Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
PRÓLOGO
Por la urgencia en compartir estas informaciones y por el calendario de actividades que se ha fijado la la Comisión Europea en su realización, monitoreo y evaluación, he traducido el presente artículo del inglés al castellano la Recomendación de la Comisión Europea del 08 de
abril 2020, sobre la creación de una Caja de herramientas para el uso de tecnologías y datos en dispositivos móviles, en base a enfoque pan-europeo coordinado entre los Estados Miembros. El enlace de la Recomendación
en inglés es:
La Recomendación
se basa en un eje bi-dimensional:
• el uso de aplicaciones
móviles para mejorar la eficacia y el compromiso de las medidas de distancia
social: alerta, comunicación, trazabilidad;
• la modificación y
la predicción de la evolución del virus gracias a datos de localización móviles,
anonimizados y agregados.
Esta
Caja de herramientas constituye la pieza fundamental de la Recomendación de la Comisión
Europea, e integra los elementos siguientes:
· Especificaciones
que apuntan a garantizar la eficacia y eficiencia
de aplicaciones móviles que sirven a proveer información, la alerta y la
trazabilidad desde un punto de vista médico y técnico.
· Medidas
dirigidas a evitar la proliferación de
aplicaciones incompatibles, la promoción de normas de interoperabilidad y soluciones comunes.
·
Establecimiento de mecanismos de Gobernanza a ser aplicados por las Autoridades
Nacionales de Salud Pública y en cooperación con la Agencia Europea, ECDC (European Centre for Disease Prevention and
Control).
·
Propuesta de Buenas Prácticas y de mecanismos de intercambio de informaciones sobre el funcionamiento de las aplicaciones.
· Intercambio de datos con los organismos públicos especializados en epidemiología, entre ellos el
intercambio de datos agregados con el ECDC.
· Anonimización de datos, metodología y
aplicativos de anonimización, eliminación
inmediata e irreversible de datos procesados, después de 90 días, o declarada
la pandemia bajo control.
El contenido de este artículo debiera interesar a los Poderes Legislativo, Ejecutivo y Judicial. de los diferentes países en Latinoamérica, sus Órganos Desconcentrados, Organismos Descentralizados dependientes de los Poderes Ejecutivo, Legislativo, Judicial y Organismos Constitucionalmente Autónomos.
Igualmente debiera interesar al entorno empresarial, sociedad civil, academia, universidades y centros de investigaciones y asociativos.
COMISIÓN
EUROPEA
Bruselas, 8.4.2020
C (2020) 2296 final
RECOMENDACIÓN DE LA COMISIÓN de 8.4.2020 sobre una caja de herramientas común de la Unión para
el uso de tecnología y datos para combatir y salir de la crisis de COVID-19, en particular en relación con
las aplicaciones móviles y el uso de datos de movilidad anonimizados.
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea
y, en particular, el artículo 292, del mismo
Mientras:
(1) La crisis de salud pública causada por la actual
pandemia de COVID-19 (en adelante, La «crisis COVID-19» está obligando a la Unión y a los
Estados miembros a enfrentarse a un desafío sin precedentes para sus sistemas de atención
de salud, estilo de vida, estabilidad económica y valores. Ningún Estado miembro puede tener éxito solo en la
lucha contra la crisis COVID-19. Una crisis excepcional de tal magnitud requiere una
acción decidida de todos sus Estados Miembros y las instituciones y organismos
de la UE trabajen juntos en un auténtico espíritu de solidaridad.
(2) Las tecnologías y los datos digitales tienen un
papel valioso que desempeñar en la lucha contra la crisis de COVID-19, dado que
muchas personas en Europa están conectadas a Internet a través de dispositivos móviles.
Esas tecnologías y datos pueden ofrecer una herramienta importante para
informar al público
y ayudar a las autoridades públicas relevantes en sus esfuerzos por contener la
propagación del virus o permitir que las organizaciones de atención médica
intercambien datos de salud. Sin embargo, un enfoque fragmentado y descoordinado puede obstaculizar
la efectividad de las medidas destinadas a combatir la crisis de COVID-19, al mismo tiempo
que causa graves daños al mercado único, derechos y libertades fundamentales.
(3) Por lo tanto, es necesario desarrollar un enfoque
común para el uso de las tecnologías digitales y datos en respuesta a la crisis actual. Ese
enfoque debería ser eficaz para apoyar a las autoridades nacionales
competentes, en particular las autoridades sanitarias y formuladores de políticas, proporcionándoles datos
suficientes y precisos para comprender la evolución y propagación del virus
COVID-19, así como sus efectos. Del mismo modo, estas tecnologías pueden empoderar a
los ciudadanos para que tomen medidas efectivas y más medidas sociales de distanciamiento. Al
mismo tiempo, el enfoque propuesto tiene como objetivo mantener la integridad
del mercado único y proteger los derechos y libertades fundamentales, particularmente
los derechos a la privacidad y protección de datos personales.
