Apps de rastreo para Covid-19 desafían los estándares de protección de datos en la ‘nueva normalidad’

El éxito de estas aplicaciones dependerá de que los ciudadanos confíen en que su privacidad está protegida y se han seguido los más altos estándares de protección y seguridad para evitar que los riesgos sean mayores que los beneficios.

1940

Cientos o quizá miles de científicos en el mundo están buscando la fórmula adecuada para la vacuna contra el Covid-19. Mientras eso sucede, los desarrolladores ―ya no con tubos de ensayo sino con el lenguaje de la programación― avanzan en la creación de aplicaciones que se instalan en los teléfonos móviles para rastrear casos de contagio.

La tecnología y la salud están intrínsecamente relacionadas en el combate a la pandemia. La primera ha ayudado a volver más rápidos los sistemas de diagnóstico, contener la propagación del virus, seguir los posibles casos de infección, mantener las actividades de trabajo y educación a distancia e, incluso, apoyar la investigación de la vacuna contra el Covid-19 por medio de supercomputadoras.

Ante la entrada a una “nueva normalidad”, en la que gradualmente se desaceleran los contagios pero hay que seguir alertas a nuevos brotes, muchos de los países afectados miran a la tecnología como un camino para cerrarle las puertas al nuevo coronavirus y apuestan por las aplicaciones móviles de rastreo como una de las herramientas.

Google y Apple lanzaron hace unos días la primera versión de su API (interfaz de programación de aplicaciones), un sistema técnico de notificación de exposición al Covid-19, que puede ser implementado para desarrollar aplicaciones finales. La API utiliza la tecnología Bluetooth para detectar cuando una persona ha estado en contacto con algún portador del virus. Así, será posible que, con información validada por las autoridades sanitarias de cada nación, los usuarios de Android o iOS reciban una alerta si han estado expuestos y tomen precauciones.

El trabajo conjunto de las empresas tecnológicas nació después de que, en los meses anteriores de la contingencia, en algunos lugares ya se estaban utilizando los datos de los usuarios de telefonía para detectar contagios y para guiar la toma de decisiones de política pública. En Europa, al menos ocho operadores (Vodafone, Telefónica, TIM, Orange, DT, Telenor, Telia y A1 Telekom Austria) acordaron compartir datos de ubicación para monitorear el movimiento durante el confinamiento.

Aunque las compañías dijeron que se trataban de datos anónimos y agregados, esto fue uno de los factores que comenzó a despertar las alarmas sobre qué tan protegidos están los datos personales al implementar tecnologías como las aplicaciones móviles, que también ya están apareciendo en países de América Latina.

María Paz Canales, directora Ejecutiva de la asociación regional Derechos Digitales, planteó en entrevista con DPL News que “el único antídoto” para garantizar la protección de los datos “es que la tecnología sea utilizada de manera proporcional: primero desde un punto de vista técnico (…) y luego desde un punto normativo, que hayan reglas claras de cómo esa tecnología puede ser utilizada y cómo se va a desmantelar una vez que el contexto de pandemia haya terminado”.

Para ello, son indispensables las legislaciones en materia de protección de datos y la aplicación de principios específicos para su tratamiento, respetando el derecho fundamental a la privacidad de los ciudadanos. De acuerdo con un análisis del Banco Interamericano de Desarrollo (BID), en América Latina se han logrado varios avances para reforzar, actualizar o incluso crear dichas leyes, en especial luego de la entrada en vigor del Reglamento General de Protección de Datos (GDPR) de la Unión Europea en 2018, que provocó que diferentes gobiernos siguieran sus pasos.

“En América Latina nos encontramos en una situación de bastante disparidad en términos de los regímenes vigentes para la protección de datos personales”, señaló Paz Canales, pues “prácticamente todos los países de la región” reconocen estos derechos en sus constituciones, pero no cuentan con la misma amplitud, ni su ejecución es efectiva. Además, también se necesita tener autoridades de control que velen por la protección de los datos.

Blanca Lilia Ibarra, comisionada del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai), órgano garante y autónomo de México, dijo a DPL News que “el derecho a la salud y el derecho a la protección de datos personales deben coexistir, más en una contingencia como esta”. Desde su punto de vista, las aplicaciones tecnológicas pueden ser muy útiles para la toma de decisiones; por ejemplo, al proporcionar información valiosa sobre los cambios de movilidad y zonas geográficas en las que se tendrían que reforzar medidas sanitarias.

Ambas expertas, desde su respectivo ámbito de acción, coinciden en que existen riesgos, ya que los datos personales pueden verse vulnerados si no se les da un tratamiento adecuado y apegado a estándares. Por ello, Ibarra expuso que “deben tomarse todas las medidas de seguridad necesarias para proteger los datos personales que se recaben en esta emergencia sanitaria”.

