Pablo Contreras Vásquez - Apuntes de Derechos
.
  • Inicio
  • Perfil
  • Libros
  • Artículos
  • Proyectos
  • Podcast
  • Blog
  • Contacto

Problemas de protección de los datos personales de la aplicación “CoronApp”

4/22/2020

0 Comments

 
Picture
Columna publicada en Ciper (22.04.20)
​
La aplicación móvil “CoronApp” lanzada por el Ministerio de Salud para hacer seguimiento de personas con Covid-19 o sospechosas de tenerlo, no ha dejado a nadie indiferente, generando discusiones en torno a su real utilidad, así como a su legalidad, y muy especialmente, acerca de los riesgos que podrían derivarse de su uso, dado el alcance del tratamiento de datos que permite llevar a cabo. 
CoronApp trae las mismas trampas que la mayoría de las aplicaciones móviles cuyo negocio es el tratamiento y venta de la información de sus usuarios: términos y condiciones poco claros y falta de transparencia en su política de privacidad, además, terceros ajenos al MINSAL (tanto privados como públicos) podrían acceder a los datos recolectados por la App. Si ello sucede, será muy difícil –si no imposible– seguir la huella de los datos y controlar la forma en que los mismos sean usados.
La legalidad del tratamiento es un aspecto basal en la protección de datos personales. De acuerdo a la ley que regula esta materia (Ley 19.628), un determinado tratamiento de datos sólo puede ser llevado a cabo si la ley lo autoriza o el titular consiente con ello. En el caso de los organismos públicos, cuando el tratamiento se basa en el consentimiento, además se discute si el mismo solo puede ser realizado dentro del ámbito de las competencias del respectivo organismo, o si, por el contrario, el alcance del tratamiento estará dado exclusivamente por los términos en que se otorgó el consentimiento.
¿Qué sucede con CoronApp? Su Política de Privacidad no deja claro cuál sería esta base de legitimidad. Si bien se hace referencia a las facultades que por ley tienen el MINSAL y sus organismos relacionados para tratar información de salud conforme a sus competencias (“explícitas e implícitas”), al mismo tiempo se establece que el tratamiento de datos de la aplicación se rige por su política de privacidad la que reiteradamente se refiere al consentimiento de sus usuarios. La práctica internacional con robustas legislaciones sobre protección de datos personales es que la base de legitimidad sea clara y expresamente señalada, porque esta delimitará, en gran medida, las actividades de tratamiento posibles.
En nuestra interpretación la legitimidad de la recolección y tratamiento de datos realizado a través de CoronApp estaría dada por el consentimiento de sus usuarios. De lo contrario no se justificaría, por ejemplo, la habilitación que se da en la Política de Privacidad para que terceros ajenos a la administración del Estado puedan publicar los resultados de investigaciones realizadas con datos recolectados a través de CoronApp, pues la ley no autoriza esta cesión de datos, de manera que no podrían realizar estudios a nombre propio con los mismos. Lo anterior no debe ser confundido con el tratamiento por encargo, en cuyo caso se entiende que el tratamiento es realizado en nombre de quien lo encarga, y en este sentido, cualquier publicación se entendería realizada por el MINSAL, con lo que no requeriría autorización adicional.

