TOTAL: {[ getCartTotalCost() | currencyFilter ]} Update cart for total shopping_basket Checkout

The Privacy Advisor | Algunas aplicaciones que están siendo utilizadas en América Latina para tratar de controlar la propagación del COVID-19   Related reading: FTC publishes privacy, data security enforcement review

rss_feed

""

Editor's Note:

Muchas gracias a todos los que contribuyeron a esta nota: Pablo Palazzi, Dirceu Santa Rosa, Paulina Silva, Javiera Sepúlveda, Juanita Acosta, María del Pilar López, Karina Calderón, Dafne Méndez, María Arias Pou, Cecilia Abente, Jorge Allende, Catherine Escobedo y Orietta Blanco.

Argentina

El gobierno de Argentina desarrolló la aplicación llamada CUIDAR (disponible aquí). Todos aquellos individuos exceptuados de la cuarentena (es decir, que tengan habilitación para circular) deben descargarla en su teléfono móvil. Entre las funcionalidades y propósitos de CUIDAR, se encuentra la posibilidad de geolocalizar a los individuos.

El usuario deberá cargar los datos de su Documento Nacional e ingresar algunos otros como el domicilio actual y el número de teléfono móvil. Asimismo, deberá realizar una autoevaluación con relación a los síntomas de COVID-19 e informar sobre condiciones/enfermedades que tenga, por ejemplo, embarazo, diabetes, enfermedades respiratorias o del corazón. Si el usuario presenta síntomas de COVID-19, se deberá notificar a la autoridad. En caso de ser negativo, se le recomendará realizar otra autoevaluación en 48 horas.

A primera vista, podría decirse que CUIDAR cumple con los principios establecidos en la legislación de protección de datos, pues la Política de Privacidad es clara y de fácil lectura y comprensión; los datos personales son ciertos, adecuados y pertinentes (teniendo en cuenta que los completa el usuario); el consentimiento de los usuarios es recabado por medio de la Política de Privacidad, al marcar una casilla para aceptarla, así como los Términos y Condiciones, etc.

A pesar de que los datos de geolocalización de los Usuarios serán almacenados de forma anonimizada, esta función podría ser una puerta para iniciar un monitoreo individual a los ciudadanos. Es así como la licitud de CUIDAR dependerá del hecho de que no existan finalidades poco transparentes de las que el usuario no esté al tanto o no hubiera consentido expresamente.

Brasil

En Brasil no hay una aplicación oficial del Gobierno federal que sirva para identificar individuos afectados por COVID-19 o con la cual se busque informar a otros que han tenido contacto con una persona afectada por el COVID-19 (contact tracing).  Lo que existen son aplicaciones desarolladas por gobiernos estatales y municipales, o por empresas privadas en cooperacion con autoridades locales, que recaban datos de geolocalizacion para evitar que las persones se concentren en lugares públicos. 

Muchas de estas aplicaciones utilizan datos obtenidos legalmente de operadores de telefonía celular, aunque existen dudas sobre la cantidad de datos obtenidos y la transparencia de algunos de estos sistemas. Sin embargo, debido a la falta de una ley de protección de datos vigente en Brasil, la discusión sobre el uso de este tipo de aplicaciones aún se encuentra en una etapa muy temprana.

Chile

La División de Gobierno Digital del Ministerio Secretaría General de la Presidencia (Segpress, por su acrónimo), desarrolló una aplicación de seguimiento y asistencia en materias relacionadas con el contagio de COVID-19, llamada CoronApp. (La aplicación está disponible para iOS y Android).

CoronApp fue lanzada el 16 de abril y permite: (i) reportar y realizar autoevaluación de síntomas para generar una clasificación de riesgo; (ii) monitorear los síntomas de hasta 8 personas, sean estos familiares, convivientes u otros que no puedan utilizar la aplicación; (iii) obtener información oficial sobre la pandemia; (iv) informar y/o denunciar conductas o eventos de alto riesgo como aglomeraciones, incumplimiento de cuarentenas o filas para ciertos servicios; e (v) indicar el lugar donde pasarán cuarentenas obligatorias. 

