Plan común de la Unión Europea para el uso de datos anonimizados para combatir y superar la crisis de la COVID-19


Recomendación (UE) 2020/518 de la Comisión de 8 de abril de 2020 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados.

DOUE 114/2020 de 14 de Abril de 2020

Esta Recomendación establece un conjunto de instrumentos destinado a usar los medios digitales para hacer frente a la crisis e incluye:

- un enfoque paneuropeo para el uso de aplicaciones móviles, coordinado a nivel de la Unión, con el fin de capacitar a los ciudadanos para adoptar medidas de distanciamiento social eficaces y más específicas, así como con el fin de alertar, prevenir y hacer un seguimiento de contactos con miras a limitar la propagación de la enfermedad COVID-19; y

- un plan común para el uso de datos anonimizados y agregados sobre la movilidad de la población con el fin de modelizar y predecir la evolución de la enfermedad, controlar la eficacia de la toma de decisiones de las autoridades de los Estados miembros en lo referente a medidas como el distanciamiento social y el confinamiento, y obtener información de cara a una estrategia coordinada para la salida de la crisis de la COVID-19.

El enfoque paneuropeo para las aplicaciones móviles se publica el 15 de abril y debe ser complementado con orientaciones de la Comisión sobre la protección de la intimidad y de los datos.

Como tarde, el 31 de mayo de 2020 los Estados miembros deben informar a la Comisión acerca de las medidas adoptadas al respecto. Estos informes se deben enviar de forma periódica mientras persista la crisis de la COVID-19.

A partir del 8 de abril de 2020, los Estados miembros deben poner a disposición de los demás Estados miembros y de la Comisión, para una revisión interpares, las medidas aplicadas en los ámbitos cubiertos por la presente Recomendación. Los Estados miembros y la Comisión disponen de una semana de plazo para presentar observaciones sobre dichas medidas. El Estado miembro de que se trate debe tener muy en cuenta dichas observaciones.

A partir de junio de 2020, la Comisión, basándose en los informes de los Estados miembros, debe valorar los progresos realizados y el efecto de la presente Recomendación. La Comisión puede formular nuevas recomendaciones a los Estados miembros, en particular sobre el calendario de las medidas aplicadas en los ámbitos cubiertos por esta Recomendación.

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 292,

Considerando lo siguiente:

(1) La crisis de salud pública provocada por la actual pandemia de COVID-19 (en lo sucesivo, «crisis de la COVID-19») obliga a la Unión y a los Estados miembros a afrontar un desafío sin precedentes para sus sistemas de asistencia sanitaria, forma de vida, estabilidad económica y valores. Ningún Estado miembro puede tener éxito por sí solo en la lucha contra la crisis de la COVID-19. Una crisis excepcional de tal magnitud requiere la actuación decidida de todos los Estados miembros y de las instituciones y organismos de la UE, trabajando de forma conjunta en un auténtico espíritu de solidaridad.

(2) Las tecnologías y los datos digitales tienen un valioso papel que desempeñar en la lucha contra la crisis de la COVID-19, ya que en Europa muchas personas se conectan a internet a través de dispositivos móviles. Esas tecnologías y datos ofrecen una herramienta importante para informar al público y ayudar a las autoridades públicas pertinentes en sus esfuerzos por contener la propagación del virus o para permitir que las organizaciones sanitarias intercambien datos sobre la salud. Sin embargo, un enfoque fragmentado y descoordinado pone en peligro la eficacia de las medidas destinadas a combatir la crisis de la COVID-19, dañando gravemente tanto al mercado único como a los derechos y libertades fundamentales.

(3) Por consiguiente, es necesario desarrollar un enfoque común para la utilización de tecnologías y datos digitales en respuesta a la crisis actual. Este enfoque debe ser eficaz a la hora de apoyar a las autoridades nacionales competentes, y en particular a las autoridades sanitarias y los responsables políticos, proporcionándoles datos suficientes y precisos para comprender la evolución y la propagación del virus causante de la COVID-19, así como sus efectos. De igual modo, estas tecnologías pueden empoderar a los ciudadanos para que adopten medidas eficaces y más selectivas de distanciamiento social. Al mismo tiempo, el enfoque propuesto tiene por objeto defender la integridad del mercado único y proteger los derechos y libertades fundamentales, en particular el derecho a la intimidad y a la protección de los datos personales.

(4) Las aplicaciones móviles pueden contribuir al seguimiento y la contención de la actual pandemia de COVID-19 por parte de las autoridades sanitarias a nivel nacional y de la UE. Ofrecen la posibilidad de proporcionar orientación a los ciudadanos y facilitar la organización del seguimiento médico de los pacientes. Las aplicaciones de alerta y seguimiento pueden desempeñar un papel importante en el rastreo de los contactos y, así, limitar la propagación de la enfermedad e interrumpir las cadenas de transmisión. Por lo tanto, combinadas con estrategias adecuadas de realización de pruebas y con el seguimiento de los contactos, las aplicaciones pueden ser especialmente importantes a la hora de proporcionar información sobre el nivel de circulación del virus, evaluar la eficacia de las medidas de distanciamiento físico y confinamiento y orientar las estrategias de desescalada.

