Tecnología para controlar los contagios... y ¿a los ciudadanos?
No solo conoce todos tus intereses, gustos o inquietudes a través de las búsquedas que realizas en su navegador. Google también rastrea tu trayectoria digital completa. Recopila información a partir de cookies que coloca en páginas externas, lo que le permite saber además qué webs visitas, cuándo y cuánto tiempo te detienes en ellas o qué compras llevas a cabo. Si a ello sumamos su control sobre el sistema operativo Android –el más usado– y recordamos que las antenas de telefonía móvil recogen datos sobre nuestra posición, sabe siempre dónde estamos y a dónde vamos también físicamente. Facebook también lo hace a través de tus publicaciones y likes.
Como asegura Helena Rifà, directora del Máster de Seguridad y Privacidad de la Universitat Oberta de Catalunya (UOC) y miembro del Centro de Investigación en Seguridad de Cataluña (CyberCat), con esos datos estas empresas puede deducir fácilmente no solo dónde vivimos, dónde hemos ido a comprar o dónde residen nuestros amigos, sino también cuántos minutos hemos pasado con ellos. Los gigantes tecnológicos como Google o Facebook pueden vincular esa información a personas concretas, pero tienen prohibido por ley vender esos datos a terceros si no es con el conocimiento expreso del usuario, algo que causó problemas a la red social en el pasado.
“En cuanto aceptamos sus términos y condiciones, poco se puede discutir”, afirma Helena Rifà. “La información resulta más anónima para terceras partes, pero no para ellos”, recalca. Es decir, estas empresas sí saben a qué usuario pertenecen esa información. Muchos creen de forma errónea que estas empresas ofrecen servicios gratis, pero en realidad se trata de un intercambio. En otras palabras: si no tienes que pagar, lo más probable es que el producto seas tú, en este caso, tus datos. En este contexto de sobreexposición tecnológica, en el que nuestros movimientos ya son escrutados al detalle, ¿supondrán realmente las nuevas aplicaciones sanitarias que se barajan contra el coronavirus una invasión extra a nuestra privacidad? Para responder bien a esta pregunta, primero conviene saber cómo funcionan.
Seguir el rastro de contagios por ‘bluetooth’
Como consecuencia de la crisis de la covid-19, distintos gobiernos han recurrido a aplicaciones (apps) móviles de seguimiento de contactos por bluetooth. Para regular esta tecnología, la Comisión Europea puso en marcha el llamado protocolo DP3T (Decentralized Privacy-Preserving Tracing project), un proyecto internacional que fija una serie de características que deben cumplir las aplicaciones de rastreo de contagiados por coronavirus y que se resumen en dos premisas: deben preservar el anonimato de los usuarios y la seguridad de los datos. Aunque este protocolo vela por la seguridad y el anonimato, estas aplicaciones no están exentas de polémica. Esta tecnología es capaz de aportar información útil para frenar la transmisión de la enfermedad y seguir el rastro de la cadena de contagios, pero para que resulte eficaz debe ir acompañada de otros factores. Además, ponerla en marcha supone tomar decisiones respecto a la privacidad que afectan tanto a los derechos del consumidor como a su efectividad, como permitir el acceso a otros agentes a datos privados de los usuarios.
Los usuarios tienen derecho a pedir a las grandes tecnológicas toda la información que almacenan sobre ellos y también a solicitar que se borre, señala Helena Rifà, directora del Máster de Seguridad y Privacidad de la UOC y miembro de CyberCat. Google y Facebook, por ejemplo, disponen de herramientas para tramitar esta solicitud: la ley ampara el derecho al olvido y las compañías tienen la obligación de hacerlo efectivo. En el caso de Google, se puede solicitar la retirada de información personal o de los resultados de una búsqueda a tráves de un formulario online. Facebook, por su parte, cuenta con un servicio de ayuda para avisar de fotos o vídeos que puedan infringir el derecho a la protección de datos. Aun así, a veces se trata de algo complicado de llevar a cabo en la práctica. En el momento en que se produce la petición de eliminar datos ya publicados en Internet, por ejemplo, puede suceder que estos ya hayan sido descargados o vistos por muchas personas.
¿Cómo funcionan?
Estas aplicaciones, llamadas contact trace apps, incluyen una tarjeta virtual en la que se almacena información del usuario. Mediante tecnología bluetooth, envían datos sobre ella a otros móviles con los que la persona se cruza por la calle, en el trabajo, en el transporte público o en una fiesta. Si un individuo se contagia tiene la posibilidad de comunicárselo a su aplicación para que esta envíe esa información a un servidor central. Este, a su vez, mandaría un aviso a todas las personas con las que hubiera coincidido. Así sabrían que se han expuesto al virus y podrían tomar medidas para cuidarse y no propagarlo más.
