Aplicaciones de rastreo: Lucha contra la Covid-19 y derecho europeo

Aplicaciones de rastreo: Lucha contra la Covid-19 y derecho europeo

Podemos enfrentarnos ahora a un nuevo escenario de descoordinación y de riesgos para la seguridad jurídica de la ciudadanía...

.JFLA

Para quienes, a estas alturas, no estén todavía saturados con los mil foros de debate acerca de la pandemia, un nuevo objeto de preocupación está emergiendo con fuerza. La posible implantación de una nueva aplicación (en adelante, app) en los teléfonos móviles que porta casi todo el mundo irrumpe en la discusión. Su finalidad y justificación residirá en ayudar a las autoridades sanitarias a detectar (ergo, aspirar a controlar) las pautas temporales y espaciales de expansión de la Covid-19 señalando los cruces de contacto con personas contagiadas.

Si con esto estuviese dicho todo acerca de estas apps, su generalización en un futuro inmediato sería caso cerrado. Sucede, sin embargo, que el Parlamento Europeo (PE) dedica dos amplios parágrafos a esta precisa cuestión (n. 52 y 53) en su importante Resolución por una respuesta europea contra la Covid-19 aprobada en su Pleno de abril por una amplia mayoría.

El PE fija la vista y la atención sobre este asunto por buenas razones y motivos. Su fundamentación descansa en el recordatorio de que es la UE en su conjunto la escala del desafío de esta primera gran pandemia del s. XXI, imponiendo un serio reto a la globalización que creíamos imparable; es la UE en su conjunto la escala de la respuesta que proteja  la ciudadanía europea (que es la de sus Estados miembros, EEMM); y es la UE en su conjunto la escala del parámetro mismo desde el que examinar, y, en su caso, avalar las herramientas disponibles tanto en el frente sanitario -Salud Pública, investigación médica y científica-, como en el frente económico y social que ofrezca abrigo a sus estragos y propicie la estrategia de la recuperación (Recovery Plan).

De la Resolución y sus amplios contenidos, así como de los pilares financieros, fiscales y presupuestarios del Recovery Plan, nos hemos ocupado ya en anteriores entregas de esta tribuna de opinión. En esta fijamos la vista en el canon europeo desde el que habrá que enfocar la instalación de estas apps. Y lo primero que hay que subrayar es que las ya denominadas “aplicaciones de rastreo” (tracing apps) no deben ser consideradas como panacea tecnológica para controlar el virus. De hecho, hay que asumir que no tienen ni tendrán ningún impacto estrictamente sanitario, puesto que su objeto es datar la “trazabilidad” (digitalizada, por la localización y movimientos del teléfono móvil) de la exposición del contagio a las líneas de contacto interpersonales. De modo que la implantación de este nuevo algoritmo en nuestras terminales sólo puede comprenderse (y, en su caso, aceptarse) como una herramienta más de entre las destinadas a robustecer la respuesta sanitaria y preventiva contra la difusión de la Covid-19.

Podemos enfrentarnos ahora a un nuevo escenario de descoordinación y de riesgos para la seguridad jurídica de la ciudadanía...

De ahí que la Comisión Europea haya elaborado al respecto dos Comunicaciones (marzo y abril de 2020) en las que se refiere a estas apps dentro del amplio instrumentario o “caja de herramientas” (tool box) que será preciso combinar en la lucha contra el coronavirus: test sistemáticos y, preferentemente, masivos y regulares; generalización de medidas de prevención e higiene (multiplicación de puntos de distribución y uso de mascarillas profilácticas y de gel hidroalcohólico), así como otras medidas de trazabilidad alternativas o complementarias a los algoritmos implantados en nuestras telecomunicaciones.

La particular perspectiva de la Comisión de Libertades, Justicia e Interior del PE (Com LIBE), que tengo el honor de presidir, contribuyó a la redacción de la Resolución aprobada por el PE al subrayar el potencial impacto sobre los derechos fundamentales de la ciudadanía europea que puedan tener las medidas adoptadas por los EEMM en la lucha contra la Covid-19.

La Carta Europea de Derechos Fundamentales de la UE (CDFUE), que entró en vigor con el Tratado de Lisboa (TL) con “el mismo valor jurídico que los Tratados” (art. 6.2 TUE) consagra taxativamente (arts. 51 a 54 CDFUE) tres relevantes principios complementarios (y sumatorios) para legitimar medidas que irroguen impacto, limitación o restricción sobre los derechos de la Carta: principio de legalidad (exigencia de apoyo y cobertura en normas de rango  de  Ley); principio de necesidad (que se demuestre imprescindible para la protección de un bien jurídicamente protegido); el principio de proporcionalidad (que el fin legítimo que se persigue proteger no pueda ser alcanzado con medidas menos intrusivas o de menor impacto sobre los derechos y libertades de la ciudadanía).

