Estas son algunas de las recomendaciones que la agencia ha proporcionado de cara al despliegue de aplicaciones móviles en el acceso a espacios públicos en el contexto de la 'nueva normalidad' y con el fin de que el diseño de los tratamientos basados en dichas aplicaciones represente “garantías reales” para la protección de la salud de los ciudadanos y no suponga un “riesgo” para sus derechos y libertades, según precisó a través de un comunicado.

En este sentido, puntualizó que estas aplicaciones no deben tampoco tratar datos de salud más allá de los “estrictamente necesarios” para gestionar espacios reservados a personas con discapacidad y recordó que el uso de este tipo de herramientas debe ser de carácter voluntario y estar basado en el consentimiento “libre, informado y específico” del usuario para el tratamiento de los datos personales necesarios para cada una de las funcionalidades que se persiguen.

La AEPD considera que, para alcanzar su finalidad, estas soluciones, que, en ocasiones, combinan la reserva de espacio con otras funcionalidades como la geolocalización, control de acceso con código QR, registro de los datos personales del usuario o funciones vinculadas a redes sociales, deben justificar la necesidad de realizar la identificación de las personas.

La finalidad debe estar “claramente definida y limitarse a la gestión de medidas de distancia social” y los tratamientos que se propongan han de ser “realmente efectivos con relación a la finalidad”. “No pueden generar falsas expectativas de seguridad de acuerdo con el principio de lealtad del tratamiento”, defiende la AEPD.

Además, la implementación de tratamientos basados en aplicaciones deberá fundamentarse en un análisis de “necesidad y proporcionalidad” que determine tanto la utilización de aplicaciones como el conjunto de datos “mínimo necesario para conseguir los fines que se persiguen”. Las funcionalidades de la aplicación deben ser “exclusivamente las necesarias para las finalidades concretas que se persiguen, no mezclando funcionalidades como fidelización, publicidad o redes sociales”.

En el caso de espacios públicos, la administración pública será quien decida los fines y medios del tratamiento y los datos personales tratados no deben almacenarse “más allá del tiempo necesario para cumplir con las finalidades que se persiguen”, según la agencia, que incide en que, “en todo caso, deben ser eliminados cuando estas se extingan, excepto para aquellos datos que sea necesario conservar por obligación legal”.

Finalmente, insiste en que el tratamiento de datos personales de menores de 14 años por este tipo de aplicaciones debe ser consentido por sus padres o tutores.