Tecnoloxía para controlar os contaxios... e os cidadáns?

Moitos gobernos traballan para desenvolver aplicacións móbiles para rexistrar os infectados por covid-19 e evitar así a expansión da pandemia. Uns proxectos nos que participan grandes tecnolóxicas como Google e Apple. Pero, poñen en risco nosa privacidade?
1 Setembro de 2020
Tecnologia

Tecnoloxía para controlar os contaxios... e os cidadáns?

Non só coñece todos os teus intereses, gustos ou inquietudes a través das buscas que realizas no seu navegador. Google tamén rastrea a túa traxectoria dixital completa. Recompila información a partir de cookies que coloca en páxinas externas, o que lle permite saber ademais que webs visitas, cando e canto tempo estiveches nelas ou que compras fas. Se a iso lle sumamos o seu control sobre o sistema operativo Android –o máis usado– e recordamos que as antenas de telefonía móbil recollen datos sobre a nosa posición, sabe sempre onde estamos e a onde imos tamén fisicamente. Facebook tamén o fai a través das túas publicacións e likes.

Como asegura Helena Rifà, directora do Máster de Seguridade e Privacidade da Universitat Oberta de Catalunya (UOC) e membro do Centro de Investigación en Seguridade de Cataluña (CyberCat), con eses datos estas empresas poden deducir facilmente non só onde vivimos, onde fomos comprar ou onde residen os nosos amigos, senón tamén cantos minutos pasamos con eles. Os xigantes tecnolóxicos como Google ou Facebook poden vincular esa información a persoas concretas, pero teñen prohibido por lei vender eses datos a terceiros se non é co coñecemento expreso do usuario, algo que lle causou problemas á rede social no pasado.

“En canto aceptamos os seus termos e condicións, pouco se pode discutir”, sinala Helena Rifà, “A información resulta máis anónima para terceiras partes, pero non para eles”, recalca. É dicir, estas empresas si que saben a que usuario pertence esa información. Moitos cren de forma errónea que estas empresas ofrecen servizos gratis, pero en realidade trátase dun intercambio. Noutras palabras: se non tes que pagar, o máis probable é que o produto sexas ti, neste caso, os teus datos. Neste contexto de sobreexposición tecnolóxica, no que os nosos movementos xa son escrutados ao detalle, suporán realmente as novas aplicacións sanitarias que se barallan contra o coronavirus unha invasión extra á nosa privacidade? Para responder ben a esta pregunta, primeiro convén saber como funcionan.

Seguir o rastro de contaxios por ‘bluetooth’

Como consecuencia da crise da covid-19, distintos gobernos recorreron a aplicacións (apps) móbiles de seguimento de contactos por bluetooth. Para regular esta tecnoloxía, a Comisión Europea puxo en marcha o chamado protocolo DP3T (Decentralized Privacy-Preserving Tracing project), un proxecto internacional que fixa unha serie de características que deben cumprir as aplicacións de rastrexo de contaxiados por coronavirus e que se resumen en dúas premisas: deben preservar o anonimato dos usuarios e a seguridade dos datos. Aínda que este protocolo mira pola seguridade e o anonimato, estas aplicacións non están exentas de polémica.

Esta tecnoloxía é capaz de proporcionar información útil para frear a transmisión da enfermidade e seguir o rastro da cadea de contaxios, pero para que resulte eficaz debe ir acompañada doutros factores. Ademais, poñela en marcha supón tomar decisións a respecto da privacidade que afectan tanto aos dereitos do consumidor como á súa efectividade, como permitir o acceso a outros axentes a datos privados dos usuarios.

Exercer o dereito ao esquecemento

Os usuarios teñen dereito a pedirlles ás grandes tecnolóxicas toda a información que almacenan sobre eles e tamén a solicitar que se borre, sinala Helena Rifà, directora do Máster de Seguridade e Privacidade da UOC e membro de CyberCat. Google e Facebook, por exemplo, dispoñen de ferramentas para tramitar esta solicitude: a lei ampara o dereito ao esquecemento e as compañías teñen a obrigación de facelo efectivo. No caso de Google, pódese solicitar a retirada de información persoal ou dos resultados dunha procura a través dun formulario en liña. Facebook, pola súa banda, conta cun servizo de axuda para avisar de fotos ou vídeos que poidan infrinxir o dereito á protección de datos. Aínda así, ás veces é algo complicado de levar a cabo na práctica. No momento en que se produce a petición de eliminar datos xa publicados en Internet, por exemplo, pode suceder que estes xa sexan descargados ou vistos por moitas persoas.

Como funcionan?

Estas aplicacións, chamadas contact trace apps, inclúen unha tarxeta virtual na que se almacena información do usuario. Mediante tecnoloxía bluetooth, envían datos sobre ela a outros móbiles cos que a persoa se cruza pola rúa, no traballo, no transporte público ou nunha festa. Se un individuo se contaxia ten a posibilidade de comunicarllo á súa aplicación para que esta envíe esa información a un servidor central. Este, á súa vez, mandaría un aviso a todas as persoas coas que coincidise. Así saberían que se expuxeron ao virus e poderían tomar medidas para coidarse e no propagalo máis. En principio, a app rexistra alcumes, e non o auténtico nome nin o número de teléfono concreto dos usuarios, polo que, aparentemente, o anonimato está garantizado.

