evitar dicho empleo a algunos titulares de los datos de según que compañías.
En un principio se entiende que cruzar y analizar datos de carácter personal ha de garantizar la anonimidad de los mismos, no pudiendo identificarse mediante ellos a ningún ciudadano particular.
Igualmente, como en la anterior ocasión, será el INE siguiendo aquel modelo ya utilizado, el responsable del tratamiento de esos datos personales; es decir, será quien tome los datos proporcionados por las principales operadoras, bajo la garantía del anonimato, debiendo confiar en una responsabilidad proactiva del INE en el uso de los mismos.
Si bien queda otra cuestión abierta, que debería ser resuelta por parte del Gobierno, puesto que una de las obligaciones en el tratamiento de datos impuesto por Reglamento General de Protección de Datos para aquellos que empleen los datos de particulares, es la obligación de revelarnos su identidad (en este caso sí se conoce) y explicarnos con claridad qué datos nuestros van a recopilar y para qué van a utilizarlos.
Por tanto, aparece ahora la necesidad (no explicada) de ver dónde se encontraba la ciudadanía en los días previos al confinamiento, es decir más de medio mes, cuando el presente desborda cualquier previsión, como así transmite el Gobierno de España.
En circunstancias como las actuales, tras decretarse el Estado de Alarma, para responder a esta cuestión, se hacen las siguientes puntualizaciones.
En primer lugar, la geolocalización en sí, estaría totalmente prohibida al vulnerarse el derecho a la intimidad de aquella persona a la que se localice, ya que el artículo 18.3 de la Constitución Española, garantiza el secreto de las comunicaciones:
“Artículo 18
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
…
3. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
…”
Por tanto, esto implica que ningún tercero puede acceder a los datos que emanen de nuestro terminal sin nuestro consentimiento expreso, la salvedad radica en el propio apartado tercero, esto podría ocurrir en caso de la existencia de una resolución judicial destinada a la aplicación de ese control o acceso, pero en ningún caso una Orden Ministerial o un Real Decreto podrían posibilitar esta situación.
Se desprende que conocer la ubicación de un terminal concreto, a través de una aplicación, es en el fondo una geolocalización del mismo, impactando de frente con este derecho fundamental.
Con carácter general el pasado 16 de marzo, la presidencia del Comité Europeo de Protección de Datos publicó una declaración en relación con el tratamiento de datos personales dentro de esta crisis del Covid-19, remarcando que la normativa sobre protección de datos y más particularmente el Reglamento (UE) 2016/679, no impiden tomar medidas en la lucha contra la pandemia del Covid-19, pero advierte que quienes traten datos personales deben asegurar su protección, incluso en estas excepcionales circunstancias.
Sin perjuicio de que aquel Reglamento y la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas (Directiva e-Privacy) recojan reglas aplicables al tratamiento de datos dentro de un contexto similar al actual, que permitiría prescindir en casos tasados del consentimiento de aquellos afectados.
Aunque señala la Agencia Española de Protección de Datos que a pesar de ello han de respetarse los principios que recoge el artículo 5 del RGPD, entre los que se indica que el de tratamiento de los datos personales se debe realizar acorde a los principios de licitud, lealtad y transparencia, también debe atenderse a una limitación de la finalidad, principio de exactitud y en último lugar el principio de minimización de datos.
Hay que referirse expresamente a este último, ya que los datos tratados que se recaben han de ser exclusivamente limitados a los necesarios para la finalidad que se persiga, no sirviendose aquellos de excusa para extender el tratamiento a aquellos datos personales que no tengan una vinculación estricta para dicha finalidad, no puede confundirse conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue siendo aplicable.
Por ello debe evitarse, como establece el Considerando 54 del RGPD, que al final del mismo indica lo siguiente: “Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.”
3. ¿Puede el Gobierno llevar a cabo esta medida?
La respuesta en este caso es sí y no; el Gobierno puede llevar acabo esta medida antes de decretarse el estado de alarma (como ya se ha hecho) e incluso después.
Sí es posible realizar este cruce de datos, radicando básicamente en una cuestión importantísima que sería que estos datos son anónimos, como así ha insistido el Gobierno que será.
Esta geolocalización permanente que va a realizar el Ejecutivo, consiste en comprobar que cada ciudadano se encuentra en el lugar que afirma estar; de esta manera permite conocer si hay desplazamiento población entre Comunidades Autónomas y saber si se han reducido por el estado de alarma, por ejemplo, pero siempre de manera anónima.
No podría operar de esta manera en un principio el Ejecutivo, si los datos no fueran anónimos. El único habilitado a priori para adoptar una decisión de tal calado y relevancia sería un juez mediante la oportuna resolución, puesto que, de no ser así, la medida adoptada por el Gobierno sería plenamente inconstitucional.
En definitiva, el Gobierno puede geolocalizar a la población, a pesar de ser una medida muy controvertida y que choca con según que derechos constitucionales, pero nunca podrá obtener estos datos personales si no es de forma anónima; De lo contrario, si se produjera una obtención de datos que no sean anónimos sin estar capacitado para ello, incluso podría incurrir en las responsabilidades penales correspondientes, desde un punto de vista teórico.
