¿Cómo podemos usar los datos contra el coronavirus sin poner en riesgo nuestra democracia?
La declaración del estado de alarma, para limitar los desplazamientos, es una medida ampliamente aceptada. Todos somos conscientes de la necesidad de limitar los contactos para vencer al virus, y consecuentemente, la de sancionar a quienes, egoístamente, se saltan la norma en perjuicio de la comunidad.
Todos tenemos nuestro criterio de si la extensión del confinamiento es demasiado estricta o demasiado relajada, pero en esta situación no es el momento de enfrentarse, sino de sumar. Ya desde los griegos, a los que tenemos por inventores de la democracia, ésta se suspendía en momentos excepcionales, en los que era necesario estar a una. Nuestra democracia mantiene controles importantes (artículo octavo) y límites a ese poder (ordinal uno del artículo tercero, y dos, in fine, del artículo sexto, todos ellos de la Ley Orgánica 4/1981, de los estados de alarma, excepción y sitio), que deben ser ejercidos. Sin embargo venimos observando disentimientos públicos por parte de algunas autoridades, principalmente autonómicas, dando mensajes o acordando medidas contradictorias, que confunden y en nada ayudan a mantener el estado de ánimo de la opinión pública, el cumplimiento voluntario de las medidas, y a estar como es necesario todos a una.
Algo tiene que ver la aplicación relajada en este punto de las facultades otorgadas por el Real Decreto que declaró el estado de alarma, sin imponer instrucciones sino estableciendo una suerte de diálogo, entre la autoridad delegada, y al frente de ésta la del ministro de Sanidad, y las de las comunidades autónomas; pero desde luego mucho tiene que ver la falta de lealtad institucional y política que se esconde en el “tiempo habrá de dirimir las negligencias”, o en la libérrima y retadora actuación de alguna comunidad autónoma en relación con, por ejemplo, las aplicaciones de autotest y generación de mapas calientes de expansión de la epidemia.
El Gobierno anunció que desarrollaría una aplicación partiendo de la de la Comunidad de Madrid. Posteriormente se ha conocido que pudiera usar la información que los operadores obtienen de la posición de los móviles, que no requiere la instalación de ningún software en los dispositivos de los usuarios, ni de su consentimiento; parece que en parte ante la negativa de la Comunidad de Madrid a ceder el código, proponiendo que se use la misma aplicación pero con despliegues ad hoc para otras administraciones y territorios (su licencia de uso apunta a la idea de que existan otros COVIDAPP, como llaman la aplicación, que no lo gestione la Comunidad de Madrid), sin revisar dicho código. Esa opción la valoro contraria a la obligación de permitir la reutilización que rige para todas las administraciones públicas, pero es que además obligaría al Gobierno de la nación a extender un cheque en blanco en lo que a la protección de los datos personales de los ciudadanos se refiere, ya que la aplicación madrileña contiene importantes mecanismos de seguimiento implementados por multinacionales del big data, sin garantías técnicas de que no se vayan a reutilizar dichos datos por dichas compañías y para otros propósitos. En esos términos, es una opción inasumible.
¿Qué alternativa queda al Gobierno? Una es desarrollar el software desde cero, o partiendo del modelo coreano (que dicen que lo ceden a otros países, pero no parece que lo hayan publicado en ningún sitio, para el escrutinio público); el otro es usar de la información que ya almacenan los operadores de telecomunicaciones, por obligación nada nueva, impuesta por la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, “con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales” (según dispone su artículo 1.1). Entre los datos que se vienen almacenando está, letra f) del artículo 3, los “datos necesarios para identificar la localización del equipo de comunicación móvil”. Ciertamente esta práctica, contra la que pocos se han levantado pese a los ya más de 12 años de existencia que tiene, modificó en su día el principio de presunción de inocencia (vamos a guardarlo todo un tiempo, que no se sabe nunca quién puede delinquir).
La existencia de ese estado de vigilancia total en una sociedad democrática es sin duda algo sobre lo que debemos reflexionar, cuando todo esto pase. Tiene sin embargo importantes ventajas en la situación actual. La captación y almacenamiento de dichos datos se realiza con una serie de garantías (establecidas en artículo 4), que se han ido verificando y mejorando por actuaciones de la autoridad responsable de velar por el cumplimiento de estas reglas, la Agencia Española de Protección de Datos, cuya corrección queda a su vez bajo la tutela judicial. De ese modo, los datos que se quiere tener de localización y desplazamientos ya los tienen los operadores, la cesión al Gobierno está justificada sólo para los supuestos de ilícito penal, como lo son los delitos de desobediencia, en sus diversas modalidades. El uso de los datos está permitido para la “detección, investigación y enjuiciamiento” de dichos ilícitos, por lo que puede ser usado para detectarlos.
Ciertamente las medidas excepcionales requerirían de cierta expansión de dichas normas para habilitarla al seguimiento sanitario, puesto que en algún momento hay que cruzar esos datos con los de salud, para asignar (por poner el ejemplo de lo hecho en China) colores a los distintos afectados (por ejemplo verde especialmente autorizados a circular; ámbar, ciudadanos con confinamiento estándar; y rojo, ciudadanos confinados expresamente por sintomatología, contacto, o resultar positivo,...) . En ese ámbito sanitario los datos pueden estar anonimizados, como ya se ha hecho en otras ocasiones para el ajuste de políticas públicas. También puede ser necesario obligar a salir de casa con móvil, encendido y no en modo vuelo y habilitar una fórmula para quien no teniendo móvil requiera desplazarse.
Lo importante y que quiero subrayar aquí, es que dicha práctica resulta más garantista con la privacidad que el usar una aplicación que cede datos a las grandes multinacionales del big data. Es una forma que ofrece muchas más garantías que las aplicaciones de las que se ha hablado estos días. Es necesario que dado lo sensible de la operación (recordemos lo mal que se entendió en ciertos ámbitos el uso de esa técnica para la mejora de servicios públicos en el pasado) se extremen las garantías y se cumplan escrupulosamente las exigencias legales, que se resumen en dos principales: que el cruce y anonimización de datos se realice en servidores hospedados por la propia administración; y que el código que se ejecute para extraer y cruzar los datos, se haga público, por transparencia, y por reutilización por otros países. Evidentemente, como exigen nuestras normas y estándares, siempre será asistido desde el inicio por el delegado de protección de datos, y debe detallarse la finalidad del uso de los datos, las garantías del tratamiento, y el plazo de retención de dicha información, cuestiones que son de esperar y de habitual cumplimiento en las administraciones públicas, y en particular en la Administración General del Estado.
Baste sólo señalar, por si a alguno aún le ofrecen dudas, que el dispositivo que probablemente tiene próximo, tal vez desde el que en estos días lea este artículo, esté dando muchos más datos a grandes empresas, incluyendo datos de los que se infiere información relativa a la salud (si usted se mueve mucho o poco, y a qué ritmo, por ejemplo), por el uso de redes sociales y buscadores poco amigos de la privacidad. Si le preocupa la exposición de sus datos personales, comience por ahí, hay alternativas.
1