Problemas de protección de los datos personales de la aplicación “CoronApp”

La aplicación móvil “CoronApp” lanzada por el Ministerio de Salud para hacer seguimiento de personas con Covid-19 o sospechosas de tenerlo, no ha dejado a nadie indiferente, generando discusiones en torno a su real utilidad, así como a su legalidad, y muy especialmente, acerca de los riesgos que podrían derivarse de su uso, dado el alcance del tratamiento de datos que permite llevar a cabo.

CoronApp trae las mismas trampas que la mayoría de las aplicaciones móviles cuyo negocio es el tratamiento y venta de la información de sus usuarios: términos y condiciones poco claros y falta de transparencia en su política de privacidad, además, terceros ajenos al MINSAL (tanto privados como públicos) podrían acceder a los datos recolectados por la App. Si ello sucede, será muy difícil –si no imposible– seguir la huella de los datos y controlar la forma en que los mismos sean usados.

La legalidad del tratamiento es un aspecto basal en la protección de datos personales. De acuerdo a la ley que regula esta materia (Ley 19.628), un determinado tratamiento de datos sólo puede ser llevado a cabo si la ley lo autoriza o el titular consiente con ello. En el caso de los organismos públicos, cuando el tratamiento se basa en el consentimiento, además se discute si el mismo solo puede ser realizado dentro del ámbito de las competencias del respectivo organismo, o si, por el contrario, el alcance del tratamiento estará dado exclusivamente por los términos en que se otorgó el consentimiento.

¿Qué sucede con CoronApp? Su Política de Privacidadno deja claro cuál sería esta base de legitimidad. Si bien se hace referencia a las facultades que por ley tienen el MINSAL y sus organismos relacionados para tratar información de salud conforme a sus competencias (“explícitas e implícitas”), al mismo tiempo se establece que el tratamiento de datos de la aplicación se rige por su política de privacidad la que reiteradamente se refiere al consentimiento de sus usuarios. La práctica internacional con robustas legislaciones sobre protección de datos personales es que la base de legitimidad sea clara y expresamente señalada, porque esta delimitará, en gran medida, las actividades de tratamiento posibles.

En nuestra interpretación la legitimidad de la recolección y tratamiento de datos realizado a través de CoronApp estaría dada por el consentimiento de sus usuarios. De lo contrario no se justificaría, por ejemplo, la habilitación que se da en la Política de Privacidad para que terceros ajenos a la administración del Estado puedan publicar los resultados de investigaciones realizadas con datos recolectados a través de CoronApp, pues la ley no autoriza esta cesión de datos, de manera que no podrían realizar estudios a nombre propio con los mismos. Lo anterior no debe ser confundido con el tratamiento por encargo, en cuyo caso se entiende que el tratamiento es realizado en nombre de quien lo encarga, y en este sentido, cualquier publicación se entendería realizada por el MINSAL, con lo que no requeriría autorización adicional.

DUDAS DE LA POLÍTICA DE PRIVACIDAD

Dicho lo anterior, para conocer el alcance del tratamiento de datos que los usuarios estarían autorizando (qué datos, quienes y de qué forma podrán usarlos, tiempo por el cual podrían tratarlos, y demás autorizaciones), es necesario revisar tanto los Términos y Condicionesde la aplicación, como su Política de Privacidad. En ambos instrumentos deberían encontrarse las reglas del juego, entendiéndose ambos aceptados por sus usuarios en su totalidad por el sólo hecho de utilizar la aplicación.

En relación al acceso, además de las dudas ya mencionadas en relación a los casos y finalidades bajo las cuales terceros podrían acceder a los datos de CoronApp, tampoco queda claro si los mismos podrían ser transferidos a otros órganos del Estado en virtud del consentimiento otorgado por sus usuario.

En la Política de Privacidad se señala que eventualmente MINSAL podría ser requerido a “entregar acceso o divulgar los datos a terceros, en virtud de una orden judicial o administrativa”, pero no especifica, por ejemplo, si para ello sólo podría darse en el contexto de una orden dada por una autoridad autorizada por ley para requerir determinados datos, o si, al ser la autorización del usuario la fuente de licitud del tratamiento, su consentimiento estaría ampliando las hipótesis bajo las cuales autoridades administrativas podrían acceder y tratar datos personales.