Las medidas incluyen fijar con claridad quiénes pueden recabar los datos en el sector público y privado; los sistemas técnicos y administrativos de seguridad; en general, cumplir con las leyes en la materia, atendiendo los principios y obligaciones, como la confidencialidad, la pertinencia y exactitud de los datos, sin identificarlos de manera individual, y siempre informando al titular. Sobre todo, es importante establecer plazos y tiempos de conservación de los datos, para evitar su uso más allá de la pandemia, explicó la comisionada.

De no seguir normativas que contemplen esos y otros puntos, en lugar de generar beneficios para el combate a la pandemia con el uso de la tecnología, se corre el riesgo de vulnerar derechos, de propiciar la discriminación contra personas que contraen el virus e incluso de desencadenar una vigilancia del Estado sobre la ciudadanía, en una América Latina que el año pasado atravesó una serie de convulsiones sociales. Con la idea de que existen mejoras para la salud o para la seguridad, no se puede justificar que las personas renuncien a derechos, sentenció Paz Canales.

“Google y Apple han demostrado en el desarrollo de este protocolo un compromiso alto con el respeto de la privacidad. Ellos están por diseño implementando algunas cuestiones que hacen que la información sea recogida de manera anónima, sin identificar a las personas”, destacó la directora de Derechos Digitales. Sin embargo, advirtió que la implementación final será responsabilidad de las autoridades de cada país, por lo que estas aplicaciones y otras dependen de las legislaciones específicas.

Para una parte de los científicos y académicos, la API de las compañías resulta más segura y viable que otros proyectos, pues utiliza Bluetooth y no el sistema GPS. La organización internacional Access Now describe, en un estudio, que los datos de ubicación pueden permitir conocer el domicilio, lugar de trabajo, nivel socioeconómico y otros datos de las personas, a partir de los cuales no necesariamente se puede hacer un seguimiento de la enfermedad sino de las personas a través de los teléfonos.

En Corea del Sur, por ejemplo, se utilizan bases de datos existentes con otras nuevas generadas a partir de la recopilación de información de cámaras de circuito cerrado de televisión; registros a través de una aplicación móvil: un conjunto de datos sobre la movilidad de los usuarios, los lugares que frecuentan y sus hábitos, lo que ha propiciado que se utilicen indebidamente por acosadores cibernéticos para hostigar a pacientes o contagiados, alerta Access Now.

Legislaciones y transparencia, las claves

A partir del GDPR en Europa y en el contexto de la economía digital, la discusión sobre la protección de los datos ha proliferado con mayor entusiasmo. En Brasil, el año pasado se comenzó a impulsar el reconocimiento de la protección de datos, incluidos los digitales, como un derecho constitucional. Y este agosto entrará en vigor la nueva Ley General de Protección de Datos, que recoge disposiciones del reglamento europeo, y nacerán una autoridad y un consejo nacional para velar por su cumplimiento.

Según un análisis del BID, el Inai de México “es probablemente la autoridad de datos más activa de América Latina” al atender peticiones, reclamaciones y diferentes procedimientos. La ley vigente en el país data del 2010. Es muy posible que México adopte ciertos estándares europeos, luego de que se adhirió a la Convención 108 y el protocolo para el flujo transfronterizo de datos.

Otras naciones de la región reflejan un panorama menos certero. “En Chile, el marco es deficiente”, considera Paz Canales, originaria de ese país. Aunque se reconoce la protección de datos personales en el marco constitucional, “la ley está desactualizada” (data de 1999) y “no tenemos una autoridad de control que tenga capacidad de fiscalización del cumplimiento de la normativa”, por lo que sostiene que el desarrollo de una aplicación tecnológica (CoronApp) se ha hecho sin ningún diálogo con el órgano de transparencia.

Cuando los gobiernos determinen que es realmente necesario acceder a los datos en la lucha contra el coronavirus, debe ser siempre con apego a las leyes existentes o de emergencia, para evitar vulnerar la privacidad y proteger los datos; a su vez, tienen que garantizar mecanismos de transparencia para que los usuarios conozcan cómo se están utilizando, para qué y hasta cuándo, recomienda Access Now.

“Hay que mirar de manera crítica cuáles son las tecnologías disponibles y cuáles son los datos que pueden ser útiles para enfrentar de mejor manera la pandemia”, recalca Paz Canales. En apego a la proporcionalidad, el diseño de aplicaciones móviles debe ceñirse a objetivos específicos y sólo requerir los datos estrictamente necesarios con base en ello. Muchos Estados están recogiendo información sin hacer distinción sobre las finalidades, por lo que incluso es posible que las tecnologías no cumplan con los fines para los que fueron pensados, señala la especialista.

Para la Organización para la Cooperación y el Desarrollo Económicos (OCDE), pocos países tienen marcos de protección de datos suficientes para respaldar las medidas extraordinarias que se toman frente a la pandemia. En ese sentido, varias naciones se encuentran desarrollando, han aprobado o están a punto de autorizar “leyes de emergencia”, en busca de reforzar la gobernanza de los datos y la privacidad.