(5) La Decisión n.° 1082/2013/UE del Parlamento Europeo y del Consejo (1) establece normas específicas en materia de vigilancia epidemiológica, seguimiento, alerta precoz y lucha contra las amenazas transfronterizas graves para la salud. El artículo 2, apartado 5, de la Decisión exige que la Comisión garantice, en colaboración con los Estados miembros, la coordinación y el intercambio de información entre los mecanismos y estructuras que se establezcan de acuerdo con dicha Decisión y los mecanismos y estructuras similares establecidos a nivel de la Unión o en virtud del Tratado Euratom y cuyas actividades sean pertinentes para la planificación de la preparación y respuesta, el seguimiento, la alerta precoz y la lucha contra las amenazas transfronterizas graves para la salud. El foro para la coordinación de esfuerzos en el contexto de las amenazas transfronterizas graves para la salud es el Comité de Seguridad Sanitaria, creado en virtud del artículo 17 de la citada Decisión. Por otra parte, el artículo 6, apartado 1, de la Decisión crea una red de vigilancia epidemiológica de las enfermedades transmisibles, administrada y coordinada por el Centro Europeo para la Prevención y el Control de las Enfermedades.

(6) La Directiva 2011/24/UE del Parlamento Europeo y del Consejo (2), relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, estipula que la red de sanidad electrónica deberá esforzarse para conseguir unos beneficios económicos y sociales sostenibles merced a sistemas y servicios europeos de sanidad electrónica y a aplicaciones interoperables que permitan alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de los cuidados y garantizar el acceso a una asistencia sanitaria segura y de calidad.

(7) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece las condiciones por las que se rige el tratamiento de los datos personales, incluidos los de carácter sanitario. Tales datos pueden tratarse, entre otras circunstancias, cuando el interesado dé su consentimiento explícito o cuando el tratamiento resulte en interés público, según lo especificado en el Derecho de los Estados miembros o en el Derecho de la Unión, en particular con fines de supervisión y de alerta o de prevención y control de enfermedades transmisibles y otras amenazas graves para la salud.

(8) Varios Estados miembros han introducido una legislación específica que les permite tratar datos sanitarios sobre la base del interés público [artículo 6, apartado 1, letras c) o e), y artículo 9, apartado 2, letra i), del Reglamento (UE) 2016/679 ]. En cualquier caso, deben establecerse de forma clara y específica el propósito y los medios del tratamiento de los datos, qué datos deben tratarse y por quién.

(9) La Comisión puede consultar al Supervisor Europeo de Protección de Datos y al Comité Europeo de Protección de Datos, de conformidad con el artículo 42 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4) y el artículo 70 del Reglamento (UE) 2016/679.

(10) La Directiva 2002/58/CE del Parlamento Europeo y del Consejo (5) establece las normas aplicables a los datos de tráfico y de localización, así como al almacenamiento de información y a la obtención de acceso a la información almacenada en el equipo terminal, por ejemplo un dispositivo móvil, del usuario o abonado. Con arreglo al artículo 5, apartado 3, de la Directiva, tal almacenamiento u obtención de acceso solo se permite en circunstancias estrictamente definidas o en virtud del consentimiento otorgado por el usuario o abonado, tras haber recibido información clara y completa, de conformidad con los requisitos del Reglamento (UE) 2016/679. Además, el artículo 15, apartado 1, de la Directiva permite a los Estados miembros adoptar medidas legales para limitar el alcance de determinados derechos y obligaciones establecidos en la Directiva, incluidos los que contempla su artículo 5, cuando tal limitación constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática para alcanzar determinados objetivos.

(11) La Comisión Europea anunció en su Comunicación «Una estrategia europea de datos» (6) que la UE crearía un mercado único en el que los datos puedan circular en la UE y en todos los sectores, en beneficio de todos, en el que se respeten plenamente las normas europeas, en particular en materia de protección de la intimidad y de los datos, así como el Derecho de competencia, y donde las normas de acceso a los datos y uso de estos sean justas, prácticas y claras. En particular, la Comisión declaró que estudiaría la necesidad de adoptar medidas legislativas destinadas a fomentar el intercambio de datos entre empresas y administraciones para el interés público.

(12) Desde el inicio de la crisis de la COVID-19, se han desarrollado diversas aplicaciones móviles, en ocasiones por parte de las autoridades públicas, y se han producido llamamientos de los Estados miembros y del sector privado a favor de la coordinación a nivel de la Unión para abordar, entre otras cuestiones, las relativas a la ciberseguridad, la seguridad y la privacidad. Estas aplicaciones suelen cumplir tres funciones generales: i) informar y asesorar a los ciudadanos, y facilitar la organización del seguimiento médico de las personas con síntomas, a menudo en combinación con un cuestionario de autodiagnóstico; ii) advertir a las personas que han estado cerca de una persona infectada, a fin de interrumpir las cadenas de contagio e impedir que se produzca un resurgimiento de las infecciones durante la fase de relajación de las medidas de confinamiento, y iii) el seguimiento y el control del cumplimiento de la cuarentena de las personas infectadas, eventualmente en combinación con características que permitan determinar su estado de salud durante el período de cuarentena. Algunas aplicaciones están disponibles para el público en general, mientras que otras solo lo están para grupos cerrados de usuarios a fin de rastrear los contactos en el lugar de trabajo. Por lo general, no se ha evaluado la eficacia de estas aplicaciones. Las aplicaciones de información y análisis de síntomas pueden ser útiles para sensibilizar a la ciudadanía. No obstante, el dictamen de los expertos apunta a que las aplicaciones destinadas a informar y advertir a los usuarios parecen ser las más prometedoras a la hora de prevenir la propagación del virus, habida cuenta también de su impacto más limitado en la intimidad, y en la actualidad varios Estados miembros están considerando su utilización.

