Protección de Datos zanja que el Gobierno violó reiteradamente la ley con RadarCOVID

El Ministerio de Asuntos Económicos y Transformación Digital, de quien depende la Sedia, no reparó en costes. Se gastó 4.265.499 euros en crear y difundir esta herramienta, desarrollada por Indra. Al final, la aplicación, según los datos de Sanidad, fue descargada 8,4 millones de veces, pero, en modo alguno, se convirtió en una herramienta útil para evitar la llegada de otras cinco oleadas de covid. Únicamente 120.000 personas llegaron a notificar sus positivos a la app, un 1% de los casos oficialmente detectados en España. Además, la aplicación fue incapaz de alertar en la mayoría de las situaciones a los contactos de riesgo tras esas notificaciones. Ante la inutilidad de esta tecnología, el Gobierno finalmente decidió dejarla morir en silencio al no renovar el mantenimiento de la misma.

Pero su falta de efectividad y su alto coste (cada notificación inútil de positivo ha costado de media más de 35 euros al erario público ) no es el único problema. El jueves de la pasada semana, la Agencia Española de Protección de Datos (AEPD) notificó a la Sedia que con la puesta en marcha de RadarCOVID llevó a cabo una violación masiva del Reglamento General de Protección de Datos (RGPD) .La AEPD, que asegura que la Administración conculcó en su app hasta ocho artículos del aquel reglamento, solo apercibe al Gobierno, ya que la Ley de Protección de Datos Personales no contempla multas cuando el infractor es un ente público.

Eso sí, a lo largo de un pormenorizado informe de 212 páginas al que ha tenido acceso este periódico, la agencia desgrana la cascada de irregularidades de aquella herramienta tras rechazar de plano las alegaciones presentadas por la Secretaría de Estado en su recurso de reposición y dar la razón a los tres ciudadanos y a la asociación Right Internacional Spain, que denunciaron la violación de la privacidad de aplicación.

La AEPD, en primer lugar, constata que el Ministerio de Asuntos Económicos no «generó ningún documento de evaluación de impacto de protección de datos», tal y como era preceptivo, y se dedicó a ir «progresando los sucesivos borradores» con la excusa de que todo comenzó como un proyecto piloto. Lo cierto es que esa «imprevisión inicial», afirma la agencia, no se solventó hasta el 22 de septiembre de 2020, tres meses después de Indra comenzara el proyecto piloto, y un mes después del lanzamiento nacional de la app, que se había comenzado a testar unos días antes en Lanzarote.

Más grave para la Agencia Española de Protección de Datos es la falta de premura de la Administración para tapar las brechas de seguridad que presentaba la app. La resolución desvela que la agencia «registró varias reclamaciones en las que se denunciaba una vulnerabilidad» que, entre otras cuestiones, permitía vincular una IP con una notificación positiva. La Sedia, casi desde el inicio, fue consciente de este problema ya que un informe técnico de abril de 2020 ya apuntaba a la existencia de esta brecha.

Sin embargo, el Gobierno no se dio prisa en parchearla porque consideró que la posibilidad de que esos datos se filtraran era un «remoto escenario», que solo se podría dar si un «operador de telecomunicaciones estuviera interesado en obtener esta información clínica de sus clientes estudiando el tráfico de datos generado por la App RadarCOVID». Esa vulnerabilidad no se solventó hasta el 8 de octubre de 2020, unos 50 días después de que la aplicación estuviera disponible en todo el país.

«Aún siendo conscientes del riesgo, no integraron las garantías necesarias para garantizar la confidencialidad de los datos y resiliencia de los sistemas», zanja la AEPD, que amonesta al Gobierno a pesar de ser consciente de que la crisis sanitaria provocó una «situación extraordinaria y de emergencia y de que «el derecho a la protección de los datos personales, no puede ser un obstáculo en los avances tecnológicos para combatir la pandemia».