En principio, la app registra apodos, y no el auténtico nombre ni el número de teléfono concreto de los usuarios, por lo que, aparentemente, el anonimato está garantizado. El quid de la cuestión consiste en dirimir quién tiene el control sobre esas identidades y sobre esas redes o mapas de contactos. Para la Agencia Española de Protección de Datos (AEPD), este sistema puede amenazar la privacidad de los usuarios. El tratamiento de esa información debe cumplir los principios de protección de datos, pero la AEPD advierte de que los protocolos que existen para que el registro sea casi anónimo son frágiles, así como los destinados a emitir las señales de contagio. “Siempre existe una posibilidad de que, aplicando suficiente tiempo y capacidad de cómputo, puedan romperse y asociar los apodos anónimos con números de teléfono y personas”, afirma la agencia.
Tecnología con mucho margen de error
En cualquier caso, la eficacia de estas apps que rastrean contactos es muy discutible, advierte Rifà.
- No registran las superficies contaminadas que haya podido dejar un enfermo.
- Deberían ir acompañadas de un acceso generalizado y frecuente a test. Solo así se podría saber con seguridad quién está infectado y quién ha dejado de estarlo.
- El sistema bluetooth no es tan exacto como para calcular si una persona está a dos metros o más de otra, y la app tampoco sabe si alguien que tienes cerca lleva mascarilla o hay una pantalla protectora de por medio, por ejemplo.
- Para funcionar correctamente, estas apps tendrían que ser utilizadas de forma masiva. En Singapur, uno de los primeros países del mundo que probó este sistema, no resultó eficaz ya que solo el 20% de sus habitantes tenían la app instalada.
Algunos estudios calculan que, para ser de utilidad, el 60% de la ciudadanía debería descargárselas, lo que, descartando a ancianos y niños, supondría la práctica totalidad de los usuarios de móvil, asegura la AEPD. Esta es una de las razones por las que Apple y Google se aliaron para adaptar sus respectivos sistemas operativos: poder ofrecer una misma solución tecnológica compatible para usuarios de iOS y de Android en poco tiempo. Su API (interfaz de programación de aplicaciones) puede ser potencialmente descargada en el 99% de los smartphones del mundo, el porcentaje que controlan entre los dos gigantes.
Escapar del control de las grandes tecnológicas no resulta fácil, pero existen algunas prácticas que pueden minimizar el volumen de información que dejamos al descubierto.
- Tener cuidado con los datos que publicamos en redes sociales y reflexionar sobre qué podrían hacer otros con ellos. Contar demasiado puede convertirnos en víctimas de phishing (estafas solicitando dinero o claves) u otros delitos, como robos en casa si saben que no estamos.
- Revisar bien los permisos que concedemos a cada aplicación, algo casi imposible debido a la complicada jerga legal que se utiliza y a la extensión de los términos y condiciones. La única opción de estar 100% protegidos es no aceptar los términos que no conocemos, lo que nos obligaría a renunciar a muchos servicios.
- Impedir el acceso a las cámaras de móvil y ordenador cuando no las estemos usando, así como taparlas durante ese tiempo. También conviene no dar permiso al móvil para que conozca nuestra ubicación.
- Abrir ventanas de incógnito cuando naveguemos por Internet, que inhiben la grabación de cookies, caché o historiales. Están disponibles en los grandes navegadores, como Chrome, Explorer o Firefox.
- Utilizar otros buscadores, como por DuckDuckGo, que no registra tus movimientos, no vende anuncios y no te ofrece en primer lugar la información que supone que quieres, sino la que considera más importante.
Información sanitaria, en manos privadas
Apple y Google han garantizado la privacidad y la seguridad de los usuarios pero, para los sectores críticos, resulta alarmante que la información sanitaria de las personas, altamente sensible y normalmente a salvo de empresas, pueda pasar a manos de compañías que precisamente se dedican a la extracción de datos y tienen divisiones sanitarias, como estas dos. Para minimizar riesgos, España barajó otro tipo de sistemas (sin la participación de Apple y Google) a la hora implantar esta tecnología, aunque finalmente tuvo que rendirse a la propuesta de los dos colosos tecnológicos para llegar al máximo número de personas posible o asegurar su correcto funcionamiento, como han hecho otros países europeos.
Carmela Troncoso, experta en privacidad en la Escuela Politécnica Federal de Lausana (Suiza), desde donde lidera el desarrollo del protocolo DP3T de rastreo para móviles, advierte de que estos sistemas deben encuadrarse en un marco legal, social, sanitario y epidemiológico, y su funcionamiento debe ser transparente para las personas. Nadie, por ejemplo, debería ser despedido de su trabajo si se niega a instalarse una app.
Para Helena Rifà, es el origen mismo de las aplicaciones lo que provoca esa sensación de incertidumbre. “No han sido diseñadas por los gobiernos, sino por empresas privadas que en el fondo controlan esa tecnología y nuestros datos sanitarios”, advierte. Las instituciones públicas no han auditado ni vigilado el proceso de elaboración de esos sistemas. “Las apps son de diseño privado y más o menos correctas, pero existe el riesgo de que se difunda información personal y sensible”. Teniendo en cuenta esto y las limitaciones, lanza una pregunta que muchos se hacen: “¿Es necesario que se implanten?”.
