(Washington, DC) – Ecuador debería sancionar una Ley de Protección de Datos Personales para que el uso de estos datos con el fin de limitar la propagación de la Covid-19 no viole el derecho a la privacidad, señaló hoy Human Rights Watch.
El gobierno ecuatoriano recaba y procesa datos personales de usuarios de diversas plataformas para supervisar el cumplimiento de la cuarentena y medidas de aislamiento, identificar a personas que pueden tener Covid-19 o pueden haber estado en contacto con alguien infectado y detectar sitios donde haya aglomeraciones de individuos. No obstante, Ecuador no cuenta con legislación que proteja los datos personales que recopila el gobierno. Un proyecto de ley presentado por el Presidente Lenín Moreno a la Asamblea Nacional en septiembre de 2019 está pendiente ante una comisión legislativa.
“Llevar a cabo medidas de vigilancia para evitar la propagación de la Covid-19 sin una ley que proteja datos personales ni un organismo independiente que supervise su cumplimiento pone en riesgo el derecho a la privacidad de los ecuatorianos”, explicó José Miguel Vivanco, director para las Américas de Human Rights Watch. “La Asamblea Nacional debería tratar con carácter prioritario el proyecto de ley propuesto por el Presidente Moreno y adoptar legislación que establezca pautas claras sobre el consentimiento requerido para recabar datos personales, así como los límites al tratamiento, el uso y la conservación de estos datos, incluso en períodos de emergencia”.
Al 30 de junio de 2020, en Ecuador había 56.342 casos confirmados del nuevo coronavirus y 4.527 muertes por esa enfermedad. Se estima que la cantidad real de muertes sería mucho mayor a la cifra oficial.
El 16 de marzo, en respuesta al brote de Covid-19, el Presidente Moreno dictó un decreto ejecutivo en el que declaró el estado de emergencia y habilitó al gobierno a usar “plataformas satelitales y de telefonía móvil para monitorear la ubicación de personas en estado de cuarentena sanitaria y/o aislamiento obligatorio”. En la práctica, esto permite al gobierno monitorear a quienes tuvieron resultados positivos en las pruebas de diagnóstico de coronavirus, aquellas que hayan estado en contacto directo con alguien que tuvo un resultado positivo, las personas con síntomas y quienes estén cumpliendo con el período de aislamiento obligatorio de 14 días luego de haber ingresado al país desde el exterior.
Durante una conferencia de prensa virtual el 17 de marzo, la ministra de Gobierno, María Paula Romo, señaló que el decreto autorizaba el seguimiento satelital de quienes se sospecha han contraído Covid-19, para asegurar que estuvieran cumpliendo con el aislamiento requerido. Manifestó que la tecnología de localización con la que cuenta el gobierno puede indicar dónde se encuentra una persona a través del GPS en su teléfono celular.
El 19 de marzo, la Corte Constitucional del Ecuador estableció la constitucionalidad del decreto y las medidas de vigilancia que disponía. Sin embargo, precisó que estas tecnologías sólo debían usarse para abordar la emergencia sanitaria y rastrear el virus y no debían emplearse de un modo que menoscabe los derechos a la privacidad o a no ser discriminado. La corte manifestó, además, que las tecnologías solamente podrían aplicarse a quienes las autoridades hayan dispuesto específicamente que deben mantenerse en aislamiento, o sujetos a otras medidas similares, y exigió al gobierno informarles sobre el uso y el alcance de esas tecnologías. La corte enfatizó que el gobierno debía proteger los datos personales de los pacientes u otros cuya salud fuera objeto de monitoreo en relación con la pandemia.
El 25 de marzo, el presidente Moreno anunció que el gobierno nacional y el Ministerio de Salud habían desarrollado una aplicación, llamada Aplicación Salud EC, que permitía a los usuarios informar síntomas de Covid-19 de manera voluntaria. La aplicación conecta al paciente con un trabajador sanitario del número telefónico de urgencias 171 creado para la crisis de Covid-19 o con otros servicios brindados a través del sistema público de salud, según la gravedad de los síntomas informados.
Para usar la aplicación, los usuarios deben indicar su nombre, año de nacimiento, documento de identidad nacional, número de teléfono, correo electrónico y dirección geolocalizada. La amplitud de datos requeridos parece contradecir el principio de minimización de datos, que indica que sólo deben tratarse los datos que sean necesarios para el objeto declarado de la aplicación y tengan relación directa con este, y que no deben conservarse ni usarse para otros fines, apuntó Human Rights Watch.