(4) Las aplicaciones móviles pueden apoyar a las
autoridades sanitarias a nivel nacional y de la UE en el
monitoreo y contención
de la pandemia de COVID-19. Ellas pueden proporcionar orientación a los ciudadanos y facilitar la
organización del seguimiento médico de pacientes. Las aplicaciones de advertencia y rastreo pueden jugar
un papel importante en el rastreo de contacto, limitar la propagación de
enfermedades e interrumpir las cadenas de transmisión. Por lo tanto, en
combinación con las estrategias de prueba apropiadas y el rastreo de contactos,
las aplicaciones pueden ser particularmente relevantes para proporcionar
información sobre el nivel de circulación del virus, en la evaluación de la efectividad
del distanciamiento físico y las medidas de confinamiento, y en la información
de estrategias de des-escalamiento.
(5) La Decisión n° 1082/2013/UE del Parlamento Europeo
y del Consejo[1]
establece reglas
específicas sobre vigilancia epidemiológica, monitoreo, alerta temprana y lucha
contra las amenazas transfronterizas graves para la salud. El artículo 2, apartado 5, de la Decisión requiere a la
Comisión, en relación con los Estados miembros, garantizar la coordinación y el intercambio
de información entre los mecanismos y estructuras establecidos bajo ese Decisión
y mecanismos y estructuras similares establecidos a nivel de la Unión o bajo el
Tratado Euratom cuyas actividades son relevantes para la preparación y la
respuesta planificada,
monitoreo, alerta temprana y combate de serias amenazas transfronterizas para salud. El
foro para la coordinación de los esfuerzos en el contexto de serias amenazas
transfronterizas a la salud es el Comité de Seguridad Sanitaria, establecido
por el Artículo 17 de la Decisión antes mencionada. Al mismo tiempo, el artículo 6, apartado 1, de la
Decisión establece una red para la vigilancia epidemiológica de enfermedades
transmisibles, operada y coordinada por el Centro Europeo para el Control de
Enfermedades.
(6) La Directiva 2011/24/UE del Parlamento Europeo y
del Consejo[2]
sobre la aplicación de los derechos de los pacientes en la asistencia sanitaria
transfronteriza requiere a la Red de e Salud trabajar para lograr beneficios económicos y sociales
sostenibles de los Sistemas y servicios de e Salud europeos y
aplicaciones interoperables, con miras a lograr un alto nivel de confianza y seguridad, mejorando la
continuidad de la atención y asegurando el acceso a una
asistencia sanitaria
segura y de alta calidad.
(7) El Reglamento (UE) 2016/679 del Parlamento Europeo
y del Consejo[3]
sobre la protección
de personas físicas con respecto al procesamiento de datos personales y en la
libre circulación de dichos datos establece las condiciones para el
procesamiento de datos personales, incluyendo datos sobre salud. Dichos datos pueden procesarse, inter alia (entre otros), cuando el sujeto de un dato da su consentimiento explícito o cuando el tratamiento
es de interés público como ha sido especificado en la legislación del Estado miembro o de
la Unión, en particular para los propósitos de seguimiento y alerta, de
prevención o control de enfermedades transmisibles y otras amenazas graves para
la salud.
(8) Varios Estados miembros han introducido
legislación específica que les permite procesar datos de salud, basados en el interés público
(Artículo 6 (1) (c) o (e) y el Artículo 9 (2) (i) de Reglamento (UE) 2016/679). En cualquier caso, los fines y medios de los datos que
se procesan, qué datos se procesarán y quién lo hará, deberá ser claro y
específico.
(9) La Comisión puede consultar al Supervisor Europeo
de Protección de Datos y la Junta Europea de Protección de Datos, de conformidad
con el artículo 42 del Reglamento (UE) 2018/1725
del Parlamento Europeo y del Consejo[4] y el artículo 70 de Reglamento
2016/679.
(10) La Directiva 2002/58/CE del Parlamento Europeo y
del Consejo[5]
establece las reglas
aplicables a los datos de tráfico y de ubicación, y del almacenamiento de la información
y el acceso
a la información almacenada en el equipo terminal, como un dispositivo móvil,
de un usuario o suscriptor. De conformidad con el artículo 5, apartado 3, de la
Directiva, dicho almacenamiento o el acceso solo es permitido en circunstancias
estrictamente definidas o en base al consentimiento del usuario o suscriptor,
después de haber recibido una clara y completa información, de acuerdo con los requisitos
del Reglamento 2016/679. Además,
el artículo 15, apartado 1, de la Directiva permite a los Estados miembros
adoptar medidas
legislativas para restringir el alcance de ciertos derechos y obligaciones
establecidos por
la Directiva, incluidos aquellos establecidos en el artículo 5, cuando tal
restricción constituya una medida necesaria, apropiada y proporcionada dentro
de una sociedad democrática para lograr ciertos objetivos.
(11) La Comisión Europea anunció en su Comunicación,
'Una estrategia europea para los datos[6] que la UE crearía un
mercado único en el que los datos pueden fluir dentro del UE y en todos los sectores, en beneficio de todos,
donde las normas europeas, en particular la privacidad y la protección de datos, así como la
ley de competencia, son respetadas plenamente y donde las reglas de acceso y uso de datos son justas,
prácticas y claras. En particular, la Comisión declaró que consideraría la
necesidad de una acción legislativa para fomentar el intercambio de datos entre
empresas y gobierno para el interés público.