(13) Algunas de estas aplicaciones móviles podrían considerarse productos sanitarios si están destinadas por el fabricante a ser utilizadas, entre otros fines, para el diagnóstico, la prevención, el seguimiento, la predicción, el pronóstico, el tratamiento o el alivio de una enfermedad, de manera que entrarán en el ámbito de aplicación del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo (7) o en el de la Directiva 93/42/CEE del Consejo
.(8) En el caso de las aplicaciones de autodiagnóstico y análisis de síntomas, se debería determinar su posible calificación como productos sanitarios, de acuerdo con el marco regulador de dichos productos [Directiva 93/42/CEE o Reglamento (UE) 2017/745], en la medida en que proporcionen información relacionada con el diagnóstico, la prevención, el seguimiento, la predicción o el pronóstico.

(14) La eficacia de estas aplicaciones móviles depende de una serie de factores. Entre estos factores se encuentra la penetración entre los usuarios, es decir, el porcentaje de la población que utiliza un dispositivo móvil y, dentro de ese grupo, el porcentaje que ha descargado la aplicación, ha otorgado su consentimiento para el tratamiento de sus datos personales y no ha retirado dicho consentimiento. Otros factores importantes son la confianza de la población en que los datos estarán protegidos por medidas adecuadas de seguridad y se utilizarán exclusivamente para alertar a las personas que puedan haber estado expuestas al virus, el refrendo de las autoridades de salud pública, la capacidad de las autoridades sanitarias para tomar medidas basadas en los datos generados por la aplicación, la integración y el intercambio de datos con otros sistemas y aplicaciones, o la interoperabilidad transfronteriza e interregional con otros sistemas.

(15) Las aplicaciones de alerta y seguimiento son útiles para que los Estados miembros efectúen el rastreo de los contactos y pueden desempeñar un papel importante en la contención en las situaciones posibles de desescalada. Además, pueden ser un valioso instrumento para que los ciudadanos mantengan un distanciamiento social eficaz y más selectivo. Su repercusión puede reforzarse mediante una estrategia que favorezca la ampliación de las pruebas. El seguimiento de los contactos implica que las autoridades de salud pública puedan detectar con rapidez a todos los contactos de un paciente confirmado de la COVID-19, pedirles que practiquen el autoaislamiento y, en caso de desarrollar síntomas, realizarles pruebas y aislarlos de forma rápida. Además, los datos anonimizados y agregados derivados de dichas aplicaciones podrían utilizarse, junto con la información sobre la incidencia de la enfermedad, para determinar la eficacia de las medidas de distanciamiento físico y comunitario. Si bien estas aplicaciones presentan una utilidad evidente para los Estados miembros, también pueden añadir valor a las actividades del ECDC.

(16) Las aplicaciones de autodiagnóstico y análisis de síntomas podrían proporcionar información pertinente sobre el número de casos que presentan síntomas compatibles con la COVID-19, por edades y semanas, en zonas bien delimitadas donde la aplicación tenga una cobertura elevada. Si se obtienen resultados positivos, las autoridades nacionales de salud pública pueden decidir utilizar los datos de la aplicación para la vigilancia sindrómica de atención primaria en relación con la COVID-19. Estos datos podrían facilitarse semanalmente al ECDC, en formato agregado [por ejemplo, número de casos de síndrome seudogripal (ILI) o de infección respiratoria aguda (ARI) por semana, por grupo de edad, de la población total cubierta por los médicos centinela]. Esto permitiría a las autoridades nacionales y al ECDC estimar el valor predictivo positivo de los síntomas respiratorios en una comunidad dada, lo que, a su vez, les proporcionaría información sobre el nivel de circulación del virus basada en los datos de la aplicación.

(17) Dadas las funciones de las aplicaciones para teléfonos inteligentes, descritas anteriormente, su uso es susceptible de afectar al ejercicio de determinados derechos fundamentales como el derecho al respeto de la vida privada y familiar, entre otros. Habida cuenta de que cualquier injerencia en esos derechos debe ser conforme a la ley, las legislaciones de los Estados miembros que establezcan o permitan limitaciones del ejercicio de determinados derechos fundamentales deben estar en consonancia con los principios generales del Derecho de la Unión, tal como se establece en el artículo 6 del Tratado de la Unión Europea, sus tradiciones constitucionales y sus obligaciones con arreglo al Derecho internacional.

(18) Con miras a la aceptación de diferentes tipos de aplicaciones (y los sistemas subyacentes de información sobre cadenas de transmisión de contagios), y a fin de garantizar que estas aplicaciones cumplan el objetivo declarado de vigilancia epidemiológica, es preciso que las políticas, los requisitos y los controles en que se apoyen estén armonizados y sean aplicados de forma coordinada por las autoridades sanitarias nacionales responsables. La experiencia de varios Estados miembros que han empezado a introducir aplicaciones de seguimiento de contactos demuestra que, para lograr una mayor aceptación, se requiere una gobernanza integrada para diseñar y llevar a la práctica las medidas, implicando a distintas autoridades además de las sanitarias (en particular las responsables de la protección de datos), así como al sector privado, a expertos, al ámbito universitario y a partes interesadas como los grupos de pacientes. Asimismo, para que la aplicación se acepte y tenga éxito, es fundamental una amplia comunicación al respecto.

