Está Vd. en

Documento DOUE-L-2020-80598

Recomendación (UE) 2020/518 de la Comisión de 8 de abril de 2020 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados.

Publicado en:
«DOUE» núm. 114, de 14 de abril de 2020, páginas 7 a 15 (9 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-L-2020-80598

TEXTO ORIGINAL

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 292,

Considerando lo siguiente:

(1)

La crisis de salud pública provocada por la actual pandemia de COVID-19 (en lo sucesivo, «crisis de la COVID-19») obliga a la Unión y a los Estados miembros a afrontar un desafío sin precedentes para sus sistemas de asistencia sanitaria, forma de vida, estabilidad económica y valores. Ningún Estado miembro puede tener éxito por sí solo en la lucha contra la crisis de la COVID-19. Una crisis excepcional de tal magnitud requiere la actuación decidida de todos los Estados miembros y de las instituciones y organismos de la UE, trabajando de forma conjunta en un auténtico espíritu de solidaridad.

(2)

Las tecnologías y los datos digitales tienen un valioso papel que desempeñar en la lucha contra la crisis de la COVID-19, ya que en Europa muchas personas se conectan a internet a través de dispositivos móviles. Esas tecnologías y datos ofrecen una herramienta importante para informar al público y ayudar a las autoridades públicas pertinentes en sus esfuerzos por contener la propagación del virus o para permitir que las organizaciones sanitarias intercambien datos sobre la salud. Sin embargo, un enfoque fragmentado y descoordinado pone en peligro la eficacia de las medidas destinadas a combatir la crisis de la COVID-19, dañando gravemente tanto al mercado único como a los derechos y libertades fundamentales.

(3)

Por consiguiente, es necesario desarrollar un enfoque común para la utilización de tecnologías y datos digitales en respuesta a la crisis actual. Este enfoque debe ser eficaz a la hora de apoyar a las autoridades nacionales competentes, y en particular a las autoridades sanitarias y los responsables políticos, proporcionándoles datos suficientes y precisos para comprender la evolución y la propagación del virus causante de la COVID-19, así como sus efectos. De igual modo, estas tecnologías pueden empoderar a los ciudadanos para que adopten medidas eficaces y más selectivas de distanciamiento social. Al mismo tiempo, el enfoque propuesto tiene por objeto defender la integridad del mercado único y proteger los derechos y libertades fundamentales, en particular el derecho a la intimidad y a la protección de los datos personales.

(4)

Las aplicaciones móviles pueden contribuir al seguimiento y la contención de la actual pandemia de COVID-19 por parte de las autoridades sanitarias a nivel nacional y de la UE. Ofrecen la posibilidad de proporcionar orientación a los ciudadanos y facilitar la organización del seguimiento médico de los pacientes. Las aplicaciones de alerta y seguimiento pueden desempeñar un papel importante en el rastreo de los contactos y, así, limitar la propagación de la enfermedad e interrumpir las cadenas de transmisión. Por lo tanto, combinadas con estrategias adecuadas de realización de pruebas y con el seguimiento de los contactos, las aplicaciones pueden ser especialmente importantes a la hora de proporcionar información sobre el nivel de circulación del virus, evaluar la eficacia de las medidas de distanciamiento físico y confinamiento y orientar las estrategias de desescalada.

(5)

La Decisión n.° 1082/2013/UE del Parlamento Europeo y del Consejo (1) establece normas específicas en materia de vigilancia epidemiológica, seguimiento, alerta precoz y lucha contra las amenazas transfronterizas graves para la salud. El artículo 2, apartado 5, de la Decisión exige que la Comisión garantice, en colaboración con los Estados miembros, la coordinación y el intercambio de información entre los mecanismos y estructuras que se establezcan de acuerdo con dicha Decisión y los mecanismos y estructuras similares establecidos a nivel de la Unión o en virtud del Tratado Euratom y cuyas actividades sean pertinentes para la planificación de la preparación y respuesta, el seguimiento, la alerta precoz y la lucha contra las amenazas transfronterizas graves para la salud. El foro para la coordinación de esfuerzos en el contexto de las amenazas transfronterizas graves para la salud es el Comité de Seguridad Sanitaria, creado en virtud del artículo 17 de la citada Decisión. Por otra parte, el artículo 6, apartado 1, de la Decisión crea una red de vigilancia epidemiológica de las enfermedades transmisibles, administrada y coordinada por el Centro Europeo para la Prevención y el Control de las Enfermedades.

