¿Tomar la temperatura a los usuarios de un gimnasio, registrar al público que asiste a un espectáculo cultural, utilizar una App para rastrear a la gente que tiene Covid-19 o una cartilla sanitaria que diferencie a las personas que son inmunes al coronavirus de laso que no, son algunas de las medidas que se han planteado para hacer frente la pandemia, pero son legales?

"Los datos de salud, como cualquier dato sensible de carácter personal, se tiene que tratar con cuidado por parte de aquellos que las usan o las almacenan y siempre con el consentimiento de las personas afectadas. Tratarlas con cuidado quiere decir, entre otros, cumplir con el reglamento europeo de protección de datos", explica a título personal Agustí Solanas en El Nacional, profesor de la Universidad Rovira Virgili en el área de Ciencias de la Computación e Inteligencia Artificial y coordinador científico del Anti-Phishing Working Group (APWG). En concreto, la Unión Europea considera que los datos sensibles tienen que ir encriptados, es decir, tienen que garantizar el anonimato.

Por lo tanto, uno de los grandes retos de la actual pandemia es como conseguir datos de salud de los ciudadanos para evitar la propagación del coronavirus a la vez que esta información se mantiene anónima. "Hay que ser especialmente cuidadosos porque la revelación de la identidad de las personas enfermas o que han podido ser el origen de un determinado brote podría dar lugar a graves perjuicios para ellas tanto por la creación de situaciones discriminatorias como, incluso, por motivos de seguridad", explica a Maria Àngels Barbarà, directora de la Autoridad Catalana de Protección de Datos (ACPD).

Ahora bien, tal como reconoce Barbará nunca se había dado una situación de pandemia como la que estamos viviendo ahora, por lo cual las autoridades han tenido que dar respuestas a una situación con la cual nunca se habían tenido que enfrentar. A pesar de eso, asegura que tanto la normativa de protección de datos como la de salud pública ofrecen los instrumentos necesarios para gestionar la información sanitaria que se requiere en el contexto actual.

Tomar la temperatura

Puertos, aeropuertos, bares, gimnasios o incluso el mismo trabajo. Estos son algunos de los lugares donde toman la temperatura a las personas antes de entrar, pero hasta qué punto es legal. Tal como explica Barbará, la autoridad sanitaria ha establecido que se aplique esta medida en puertos y aeropuertos a la vez que ha llegado a un acuerdo con el sector empresarial para que aquellas compañías que lo crean conveniente también la puedan poner en marcha. No obstante, recuerda que esta iniciativa "no se ha establecido con carácter general" a cualquier tipo de establecimiento.

Una trabajadora del Dir toma la temperatura a una clienta en llegar a las instalaciones / Foto: Sergi Alcàzar

Por eso, considera que "tomar la temperatura de manera obligatoria en la entrada de un establecimiento comercial cuando las autoridades sanitarias no lo hayan establecido puede limitar de manera injustificada las libertades de las personas afectadas".

Desde la federación de consumidores FACUA no lo ven con malos ojos ni tampoco creen que se vulnere la legislación vigente. Su portavoz, Rubén Sánchez, defiende que los establecimientos privados pueden poner las normas que consideren pertinentes para garantizar la seguridad de sus clientes. Por eso, si quieren tomar la temperatura, lo pueden hacer. "No implica que vulneren ningún derecho", apunta.

Sin embargo, subraya Sánchez que, en ningún caso, esta información se tiene que poder relacionar con el nombre del cliente o sus datos personales. Así pues, pone el ejemplo que si un gimnasio decide coger los datos de los usuarios para poder avisarles si hay un brote en el centro, siempre lo tiene que hacer después de haber tomado la temperatura. "Si tiene fiebre marcha, pero no se lo registra", aclara. En más, agrega que los datos que se recogen, en otros lugares, a la entrada de espectáculos, centros deportivos, teatros o acontecimientos culturales tienen que ser puramente de contacto, ya que tienen como finalidad localizar a la persona si se detecta un caso de Covid-19.

Para facilitar la recogida de datos y así controlar la afluencia de usuarios en las instalaciones, los gimnasios Dir recopilan los datos mediante la aplicación del centro, aún así algunos clientes se acercan sin cita previa y la recopilación de datos se hace de forma manual. / Foto: Sergi Alcàzar

El primer paso para recoger un dato personal, según Solanas, es tener el consentimiento de los afectados. También es esencial que las personas que intervienen en el proceso de la recogida y tratamiento de la información tienen que estar debidamente identificadas. Además, este dato se tiene que tratar de manera personal, sensible, así como confidencial. En caso de que se decida almacenarla tiene que ser el menor tiempo posible para dar el servicio a la vez que se tiene que hacer de manera segura y cifrada.

"Desde una perspectiva estrictamente técnica, es posible recoger datos de las personas, almacenarlas de forma segura, y coger las acciones necesarias sin vulnerar sus derechos a la intimidad y privacidad", enfatiza.

APPS de rastreo

Uno de los primeros países en aplicar una App para hacer frente a la pandemia fue Corea del Sur. Su objetivo es advertir a las personas que han estado cerca de una persona que tiene coronavirus. Una nueva herramienta que ya ha llegado a España después de que la semana pasada el Gobierno anunciara que ya está disponible la aplicación Radar Covid. ¿Pero cómo se garantiza la privacidad de los usuarios?

