Tecnologia per a controlar els contagis... i els ciutadans?

Molts governs treballen per desenvolupar aplicacions mòbils que registrin els infectats per covid-19 i evitar així l’expansió de la pandèmia. Uns projectes en els quals participen grans tecnològiques com Google i Apple. Però, posen en risc la nostra privacitat?
1 Setembre de 2020
Tecnologia

Tecnologia per a controlar els contagis... i els ciutadans?

No només coneix tots els teus interessos, gustos o inquietuds mitjançant les cerques que fas amb el seu navegador. Google també rastreja la teva trajectòria digital completa. Recull informació a partir de cookies que col·loca en pàgines externes, fet que li permet saber, a més, quins webs visites, quan i quant de temps t’hi estàs o quines compres fas. Si a això sumem el seu control sobre el sistema operatiu Android –el més utilitzat– i recordem que les antenes de telefonia mòbil recullen dades sobre la nostra posició, sap sempre on som i on anem també físicament. Facebook també ho fa mitjançant les teves publicacions i likes.

Com assegura Helena Rifà, directora del Màster de Seguretat i Privacitat de la Universitat Oberta de Catalunya (UOC) i membre del Centre de Recerca en Seguretat de Catalunya (CyberCat), amb aquestes dades aquestes empreses poden deduir fàcilment no només on vivim, on hem anat a comprar o on viuen els nostres amics, sinó també quants minuts hem passat amb ells.

Els gegants tecnològics com Google o Facebook poden vincular aquesta informació a persones concretes, però tenen prohibit per llei vendre aquestes dades a tercers si no és amb el coneixement exprés de l’usuari, una qüestió que va causar problemes a la xarxa social en el passat. “Quan acceptem els seus termes i condicions, poc podem discutir”, afirma Helena Rifà. “La informació resulta més anònima per a terceres parts, però no per a ells”, recalca. És a dir, aquestes empreses sí que saben a quin usuari pertany aquesta informació.

Molts creuen de forma errònia que aquestes empreses ofereixen serveis gratis, però en realitat es tracta d’un intercanvi. En altres paraules: si no has de pagar, el més probable és que el producte siguis tu, en aquest cas, les teves dades. En aquest context de sobreexposició tecnològica, en el qual els nostres moviments ja són escrutats al detall, ¿les noves aplicacions sanitàries que es consideren contra el coronavirus suposaran realment una invasió extra a la nostra privacitat? Per a respondre bé a aquesta pregunta, primer convé saber com funcionen.

Seguir el rastre de contagis per Bluetooth

Com a conseqüència de la crisi de la covid-19, diferents governs han recorregut a aplicacions (apps) mòbils de seguiment de contactes per bluetooth. Per a regular aquesta tecnologia, la Comissió Europea va posar en marxa l’anomenat protocol DP3T (‘Decentralized Privacy-Preserving Tracing Project’), un projecte internacional que fixa una sèrie de característiques que han de complir les aplicacions de rastreig de contagiats per coronavirus i que es resumeixen en dues premisses: han de preservar l’anonimat dels usuaris i la seguretat de les dades.

Encara que aquest protocol vetlla per la seguretat i l’anonimat, aquestes aplicacions no estan exemptes de polèmica. Aquesta tecnologia és capaç d’aportar informació útil per a frenar la transmissió de la malaltia i seguir el rastre de la cadena de contagis, però perquè resulti eficaç ha d’anar acompanyada d’altres factors. A més, posar-la en marxa suposa prendre decisions respecte de la privacitat que afecten tant els drets del consumidor com la seva efectivitat, com ara permetre que altres agents accedeixin a dades privades dels usuaris.