O quid da cuestión consiste en dirimir quen ten o control sobre esas identidades e sobre esas redes ou mapas de contactos. Para a Axencia Española de Protección de Datos (AEPD), este sistema pode ameazar a privacidade dos usuarios. O tratamento desa información debe cumprir os principios de protección de datos, pero a AEPD advirte de que os protocolos que existen para que o rexistro sexa case anónimo son fráxiles, así coma os destinados a emitir os sinais de contaxio. “Sempre existe unha posibilidade de que, aplicando suficiente tempo e capacidade de cómputo, poidan romperse e asociar os alcumes anónimos con números de teléfono e persoas”, afirma a axencia.

Tecnoloxía con moita marxe de erro

En calquera caso, a eficacia destas apps que rastrexan contactos é moi discutible, advirte Rifà.

  • Non rexistran as superficies contaminadas que poida deixar un enfermo.
  • Deberían ir acompañadas dun acceso xeneralizado e frecuente a test. Só así se podería saber con seguridade quen está infectado e quen deixou de estalo.
  • O sistema bluetooth non é tan exacto como para calcular se unha persoa está a dous metros ou máis doutra, e a app tampouco sabe se alguén que tes preto leva máscara ou hai unha pantalla protectora polo medio, por exemplo.
  • Para funcionar correctamente, estas apps terían que ser utilizadas de forma masiva. En Singapur, un dos primeiros países do mundo que probou este sistema, non resultou eficaz xa que só o 20 % dos seus habitantes tiñan a app instalada.

Algúns estudos calculan que, para ser de utilidade, o 60 % da cidadanía debería descargalas, o que, descartando a anciáns e nenos, supoñería a práctica totalidade dos usuarios de móbil, asegura a AEPD. Esta é unha das razóns polas que Apple e Google se aliaron para adaptar os seus respectivos sistemas operativos: poder ofrecer una mesma solución tecnolóxica compatible para usuarios de iOS e de Android en pouco tempo. O seu API (interface de programación de aplicacións) pode ser potencialmente descargada no 99% dos smartphones do mundo, a porcentaxe que controlan entre os dous xigantes.

Información sanitaria, en mans privadas

Apple e Google garantiron a privacidade e a seguridade dos usuarios pero, para os sectores críticos, resulta alarmante que a información sanitaria das persoas, altamente sensible e normalmente a salvo de empresas, poida pasar a mans de compañías que precisamente se dedican á extracción de datos e teñen divisións sanitarias, como estas dúas. Para minimizar riscos, España barallou outro tipo de sistemas (sen a participación de Apple e Google) á hora implantar esta tecnoloxía, aínda que finalmente tivo que renderse á proposta dos dous colosos tecnolóxicos para chegar ao máximo número de persoas posible ou asegurar o seu correcto funcionamento, como fixeron outros países europeos.

Carmela Troncoso, experta en privacidade na Escola Politécnica Federal de Lausana (Suíza), desde onde lidera o desenvolvemento do protocolo DP3T de rastrexo para móbiles, advirte de que estes sistemas deben encadrarse nun marco legal, social, sanitario e epidemiolóxico, e o seu funcionamento debe ser transparente para as persoas. Ninguén, por exemplo, debería ser despedido do seu traballo se se nega a instalar unha app. Para Helena Rifà, é a orixe mesmo das aplicacións o que provoca esa sensación de incerteza. “Non foron deseñadas polos gobernos, senón por empresas privadas que no fondo controlan esa tecnoloxía e os nosos datos sanitarios”, advirte, As institucións públicas non auditaron nin vixiaron o proceso de elaboración deses sistemas. “As apps son de deseño privado e máis ou menos correctas, pero existe o risco de que se difunda información persoal e sensible”. Tendo en conta isto e as limitacións, lanza unha pregunta que moitos se fan: “É necesario que se implanten?”.

É posible volverse ‘invisible’? 

Escapar do control das grandes tecnolóxicas non resulta fácil, pero existen algunhas prácticas que poden minimizar o volume de información que deixamos ao descuberto.

  • Ter coidado cos datos que publicamos nas redes sociais e reflexionar sobre que poderían facer outros con eles. Contar demasiado pode converternos en vítimas de phishing (estafas solicitando cartos o claves) ou outros delitos, coma roubos na casa se saben que non estamos.
  • Revisar ben os permisos que concedemos a cada aplicación, algo case imposible debido á complicada xerga legal que se utiliza e á extensión dos termos e condicións. A única opción de estar 100 % protexidos é non aceptar os termos que non coñecemos, o que nos obrigaría a renunciar a moitos servizos.
  • Impedir o acceso ás cámaras de móbil e ordenador cando non as esteamos usando, así como tapalas durante ese tempo. Tamén convén non darlle permiso ao móbil para que coñeza a nosa localización.
  • Abrir fiestras de incógnito cando naveguemos por Internet, que inhiben a gravación de cookies, caché ou historiais. Están dispoñibles nos grandes navegadores, coma Chrome, Explorer ou Firefox.
  • Utilizar outros buscadores, coma por exemplo DuckDuckGo, que non rexistra os teus movementos, non vende anuncios e non che ofrece en primeiro lugar a información que supón que queres, senón a que considera máis importante.