(6)

La Directiva 2011/24/UE del Parlamento Europeo y del Consejo (2), relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, estipula que la red de sanidad electrónica deberá esforzarse para conseguir unos beneficios económicos y sociales sostenibles merced a sistemas y servicios europeos de sanidad electrónica y a aplicaciones interoperables que permitan alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de los cuidados y garantizar el acceso a una asistencia sanitaria segura y de calidad.

(7)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece las condiciones por las que se rige el tratamiento de los datos personales, incluidos los de carácter sanitario. Tales datos pueden tratarse, entre otras circunstancias, cuando el interesado dé su consentimiento explícito o cuando el tratamiento resulte en interés público, según lo especificado en el Derecho de los Estados miembros o en el Derecho de la Unión, en particular con fines de supervisión y de alerta o de prevención y control de enfermedades transmisibles y otras amenazas graves para la salud.

(8)

Varios Estados miembros han introducido una legislación específica que les permite tratar datos sanitarios sobre la base del interés público [artículo 6, apartado 1, letras c) o e), y artículo 9, apartado 2, letra i), del Reglamento (UE) 2016/679]. En cualquier caso, deben establecerse de forma clara y específica el propósito y los medios del tratamiento de los datos, qué datos deben tratarse y por quién.

(9)

La Comisión puede consultar al Supervisor Europeo de Protección de Datos y al Comité Europeo de Protección de Datos, de conformidad con el artículo 42 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4) y el artículo 70 del Reglamento (UE) 2016/679.

(10)

La Directiva 2002/58/CE del Parlamento Europeo y del Consejo (5) establece las normas aplicables a los datos de tráfico y de localización, así como al almacenamiento de información y a la obtención de acceso a la información almacenada en el equipo terminal, por ejemplo un dispositivo móvil, del usuario o abonado. Con arreglo al artículo 5, apartado 3, de la Directiva, tal almacenamiento u obtención de acceso solo se permite en circunstancias estrictamente definidas o en virtud del consentimiento otorgado por el usuario o abonado, tras haber recibido información clara y completa, de conformidad con los requisitos del Reglamento (UE) 2016/679. Además, el artículo 15, apartado 1, de la Directiva permite a los Estados miembros adoptar medidas legales para limitar el alcance de determinados derechos y obligaciones establecidos en la Directiva, incluidos los que contempla su artículo 5, cuando tal limitación constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática para alcanzar determinados objetivos.

(11)

La Comisión Europea anunció en su Comunicación «Una estrategia europea de datos» (6) que la UE crearía un mercado único en el que los datos puedan circular en la UE y en todos los sectores, en beneficio de todos, en el que se respeten plenamente las normas europeas, en particular en materia de protección de la intimidad y de los datos, así como el Derecho de competencia, y donde las normas de acceso a los datos y uso de estos sean justas, prácticas y claras. En particular, la Comisión declaró que estudiaría la necesidad de adoptar medidas legislativas destinadas a fomentar el intercambio de datos entre empresas y administraciones para el interés público.

(12)

Desde el inicio de la crisis de la COVID-19, se han desarrollado diversas aplicaciones móviles, en ocasiones por parte de las autoridades públicas, y se han producido llamamientos de los Estados miembros y del sector privado a favor de la coordinación a nivel de la Unión para abordar, entre otras cuestiones, las relativas a la ciberseguridad, la seguridad y la privacidad. Estas aplicaciones suelen cumplir tres funciones generales: i) informar y asesorar a los ciudadanos, y facilitar la organización del seguimiento médico de las personas con síntomas, a menudo en combinación con un cuestionario de autodiagnóstico; ii) advertir a las personas que han estado cerca de una persona infectada, a fin de interrumpir las cadenas de contagio e impedir que se produzca un resurgimiento de las infecciones durante la fase de relajación de las medidas de confinamiento, y iii) el seguimiento y el control del cumplimiento de la cuarentena de las personas infectadas, eventualmente en combinación con características que permitan determinar su estado de salud durante el período de cuarentena. Algunas aplicaciones están disponibles para el público en general, mientras que otras solo lo están para grupos cerrados de usuarios a fin de rastrear los contactos en el lugar de trabajo. Por lo general, no se ha evaluado la eficacia de estas aplicaciones. Las aplicaciones de información y análisis de síntomas pueden ser útiles para sensibilizar a la ciudadanía. No obstante, el dictamen de los expertos apunta a que las aplicaciones destinadas a informar y advertir a los usuarios parecen ser las más prometedoras a la hora de prevenir la propagación del virus, habida cuenta también de su impacto más limitado en la intimidad, y en la actualidad varios Estados miembros están considerando su utilización.