(12) Desde el comienzo de la crisis de COVID-19, una
variedad de aplicaciones móviles han sido desarrolladas, algunos de ellas por autoridades
públicas, y ha habido llamadas de Estados miembros y del sector privado para la
coordinación a nivel de la Unión, inclusive se han abordado preocupaciones de
cíberseguridad, seguridad y privacidad. Estas aplicaciones tienden a servir tres
funciones generales: (i) informar y asesorar a los ciudadanos y facilitar la organización
del seguimiento médico de personas con síntomas, a menudo combinado con un cuestionario
de auto diagnóstico; (ii) advertir a las personas que han estado cerca de
un persona
infectada para interrumpir las cadenas de infección y prevenir el resurgimiento
de infecciones
en la fase de reapertura; y (iii) monitorear y aplicar cuarentena a
las personas infectadas, posiblemente combinadas con características que
evalúan su estado de salud durante el período de cuarentena. Ciertas aplicaciones están disponibles para el público
en general, mientras
que otras solo a grupos cerrados de usuarios dirigidos a rastrear contactos en los
lugares de trabajo. La efectividad de estas aplicaciones generalmente no
ha sido evaluada. Información y
aplicaciones de verificación de síntomas pueden ser útiles para sensibilizar a
los ciudadanos. Sin
embargo, la
opinión de los expertos sugiere que las aplicaciones destinadas a informar y
advertir a los usuarios parecen ser las más prometedoras para prevenir la propagación del
virus, teniendo en cuenta también su impacto más limitado en la privacidad, y varios
Estados miembros están actualmente explorando su uso.
(13) Algunas de esas aplicaciones móviles podrían
considerarse dispositivos médicos porque ellos son destinados por el fabricante
para ser utilizados, inter alia, para diagnóstico, prevención, monitoreo,
predicción, pronóstico, tratamiento o alivio de la enfermedad y por
lo tanto, entran en el ámbito de aplicación del Reglamento (UE) 2017/745 de la
Unión Europea Parlamento
y del Consejo[7],
o Directiva 93/42/CEE[8] del Consejo. Para
auto diagnóstico y
aplicaciones de verificación de síntomas, que proporcionan información
relacionada con diagnóstico,
prevención, seguimiento, predicción o pronóstico, su calificación potencial como
dispositivos médicos de acuerdo con el marco regulador de dispositivos médicos
(Directiva 93/42/CEE
o el Reglamento (UE) 2017/745) deberá ser evaluada.
(14) La efectividad de estas aplicaciones móviles
depende de un cierto número de factores. Tales factores incluyen la penetración del usuario, es
decir, el porcentaje de la población que utiliza un dispositivo móvil y, de esos, el porcentaje, que han
descargado la aplicación y consentido al procesamiento de datos personales que
les conciernen y no han retirado su consentimiento. Otros factores importantes son la confianza pública de
que los datos estarán protegidos por medidas de seguridad apropiadas, utilizadas exclusivamente
para alertar a las personas que puedan haber estado expuestas al virus, el respaldo de las
autoridades de salud pública, la capacidad de las autoridades de la salud para
tomar medidas basadas en los datos generados por la aplicación, integración e intercambio
de datos con otros sistemas y aplicaciones e interoperabilidad transfronteriza
e interregional con
otros sistemas.
(15) Las aplicaciones de advertencia y rastreo son
útiles para los Estados miembros para los propósitos trazabilidad de contactos y
pueden desempeñar un papel importante en la contención durante los escenarios
de des-escalamiento. También pueden ser una herramienta valiosa para que
los ciudadanos practiquen de manera efectiva y más certera el distanciamiento
social. Su
impacto puede ser impulsado por una estrategia que soporte pruebas más amplias. El
rastreo de contactos implica que las autoridades de salud pública identifiquen
rápidamente todos los contactos de un paciente confirmado con COVID-19, se les pida que se auto-aíslen,
mediante rápidas pruebas y aislamiento, si ellos desarrollan síntomas. Además, los datos anonimizados y agregados, derivados de
tales aplicaciones, combinados con informaciones sobre la incidencia de la
enfermedad, podría ser utilizada para evaluar la efectividad de las medidas
de distanciamiento comunitario y físico. Si bien estas aplicaciones son de evidente utilidad
para los Estados miembros, ellas también potencialmente agregan valor al trabajo del ECDC.
(16) Las aplicaciones de auto diagnóstico y verificación
de síntomas pueden proporcionar información relevante sobre el número de casos con síntomas compatibles con
COVID-19, por edad y semana, desde áreas bien definidas donde hay una alta cobertura de
la aplicación. Si
tienen éxito, las
autoridades nacionales de salud pública pueden decidir utilizar los datos de la
aplicación para COVID-19 de vigilancia sindrómica de atención primaria. Estos
datos podrían proporcionarse al ECDC semanalmente, en formato agregado (por ejemplo, número
de enfermedades similares a la influenza (ILI) o infecciones respiratorias
agudas (IRA)
por semana, por grupo de edad, del total de la población cubierta por
los doctores centinela). Esto permitiría a las autoridades nacionales y al ECDC estimar
el valor predictivo positivo de los síntomas respiratorios en una comunidad
determinada, proporcionando
así información sobre el nivel de circulación del virus en función de los datos
de la solicitud.