(19) A fin de detectar los encuentros de proximidad entre usuarios de distintas aplicaciones de seguimiento de contactos (una situación que se producirá con mayor probabilidad entre personas que atraviesen fronteras nacionales o regionales), es conveniente prever la interoperabilidad entre aplicaciones. Por otra parte, para hacer frente a las cadenas de transmisión transfronteriza, se requiere que las autoridades nacionales responsables de supervisar las cadenas de transmisión de contagios puedan intercambiar información interoperable sobre los usuarios que hayan dado positivo en otros Estados miembros o regiones.

(20) Determinadas empresas, en particular proveedores de servicios de telecomunicación y grandes plataformas tecnológicas, han puesto a disposición de las autoridades públicas datos de localización anonimizados y agregados. Estos datos son necesarios para la investigación dirigida a combatir el virus, la modelización destinada a comprender la forma en que el virus se propagará y la modelización de los efectos económicos de la crisis. En particular, los datos ayudarán a entender y modelizar las dinámicas espaciales de la epidemia, así como a determinar la repercusión de las medidas de distanciamiento social (limitaciones de viaje, cese de actividades no esenciales, confinamiento total, etc.) en la movilidad. Esto resulta fundamental, en primer lugar, para contener los efectos del virus y determinar las necesidades, especialmente en cuanto a equipos de protección individual y unidades de cuidados intensivos, y, en segundo lugar, para respaldar la estrategia de salida con modelos basados en datos que señalen los posibles efectos de relajar las medidas de distanciamiento social.

(21) La actual crisis ha puesto de relieve que, para las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud, sería útil disponer de un mayor acceso a información esencial para analizar la evolución del virus y valorar la eficacia de las medidas de salud pública.

(22) Determinados Estados miembros han adoptado medidas para simplificar el acceso a los datos. No obstante, la actual fragmentación de enfoques obstruye los esfuerzos comunes de la UE para combatir el virus.

(23) La necesidad de un enfoque común de la Unión para la crisis de la COVID-19 también se ha hecho evidente ante las medidas adoptadas en determinados países, como el seguimiento de personas por geolocalización, el uso de la tecnología para calificar el nivel de riesgo sanitario de una persona o la centralización de datos delicados, medidas que plantean interrogantes desde el punto de vista de varios derechos fundamentales y de las libertades garantizadas en el ordenamiento jurídico de la UE, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales. En todo caso, de conformidad con la Carta de los Derechos Fundamentales de la Unión, cualquier limitación del ejercicio de los derechos y libertades fundamentales reconocidos en ella debe estar justificada y ser proporcionada. En particular, dichas limitaciones han de ser temporales, en el sentido de que deben ceñirse estrictamente a lo necesario para combatir la crisis y no mantenerse en vigor, sin justificación adecuada, una vez pasada la crisis.

(24) Además, la Organización Mundial de la Salud y otros organismos han advertido del riesgo de que las aplicaciones y los datos inexactos provoquen la estigmatización de personas que compartan determinadas características debido a la percepción de un vínculo con la enfermedad.

(25) De acuerdo con el principio de minimización de datos, las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud deben tratar únicamente los datos personales que sean adecuados y pertinentes, limitándose a lo necesario, y hacerlo con las debidas garantías, aplicando medidas como la seudonimización, la agregación, el cifrado o la descentralización.

(26) Unas medidas efectivas de ciberseguridad y seguridad de los datos son fundamentales para proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos.

(27) A fin de garantizar el tratamiento lícito de los datos personales y el respeto de los derechos de las personas afectadas, es esencial consultar a las autoridades de protección de datos, de conformidad con los requisitos establecidos en el Derecho de la Unión sobre protección de datos personales.

(28) El artículo 14 de la Directiva 2011/24/UE establece que la Unión apoyará y facilitará la cooperación y el intercambio de información entre los Estados miembros dentro de una red voluntaria que conecte a las autoridades nacionales encargadas de la sanidad electrónica que designen los Estados miembros («red de sanidad electrónica»). Entre sus objetivos está el esforzarse para conseguir unos beneficios económicos y sociales sostenibles merced a sistemas y servicios europeos de sanidad electrónica y a aplicaciones interoperables que permitan alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de los cuidados y garantizar el acceso a una asistencia sanitaria segura y de calidad. La Decisión de Ejecución (UE) 2019/1765 de la Comisión (9) dispone las normas para el establecimiento, la gestión y el funcionamiento transparente de la red de sanidad electrónica. Habida cuenta de su composición y su ámbito de especialización, la red de sanidad electrónica debe ser el principal foro de debate en torno a las necesidades de datos de las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud, y, a su vez, contar con la participación de funcionarios de las autoridades nacionales reguladoras de las comunicaciones electrónicas, los ministerios a cargo de los asuntos digitales y las autoridades responsables de la protección de datos.

(29) Asimismo, sería conveniente que la red de sanidad electrónica y la Comisión cooperasen estrechamente con otros organismos y redes que puedan aportar las contribuciones necesarias para dar efecto a la presente Recomendación, en particular el Comité de Seguridad Sanitaria, la red de vigilancia epidemiológica y de control de las enfermedades transmisibles, el ECDC, el Comité Europeo de Protección de Datos, el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas y el Grupo de Cooperación de Redes y Sistemas de Información.

