«Radar COVID» y protección de datos personales
Un análisis de los procedimientos sancionadores de la Agencia Española de Protección de Datos
El trabajo analiza las resoluciones de la Agencia Española de Protección de Datos (AEPD) publicadas el 9 de junio de 2022 por medio de las cuales se sanciona a la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) y a la Dirección General de Sanidad Pública (DGSP) por diversas infracciones del Reglamento General de Protección de Datos cometidas en el desarrollo, implementación y funcionamiento de la aplicación para el rastreo de posibles contactos positivos de COVID-19 denominada «Radar COVID». Después de describir el proceso de desarrollo de la aplicación y su funcionamiento, el trabajo se centra en los aspectos del régimen jurídico sobre protección de datos personales que, según la AEPD, sus promotores habrían incumplido. En este sentido, se analiza el concepto de dato personal manejado por las resoluciones, la calificación de las posiciones de responsable y encargado de los tratamientos de datos entre los sujetos investigados, y los diferentes deberes vinculados al principio de responsabilidad activa. Por último, el trabajo presenta una serie de valoraciones críticas sobre el desarrollo de herramientas informáticas para afrontar situaciones de emergencia sanitaria.
—
«Radar COVID» and personal data protection. An analysis of the Spanish Data Protection Agency's sanction procedures
This article analyzes the resolutions published on June 9, 2022 by which the Spanish Data Protection Agency (AEPD) imposes an administrative penalty to the Secretary of State for Digitization and Artificial Intelligence (SEDIA) and the General Directorate of Public Health (DGSP) for various infringements of the General Data Protection Regulation that were committed during the development, implementation and operation of «Radar COVID», a COVID-19 contact tracing application. After describing how the app was developed and how it works, the article focuses on the various aspects of the legal regime on the protection of personal data that, according to the AEPD, the app promoters would have violated. In this regard, the concept of personal data used in the resolutions, the allocation of the roles of data controller and data processor between the various investigated subjects, and the different duties linked to the principle of accountability are analyzed. Finally, the article includes a series of criticisms against the development of digital tools to deal with health emergency situations