DUDAS DE LA POLITICA DE PRIVACIDAD

Dicho lo anterior, para conocer el alcance del tratamiento de datos que los usuarios estarían autorizando (qué datos, quienes y de qué forma podrán usarlos, tiempo por el cual podrían tratarlos, y demás autorizaciones), es necesario revisar tanto los Términos y Condiciones de la aplicación, como su Política de Privacidad. En ambos instrumentos deberían encontrarse las reglas del juego, entendiéndose ambos aceptados por sus usuarios en su totalidad por el sólo hecho de utilizar la aplicación.
En relación al acceso, además de las dudas ya mencionadas en relación a los casos y finalidades bajo las cuales terceros podrían acceder a los datos de CoronApp, tampoco queda claro si los mismos podrían ser transferidos a otros órganos del Estado en virtud del consentimiento otorgado por sus usuario. 
En la Política de Privacidad se señala que eventualmente MINSAL podría ser requerido a “entregar acceso o divulgar los datos a terceros, en virtud de una orden judicial o administrativa”, pero no especifica, por ejemplo, si para ello sólo podría darse en el contexto de una orden dada por una autoridad autorizada por ley para requerir determinados datos, o si, al ser la autorización del usuario la fuente de licitud del tratamiento, su consentimiento estaría ampliando las hipótesis bajo las cuales autoridades administrativas podrían acceder y tratar datos personales.
En cuanto a su finalidad, CoronApp “es una aplicación gratuita de seguimiento de síntomas y acompañamiento de pacientes sospechosos y confirmados con COVID-19”. Sin embargo, no es esa la única finalidad para la cual serán tratados los datos. Podemos encontrar otras, por ejemplo, en la sección referida al almacenamiento de datos, donde se declara que estos podrán ser tratados “con fines históricos, estadísticos, científicos y de estudios o investigaciones” (Sec. 5a), sin que ello sea circunscrito a determinados fines específicos (ni siquiera a cuestiones de interés público) ni limitando las categorías de terceros que podrían llevar a cabo dicho tratamiento. 
Además, en los términos y condiciones de servicio de la app, se establece que “puede resultar necesario recopilar y procesar cierta información, la cual se obtendrá desde el dispositivo móvil en donde se ha instalado la aplicación”, añadiendo una nueva finalidad: “realizar mejoras en la aplicación que la optimicen y fortalezcan, tendiente a conseguir una experiencia del usuario satisfactoria”. Pese a que los Términos anuncian que las condiciones de tratamiento serán descritas en la Política de Privacidad, ésta no sólo omite dicha nueva finalidad sino que también no especifica cuál es “cierta información” que vagamente se anuncia.
Por otra parte, sólo en el caso particular de la geolocalización se señala expresamente la base de legitimidad para su tratamiento –el consentimiento del usuario– y la finalidad del mismo: realizar “acciones útiles de seguimiento de pacientes para la protección de la salud pública, durante la vigencia de la emergencia sanitaria”. No obstante, no queda claro cuál es la extensión de la expresión “protección de la salud pública”. Conceptualmente, podría ir  mucho más allá del control de los contagios de COVID-19. Los datos de geolocalización son particularmente relevantes para el análisis: a su vez podrían entregarnos otra información, de carácter sensible – por ejemplo, revelar los hábitos personales de los individuos– y, además, son muy difíciles de anonimizar (¿cuántas personas, además de cada usuario de la app, van todos los días de su casa a su oficina?).
En cuanto a los datos que son recolectados, llama la atención que no se aplique el principio de minimización, según el cual solo sean recolectados los datos estrictamente necesarios para la finalidad que se propone la CoronApp.
¿De qué manera conocer enfermedades anteriores o medicamentos que toman las personas podría ayudar a controlar la propagación del COVID-19? Además, se emplean fórmulas abiertas (datos “tales como”), que hacen imposible decir exactamente qué datos serán recolectados.
La duración del almacenamiento de los datos también es incierta. ¿Los datos serán guardados “durante el tiempo que sea necesario para la protección de la salud pública, en el contexto de la emergencia sanitaria” o por el “período de 15 años”? Ambas referencias están contenidas en la sección 5 de la Política y no permiten discernir si es un plazo cierto o indeterminado.
Por último, en cuanto a los derechos de los titulares de los datos, no se explica por qué estos solo pueden ejercer su derecho a actualizar o rectificar su información, y no así su derecho a eliminarlos u oponerse a su tratamiento. Acceso, rectificación, cancelación y oposición son las facultades de todo titular del derecho fundamental a la protección de datos. En este caso, no estamos ante los datos de una ficha clínica o en el contexto de prestaciones de salud, en donde se restringen el ejercicio de tales facultades (sería desastroso que la gente pudiera exigir la eliminación de información de su historial médico). Esta es una aplicación móvil que trata datos en base al consentimiento, que –de acuerdo a la propia Política de Privacidad–, podrán ser utilizados para otros fines que no dicen relación con la atención de salud del paciente, o peor aún, por terceros ajenos a la administración del Estado. 

