La AEPD expedienta al Gobierno por vulnerar la normativa de protección de datos con la 'app' Radar Covid

La Ley de Protección de Datos no contempla multas cuando el incumplimiento de su articulado es obra de una administración pública.

La AEPD expedienta al Gobierno por vulnerar la normativa de protección de datos con la 'app' Radar Covid
Imagen: Óscar Cañas (Europa Press).

La Agencia Española de Protección de Datos (AEPD) ha expedientado a la Secretaría de Estado de Digitalización e Inteligencia Artifical (Sedia) dependiente del Ministerio de Asuntos Económicos y Transformación Digital por vulnerar con la app Radar-Covid hasta ocho artículos del Reglamento General de Protección de Datos, comunitario y de obligado cumplimiento. De acuerdo con la ley, no se contemplan sanciones económicas.

Según informa el portal Genbeta.com, la AEPD, en su escrito de más de 200 páginas, se hace cargo de "la situación extraordinaria y de emergencia" ocasionada por la pandemia, y de que "el derecho a la protección de los datos personales, no puede ser un obstáculo en los avances tecnológicos para combatir" esta contingencia extraordinaria. Sin embargo, todo ello no es óbice para apercibir a las administraciones cuando estas vulneran derechos de los ciudadanos.

La Ley Orgánica 3/2018, de 6 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que entre otros aspectos adapta a nuestra normativa el RGPD, no contempla multas cuando el incumplimiento es obra de una administración pública: el expediente se salda así con un mero apercibimiento, sin penalización económica.

No se hizo la preceptiva Evaluación de Impacto de Protección de Datos

La resolución de la AEPD remarca cómo la Sedia reconoció, en sus alegaciones, que "para el proyecto piloto no se generó ningún documento de Evaluación de Impacto de Protección de Datos (EIPD)". Dicha evaluación de impacto tuvo que esper hasta tres meses después de comenzar el proyecto piloto y más de un mes después del lanzamiento nacional de la aplicación, concretamente hasta el 22 de septiembre de 2020.

"La Sedia, que actuaba como responsable del tratamiento, debió haber elaborado una EIPD desde el inicio del desarrollo e implantación de la aplicación Radar Covid y, en todo caso, antes de que se produjera el tratamiento de los datos personales", afea el texto.

Además, la AEPD rebate las alegaciones de la Sedia y recuerda que esta sí estaba obligada a recabar el asesoramiento del Delegado de Protección de Datos del Ministerio de Economía, de acuerdo con el artículo 35.2 del RGPD.

"Desde el diseño y por defecto", establece la AEPD, el desarrollo de la app no no hizo efectivos los principios aplicables a la protección de datos.

Pese a conocerla, no actuaron ante la vulnerabilidad de la app

Asimismo, el organismo estatal de vigilancia en materia de protección datos recuerda que "registró varias reclamaciones en las que se denunciaba una vulnerabilidad en el diseño de la aplicación", que permitía, por ejemplo, asociar una IP con la subida de un test positivo, lo que excedía lo necesario para cumplir sus funciones y permitía desanonimizar la información, vulnerando así la última versión de la política de privacidad de la propia app.

Esta vulnerabilidad "ya era conocida por el equipo de desarrollo de Radar Covid, ya que figuraba al menos en un documento técnico publicado en abril de 2020". Pese a que esta vulnerabilidad era conocida por el equipo de desarrollo, Radar Covid se lanzó a nivel nacional el 19 de agosto, sin resolverse el problema hasta el 8 de octubre.

Siempre según Genbeta.com, la app, de la cual se conoció hace mes y medio que no gozaría de la renovación del contrato de mantenimiento con Indra, tuvo un coste de 4,2 millones de euros.

Ya somos 247.009