Para utilizar la aplicación, los usuarios se deben registrar creando una cuenta de usuario con su Rol Único Nacional (RUN) o número de pasaporte, más una contraseña, o bien, su «clave única», que es una contraseña universal asociada al RUN, otorgada por el Servicio Nacional de Registro Civil e Identificación. También se recaban: correo electrónico, número telefónico, nombre y apellido, edad, comuna y ciudad de residencia, datos de geolocalización, medicamentos que toma o han sido prescritos, preexistencia de enfermedades, datos de seguimiento de la enfermedad, tales como síntomas, contacto con personas contagiadas confirmadas y viaje a países de alto riesgo. 

En Chile, la protección de los datos personales tiene reconocimiento constitucional y está regulada principalmente en la Ley Nº 19.628 sobre protección de la vida privada (LPD). La LPD solo contempla dos bases de legalidad para el tratamiento de datos personales: el consentimiento expreso, escrito e informado del titular de datos, y la autorización legal otorgada por la LPD u otras disposiciones legales.

En el caso particular del tratamiento de datos personales por parte de un organismo público, como el Ministerio de Salud, la LPD establece que puede efectuarse respecto de las materias de su competencia, en cuyo caso no requerirá el consentimiento de los titulares, pero la Política de Privacidad de la aplicación parece contradecir lo anterior, señalando que el "acceso a los datos se realizará solo con el consentimiento informado de los usuarios," generando confusión respecto de la base de legalidad. Por otro lado, ni los Términos y Condiciones, ni la Política de Privacidad, permiten desprender con claridad quién es el responsable del tratamiento, ni cuándo existirá transferencia de los datos a terceros. Asimismo, a la luz de las funcionalidades de la aplicación se pueden identificar otros propósitos que no se informan debidamente en la Política de Privacidad. 

No obstante lo anterior, es dable destacar que la aplicación es voluntaria, incluso para aquellos pacientes contagiados o sospechosos de contagio de COVID-19, quienes pueden optar por no utilizarla en resguardo de su privacidad. Por otra parte, la herramienta de monitoreo mediante el acceso a los datos de geolocalización es una opción que viene por defecto desactivada y que debe ser expresamente consentida por los usuarios.

Colombia

Existe una aplicación del gobierno que se llama CoronApp disponible en Android y iOS. El responsable del tratamiento de los datos personales recabados a través de la aplicación es el Instituto Nacional de Salud.

Al momento de su descarga se solicita para el registro: nombre, apellidos, cédula, número de identificación y celular. Para llevar a cabo el autodiagnóstico, datos de salud.   

Pese a que la aplicación ha sufrido modificaciones tratando de cumplir a cabalidad con las disposiciones de protección de datos personales, la misma ha recibido críticas por no cumplir con los principios rectores contenidos en la Ley. A pesar de que se ha robustecido la política de privacidad, la misma aún no es clara en relación con los propósitos, finalidades, arquitectura (si es centralizada o no) y niveles de retención de datos. La aplicación permite habilitar georreferenciación y Bluetooth para detectar contacto con posibles personas contagiadas sin que sea claro por cuánto tiempo se mantendrán estos datos, ni los niveles de seguridad que se han implementado. Si bien la aplicación habla de datos anonimizados, tampoco se entiende cuáles son los niveles de anonimización o pseudonimización y en qué etapas y para qué propósitos se mantendrá la identidad de los titulares de los datos. 

Costa Rica

La Caja Costarricense del Seguro Social, institución pública proveedora de servicios de salud, incorporó un nuevo apartado a la aplicación del Expediente Digital Único en Salud (EDUS), para uso exclusivo de lo referente al COVID-19. EDUS se descarga en la tienda virtual de Apple o Android. Esta aplicación contiene también otras funcionalidades que se aplicarán en una segunda fase, las cuales permitirán a las autoridades dar seguimiento a nuevos casos positivos y rastrear a los contactos de estas personas.

En el apartado específico destinado a COVID-19 se recaba: nombre completo, cédula de identidad, correo electrónico y, además, accede a los datos de geolocalización. Los detalles específicos de cómo funciona la segunda fase todavía no han sido informados de manera detallada al público en general. Las autoridades únicamente han señalado que se utilizará la tecnología Bluetooth para identificar con quién ha tenido aproximaciones una persona a la que diagnosticaron con COVID-19 y que la aplicación automáticamente guardará la información para posteriormente notificar a las autoridades y a los usuarios sobre estas interacciones.

