[BigDataSur-COVID] Riesgos e incertidumbres en las aplicaciones para el rastreo de contagios (1/2)

by Javier Sánchez-Monedero (Data Justice Lab)

Originally published in El Salto Diario

[EN] After weeks of debate on the implications of contact-tracking applications to fight COVID-19, there is an urgent need to interrogate their effectiveness and social impact beyond privacy and data protection issues. The recent proposal by Google and Apple imposes a model of governance of the pandemic that has been already adopted by many countries. However, the applications are useless in the face of the scarcity of other resources, such as health personnel with specific training, availability of reliable and rapid diagnostic tests, legal reforms or socio-health responses. In addition, tracing systems based on apps could systematically exclude vulnerable social groups as well threatening individual and collective rights.

[ES] Tras semanas de debate sobre las implicaciones de las aplicaciones de rastreo de contactos para luchar contra la COVID-19 urge analizar su eficacia e impacto social más allá de la privacidad y protección de datos. La alianza de Google y Apple de facto un modelo de gobernanza sanitaria desde las multinacionales que ya han aceptado muchos países. Sin embargo, las aplicaciones son inútiles ante la escasez de otros recursos, como personal sanitario con formación específica, disponibilidad de pruebas diagnósticas fiables y rápidas, reformas legales o respuestas sociosanitarias en caso de contagio, que a día de hoy, siguen siendo insuficientes. Además, los sistemas de rastreo mediante móviles podrían excluir sistemáticamente a grupos sociales vulnerables, además de presentar riesgos para los derechos individuales y colectivos.

El despliegue de sistemas de vigilancia casi nunca es temporal

En 2003 entraba en funcionamiento el sistema EURODAC, una base de datos biométricos para coordinar las peticiones de asilo en Europa. Los datos eran sencillos, las huellas dactilares y el país de entrada en la UE de quien demandaba asilo, y el objetivo único:  evitar peticiones de asilo en más de un país a la vez. Tras varias reformas, en la actualidad EURODAC es utilizado para controlar la inmigración irregular, deportar y separar a familias y es empleado por las fuerzas de seguridad como una base de datos de criminales. El ámbito e interoperabilidad de este sistema sigue ampliándose. La actual propuesta de reforma, en trámite, incluye la ampliación de datos (biografía, documentos, fotografía…), la reducción de la edad obligatoria para el registro a 6 años, la integración sistemática de los datos en los sistemas de visado, viajeros y policiales europeos y la cesión de datos a terceros países. Así, una herramienta sencilla y con un único fin se ha ido ampliando y reformando, incluyendo el marco legal, hasta convertirse en un sistema de vigilancia a escala continental de colectivos vulnerables.

Inmersos en el debate continuo sobre la gestión de la pandemia, las narrativas oficiales insisten en que si algo tienen en común las diferentes estrategias de éxito es el rol de la tecnología en la vigilancia epidemiológica de la población. En las últimas semanas, se ha intensificado el debate sobre la necesidad de adoptar aplicaciones de rastreo en nuestros móviles que permitan notificar a los usuarios que han estado en contacto con una persona infectada. Para ello, se registraría la línea temporal de desplazamientos y/o la lista de personas con las que se interactúa para informar a una persona que ha estado en contacto con un caso positivo. Se nos presentan China, Singapur o Corea del Sur como casos de éxito basados en la tecnología y se sugiere, en aras de controlar la epidemia, sacrificar la privacidad y autonomía permitiendo a estados y empresas gestionar, a través de la tecnología, aspectos de nuestras vidas a los que hasta ahora no podían acceder como son la libertad de circulación, el acceso a nuestro puesto de trabajo o nuestra libertad para reunirnos con otras personas.

La propuesta, sin precedentes en la historia, ha encendido numerosos debates alertando de los riesgos de que tal información exista o si es posible implementar estos sistemas mitigando al máximo estos riesgos. Al debate se suman Google y Apple con una propuesta de rastreos de contactos descentralizada y que parece ofrecer ciertas garantías de privacidad, aunque no debemos olvidar que estas dos empresas ya tienen en su poder el historial de movilidad de la mayor parte de los usuarios de sus terminales. En este texto interrogamos críticamente las opciones tecnológicas que se están barajando en Europa y España y cuestionamos tanto su función técnica como su rol desde la economía política y los riesgos que entrañan. En un momento de shock colectivo conviene no aceptar sistemas de control social irreversibles. La experiencia de casos como EURODAC nos dice que una vez puestos en marcha no se vuelven a apagar.