En la práctica, es de remarcar el informe de la Agencia Española de Protección de Datos (AEPD) 0017/2020 del 12 de marzo, el cual incide en que “la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada” ;es decir, es un derecho que obviamente no queda en suspenso ya que un estado de alarma no lo podría establecer, pero su ejercicio en principio tampoco quedaría limitado.
Asimismo, el informe 0017/2020, a pesar de su premisa inicial, se inclina por reconocer que ante una situación como la actual “la propia normativa de protección de datos personales (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general” no debe servir como obstáculo o límite para las medidas que deban tomarse para luchar contra la epidemia permitiendo que aquellas sean lo más eficaces posibles.
Por tanto se puede constatar que desde la AEPD y en el aquel informe parte de la realidad que el derecho a la protección de datos no es un derecho absoluto.
Entonces tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) recogen previsiones que, en situaciones excepcionales como la presenten permiten el tratamiento de datos de salud incluso obviando el consentimiento de los afectados.
El considerando 46 del RGDP, que menciona dicho informe recoge que, “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.”
Por tanto aplicando dicha consideración a esta situación de crisis sanitaria y las medidas adoptadas por el Ejecutivo se entenderían en la necesidad de controlar la epidemia y su expansión.
4. Conclusiones.
Como se ha venido enunciando en este artículo, el Proyecto DataCOVID resultaría ajustado a derecho siempre y cuando se recaben datos anónimos y velando por los principios que nuestra normativa nacional y europea de protección de datos exige, pero como remarca la AEDP, ante situaciones excepcionales, el derecho a la protección de datos no es absoluto, no debiendo servir como impedimento o límite a las medidas destinadas a lograr superar aquellas situaciones. Es una medida que se puede adoptar antes de un estado de alarma y también después, como se ha expuesto con el ejemplo meritado, ya que no hay ninguna otra exigencia sobre el cruce de datos que estos sean anónimos.
Pero sin duda, algunas de las medidas adoptadas por el Gobierno chocan con la situación en la que se encuentra sumido el país por el estado de alarma. Podría decirse que la idoneidad material de una norma no está reñida con su inadecuación formal.
La finalidad de decretar el estado de alarma es mejorar la coordinación entre instituciones y fuerzas armadas para hacer frente a una situación como la presente: tener un mando único para unificar compras de material sanitario, por ejemplo. Pero la declaración del estado de alarma no posibilita una restricción -rayana en la suspensión- de derechos fundamentales, que se están afectando de una forma inédita en nuestra democracia, como dispone el art. 55 de la Constitución.
No existe una modulación del ejercicio de aquellos, si no que podría hablarse de una restricción de derechos incluso políticos. Como ejemplo, no es posible salir a la calle (art. 19 CE) si no es para uno de los requisitos o excepciones dispuestos en el art. 7 del RD 463/20 de 14 de marzo; mucho menos a ejercer el derecho de manifestación o huelga (artículo 28.2 CE); no cabe el derecho de reunión (artículo 21 CE).
El derecho a la protección de datos deriva del artículo 18.4 de la Constitución, como declaró el Tribunal Constitucional en la Sentencia 292/2000, de 30 de noviembre, de modo que ni siquiera en los estados de excepción y sitio puede ser suspendido; sensu contrario, mucho menos en el estado de alarma.
También el derecho a la libertad de información se ha visto sustancialmente limitado en las ruedas de prensa del Gobierno, ante la imposición en un principio de metodología de selección previa de preguntas a responder, permitiendo eludir “control” de los informadores, sobre la gestión y adopción de medidas en esta situación de crisis.
Por ello, podría parecer “normal” o “adecuado” que el gobierno cree una aplicación destinada exclusivamente al control del movimiento de la población. En el momento que aquella se instale en los dispositivos correspondientes se estaría aceptando también el acceso a conocer la ubicación del usuario, que en el fondo no deja de ser una intromisión por parte del Ejecutivo en la libertad de circulación de los ciudadanos (artículo 17.1 CE), derecho que puede quedar suspendido en un estado de excepción pero no de alarma.
Aunque atendiendo a la AEDP y su informe 0017/2020, tiene clara su postura respecto al tratamiento que se deben dar a los datos en casos y situaciones excepcionales como la presente, apoyándose en que la protección de datos no suponga ningún impedimiento para adoptar medidas tendentes a garantizar la efectividad de las mismas, dado que la seguridad y la protección de datos deben entenderse como complementarias y no contradictorias, no dejando de ser controvertido cualquier situación en la que haya que decantarse por una o por la otra.
No se debe perder nunca la perspectiva de que la defensa de los derechos que constitucionalmente amparan a la ciudadanía es fundamental, aun en situaciones desgraciadamente críticas que inevitablemente desvían la atención sobre aquellos, pero no por ellos dejan de estar presentes.
Álvaro Palomo García.