La Ley de Protección de la Persona frente al tratamiento de sus datos personales, la Ley Nº  8.968 (de Protección de Datos Personales) prohíbe de forma explícita el tratamiento de datos sensibles con ciertas excepciones, como es el caso del tratamiento necesario para la prevención, diagnóstico médico, prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios. Es así que la Caja Costarricense del Seguro Social (CCSS) no requiere el consentimiento informado de una persona para procesar sus datos personales con el propósito de crear el Expediente Digital Único en Salud, incluyendo también lo relativo al nuevo apartado COVID-19.

En cuanto, a los datos de geolocalización, se ha incorporado en el apartado de COVID-19 de la aplicación EDUS, un consentimiento expreso del usuario para poder acceder a sus datos de localización. En la página web de EDUS se publica la Política de Privacidad de la aplicación la cual es deficiente en indicar el fin o los fines para los cuales son recabados los datos. Cabe hacer notar que esta política fue preparada previo a la incorporación del apartado de COVID-19 y que a la fecha no ha sido modificada.

Guatemala

Existe una aplicación del gobierno llamada ALERTA GUATE, la cual se podía descargar para Android y iOS (actualmente ya no está disponible). Esta aplicación buscaba mantener informados a los habitantes de los avances y novedades de la enfermedad. Contenía información de las disposiciones adoptadas por el gobierno para el estado de emergencia y calamidad, estadísticas, recomendaciones para la población, teléfonos de contacto para acudir a las autoridades, teléfonos de emergencia y, en general, información sobre la enfermedad.

Los datos que se recababan a través de la aplicación eran: nombre, número de teléfono, correo electrónico o bien los datos del perfil de Facebook, si el usuario se registraba con dicha red social. La aplicación no tenía una política de privacidad o aviso alguno.

Toda vez que Guatemala aún no cuenta con una ley de protección de datos personales, la protección de estos se basa en principios constitucionales que los consideran como información confidencial. Cabe mencionar que, en las primeras semanas de la pandemia en Guatemala, se filtró información relacionada con los datos personales de individuos que se encontraban en cuarentena (nombres, direcciones, etc.). La información se filtró del Ministerio de Salud y se difundió por diversas redes sociales. El gobierno inmediatamente informó que estaba prohibido publicar ese tipo de información y ofreció disculpas a los involucrados.

Dado que la aplicación aparentemente no contaba con las medidas de seguridad y confidencialidad adecuadas muchas personas la desinstalaron. De hecho, y como se mencionó, ya no se permite su descarga en las tiendas de Apple ni Android.

México

En México existe la aplicación COVID-19MX creada por el Gobierno federal, a través de la Secretaría de Salud, la cual tiene como finalidades: (a) conocer el estado de salud de las personas, (b) monitorear síntomas cada 12 horas, (c) dar a conocer recomendaciones de salud e información de interés, como teléfonos de emergencia o instrucciones generales sobre qué hacer en función de los síntomas, (d) establecer contacto con los ciudadanos en caso de ser necesario, y (e) fines estadísticos. La aplicación se encuentra disponible para: iOS y Android. 

Los datos personales que pueden llegar a recabarse son: nombre (no tiene que ser el nombre completo), edad, género, código postal (puede ser solo esto y no el domicilio completo), antecedentes médicos y síntomas actuales. Asimismo, se puede hacer una prueba de salud a través de preguntas sobre los síntomas y determinados antecedentes médicos (p. ej., diabetes, obesidad, hipertensión, medicamentos que comprometan el sistema inmune, síntomas de dificultades respiratorias, embarazo). Posteriormente, se define si el usuario debe recibir atención médica. La aplicación permite hacer pruebas para familiares (es decir, recabar datos de un tercero). Ese tercero no tiene que descargar la aplicación, pero tampoco se le pide aceptar los Términos y Condiciones o el Aviso de Privacidad.

Se puede decir que la aplicación cumple con los principios de finalidad, lealtad, consentimiento (del usuario que se registra) y proporcionalidad, pero los principios de calidad, información, responsabilidad y licitud no quedan del todo cumplimentados, máxime si se considera que se recaban datos de terceros sin su consentimiento. En lo que toca al consentimiento como tal, y toda vez que en México se ha declarado un estado de emergencia sanitaria, podría ser aplicable una de las excepciones al consentimiento para el tratamiento de datos personales y la transferencia, previstos en la ley de la materia.