¿Son seguras otras tecnologías para frenar la covid-19?
Geolocalización de móviles por parte de operadores de telecomunicaciones
- Qué es. Información anonimizada que proporcionan los operadores de telefonía móvil sobre la ubicación aproximada de sus usuarios, necesaria para prestar servicio. Sin hacerla anónima, esa información solo puede ser demandada por las Fuerzas y Cuerpos de Seguridad con una orden judicial.
- ¿Amenaza la privacidad? Es susceptible de ser subcontratada de forma poco rigurosa o de sufrir ciberataques, pero no mucho más que antes de la covid-19.
- ¿Beneficia al control de la pandemia? Para las administraciones resulta útil conocer los patrones de movilidad de la población. Se ha barajado que la policía pudiera pedir la identificar a los usuarios en determinados casos para garantizar el control de la pandemia conforme a los criterios de las autoridades sanitarias.
Geolocalización de móviles a partir de redes sociales
- Qué es. Empresas como Facebook o Google suministran la información sobre las direcciones IP (especie de DNI del ordenador) desde las que accedemos a Internet, lo que que permite saber dónde están nuestros móviles. Esta tecnología se suele usar para publicidad.
- ¿Amenaza la privacidad? Sí, pero no es algo nuevo ni derivado de la crisis de la covid-19. Esta amenaza puede ser más crítica si esta información es enriquecida con datos personales derivados de la actividad en los perfiles de usuario.
- ¿Beneficia al control de la pandemia? Podría ayudar siempre y cuando participen las autoridades sanitarias y la finalidad de la recogida de estos datos esté muy clara. Los Departamentos de Salud Pública son los que deberían establecer el nivel de detalle necesario para diseñar estrategias de prevención y control.
‘Apps’, webs y ‘chatbots’ para auto-test o cita previa
- Qué son. Soluciones que implementan test de preguntas y respuestas, consultas de información o registro de citas previas en los servicios sanitarios. Son de las menos novedosas, pero de las más utilizadas.
- ¿Amenazan la privacidad? Depende de cómo estén realizadas y cuáles sean sus objetivos. Algunas de ellas sí ponen en riesgo la privacidad.
- ¿Beneficia al control de la pandemia? Si están bien construidas, sí, porque informan a las personas y acercan servicios de salud, al tiempo que liberan el tráfico de canales telefónicos. El riesgo es dejar sin cobertura a quienes no posean un móvil o un ordenador.
Apps’ de recogida de información voluntaria de contagiados (Covapps)
- Qué son. Apps surgidas en algunos casos de iniciativas ciudadanas, para hacer sus propios mapas y estadísticas de propagación del virus a partir de datos proporcionados voluntariamente por los usuarios.
- ¿Amenazan la privacidad? Podrían hacerlo si los fines que declaran no son tan altruistas o si las prisas conducen a desarrollos sin garantías. O al exponer de manera inapropiada datos sobre salud y localizaciones precisas que pudieran estigmatizar barrios, habitantes o negocios.
- ¿Benefician al control de la pandemia? Desde el uso voluntario y sin ninguna autoridad que lo controle, no es posible saber la fiabilidad de la información que contienen, por lo que pueden contribuir a divulgar noticias erróneas y resultar un perjuicio. Se necesitaría que nadie mintiera y que las muestras fueran representativas.
Pasaporte de inmunidad
- Qué es. Una app que funciona como un pasaporte de papel o un billete de avión. Incluye un código en el que se indica si el portador está contagiado o inmunizado, para que una persona autorizada (como, por ejemplo, un sanitario) o una máquina lo supervise.
- ¿Amenaza la privacidad? Podría. Si el sistema de la app se vulnera, los datos de salud podrían cruzarse con otros de localización o quedar expuestos a ciberdelincuentes. Además, no todas las personas tendrían acceso y las pruebas médicas deberían ser presenciales.
- ¿Beneficia al control de la pandemia? Si los datos registrados estuvieran seguros y actualizados, se pudieran compartir con otros sistemas y pudiera acceder a ellos el personal adecuado. Pero para ello tendría que ir acompañado de test fiables y uso masivo de esta tecnología.
Cámaras de infrarrojos
- Qué son. Cámaras capaces de tomar la temperatura corporal a personas que cruzan un área y de identificar rostros humanos mediante algoritmos de inteligencia artificial.
- ¿Amenazan la privacidad? Sí, porque trabajan con datos que pertenecen a categorías especiales, como los relacionados con la salud, por lo que no pueden quedar en manos de cualquier gestor de un lugar público. Hay riesgo de discriminación, estigmatización y, tal vez, difusión pública de información que debería ser confidencial.
- ¿Benefician al control de la pandemia? Detectarían a las personas con fiebre, pero no a los asintomáticos, con lo que se crearía una falsa sensación de seguridad. Además, tener la temperatura alta no equivale a padecer coronavirus.
Fuente: Agencia Española de Protección de Datos.