Abren dos procedimientos sancionadores contra Radar Covid por falta de cumplimiento en protección de datos

La investigación contra Sanidad y Economía, dirigida por la Agencia Española de Protección de Datos, podría durar nueve meses y no acarreará multa económica

137

ABC Tecnología-Rodrigo Alonso

La Agencia Española de Protección de Datos (AEPD) ha abierto dos procesos sancionadores –uno a la Dirección General de Salud Pública y otro al Ministerio de Asuntos Económicos y Transformación Digital– por una posible vulneración del Reglamento General de Protección de Datos (RGPD) en la aplicación de rastreo del coronavirus, Radar Covid. Esta medida llega después de la presentación de sendas reclamaciones interpuestas por la ONG Rights International Spain y Pau Enseñat, director ejecutivo de la plataforma Reclamadatos, en las que se sostiene que el Gobierno no compartió la información necesaria –y en los plazos adecuados– sobre el desarrollo de la aplicación en base a las directrices europeas, entre ella la evaluación de impacto de la herramienta y el histórico de su código fuente.

En el documento enviado por la AEPD a los demandantes, al que ha tenido acceso ABC, la agencia sostiene que «a tenor de la información preliminar de la que se dispone, se aprecian indicios racionales de una posible vulneración de la normativa en materia de protección de datos, sin perjuicio de lo que se determine en el curso de la tramitación».

En la primera demanda, presentada por Enseñat en septiembre de 2020, se solicitaba a la AEPD que analizase si Radar Covid cumplía « con los principios de licitud, lealtad, transparencia y responsabilidad proactiva (Art.5 RGPD), ya que la SGAD (Secretaría General de Administración Digital) no había publicado la Evaluación de Impacto sobre la Protección de Datos (EIPD), en contra de lo indicado expresamente por el Comité Europeo de Protección de Datos».

Cabe recordar que, con la llegada de las aplicaciones de rastreo, el Comité Europeo de Protección de Datos compartió una serie de directrices para su correcto desarrollo e implementación. Entre ellas figura la evaluación de impacto de las herramientas «relativa a la protección de datos antes de su despliegue». Algo que permitiría limitar los riesgos de posibles fallos de privacidad en el momento en el que estuviesen disponibles. Según destaca en conversación con este periódico el abogado Sergio Carrasco, encargado de la litigación estratégica en nombre de Rights International Spain, este estudio no se hizo en el momento correcto en el caso de Radar Covid.

«Hicimos unas peticiones de información sobre Radar Covid, porque faltaba documentación a principios de año, como la evaluación de impacto. Cuando la mandaron, nos dimos cuenta de que los datos correspondían al mes de enero de 2021, mucho después del lanzamiento de la aplicación. Hace cosa de un mes nos compartieron la que se supone que es la primera evaluación de impacto, que corresponde a agosto de 2020, cuando la aplicación ya se podía descargar desde que arrancó la prueba piloto de La Gomera en junio del año pasado», explica Carrasco. «Una evaluación de impacto y un análisis de riesgos se hace para luego desarrollar la aplicación, no cuando ya está disponible para su descarga», sentencia el experto.

En las demandas presentadas por Rights International, también se denuncian «irregularidades con respecto a la publicación del código de la aplicación». En este sentido, se llama la atención sobre el hecho de que, a pesar de que Radar Covid podía descargarse desde junio, el Gobierno no publicó el código fuente de la herramienta, con el que se puede comprobar su funcionamiento y el uso que hace de los datos, hasta el 9 de septiembre de 2020. Y, además, se hizo de forma incompleta. Hasta la fecha no se ha hecho público el historial desde el inicio del desarrollo, con lo que no se sabe si la ‘app’ registraba algún problema que pusiese en riesgo los datos de los usuarios que la descargaron el pasado verano.

A este respecto, hay que tener en cuenta que el Comité Europeo de Protección de Datos destaca en sus directrices que «para asegurar su equidad, la rendición de cuentas y, más en general, su consonancia con la ley», los algoritmos de la aplicaciones de rastreo «deben ser auditables y han de ser revisados periódicamente por expertos independientes. El código fuente de la aplicación debe hacerse público con miras a un control lo más amplio posible».

La AEPD ha informado a los denunciantes de que el proceso sancionador tendrá una duración máxima de nueve meses; por lo que, posiblemente, no se tomará ninguna medida contra el Ministerio de Asuntos Económicos y la Dirección General de Salud Pública hasta febrero del año que viene. Sea como fuere, en ningún caso supondrá una sanción económica, solo un apercibimiento. «Por desgracia, el artículo 77 de la Ley Orgánica dice que en el caso de entidades públicas la sanción económica se sustituye por un apercibimiento», explica Carrasco.

Radar Covid: un fracaso estrepitoso

A pesar de la realización de un prometedor piloto en La Gomera el pasado verano –en el que la herramienta se mostró más efectiva que los trazadores humanos, según la Secretaría de Estado de Digitalización e Inteligencia Artificial– Radar Covid no ha conseguido convencer a los españoles. Ni por asomo.

Así lo demuestra que, un año después de que comenzase a poblar las tiendas de aplicaciones de dispositivos fabricados por Apple y Google, cuente con menos de siete millones y medio de descargas y haya sido empleada para notificar 64.031 positivos. Y todo después de que, hasta el momento, se hayan invertido más de 3 millones de euros en su funcionamiento: 330.000 euros fueron a parar a las arcas de la tecnológica Indra, encargada de su desarrollo, a los que el pasado diciembre se sumaron 1,7 millones para el mantenimiento de la aplicación durante 24 meses. Asimismo, el pasado abril el Ejecutivo aprobó un gasto de 1,5 millones para la promoción del uso de la ‘app’.

Expertos consultados por este diario a lo largo de los últimos meses han llamado la atención sobre la falta de transparencia del Gobierno como una de las principales motivaciones del fracaso de la herramienta de rastreo. «La falta de transparencia ha provocado una falta de confianza por parte del ciudadano. Por otra parte, la fragmentación que hemos tenido, y los trompicones en el desarrollo, ha provocado que la herramienta tardase mucho en ser funcional y que cuando comenzó a serlo la gente optase por no instalarla», apunta el abogado de Rights International Spain.