Exercir el dret a l’oblit

Els usuaris tenen dret a demanar a les grans tecnològiques tota la informació que emmagatzemen sobre ells i també a sol·licitar que s’esborri, assenyala Helena Rifà, directora del Màster de Seguretat i Privacitat de la UOC i membre de CyberCat . Google i Facebook, per exemple, disposen d’eines per a tramitar aquesta sol·licitud: la llei empara el dret a l’oblit i les companyies tenen l’obligació de fer-lo efectiu. En el cas de Google, es pot sol·licitar la retirada d’informació personal o dels resultats d’una cerca a través d’un formulari en línia. Facebook, d’altra banda, disposa d’un servei d’ajuda per a avisar de fotos o vídeos que puguin infringir el dret a la protecció de dades. Així i tot, a vegades és complicat de portar a terme en la pràctica. En el moment en què es produeix la petició d’eliminar dades ja publicades a Internet, per exemple, pot passar que ja hagin estat descarregat o vistes per moltes persones.

Com funcionen?

Aquestes aplicacions, anomenades Contact Trace Apps, inclouen una targeta virtual en la qual s’emmagatzema informació de l’usuari. Mitjançant tecnologia bluetooth, envien dades sobre aquesta a altres mòbils amb qui la persona es creua pel carrer, a la feina, al transport públic o en una festa. Si un individu es contagia té la possibilitat de comunicar-ho a la seva aplicació perquè aquesta enviï aquesta informació a un servidor central. Aquest, al seu torn, enviaria un avís a totes les persones amb qui hagués coincidit. Així sabrien que s’han exposat al virus i podrien prendre mesures per a cuidar-se i no propagar-lo més. En principi, l’app registra sobrenoms, i no l’autèntic nom ni el número de telèfon concret dels usuaris, per la qual cosa, aparentment, l’anonimat està garantit.

El quid de la qüestió consisteix a dirimir qui té el control sobre aquestes identitats i sobre aquestes xarxes o mapes de contactes. Per a l’Agència Espanyola de Protecció de Dades (AEPD), aquest sistema pot amenaçar la privacitat dels usuaris. El tractament d’aquesta informació ha de complir els principis de protecció de dades, però l’AEPD adverteix que els protocols que existeixen perquè el registre sigui gairebé anònim són fràgils, així com els destinats a emetre els senyals de contagi.

“Sempre hi ha una possibilitat que, aplicant temps i capacitat de còmput suficients, es puguin trencar i associar els sobrenoms anònims amb números de telèfon i persones”, afirma l’agència.

Tecnologia amb molt de marge d’error

En qualsevol cas, l’eficàcia d’aquestes apps que rastregen contactes és molt discutible, adverteix Rifà.

  • No registren les superfícies contaminades que hagi pogut deixar un malalt.
  • Haurien d’anar acompanyades d’un accés generalitzat i freqüent a test. Només així es podria saber amb seguretat qui està infectat i qui ha deixat d’estar-ho.
  • El sistema bluetooth no és tan exacte per a calcular si una persona és a dos metres o més d’una altra, i l’app tampoc no sap si algú que tens a prop porta màscara o hi ha una pantalla protectora pel mig, per exemple.
  • Per a funcionar correctament, aquestes apps haurien de ser utilitzades de forma massiva. A Singapur, un dels primers països del món que va provar aquest sistema, no va resultar eficaç perquè només el 20% dels habitants tenien l’app instal·lada.

Alguns estudis calculen que, perquè fos útil, se l’hauria de descarregar el 60% de la ciutadania, cosa que, descartant ancians i nens, suposaria la pràctica totalitat dels usuaris de mòbil, assegura l’AEPD.

Aquesta és una de les raons per les quals Apple i Google es van aliar per a adaptar els seus respectius sistemes operatius: poder oferir una mateixa solució tecnològica compatible per a usuaris de iOS i d’Android en poc de temps. La seva API (interfície de programació d’aplicacions) pot ser potencialment descarregada en el 99% dels telèfons del món, el percentatge que controlen entre els dos gegants.

 

Es pot esdevenir “invisible”?

Escapar del control de les grans tecnològiques no resulta fàcil, però hi ha algunes pràctiques que poden minimitzar el volum d’informació que deixem al descobert.

