Després d’una investigació i una instrucció que han durat mesos, l’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat finalment el govern espanyol a causa de l’anomenat Radar COVID. L’APP es posà en marxa l’octubre de 2020, en la seva versió definitiva, amb l’objectiu de contenir la propagació del SARS-CoV-2.
L’aplicació per a dispositius mòbils havia de permetre notificar l’usuari del possible risc de contagi per Covid-19, en cas d’haver estat en “contacte epidemiològic” amb un altre usuari que se n’hagués infectat. Calia, per tant, que aquest ho comuniqués penjant al programari un resultat positiu en alguna de les proves diagnòstiques homologades.
D’acord amb la resolució dictada per l’autoritat que vetlla perquè es garateixi el dret fonamental a la protecció de les dades personals, el Radar COVID va infringir una pluralitat de preceptes continguts a la normativa que regula la matèria. Per començar, no s’oferia al ciutadà una adequada informació sobre el tractament de les dades que el concernien.
Més enllà dels dèficits relacionats amb la transparència, l’AEPD retreu a la Secretaria d’Estat de Digitalització i Intel·ligència Artificial l’incompliment de l’obligació de realitzar una Avaluació d’Impacte. Prevista a l’article 35 del Reglament General de Protecció de Dades, aquesta eina serveix per a mesurar els riscs inherents en un determinat tractament de dades, potencialment lesiu per als drets i les llibertats de les persones.
Segons exposa l’Agència, els responsables del software no van dur a terme aquesta necessària i exhaustiva avaluació de riscos, amb anterioritat a la posada a disposició del públic. L’anàlisi esdevenia preceptiva en el cas del Radar COVID, tenint en compte les implicacions que suposava en termes de privacitat.
En aquest sentit, l’organisme supervisor considera que “la manca d’AIPD, així com la seva realització defectuosa, incompleta, tardana o sense la participació del DPD suposa una conculcació del principi de responsabilitat proactiva i de la privacitat des del disseny, així com de les previsions del RGPD sobre l’AIPD”.
Al llarg del procediment, l’Agència Espanyola de Protecció de Dades també ha detectat una insuficient implantació de mesures de seguretat, adreçades a garantir la confidencialitat de la informació personal que l’aplicació processava. Malgrat que el govern espanyol assegurava l’anonimat dels usuaris, en realitat era possible associar la IP amb el procés de càrrega d’un test positiu.
Aquesta circumstància, que resultava prescindible per al correcte funcionament de l’APP, comprometia la confidencialitat de les dades. Tot i no permetre la identificació directa de l’individu, per mitjà de la combinació de diferents paràmetres recopilats pel Radar COVID podia acabar determinant-se la identitat. Una vulnerabilitat que provocava l’exposició davant de tercers de les dades de salut, no només de l’usuari, sinó també de les que afectaven tot aquell amb qui hagués estat en contacte.