(17) Dadas las funciones de las aplicaciones de
teléfonos inteligentes como fueron descritas anteriormente, su uso es capaz
de afectar el ejercicio de ciertos derechos fundamentales como, inter alia,
el derecho
al respeto de la vida privada y familiar. Como cualquier interferencia con aquellos derechos
deberían estar
de acuerdo con la ley, las leyes de los Estados miembros que establecerían o
permitirían las
limitaciones al ejercicio de ciertos derechos fundamentales deben estar alineados
con los Principios
generales del Derecho de la Unión establecidos en el artículo 6 del Tratado de
la Unión Europea. Unión,
sus tradiciones constitucionales y sus obligaciones en virtud del derecho
internacional.
(18) Para la aceptación de diferentes tipos de
aplicaciones (y la subyacente infección de las cadenas de transmisión de los sistemas
de información) y para asegurar que se cumpla con lo establecido en los propósitos
de vigilancia epidemiológica, las políticas subyacentes, los requisitos y los
controles deben estar alineados e implementados de manera coordinada por el
responsable de las autoridades
sanitarias nacionales. La experiencia de varios Estados miembros que
comenzaron la
introducción de aplicaciones de seguimiento de contactos muestra que, para
aumentar la aceptación,
una gobernanza integrada es útil para preparar e implementar las medidas, que involucren
no solo a la salud, sino también a otras autoridades (inclusive las autoridades
de protección de datos), tanto como el sector privado, expertos, académicos y
partes interesadas como grupos de pacientes. Una amplia comunicación sobre la aplicación es también
esencial para su
adopción y éxito.
(19) Para detectar encuentros de proximidad entre
usuarios de diferentes aplicaciones de contactos (un escenario más probable entre las personas que se
mueven entre las fronteras
nacionales/regionales), debe preverse la interoperabilidad entre aplicaciones. Las
autoridades sanitarias nacionales que supervisan las cadenas de transmisión de
infecciones deberían poder intercambiar información interoperable sobre usuarios
que han dado positivo con otros Estados miembros o regiones para abordar las cadenas
de transmisión transfronterizas.
(20) Ciertas empresas, incluidos los proveedores de
telecomunicaciones y las principales plataformas tecnológicas han publicado
o puesto a disposición de las autoridades públicas datos anonimizados y agregados
de ubicación. Tales
datos son necesarios a la investigación para combatir el virus, modelizándolos
para comprender cómo se propagará el virus y modelizando los efectos
económicos de la crisis. En
particular, los datos ayudarán a comprender y modelizar la dinámica del espacio
de la epidemia y evaluar el impacto de las medidas de distanciamiento social (limitaciones
de viaje, cierres de actividades no esenciales, bloqueo total, etc.) sobre
movilidad. Esto
es esencial primeramente, para contener los efectos del virus y evaluar las
necesidades en particular, en términos de equipos de protección personal y
unidades de cuidados intensivos y, en segundo lugar, respaldar la estrategia de salida con modelos basados
en datos que indican los posibles efectos de la relajación de las medidas de distanciamiento
social.
(21) La crisis actual ha demostrado que las
autoridades de salud pública y las instituciones de investigación se
beneficiarían de un mayor acceso a información esencial para analizar la
evolución del
virus y para evaluar la efectividad de las medidas de salud pública.
(22) Algunos Estados miembros han tomado medidas para
simplificar el acceso a los datos necesarios. Sin embargo, los esfuerzos comunes de la UE para
combatir el virus se ven obstaculizados por la actual fragmentación de enfoques.
(23) Un enfoque común de la Unión a la crisis COVID-19
también ha devenido necesario desde las medidas tomadas en ciertos países, como el seguimiento
basado en la geolocalización de individuos, el uso de la tecnología para calificar el
nivel de riesgo para la salud de un individuo y la centralización de datos confidenciales, plantea interrogantes
desde el punto de vista de varios derechos y libertades fundamentales garantizados en el
ordenamiento jurídico de la UE, incluido el derecho a la privacidad y el derecho a la protección de datos
personales. En
cualquier caso, conforme con el Carta de los Derechos Fundamentales de la Unión, ciertas
restricciones al ejercicio de los derechos y libertades fundamentales
establecidos en ellos deben ser justificados y proporcionales. Cualquier restricción de este tipo debería ser, en
particular, temporal, ya que permanecer estrictamente limitado a aquello que es
necesario para combatir la crisis y no continuar a existir, sin una justificación adecuada,
después de que la crisis haya pasado.
(24) Además, la Organización Mundial de la Salud y
otros organismos han advertido sobre el riesgo que las aplicaciones y los datos inexactos podrían
provocar la estigmatización de las personas quienes comparten ciertas características debido a un vínculo
percibido con la enfermedad.
(25) De conformidad con el principio de minimización
de datos, las autoridades de salud pública y las instituciones de investigación deben procesar los
datos personales solo cuando sea adecuado, relevante y limitado a aquello que es necesario y deberían aplicarse
salvaguardas apropiadas como pseudonimización, agregación, cifrado y
descentralización.
(26) Las medidas eficaces de cíberseguridad y medidas
de seguridad de datos son esenciales para proteger la
disponibilidad,
autenticidad, integridad y confidencialidad de los datos.
(27) La consulta con las autoridades de protección de
datos, de conformidad con los requerimientos establecidos en la legislación de
la Unión sobre protección de datos personales es esencial para garantizar que los
datos se procesen legalmente y se respeten los derechos de las personas involucradas.