(13)

Algunas de estas aplicaciones móviles podrían considerarse productos sanitarios si están destinadas por el fabricante a ser utilizadas, entre otros fines, para el diagnóstico, la prevención, el seguimiento, la predicción, el pronóstico, el tratamiento o el alivio de una enfermedad, de manera que entrarán en el ámbito de aplicación del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo (7) o en el de la Directiva 93/42/CEE del Consejo (8). En el caso de las aplicaciones de autodiagnóstico y análisis de síntomas, se debería determinar su posible calificación como productos sanitarios, de acuerdo con el marco regulador de dichos productos [Directiva 93/42/CEE o Reglamento (UE) 2017/745], en la medida en que proporcionen información relacionada con el diagnóstico, la prevención, el seguimiento, la predicción o el pronóstico.

(14)

La eficacia de estas aplicaciones móviles depende de una serie de factores. Entre estos factores se encuentra la penetración entre los usuarios, es decir, el porcentaje de la población que utiliza un dispositivo móvil y, dentro de ese grupo, el porcentaje que ha descargado la aplicación, ha otorgado su consentimiento para el tratamiento de sus datos personales y no ha retirado dicho consentimiento. Otros factores importantes son la confianza de la población en que los datos estarán protegidos por medidas adecuadas de seguridad y se utilizarán exclusivamente para alertar a las personas que puedan haber estado expuestas al virus, el refrendo de las autoridades de salud pública, la capacidad de las autoridades sanitarias para tomar medidas basadas en los datos generados por la aplicación, la integración y el intercambio de datos con otros sistemas y aplicaciones, o la interoperabilidad transfronteriza e interregional con otros sistemas.

(15)

Las aplicaciones de alerta y seguimiento son útiles para que los Estados miembros efectúen el rastreo de los contactos y pueden desempeñar un papel importante en la contención en las situaciones posibles de desescalada. Además, pueden ser un valioso instrumento para que los ciudadanos mantengan un distanciamiento social eficaz y más selectivo. Su repercusión puede reforzarse mediante una estrategia que favorezca la ampliación de las pruebas. El seguimiento de los contactos implica que las autoridades de salud pública puedan detectar con rapidez a todos los contactos de un paciente confirmado de la COVID-19, pedirles que practiquen el autoaislamiento y, en caso de desarrollar síntomas, realizarles pruebas y aislarlos de forma rápida. Además, los datos anonimizados y agregados derivados de dichas aplicaciones podrían utilizarse, junto con la información sobre la incidencia de la enfermedad, para determinar la eficacia de las medidas de distanciamiento físico y comunitario. Si bien estas aplicaciones presentan una utilidad evidente para los Estados miembros, también pueden añadir valor a las actividades del ECDC.

(16)

Las aplicaciones de autodiagnóstico y análisis de síntomas podrían proporcionar información pertinente sobre el número de casos que presentan síntomas compatibles con la COVID-19, por edades y semanas, en zonas bien delimitadas donde la aplicación tenga una cobertura elevada. Si se obtienen resultados positivos, las autoridades nacionales de salud pública pueden decidir utilizar los datos de la aplicación para la vigilancia sindrómica de atención primaria en relación con la COVID-19. Estos datos podrían facilitarse semanalmente al ECDC, en formato agregado [por ejemplo, número de casos de síndrome seudogripal (ILI) o de infección respiratoria aguda (ARI) por semana, por grupo de edad, de la población total cubierta por los médicos centinela]. Esto permitiría a las autoridades nacionales y al ECDC estimar el valor predictivo positivo de los síntomas respiratorios en una comunidad dada, lo que, a su vez, les proporcionaría información sobre el nivel de circulación del virus basada en los datos de la aplicación.

(17)

Dadas las funciones de las aplicaciones para teléfonos inteligentes, descritas anteriormente, su uso es susceptible de afectar al ejercicio de determinados derechos fundamentales como el derecho al respeto de la vida privada y familiar, entre otros. Habida cuenta de que cualquier injerencia en esos derechos debe ser conforme a la ley, las legislaciones de los Estados miembros que establezcan o permitan limitaciones del ejercicio de determinados derechos fundamentales deben estar en consonancia con los principios generales del Derecho de la Unión, tal como se establece en el artículo 6 del Tratado de la Unión Europea, sus tradiciones constitucionales y sus obligaciones con arreglo al Derecho internacional.