Son seguras outras tecnoloxías para frear a covid-19?

Xeolocalización de móbiles por parte de operadores de telecomunicacións

  • Que é. Información anonimizada que proporcionan os operadores de telefonía móbil sobre a localización aproximada dos seus usuarios, necesaria para prestar servizo. Sen facela anónima, esa información só pode ser demandada polas Forzas e Corpos de Seguridade cunha orde xudicial.
  • Ameaza a privacidade? É susceptible de ser subcontratada de forma pouco rigorosa ou de sufrir ciberataques, pero non moito máis ca antes da covid-19.
  • Beneficia ao control da pandemia? Para as administracións resulta útil coñecer os patróns de mobilidade da poboación. Barallouse que a policía lle puidese pedir a identificación aos usuarios en determinados casos para garantir o control da pandemia conforme aos criterios das autoridades sanitarias.

Xeolocalización de móbiles a partir de redes sociais

  • Que é. Empresas como Facebook ou Google fornecen a información sobre as direccións IP (especie de DNI do ordenador) desde as que accedemos a Internet, o que que permite saber onde están os nosos móbiles. Esta tecnoloxía acostuma usarse para a publicidade.
  • Ameaza a privacidade? Si, pero non é algo novo nin derivado da crise da covid-19. Esta ameaza pode ser máis crítica se esta información é enriquecida con datos persoais derivados da actividade nos perfís de usuario.
  • Beneficia ao control da pandemia? Podería axudar sempre e cando participen as autoridades sanitarias e a finalidade da recollida destes datos estea moi clara. Os Departamentos de Saúde Pública son os que deberían establecer o nivel de detalle necesario para deseñar estratexias de prevención e control.

‘Apps’, webs e ‘chatbots’ para auto-test ou cita previa

  • Que son. Solucións que implementan test de preguntas e respostas, consultas de información ou rexistro de citas previas nos servizos sanitarios. Son das menos novidosas, pero das máis utilizadas.
  • Ameazan a privacidade? Depende de como estean realizadas e cales sexan os seus obxectivos. Algunhas delas si que poñen en risco a privacidade.
  • Benefician ao control da pandemia? Se están ben construídas, si, porque informan as persoas e achegan servizos de saúde, ao tempo que liberan o tráfico de canles telefónicas. O risco é deixar sen cobertura a quen non posúan un móbil ou un ordenador.

Apps’ de recollida de información voluntaria de contaxiados (Covapps) 

  • Que son. Apps xurdidas nalgúns casos de iniciativas cidadás, para facer os seus propios mapas e estatísticas de propagación do virus a partir de datos proporcionados voluntariamente polos usuarios.
  • Ameazan a privacidade? Poderían facelo se os fins que declaran non son tan altruístas ou se as présas conducen a desenvolvementos sen garantías. Ou ao expor de maneira inapropiada datos sobre saúde e localizacións precisas que puidesen estigmatizar barrios, habitantes ou negocios.
  • Benefician ao control da pandemia? Desde o uso voluntario e sen ningunha autoridade que o controle, non é posible saber a fiabilidade da información que conteñen, polo que poden contribuír a divulgar noticias erróneas e resultar un prexuízo. Precisaríase que ninguén mentise e que as mostras fosen representativas.

Pasaporte de inmunidade

  • Que é. Unha app que funciona coma un pasaporte de papel o un billete de avión. Inclúe un código no que se indica se o portador está contaxiado ou inmunizado, para que unha persoa autorizada (coma, por exemplo, un sanitario) ou unha máquina o supervise.
  • Ameaza a privacidade? Podería. Se o sistema da app se vulnera, os datos de saúde poderían cruzarse con outros de localización ou quedar expostos a ciberdelincuentes. Ademais, non todas as persoas terían acceso e as probas médicas deberían ser presenciais.
  • Beneficia ao control da pandemia? Se os datos rexistrados estivesen seguros e actualizados, se puidesen compartir con outros sistemas e puidese acceder a eles o persoal adecuado. Pero para iso tería que ir acompañado de test fiables e uso masivo desta tecnoloxía.

Cámaras de infravermellos

  • Que son. Cámaras capaces de tomarlle a temperatura corporal a persoas que cruzan unha área e de identificar rostros humanos mediante algoritmos de intelixencia artificial.
  • Ameazan a privacidade? Si, porque traballan con datos que pertencen a categorías especiais, coma os relacionados coa saúde, polo que non poden quedar en mans de calquera xestor dun lugar público. Hai risco de discriminación, estigmatización e, talvez, difusión pública de información que debería ser confidencial.
  • Benefician ao control da pandemia? Detectarían as persoas con febre, pero non os asintomáticos, co que se crearía unha falsa sensación de seguridade. Ademais, ter a temperatura alta non equivale a padecer coronavirus.

Fonte: Axencia Española de Protección de Datos.