(28) El artículo 14 de la Directiva 2011/24/UE[9] asignó a la Unión sostener
y facilitar la cooperación
e intercambio de información entre los Estados miembros que trabajan en un red
voluntaria que conecta a las autoridades nacionales responsables de la e-Salud
designadas por
los Estados miembros («la Red de e-Salud »). Sus objetivos incluyen trabajar en pos de la entrega
de beneficios económicos y sociales sostenibles de los sistemas europeos de e-Salud
y servicios
y aplicaciones interoperables, con miras a lograr un alto nivel de confianza y
seguridad, mejorando la continuidad de la atención y garantizando el acceso al
seguro y a una alta calidad en el cuidado a la salud. La Decisión de Ejecución 2019/1765 de la Comisión[10] establece las normas para el
establecimiento, la gestión y el funcionamiento transparente de la Red de e-Salud. Debido
a su composición y área de especialización, e-Health
Network debería ser el foro principal para discusiones sobre las necesidades
de datos de las autoridades de salud pública e instituciones de investigación, al mismo tiempo que
involucran a funcionarios de la regulación nacional autoridades de comunicaciones electrónicas,
ministerios a cargo de asuntos digitales y autoridades de protección de datos.
(29) La Red de e-Salud y la Comisión también deberían
cooperar estrechamente con otros organismos y redes que pueden proporcionar la
información necesaria para efectivizar esta Recomendación, incluido el Comité de Seguridad
Sanitaria, la red para la vigilancia epidemiológica de las enfermedades
transmisibles, el ECDC, el Comité Europeo de Protección de Datos, el Cuerpo de Reguladores
Europeos de Comunicaciones Electrónicas y la Red del Grupo de Cooperación de los Sistemas de
Información.
(30) Transparencia y comunicación clara y regular,
permitiendo la entrada de las personas y comunidades más afectadas, serán
fundamentales para garantizar la confianza pública en el combate de la crisis COVID-19.
(31) Considerando la rápida evolución de la situación
en los distintos Estados miembros respecto de la crisis COVID-19, es esencial
que los Estados miembros informen y la Comisión revise el enfoque incorporado
en esta Recomendación, rápidamente y regularmente mientras persista la crisis.
(32) Esta Recomendación debe, cuando sea necesario,
complementarse con una orientación adicional de la Comisión, incluyendo en la protección de datos y la privacidad las
implicaciones sobre el uso de advertir y prevenir aplicaciones móviles.
HA ADOPTADO LA PRESENTE RECOMENDACIÓN:
OBJETIVO DE ESTA RECOMENDACIÓN
(1) Esta recomendación establece un proceso para
desarrollar un enfoque común, referido como una Caja de Herramientas (Toolbox), para el uso
de medios digitales para enfrentar la crisis. La Caja de herramientas consistirá en
medidas prácticas para hacer un uso efectivo de tecnologías y datos, con un
enfoque en
dos áreas en particular:
(1)
Un enfoque paneuropeo para el uso de aplicaciones móviles, coordinadas a nivel de
la Unión, a fin de empoderar a los ciudadanos para que tomen medidas sociales
eficaces y específicas medidas de distanciamiento, y para advertencia,
prevención y rastreo de contactos para ayudar a limitar la propagación de la enfermedad COVID-19. Esto
implicará un Metodología
de monitoreo y evaluación de la efectividad de estos aplicaciones, su interoperabilidad e implicaciones
transfronterizas, y su respeto por la seguridad, privacidad y protección de
datos; y
(2)
Un esquema común para el uso de datos anonimizados y agregados sobre movilidad
de poblaciones
para (i) modelar y predecir la evolución de la enfermedad, (ii) para monitorear
la eficacia de la toma de decisiones por parte de las autoridades de los
Estados miembros en medidas tales como distanciamiento social y
confinamiento, y (iii) informar de un estrategia coordinada para salir de la crisis
COVID-19.
(2) Los Estados miembros deben tomar estas medidas con
urgencia y en estrecha coordinación con otros Estados miembros, la Comisión y
otros organismos pertinentes, y sin perjuicio de las competencias de los
Estados miembros en el dominio de la salud pública. Ellos
deben asegurarse de
que todas las acciones se tomen de acuerdo con la ley de la Unión, en particular la ley sobre
dispositivos médicos y el derecho a la privacidad y la protección de datos personales junto con otros
derechos y libertades consagrados en el Carta de los Derechos Fundamentales de la Unión. La Caja
de herramientas se complementará con orientaciones de la Comisión, incluyendo orientación
sobre la protección de datos y privacidad y sus implicaciones en el uso de
aplicaciones móviles de advertencia y prevención.
Definiciones
(3) Para los
fines de esta Recomendación:
(a) «Aplicaciones móviles» programa
informático (software) de aplicación
que se ejecuta en dispositivos inteligentes, en particular teléfonos inteligentes, diseñados
generalmente para una interacción amplia y específica con recursos web, los cuales procesan datos de
proximidad y otras informaciones contextuales recopiladas por muchos sensores que se encuentran en
cualquier dispositivo inteligente y que pueden intercambiar información
a través de muchas interfaces de red con otros dispositivos conectados;
(b) «Red
de e-Salud»: red establecida por el artículo 14 de la Directiva. 2011/24/UE
del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, sobre el aplicación
de los derechos de los pacientes en la asistencia sanitaria transfronteriza y
cuyas tareas han sido aclaradas por la Decisión de Ejecución 2019/1765 de la
Comisión, de 22 de octubre de 2019 proporcionando las normas para el establecimiento, la
gestión y el funcionamiento de la red de autoridades nacionales responsables de la e-Salud,
derogando la Comisión Decisión de Ejecución 2011/890/UE.
