La Comunidad de Madrid ya tiene su herramienta oficial para luchar contra el coronavirus. Se trata de CoronaMadrid, una web-app que sirve como autodiagnóstico y pretende descongestionar los teléfonos de emergencias. La iniciativa surge en tiempo récord a raíz de la colaboración de la Administración de Díaz Ayuso junto a varias startups coordinadas por el emprendedor Martin Varsavsky y el apoyo de gigantes tecnológicos como Telefónica y Google.
CoronaMadrid ya está accesible a través de su página web y durante los próximos días llegará en forma de aplicación para iOS y Android. Por el momento se trata de un test de diagnóstico, en línea con los distintos proyectos que ha aprobado el Ministerio de Sanidad.
Pese a ser un test de diagnóstico, la web solicita datos como el DNI y la geolocalización. Una solicitud de información que según la opinión de varios juristas, no queda suficiente justificada en su política de privacidad.
Cómo funciona y qué datos solicita CoronaMadrid
El funcionamiento de CoronaMadrid es muy sencillo. Al entrar en la web podemos pulsar sobre realizar el test de autodiagnóstico. El primer dato que nos solicita es nuestro número de teléfono. Deberemos introducirlo y aceptar su política de privacidad. En este paso, la web informa explícitamente que "se acepta el tratamiento de datos sensibles, relativos a tu salud, para el correcto funcionamiento del servicio de autoevaluación y otras finalidades relacionadas, por motivos de interés público".
Una vez introducido el número de teléfono nos enviarán un SMS de activación. A través de este paso, cuando volvamos a conectarnos a la aplicación el servicio recordará quienes somos y nos ofrecerá la misma información.
Para proseguir en el test, CoronaMadrid nos solicita activar los permisos necesarios para poder utilizar la aplicación. La web-app, al igual que previsiblemente lo hará la aplicación para móviles, solicita el permiso de GPS para conocer dónde nos encontramos. Aquí, pese a que la aplicación está reservada únicamente a los usuarios de Madrid, también funciona si nuestra localización está fuera. Según describe la web, este permiso es necesario para "saber dónde te encuentras para poder ofrecerte las mejores medidas preventivas y de evaluación".
Seguidamente nos envía a la página donde podremos introducir nuestros datos personales, desde el nombre, apellido, dirección de correo o dirección postal. Así como también la comunidad autónoma donde nos encontramos. Es en este punto donde si marcamos otra comunidad diferente a Madrid es cuando la aplicación avisa que no está disponible.
Como queda reflejado en su política de protección de datos, estos son los datos que solicita la aplicación:
- Nombre y apellidos
- Número de teléfono móvil
- DNI / NIE
- Fecha de nacimiento
- Correo electrónico
- Dirección completa y código postal
- Género
- Geolocalización (esto es, la localización vía GPS de tu teléfono móvil).
- Datos de salud relacionados con los síntomas que estas experimentando
Cómo se obtienen y para qué se utilizan estos datos
Según la política de COVIDAPP (CoronaMadrid), se solicitan estos datos para "ofrecer información sobre el COVID-19, incluyendo el envío de notificaciones", "realizar tu autoevaluación" y "si es necesario, selección de cita para posible prueba".
La aplicación permite realizar una "autoevaluación continua diaria: Monitorización de la temperatura y parámetros básicos, cada 12 horas desde que se inicie la Aplicación, incluyendo un recordatorio en forma de alarma para que lo vayas introduciendo".
Estos datos, serán tratados para las siguientes finalidades no directamente relacionadas con las funcionalidades de la app:
- Para finalidades estadísticas
- Para investigación biomédica, científica o histórica
- Para archivo en interés público
El argumento es que "son estrictamente necesarios por razones de interés público ante la actual situación de emergencia sanitaria decretada por las Autoridades Públicas como consecuencia de la pandemia del COVID-19 y la necesidad de su control y propagación, así como para proteger y salvaguardar un interés esencial para tu vida y/o la de terceros". Esta es la razón esgrimida por los creadores de la web, pero no compartida por algunos expertos.
Quién tiene acceso a estos datos
Además de la Comunidad de Madrid, los datos personales serán accesibles por "nuestros proveedores y colaboradores, así como, en su caso, los profesionales sanitarios y las autoridades con las que colaboramos". Es decir, profesionales sanitarios para que se pongan en contacto con posibles casos de personas infectadas, autoridades y los proveedores que ayudan a prestar los servicios de la aplicación.