(18)

Con miras a la aceptación de diferentes tipos de aplicaciones (y los sistemas subyacentes de información sobre cadenas de transmisión de contagios), y a fin de garantizar que estas aplicaciones cumplan el objetivo declarado de vigilancia epidemiológica, es preciso que las políticas, los requisitos y los controles en que se apoyen estén armonizados y sean aplicados de forma coordinada por las autoridades sanitarias nacionales responsables. La experiencia de varios Estados miembros que han empezado a introducir aplicaciones de seguimiento de contactos demuestra que, para lograr una mayor aceptación, se requiere una gobernanza integrada para diseñar y llevar a la práctica las medidas, implicando a distintas autoridades además de las sanitarias (en particular las responsables de la protección de datos), así como al sector privado, a expertos, al ámbito universitario y a partes interesadas como los grupos de pacientes. Asimismo, para que la aplicación se acepte y tenga éxito, es fundamental una amplia comunicación al respecto.

(19)

A fin de detectar los encuentros de proximidad entre usuarios de distintas aplicaciones de seguimiento de contactos (una situación que se producirá con mayor probabilidad entre personas que atraviesen fronteras nacionales o regionales), es conveniente prever la interoperabilidad entre aplicaciones. Por otra parte, para hacer frente a las cadenas de transmisión transfronteriza, se requiere que las autoridades nacionales responsables de supervisar las cadenas de transmisión de contagios puedan intercambiar información interoperable sobre los usuarios que hayan dado positivo en otros Estados miembros o regiones.

(20)

Determinadas empresas, en particular proveedores de servicios de telecomunicación y grandes plataformas tecnológicas, han puesto a disposición de las autoridades públicas datos de localización anonimizados y agregados. Estos datos son necesarios para la investigación dirigida a combatir el virus, la modelización destinada a comprender la forma en que el virus se propagará y la modelización de los efectos económicos de la crisis. En particular, los datos ayudarán a entender y modelizar las dinámicas espaciales de la epidemia, así como a determinar la repercusión de las medidas de distanciamiento social (limitaciones de viaje, cese de actividades no esenciales, confinamiento total, etc.) en la movilidad. Esto resulta fundamental, en primer lugar, para contener los efectos del virus y determinar las necesidades, especialmente en cuanto a equipos de protección individual y unidades de cuidados intensivos, y, en segundo lugar, para respaldar la estrategia de salida con modelos basados en datos que señalen los posibles efectos de relajar las medidas de distanciamiento social.

(21)

La actual crisis ha puesto de relieve que, para las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud, sería útil disponer de un mayor acceso a información esencial para analizar la evolución del virus y valorar la eficacia de las medidas de salud pública.

(22)

Determinados Estados miembros han adoptado medidas para simplificar el acceso a los datos. No obstante, la actual fragmentación de enfoques obstruye los esfuerzos comunes de la UE para combatir el virus.

(23)

La necesidad de un enfoque común de la Unión para la crisis de la COVID-19 también se ha hecho evidente ante las medidas adoptadas en determinados países, como el seguimiento de personas por geolocalización, el uso de la tecnología para calificar el nivel de riesgo sanitario de una persona o la centralización de datos delicados, medidas que plantean interrogantes desde el punto de vista de varios derechos fundamentales y de las libertades garantizadas en el ordenamiento jurídico de la UE, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales. En todo caso, de conformidad con la Carta de los Derechos Fundamentales de la Unión, cualquier limitación del ejercicio de los derechos y libertades fundamentales reconocidos en ella debe estar justificada y ser proporcionada. En particular, dichas limitaciones han de ser temporales, en el sentido de que deben ceñirse estrictamente a lo necesario para combatir la crisis y no mantenerse en vigor, sin justificación adecuada, una vez pasada la crisis.

(24)

Además, la Organización Mundial de la Salud y otros organismos han advertido del riesgo de que las aplicaciones y los datos inexactos provoquen la estigmatización de personas que compartan determinadas características debido a la percepción de un vínculo con la enfermedad.

(25)

De acuerdo con el principio de minimización de datos, las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud deben tratar únicamente los datos personales que sean adecuados y pertinentes, limitándose a lo necesario, y hacerlo con las debidas garantías, aplicando medidas como la seudonimización, la agregación, el cifrado o la descentralización.

(26)

Unas medidas efectivas de ciberseguridad y seguridad de los datos son fundamentales para proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos.

(27)

A fin de garantizar el tratamiento lícito de los datos personales y el respeto de los derechos de las personas afectadas, es esencial consultar a las autoridades de protección de datos, de conformidad con los requisitos establecidos en el Derecho de la Unión sobre protección de datos personales.

