L'AEPD expedienta el Govern per vulnerar la normativa de protecció de dades amb l'app' Radar Covid

La Llei de protecció de dades no preveu multes quan l'incompliment del seu articulat és obra d'una administració pública.

L'AEPD expedienta el Govern per vulnerar la normativa de protecció de dades amb l'app' Radar Covid

L'Agència Espanyola de Protecció de Dades (AEPD) ha expedientat la Secretaria d'Estat de Digitalització i Intel·ligència Artificial (Sedia) –depenent del Ministeri d'Afers Econòmics i Transformació Digital– per vulnerar amb l'app Radar-Covid fins a vuit articles del Reglament General de Protecció de Dades, comunitari i de compliment obligat. D'acord amb la llei, no es preveuen sancions econòmiques.

Segons informa el portal Genbeta.com, l'AEPD, al seu escrit de més de 200 pàgines, es fa càrrec de "la situació extraordinària i d'emergència" ocasionada per la pandèmia, i que "el dret a la protecció de les dades personals, no pot ser un obstacle en els avenços tecnològics per combatre" aquesta contingència extraordinària. Malgrat tot, tot això no és obstacle per advertir les administracions quan aquestes vulneren drets dels ciutadans.

La Llei orgànica 3/2018, de 6 de desembre, de protecció de dades personals i garantia dels drets digitals, que entre altres aspectes adapta a la nostra normativa el RGPD, no preveu multes quan l'incompliment és obra d'una administració pública: l'expedient se salda així amb un mera advertència, sense penalització econòmica.

No es va fer la preceptiva Avaluació d'Impacte de Protecció de Dades

La resolució de l'AEPD remarca com la Sedia va reconèixer, a les seves al·legacions, que "per al projecte pilot no es va generar cap document d'avaluació d'impacte de protecció de dades (EIPD)". Aquesta avaluació d'impacte va haver d'esperar tres mesos després de començar el projecte pilot i més d'un mes després del llançament nacional de l'aplicació, concretament fins al 22 de setembre de 2020."

La Sedia, que actuava com a responsable del tractament, devia haver elaborat una EIPD des de l'inici del desenvolupament i implantació de l'aplicació Radar Covid i, en tot cas, abans que es produís el tractament de les dades personals", retreu el text.

A més, l'AEPD rebat les al·legacions de la Sedia i recorda que aquesta sí que estava obligada a demanar l'assessorament del Delegat de Protecció de Dades del Ministeri d'Economia, d'acord amb l'article 35.2 del RGPD.

"Des del disseny i per defecte", estableix l'AEPD, el desenvolupament de l'app no ​​va fer efectius els principis aplicables a la protecció de dades.

Tot i conèixer-la, no van actuar davant la vulnerabilitat de l'app

Així mateix, l'organisme estatal de vigilància en matèria de protecció dades recorda que "va registrar diverses reclamacions en què es denunciava una vulnerabilitat en el disseny de l'aplicació", que permetia, per exemple, associar una IP amb la pujada d'un test positiu, cosa que excedia el necessari per complir les seves funcions i permetia desanonimitzar la informació, vulnerant així l'última versió de la política de privadesa de la mateixa app.

Aquesta vulnerabilitat "ja era coneguda per l'equip de desenvolupament de Radar Covid, ja que figurava almenys en un document tècnic publicat l'abril del 2020". Tot i que aquesta vulnerabilitat era coneguda per l'equip de desenvolupament, Radar Covid es va llançar a escala nacional el 19 d'agost, sense resoldre el problema fins al 8 d'octubre.

Sempre segons Genbeta.com, l'app, de la qual es va conèixer fa un mes i mig que no gaudiria de la renovació del contracte de manteniment amb Indra, va tenir un cost de 4,2 milions d'euros.