A continuación, relacionamos una serie de recomendaciones dirigidas a las entidades del Estado, tendientes al cumplimiento de la Normatividad de Protección de Datos Personales. Estas recomendaciones estan dirigidas frente al usuario/ciudadano, internamente y terceros que hacen parte del ciclo de manejo de los datos personales.

1.Obligaciones de las Entidades Públicas que gestionan estas app frente al Usuario/Ciudadano

  1. Incluir la Autorización para el Tratamiento de los Datos Personales
  2. Dentro de la aplicación las personas puedan ejercer su derecho de hábeas data, esto es, consultar, actualizar, rectificar la información, así como consultas y quejas por habeas data. Actualización: Ya se encuentra en los términos y condiciones, sin embargo, no es lo ideal, debe estar en la app en algún botón, o en todo momento visible para darse de baja. 
  3. Incluir una política de tratamiento de información personal dentro de la aplicación o que quede en todo momento visible en la aplicación sobre el uso de los datos personales, y que se le informe a través de la política o a través de la app o cualquier medio que se le facilite, los siguientes aspectos:Actualización: La política se encuentra referenciada en los términos, pero al dar clic el enlace no lleva a ninguna parte.
  4. Qué datos personales recolectan:
  5. Explicar de manera pedagógica y transparente, para que requiere el uso del bluetooth, para qué sirve el rastreo de  los contactos.
  6. Explicar de manera pedagógica y transparente, para que requieren la geolocalización, para qué sirve el rastreo de  los contactos.
  7. Informarle al ciudadano como van a gestionar los datos personales, en especial:
  8. ¿Qué sucede con la información una vez finalizada la pandemia?
  9. ¿Qué sucede con mis datos personales en caso de que salga positivo para covid-19?
  10. ¿A quien se le suministran esos datos si salgo positivo para covid-19?
  11. ¿Cuál es el uso que le darán a cada tipo de dato que recolectan?
  12. ¿Lo datos son los estrictamente necesarios para la actividad que van a ejecutar?
  13. ¿Qué harán con los datos una vez finalizada la pandemia?
  14. ¿Que tipo de operaciones se realizará a los datos personales?
  15. Entendemos que muchas medidas de seguridad no se pueden suministrar precisamente porque ingeniería social, sin embargo, sin esta en el deber de decir que tipo de características o técnicas se han adoptados para su protección.
  16. Informar si esta información se cruzará con otros bases de datos, o con otros datos, las fuentes de donde se obtienen.
  17. Informar cual es la política de datos de información sensible.

2. Obligaciones de las Entidades Públicas que gestionan estas app en el marco del régimen de protección de datos personales

  1. Adoptar un programa de accountability o responsabilidad demostrada. En este caso, parte de las discusiones que se tienen ahora se hubieran evitado debido a que debiera existir procesos que den cuenta de
  2. Responsables Responsible (R): Responsable de realizar la tarea. Accountable (A): Responsable de que la tarea se realice, sin necesidad de ser el que la ejecute y responsable de rendir cuentas sobre su ejecución. Consulted (C): Figura que debe ser consultada para la realización de la tarea. Informed (I): Figura que debe ser informada sobre la realización de la tarea.,
  3. Cumplir con la Privacidad por Diseño y por Defecto en las aplicaciones. Aunque parece un poco tarde (en principio) porque la seguridad y privacidad no es una capa adicional, sino más bien, hace parte de todo el proceso, proyecto, producto o servicio y debe ser pensado desde el centro del titular de los datos. Aquí algunas recomendaciones de la aplicación de los principios de privacidad por diseño
  4. Realizar un análisis de cada uno de los principios para el tratamiento de datos personales, los indicadores que implican el cumplimiento de cada principio y el control de cumplimiento
  5. Los riesgos asociados al tratamiento de los datos personales
  6. Realizar Evaluación de impacto de protección de datos personales
  7. TEner mapeado el ciclo de vida de los datos personales y en general, tener identificado los flujos de la información y los riesgos y medidas de seguridad asociados a dichos flujo
  8. procesos de anonimización
  9. En virtud del principio de transparencia que la información y los usos que declaró informar al ciudadano correspondan a la realidad.

3. Obligaciones de las Entidades Públicas que gestionan estas apps frente a terceros involucrados en el procesamiento 

    1. Garantizar que la información almacenada se encuentre en un país que Donde se encuentra la información (se encuentra en los T&C)
    2. Identificar e individualizar cada organización que usará la información y cuál será el uso de cada uno
    3. En qué calidad actúa, en calidad de Responsables o Encargados? o Corresponsables?
    4. No se le informa de manera clara que hay transmisión internacional de datos y las finalidades de esas transmisiones.
    5. Periodicidad de auditorías, tercero para realizar auditorías.
    6. SI hay entidades privadas cual es el rol que asumirá y que tipo de datos personales tratará.