(28)

El artículo 14 de la Directiva 2011/24/UE establece que la Unión apoyará y facilitará la cooperación y el intercambio de información entre los Estados miembros dentro de una red voluntaria que conecte a las autoridades nacionales encargadas de la sanidad electrónica que designen los Estados miembros («red de sanidad electrónica»). Entre sus objetivos está el esforzarse para conseguir unos beneficios económicos y sociales sostenibles merced a sistemas y servicios europeos de sanidad electrónica y a aplicaciones interoperables que permitan alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de los cuidados y garantizar el acceso a una asistencia sanitaria segura y de calidad. La Decisión de Ejecución (UE) 2019/1765 de la Comisión (9) dispone las normas para el establecimiento, la gestión y el funcionamiento transparente de la red de sanidad electrónica. Habida cuenta de su composición y su ámbito de especialización, la red de sanidad electrónica debe ser el principal foro de debate en torno a las necesidades de datos de las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud, y, a su vez, contar con la participación de funcionarios de las autoridades nacionales reguladoras de las comunicaciones electrónicas, los ministerios a cargo de los asuntos digitales y las autoridades responsables de la protección de datos.

(29)

Asimismo, sería conveniente que la red de sanidad electrónica y la Comisión cooperasen estrechamente con otros organismos y redes que puedan aportar las contribuciones necesarias para dar efecto a la presente Recomendación, en particular el Comité de Seguridad Sanitaria, la red de vigilancia epidemiológica y de control de las enfermedades transmisibles, el ECDC, el Comité Europeo de Protección de Datos, el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas y el Grupo de Cooperación de Redes y Sistemas de Información.

(30)

La transparencia, una comunicación clara y periódica, y la incorporación de las aportaciones de las personas y comunidades más afectadas serán primordiales para obtener la confianza pública a la hora de combatir la crisis de la COVID-19.

(31)

Teniendo en cuenta la rápida evolución de la situación relativa a la crisis de la COVID-19 en los distintos Estados miembros, es imprescindible que estos informen acerca del enfoque contemplado en la presente Recomendación, y que la Comisión lo revise, de manera rápida y periódica mientras persista la crisis.

(32)

La presente Recomendación debe complementarse, en su caso, con orientaciones adicionales de la Comisión, especialmente en lo referente a las implicaciones en materia de protección de datos y de la intimidad que tiene el uso de aplicaciones móviles de alerta y prevención.

HA ADOPTADO LA PRESENTE RECOMENDACIÓN:

OBJETIVO DE LA RECOMENDACIÓN

1)

La presente Recomendación establece un proceso destinado a desarrollar un enfoque común, denominado «conjunto de instrumentos», con el fin de usar los medios digitales para hacer frente a la crisis. El conjunto de instrumentos consistirá en medidas prácticas para hacer un uso eficaz de las tecnologías y los datos, centrando la atención en dos aspectos en particular:

1) un enfoque paneuropeo para el uso de aplicaciones móviles, coordinado a nivel de la Unión, con el fin de capacitar a los ciudadanos para adoptar medidas de distanciamiento social eficaces y más específicas, así como con el fin de alertar, prevenir y hacer un seguimiento de contactos con miras a limitar la propagación de la enfermedad COVID-19; implicará una metodología para el seguimiento y el intercambio de valoraciones respecto de la eficacia de estas aplicaciones, su interoperabilidad y sus implicaciones transfronterizas, así como en relación con el respeto de la seguridad, la intimidad y la protección de datos,y

2) un plan común para el uso de datos anonimizados y agregados sobre la movilidad de la población a fin de i) modelizar y predecir la evolución de la enfermedad, ii) controlar la eficacia de la toma de decisiones de las autoridades de los Estados miembros en lo referente a medidas como el distanciamiento social y el confinamiento, y iii) obtener información de cara a una estrategia coordinada para la salida de la crisis de la COVID-19.

2)

Los Estados miembros deben adoptar estas medidas urgentemente y en estrecha coordinación entre sí, con la Comisión y con otras partes interesadas, y sin perjuicio de las competencias de los Estados miembros en el ámbito de la salud pública. Han de garantizar que toda medida adoptada sea conforme con el Derecho de la Unión, en particular el Derecho en materia de productos sanitarios y de protección de datos personales, así como los demás derechos y libertades consagrados en la Carta de los Derechos Fundamentales de la Unión. El conjunto de instrumentos se complementará con orientaciones de la Comisión, especialmente en lo referente a las implicaciones en materia de protección de datos y de la intimidad que tiene el uso de aplicaciones móviles de alerta y prevención.

