La AEPD (Agencia Española de Protección de Datos) publicó el pasado viernes un expediente sancionador contra la Secretaría de Estado de Digitalización e Inteligencia Artificial, el organismo gubernamental que firmó el contrato con Indra -la empresa encargada del desarrollo y mantenimiento de la app-, por violar hasta ocho artículos del Reglamento General de Protección de Datos (RGPD) con la aplicación Radar Covid.
Asimismo, la AEPD ha establecido que la Secretaría de Estado de Digitalización reconoció que "para el proyecto piloto no se generó ningún documento de evaluación de impacto de protección de datos", algo por lo que finalmente no va a quedar impune la utilización de esta app para avisar de los positivos de Covid.
Según informa el portal Genbeta.com, la AEPD, en su escrito de más de 200 páginas, se hace cargo de "la situación extraordinaria y de emergencia" ocasionada por la pandemia, y de que "el derecho a la protección de los datos personales, no puede ser un obstáculo en los avances tecnológicos para combatir" esta contingencia extraordinaria. Sin embargo, todo ello no es óbice para apercibir a las administraciones cuando estas vulneran derechos de los ciudadanos.
La Ley Orgánica 3/2018, de 6 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que entre otros aspectos adapta a nuestra normativa el RGPD, no contempla multas cuando el incumplimiento es obra de una administración pública: el expediente se salda así con un mero apercibimiento, sin penalización económica.
"NO SE GENERÓ NINGÚN DOCUMENTO DE PROTECCIÓN DE DATOS"
La resolución de la AEPD remarca cómo la Sedia reconoció, en sus alegaciones, que "para el proyecto piloto no se generó ningún documento de Evaluación de Impacto de Protección de Datos (EIPD)". Dicha evaluación de impacto tuvo que esper hasta tres meses después de comenzar el proyecto piloto y más de un mes después del lanzamiento nacional de la aplicación, concretamente hasta el 22 de septiembre de 2020.
"La Sedia, que actuaba como responsable del tratamiento, debió haber elaborado una EIPD desde el inicio del desarrollo e implantación de la aplicación Radar Covid y, en todo caso, antes de que se produjera el tratamiento de los datos personales", afea el texto. Además, la AEPD rebate las alegaciones de la Sedia y recuerda que esta sí estaba obligada a recabar el asesoramiento del Delegado de Protección de Datos del Ministerio de Economía, de acuerdo con el artículo 35.2 del RGPD. "Desde el diseño y por defecto", establece la AEPD, el desarrollo de la app no no hizo efectivos los principios aplicables a la protección de datos.
VULNERABILIDA DE LA APP
Asimismo, el organismo estatal de vigilancia en materia de protección datos, como recoge Facua, recuerda que "registró varias reclamaciones en las que se denunciaba una vulnerabilidad en el diseño de la aplicación", que permitía, por ejemplo, asociar una IP con la subida de un test positivo, lo que excedía lo necesario para cumplir sus funciones y permitía desanonimizar la información, vulnerando así la última versión de la política de privacidad de la propia app.
Esta vulnerabilidad "ya era conocida por el equipo de desarrollo de Radar Covid, ya que figuraba al menos en un documento técnico publicado en abril de 2020". Pese a que esta vulnerabilidad era conocida por el equipo de desarrollo, Radar Covid se lanzó a nivel nacional el 19 de agosto, sin resolverse el problema hasta el 8 de octubre.
Siempre según Genbeta.com, la app, de la cual se conoció hace mes y medio que no gozaría de la renovación del contrato de mantenimiento con Indra, tuvo un coste de 4,2 millones de euros.