(30) La transparencia, una comunicación clara y periódica, y la incorporación de las aportaciones de las personas y comunidades más afectadas serán primordiales para obtener la confianza pública a la hora de combatir la crisis de la COVID-19.

(31) Teniendo en cuenta la rápida evolución de la situación relativa a la crisis de la COVID-19 en los distintos Estados miembros, es imprescindible que estos informen acerca del enfoque contemplado en la presente Recomendación, y que la Comisión lo revise, de manera rápida y periódica mientras persista la crisis.

(32) La presente Recomendación debe complementarse, en su caso, con orientaciones adicionales de la Comisión, especialmente en lo referente a las implicaciones en materia de protección de datos y de la intimidad que tiene el uso de aplicaciones móviles de alerta y prevención.

HA ADOPTADO LA PRESENTE RECOMENDACIÓN:

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 292,

Considerando lo siguiente:

(1) La crisis de salud pública provocada por la actual pandemia de COVID-19 (en lo sucesivo, «crisis de la COVID-19») obliga a la Unión y a los Estados miembros a afrontar un desafío sin precedentes para sus sistemas de asistencia sanitaria, forma de vida, estabilidad económica y valores. Ningún Estado miembro puede tener éxito por sí solo en la lucha contra la crisis de la COVID-19. Una crisis excepcional de tal magnitud requiere la actuación decidida de todos los Estados miembros y de las instituciones y organismos de la UE, trabajando de forma conjunta en un auténtico espíritu de solidaridad.

(2) Las tecnologías y los datos digitales tienen un valioso papel que desempeñar en la lucha contra la crisis de la COVID-19, ya que en Europa muchas personas se conectan a internet a través de dispositivos móviles. Esas tecnologías y datos ofrecen una herramienta importante para informar al público y ayudar a las autoridades públicas pertinentes en sus esfuerzos por contener la propagación del virus o para permitir que las organizaciones sanitarias intercambien datos sobre la salud. Sin embargo, un enfoque fragmentado y descoordinado pone en peligro la eficacia de las medidas destinadas a combatir la crisis de la COVID-19, dañando gravemente tanto al mercado único como a los derechos y libertades fundamentales.

(3) Por consiguiente, es necesario desarrollar un enfoque común para la utilización de tecnologías y datos digitales en respuesta a la crisis actual. Este enfoque debe ser eficaz a la hora de apoyar a las autoridades nacionales competentes, y en particular a las autoridades sanitarias y los responsables políticos, proporcionándoles datos suficientes y precisos para comprender la evolución y la propagación del virus causante de la COVID-19, así como sus efectos. De igual modo, estas tecnologías pueden empoderar a los ciudadanos para que adopten medidas eficaces y más selectivas de distanciamiento social. Al mismo tiempo, el enfoque propuesto tiene por objeto defender la integridad del mercado único y proteger los derechos y libertades fundamentales, en particular el derecho a la intimidad y a la protección de los datos personales.

(4) Las aplicaciones móviles pueden contribuir al seguimiento y la contención de la actual pandemia de COVID-19 por parte de las autoridades sanitarias a nivel nacional y de la UE. Ofrecen la posibilidad de proporcionar orientación a los ciudadanos y facilitar la organización del seguimiento médico de los pacientes. Las aplicaciones de alerta y seguimiento pueden desempeñar un papel importante en el rastreo de los contactos y, así, limitar la propagación de la enfermedad e interrumpir las cadenas de transmisión. Por lo tanto, combinadas con estrategias adecuadas de realización de pruebas y con el seguimiento de los contactos, las aplicaciones pueden ser especialmente importantes a la hora de proporcionar información sobre el nivel de circulación del virus, evaluar la eficacia de las medidas de distanciamiento físico y confinamiento y orientar las estrategias de desescalada.

(5) La Decisión n.° 1082/2013/UE del Parlamento Europeo y del Consejo (1) establece normas específicas en materia de vigilancia epidemiológica, seguimiento, alerta precoz y lucha contra las amenazas transfronterizas graves para la salud. El artículo 2, apartado 5, de la Decisión exige que la Comisión garantice, en colaboración con los Estados miembros, la coordinación y el intercambio de información entre los mecanismos y estructuras que se establezcan de acuerdo con dicha Decisión y los mecanismos y estructuras similares establecidos a nivel de la Unión o en virtud del Tratado Euratom y cuyas actividades sean pertinentes para la planificación de la preparación y respuesta, el seguimiento, la alerta precoz y la lucha contra las amenazas transfronterizas graves para la salud. El foro para la coordinación de esfuerzos en el contexto de las amenazas transfronterizas graves para la salud es el Comité de Seguridad Sanitaria, creado en virtud del artículo 17 de la citada Decisión. Por otra parte, el artículo 6, apartado 1, de la Decisión crea una red de vigilancia epidemiológica de las enfermedades transmisibles, administrada y coordinada por el Centro Europeo para la Prevención y el Control de las Enfermedades.

(6) La Directiva 2011/24/UE del Parlamento Europeo y del Consejo (2), relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, estipula que la red de sanidad electrónica deberá esforzarse para conseguir unos beneficios económicos y sociales sostenibles merced a sistemas y servicios europeos de sanidad electrónica y a aplicaciones interoperables que permitan alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de los cuidados y garantizar el acceso a una asistencia sanitaria segura y de calidad.

