Transcurridos más de seis meses desde su lanzamiento, sigue sin publicarse la evaluación de impacto o si la misma cuenta con la aprobación de la Agencia.
Si la investigación concluye que se ha vulnerado la normativa, podría afectar a las aplicaciones de rastreo europeas con las que Radar COVID está compartiendo datos.
La denuncia pide que se aclare si se ha producido una brecha de seguridad y si se comunicó a la AEPD ya los interesados, como exige el RGPD.
En las modificaciones realizadas tras la primera denuncia, el Ministerio admite que la app estuvo en pruebas la menos hasta el 9 de octubre, pese a que ya en agosto comenzaron las campañas para impulsar las descargas.
La modificación de la Política de Privacidad admite que sí se están tratando datos personales, lo que habilita a los usuarios a reclamar sus derechos.
Pau Enseñat, CEO y fundador de la plataforma Reclamadatos, ha ampliado la denuncia que presentó el pasado 7 de septiembre contra la app Radar COVID, que fue admitida a trámite por la Agencia Española de Protección de Datos tras apreciar “indicios racionales de una posible vulneración de la normativa en materia de protección de datos”. La denuncia se ha ampliado no solo a la Secretaría General de Administración Digital, contra la que iba dirigida la primera reclamación, sino también contra el Ministerio de Sanidad y todas las Consejerías de Sanidad de las 17 Comunidades Autónomas.
En esta nueva reclamación, se enumeran una serie de factores que, a juicio de Enseñat, “han influido notablemente en que solo se hayan declarado a través de la app poco más de 36.700 positivos desde que se puso en marcha, ya que ha generado una desconfianza innecesaria y la mayoría de los ciudadanos se han mostrado reacios a descargarla y utilizarla pese a la gravedad de la pandemia”.
En esta ocasión, se solicita a la Agencia que, en el marco de la investigación que está llevando a cabo, se tengan en cuenta las novedades que se han producido desde el mes de septiembre, tanto la corrección de aspectos que se recogían en la primera denuncia, como los incumplimientos que tras más de seis meses de la publicación de Radar COVID y en plena tercera ola de la pandemia, siguen sin haber sido subsanados.
Entre las correcciones efectuadas durante este periodo, destaca la publicación del código fuente, si bien no exenta de polémica, debido a su ofuscación inicial o la carencia del histórico de versiones, tal y como denunció la comunidad de desarrolladores después de su publicación.
También se han introducido importantes cambios en la redacción de la Política de Privacidad, entre los que destaca una relevante rectificación. Ahora se reconoce que Radar COVID sí trata datos personales (seudonimizados, pero no anónimos) y, por tanto, sus usuarios pueden reclamar sus derechos de protección de datos (acceso, rectificación, supresión, limitación y oposición), tal y como ha venido defendiendo el Comité Europeo de Protección de Datos.
Otra de las modificaciones relevantes es el cambio de responsable de la aplicación. Y es que desde el pasado 9 de octubre, el Ministerio de Sanidad y las Consejerías de Sanidad de las 17 comunidades autónomas, además de Ceuta y Melilla, son los responsables de Radar COVID (y no la Secretaría de Estado de Digitalización e Inteligencia Artificial), tal y como publica el BOE del 15 de octubre.
Este cambio en el flujo de los datos pone de manifiesto que -al menos hasta el pasado 9 de octubre- la app seguía en fase de pruebas, pese a que desde el mes de agosto se pusieron en marcha las campañas publicitarias para animar a la ciudadanía a descargarla y usarla.
La ampliación de la denuncia recuerda que sigue sin publicarse la evaluación de impacto, análisis que debía haberse efectuado antes de su lanzamiento hace ya más de seis meses, tal y como recomendaba encarecidamente el organismo europeo de protección de datos, al considerar que el tratamiento de datos en las aplicaciones de rastreo pueden entrañar un alto riesgo. Y es que dicha evaluación resulta esencial, pues en función de su resultado, se debía consultar a la Agencia Española de Protección de Datos antes de poner en marcha la aplicación, tal y como hicieron Italia y Alemania que contaron con la aprobación previa y pública de sus respectivas autoridades nacionales.
Según Pau Enseñat, “Si además de todo lo anterior, le sumamos la brecha de seguridad que dio a conocer El País el pasado 22 de octubre, sin duda explica por qué la aplicación Radar COVID no está teniendo el impacto deseado, pues resulta imposible que transmita confianza a la población, a pesar de los 1,7 millones de euros públicos invertidos en su desarrollo y mantenimiento”. Y añade que “si finalmente, la Agencia determina que Radar COVID ha vulnerado la normativa de protección de datos, ello podría impactar al resto de aplicaciones de rastreo europeas con las que se están compartiendo datos”.
Sobre reclamadatos
Reclamadatos es la primera plataforma online gratuita española que ofrece a las personas físicas la posibilidad de descubrir quiénes tienen sus datos personales y recuperar el control de los mismos.
Su misión es reclamar ante las empresas que operan en este país los derechos de las personas que recoge el Reglamento General de Protección de Datos (RGPD).
Gracias a esta herramienta se pueden solicitar, previa autorización, los seis derechos relativos a los datos personales que rigen en toda la Unión Europea de una manera fácil, rápida y segura: Acceso, Modificación, Supresión, Limitación, Portabilidad y Oposición.
Basa sus servicios en un “Sistema de Gestión de Información Personal” o “PIMS” por sus siglas en inglés, el cual ha sido analizado y validado por el European Data Protection Supervisor, máximo organismo europeo de protección de datos: “La tecnología PIMS puede ayudar a dar a las personas y a los consumidores a tener un mayor control sobre sus datos personales. El EDPS anima a la Comisión Europea a apoyar el desarrollo de herramientas digitales innovadoras como esta y tomar iniciativas políticas que inspiren el desarrollo de modelos de negocio económicamente viables para facilitar su uso. La implementación efectiva de la protección de datos requiere iniciativas tecnológicas, económicas y legales, que nos ayudarán a recuperar el control de nuestras identidades en línea”.