Si el objeto de la aplicación es permitir que las personas informen voluntariamente síntomas del virus y se pongan en contacto con servicios sanitarios, no resulta claro por qué se solicitarían diversos datos personales, incluyendo la dirección geolocalizada del usuario. Los términos de uso de la aplicación deberían precisar el fin para el cual se recopilan y se usan los datos y ajustar la configuración automática para proteger la privacidad, en vez de obtener datos adicionales a los estrictamente necesarios para el funcionamiento de la aplicación.
Los términos de uso de la aplicación indican que la información se usará únicamente del modo estipulado en las disposiciones de su política de privacidad, y que los datos no podrán venderse, compartirse ni distribuirse sin el consentimiento del usuario. Sin embargo, los términos de uso no hacen referencia expresa a la protección de datos como la información médica y de salud, que tienen carácter sensible.
También indican que el Ministerio de Salud puede cambiar la política de privacidad en cualquier momento, lo cual permitiría a las autoridades usar los datos sin el consentimiento del usuario. Los términos de uso prevén que las autoridades pueden determinar la ubicación de un usuario incluso si no está utilizando la aplicación. Human Rights Watch no ha analizado la aplicación desde una perspectiva técnica, sino que fundamenta sus observaciones en la evaluación de los términos de uso.
El 12 de abril, el Presidente Moreno anunció que su gobierno estaba presentando la “Plataforma Covid-19”, una base de datos creada por entidades públicas y privadas con la supervisión del Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL). La plataforma analiza datos para controlar el cumplimiento de la cuarentena, identificar a quienes pueden tener Covid-19 o han estado en contacto con alguien infectado, detectar zonas en las que haya aglomeraciones de personas e instruir a las autoridades de salud que realicen pruebas masivas de diagnóstico de Covid-19 en esas zonas.
La información reunida a través de esta plataforma se transmite a las autoridades nacionales y locales, que podrían a su vez compartirla con policías o agentes municipales que deben asegurar que la población cumpla con las restricciones sobre reuniones y el toque de queda.
El ministro de Telecomunicaciones e Información, Andrés Michelena, manifestó que los datos que analiza la plataforma se extraen de varias fuentes, incluidas las llamadas al número telefónico de urgencias 171; información obtenida de la aplicación Salud EC; información sobre números telefónicos de usuarios proporcionada por proveedores de servicios de telefonía celular (Big Data); rastreo satelital y geolocalización de teléfonos inteligentes realizados por el Ministerio de Telecomunicaciones e Información; y la videovigilancia que llevan a cabo las autoridades encargadas del seguimiento de emergencias a través de un sistema nacional de cámaras.
El ministro afirmó que no se revelaría información como direcciones, nombres o números de teléfonos, y que el gobierno usaría un algoritmo para detectar el movimiento de teléfonos celulares entre antenas de telefonía móvil.
Como el volumen de datos personales sensibles que se recaban, agrupan, procesan y comparten sin protección legal es muy significativo, existe un alto riesgo de que esta iniciativa contribuya al uso indebido de estos datos, así como a irregularidades en el control y tratamiento de información sensible, expresó Human Rights Watch. Recabar y agrupar datos personales puede facilitar la localización de una persona en tiempo real y esto podría violar sus derechos a la privacidad, o propiciar el uso de información para fines comerciales o ilegales, como la extorsión.
Dado que el uso de las tecnologías de vigilancia y monitoreo, por su propia naturaleza, supone una intromisión en la privacidad, el derecho internacional de los derechos humanos exige que el gobierno ecuatoriano aplique rigurosamente los criterios de necesidad, proporcionalidad, fin legítimo y duración limitada para prevenir violaciones de los derechos a la privacidad y a la no discriminación, así como el respeto de la integridad física y psíquica.
La Comisión Interamericana de Derechos Humanos ha recordado a los Estados que, durante la emergencia de la Covid-19, “[s]olo deben almacenar los datos personales recabados durante la emergencia con el fin limitado de combatir la pandemia, sin compartirlos con fines comerciales o de otra naturaleza. Las personas afectadas y pacientes conservarán el derecho a cancelación de sus datos sensibles”.
Para proteger estos derechos, las autoridades deben establecer limitaciones claras con respecto a quiénes pueden transmitirse los datos y para qué fines, y asegurarse de que los datos se anonimicen, se aseguren y se eliminen una vez que se haya cumplido la finalidad original para la cual se usaron, expresó Human Rights Watch. Los esfuerzos de recabación de datos deben prever vías para la participación gratuita, activa y genuina de las partes interesadas, en particular los especialistas del sector de la salud pública y las poblaciones más marginadas.