(7) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece las condiciones por las que se rige el tratamiento de los datos personales, incluidos los de carácter sanitario. Tales datos pueden tratarse, entre otras circunstancias, cuando el interesado dé su consentimiento explícito o cuando el tratamiento resulte en interés público, según lo especificado en el Derecho de los Estados miembros o en el Derecho de la Unión, en particular con fines de supervisión y de alerta o de prevención y control de enfermedades transmisibles y otras amenazas graves para la salud.

(8) Varios Estados miembros han introducido una legislación específica que les permite tratar datos sanitarios sobre la base del interés público [artículo 6, apartado 1, letras c) o e), y artículo 9, apartado 2, letra i), del Reglamento (UE) 2016/679 ]. En cualquier caso, deben establecerse de forma clara y específica el propósito y los medios del tratamiento de los datos, qué datos deben tratarse y por quién.

(9) La Comisión puede consultar al Supervisor Europeo de Protección de Datos y al Comité Europeo de Protección de Datos, de conformidad con el artículo 42 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4) y el artículo 70 del Reglamento (UE) 2016/679.

(10) La Directiva 2002/58/CE del Parlamento Europeo y del Consejo (5) establece las normas aplicables a los datos de tráfico y de localización, así como al almacenamiento de información y a la obtención de acceso a la información almacenada en el equipo terminal, por ejemplo un dispositivo móvil, del usuario o abonado. Con arreglo al artículo 5, apartado 3, de la Directiva, tal almacenamiento u obtención de acceso solo se permite en circunstancias estrictamente definidas o en virtud del consentimiento otorgado por el usuario o abonado, tras haber recibido información clara y completa, de conformidad con los requisitos del Reglamento (UE) 2016/679. Además, el artículo 15, apartado 1, de la Directiva permite a los Estados miembros adoptar medidas legales para limitar el alcance de determinados derechos y obligaciones establecidos en la Directiva, incluidos los que contempla su artículo 5, cuando tal limitación constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática para alcanzar determinados objetivos.

(11) La Comisión Europea anunció en su Comunicación «Una estrategia europea de datos» (6) que la UE crearía un mercado único en el que los datos puedan circular en la UE y en todos los sectores, en beneficio de todos, en el que se respeten plenamente las normas europeas, en particular en materia de protección de la intimidad y de los datos, así como el Derecho de competencia, y donde las normas de acceso a los datos y uso de estos sean justas, prácticas y claras. En particular, la Comisión declaró que estudiaría la necesidad de adoptar medidas legislativas destinadas a fomentar el intercambio de datos entre empresas y administraciones para el interés público.

(12) Desde el inicio de la crisis de la COVID-19, se han desarrollado diversas aplicaciones móviles, en ocasiones por parte de las autoridades públicas, y se han producido llamamientos de los Estados miembros y del sector privado a favor de la coordinación a nivel de la Unión para abordar, entre otras cuestiones, las relativas a la ciberseguridad, la seguridad y la privacidad. Estas aplicaciones suelen cumplir tres funciones generales: i) informar y asesorar a los ciudadanos, y facilitar la organización del seguimiento médico de las personas con síntomas, a menudo en combinación con un cuestionario de autodiagnóstico; ii) advertir a las personas que han estado cerca de una persona infectada, a fin de interrumpir las cadenas de contagio e impedir que se produzca un resurgimiento de las infecciones durante la fase de relajación de las medidas de confinamiento, y iii) el seguimiento y el control del cumplimiento de la cuarentena de las personas infectadas, eventualmente en combinación con características que permitan determinar su estado de salud durante el período de cuarentena. Algunas aplicaciones están disponibles para el público en general, mientras que otras solo lo están para grupos cerrados de usuarios a fin de rastrear los contactos en el lugar de trabajo. Por lo general, no se ha evaluado la eficacia de estas aplicaciones. Las aplicaciones de información y análisis de síntomas pueden ser útiles para sensibilizar a la ciudadanía. No obstante, el dictamen de los expertos apunta a que las aplicaciones destinadas a informar y advertir a los usuarios parecen ser las más prometedoras a la hora de prevenir la propagación del virus, habida cuenta también de su impacto más limitado en la intimidad, y en la actualidad varios Estados miembros están considerando su utilización.

(13) Algunas de estas aplicaciones móviles podrían considerarse productos sanitarios si están destinadas por el fabricante a ser utilizadas, entre otros fines, para el diagnóstico, la prevención, el seguimiento, la predicción, el pronóstico, el tratamiento o el alivio de una enfermedad, de manera que entrarán en el ámbito de aplicación del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo (7) o en el de la Directiva 93/42/CEE del Consejo
.(8) En el caso de las aplicaciones de autodiagnóstico y análisis de síntomas, se debería determinar su posible calificación como productos sanitarios, de acuerdo con el marco regulador de dichos productos [Directiva 93/42/CEE o Reglamento (UE) 2017/745], en la medida en que proporcionen información relacionada con el diagnóstico, la prevención, el seguimiento, la predicción o el pronóstico.