Frente a los retos que representa la tecnología para la regulación en materia de datos, la comisionada del Inai señaló que generalmente la primera avanza más rápido que la segunda, por lo que es importante que los ciudadanos sean más conscientes del valor que tienen sus datos y exijan mayor transparencia sobre el tratamiento de lo que hoy se conoce como “el oro negro”, por el provecho comercial que se puede sacar de ellos.

La OCDE destacó que las autoridades que hacen cumplir la privacidad ya han publicado una guía general para el control y procesamiento de datos a raíz de la crisis, en países como Argentina, Australia, Canadá, Francia, Suiza, Nueva Zelanda, el Reino Unido y Alemania. Mientras que en otras naciones no ha sido necesario adoptar una nueva legislación.

En el caso de las aplicaciones de rastreo, la Asamblea de Privacidad Global, que integra a más de 130 autoridades en la materia, ha hecho énfasis en que su éxito “dependerá de la confianza de los miembros individuales del público de que su privacidad estará protegida adecuadamente y se han abordado consideraciones éticas más amplias. La aceptación puede ser mayor si los gobiernos y las organizaciones demuestran de manera transparente que los riesgos de privacidad se han abordado adecuadamente”.

La Unión Europea creó “una caja de herramientas común” para la adopción por los Estados miembros de las aplicaciones de seguimiento de Covid-19, en línea con principios de privacidad, seguridad y protección de datos del GDPR. Entre las disposiciones, se contempla el uso de datos anónimos, con consentimiento de las personas, que las aplicaciones sean interoperables en la región y la información se elimine después de la emergencia.

Las medidas de anonimización y de desagregación pueden generar una buena protección de los datos y, a la vez, hacer posible la recopilación de información útil para la toma de decisiones de política pública. Sin embargo, un estudio de Scientific Data ―y otras investigaciones―, una revista de acceso abierto, ha mostrado que la “seudonimización” estándar de los datos no es suficiente para evitar identificar a los usuarios de los teléfonos móviles, pues con información sobre lugares y tiempo aproximados es posible saber la identidad de una persona.

Otra investigación, publicada en Nature Communications, revela que en conjuntos anónimos de datos (así ya no personales y que pueden ser vendidos) es posible volver a identificar a los titulares de los datos. Los autores, un grupo de científicos de la Université Catholique de Louvain de Bélgica y del Imperial College London, descubrieron que es posible identificar con un acierto de 99.98 por ciento a las personas en Estados Unidos a las que pertenecen los datos, con base en algunos atributos dentro de agrupaciones de información anonimizada.

A nivel de la estructura técnica del recopilamiento de datos, “existen fallas en el modelo tradicional” y “falta un marco moderno y acordado para el uso de datos de teléfonos móviles por parte de terceros”, lo que deja a autoridades y operadores “con poca orientación sobre modelos técnicamente sólidos y razonables para el uso consciente de la privacidad de los datos”, advierte el análisis de Scientific Data. En pocas palabras, el algoritmo tampoco es perfecto y hay que seguir vigilando.

PaísTecnologíasFunción
ColombiaCoronAppAyuda a detectar zonas afectadas y personas cercanas con diagnóstico positivo para Covid-19.
BrasilSolución creada por la empresa inLocoLos gobiernos del país buscan implementar un sistema de geolocalización para medir la movilidad durante el confinamiento.
ChileCoronAppEl gobierno dijo que esta tecnología permitirá georeferenciar los casos de contagio y la población de riesgo. Enviará alertas a los usuarios al estar cerca de situaciones de peligro.
MéxicoCOVID-19MXLa aplicación se diseñó principalmente para el autodiagnóstico, pero pide permisos de geolocalización para canalizar a la población a centros médicos cercanos.
Perú PerúEnTusManosLa función principal es el autodiagnóstico. Permite conocer zonas de riesgo de infección y pide la ubicación para alimentar la base de datos.
ArgentinaCuidAREstá destinada al autodiagnóstico, brindar información y un certificado para circular en la vía pública, pero requiere activar la geolocalización y DNI.
ChinaHealth CodeEste sistema posibilita la vigilancia de calles. Asigna a las personas un código de color para poder estar en el espacio público, con base en el análisis de sus datos de ubicación.
FranciaStop CovidEl Parlamento de París ya aprobó esta aplicación que utiliza Bluetooth para rastrear contagios.
EspañaDataCovidSe trata de un proyecto para analizar datos anónimos provistos por los operadores, con el fin de estudiar la movilidad durante la pandemia.La app de rastreo está en desarrollo; el piloto se realizará en Canarias este mes.
Corea del SurTraceTogetherLa app utiliza Bluetooth para rastrear la proximidad de las personas con otros usuarios. Envía alertas cuando alguien entra en contacto con un individuo contagiado.

Tabla 1. Elaboración propia con información de los gobiernos. La tabla muestra ejemplos de las tecnologías implementadas para rastrear el Covid-19 o que utilizan datos de ubicación. La Unión Europea pretende adoptar una sola aplicación de rastreo para toda la región, pero la iniciativa aún no se concreta.