TRANSPARENCIA Y LEALTAD EN EL USO DE LOS DATOS


Si CoronApp es útil o no para controlar los contagios de COVID-19, escapa de nuestra expertise (aún cuando ello es criticado en el derecho comparado). La soluciones tecnológicas que buscan recolectar masivamente datos sensibles de las personas deben ser sometidas al más intenso escrutinio, aún cuando la emergencia sanitaria pudiese recomendar implementarlas. Por ello, es necesario alertar sobre los peligros de la utilización de un lenguaje impreciso y fórmulas abiertas en su Política de Privacidad. Las palabras de los contratos nunca son elegidas al azar por los abogados y en el caso de las empresas privadas que tratan datos, estas expresiones generalmente tienen por objeto dejar abierta la posibilidad de recolectar más datos de los expresamente señalados y/o poder usarlos con fines distintos a las informados. Esta apertura permite aprovechar nuevas oportunidades de negocio a futuro, que no se tenían a la vista en un inicio, o derechamente esconder actividades de tratamiento poco éticas.
Aquello que sucede en contratos propios del ámbito privado, no puede tener correlato respecto de los órganos estatales. Éstos no sólo tienen el deber de respetar, proteger y promover derechos, como la protección de datos personales, sino que además deben apegarse a la legalidad vigente para el tratamiento masivo de datos sensibles. En el caso del Estado, resulta clave la transparencia del uso de estos datos. Los organismos públicos deben dar cuenta cómo y por qué toman las decisiones, así como de qué manera vigilan a sus administrados. Lo anterior además, es esencial para cuidar la confianza de los ciudadanos, tan importante por estos días. 
La discusión global que estamos enfrentando entre respuestas tecnológicas de vigilancia y la privacidad y autodeterminación informativa de las personas no se diluye por la mera apelación a las normas legales vigentes. No se trata sólo de una facultad legal del MINSAL o de una correcta política de privacidad, sino que los procesamientos de datos se den bajo un ecosistema normativo que permita confiar en su uso adecuado y con una institucionalidad robusta para sancionar sus infracciones, cuestión que no existe en nuestro país. Por ello, las ambigüedades en esta materia sólo menoscaban los esfuerzos para controlar la pandemia.  

0 Comments



Leave a Reply.

    Sobre el Blog

    En esta sección se publican enlaces, noticias y archivos sobre materias de derechos fundamentales y teoría constitucional y política.

    Archives

    December 2023
    December 2022
    January 2022
    October 2021
    September 2021
    August 2021
    July 2021
    June 2021
    May 2021
    April 2021
    March 2021
    February 2021
    January 2021
    December 2020
    November 2020
    October 2020
    September 2020
    August 2020
    July 2020
    June 2020
    May 2020
    April 2020
    March 2020
    January 2020
    December 2019
    November 2019
    October 2019
    September 2019
    July 2019
    May 2019
    April 2019
    May 2018
    March 2018
    February 2018
    August 2016
    June 2016
    March 2016
    January 2016
    October 2015
    May 2015
    April 2015
    March 2015
    January 2015
    December 2014
    August 2014
    May 2014
    April 2014
    March 2014
    February 2014
    January 2014
    December 2013
    November 2013
    October 2013
    September 2013
    August 2013
    July 2013
    June 2013
    May 2013
    April 2013
    March 2013
    February 2013
    January 2013
    December 2012
    September 2012
    August 2012