(14) La eficacia de estas aplicaciones móviles depende de una serie de factores. Entre estos factores se encuentra la penetración entre los usuarios, es decir, el porcentaje de la población que utiliza un dispositivo móvil y, dentro de ese grupo, el porcentaje que ha descargado la aplicación, ha otorgado su consentimiento para el tratamiento de sus datos personales y no ha retirado dicho consentimiento. Otros factores importantes son la confianza de la población en que los datos estarán protegidos por medidas adecuadas de seguridad y se utilizarán exclusivamente para alertar a las personas que puedan haber estado expuestas al virus, el refrendo de las autoridades de salud pública, la capacidad de las autoridades sanitarias para tomar medidas basadas en los datos generados por la aplicación, la integración y el intercambio de datos con otros sistemas y aplicaciones, o la interoperabilidad transfronteriza e interregional con otros sistemas.

(15) Las aplicaciones de alerta y seguimiento son útiles para que los Estados miembros efectúen el rastreo de los contactos y pueden desempeñar un papel importante en la contención en las situaciones posibles de desescalada. Además, pueden ser un valioso instrumento para que los ciudadanos mantengan un distanciamiento social eficaz y más selectivo. Su repercusión puede reforzarse mediante una estrategia que favorezca la ampliación de las pruebas. El seguimiento de los contactos implica que las autoridades de salud pública puedan detectar con rapidez a todos los contactos de un paciente confirmado de la COVID-19, pedirles que practiquen el autoaislamiento y, en caso de desarrollar síntomas, realizarles pruebas y aislarlos de forma rápida. Además, los datos anonimizados y agregados derivados de dichas aplicaciones podrían utilizarse, junto con la información sobre la incidencia de la enfermedad, para determinar la eficacia de las medidas de distanciamiento físico y comunitario. Si bien estas aplicaciones presentan una utilidad evidente para los Estados miembros, también pueden añadir valor a las actividades del ECDC.

(16) Las aplicaciones de autodiagnóstico y análisis de síntomas podrían proporcionar información pertinente sobre el número de casos que presentan síntomas compatibles con la COVID-19, por edades y semanas, en zonas bien delimitadas donde la aplicación tenga una cobertura elevada. Si se obtienen resultados positivos, las autoridades nacionales de salud pública pueden decidir utilizar los datos de la aplicación para la vigilancia sindrómica de atención primaria en relación con la COVID-19. Estos datos podrían facilitarse semanalmente al ECDC, en formato agregado [por ejemplo, número de casos de síndrome seudogripal (ILI) o de infección respiratoria aguda (ARI) por semana, por grupo de edad, de la población total cubierta por los médicos centinela]. Esto permitiría a las autoridades nacionales y al ECDC estimar el valor predictivo positivo de los síntomas respiratorios en una comunidad dada, lo que, a su vez, les proporcionaría información sobre el nivel de circulación del virus basada en los datos de la aplicación.

(17) Dadas las funciones de las aplicaciones para teléfonos inteligentes, descritas anteriormente, su uso es susceptible de afectar al ejercicio de determinados derechos fundamentales como el derecho al respeto de la vida privada y familiar, entre otros. Habida cuenta de que cualquier injerencia en esos derechos debe ser conforme a la ley, las legislaciones de los Estados miembros que establezcan o permitan limitaciones del ejercicio de determinados derechos fundamentales deben estar en consonancia con los principios generales del Derecho de la Unión, tal como se establece en el artículo 6 del Tratado de la Unión Europea, sus tradiciones constitucionales y sus obligaciones con arreglo al Derecho internacional.

(18) Con miras a la aceptación de diferentes tipos de aplicaciones (y los sistemas subyacentes de información sobre cadenas de transmisión de contagios), y a fin de garantizar que estas aplicaciones cumplan el objetivo declarado de vigilancia epidemiológica, es preciso que las políticas, los requisitos y los controles en que se apoyen estén armonizados y sean aplicados de forma coordinada por las autoridades sanitarias nacionales responsables. La experiencia de varios Estados miembros que han empezado a introducir aplicaciones de seguimiento de contactos demuestra que, para lograr una mayor aceptación, se requiere una gobernanza integrada para diseñar y llevar a la práctica las medidas, implicando a distintas autoridades además de las sanitarias (en particular las responsables de la protección de datos), así como al sector privado, a expertos, al ámbito universitario y a partes interesadas como los grupos de pacientes. Asimismo, para que la aplicación se acepte y tenga éxito, es fundamental una amplia comunicación al respecto.

(19) A fin de detectar los encuentros de proximidad entre usuarios de distintas aplicaciones de seguimiento de contactos (una situación que se producirá con mayor probabilidad entre personas que atraviesen fronteras nacionales o regionales), es conveniente prever la interoperabilidad entre aplicaciones. Por otra parte, para hacer frente a las cadenas de transmisión transfronteriza, se requiere que las autoridades nacionales responsables de supervisar las cadenas de transmisión de contagios puedan intercambiar información interoperable sobre los usuarios que hayan dado positivo en otros Estados miembros o regiones.