En cuanto a su finalidad, CoronApp “es una aplicación gratuita de seguimiento de síntomas y acompañamiento de pacientes sospechosos y confirmados con COVID-19”. Sin embargo, no es esa la única finalidad para la cual serán tratados los datos. Podemos encontrar otras, por ejemplo, en la sección referida al almacenamiento de datos, donde se declara que estos podrán ser tratados “con fines históricos, estadísticos, científicos y de estudios o investigaciones” (Sec. 5a), sin que ello sea circunscrito a determinados fines específicos (ni siquiera a cuestiones de interés público) ni limitando las categorías de terceros que podrían llevar a cabo dicho tratamiento.

Además, en los términos y condiciones de servicio de la app, se establece que “puede resultar necesario recopilar y procesar cierta información, la cual se obtendrá desde el dispositivo móvil en donde se ha instalado la aplicación”, añadiendo una nueva finalidad: “realizar mejoras en la aplicación que la optimicen y fortalezcan, tendiente a conseguir una experiencia del usuario satisfactoria”. Pese a que los Términos anuncian que las condiciones de tratamiento serán descritas en la Política de Privacidad, ésta no sólo omite dicha nueva finalidad sino que también no especifica cuál es “cierta información” que vagamente se anuncia.

Por otra parte, sólo en el caso particular de la geolocalización se señala expresamente la base de legitimidad para su tratamiento –el consentimiento del usuario– y la finalidad del mismo: realizar “acciones útiles de seguimiento de pacientes para la protección de la salud pública, durante la vigencia de la emergencia sanitaria”. No obstante, no queda claro cuál es la extensión de la expresión “protección de la salud pública”. Conceptualmente, podría ir  mucho más allá del control de los contagios de COVID-19. Los datos de geolocalización son particularmente relevantes para el análisis: a su vez podrían entregarnos otra información, de carácter sensible – por ejemplo, revelar los hábitos personales de los individuos– y, además, son muy difíciles de anonimizar (¿cuántas personas, además de cada usuario de la app, van todos los días de su casa a su oficina?).

En cuanto a los datos que son recolectados, llama la atención que no se aplique el principio de minimización, según el cual solo sean recolectados los datos estrictamente necesarios para la finalidad que se propone la CoronApp.

¿De qué manera conocer enfermedades anteriores o medicamentos que toman las personas podría ayudar a controlar la propagación del COVID-19? Además, se emplean fórmulas abiertas (datos “tales como”), que hacen imposible decir exactamente qué datos serán recolectados.

La duración del almacenamiento de los datos también es incierta. ¿Los datos serán guardados “durante el tiempo que sea necesario para la protección de la salud pública, en el contexto de la emergencia sanitaria” o por el “período de 15 años”? Ambas referencias están contenidas en la sección 5 de la Política y no permiten discernir si es un plazo cierto o indeterminado.

Por último, en cuanto a los derechos de los titulares de los datos, no se explica por qué estos solo pueden ejercer su derecho a actualizar o rectificar su información, y no así su derecho a eliminarlos u oponerse a su tratamiento. Acceso, rectificación, cancelación y oposición son las facultades de todo titular del derecho fundamental a la protección de datos. En este caso, no estamos ante los datos de una ficha clínica o en el contexto de prestaciones de salud, en donde se restringen el ejercicio de tales facultades (sería desastroso que la gente pudiera exigir la eliminación de información de su historial médico). Esta es una aplicación móvil que trata datos en base al consentimiento, que –de acuerdo a la propia Política de Privacidad–, podrán ser utilizados para otros fines que no dicen relación con la atención de salud del paciente, o peor aún, por terceros ajenos a la administración del Estado.

Pablo Contreras es doctor en Derecho, Northwestern University. Profesor de Derecho Constitucional y Director del Centro de Regulación y Consumo de la Universidad Autónoma de Chile.