¿Qué debes tener en cuenta antes de registrarte en una 'app' sobre el coronavirus?

Ante la avalancha de llamadas que están recibiendo los números de urgencias de los servicios sanitarios, los gobiernos autonómicos de Madrid y Cataluña han lanzado aplicaciones que permiten hacer autodiagnósticos para verificar si se puede estar contagiado del covid-19. Estas apps consisten en un formulario que el usuario debe rellenar aportando datos personales y detallando los síntomas que está experimentando. En función del resultado, se da recomendaciones al ciudadano para que se quede en casa o, en los casos más graves, llame al 112.

No obstante, paralelamente también han surgido varias páginas web y aplicaciones desarrolladas por entidades privadas y ajenas a las autoridades que ofrecen autoevaluaciones y consejos sobre el coronavirus, pidiendo ciertos datos a cambio. La Agencia Española de Protección de Datos (AEPD) ya ha alertado que abrirá una investigación al respecto y ha advertido de los riesgos que supone facilitar información personal a través de este tipo de plataformas no oficiales.

Ante esta situación, ¿qué debe tenerse en cuenta al registrarse en este tipo de apps? Para empezar, los expertos coinciden en que es indispensable leer la política de privacidad de la aplicación. "En ella, el responsable debe especificar, entre otras cosas, cuál es la finalidad del tratamiento de los datos", explica María Martín, responsable del área de Protección de Datos de Helas Consultores. Este objetivo debe estar explicado en un lenguaje sencillo y comprensible.

Más información

¿Puedo negarme a ir a trabajar por miedo a contagiarme del coronavirus?

Covid-19: ¿qué medidas pueden adoptar las empresas para evitar los despidos?

Además, la abogada subraya que la información solicitada debe ir acorde al objetivo perseguido. "Si la finalidad es el autodiagnóstico del usuario, tiene sentido que pidan datos de salud, pero no el DNI, acceso a la cámara o a la agenda de contactos", relata. Si lo que se pretende es llevar un control epidemiológico o ubicar a posibles contagiados, por ejemplo, la aplicación podría acceder a la geolocalización del usuario, "pero siempre que cuente con su consentimiento", subraya la letrada.

En este sentido, María Suárez, socia de privacidad y tecnología en DA Lawyers, explica que se debe seguir el "principio de minimización". Es decir, solicitar la información mínimamente posible para alcanzar el objetivo que se persigue.

Saber quién hay detrás

Otro de los aspectos a tener en cuenta es que la aplicación determine claramente quién es el responsable del tratamiento. Así, por ejemplo, si la web es privada, la empresa que esté detrás debe identificarse y dejar sus señas para que el usuario pueda contactar con ella en caso de necesitarlo.

En este sentido, Noemí Brito, socia del área de tecnología, innovación y economía digital de Ceca Magán, recuerda que "no es lo mismo una app del servicio público que una que pertenezca a una compañía, aunque ello no significa que tenga que ser ilícita per se". La letrada opina que las iniciativas del ámbito privado pueden apoyar a los órganos oficiales en el control epidemiológico, actuando como plataformas confiables y seguras. Eso sí, en la política de privacidad deberá materializarse dicha colaboración, especificando que los datos recopilados podrán ser cedidos a las autoridades competentes (el Ministerio de Sanidad, por ejemplo).

Las explicaciones sobre cesión de información no solo abarcan la identificación de terceros, "sino que también se debe explicar el motivo por el que se ceden esos datos", indica Suárez. Además, la abogada advierte que la aplicación debe precisar el plazo de conservación de la información recopilada. Lo normal sería que se eliminara cualquier registro una vez finalice la emergencia sanitaria que originó la aplicación. No obstante, se podría querer mantener para, por ejemplo, hacer estadísticas o poder reorganizar los recursos sanitarios.

Esta finalidad debe estar presente en la política de privacidad y, en todo caso, "contar con el consentimiento expreso de los usuarios", recuerda Brito. El responsable del tratamiento, por tanto, deberá solicitar únicamente los datos necesarios y aportar las garantías suficientes que avalen que solo tienen como objetivo controlar la epidemia.

Por último, la IP fija del móvil o el PC se considera un dato personal, "por lo que, en todo caso, la aplicación deberá contar con técnicas de anonimización para garantizar el anonimato", señala Martín. De esta forma, se evita que los datos de salud recogidos puedan acabar siendo asociados a una persona. La web en la que se encuentre la app también debe ha de ser una página segura, preferiblemente una http.