    Categories

    All
    Aborto
    Academia
    Acceso A La Información Pública
    Acceso A La Información Pública
    Acuerdo Por Nueva Constitución
    Acuerdo Por Nueva Constitución
    Admisión A Trámite
    Algoritmos
    Almonacid
    Animales No Humanos
    App
    Arbitrariedad
    Art. 135
    Artavia
    Asamblea Constituyente
    Atala Riffo
    Autodeterminación Informativa
    Autodeterminación Informativa
    Autonomía
    Autonomía
    Autoridad De Protección De Datos Personales
    Autoridad De Protección De Datos Personales
    Binominal
    Buena Fe
    Cámara De Diputados
    Candidaturas
    Capitalismo De La Vigilancia
    Carabineros
    Carrera Militar
    Censura
    Cohecho
    Comisión Bicameral
    Comité De Armonización
    Comité De Armonización
    Conflictos De Interés
    Conflictos De Interés
    Congreso Futuro
    Congreso Nacional
    Consejo Para La Transparencia
    Constitución 1980
    Contra-manifestación
    Control De Constitucionalidad
    Control De Convencionalidad
    Control De La Convención
    Control De La Convención
    Control Preventivo
    Convencionales
    Convención Americana DDHH
    Convención Americana DDHH
    Convención Constitucional
    Convención Constitucional
    Convención De Derechos Del Niño
    Conversatorios
    Corte Interamericana Ddhh
    Corte Suprema
    Cotización Obligatoria
    Covid19
    Dato
    Datos Personales
    Datos Sensibles
    Debido Proceso
    Decreto Espía
    Decreto Supremo
    Deferencia Razonada
    Delitos Informáticos
    Democracia
    DEPA
    Derecho Administrativo Sancionatorio
    Derecho A La Educación
    Derecho A La Salud
    Derecho A La Vida
    Derecho Del Consumidor
    Derecho Del Trabajo
    Derecho De Propiedad
    Derecho De Reunión
    Derecho Internacional
    Derechos Fundamentales
    Derechos Humanos
    Desafuero
    Detención
    Detención
    Diario Oficial
    Diccionario Constitucional
    Discriminación
    Elecciones
    Elite
    Estado De Catástrofe
    Estado De Emergencia
    Estado De Excepción Constitucional
    Estados De Excepción Constitucional
    Estados De Excepción Constitucional
    European Court Of Human Rights
    Fecundación In Vitro
    Feminismo
    Ffaa
    Ficha Clínica
    Fondecyt Plataformas
    Fuero
    Fuerzas Armadas
    Funa
    Funcionarios Públicos
    Garantías Judiciales
    Gastos Reservados
    Gestión Documental
    Hoja En Blanco Podcast
    Huelga
    Human Rights
    Igualdad
    Imparcialidad Judicial
    Impuesto
    Inaplicabilidad
    Incertidumbre Económica
    Independencia Judicial
    Indh
    Informe En Derecho
    Inhabilidades Parlamentarias
    Inteligencia Artificial
    Interés Legítimo
    International Deference
    Justicia Militar
    La Constitución De Chile
    La Ley De La Emergencia
    Lanzamiento Libro
    Legaltech
    Ley Hinzpeter
    Lgbt
    Libertad De Cátedra
    Libertad De Conciencia
    Libertad De Enseñanza
    Libertad De Expresión
    Libertad De Expresión
    Libertad Personal
    Libertad Religiosa
    Libre Competencia
    Loc
    Lucro
    Manuales
    Marca Tu Voto
    Margen De Apreciación
    Margen De Apreciación
    Margin Of Appreciation
    Matrimonio Igualitario
    Ministros De Estado
    Nasciturus
    Negociación Colectiva
    Nombramiento De Autoridades
    No Molestar
    Nueva Constitución
    Nueva Constitución
    Nueva Constitución
    Obediencia
    Objeción De Conciencia
    Objeción De Conciencia
    Orden De No Innovar
    Palamara
    Pandemia
    Paridad
    Parlamentarios
    Partidos Políticos
    Pensiones
    Plataformas Digitales
    Plebiscito
    Podcast
    Poder Constituyente
    Policía
    Policía
    Políticas De Privacidad
    Postergación De Elecciones
    Postergación De Elecciones
    Potestad Reglamentaria
    Privacidad
    Probidad
    Procedimiento Administrativo
    Proceso Constituyente
    Prohibición De Deliberación
    Promulgación De Ley
    Protesta
    Protocol No. 15
    Publicación De La Ley
    Quórum
    Quórum
    Reforma Constitucional
    Reglamento De La Convención
    Reglamento De La Convención
    Reos
    Representación
    RGPD
    Sandbox
    Secreto
    Secreto Industrial
    Segregación
    Selección Educacional
    Senado
    Sernac
    Servel
    Sindicatos
    Sistema Electoral
    Subsidiariedad
    Sufragio
    Titularidad De Derechos
    Toque De Queda
    Transparencia
    Tratados Internacionales
    Tratos Crueles E Inhumanos
    Tribunal Constitucional
    Tribunal Europeo De Derechos Humanos
    Tributo
    Tricel
    Universidad Católica
    Vetos
    Voto
    Wikileaks

    RSS Feed

Powered by Create your own unique website with customizable templates.