DEFINICIONES

3)

A efectos de la presente Recomendación, se entiende por:

a) «aplicaciones móviles»: las aplicaciones de soporte lógico (software) que se ejecutan en dispositivos inteligentes, en particular teléfonos inteligentes, diseñadas generalmente para una interacción amplia y específica con recursos web, que procesan datos de proximidad y otra información contextual recogida por los distintos sensores presentes en cualquier dispositivo inteligente, y que pueden intercambiar información a través de diversas interfaces de red con otros dispositivos conectados;

b) «red de sanidad electrónica»: la red establecida por el artículo 14 de la Directiva 2011/24/UE, y cuyas funciones se precisan en la Decisión de Ejecución (UE) 2019/1765;

c) «Comité de Seguridad Sanitaria»: el organismo integrado por representantes de los Estados miembros, establecido en virtud del artículo 17 de la Decisión n.o 1082/2013/UE;

d) «red de vigilancia epidemiológica»: la red para la vigilancia epidemiológica de las enfermedades transmisibles y de los problemas sanitarios especiales conexos, administrada y coordinada por el ECDC, y mediante la cual se pone en contacto permanente a la Comisión, al ECDC y a las autoridades competentes responsables de la vigilancia epidemiológica a nivel nacional, creada en virtud del artículo 6 de la Decisión n.o 1082/2013/UE.

PROCESO DE ELABORACIÓN DE UN CONJUNTO DE INSTRUMENTOS PARA EL USO DE TECNOLOGÍA Y DATOS

4)

Este proceso debe facilitar la elaboración y la adopción urgentes por los Estados miembros y la Comisión de un conjunto de instrumentos de medidas prácticas que incluyan un enfoque europeo para las aplicaciones móviles relacionadas con la COVID-19 y para el uso de datos de movilidad a efectos de la modelización y la predicción de la evolución del virus.

5)

Para la elaboración del conjunto de instrumentos, los Estados miembros, representados en la red de sanidad electrónica, han de reunirse inmediatamente, y de manera frecuente en lo sucesivo, con los representantes de la Comisión y del Centro Europeo para la Prevención y Control de Enfermedades. Deben compartir puntos de vista sobre la mejor manera de utilizar los datos procedentes de diversas fuentes para hacer frente a la crisis de la COVID-19, logrando al mismo tiempo un nivel elevado de confianza y seguridad compatible con el Derecho de la Unión, en particular en lo que se refiere a la protección de los datos personales y la intimidad, así como para compartir las mejores prácticas y facilitar enfoques comunes a este respecto.

6)

La red de sanidad electrónica debe reunirse inmediatamente para llevar a la práctica la presente Recomendación.

7)

Al dar efecto a la presente Recomendación, los Estados miembros, representados en la red de sanidad electrónica, deben, según proceda, informar al Comité de Seguridad Sanitaria, al Organismo de Reguladores Europeos de las Comunicaciones Electrónicas, al Grupo de cooperación para la seguridad de las redes y sistemas de información y a las agencias pertinentes de la Comisión, como la Agencia de la Unión Europea para la Ciberseguridad (ENISA), Europol y los grupos de trabajo del Consejo, y recabar su opinión.

8)

El Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos también han de participar estrechamente para garantizar que el conjunto de instrumentos integra los principios relativos a la protección de datos y la protección de la intimidad desde el diseño.

9)

Las autoridades de los Estados miembros y la Comisión deben garantizar una comunicación periódica, clara y exhaustiva al público sobre las medidas adoptadas con arreglo a la presente Recomendación, y brindar a los ciudadanos la oportunidad de interactuar y participar en los debates.

10)

A lo largo de todo el proceso, será primordial respetar todos los derechos fundamentales, en particular la protección de la intimidad y de los datos, la prevención de la vigilancia y la estigmatización. Por lo tanto, sobre estas cuestiones específicas, el conjunto de instrumentos debe:

1) limitar estrictamente el tratamiento de datos personales a la lucha contra la crisis de la COVID-19 y velar por que los datos personales no se utilicen para otros fines, como la coerción o con fines comerciales;

2) garantizar la revisión periódica de la necesidad continuada del tratamiento de datos personales para la lucha contra la crisis de la COVID-19 y establecer cláusulas de extinción adecuadas, con el fin de velar por que el tratamiento no se extienda más allá de lo estrictamente necesario para dichos fines;

3) adoptar medidas para garantizar que, una vez que el tratamiento ya no sea estrictamente necesario, se ponga realmente fin a este y los datos personales correspondientes sean destruidos de forma irreversible, a menos que, en opinión de los consejos de ética y las autoridades de protección de datos, su valor científico al servicio del interés público sea mayor que la repercusión sobre los derechos en cuestión, sujeto a las salvaguardias adecuadas.

11)

El conjunto de instrumentos debe desarrollarse progresivamente a la luz de los debates con todas las partes interesadas y del seguimiento de la situación, las mejores prácticas, las cuestiones y las soluciones relativas a las fuentes y los tipos de datos necesarios y disponibles para las autoridades sanitarias públicas y las instituciones públicas de investigación en el ámbito de la salud para luchar contra la pandemia de la COVID-19.