(c) «Comité
de Seguridad Sanitaria»: organismo compuesto por representantes de la Estados
miembros, establecido en virtud del artículo 17 de la Decisión n° 1082/2013/UE
del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre graves
amenazas transfronterizas para la salud.
(d) «Red
de Vigilancia Epidemiológica» red para la vigilancia epidemiológica de
enfermedades transmisibles y de problemas de salud especiales relacionados y
coordinado por el ECDC que pone en comunicación permanente a la Comisión, el
ECDC y las autoridades competentes responsables a nivel nacional para
la vigilancia epidemiológica, establecida en virtud del artículo 6 de la
Decisión n° 1082/2013/UE
del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre graves
amenazas transfronterizas para la salud.
PROCESO PARA EL DESARROLLO DE UNA CAJA DE HERRAMIENTAS
PARA EL USO DE TECNOLOGÍA Y DATOS
(4) Este proceso debería facilitar el urgente desarrollo
y la adopción por parte de los Miembros Estados y la Comisión de una Caja de herramientas de
medidas prácticas que incluye un enfoque Europeo para aplicaciones móviles al COVID-19 y para el uso de datos móviles
para la modelización
y predictibilidad de la evolución del virus.
(5) Para el desarrollo de la Caja de herramientas, los
Estados miembros, representados en la Red e-Salud, deben reunirse, junto con
representantes de la Comisión y del Centro Europeo para el Control de Enfermedades, de
forma inmediata y frecuente después de ello. Ellos deberían compartir puntos de vista sobre la mejor
manera de usar los datos de varias fuentes para abordar la
crisis del COVID-19
mientras se logra un alto nivel de confianza y seguridad compatibles con la
legislación de la Unión, en particular sobre la protección de datos personales
y privacidad,
así como para compartir las mejores prácticas y facilitar enfoques comunes sobre
ello.
(6) La Red de e-Salud debería reunirse de inmediato
para poner en práctica esta Recomendación.
(7) Los Estados miembros, representados en la Red de e-Salud,
deberían, según corresponda, informar y buscar aportes del Comité de Seguridad de la
Salud, el Cuerpo Europeo de Reguladores para Comunicaciones Electrónicas, el Grupo
de Cooperación NIS y las Agencias de la Comisión relevantes, incluidos ENISA,
Europol y los grupos de trabajo del Consejo, para efectivizar esta Recomendación.
(8) El Consejo Europeo de Protección de Datos y el
Supervisor Europeo de Protección de Datos también deben participar estrechamente para garantizar
que la Caja de herramientas integre la protección de datos y los principios
de privacidad por diseño.
(9) Las autoridades de los Estados miembros y la Comisión
deben garantizar una gestión regular, clara y comprensiva comunicación al público sobre las acciones
tomadas de conformidad con este Recomendación y brindar oportunidades para que el
público interactúe y participe en las discusiones
(10) Lo primordial en todo el proceso debe ser el
respeto de todos los derechos fundamentales, especialmente la privacidad, así como la
protección de datos, la prevención de la vigilancia y estigmatización En consecuencia, en estos temas específicos, la Caja
de herramientas debería:
(1)
limitar estrictamente el procesamiento de datos personales con el fin de
combatir la crisis del COVID-19 y garantizar que los datos personales no serán
utilizados para ningún otro propósito tal como la aplicación de la ley o para fines
comerciales;
(2)
garantizar una revisión periódica de la necesidad continúa de procesamiento de
datos personales con
el fin de combatir la crisis de COVID-19 y establecer las cláusulas adecuadas,
para garantizar que el procesamiento no se extienda más allá de lo
estrictamente necesario para esos fines;
(3)
tomar medidas para garantizar que, una vez que el procesamiento ya no sea
estrictamente necesario,
el procesamiento se termine efectivamente y que los datos personales de los
afectados sean irreversiblemente destruidos, a menos que, por consejo de las consejos
de ética y autoridades
de protección de datos, su valor científico al servicio del interés público supere
el impacto sobre los derechos en cuestión, sujeto a apropiadas
salvaguardas.
(11) La Caja de herramientas debería desarrollarse
progresivamente a la luz de las discusiones con todos las
partes interesadas y monitoreo
de la situación, mejores prácticas, problemas y solución sobre las fuentes y tipos de datos necesarios y
disponibles para las autoridades de salud pública e instituciones de investigación en salud pública para
combatir la pandemia del COVID-19.
(12) La Caja de herramientas debería compartirse con los
socios internacionales de la Unión Europea para el
intercambio de
mejores prácticas y ayudar a abordar la propagación del virus en todo el mundo.
UN ENFOQUE PANEUROPEO PARA APLICACIONES MÓVILES DE
COVID-19
(13) La primera prioridad para la Caja de herramientas
debe ser un enfoque paneuropeo para las aplicaciones móviles del COVID-19, que
serán desarrolladas conjuntamente por los Estados miembros y la Comisión,
antes del 15 de abril de 2020. El Consejo Europeo de Protección de Datos y el Supervisor
europeo de protección de datos estará asociado al proceso. Este enfoque debería consistir en:
(1)
especificaciones para garantizar la efectividad de la información móvil,
advertencia y seguimiento
de aplicaciones para combatir el COVID-19 desde el punto de vista médico y
técnico;
(2)
medidas para prevenir la proliferación de aplicaciones que no son compatibles
con la leyes de
la Unión, para soportar los requerimientos de accesibilidad para personas con discapacidades,
y para la interoperabilidad y promoción de soluciones comunes, no excluyendo
una posible aplicación paneuropea;
(3)
mecanismos de gobernanza que deben aplicarse a las autoridades de salud pública
y cooperación con el ECDC;
(4)
la identificación de buenas prácticas y mecanismos para el intercambio de información
sobre el funcionamiento de las aplicaciones; y
(5)
intercambio de datos con organismos públicos epidemiológicos relevantes e instituciones
de investigación de salud pública, incluidos datos agregados al ECDC.
(14) Las autoridades de los Estados miembros,
representadas en la red e-Salud, deberían establecer un proceso de intercambio de información y asegurar la
interoperabilidad de las aplicaciones, cuando se prevén escenarios transfronterizos.
ASPECTOS
DE PRIVACIDAD Y PROTECCIÓN DE DATOS DE USO DE LAS APLICACIONES MÓVILES
(15)
El desarrollo de la Caja de herramientas debe guiarse por los principios de privacidad y de
protección de datos
(16)
Con especial atención deberían observarse los siguientes principios en el uso
de las aplicaciones de advertencia y prevención móviles en el COVID-19:
(1) salvaguardas que
garanticen el respeto de los derechos fundamentales y la prevención de la estigmatización,
en particular las normas aplicables que rigen la protección de los datos personales
y la confidencialidad de comunicaciones;
(2) preferencia por
las medidas menos intrusivas pero efectivas, incluido el uso de datos de
proximidad evitando el procesamiento de datos sobre ubicación o movimientos de
individuos, y el uso de datos anonimizados y agregados cuando sea posible;
(3) requerimientos
técnicos sobre tecnologías apropiadas (por ejemplo, Bluetooth Low Energy) para establecer la proximidad del
dispositivo, encriptación, seguridad de datos, almacenamiento de datos en el
dispositivo móvil, posible acceso por parte de autoridades sanitarias y datos de
almacenamiento;
(4) requerimientos efectivos
de cíberseguridad para proteger la disponibilidad, autenticidad, integridad y
confidencialidad de los datos;
(5) vencimiento de
las medidas tomadas y eliminación de los datos personales obtenidos a través de
estas medidas cuando se declare que la pandemia está bajo control, al final de
todo;
(6) carga de datos de
proximidad en caso de infección confirmada y apropiados métodos para advertir a
las personas que han estado en contacto cercano con las personas infectadas, quienes
permanecerán anónimas; y
(7) requerimientos de
transparencia en la configuración de privacidad para garantizar la confianza en
las aplicaciones.
(17)
La Comisión publicará orientaciones que especifiquen aún más la privacidad y principios
de protección de los datos, a la luz de consideraciones prácticas derivadas del
desarrollo y de la implementación de la Caja de herramientas.
USO
DE DATOS DE MOVILIDAD PARA INFORMAR MEDIDAS Y ESTRATEGIA DE SALIDA
(18)
La segunda prioridad para Caja de herramientas debe ser un enfoque común para
el uso de Datos de movilidad anonimizados y agregados necesarios para:
(1)
modelar para mapear y predecir la difusión de la
enfermedad y el impacto en las necesidades en los sistemas de salud en los
Estados miembros, como, entre otros, las Unidades de Cuidados Intensivos en Hospitales
y Equipos de Protección Personal; y
(2)
optimizar la efectividad de las medidas para contener
la difusión del virus COVID-19 y para abordar sus efectos, incluido el
confinamiento (y el desconfinamiento), y para obtener y usar esos datos.
(19)
Al desarrollar este enfoque, los Estados miembros (representados en la Red de
e-Salud, que coordinará con el Comité de Seguridad de la Salud, la Red
Epidemiológica, el ECDC y, si es necesario, ENISA), deberían intercambiar las
mejores prácticas sobre uso de datos de movilidad, compartir y comparar modelos
y predicciones sobre la difusión de el virus y controlar el impacto de las
medidas para limitar su difusión.
(20)
Este entregable debe incluir:
(1)
El uso apropiado de datos de movilidad anónimos y
agregados para modelar la comprensión sobre cómo se propagará el virus y
modelar los efectos económicos de la crisis;
(2)
Asesorar a las autoridades públicas sobre cómo
solicitar a los proveedores de datos sobre la metodología que ellos aplican
para la anonimización de los datos y realizar una prueba de plausibilidad sobre
la metodología aplicada;
(3)
Se deben establecer salvaguardas para evitar la
anonimización y evitar re-identificaciones de individuos, incluidas garantías
de niveles adecuados de datos y seguridad de TI y evaluación de riesgos de re-identificación
cuando se correlaciona la data anonimizada con otra data;
(4)
eliminación inmediata e irreversible de todos los
datos procesados accidentalmente capaces de identificar individuos y
notificar a los proveedores de datos, así como a las autoridades competentes del
procesamiento y eliminación accidental;
(5)
eliminación de los datos en principio después de un
período de 90 días, o en cualquier caso, no más tarde que cuando la pandemia se
declare bajo control; y
(6)
restringir el procesamiento de los datos
exclusivamente para los fines indicados anteriormente y excluir el intercambio
de datos con terceros.