Además de la exigible observancia de estos principios, la jurisprudencia del TJUE ha consolidado, en el curso de los 10 años de vigencia del TL y la CDFUE, una doctrina vinculante para las instituciones de la UE y para sus EEMM en toda medida que impacte, limita o restrinja derechos de ciudadanía. En la que confirma, por cierto, el valor de la propia CDFUE como decisivo parámetro de validez del Derecho derivado de la UE y de la legislación de los EEMM Entre los elementos componentes de esta doctrina legal, sobresalen los criterios de “limitación de propósito” (purpose limitation) y “límite temporal” (within a limited time frame).

Con ello el TJUE viene a recordarnos -instituciones Europeas, EEMM- que la incorporación de las llamadas tracing apps -a todo lo ancho de la UE, como en cualquiera de sus rincones- habrá de superar, ante todo, los test de necesidad y de proporcionalidad, examen que debe practicarse con anterioridad a la decisión política que autorice su régimen de implantación y sus opciones (lo que incluye una afinada prognosis respecto de su impacto sobre según y qué derechos,  así como qué previsiones pueden ayudar a mitigarlo). Pero deberá también acreditar la contracción de ese impacto al específico propósito que lo justifica (la lucha contra la pandemia), previniendo cualquier otra desviación de su finalidad; sea ante el eventual uso de esos datos por parte de autoridades distintas a las sanitarias (Policía, Fuerzas de Segurida, Law Enforcement Agencies), sea ante su transferencia para usos empresariales, comerciales o de almacenamiento de datos personales por parte de empresas o particulares. Así como que esas apps quedarán desactivadas (limited time frame) cuando las pautas de contagios y expansión de la Covid-19 se estimen bajo control por las autoridades sanitarias de los EEMM.

Así como que esas apps quedarán desactivadas (limited time frame) cuando las pautas de contagios y expansión de la Covid-19 se estimen bajo control por las autoridades sanitarias de los EEMM.

La conclusión es clara: para asegurar este respeto al parámetro europeo deberá haber, ante todo, un enfoque europeo (European Approach), tanto en la coordinación de la “desescalada” y de los “desconfinamientos” que ya están teniendo lugar en la generalidad de los EEMM, cuanto en la concreción de la “caja de herramientas” (tool box) que la Comisión confía a la discreción de los EEMM a la hora de apostar por la implantación (o no) de las llamadas tracing apps. Lo que equivale a aceptar que pueda haber -y que habrá- distintas y heterogéneas técnicas de trazabilidad que puedan ser instaladas en los teléfonos móviles según en qué EEMM residan l@s ciudadan@s.

En otras palabras: tal como sucedió (y lo deploramos, y criticamos) al inicio de la pandemia, cuando se acumularon abruptamente decisiones unilaterales de suspensión de la libre circulación de personas y de restablecimiento de las fronteras interiores en el espacio Schengen, podemos enfrentarnos ahora a un nuevo escenario de descoordinación y de riesgos para la seguridad jurídica de la ciudadanía... a menos que la Comisión se enfunde su sombrero obligado de “guardiana de los Tratados” y haga respetar el Derecho europeo a todo lo largo del proceso decisorio al que nos estamos asomando.

La Resolución adoptada por el Pleno del PE, con terminantes mandatos a la Comisión Europea y exigentes demandas al Consejo, apostó por someter las estrategias y medidas de implantación de tracing apps al escrutinio de la Autoridad Europea de Protección de Datos (European Data Protection Supervisor) y al de las respectivas Agencias Nacionales con competencias de supervisión y sanción. Haciendo valer en todo caso los principios vinculantes de la Legislación europea en la materia, en la que la Com LIBE del PE se empleó a fondo en la Legislatura 2009/2014 (primera de plena vigencia del TL y la CDFUE, cuyo art. 8 consagra la privacidad como derecho fundamental): el Reglamento General de Protección de Datos (GDPR aprobado por el PE en 2016, en vigor desde 2018, lo que motivó en España la aprobación de la LO3/18, de PD) y la Directiva de PD para las Law Enforcement Agencies (parte del mismo “Paquete”: Data Protection Package).

El GDPR europeo preceptúa obligaciones ineludibles para todas las entidades públicas y privadas (empresas, desde las Pymes a los “gigantes de Internet”: GAFA). Prevé sanciones disuasorias y/o coercitivas contra eventuales infracciones. Regula “gestores” y “responsables” en todas las unidades de tratamiento de dato. Establece nuevos remedios frente a los abusos (como el “derecho al olvido”). Y, además de todo esto, el GDPR -legislación europea vinculante en la materia, tanto para la UE como para sus EEMM, directamente invocable por la ciudadanía ante los tribunales de Justicia- refuerza como nunca antes el principio del consentimiento del titular de los datos. Lo equivale a consagrar el determinante principio de la voluntariedad (libre consentimiento expreso, en ningún caso presunto ni mucho menos impuesto) de toda decisión de incorporar cualquier modalidad de tracing app en el teléfono móvil.