12)

El conjunto de instrumentos debe compartirse con los socios internacionales de la Unión Europea para intercambiar las mejores prácticas y ayudar a mitigar la propagación del virus en todo el mundo.

UN ENFOQUE PANEUROPEO PARA LAS APLICACIONES MÓVILES RELACIONADAS CON LA COVID-19

13)

La prioridad principal del conjunto de herramientas ha de ser un enfoque paneuropeo para las aplicaciones móviles relacionadas con la COVID-19, que deben desarrollar conjuntamente los Estados miembros y la Comisión, a más tardar el 15 de abril de 2020. El Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos participarán en el proceso. Este enfoque consistirá en lo siguiente:

1) especificaciones que garanticen la eficacia de las aplicaciones móviles de información, alerta y rastreo para combatir la COVID-19 desde el punto de vista médico y técnico;

2) medidas para prevenir la proliferación de aplicaciones que no sean compatibles con el Derecho de la Unión, desarrollar los requisitos de accesibilidad para las personas con discapacidad y propiciar la interoperabilidad y la promoción de soluciones comunes, sin excluir una eventual aplicación paneuropea;

3) mecanismos de gobernanza aplicables por las autoridades públicas sanitarias y cooperación con el ECDC;

4) la identificación de buenas prácticas y mecanismos para el intercambio de información sobre el funcionamiento de las aplicaciones, así como

5) intercambio de datos con los organismos públicos epidemiológicos y las instituciones públicas de investigación en el ámbito de la salud pertinentes, incluidos los datos agregados al ECDC.

14)

Las autoridades de los Estados miembros, representadas en la red de sanidad electrónica, deben fijar un proceso de intercambio de información y velar por la interoperabilidad de las aplicaciones cuando se prevean situaciones transfronterizas.

ASPECTOS RELATIVOS A LA INTIMIDAD Y LA PROTECCIÓN DE DATOS DERIVADOS DEL USO DE LAS APLICACIONES MÓVILES

15)

Los principios de protección de la intimidad y de los datos han de guiar la elaboración del conjunto de instrumentos.

16)

En lo que atañe específicamente al uso de aplicaciones móviles de alerta y prevención sobre la COVID-19, deben respetarse los principios siguientes:

1) salvaguardias que garanticen el respeto de los derechos fundamentales y eviten la estigmatización, en particular las normas aplicables en materia de protección de los datos personales y la confidencialidad de las comunicaciones;

2) preferencia por el uso de las medidas menos intrusivas pero eficaces, como el uso de datos de proximidad y evitar el tratamiento de datos relativos a la localización o los movimientos de personas, así como el uso de datos anonimizados y agregados cuando sea posible;

3) requisitos técnicos relativos a las tecnologías adecuadas (por ejemplo, Bluetooth de baja energía) para establecer la proximidad del dispositivo, el cifrado, la seguridad de los datos, el almacenamiento de datos en el dispositivo móvil, el posible acceso de las autoridades sanitarias y el almacenamiento de datos;

4) requisitos de ciberseguridad efectivos para proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos;

5) la expiración de las medidas adoptadas y la supresión de los datos personales obtenidos a través de estas medidas a más tardar cuando se declare que la pandemia se encuentra bajo control;

6) la carga de datos de proximidad en caso de contagio confirmado y métodos adecuados de alerta a las personas que hayan estado en estrecho contacto con la persona contagiada, que seguirá manteniendo el anonimato, así como

7) requisitos de transparencia sobre la configuración de privacidad para garantizar la confianza en las aplicaciones.

17)

La Comisión publicará orientaciones en las que se especifiquen con más detalle los principios de protección de la intimidad y de los datos en función de las consideraciones prácticas derivadas del desarrollo y la aplicación del conjunto de instrumentos.

UTILIZACIÓN DE DATOS DE MOVILIDAD COMO BASE PARA LAS MEDIDAS Y LA ESTRATEGIA DE SALIDA

18)

La segunda prioridad del conjunto de herramientas ha de ser un enfoque común respecto del uso de los datos agregados y anonimizados de movilidad necesarios para:

1) modelizar, a fin de cartografiar y predecir la propagación de la enfermedad y su incidencia en las necesidades de los sistemas sanitarios de los Estados miembros, como, por ejemplo, las unidades de cuidados intensivos en los hospitales y los equipos de protección individual, y

2) optimizar la eficacia de las medidas para contener la propagación de la COVID-19 y hacer frente a sus efectos, en particular el confinamiento (y el desconfinamiento), así como para obtener y utilizar dichos datos.