El (fracasado) modelo de Singapur

El debate viene presentado por el “éxito” del  modelo empleado en Singapur, país que aparentemente había controlado la pandemia en marzo gracias, en parte, al rastreo de contactos a través de los móviles, y de un estudio matemático publicado en Science el 30 de marzo (ver Ferretti et al. 2020). Frente a la idea de registrar dónde ha estado una persona, Singapur implementó el rastreo de contactos, es decir, con quién ha estado esa persona. Si tenemos una base de datos de contactos entre personas, cuando una presente síntomas y se confirme su caso, se podrá notificar a la lista de personas que estuvieron en contacto con esta persona. Este sistema funciona utilizando los sensores bluetooth de los móviles para poder establecer qué dispositivos están cerca de otros. Para ello, una aplicación emite periódicamente una serie de señales que son detectadas y almacenadas por los móviles de otras personas.

Frente a esta propuesta, otras opciones pasan por registrar todos los movimientos de una persona para ver si se ha coincidido en lugar y hora con una persona infectada o ha accedido a un recinto cerrado donde estuvo esta persona. Esto se implementaría, como ya lo hace Google para fines publicitarios, utilizando todos los sensores disponibles del móvil (GPS, wifi, bluetooth, brújula, acelerómetro, etc.). Además de estas opciones, los estados pueden implementar otras, como ocurre en el caso polaco o taiwanés, donde las personas en cuarentena deben activar la ubicación de su móvil y sacarse una fotografía en el interior de su casa tres veces al día o de lo contrario recibirán la visita de la policía. El catálogo de aplicaciones, como vemos, es variado.

Recientemente, el caso de “éxito” de Singapur dejó de serlo cuando a finales de abril el país tuvo que adoptar el confinamiento de la población ante la imposibilidad de controlar la expansión del virus por medios tecnológicos. Las causas son múltiples, por ejemplo se ha apuntado al hacinamiento de trabajadores inmigrantes pero también al exceso de confianza en las capacidades del sistema de seguimiento de contactos a través de móviles. Este sistema de rastreo de móviles de Singapur no ha funcionado por varias razones: 1) sólo 1 de cada 6 personas había instalado la aplicación; 2) para que la aplicación funcionase correctamente el móvil necesitaba estar desbloqueado y la aplicación en primer plano (es decir, no se podía utilizar otra función del móvil simultáneamente); 3) y fuera del objetivo de este texto, el porcentaje tan alto de personas contagiosas asintomáticas no diagnosticadas reduce mucho su eficacia. Además, aunque se nos presente el caso como un éxito basado en la tecnología, el gobierno de Singapur insiste en el que el sistema requería de una buena cantidad de rastreadores humanos para tener un control efectivo de los casos. Esta segunda parte de la historia no suele estar presente entre los promotores de estos sistemas automáticos.

Propuestas europeas y modelos con “privacidad desde el diseño”

El modelo de rastreo de movilidad ha sido descartado por la mayoría de países europeos tanto por la presión de la opinión pública como por la regulación de protección de datos de la UE. De este modo, muchos países como Alemania, Francia, SuizaReino Unido o Italia están estudiando o desarrollando sistemas de rastreo de interacciones entre personas. La posición de España aún no es clara al respecto. En todo caso, la UE acaba de publicar un serie de recomendaciones para el rastreo de contactos: las autoridades sanitarias deberán aprobar las aplicaciones y ser responsables del cumplimiento de la normativa europea de protección de datos incluyendo a las autoridades nacionales de protección de datos; los usuarios deben tener control total sobre sus datos; la instalación de la app debe ser voluntaria; no se podrán rastrear los movimientos de las personas; los datos deben almacenarse de forma cifrada únicamente en los móviles; las apps deben ser interoperables entre países de la UE y deberían desactivarse en cuanto no sean necesarias. Un ejemplo es la aplicación propuesta por la Generalitat de Catalunya, encargada a una empresa de marketing y geofencing, que incumpliría muchas de estas recomendaciones y probablemente cualquier reglamento europeo de protección de datos.

La mayoría de las soluciones caben en dos categorías, centralizadas o descentralizadas, y se diferencian en los grados de protección de la privacidad para la ciudadanía. El punto común es que todas se basan en el uso de bluetooth para detectar a personas a nuestro alrededor con las que hemos coincidido.

La opción centralizada consiste en el envío sistemático de información de interacciones de riesgo con personas a un servidor central. En este caso, se intenta mantener el anonimato dando al móvil un código (o pseudo-identificador) que permite que el servidor central notifique alguna interacción con un positivo de COVID-19 pero no permite identificar a la persona.