En el momento que una persona se descarga la APP, aparece un texto donde se explica que funciona de una manera totalmente anónima y discreta. Por eso, no se recogen datos como el nombre, e-mail del usuario ni geolocalización del aparato móvil; así como no se indica el sitio ni la hora de donde se ha producido la exposición. En las políticas de privacidad se especifica que sólo se informa a los usuarios si en los últimos catorce días, tiempo de incubación del virus, han estado en contacto con una persona con Covid-19 durante más de 15 minutos y a una distancia menor de dos metros.

Al detalle, Barbará precisa que se trata de un sistema que promueve la Unión Europea que se utiliza para que sus usuarios tengan conocimiento si han sido cerca de un contacto de riesgo.  "El anonimato está garantizado porque que el sistema no permite asociar la información que emite cada dispositivo con un dispositivo concreto. En el caso específico de Radar Covid, Sánchez de Facua, asegura que el Gobierno "se ha cuidado mucho" para que la información sea totalmente anonimizada.

'Radar Covid', la aplicación móvil desarrollada para el rastreo de positivos de Covid-19 / Foto: Sergi Alcázar

Precisamente, según Solanas, una de las claves es que una aplicación de estas características no se puede imponer de manera obligatoria a la ciudadanía. Ahora bien, reconoce que existen sistemas para que los datos sean encriptados y, por lo tanto, totalmente anónimas. "Hacerla obligatoria sin el consentimiento de las personas, creo que va más allá de lo que es aplicable en la práctica en nuestras democracias. Lo que haría falta es mostrar que la aplicación es segura y privada para que la sociedad lo aceptara y la usas en pro de la salud pública y el bien general", argumenta.

Cartilla sanitaria

Una de las medidas que ha generado fuertes críticas tanto de Barbarà como de Sánchez es que la comunidad de Madrid prevé implementar una cartilla sanitaria en la cual se diferencie a las personas que son inmunes y las que no. "Pondremos una cartilla experimental de coronavirus para que aquellos con anticuerpos puedan tener una vida más normal", puntualizó la presidenta de la comunidad, Isabel Díaz Ayuso, a finales de julio cuándo presentó la medida.

Ahora bien, tanto Barbará como Sánchez creen que puede vulnerar el derecho de las personas, ya que las puede discriminar según su estado de salud. "La exigencia de una tarjeta que acredite si se ha pasado la enfermedad plantea serias dudas de legalidad, desde el punto de vista del derecho a la no discriminación," resalta Barbará. Además, añade Sánchez, también obliga a los usuarios a dar una información privada. "Más allá de conceptos éticos, has tenido que revelar por la fuerza unos datos que están protegidos", expone al portavoz de Facua.

Otro de los temores de estos expertos es que, más allá de actividades concretas, estos datos también se utilicen para discriminar socialmente a ciertos ciudadanos y, por ejemplo, que la gente que no es inmune a la Covid-19 no pueda optar a determinados puestos de trabajo. Si se diera este caso hipotético, Barbará especula que eso podría comportar un incremento de los casos. "Podría favorecer que determinadas personas se contagien con el fin de superar la enfermedad y poder situarse en mejores condiciones, por ejemplo, en un proceso de selección de personal", defiende.

A pesar de las controversias que despierta una medida de estas características, Solanas reconoce que se podría poner en marcha preservando las medidas de privacidad pertinentes. "Una tarjeta inteligente puede almacenar datos de forma segura", reafirma al especialista que pone el ejemplo de una tarjeta de crédito que nadie puede utilizarla si no conoce el PIN para operar.

"Con respecto a si es legal, es una pregunta para un abogado pero, en mi opinión, si se ponen en marcha las medidas de protección de la privacidad necesarias y se garantiza la seguridad y privacidad de las personas, no veo que tenga que ser problemático", puntualiza. En este aspecto, relata que existen tecnologías como la del Blockchain que permiten recoger y almacenar la información de una manera segura.

Ante el posible desconcierto que puedan levantar medidas de este tipo entre los ciudadanos, la ACPD publicó este julio a la Guía de protección de datos para pacientes y usuarios de los servicios de salud donde se explica a las personas como se tiene que tratar su información sanitaria, así como cuáles son sus derechos. Además, tanto Barbará como Sánchez recuerdan que aquellas personas que detecten un posible caso de vulneración de sus derechos lo pueden denunciar a sus respectivas entidades.

En este sentido, Barbará reconoce que "algunas de las medidas previstas por la normativa de salud pública pueden resultar bastante intrusivas para la privacidad de las personas", pero argumenta que "la grave situación derivada de la pandemia puede justificar su necesidad". No obstante, remarca: "Una vez desaparecida la situación de pandemia, estas medidas excepcionales también tendrían que desaparecer".

El actual panorama marcado por la crisis sanitaria, dice Solanas, puede comportar la tentación de saltarse los protocolos para acceder a todos los datos con la finalidad de tomar las decisiones pertinentes. Ahora bien, indica que hay que usar la tecnología criptográfica para obtener la información con el objetivo de garantizar la protección de la privacidad de los interesados. "Tenemos que evitar esta tentación. La tecnología actual nos permite recoger datos y compartirlos con las personas que las tienen que trabajar, de forma segura y respetando los derechos de los ciudadanos", concluye.