(20) Determinadas empresas, en particular proveedores de servicios de telecomunicación y grandes plataformas tecnológicas, han puesto a disposición de las autoridades públicas datos de localización anonimizados y agregados. Estos datos son necesarios para la investigación dirigida a combatir el virus, la modelización destinada a comprender la forma en que el virus se propagará y la modelización de los efectos económicos de la crisis. En particular, los datos ayudarán a entender y modelizar las dinámicas espaciales de la epidemia, así como a determinar la repercusión de las medidas de distanciamiento social (limitaciones de viaje, cese de actividades no esenciales, confinamiento total, etc.) en la movilidad. Esto resulta fundamental, en primer lugar, para contener los efectos del virus y determinar las necesidades, especialmente en cuanto a equipos de protección individual y unidades de cuidados intensivos, y, en segundo lugar, para respaldar la estrategia de salida con modelos basados en datos que señalen los posibles efectos de relajar las medidas de distanciamiento social.

(21) La actual crisis ha puesto de relieve que, para las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud, sería útil disponer de un mayor acceso a información esencial para analizar la evolución del virus y valorar la eficacia de las medidas de salud pública.

(22) Determinados Estados miembros han adoptado medidas para simplificar el acceso a los datos. No obstante, la actual fragmentación de enfoques obstruye los esfuerzos comunes de la UE para combatir el virus.

(23) La necesidad de un enfoque común de la Unión para la crisis de la COVID-19 también se ha hecho evidente ante las medidas adoptadas en determinados países, como el seguimiento de personas por geolocalización, el uso de la tecnología para calificar el nivel de riesgo sanitario de una persona o la centralización de datos delicados, medidas que plantean interrogantes desde el punto de vista de varios derechos fundamentales y de las libertades garantizadas en el ordenamiento jurídico de la UE, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales. En todo caso, de conformidad con la Carta de los Derechos Fundamentales de la Unión, cualquier limitación del ejercicio de los derechos y libertades fundamentales reconocidos en ella debe estar justificada y ser proporcionada. En particular, dichas limitaciones han de ser temporales, en el sentido de que deben ceñirse estrictamente a lo necesario para combatir la crisis y no mantenerse en vigor, sin justificación adecuada, una vez pasada la crisis.

(24) Además, la Organización Mundial de la Salud y otros organismos han advertido del riesgo de que las aplicaciones y los datos inexactos provoquen la estigmatización de personas que compartan determinadas características debido a la percepción de un vínculo con la enfermedad.

(25) De acuerdo con el principio de minimización de datos, las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud deben tratar únicamente los datos personales que sean adecuados y pertinentes, limitándose a lo necesario, y hacerlo con las debidas garantías, aplicando medidas como la seudonimización, la agregación, el cifrado o la descentralización.

(26) Unas medidas efectivas de ciberseguridad y seguridad de los datos son fundamentales para proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos.

(27) A fin de garantizar el tratamiento lícito de los datos personales y el respeto de los derechos de las personas afectadas, es esencial consultar a las autoridades de protección de datos, de conformidad con los requisitos establecidos en el Derecho de la Unión sobre protección de datos personales.

(28) El artículo 14 de la Directiva 2011/24/UE establece que la Unión apoyará y facilitará la cooperación y el intercambio de información entre los Estados miembros dentro de una red voluntaria que conecte a las autoridades nacionales encargadas de la sanidad electrónica que designen los Estados miembros («red de sanidad electrónica»). Entre sus objetivos está el esforzarse para conseguir unos beneficios económicos y sociales sostenibles merced a sistemas y servicios europeos de sanidad electrónica y a aplicaciones interoperables que permitan alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de los cuidados y garantizar el acceso a una asistencia sanitaria segura y de calidad. La Decisión de Ejecución (UE) 2019/1765 de la Comisión (9) dispone las normas para el establecimiento, la gestión y el funcionamiento transparente de la red de sanidad electrónica. Habida cuenta de su composición y su ámbito de especialización, la red de sanidad electrónica debe ser el principal foro de debate en torno a las necesidades de datos de las autoridades públicas sanitarias y las instituciones públicas de investigación en el ámbito de la salud, y, a su vez, contar con la participación de funcionarios de las autoridades nacionales reguladoras de las comunicaciones electrónicas, los ministerios a cargo de los asuntos digitales y las autoridades responsables de la protección de datos.

(29) Asimismo, sería conveniente que la red de sanidad electrónica y la Comisión cooperasen estrechamente con otros organismos y redes que puedan aportar las contribuciones necesarias para dar efecto a la presente Recomendación, en particular el Comité de Seguridad Sanitaria, la red de vigilancia epidemiológica y de control de las enfermedades transmisibles, el ECDC, el Comité Europeo de Protección de Datos, el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas y el Grupo de Cooperación de Redes y Sistemas de Información.

(30) La transparencia, una comunicación clara y periódica, y la incorporación de las aportaciones de las personas y comunidades más afectadas serán primordiales para obtener la confianza pública a la hora de combatir la crisis de la COVID-19.

(31) Teniendo en cuenta la rápida evolución de la situación relativa a la crisis de la COVID-19 en los distintos Estados miembros, es imprescindible que estos informen acerca del enfoque contemplado en la presente Recomendación, y que la Comisión lo revise, de manera rápida y periódica mientras persista la crisis.

(32) La presente Recomendación debe complementarse, en su caso, con orientaciones adicionales de la Comisión, especialmente en lo referente a las implicaciones en materia de protección de datos y de la intimidad que tiene el uso de aplicaciones móviles de alerta y prevención.

HA ADOPTADO LA PRESENTE RECOMENDACIÓN:

Hecho en Bruselas, el 8 de abril de 2020.

Por la Comisión

Thierry BRETON

Miembro de la Comisión