Protección de Datos avala la app de la Comunidad de Madrid para diagnosticar el coronavirus

Una de las medidas que pusieron en marcha las administraciones para hacer frente a la epidemia de coronavirus fue lanzar aplicaciones móviles para ofrecer información a los ciudadanos, e incluso para controlar posibles contactos de personas contagiadas.

Si el Gobierno de España creó “Radar Covid”, el gobierno regional de la Comunidad de Madrid desarrolló y lanzó “CoronaMadrid”, una aplicación propia, como hicieron otras comunidades autónomas.

La proliferación de aplicaciones de este tipo, que requerían el registro con datos personales y en ocasiones incluso la geolocalización, llamó la atención de las autoridades de protección de datos.

ECD ha consultado una resolución de archivo de actuaciones de la Agencia Española de Protección de Datos, en la que se indica que hace un año se abrió una investigación para recabar información sobre la aplicación “CoronaMadrid”.

“Con fecha 21 de abril de 2020 la Directora de la Agencia Española de Protección de Datos acuerda iniciar las presentes actuaciones de investigación al haber tenido conocimiento del desarrollo y puesta en marcha de la Web/app “CORONAMADRID”, de la que es responsable la Consejería de Sanidad de la Comunidad de Madrid, con el fin de determinar si de tales hechos se desprendieran indicios de infracción en el ámbito competencial de la Agencia Española de Protección de Datos”, se indica en la resolución.

A lo largo de 28 páginas -una resolución extensa, en comparación con este tipo de documentos-, Protección de Datos analiza cómo funciona la aplicación de seguimiento del coronavirus en Madrid.

La conclusión definitiva es que “del examen de la documentación analizada [...] relativa a la aplicación oficial “CORONAMADRID”, de la Consejería de Sanidad de la Comunidad de Madrid, no se desprenden indicios racionales de infracción de la normativa sobre protección de datos personales”, por lo que se acuerda proceder al archivo de las actuaciones.

La Consejería de Sanidad se explica

La Subdirección General de Inspección de Datos realizó una serie de actuaciones previas, entre ellas, requirió a la Consejería de Sanidad de la Comunidad de Madrid información y documentación sobre la aplicación y la web “CoronaMadrid”.

Distintas instancias aportaron información. El Comité Delegado de Protección de datos, del Servicio Madrileño de Salud, de la Consejería de Sanidad, explicó el motivo de la app. Tras las primeras semanas de confinamiento domiciliario, “la Comunidad de Madrid dio a conocer la puesta en marcha de la App sobre el coronavirus (COVID-19), disponible desde el 24 de marzo, que permite a los usuarios realizar una autoevaluación sin salir de su domicilio a través de sus dispositivos móviles, siendo desarrollada por empresas punteras en tecnología, programadores, expertos en aplicaciones móviles con la colaboración de especialistas en el ámbito sanitario y de salud pública”.

El objetivo era “mejorar la atención de la población y la organización de los recursos sanitarios para lograr una respuesta más ágil y eficaz en cada caso particular, atendiendo a las particulares circunstancias actuales que vienen marcadas por una situación de crisis asistencial y emergencia sanitaria que ha motivado la declaración de una situación de estado de alarma, en la que se han adoptado medidas excepcionales de confinamiento y distanciamiento social de la población para asegurar la salud pública”.

Nombre, DNI, teléfono, dirección...

Para registrarse en la aplicación, había que introducir varios datos personales: nombre y apellidos, número de teléfono móvil, DNI (“para posterior cruce de información con la tarjeta sanitaria, a los efectos de que las Autoridades Sanitarias puedan integrar y comparar la información de pacientes con posibles síntomas con los sistemas públicos de gestión sanitaria existentes y hacer un seguimiento y atención personalizada”)...

También se tenía que introducir la fecha de nacimiento, “con objeto de poder establecer el grupo de población en el que se encuentra el usuario y ponderar los síntomas (el rango de edad puede determinar si se trata de un grupo de riesgo)”; la dirección completa, código postal y comunidad autónoma (“a efectos de asistencia sanitaria, como facilitar la realización del test, facilitar el contacto del centro sanitario de referencia con el paciente”), el género (“puede ser un factor determinante para conocer si te encuentras en un grupo de riesgo o no”), y la geolocalización, que era opcional y que tenía por objeto conocer dónde estaban los focos de contagio.

También se almacenaban datos de salud relacionados con la autoevaluación en función de los síntomas que experimente el usuario: “En concreto, con motivo de poder determinar si el paciente puede presentar síntomas de Covid-19, se recaban datos sobre el usuario relacionados con la sensación de falta de aire, fiebre de +37.5ºC, tos seca, si has visitado alguna zona de riesgo en los últimos 14 días, si has estado en contacto con algún paciente positivo confirmado, si tienes mucosidad en la nariz, dolor muscular y/o malestar general”.

Finalidad estadística y de investigación

La Comunidad de Madrid tuvo que explicar cómo trata los datos personales de quienes utilizan esta app: “De conformidad con la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (art. 14 y ss.), únicamente los datos sanitarios, son los que se integran con los sistemas de información de gestión de historia clínica de la Consejería de Sanidad, utilizando para ello el DNI/NIE que aporta el usuario en el momento del alta en la aplicación”.