La opción descentralizada y con “privacidad desde el diseño” consiste en mantener los datos exclusivamente en el móvil de una persona (descentralizada) y evitar el uso de identificadores que puedan revelar la identidad de la persona pero que permitan que el sistema funcione. Este sería el ejemplo de DP-3T, que surge de un grupo multidisciplinar de investigadores en privacidad y seguridad de varias instituciones europeas. En este caso, cada terminal genera una serie de identificadores efímeros (cadenas de caracteres aleatorias) que emite a través de bluetooth. Estas cadenas cambian cada poco tiempo de manera que otros terminales pueden guardarlas y estimar cuánto tiempo han estado cerca de una persona sin saber quién es esta persona. En este caso, tanto los identificadores efímeros producidos como detectados se almacenan únicamente en el teléfono. Ante un caso positivo los identificadores efímeros generados desde un terminal se añadirían a una base de datos central que los teléfonos de todos los ciudadanos descargarían periódicamente para comprobar que los identificadores que han ido almacenando coinciden con los de alguna persona que haya dado positivo. De esta forma no se puede revelar la identidad de ninguna persona ni el lugar de la interacción. Para más detalles sobre el protocolo DP-3T animamos a consultar la documentación oficial y la versión en castellano del cómic explicativo.

A este tipo de diseños se les considera “privacidad desde el diseño” porque la privacidad se garantiza a nivel de diseño y código, y no se implementa en base a confianza a terceras partes. El equipo detrás del DP-3T genera confianza por varios factores que no se dan a la vez en otras propuestas: privacidad por diseño, el equipo tiene experiencia y es interdisciplinar, la documentación y código son abiertos y discutibles, el sistema está siendo auditado por terceras partes, etc. Por último, el nivel de centralización o descentralización pueden ser graduales. Este es el caso de Reino Unido, donde una clave de cifrado maestra protege, basándonos en nuestra confianza en el buen uso y custodia del organismo correspondiente, que se puedan usar los pseudo-identificadores (que luego se utilizan para generar identificadores efímeros) que genera la app al instalarse para identificar a personas reales. Por lo demás, esta opción tiene bastantes similitudes funcionales con DP-3T. Es complejo entrar en más detalles sobre el funcionamiento de las propuestas, ya que los cambios van por días (de hecho, en el momento de escribir este artículo el NHS está considerando descentralizar su propuesta en parte para cumplir con los requisitos técnicos y de privacidad que impone Apple, como veremos a continuación). Sea cual sea la opción, para completar el puzle, es necesario un servidor central, de la autoridad sanitaria, donde registrar los códigos de las personas diagnosticadas con COVID-19

Hace un mes, Google y Apple anunciaban una alianza para desarrollar un sistema de seguimiento de contactos a través de los móviles. Su propuesta se inspira en el protocolo de seguimiento DP-3T: detección de contactos con personas a través de las balizas bluetooth con identificadores efímeros que se almacenan y verifican siempre en el terminal del usuario. La propuesta de Google y Apple se implantaría a nivel del sistema operativo en próximas actualizaciones y no queda claro cómo podría aceptarla o rechazarla el usuario, aunque las primeras versiones desveladas apuntan a que sería una opción más de la configuración. La alianza ya ha publicado las especificaciones de la interfaz de programación para impulsar el desarrollo de aplicaciones que hagan uso de estos datos. La idea es que, si bien las multinacionales proporcionarán esta funcionalidad a nivel del sistema operativo, sea cada organismo local (estado, autoridad sanitaria, etc.) quién desarrolle una aplicación que haga uso de esos datos y los integre dentro del sistema de salud. Por ejemplo, en España el Ministerio de Sanidad podría desarrollar una aplicación que gestione qué acciones se disparan después de que nuestro terminal detecte que hemos estado con una persona diagnosticada de COVID-19.

En cualquier caso, las soluciones de cualquier tipo tendrán que pasar obligatoriamente por el visto bueno de Google y Apple si quieren ser operativas. Esto tiene varias razones técnicas: 1) cualquier solución pasa por la “adopción” masiva por la población, y esto probablemente se conseguirá con un sistema implantado a nivel del sistema operativo y/o una notificación a cada persona sugiriendo instalar la aplicación de la autoridad sanitaria correspondiente; 2) los dispositivos de Apple no permiten que una aplicación se ejecute en segundo plano por seguridad (fuente de enfrentamiento reciente entre el Gobierno Francés y Apple); 3) los sensores bluetooth de Android y Apple, a pesar de estar estandarizados, no son capaces de interaccionar correctamente sin una serie de modificaciones en las que trabajan las dos compañías. Como vemos, esta solución tecnológica impone de facto un modelo de gobernanza sanitaria desde las multinacionales que ya han aceptado países como Suiza.

[to be continued]

Gracias a todo el colectivo de La Paradoja de Jevons y a Elena Ruiz Peralta por sus correcciones y aportaciones.

Author’s bio

Javier Sánchez Monedero is Research Associate at Cardiff’s School of Journalism, Media and Culture and the Data Justice Lab. With a background in Computer Science, his current research aims at filling the knowledge gap between social and media researchers and technology as well as to perform technological auditing and design proposals in the intersection of intelligent information systems.