viernes, mayo 15, 2020

CPLT advierte riesgo de opción para denunciar incumplimiento de cuarentena de su "CoronApp"


  • La aplicación para dispositivos móviles del Gobierno recopila gran cantidad de información personal y sensible -como el estado de salud o la geolocalización de los contagiados-, por lo que el Consejo para la Transparencia analizó sus políticas de privacidad y recomendó a Segpres y Minsal precisar aspectos que permiten a las personas un adecuado ejercicio de los derechos vinculados a la normativa vigente que protege los datos personales.
  • En paralelo, la entidad advirtió a la autoridad los riesgos de estigmatización y discriminación que conlleva una opción de la app que permitiría denunciar a personas que hayan eventualmente incumplido cuarentenas.

El Consejo para la Transparencia (CPLT) ofició nuevamente al Ministerio de Salud (Minsal) y a la Secretaría General de la Presidencia (Segpres), para entregar algunas recomendaciones en materia de seguridad y resguardo de datos personales y sensibles que recopila la aplicación desarrollada por el Gobierno para fines de control de contagios por Covid-19 bajo el nombre de “CoronApp”.

Desde el Consejo, su presidente, Jorge Jaraquemada, explica que el análisis de las políticas de privacidad y términos y condiciones de uso de la app realizado por el Consejo permitió establecer algunos aspectos que a juicio de la entidad podrían perfeccionarse.

Asimismo, enfatiza en que esta acción se realiza con el “afán de colaborar con los órganos de la administración del Estado responsables de la gestión y protección de bases de datos con información sensible como es este caso”. Lo anterior, en virtud de la facultad que le entrega al organismo la Ley de Transparencia en lo relativo a velar por el cumplimiento de la ley de protección de datos personales en los organismos de la Administración Central del Estado (letra m) art. 33 Ley 20.285), según señala el oficio del CPLT (Nº675 del 7 mayo 2020).

En el mencionado documento, el CPLT manifiesta “especial preocupación” por el adecuado tratamiento de los datos suministrados por los usuarios o que sean recabados a partir de su actividad o interacción con esta herramienta digital. Lo anterior, acorde a lo mencionado por su máximo representante, deriva fundamentalmente de la recopilación de gran cantidad de datos personales y sensibles, como el estado de salud o la geolocalización, que deben estar bajo un especial régimen de resguardo.

“Para ejecutar sus funcionalidades y operar, la aplicación requiere recopilar y procesar gran cantidad de datos personales, entre ellos, datos sensibles como es el estado de salud de alguien, y no sólo de la persona que descarga la app sino también de terceros denominados usuarios dependientes, por lo que consideramos relevante enfatizar a las entidades públicas que están detrás del desarrollo de la aplicación, los resguardos que resulta adecuado implementar para su protección conforme a la ley vigente”, explicó Jaraquemada.

El Consejo recomienda, entre otras cuestiones, revisar si es proporcional la gran cantidad de datos personales y sensibles que la app solicita para los fines que persigue y que incluyen, por ejemplo, que los usuarios reporten y controlen síntomas de Covid-19, que puedan presentar ellos mismos y otras personas, eventualmente familiares u aquellos con los que se conviven que no puedan usar la app. En el caso de estos “usuarios dependientes”, el Consejo estableció que “no hay claridad sobre la autorización del usuario de la app de entregar datos de otras personas si no es el representante legal de estas”, detalló el abogado. Además, acorde al texto del oficio, no se advierte cómo esta categoría de usuarios podrán ejercer efectivamente los derechos contemplados en la ley.

En este sentido, explica el titular del CPLT “no sólo se pide información de carácter personal como el nombre o el rut sino datos sensibles de salud –enfermedades, medicamentos que se toman- sino también de datos sensibles relativos a hábitos personales, como la geolocalización, por lo que debiera evaluarse si todos estos datos son necesarios para los fines perseguidos. Esto debe quedar claramente establecido en los objetivos del tratamiento de cada uno de estos datos en las políticas de privacidad”, subrayó Jaraquemada.

Asimismo, el Consejo apunta a individualizar claramente a los organismos públicos responsables del tratamiento de los datos que recopila la app y especificar el rol de la Segpres en el funcionamiento de la aplicación y en particular en el tratamiento de la información –dicha cartera aparece asociada al desarrollo de la herramienta-. “Esto facilita luego un adecuado ejercicio y protección de los derechos que tienen los usuarios de controlar sus datos personales, los denominados derechos de acceso, rectificación, cancelación y oposición o bloqueo (derechos ARCO)”, precisó el abogado.

Otra arista que aborda el oficio del CPLT es la seguridad de los datos recabados y procesados por el Minsal, así como su almacenamiento. Respecto de esto último, el CPLT detalla que las políticas de privacidad especifican que la información no se almacena en servidores de la entidad sino “en servidores externos localizados fuera del territorio nacional” implicando operaciones de transferencia internacional de datos personales. Ante dicha situación el CPLT sugiere suscribir un contrato con el encargado del tratamiento en el extranjero, “con cláusulas estrictas de reserva”.

En paralelo, la entidad advierte a la autoridad de salud los riesgos que conlleva una opción de la app que permitiría denunciar conductas o eventos de alto riesgo, como eventuales incumplimientos de la cuarentena. “Debemos advertir el riesgo que la aplicación opere como un sistema de denuncias que promueva –indirectamente- entre los usuarios, conductas tendientes a recabar información reservada de terceras personas, pudiendo afectar el derecho de éstas a la privacidad y a la intimidad, junto con aumentar el riesgo de estigmatización social y discriminación por Covid-19”, se lee en la página 8 del oficio del CPLT.