R3D: Preocupaciones en torno al “sistema para identificación de contagios en espacios cerrados” en la CDMX

Por la Red en Defensa de los Derechos Digitales

El viernes 13 de noviembre, la Jefa de Gobierno de la Ciudad de México anunció que a partir del miércoles 18 de noviembre se implementará un “sistema para la identificación de contagios en espacios cerrados”¹. Este sistema obliga el escaneo de un código QR o el uso de un código obtenido vía SMS para otorgar acceso a estos espacios, con la finalidad de construir una base de datos que permita identificar casos positivos de COVID-19 y notificar a las personas que coincidieron en un mismo lugar.

La prevención de contagios de COVID-19 es crucial para la protección de la salud y de la economía, sin embargo, también es fundamental que las estrategias para este fin tengan consideración de sus impactos en derechos humanos como el derecho a la privacidad y a la no discriminación.

En este sentido, manifestamos nuestra preocupación en torno a las afectaciones que este mecanismo puede generar en los derechos humanos, en particular de poblaciones vulnerables, e instamos al gobierno a proveer mayor información respecto de la operación de dicho sistema.

En particular, se destacan las siguientes preocupaciones:

  1. El sistema no toma en cuenta las recomendaciones de la Organización Mundial de la Salud sobre el uso de herramientas tecnológicas para el rastreo de contactos de COVID-19² que resultan aplicables; las cuales sugieren, entre otras, que las soluciones tecnológicas sean descentralizadas, voluntarias, no impidan el acceso a bienes y servicios, sean transparentes, conserven datos solo por tiempo limitado, así como otras consideraciones de privacidad que no han sido garantizadas. La ausencia de consideración de dichos principios, además de producir impactos adversos en el ejercicio de derechos humanos, pueden afectar la eficacia del sistema y producir una falsa sensación de seguridad, contraproducente para el combate al COVID-19.
  2. El sistema tiene un potencial discriminatorio debido a que grupos vulnerables podrían verse impedidos de acceder a espacios cerrados, tales como supermercados, oficinas de gobierno y otros establecimientos que ofrecen el acceso a bienes y servicios básicos. Según la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH)³, alrededor de 23.9% de la población en México no cuenta con un teléfono móvil, en especial personas de bajos recursos (44%) y personas adultas mayores (37.2%). De esta manera, la obligatoriedad del sistema puede agravar la posición de por sí ya vulnerable de diversos grupos de población.
  3. La información publicada en la Gaceta Oficial en torno a este sistema no ofrece suficientes garantías de protección de datos personales. En particular, resultan preocupantes algunas manifestaciones públicas de funcionarios de la Agencia Digital de Innovación Pública (ADIP) en las que se pretende desestimar que los datos obtenidos por el sistema constituyan datos personales. De acuerdo a la Ley de Protección de Datos en Posesión de Sujetos Obligados, los datos personales son “cualquier información concerniente a una persona física identificada o identificable“; es decir, cuando la identidad de una persona puede determinarse directa o indirectamente de cualquier información, la misma constituye datos personales e implica la necesidad de cumplir con los principios para su protección. En este sentido, la base de datos generada por el sistema permite vincular un número de teléfono con ubicaciones, así como horas y fechas específicas de visita. El hecho de que la base de datos no incluya el nombre de la persona no implica que la base de datos no haga un tratamiento de datos personales. Como ha sido ampliamente reconocido por autoridades de protección de datos⁴ y por diversos tribunales⁵, datos como el número de teléfono constituyen datos personales en virtud de que tanto otras bases de datos en posesión del Gobierno de la Ciudad de México, así como bases de datos en posesión de las empresas de telecomunicaciones y otros particulares, permiten vincular a una persona con un número telefónico. Por ende, los datos de la base generada por el sistema ─la cual incluye datos de ubicación que pueden revelar otros aspectos de la vida privada de las personas─ indudablemente constituyen datos personales que deben ser tratados de conformidad con las normas y principios que rigen su protección. En este sentido resulta preocupante que a la fecha no ha sido informado el aviso de privacidad del sistema. Así mismo, no ha sido revelado si los datos obtenidos serán conservados por un periodo de tiempo mayor al necesario para identificar posibles contagios de COVID-19 ni se ha descartado que los datos serán usados para finalidades distintas o por autoridades ajenas al sistema. Tampoco han sido informadas qué medidas de disociación y qué medidas de seguridad serán implementadas para proteger la información recabada por el sistema.

https://assets.eleconomista.com.mx/__export/1605299169127/sites/eleconomista/img/2020/11/13/emuijz2uuaa-ebe.jpeg_328101988.jpeg

En virtud de las anteriores consideraciones, se insta al Gobierno de la CDMX ha revisar y modificar el sistema para la identificación de contagios en espacios cerrados de manera tal que:

  1. Evalúe sistemas de rastreo de contactos que observen las recomendaciones de la Organización Mundial de la Salud, y en particular, reconsidere la implementación de un sistema centralizado de identificación de contactos y explore la implementación de sistemas descentralizados que puedan ofrecer mayor protección al derecho a la privacidad.
  2. La utilización del sistema por parte de la ciudadanía sea voluntaria, de manera que no se impida el acceso a lugares cerrados a ninguna persona por el solo hecho de no contar con un teléfono móvil.
  3. Advierta a las personas usuarias del sistema, mediante el aviso de privacidad que exige la Ley, de las condiciones del tratamiento de datos personales.
  4. El aviso de privacidad limite de manera estricta el tiempo de conservación de los datos obtenidos a un periodo aproximado de 14 días, en tanto que una vez transcurrido ese periodo de tiempo, los datos dejan de ser útiles para la finalidad de identificar posibles contagios.
  5. El aviso de privacidad prohíba la transferencia y uso de los datos obtenidos por el sistema para finalidades distintas o por autoridades ajenas al sistema.
  6. Informe y adopte sobre las medidas de seguridad y/o de disociación implementadas para proteger la información recabada por el sistema.

¹ Gaceta Oficial de la Ciudad de México. 13 de noviembre de 2020. Disponible en: https://data.consejeria.cdmx.gob.mx/portal_old/uploads/gacetas/2fb946e2848d72358ad2e36dbdda3327.pdf

_____

_____

² WHO. Ethical Considerations to guide the use of digital proximity tracking technologies for COVID-19 contact tracing. Disponible en: https://apps.who.int/iris/bitstream/handle/10665/332200/WHO-2019-nCoV-Ethics_Contact_tracing_apps-2020.1-eng.pdf

³ Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH), 2018. Disponible en: https://www.inegi.org.mx/programas/dutih/2018/

⁴ Ver por ejemplo la página web del Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México (INFODF): http://www.infodf.org.mx/index.php/protege-tus-datos-personales/%C2%BFqu%C3%A9-son-los-datos-personales.html

⁵ Ver por ejemplo el Caso Breyer del Tribunal de Justicia de la Unión Europea en el que se consideró a las direcciones IP como datos personales por considerarse datos concernientes a una persona identificable. Sentencia disponible en: http://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=ES


 

Previo

Las princesas de Disney ocupan un 'amiga, date cuenta' y Kristen Bell lo sabe

Siguiente

En Fresnillo, Zacatecas, asesinan a niña de 12 años, exigen #JusticiaParaSofía