19)

Al elaborar este enfoque, los Estados miembros [representados en la red de sanidad electrónica, que se coordinará con el Comité de Seguridad Sanitaria, la Red Epidemiológica, el ECDC y, en caso necesario, la Agencia de la Unión Europea para la Ciberseguridad (ENISA)] deben intercambiar las mejores prácticas sobre el uso de los datos de movilidad, compartir y comparar la modelización y las previsiones sobre la propagación del virus, y controlar la repercusión de las medidas destinadas a limitar su propagación.

20)

Este enfoque debe incluir los elementos siguientes:

1) el uso adecuado de datos de movilidad anónimos y agregados con vistas a la modelización, para comprender cómo se va a propagar el virus y modelizar los efectos económicos de la crisis;

2) asesoramiento a las autoridades públicas para que verifiquen ante los proveedores de datos la metodología que han aplicado para anonimizar los datos y procedan a un examen de verosimilitud de la metodología aplicada;

3) aplicación de salvaguardias para prevenir la desanonimización y evitar la reidentificación de personas, en particular garantías de unos niveles adecuados de seguridad de los datos y seguridad informática, y evaluación de los riesgos de reidentificación en caso de que los datos anonimizados se pongan en correlación con otros datos;

4) supresión inmediata e irreversible de todos los datos tratados accidentalmente que permitirían identificar a las personas, y notificación a los proveedores de datos, así como a las autoridades competentes, de este tratamiento accidental y de la supresión de los datos;

5) supresión de los datos, en principio, tras un período de 90 días o, en cualquier caso, a más tardar cuando la pandemia se declare bajo control, y

6) restricción del tratamiento de los datos exclusivamente a los fines antes mencionados, y exclusión del intercambio de datos con terceros.

INFORMES Y REVISIÓN

21)

El enfoque paneuropeo para las aplicaciones móviles relacionadas con la COVID-19 se publicará el 15 de abril y será complementado con orientaciones de la Comisión sobre la protección de la intimidad y de los datos.

22)

A más tardar el 31 de mayo de 2020, los Estados miembros deberán informar a la Comisión acerca de las medidas adoptadas con arreglo a la presente Recomendación. Estos informes se enviarán de forma periódica mientras persista la crisis de la COVID-19.

23)

A partir del 8 de abril de 2020, los Estados miembros deberán poner a disposición de los demás Estados miembros y de la Comisión, para una revisión interpares, las medidas aplicadas en los ámbitos cubiertos por la presente Recomendación. Los Estados miembros y la Comisión dispondrán de una semana de plazo para presentar observaciones sobre dichas medidas. El Estado miembro de que se trate deberá tener muy en cuenta dichas observaciones.

24)

A partir de junio de 2020, la Comisión, basándose en estos informes de los Estados miembros, valorará los progresos realizados y el efecto de la presente Recomendación. La Comisión podrá formular nuevas recomendaciones a los Estados miembros, en particular sobre el calendario de las medidas aplicadas en los ámbitos cubiertos por la presente Recomendación.

Hecho en Bruselas, el 8 de abril de 2020.

Por la Comisión

Thierry BRETON

Miembro de la Comisión

(1)  Decisión n.o 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud y por la que se deroga la Decisión n.o 2119/98/CE (DO L 293 de 5.11.2013, p. 1).

(2)  Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).

(3)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(4)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(5)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(6)  Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, «Una estrategia europea de datos», COM(2020) 66 final.

(7)  Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.o 178/2002 y el Reglamento (CE) n.o 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1).

(8)  Directiva 93/42/CEE del Consejo, de 14 de junio de 1993, relativa a los productos sanitarios (DO L 169 de 12.7.1993, p. 1).

(9)  Decisión de Ejecución (UE) 2019/1765 de la Comisión, de 22 de octubre de 2019, por la que se establecen las normas del establecimiento, la gestión y el funcionamiento de la red de autoridades nacionales responsables en materia de sanidad electrónica y se deroga la Decisión de Ejecución 2011/890/UE [notificada con el número C(2019) 7460] (DO L 270 de 24.10.2019, p. 83).

ANÁLISIS

  • Rango: Recomendación
  • Fecha de disposición: 08/04/2020
  • Fecha de publicación: 14/04/2020
Referencias anteriores
Materias
  • Derechos de los ciudadanos
  • Enfermedades
  • Epidemias
  • Ficheros con datos personales
  • Investigación científica
  • Libre circulación de personas
  • Sanidad
  • Telefonía móvil
  • Unión Europea

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid