POLÍTICA DE PRIVACITAT DE L'APLICACIÓ Radar COVID

Si us plau, llegeix atentament aquesta política de privacitat per a usuaris de l'aplicació mòbil «Radar COVID» (o l'«Aplicació»), on trobaràs tota la informació sobre les dades que utilitzem, com les fem servir i quin control tens sobre les teves dades.

AVÍS IMPORTANT::

  • L'USUARI queda avisat que la utilització de l'Aplicació NO CONSTITUEIX EN CAP CAS UN SERVEI DE DIAGNÒSTIC MÈDIC, D'ATENCIÓ D'URGÈNCIES O DE PRESCRIPCIÓ DE TRACTAMENTS FARMACOLÒGICS, ja que la utilització de l'Aplicació no no pot en cap cas substituir la consulta presencial personal amb un professional mèdic degudament qualificat.

1. Què és Radar COVID?

Radar COVID és una aplicació per a dispositius mòbils d'alerta de contagis del virus SARS-CoV-2, el TITULAR de la qual és la Secretaria General d'Administració Digital, que depèn de la Secretaria d'Estat de Digitalització i Intel·ligència Artificial del Ministeri d'Afers Econòmics i Transformació Digital.

Gràcies a Radar COVID, els usuaris que s'hagin descarregat l'aplicació i n’acceptin l’ús rebran una notificació en cas que en els catorze dies anteriors a aquesta notificació hagin estat exposats a un contacte epidemiològic (a menys de dos metres i durant més de 15 minuts) amb un altre usuari (totalment anònim) que hagi declarat en l'aplicació haver donat un resultat positiu en la prova de COVID-19 (prèvia acreditació de les autoritats sanitàries). L'aplicació l’informarà exclusivament sobre el dia (dins d'aquests catorze anteriors) en què s'hagi produït l'exposició al contacte, però no sobre la identitat de l'usuari a qui hagi quedat exposat (informació impossible, ja que és una aplicació que no sol·licita, utilitza ni emmagatzema dades de caràcter personal dels usuaris) ni la identificació del dispositiu d'aquest usuari, ni sobre el moment o lloc en què s'hagi produït l'exposició.

Rebuda una notificació, l'aplicació facilitarà a l'usuari exposat informació per a l'adopció de mesures preventives i assistencials, per contribuir amb això a evitar la propagació del virus.

L'èxit de l'aplicació com a eina que contribueixi a la contenció de la propagació està directament vinculat al fet que els usuaris siguin conscients, i actuïn en conseqüència, que, tot i que comunicar a l'aplicació que s'ha obtingut un resultat positiu en la prova de COVID-19 (prèvia acreditació de les autoritats sanitàries) és voluntari, el fet de no comunicar-ho i ser un simple receptor d'informació de tercers usuaris fa que l'aplicació perdi la seva utilitat preventiva, no només per als altres usuaris sinó per a la resta de la població en general. El caràcter completament anònim hauria d'animar, sens dubte, a exercir aquesta actuació responsable.

2. Com funciona l'aplicació?

Un cop t'hagis descarregat l'aplicació, acceptis les condicions d'ús i la política de privacitat i comencis a utilitzar-la, el dispositiu mòbil generarà cada dia un identificador pseudoaleatori anomenat clau d'exposició temporal amb una mida de 16 caràcters (16 bytes o 128 bits) que servirà per derivar els identificadors efímers Bluetooth que són intercanviats amb altres telèfons mòbils propers que també tinguin descarregada l'aplicació Radar COVID.

Els identificadors efímers Bluetooth són codis pseudoaleatoris amb una mida de 16 caràcters (16 bytes o 128 bits), que el teu telèfon mòbil genera cada 10-20 minuts, a partir de la clau d'exposició temporal diària. Aquests codis no contenen informació personal que permeti identificar el telèfon mòbil ni el seu usuari. El teu telèfon mòbil transmet aquests identificadors efímers Bluetooth diverses vegades per segon a dispositius propers, accessibles a través de Bluetooth Low Energy; així, es produeix un intercanvi de codis aleatoris entre dispositius perquè puguin ser emmagatzemats per telèfons propers que hagin descarregat l'aplicació. De la mateixa manera, cada cinc minuts, el teu telèfon mòbil escoltarà els identificadors efímers Bluetooth que transmeten altres telèfons mòbils que tinguin l'aplicació i els emmagatzemarà per calcular si has estat amb un altre usuari contagiat per COVID-19 al llarg dels últims 14 dies.

El teu telèfon emmagatzema les claus d'exposició temporal que has generat en els últims 14 dies. Recorda que aquestes claus es generen aleatòriament i no serveixen per identificar el teu telèfon mòbil ni el seu USUARI.

Si has rebut un diagnòstic positiu per COVID-19, pots introduir voluntàriament a l'aplicació el «codi de confirmació d'un sol ús» que et facilitarà el teu servei públic de salut i que serà validat al nostre servidor. En aquest moment, l'aplicació et demanarà consentiment per remetre al nostre servidor les 14 últimes claus d'exposició temporal emmagatzemades al telèfon; per tant, només si ho consents, aquestes claus s'enviaran al servidor de l'aplicació que, després de verificar l'exactitud del codi, serviran per compondre un llistat diari de claus d'exposició temporal de persones contagiades per COVID-19 que són descarregades diàriament des del servidor per totes les aplicacions Radar COVID que estiguin en funcionament.

La informació d'aquests llistats serveix perquè en el teu propi telèfon es pugui comprovar si has tingut contacte estret (menys de dos metres i més de 15 minuts) amb persones que han reportat un contagi per COVID-19, sense identificar ni la persona, ni el lloc de l'exposició, ni el dispositiu mòbil, ni cap dada personal teva o de l'altra persona. És a dir, l'aplicació descarrega periòdicament del servidor les claus d'exposició temporal compartides voluntàriament pels usuaris diagnosticats per COVID-19, per comparar-les amb els codis aleatoris registrats en els dies anteriors com a resultat de contactes amb altres usuaris. Si es troba una coincidència, l'aplicació executa un algorisme en el dispositiu que, en funció de la durada i la distància estimada del contacte, i d'acord amb els criteris establerts per les autoritats sanitàries, decideix si es mostra una notificació en el dispositiu de l'usuari exposat al risc de contagi, que l'adverteix del contacte, li comunica la data i el convida a autoconfinar-se i contactar amb les autoritats sanitàries.

Aquestes claus remeses al servidor no permeten la identificació directa dels usuaris i són necessàries per a garantir el correcte funcionament de sistema d'alerta de contagis.

3. Qui és responsable del tractament de les teves dades com a usuari de «Radar COVID»?

El responsable del tractament de les teves dades com a usuari de «Radar COVID» és:

  • Nom: Ministeri de Sanitat
  • Delegat de Protecció de Dades: delegadoprotecciondatos@mscbs.es
  • Adreça: Paseo del Prado 18-20, 28014 Madrid

Les comunitats autònomes adherides a l'ús de l'aplicació seran, també, responsables del tractament.
L'encarregat del tractament i titular de l'aplicació serà la Secretaria General d'Administració Digital, òrgan directiu de la Secretaria d'Estat de Digitalització i Intel·ligència Artificial.

En relació amb el node europeu d’interoperabilitat de contactes (EFGS)

  • Recepció diària dels llistats de les claus d’exposició temporal generades pels serveis nacionals dels estats membres adherits al projecte.
  • Enviament diari al node EFGS d’un llistat de claus d’exposició temporal trameses pels usuaris del Radar COVID que han donat el seu consentiment explícit per compartir aquesta informació amb la resta d’estats membres adherits al projecte.

4. Quines dades tractem sobre tu

Les dades que gestiona l'aplicació no permeten la identificació directa de l'usuari ni del seu dispositiu, i només són les necessàries per a l'única finalitat d'informar-te que has estat exposat a una situació de risc de contagi de la COVID-19, així com per a facilitar la possible adopció de mesures preventives i assistencials.

  • En cap cas es rastrejaran els moviments dels USUARIS; s'exclou, doncs, qualsevol mena de geolocalització.
  • No s'emmagatzemarà ni es tractarà l'adreça IP dels usuaris.
  • No s'emmagatzemaran els codis positius associats a dades personals.

Com a part del sistema d'alerta de contagis de la COVID-19, es processaran les següents dades per als usuaris que hagin donat positiu per COVID-19 per als fins especificats a continuació:

  • Les claus d'exposició temporal amb què el dispositiu de l'usuari ha generat els codis aleatoris enviats (identificadors efímers Bluetooth), als dispositius amb què l'usuari ha entrat en contacte, fins a un màxim de 14 dies anteriors. Aquestes claus no tenen cap relació amb la identitat de l'USUARI, i es pengen al servidor perquè puguin ser descarregades per aplicacions similars en poder d'altres usuaris. Amb aquestes claus, mitjançant un processament que té lloc en el telèfon mòbil de forma descentralitzada, es pot advertir l'USUARI del risc de contagi per haver estat en contacte recent amb una persona que ha estat diagnosticada de COVID-19, sense que l'aplicació pugui derivar la seva identitat o el lloc on va tenir lloc el contacte.
  • Un codi de confirmació d'un sol ús de 12 dígits facilitat per les autoritats sanitàries en cas de prova positiva de COVID-19. Aquest codi ha de ser informat per l'usuari per permetre la càrrega voluntària de les claus d'exposició al servidor.
  • L'avís de notificació d'exposició, a efectes de recollir una estadística anònima i agregada del volum de notificacions que produeix el sistema mitjançant el rastreig de contactes. Aquestes dades permeten estimar quants usuaris han estat alertats per l'aplicació d'un risc potencial d'infecció i no se'n pot rastrejar la identitat

Tota la informació es recollirà amb finalitats estrictament d'interès públic en l'àmbit de la salut pública i, atesa la situació d'emergència sanitària decretada, per tal de protegir i salvaguardar un interès essencial per a la vida de les persones, en els termes descrits en aquesta política de privacitat i de conformitat amb els articles 6.1.a), 9.2.a), 6.1.c), 6.1.d), 6.1.e), 9.2.c), 9.2.h) i 9.2.i)

A continuació s’enumera la legislació aplicable:

  • Reglament (UE) 2016/679, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament General de Protecció de Dades).
  • Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals.
  • Llei orgànica 3/1986, de 14 d'abril, de mesures especials en matèria de salut pública.
  • Llei 33/2011, de 4 d'octubre, general de salut públic.
  • Llei 14/1986, de 25 d'abril, general de sanitat.
  • Reial decret llei 21/2020, de 9 de juny, de mesures urgents de prevenció, contenció i coordinació per fer front a la crisi sanitària ocasionada per la COVID-19.
  • Acord de 9 d’octubre de 2020 entre el Ministeri d’Assumptes Econòmics i Transformació Digital (Secretaria de l’Estat de Digitalització i Intel·ligència Artificial) i el Ministeri de Sanitat sobre l’aplicació “Radar COVID”

5. Com obtenim i d'on procedeixen les teves dades?

El codi de confirmació de positiu per COVID-19 facilitat pel Servei Públic de Salut. Això permetrà penjar al servidor del sistema d'alerta de contagis les claus d'exposició temporal amb què el dispositiu de l'usuari ha generat els codis aleatoris enviats (identificadors efímers Bluetooth), als dispositius amb què l'usuari ha entrat en contacte, fins a un màxim de 14 dies anteriors. Aquestes claus únicament es pengen al servidor amb el consentiment explícit i inequívoc de l'USUARI, en haver introduït un codi de confirmació de positiu per COVID-19.

L'avís de notificació d'exposició és facilitat per l'aplicació de forma anònima a efectes de compondre una estadística agregada del volum d'usuaris que han estat notificats.

6. Per a què i per què fem servir les teves dades?

La recollida, l'emmagatzematge, la modificació, l'estructuració i, si escau, l'eliminació, de les dades generades, constituiran operacions de tractament portades a terme pel Titular, amb la finalitat de garantir el correcte funcionament de l'aplicació, mantenir la relació de prestació de servei amb l'Usuari, i per a la gestió, administració, informació, prestació i millora del servei.

La informació i les dades recollides a través de l'Aplicació seran tractades amb finalitats estrictament d'interès públic en l'àmbit de la salut pública, atesa l'actual situació d'emergència sanitària a conseqüència de la pandèmia de la COVID-19 i de la necessitat d'evitar-ne la propagació, així com per garantir interessos vitals teus o de tercers, de conformitat amb la normativa de protecció de dades vigent.

A aquest efecte, utilitzem les teves dades per prestar-te el servei de «Radar COVID» i perquè puguis fer ús de les seves funcionalitats d'acord amb les seves condicions d'ús. De conformitat amb el Reglament General de Protecció de Dades (RGPD) així com amb qualsevol legislació nacional que resulti aplicable, la Secretaria General d'Administració Digital tractarà totes les dades generades durant l'ús de l'aplicació amb les següents finalitats:

  • Oferir-te informació sobre contactes considerats de risc d'exposició a la COVID-19
  • Proporcionar-te consells pràctics i recomanacions d'accions a seguir a mesura que es produeixin situacions de risc de cara a la quarantena o a l’autoquarantena.

Aquest tractament es durà a terme a través de la funcionalitat d'alerta de contagis que permet identificar situacions de risc per haver estat en contacte estret amb persones usuàries de l'aplicació que es troben infectades per la COVID-19. D'aquesta manera se t'informarà de les mesures que convé adoptar després.

7. Durant quant de temps conservem les teves dades?

Les claus d'exposició temporal i els identificadors efímers de Bluetooth són emmagatzemats al dispositiu durant un període de 14 dies, després dels quals són eliminats.