  • Anar amb compte amb les dades que publiquem en xarxes socials i reflexionar sobre què podrien fer uns altres amb ells. Explicar massa ens pot convertir en víctimes de phishing (estafes sol·licitant diners o claus) o altres delictes, com ara robatoris a casa si saben que no hi som.
  • Revisar bé els permisos que concedim a cada aplicació, un fet gairebé impossible pel complicat argot legal que es fa servir i per l’extensió dels termes i les condicions. L’única opció d’estar 100% protegits és no acceptar els termes que no coneixem, fet que ens obligaria a renunciar a molts serveis.
  • Impedir l’accés a les càmeres de mòbil i ordinador quan no les fem servir, així com tapar-les durant aquest temps. També convé no donar permís al mòbil perquè conegui la nostra ubicació.
  • Obrir finestres d’incògnit quan naveguem per Internet, que inhibeixen l’enregistrament de galetes, memòria cau o historials. Estan disponibles en els grans navegadors, com ara Chrome, Explorer o Firefox.
  • Fer servir altres cercadors, com ara DuckDuckGo, que no registra els moviments, no ven anuncis i no t’ofereix en primer lloc la informació que suposa que vols, sinó la que considera més important.

Informació sanitària, en mans privades

Apple i Google han garantit la privacitat i la seguretat dels usuaris però, per als sectors crítics, és alarmant que la informació sanitària de les persones, altament sensible i normalment a resguard d’empreses, pugui passar a les mans de companyies que precisament es dediquen a l’extracció de dades i tenen divisions sanitàries, com aquestes dues.

Per a minimitzar riscos, Espanya va considerar un altre tipus de sistemes (sense la participació d’Apple i Google) a l’hora implantar aquesta tecnologia, però finalment es va haver de rendir a la proposta dels dos colossos tecnològics per a arribar al màxim nombre de persones possible o per a assegurar que funciona correctament, com han fet altres països europeus.

Carmela Troncoso, experta en privacitat a l’Escola Politècnica Federal de Lausana (Suïssa), des d’on lidera el desenvolupament del protocol DP3T de rastreig per a mòbils, adverteix que aquests sistemes han d’enquadrar-se en un marc legal, social, sanitari i epidemiològic, i el seu funcionament ha de ser transparent per a les persones. Ningú, per exemple, hauria de ser acomiadat de la feina si es nega a instal·lar-se una app.

Per a Helena Rifà, és l’origen mateix de les aplicacions el que provoca aquesta sensació d’incertesa. “No han estat dissenyades pels governs, sinó per empreses privades que en el fons controlen aquesta tecnologia i les nostres dades sanitàries”, adverteix. Les institucions públiques no han auditat ni vigilat el procés d’elaboració d’aquests sistemes. “Les apps són de disseny privat i més o menys correctes, però hi ha el risc que es difongui informació personal i sensible”. Tenint en compte això i les limitacions, llança una pregunta que molts es fan: “És necessari que s’implantin?”.

Són segures altres tecnologies per a frenar la covid-19?

Geolocalització de mòbils per part d’operadors de telecomunicacions

  • Què és. Informació anonimitzada que proporcionen els operadors de telefonia mòbil sobre la ubicació aproximada dels seus usuaris, necessària per a prestar servei. Sense fer-la anònima, aquesta informació només pot ser requerida per les Forces i els Cossos de Seguretat amb una ordre judicial.
  • Amenaça la privacitat? És susceptible de ser subcontractada de forma poc rigorosa o de patir ciberatacs, però no gaire més que abans de la covid-19.
  • Beneficia el control de la pandèmia? Per a les administracions és útil conèixer els patrons de mobilitat de la població. S’ha considerat que la policia pugui demanar la identificació als usuaris en determinats casos per a garantir el control de la pandèmia segons els criteris de les autoritats sanitàries.

