Por Andrés Culagovski *

29 de junio de 2020

El 26 de febrero de 2020 en Sao Paulo, Brasil, se detectó el primer caso de COVID-19 en América Latina. Los países de la región reaccionaron implementando una amplia gama de medidas que reflejaban la legislación, costumbres e incluso la ideología preponderante en cada Estado. El impacto de esas medidas sobre la privacidad de los ciudadanos en la región será duradero. Una de las iniciativas que ha merecido un mayor análisis es el rastreo de contacto.

En Chile, a mediados de abril el gobierno lanzó una aplicación móvil para el rastreo de contacto, llamado CoronApp. Otros países de América Latina hicieron lo propio, incluyendo Argentina (22 de marzo), Brasil (28 de febrero), Colombia (12 de marzo, también llamada CoronApp), México (2 de abril) y Perú (3 de abril).

Aun cuando no existe estadísticas oficiales sobre las descargas de la aplicación en Chile, ha habido una serie de cuestionamientos sobre legalidad frente a la regulación de privacidad.

La Constitución chilena consagra el derecho a la protección de la privacidad desde el año 2018. Sin embargo, la ley de privacidad data de 1999, y requiere de una actualización. De acuerdo a la legislación nacional, todos los dato concernientes a  personas naturales, identificadas o identificables son considerados datos personales, y su tratamiento requiere del consentimiento del interesado. La ley también dispone que los datos personales que se refieren a “los estados de salud físicos o psíquicos y la vida sexual” son datos sensibles, y como tales solo pueden ser tratados con el consentimiento del interesado o cuando sea necesario para la determinación u otorgamiento de beneficios de salud.

Es ahí dónde comienzan las dudas sobre la CoronApp. La aplicación, disponible en Apple Store y en Google Play, se vincula con el número nacional de identificación de todos los chilenos y residentes extranjeros. A través de la aplicación, los usuarios pueden reportar y hacer seguimiento de sus propios síntomas, al igual que los de las personas bajo su cuidado, indicando el lugar de su cuarentena y comunicando las circunstancias que puede significar un riesgo de contagio para terceros. La aplicación también puede registrar la ubicación de sus usuarios y recibir notificaciones de salubridad de parte de las autoridades.

Una primera observación es que los usuarios no consienten en el tratamiento de sus datos personales o sensibles. Aún cuando la descarga e instalación de la aplicación es completamente voluntaria, no existe claridad de que los usuarios estén debidamente informados de los alcances de su participación. La política de privacidad, a la que solo puede accederse una vez que el usuario se registra en la aplicación (o a través del sitio web del Ministerio), solo “informa” al usuario del uso que se dará a sus datos, pero no requiere su consentimiento expreso. Ni siquiera se exige que los usuarios vean la política de privacidad.

Lo que es más preocupante es que los usuarios pueden proporcionar información de hasta ocho personas adicionales, reportando sus síntomas u otra información sensible, sin ningún tipo de consentimiento. Ello inmediatamente enciende las alarmas en materia de privacidad, ya que los usuarios pueden ingresar datos sobre adultos con los que conviven, o de niños que no estén bajo su cuidado legal. La política de privacidad sí establece que el usuario registrado “es responsable de la veracidad, actualización, precisión y completitud” de los datos de terceros que ingresa, pero no exige que el usuario obtenga el consentimiento de esos terceros.

Adicionalmente, los usuarios obtienen muy poco a cambio de exponer sus datos privados. Como la aplicación depende de que los usuarios reporten sus propios síntomas, el gobierno podría usar esa información para individualizar a las personas que deban entrar en cuarentena o someterse a controles, aun sin información médica real. Ya se han conocido casos de manifestaciones de rechazo a profesionales de la salud y a otros que se sospecha han sido infectados, y la aplicación puede agravar el tratamiento discriminatorio. Si la intención es que la aplicación pueda servir para derivar a las personas sintomáticas a los servicios de salud locales, ello podría lograrse simplemente listando los síntomas conocidos y los proveedores de salud en la proximidad del usuario, sin registrar su información personal.

También se han expresado dudas sobre la forma en que el gobierno procesa y maneja la información proporcionada por el CoronApp. La política de privacidad señala que toda la información registrada en la aplicación será almacenada y replicada en Amazon Web Services correspondiente a la región “us-east región”, el cual se encuentra físicamente en Estados Unidos, en el estado de Virginia. Sin embargo, no se mencionan medidas para resguardar la seguridad o privacidad de esos datos. Sí hay una mención amplia a que la información se trata de acuerdo a la legislación chilena, pero no hay mención de cómo la regulación de Estados Unidos puede afectar su almacenamiento y su acceso por terceros.

La política también dice que los datos serán accedidos exclusivamente por el Ministerio de Salud y “por los entes sanitarios habilitados por ley”, pero también señala que el Ministerio puede transferir datos a terceros en caso de “en virtud de una orden judicial o administrativa”. Ello es lo bastante amplio como para que los usuarios no tengan cómo saber, en forma previa, quién podrá eventualmente tener acceso a sus datos.

En aparente contradicción con lo anterior, la aplicación también afirma que los datos de los usuarios puede ser transferida a terceros con los que el Ministerio haya celebrado acuerdos de colaboración “en el marco de cumplimiento de finalidades compatibles a las declaradas y consentidas por los usuarios”. Dichos terceros solo deben adoptar las medidas para anonimizar los datos en la medida de que tengan la intención de publicar los resultados de sus análisis, lo que implica que reciben los datos con todos sus componentes personales o sensibles intactos. Si se decide vender los datos a empresas de salud o farmacéuticas, lo que en teoría podría ser considerado una ”finalidad compatible” con los de la aplicación, los usuarios tendrían muy pocos recursos para impedirlo.

Finalmente, la aplicación señala que los datos de los usuarios serán almacenados y tratados “durante el tiempo que sea necesario para la protección de la salud pública, en el contexto de la emergencia sanitaria”, pero las autoridades podrían sostener con gran plausibilidad que, a falta de la total erradicación del COVID-19, los datos relativos a este brote del virus debe mantenerse a mano para tratar futuros eventos, en forma indefinida. Y dadas las escasas restricciones a la transferencia a terceros, la información eventualmente puede ser enviada a empresas “compatibles”, como aseguradores y empleadores.

En resumen, aún cuando el rastreo de contacto puede ser una herramienta valiosa para precaver la transmisión del virus, debe prestarse mayor atención a la protección de la privacidad de los usuarios, para asegurar que los peligros implícitos en la revelación de información privada no sobrepase los potenciales beneficios de la aplicación. Las autoridades también deben tener en cuenta que gran parte de los ciudadanos de menores ingresos, que están más expuestos a condiciones médicas subyacentes, pueden carecer de los medios para acceder a los recursos tecnológicos que se requieren para usar la aplicación.

* Andrés Culagovski es abogado en Abdala & Cía, donde lidera el área de derecho regulatorio y arbitraje internacional. Fue fiscal de la Superintendencia de Pensiones y del Comité de Inversiones Extranjeras, coordinador legal del Observatorio Astronómico ALMA, agregado comercial para el norte de Europa, con sede en Estocolmo y negociador en materia de inversiones, telecomunicaciones, solución de controversias y servicios en los Tratados de Libre Comercio con Estados Unidos y la Unión Europea, entre otros cargos.