INFORMES
Y REVISIÓN
(21)
El enfoque pan europeo para las aplicaciones móviles COVID-19 se publicará el 15
de abril y se complementará con las orientaciones de la Comisión sobre
privacidad y datos protección.
(22)
Los Estados miembros deben, antes del 31 de mayo de 2020, informar a la
Comisión sobre las acciones tomadas de conformidad con esta Recomendación. Dichos
informes deben continuar regularmente mientras persista la crisis COVID-19.
(23)
A partir del 8 de abril de 2020, los Estados miembros deben adoptar las medidas
aplicadas en la áreas cubiertas por esta Recomendación accesible a otros
Estados miembros y a la Comisión de revisión por pares. Dentro de una semana,
los Estados miembros y la Comisión puede presentar observaciones sobre estas
medidas. El Estado miembro interesado debería tener muy en cuenta tales
observaciones
(24)
La Comisión, a partir de junio de 2020, sobre la base de los informes en estos
Estados miembros informes, evaluará el progreso realizado y el efecto de esta
Recomendación. La Comisión puede hacer más recomendaciones a los Estados
miembros, incluso en el calendario de las medidas aplicadas en las áreas
cubiertas por esta Recomendación.
Hecho
en Bruselas, el 8.4.2020.
Por
la Comisión
Thierry
BRETON
Miembro
de la comisión
[1] Decisión n° 1082/2013 / UE del Parlamento Europeo y
del Consejo, de 22 de octubre de 2013, sobre graves amenazas transfronterizas
para la salud y por la que se deroga la Decisión n. 2119/98 / CE, DO L 293 de
5.11.2013, p. 1–15
[2] 2 Directiva 2011/24 / UE del Parlamento Europeo y del
Consejo, de 9 de marzo de 2011, sobre el aplicación de los derechos de los
pacientes en la asistencia sanitaria transfronteriza, DO L 88 de 4.4.2011, p.
45-65.
[3] Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, sobre el protección de personas físicas con
respecto al procesamiento de datos personales y a la libre circulación de dichos
datos, y por la que se deroga la Directiva 95/46 / CE (Reglamento general de
protección de datos), DO L 119 de 4.5.2016, págs. 1–88.
[4] Reglamento (UE) 2018/1725 del Parlamento Europeo y del
Consejo, de 23 de octubre de 2018, sobre el protección de las personas físicas
con respecto al tratamiento de datos personales por las instituciones de la
Unión, organismos, oficinas y agencias y sobre la libre circulación de dichos
datos, y por el que se deroga el Reglamento (CE) n° 45/2001 y Decisión n°1247/2002
/ CE, DO L 295 de 21.11.2018, p. 39-98.
[5] Directiva 2002/58 / CE del Parlamento Europeo y del
Consejo, de 12 de julio de 2002, sobre la tratamiento de datos personales y
protección de la privacidad en el sector de las comunicaciones electrónicas.
(Directiva sobre privacidad y comunicaciones electrónicas), DO L 201 de
31.7.2002, p. 37-47, enmendado por Directiva 2009/136 / CE del Parlamento
Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifica la Directiva
2002/22/CE sobre el servicio universal y los derechos de los usuarios
relacionados con las comunicaciones electrónicas redes y servicios, Directiva
2002/58/CE sobre el procesamiento de datos personales y la protección de la
privacidad en el sector de las comunicaciones electrónicas y el Reglamento (CE)
n°2006/2004 sobre cooperación entre las autoridades nacionales responsables de
la aplicación de las leyes de protección del consumidor. DO L 337 de
18.12.2009, p.11-36.
[6] Comunicación de la Comisión al Parlamento Europeo, al
Consejo, a la Unión Europea. Comité Económico y Social y el Comité de las
Regiones, Una estrategia europea para los datos, COM / 2020/66 final.
[7] Reglamento (UE) 2017/745 del Parlamento Europeo y del
Consejo, de 5 de abril de 2017, sobre cuestiones médicas dispositivos, que
modifica la Directiva 2001/83 / CE, el Reglamento (CE) n°178/2002 y el
Reglamento (CE) n° 1223/2009 y por la que se derogan las Directivas 90/385 /
CEE y 93/42 / CEE del Consejo, DO L 117 de 5.5.2017, p. 1–175
[8] Directiva 93/42 / CEE del Consejo, de 14 de junio de
1993, sobre productos sanitarios, DO L 169 de 12.7.1993, p. 1-43)
[10] Decisión de Ejecución 2019/1765 de la Comisión, de 22
de octubre de 2019, por la que se establecen las normas para el
establecimiento, gestión y funcionamiento de la red de autoridades nacionales
responsables para el e-Salud y por la que se deroga la Decisión de Ejecución
2011/890/UE (notificada con el número C (2019) 7460), DO L 270 de 24.10.2019,
p. 83-93.