Finalmente, cabe mencionar que la aplicación tiene mapas interactivos para encontrar centros de salud cercanos a la ubicación del usuario lo cual requiere que se recaben datos de geolocalización, cuyo tratamiento no se informa al usuario.

Panamá

El Gobierno de Panamá, a través de la Autoridad Nacional para la Innovación Gubernamental (AIG, por sus siglas), junto con GBM Panamá, anunciaron el 28 de abril, la creación de la plataforma Protégete: "una innovación digital que le permitirá a los pacientes positivos de COVID-19 mantener una comunicación efectiva y directa con los expertos de la salud, sobre todo en posibles momentos de urgencia."

Hasta la fecha, AIG ha dado soporte a través de tres asistentes virtuales basados en plataformas tecnológicas. Estas son conocidas como R.O.S.A. (Respuesta Operativa de Salud Automática), N.I.C.O. (Notificación Individual de Caso Obtenido) y P.A.C.O. (Protección Actualizada de Casos en Observación -de uso exclusivo de la Policía).

R.O.S.A. es un bot que brinda ayuda a los ciudadanos mediante la aplicación de WhatsApp. Consta de tres elementos en su menú: acceso a N.I.C.O.; consultas relacionadas con síntomas de COVID-19 y entrada al sistema médico donde se le pregunta si tiene síntomas, si ha tenido contacto con personas de riesgo, etc. A través de un algoritmo de Inteligencia Artificial R.O.S.A., pre-diagnostica y traslada el caso a un consultorio médico virtual que da soporte a través de un call center atendido por 18 médicos. Estos médicos se ponen en contacto con el paciente para hacer una prueba, pedirle que se mantenga en observación o enviarle una ambulancia.

Una vez practicado el tamizaje virtual, los pacientes que se han realizado pruebas, a través del menú de R.O.S.A acceden a N.I.C.O. e introducen su número de cédula para saber si ha dado positivo o negativo del COVID-19. Por último, P.A.C.O., es un agente virtual que ayuda a los agentes de la Policía Nacional a verificar que los pacientes diagnosticados con COVID-19 se mantengan en sus hogares.

Así los datos personales tratados en cada plataforma son:

  • R.O.S.A.: nombre y apellidos; número de cédula y otro dato identificativo; número de celular, dado que el canal de comunicación es WhatsApp, y los datos de salud que puedan conocerse en las consultas que se realicen.
  • N.I.C.O. añade la condición de paciente sometido a las pruebas del COVID-19 y en su caso, resultado positivo o negativo.
  • P.A.C.O. trata el nombre y apellidos, cédula o pasaporte y datos de salud en el caso de pacientes positivos.

El acceso a R.O.S.A. y N.I.C.O. es voluntario ya que el ciudadano introduce sus datos conforme le van siendo solicitados, el consentimiento que se requiere es informado y, por lo tanto, el ciudadano debe conocer qué datos suyos se van a conservar, quién los va a utilizar, para qué se van a utilizar, durante cuánto tiempo se van a conservar, etc. Además del consentimiento, es importante considerar que en el entorno COVID-19 como pandemia, rigen otras condiciones de licitud del tratamiento como son la prevención y diagnóstico médicos; el interés por la salud pública; los intereses vitales del interesado y de los terceros que puedan ser contagiados por él.

Paraguay

En Paraguay existe la aplicación llamada COVID-19 Paraguay. Su acceso está limitado a casos específicos, a saber: pacientes con COVID-19, personas en contacto con casos positivos, personas que retornaron del exterior y el personal de salud. Las personas que hayan reportado a las Autoridades Sanitarias o que han sido identificadas por las mismas como pertenecientes a alguno de los casos mencionados, recibirán un mensaje de texto en su teléfono móvil con un enlace de descarga de la aplicación.

Al ingresar a la aplicación, la persona deberá gestionar un nombre de usuario y contraseña.  Luego, deberá completar el formulario con sus datos personales, nombre, número de cédula, teléfono, dirección, responder un reporte médico de su estado clínico actual y permitir el acceso a su geolocalización. Asimismo, el usuario deberá informar de manera diaria los síntomas que vaya presentando, si fuere el caso.

