La app Radar COVID violó 8 artículos de la normativa de protección de datos: la AEPD acaba de sancionar al Gobierno

La app Radar COVID, destinada al rastreo digital de infecciones de coronavirus, fue fuente de polémicas desde el primer momento, cuando, en lo peor de la pandemia en 2020, el Gobierno encargó a Indra su desarrollo. Generó desconfianza entre la ciudadanía, evidenció la total descoordinación entre administraciones públicas, y rápidamente quedó claro que su utilidad era muy reducida: no había forma de notificar un positivo propio, o no se recibían las notificaciones de contactos de riesgo.

Finalmente, su desarrollo, mantenimiento y promoción nos salió a los españoles por 4,2 millones de euros. Dado que la app sólo fue capaz de registrar el 1% de los contagios de COVID que tuvieron lugar en nuestro país (121.390 positivos); de modo que, dividiendo su coste entre el número de casos que registró, cada uno de ellos terminó costando 35 euros.

Un vistazo a…
Cómo solicitar el CERTIFICADO DIGITAL de PERSONA FÍSICA de la FNMT

La app no evitó muchos contagios, pero sí evitará pagar por sus infracciones del RGPD

Pero, aunque hace mes y medio supimos que el contrato de mantenimiento con Indra ya no iba a ser renovado, por lo que la app quedaba abandonada por la Administración, las consecuencias de la app no han abandonado a la Administración…

Y es que, hace unas horas, la AEPD (Agencia Española de Protección de Datos) publicaba (aquí el PDF) un expediente sancionador contra la Secretaría de Estado de Digitalización e Inteligencia Artificial (el organismo gubernamental que firmó el contrato con Indra) por violar hasta 8 artículos del Reglamento General de Protección de Datos a causa Radar COVID.

La AEPD deja claro que, aun siendo consciente "de la situación extraordinaria y de emergencia" que generó la pandemia, y de que "el derecho a la protección de los datos personales, no puede ser un obstáculo en los avances tecnológicos para combatir la pandemia", estos incumplimientos claros de la normativa siguen siendo motivo de sanción.

Dicha sanción, sin embargo, es meramente de 'apercibimiento', sin penalización económica alguna, pero eso no debe servir para valorar la gravedad de la acción del Gobierno: tan sólo es una consecuencia del hecho de que la Ley de Protección de Datos Personales y el RGPD no contemplan multas cuando el incumplimiento lo realiza una administración pública.

Sin evaluación de impacto hasta un mes después de su lanzamiento

Entre otros hechos, la resolución de la AEPD establece que la Secretaría de Estado de Digitalización reconoció, en sus alegaciones, que "para el proyecto piloto no se generó ningún documento de evaluación de impacto de protección de datos". De hecho, dicha evaluación de impacto no estuvo disponible hasta el 22 de septiembre de 2020, tres meses después de comenzar el proyecto piloto, y más de un mes después del lanzamiento nacional de la aplicación:

"La SEDIA, que actuaba como responsable del tratamiento, debió haber elaborado una EIPD desde el inicio del desarrollo e implantación de la aplicación Radar COVID y, en todo caso, antes de que se produjera el tratamiento de los datos personales".

Dicha evaluación debería haber sido realizada, a petición de la SEDIA, por el Delegado de Protección de Datos del Ministerio de Economía, al que —según rezan las alegaciones— no se consultó en un primer momento "por no ser un procedimiento de carácter obligatorio". La AEPD contesta a eso que el artículo 35.2 del RGPD establece que la Secretaría de Estado sí estaba obligada a recabar el asesoramiento del DPD.

El desarrollo de la aplicación no tuvo presente de forma efectiva los principios aplicables a la protección de datos "desde el diseño y por defecto", según la AEPD

Vulnerabilidad conocida, pero no solventada medio año más tarde

La AEPD afirma, además, que "registró varias reclamaciones en las que se denunciaba una vulnerabilidad en el diseño de la aplicación", que permitía, por ejemplo, asociar una IP con la subida de un test positivo, lo que excedía lo necesario para el funcionamiento de la app y permitía desanonimizar la información, y violaba la última versión de la política de privacidad de la propia Radar COVID.

Esta vulnerabilidad "ya era conocida por el equipo de desarrollo de Radar COVID, ya que figuraba al menos en un documento técnico publicado en abril de 2020". Pese a ello, la app se lanzó a nivel nacional el 19 de agosto y el problema no se resolvió hasta el 8 de octubre:

"Aún siendo conscientes del riesgo, no integraron las garantías necesarias para garantizar la confidencialidad de los datos y resiliencia de los sistemas".

Ver todos los comentarios en https://www.genbeta.com

VER 11 Comentarios

Portada de Genbeta