Així mateix, les claus d'exposició temporal que hagin estat comunicades al servidor pels USUARIS diagnosticats com a positius de COVID-19 també seran eliminades del servidor al cap de 14 dies.
En tot cas, ni les claus d'exposició temporal ni els identificadors efímers de Bluetooth contenen dades de caràcter personal ni permeten identificar els telèfons mòbils dels usuaris.

L'avís de notificació d'exposició s'agrega en l'indicador d'avisos diaris comunicats, i se'n descarta qualsevol altre ús.

8. Qui té accés a les teves dades?

Ni l'aplicació «Radar COVID» ni el servidor d'alerta de contagis emmagatzemen dades personals de cap mena.

Les dades gestionades per l'aplicació mòbil (claus diàries d'exposició temporal i identificadors efímers Bluetooth) s'emmagatzemen únicament en el dispositiu de l'usuari a l'efecte de poder fer càlculs i derivar informes a l'USUARI sobre el seu risc d'exposició a la COVID-19.

Només en el cas de reportar un diagnòstic positiu de COVID-19, les claus d'exposició temporal dels últims 14 dies generades en el dispositiu, amb el consentiment explícit i inequívoc de l'USUARI, es pengen al servidor per difondre-les al conjunt d’USUARIS d'aquest sistema.

Aquestes claus no tenen cap relació amb la identitat dels dispositius mòbils ni amb dades personals dels USUARIS de l'Aplicació.

Els avisos de notificació d'exposició comunicats només s'utilitzen per a la generació de dades estadístiques agregades i anònimes

 

9. Quins són els teus drets i com pots controlar les teves dades?

La normativa t’atorga una sèrie de drets en relació amb les dades i la informació que tractem sobre tu. Concretament, els drets d'accés, rectificació, supressió, limitació i oposició.

Pots consultar l'abast i el detall complet d'aquests drets a la pàgina web de l'Agència Espanyola de Protecció de Dades (AEPD) aquí. Amb caràcter general, podràs exercir tots aquests drets (en qualsevol moment i de forma gratuïta). Pots dirigir-te al responsable del tractament per via electrònica, a través d'aquest formulari, o presencialment a través de la xarxa d'oficines d'assistència en matèria de registres utilitzant aquest model de sol·licitud (versió editable i imprimible).

A part de tot això, tenim l’obligació d’indicar-te que tens dret en tot moment a presentar una reclamació davant l’Agència Espanyola de Protecció de Dades.

10. Com protegim les teves dades?

El responsable garanteix la seguretat, el secret i la confidencialitat de les teves dades, comunicacions i informació personal i ha adoptat les mesures de seguretat i els mitjans tècnics més exigents i robusts per evitar-ne la pèrdua, el mal ús o l’accés sense la teva autorització. Les mesures de seguretat implantades es corresponen amb les que preveu l'annex II (Mesures de seguretat) del Reial Decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

Finalment, t’informem que tant l'emmagatzematge com la resta de les activitats del tractament de dades no personals utilitzades sempre es farà dins de la Unió Europea.

11. Què has de tenir especialment en compte en utilitzar «Radar COVID»?

Has de tenir en compte determinats aspectes relatius a l'edat mínima d'utilització de l'Aplicació, la qualitat de les dades que ens proporciones, així com la desinstal·lació de l'aplicació en el teu dispositiu mòbil.

  • Edat mínima d'utilització: per poder utilitzar «Radar COVID» has de ser major de 18 anys o tenir l'autorització dels teus pares o tutors legals. Per tant, en donar-te d'alta a l'Aplicació, garanteixes al Titular que ets major d'aquesta edat o, en cas contrari, que comptes amb l'esmentada autorització.
  • Qualitat de les dades que ens proporciones: la informació que ens facilitis en l'ús dels serveis de l'Aplicació ha de ser sempre real, veraç i estar actualitzada.
  • Desinstal·lació de l'Aplicació: en general, pot haver-hi dues situacions en què es procedeixi a la desactivació tècnica de l'Aplicació en el teu dispositiu: 1) que ho facis voluntàriament, i 2) que des del Titular es realitzi la desactivació tècnica de l'Aplicació en el teu dispositiu (p. ex., en casos en què detectem que has incomplert les condicions d'ús de l'Aplicació).

12. Política de galetes

Utilitzem només galetes tècniques que permeten a l'usuari la navegació i la utilització de les diferents opcions o serveis que s'ofereixen a l'Aplicació com, per exemple, accedir a parts d'accés restringit o utilitzar elements de seguretat durant la navegació.

Radar COVID participa en la plataforma d’integració d’aplicacions de la Unió Europea, de manera que es compartiran les claus positives amb tercers països de la UE i viceversa.

No es duran a terme transferències de dades fora de la Unió Europea.