Estos datos “se utilizarán para prestar asistencia sanitaria a los pacientes que se hayan dado de alta en la referida aplicación, siguiendo posteriormente los cauces ya establecidos para estas finalidades dentro de la Consejería de Sanidad”.

Además, señaló que “una vez sometidos los datos a un proceso de anonimización, dirigido tanto a prevenir la identificación directa como indirecta de los pacientes, se utilizarán estos datos anonimizados para:

• Para finalidades estadísticas;

• Para investigación biomédica, científica o histórica;

• Para archivo en interés público”.

Eso permite “hacer tanto un análisis anonimizado descriptivo de la situación, que permita conocer los motivos de la pandemia y aportar conocimiento de cómo actuar de manera más eficiente (p.ej. las dinámicas actuales de la sintomatología en la población), de igual manera, este análisis anonimizado predictivo podrá aportar conocimiento sobre la evolución de la pandemia (p.ej. cómo podrían evolucionar dichas dinámicas en el futuro)”.

Razones epidemiológicas

Eso sí, cabe la posibilidad de que las administraciones sanitarias accedan a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública, para prevenir un riesgo o peligro grave para la salud de la población: “El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos”.

La investigación de la Agencia Española de Protección de Datos revela que se realizaron una serie de auditorías para comprobar la seguridad de estas aplicaciones.

La Comunidad de Madrid detalló “diversos aspectos técnicos de los análisis realizados, de las pruebas de intrusión y comprobación de vulnerabilidades”. Aportó documentos como “Auditoría móvil de seguridad CoronaMadrid” y “Auditoría WEB de seguridad CORONAMADRID”, auditorías realizadas tanto del aplicativo móvil, como de la página web, respectivamente.

Además aportó un análisis de riesgos de la aplicación. En dicho análisis se utilizaron “varias metodologías, entre otras IRAM2 como base para realizar el BIA (Business Impact Assessment- análisis de impacto en el negocio), ISO 27005/ISO 31000 para el modelo de gobierno de riesgo y MAGERIT para realizar el catálogo de activos y amenazas”.

En el análisis de riesgos se describió la arquitectura del Sistema; los criterios utilizados en el análisis; el modelo de BIA utilizado para conocer los riesgos inherentes y sus resultados; la identificación de las amenazas asociadas al servicio en función de los activos definidos en su arquitectura; el riesgo actual y el riesgo residual en base al cumplimiento de controles y las salvaguardias establecidas, medidas de seguridad y planes de acción.

Hubo otro estudio, un “Informe de evaluación de impacto en la protección de datos CoronaMadrid/Covid-App”, realizado por la Consejería de Sanidad de la Comunidad de Madrid.

Aval total

Protección de Datos avaló todas las actuaciones, desde la política de cookies hasta la voluntariedad en activar la geolocalización.

La conclusión general fue que “en lo que se refiere al principio de integridad y confidencialidad de los datos contemplado en la letra f) del artículo 5.1 del RGPD, se declara en la documentación facilitada que se establecen medidas de seguridad a fin de salvaguardar el acceso no autorizado o ilícito a la información (ej. copias de seguridad, permisos de acceso, puntos de restauración, compromiso de confidencialidad, etc.)”.

También se constata que “el proveedor con el que se ha firmado el acuerdo de colaboración, cuenta con los servicios certificados en categoría alta en Esquema Nacional de Seguridad, que relaciona, cumpliendo así con lo dispuesto en la Disposición adicional primera” de la Ley Orgánica de Protección de Datos.

Además, destaca que “el análisis de riesgos aportado evalúa entre otros aspectos la confidencialidad, integridad y disponibilidad de la información. A ello cabe añadir que se han llevado a cabo auditorias, cuya copia se aporta, para verificar que la aplicación no presenta vulnerabilidades que pueda usar un atacante en su provecho y que se dispone de las medidas de seguridad necesarias para cumplir con la normativa vigente, se realizaron diferentes análisis técnicos a las interfaces publicadas que están accesibles desde Internet”.

En resumen, “de todo ello cabe concluir que el tratamiento de datos efectuado mediante la aplicación móvil CORONAMADRID, con las finalidades explícitas y determinadas señaladas en la política de privacidad, se encontraría legitimado en lo previsto en los artículos 9, apartados h) e i), y 6.1, letras c) y e) del RGPD”, el Reglamento General de Protección de Datos.

Considera la agencia que “los datos a tratar se encuentran limitados a los adecuados y pertinentes para los fines declarados. Asimismo, la conservación de los datos obtenidos a través de la app que no tengan carácter sanitario se limita al tiempo que dure el estado de alarma sanitaria y posteriormente será conservados de forma anonimizada para finalidades estadísticas, de investigación o archivo en interés público, los datos que deban integrarse en la historia clínica quedan sujetos a los plazos legales fijados para la conservación de los mismos en su normativa específica. Por último, se han adoptado medidas para garantizar la seguridad de los datos tratados”.