¿Recuerdas Radar COVID? El caso de la app española basada en el protocolo más respetuoso con la privacidad terminó en un expediente de la Agencia de Protección de Datos por violar 8 artículos del RGPD. Una vulnerabilidad de la app permitía desanonimizar los datos e identificar a los contagiados. Afectaba a datos como localización, contactos, registros de llamadas, SMS y chats, historial de navegación, credenciales de autenticación, fotos y vídeos y datos biométricos. Esa vulnerabilidad fue reconocida por la misma SEDIA, en las alegaciones, que se incorporan a las 112 páginas del expediente. Afectó a 3.059 códigos a nivel nacional, durante el período que fue desde el 19 de agosto hasta el 8 de octubre de 2020.
El proyecto de Radar COVID había nacido con buenos presagios. Adoptó el protocolo DPT3, el más garante de los derechos de los usuarios. Pero el desarrollo e implementación de la app española careció de la transparencia necesaria. No hubo evaluación de impacto, un análisis obligatorio según la normativa europea cuando se realiza el tratamiento a gran escala de datos sensibles, como son los datos de salud. Sin ella resulta imposible cumplir con principios como la privacidad por diseño, como explica Sergio Carrasco, abogado representante de Rights International Spain.
Radar COVID detectó apenas el 1% de los positivos, y costó 4,2 millones de euros. De esa cantidad, la partida más cuantiosa, 2,1 millones, fueron destinados a una publicidad que evidentemente no funcionó.
No habrá multa, ya que las administraciones públicas están eximidas de sanciones económicas. Si el responsable de Radar COVID hubiese sido una empresa podría haber tenido que pagar entre 40.000 y 300.000 en multas sólo por la falta de la evaluación de impacto. El análisis de lo que sucedió y más detalles de la resolución en este reportaje para Newtral.
[Archivo]