La aplicación de autoevaluación de la Comunidad de Madrid para COVID-19: es oficial, da acceso a tus datos a empresas privadas y no los anonimiza

LAS CLAVES

  • El Aviso de Privacidad de la aplicación explica que a la información "tienen acceso" las empresas privadas Google, Telefónica, Carto, Ferrovial, Goggo Network, Forcemanager y Mendesaltren.
  • También tienen acceso a los datos empresas "subcontratadas" por estas compañías, pero no se especifica cuáles son.
  • Los datos personales y de salud no se anonimizan y no se especifica cuándo se borrarían o bloquearían, un factor de riesgo si hay una brecha de seguridad.
  • El Aviso de Privacidad actual está diseñado solo para una aplicación web y no para una app para móviles.
Nos estáis preguntando muchísimo por la aplicación que ha puesto en marcha la Comunidad de Madrid para hacerse una autoevaluación de posibles síntomas de coronavirus, alojada en la página web coronamadrid.com. Sobre todo si es oficial, si es fiable (o un caso de phishing) y si es cierto que cede los datos que proporcionamos a terceros. Os explicamos lo que sabemos pero ya os confirmamos que sí, es oficial, y también da acceso a la información a las empresas que han colaborado para crearla y las fuerzas y cuerpos de seguridad del Estado.

La app sí es oficial, la ha elaborado la Comunidad de Madrid en colaboración con varias empresas privadas

La aplicación Asistencia COVID-19 es oficial y la ha puesto en marcha la Comunidad de Madrid. Este miércoles la anunciaron en un comunicado oficial de la Comunidad y además su presidenta, Isabel Díaz Ayuso, llevaba varios días anunciando que el gobierno regional estaba trabajando en una aplicación para aliviar el número telefónico de asistencia. Lo que ha salido por el momento es una aplicación web, es decir, que se abre a través de un navegador y no es una app que se instale en el móvil. La han desarrollado las siguientes empresas, según consta en la propia web de la aplicación: Google, Telefónica, Goggo Network, Ferrovial, Carto, Forcemanager y Mendesaltren.
Imagen publicitaria de la app, aunque por el momento solo hay una aplicación web.

Según el Aviso de Privacidad, las empresas participantes tienen acceso a los datos que damos a la aplicación, igual que las fuerzas y cuerpos de seguridad del estado

Nos estáis preguntando mucho si es cierto que los datos que pide la aplicación para hacer la evaluación se comparten con terceros. La respuesta es sí, según el Aviso de Privacidad que está publicado. Os explicamos con quién exactamente. La Comunidad de Madrid es la responsable del tratamiento de datos de esta aplicación, lo que significa que es la entidad que recoge los datos y que los administra. En todo proceso que trate y almacene datos tiene que existir esta figura. Tal y como aparece reflejado en el Aviso de Privacidad, a los datos que recoge tienen acceso “nuestros proveedores [de la Comunidad de Madrid] y colaboradores, así como, en su caso, los profesionales sanitarios y las autoridades con las que colaboramos y nos relacionamos para el cumplimiento de las finalidades”. Pone a continuación, que los datos que piden (nombre y apellidos, número de teléfono móvil, DNI, fecha de nacimiento, correo electrónico, dirección completa y código postal, género y localización vía GPS del teléfono) se pueden compartir con los cuerpos y fuerzas de seguridad del Estado u órganos judiciales (tanto nacionales como internacionales), y nuestros “proveedores y colaboradores, así como a las empresas que estos subcontraten”. ¿Quiénes son específicamente las que se subcontratan? No se sabe porque no se precisa en ninguna parte del texto.
"¿Quién tiene acceso a tus datos?": apartado del Aviso de Privacidad de la aplicación web Asistencia COVID-19.
En el Aviso de Privacidad no se especifica quiénes son esas empresas y colaboradores (no aparece su nombre concreto), pero en un apartado de Preguntas Frecuentes que ha habilitado la página web sí que se hace mención a las empresas que hemos citado arriba.

Ese apartado de Preguntas Frecuentes se añadió un día después de que se lanzara la aplicación para aclarar dudas, pero en él tampoco señalan si los datos se anonimizarán ni cuáles serán exactamente a los que tendrán acceso terceros. Aun así, el hecho de que no esté en el Aviso de Privacidad no lo hace vinculante porque es una explicación hecha fuera del documento legal.

¿Es “fiable” introducir todos nuestros datos personales y de salud? El Aviso de Privacidad no habla de anonimizar los datos, un factor de riesgo

Es algo que también nos estáis preguntando. Con lo que hemos explicado, podemos confirmaros que no se trata de un caso de phishing. No obstante, es cierto que la aplicación web, tal y como está descrita en su Aviso de Privacidad, no está respetando el principio de minimización de datos que recoge el reglamento europeo y no habla de anonimizar los datos que cedemos, y eso hace que la base de datos que creen sea vulnerable.

“Los datos tienen que ser proporcionales para la finalidad que pretenden perseguir o al menos la que dicen que van a hacer”, explica a Maldita Tecnología Samuel Parra, abogado en ePrivacidad especializado en protección de datos. “No dicen para qué quieren cierta información. El consentimiento, para que sea válido, tiene que ser informado, y eso es lo que casi nunca se cumple”.

Esto quiere decir que entre las finalidades recogidas en el Aviso de Privacidad no están recogidas todas por las que podría estar justificado pedir tanta información. También se incluyen “finalidades estadísticas”, “investigación biomédica, científica o histórica” y “archivo en interés público”. Tres categorías que no están desglosadas o detalladas, teniendo en cuenta que aparte de los datos personalesse recogen datos de salud. Como ya os hemos explicado aquí, los datos de salud son una categoría especial del reglamento europeo de protección de datos y requieren mucha más protección.

El otro aspecto importante es que los datos que se recogen serán “anonimizados” o “borrados” cuando “finalice el período de conservación de datos” (que en ningún sitio se dice cuánto es) y “conforme a los requisitos establecidos en la normativa aplicable” (tampoco dicen cuál es).

“Se van a poder ceder los datos a colaboradoras pero en ningún lugar te dicen quiénes son. ¿Qué datos se van a comunicar? ¿Todos? Entendería que solo se comunicasen los del test, para tener una base de datos estadística. Sería un test anónimo. Pero, ¿vas a compartir mi ubicación y mi número de teléfono? ¿Mi número de DNI?", afirma. El hecho de que durante todo el proceso los datos no estén anonimizados también es un factor de riesgo.
Cabecera del Aviso de Privacidad de la aplicación web.

El Aviso de Privacidad de la aplicación web que se incluye está diseñada para una app móvil

¿Por qué es importante señalar esto? Hay algunos detalles del Aviso de Privacidad que se refieren a una aplicación que funciona en un móvil u otro dispositivo, y no solo en una página web a la que accedemos tecleando un enlace un navegador. Uno importante es que el que hace referencia a los datos de ubicación de las personas. y a los “observados cuando usas la Aplicación o los que obtenemos de tu dispositivo”. Por ejemplo, el sistema operativo, la red desde la que nos conectamos o nuestra ubicación física.
Aquí hacen referencia también a la información que se recoge a través de los permisos de los dispositivos (en Maldita Tecnología te hemos hablado de lo que son) y se menciona la ubicación física, en caso de que se tuviera la Ubicación del móvil activada. Esta opción no está contemplada para la página web y no hay ninguna opción para desautorizar esta recogida, a pesar de que en el Aviso de Privacidad dice que la hay.

Incluso en el apartado de Preguntas Frecuentes dan más información sobre si se recoge datos de localización, pero aun así están diseñadas para una aplicación móvil, ya que asegura que “el usuario puede denegar el acceso a la localización”,

Similar Articles:

Web 3.0: The decentralised web promises to make the internet free again

Web 3.0: The decentralised web promises to make the internet free again

Spanish soccer league’s app caught eavesdropping on users in anti-piracy push

Spanish soccer league’s app caught eavesdropping on users in anti-piracy push

Tim Berners-Lee unveils global plan to save the web

Tim Berners-Lee unveils global plan to save the web

Tim Berners-Lee on 30 years of the web: 'If we dream a little, we can get the web we want'

Tim Berners-Lee on 30 years of the web: 'If we dream a little, we can get the web we want'