Pau Enseñat, CEO y fundador de la plataforma Reclamadatos, ha presentado ante la Agencia Española de Protección de Datos (AEPD) una denuncia contra la Secretaría General de Administración Digital (SGAD), organismo encargado de la implantación de la app Radar Covid en España, para que investigue si la aplicación cumple con el Reglamento General de Protección de Datos (RGPD) y las directrices del Comité Europeo de Protección de Datos (EDPB).
En su reclamación, solicita a la AEPD que confirme que esta aplicación cumple con los principios de licitud, lealtad, transparencia y responsabilidad proactiva (Art. 5 RGPD), ya que la SGAD no ha publicado la Evaluación de Impacto sobre la Protección de Datos (EIPD), en contra de lo indicado expresamente por el EDPB.
También pide que la Agencia investigue si la SGDA elaboró la EIPD antes de efectuar el tratamiento de datos personales y, en su caso, si consultó a la propia AEPD, tal y como exige la normativa europea.
Adicionalmente, también denuncia que en la Política de Privacidad no se han definido las funciones y responsabilidades de las autoridades sanitarias de las CCAA que han completado los procesos técnicos necesarios para integrar la aplicación en sus sistemas sanitarios (Art. 13 y 14 RGPD).
En comparación con las aplicaciones de Italia y Alemania, Radar Covid no especifica de forma suficientemente clara en la Política de Privacidad las distintas finalidades del tratamiento y las respectivas bases legitimadoras, ni los plazos de conservación de los datos para fines de investigación científica o histórica o fines estadísticos, tal y como determina el Comité Europeo de Protección de Datos.
Pau Enseñat añade que tampoco se ha publicado el código fuente, aunque el SGDA que dirige Carme Artigas ha anunciado que lo hará el 9 de septiembre, más de 2 meses después de que superase la fase de pruebas, con 3,4 millones de descargas y la integración en los sistemas sanitarios de 12 Comunidades Autónomas.
En la otra cara de la moneda se encuentran las aplicaciones de Italia y Alemania, que han cumplido desde el primer momento las directrices del EIPD y han recibido el dictamen favorable de las autoridades de control de estos países respecto al RGPD, tal y como se apunta en la denuncia.
En la misma se hace referencia al manifiesto en el que más de un centenar de académicos de diferentes ámbitos reclamaba al Gobierno más transparencia con la app exigiendo la publicación del código fuente.
Cabe recordar que durante el pasado mes de agosto más de 20 diputados británicos instaron a la presidenta de la Agencia Británica de Protección de Datos (ICO) a investigar al Gobierno Británico, después que éste último admitiese no haber llevado a cabo la Evaluación de Impacto requerida por el RGPD durante la fase piloto de “NHS Test and Trace”, la aplicación británica de rastreo de contactos.
Para el fundador de Reclamadatos, “esta herramienta es necesaria pero la forma en la que se ha llevado a cabo no es la correcta».
«Es especialmente grave que no se haya contado con la AEPD desde un inicio. Si echamos la vista atrás, el pasado 23 de junio la Agencia tuvo que emitir un comunicado aclarando su limitada participación en el proyecto, así como su desconocimiento de los detalles de la articulación práctica de Radar COVID y de la experiencia piloto, aspectos que le impidieron valorar su adecuación a la normativa de protección de datos”, ha condenado.
Sobre Reclamadatos
Reclamadatos es la primera plataforma online gratuita española que ofrece a las personas físicas la posibilidad de descubrir quiénes tienen sus datos personales y recuperar el control de los mismos.
Su misión es reclamar ante las empresas que operan en este país los derechos de las personas que recoge el Reglamento General de Protección de Datos (RGPD).
Gracias a esta herramienta se pueden solicitar, previa autorización, los seis derechos relativos a los datos personales que rigen en toda la Unión Europea de una manera fácil, rápida y segura: acceso, modificación, supresión, limitación, portabilidad y oposición.
Reclamadatos basa sus servicios en un “sistema de gestión de información personal” o “PIMS” por sus siglas en inglés, el cual ha sido analizado y validado por el European Data Protection Supervisor, máximo organismo europeo de protección de datos.
“La tecnología PIMS puede ayudar a dar a las personas y a los consumidores a tener un mayor control sobre sus datos personales. El EDPS anima a la Comisión Europea a apoyar el desarrollo de herramientas digitales innovadoras como esta y tomar iniciativas políticas que inspiren el desarrollo de modelos de negocio económicamente viables para facilitar su uso. La implementación efectiva de la protección de datos requiere iniciativas tecnológicas, económicas y legales, que nos ayudarán a recuperar el control de nuestras identidades en línea”, ha explicado Enseñat.
