| Resolución | PS-00222-2021 |
| Firmado | 2022-06-09T00:00:00Z |
| Enlace | 📋 |
La resolución aborda diversas reclamaciones sobre el funcionamiento de la aplicación móvil *Radar COVID*, desarrollada por el Gobierno de España para el rastreo de contactos durante la pandemia. Estas denuncias fueron interpuestas por particulares, académicos y una organización de derechos digitales, quienes señalaron posibles vulneraciones de la normativa de protección de datos personales.
Entre las principales reclamaciones se incluían:
1. La falta de transparencia en el tratamiento de datos personales, especialmente por no publicar de forma completa y oportuna el código fuente de la aplicación.
2. La ausencia de publicación inicial de la Evaluación de Impacto en Protección de Datos (EIPD), documento clave para garantizar la legalidad y seguridad del tratamiento.
3. Cambios en los responsables del tratamiento sin la debida claridad ni comunicación.
4. Una brecha de seguridad que permitía potencialmente vincular la dirección IP del usuario con el hecho de haber dado positivo en COVID-19, lo que implicaba la exposición de datos de salud, especialmente sensibles.
5. El envío de datos al nodo de interoperabilidad europeo sin un marco claramente definido.
Asimismo, se cuestionaron aspectos relacionados con la política de privacidad, como la ambigüedad en las finalidades del tratamiento, la falta de detalle sobre plazos de conservación de datos y la escasa información sobre la participación de autoridades sanitarias autonómicas.
La investigación concluyó que la aplicación *Radar COVID* fue diseñada con un enfoque de minimización de datos y descentralización, sin registro de usuarios ni solicitud de datos identificativos. Se basaba en el protocolo DP-3T y la API de Apple y Google, y los datos se almacenaban localmente en el dispositivo. Solo en caso de un positivo voluntariamente comunicado se subían claves anónimas al servidor.
Sin embargo, se identificaron deficiencias en la primera versión de la política de privacidad, en la que no se informaba adecuadamente sobre los responsables del tratamiento ni sobre algunos aspectos esenciales del mismo. También se confirmó que la Evaluación de Impacto fue publicada tardíamente y con contenido limitado. Además, se valoró negativamente la falta de publicación inicial del código fuente y la ausencia de transparencia en el historial de desarrollo.
Finalmente, como resultado de estas deficiencias, se impuso una **sanción de apercibimiento**. Esta medida se aplicó por considerar que se vulneraron los principios de transparencia y responsabilidad proactiva en la primera versión de la aplicación. No se impuso multa económica, pero se requirió ajustar las operaciones de tratamiento a lo dispuesto en el Reglamento General de Protección de Datos (RGPD), mejorando la información facilitada al usuario, la claridad de las responsabilidades y la publicación de documentación relevante.