Geolocalització de mòbils a partir de xarxes socials

  • Què és. Empreses com Facebook o Google subministren la informació sobre les adreces IP (espècie de DNI de l’ordinador) des de les quals accedim a Internet, i això permet saber on són els nostres mòbils. Aquesta tecnologia se sol fer servir per a publicitat.
  • Amenaça la privacitat? Sí, però no és una cosa nova ni derivada de la crisi de la covid-19. Aquesta amenaça pot ser més crítica si aquesta informació és enriquida amb dades personals derivades de l’activitat en els perfils d’usuari.
  • Beneficia el control de la pandèmia? Podria ajudar sempre que hi participessin les autoritats sanitàries i que la finalitat de la recollida de les dades fos molt clara. Els departaments de Salut Pública són els que haurien d’establir el nivell de detall necessari per a dissenyar estratègies de prevenció i control.

Apps, webs i chatbots per a autotest o cita prèvia

  • Què són. Solucions que implementen test de preguntes i respostes, consultes d’informació o registre de cites prèvies en els serveis sanitaris. Són de les menys noves, però de les més utilitzades.
  • Amenacen la privacitat? Depèn de com estiguin fetes i de quins siguin els seus objectius. Algunes sí que posen en risc la privacitat.
  • Beneficien el control de la pandèmia? Si estan ben construïdes, sí, perquè informen les persones i acosten serveis de salut, alhora que alliberen el trànsit de canals telefònics. El risc és deixar sense cobertura els qui no posseeixin un mòbil o un ordinador.

Apps de recollida d’informació voluntària de contagiats (Covapps)

  • Què són. Apps sorgides en alguns casos d’iniciatives ciutadanes, per a fer els seus propis mapes i estadístiques de propagació del virus a partir de dades proporcionades voluntàriament pels usuaris.
  • Amenacen la privacitat? Podrien fer-ho si les finalitats que declaren no són tan altruistes o si les presses condueixen a desenvolupaments sense garanties. O si s’exposen de manera inapropiada dades sobre salut i localitzacions precises que poguessin estigmatitzar barris, habitants o negocis.
  • Beneficien el control de la pandèmia? Des de l’ús voluntari i sense cap autoritat que ho controli, no és possible saber la fiabilitat de la informació que contenen, per la qual cosa poden contribuir a divulgar notícies errònies i resultar un perjudici. Caldria que ningú no mentís i que les mostres fossin representatives.

Passaport d’immunitat

  • Què és. Una app que funciona com un passaport de paper o un bitllet d’avió. Inclou un codi en el qual s’indica si el portador està contagiat o immunitzat, perquè una persona autoritzada (com ara un sanitari) o una màquina ho supervisi.
  • Amenaça la privacitat? Podria. Si el sistema de l’app es vulnera, les dades de salut podrien creuar-se amb d’altres de localització o quedar exposades a ciberdelinqüents. A més, no totes les persones hi tindrien accés i les proves mèdiques haurien de ser presencials.
  • Beneficia el control de la pandèmia? Si les dades registrades fossin segures i estiguessin actualitzades, es podrien compartir amb altres sistemes i hi podria accedir el personal adequat. Però per a això hauria d’anar acompanyat de test fiables i ús massiu d’aquesta tecnologia.

Càmeres d’infrarojos

  • Què són. Càmeres capaces de prendre la temperatura corporal a persones que creuen una àrea i d’identificar rostres humans mitjançant algorismes d’intel·ligència artificial.
  • Amenacen la privacitat? Sí, perquè treballen amb dades que pertanyen a categories especials, com les relacionades amb la salut, per la qual cosa no poden quedar en mans de qualsevol gestor d’un lloc públic. Hi ha risc de discriminació, estigmatització i, potser, difusió pública d’informació que hauria de ser confidencial.
  • Beneficien el control de la pandèmia? Detectarien les persones amb febre, però no els asimptomàtics, de manera que es crearia una falsa sensació de seguretat. A més, tenir la temperatura alta no equival a patir coronavirus.

Font: Agència Espanyola de Protecció de Dades.