Paraguay no cuenta aún con una ley integral de protección de datos personales que obligue a las Autoridades Nacionales a seguir los principios internacionalmente aceptados para el tratamiento de estos, sin embargo, se han tenido en cuenta algunas bases y cuestiones particulares en ese sentido.

Aunque la aplicación no cuenta como tal con una política de privacidad, en los Términos y Condiciones se halla información referida al tratamiento de los datos recolectados. Está claro cuáles son los datos que se tratarán y que el fin es “dar seguimiento del estado de las personas en relación con el COVID-19.” En contrapartida, el quién o quiénes tendrán acceso, es poco claro al mencionar que serán “las autoridades nacionales competentes.”

En cuanto al principio de exactitud de los datos, es el usuario quien tiene la responsabilidad de proporcionar personalmente información veraz y mantenerla actualizada. Se establece que la información proporcionada por el usuario tendrá carácter de declaración jurada.

Con respecto al principio de conservación de los datos, se establece que serán almacenados mientras sea necesario para la aplicación de las medidas declaradas en la emergencia sanitaria. Asimismo, se hace hincapié en que se tendrán en cuenta las medidas de seguridad para el tratamiento de dichos datos, aunque no aparece una política de seguridad definida y concreta.

Con relación al uso posterior de los datos, se señala como posible el uso para fines estadísticos, pero sin hacer mención expresa de la técnica de anonimización, cuya utilidad resultará de suma importancia para evitar la identificación de las personas.

Perú

PERÚ EN TUS MANOS es el nombre de la aplicación oficial del Gobierno peruano, con la cual se busca dar seguimiento a aquellos individuos afectados por COVID-19 o con los que haya podido tener contacto dicha persona. (disponible aquí: Android, IOS)

La aplicación presenta las siguientes funcionalidades: (i) triaje digital: permite al ciudadano realizar una autoevaluación sobre el riesgo de haber contraído COVID-19 y recibir una orientación sobre qué hacer; (ii) mapa: permite al ciudadano conocer cuáles son las zonas con casos confirmados y sospechosos; (iii) alertas: permite compartir la ubicación del usuario para identificar si se ha tenido una exposición de riesgo o está acercándose a alguna zona de riesgo; (iv) cifras: muestra las cifras actualizadas de casos confirmados, pruebas realizadas, fallecidos, etc.

Esta aplicación recopila los datos personales de los usuarios relativos al tipo y número de documento de identidad, teléfono de contacto, geolocalización y datos de salud (síntomas, antecedentes médicos, diagnóstico). El usuario brinda el consentimiento para el tratamiento de sus datos al aceptar la política de privacidad. Si bien esta política de privacidad está alineada con lo establecido en la normativa vigente, no es clara al informar qué datos o en qué condiciones (anonimizados o no) podrían ser transferidos a otras entidades públicas, ni tampoco especifica a qué entidades. 

La Secretaria de Gobierno Digital ya ha anunciado el lanzamiento de una cuarta versión de la aplicación. La tercera versión, a ser lanzada próximamente, incluirá la funcionalidad de Trazado de Contactos, que alertará a los usuarios si, según los datos recopilados —evaluando variables de cercanía y tiempo—, es posible que hayan tenido contacto directo con alguna persona afectada con COVID-19. 

Respecto al regreso a las actividades laborales, la Autoridad Nacional de Protección de Datos Personales, el pasado 5 de mayo, emitió la Opinión Consultiva Nº 32.2020-JUS/DGTAIPD, sobre el Tratamiento de datos de salud durante la pandemia en el ámbito laboral. Dicha Opinión señala que los empleadores podrán tratar los datos personales de los empleados, necesarios para garantizar la seguridad y salud en el trabajo con la finalidad de evitar la propagación de COVID-19, sin su consentimiento, cumpliendo con el deber de informar según lo señalado en la Ley de Protección de Datos Personales y, en especial, con los principios de finalidad, calidad, proporcionalidad y seguridad.

República Dominicana

En la República Dominicana no se ha desarrollado ninguna aplicación u otro sistema para monitorear o dar seguimiento a personas afectadas por el virus COVID-19.

Photo by Koby Kelsey on Unsplash

Comments

If you want to comment on this post, you need to login.