A nivel de seguridad, la Viceconsejería de Asistencia Sanitaria de la Comunidad Autónoma de Madrid (CSCM) asegura que se garantizará el máximo nivel de protección.
Qué aspectos no se han cuidado suficiente, según los expertos
Varios juristas han expresado sus dudas respecto a la política de privacidad de CoronaMadrid. Hemos hablado con algunos de ellos para que nos cuenten qué aspectos consideran que se debería haber llevado más cuidado.
Sergio Carrasco, jurista de Fase Consulting, cree que se deberían haber cuidado los "datos estrictamente necesarios". "Así los señalan en las políticas, pero no es congruente con lo que se pide para la realización de la autoevaluación, para una autoevaluación, la realización del mismo no necesitaría nada".
Según el experto, CoronaMadrid debería haberse configurado con una fase con "datos voluntarios, y en todo caso al final para el resto que puedas poner síntomas etc, luego un registro voluntario, y que facilites datos". Carrasco concluye que CoronaMadrid debería "trabajar con los datos que son realmente necesarios" y aunque entiende los tiempos tan cortos en los que se ha trabajado, expresa que "entiendo lo que quieren hacer, pero no vale todo".
Para David Maeztu, abogado de 451l.Legal, la mayor duda está en las cookies. "No entiendo casi ni que haya cookies, la verdad, como si una web no pudiese funcionar sin ellas. Pero es anecdótico, para mí lo relevante es que se haga lo necesario para solventar esta situación y se establezcan medidas de seguridad para que los datos recopilados no puedan ser usados tras esta situación y una vez sean innecesarios se garantice su destrucción".
Otra recomendación que ofrece Maeztu es sobre el código fuente de CoronaMadrid; "Sería bueno tener el código fuente para que se pueda mejorar por otras administraciones o países y comprobar que ningún dato va donde no tiene que ir".
Jorge Morell, consultor Legaltech, expresa que podrían mejorarase "los terceros con los que se pueden compartir los datos. Se indican algunos pero luego hay un grupo final en plan cajón desastre que sabemos por la nota de prensa a las empresas que implica (Carto, Google y demás), pero luego la política de privacidad nada dice de ellos".
"Por el tipo de datos recogidos (Salud), debería haber más detalle sobre las medidas de seguridad aplicadas. Se indican las pautas básicas, pero ahí también falta detalle. Finalmente en cuanto a la conservación de los datos (se habla de borrado y se da un criterio básico sobre cómo se usarán) pero también se podría detallar mucho más ahí".
Si bien, su conclusión es relativamente positiva. "Supongo que con la aplicación y el paso de los días irán actualizando las condiciones legales y perfilando más el texto. Hay que tener en cuenta que se ha hecho en 5 días y con la que está cayendo, por eso creo que las condiciones en global son correctas aunque definitivamente mejorables".
CoronaMadrid publica un documento aclarando algunas dudas
Un par de días después de su anuncio oficial, CoronaMadrid ha publicado un apartado de Pregunta Frecuentes donde repasa algunas de las cuestiones referentes a la utilización de los datos. Estos son los puntos principales.
Respecto a la geolocalización, CoronaMadrid explica que el botón no activa directamente esta opción, sino que lanza una solicitud al navegador en la que el usuario puede voluntariamente optar o no por aceptar la geolocalización de forma similar a como ocurre como el acceso al micrófono o la webcam en las plataformas de videoconferencia que funcionan en el navegador. La aplicación web solicita acceso a la localización a la hora de registrarse y enviar autoevaluaciones. Esta información es recogida con el propósito de garantizar la calidad de los datos y su análisis epidemiológico.
La aplicación no recoge información continua de localización de los usuario. "En una próxima actualización, la aplicación también permitirá rastrear la evolución de los casos con más detalle, asesorando sobre las áreas de cuarentena para determinar si se están cumpliendo", explican desde CoronaMadrid.
En cuanto al uso del teléfono móvil y el DNI; "es opcional y servirá para un mejor procesado de los datos por las Autoridades competentes. El numero de móvil, un dato común entre los ciudadanos, resulta menos intrusivo para garantizar que el mayor número posible de personas tenga acceso al servicio".
Para el borrado de datos, explican que "sólo conservaremos los datos mientras sea necesario para ofrecer a los usuarios los servicios de la Aplicación, de manera que podamos llevar a cabo las finalidades para los que los hemos recabado y que se recogen en el punto 4 de la Política de privacidad de la aplicación CovidAPP. Una vez se satisfagan esas finalidades los datos son borrados o anonimizados".
Ver 11 comentarios