(Lee este artículo en inglés)

La tecnología se posiciona actualmente como solución a todos los males que acaecen a sociedades, gobiernos o corporaciones. Es la gran panacea que ha venido a salvarnos a todos, da igual qué clase de problema tengas, que alguna tecnología te lo resolverá, o no, pero ¿qué más da?

Entonces, ¿qué ocurre cuando el problema que nos ocupa es una pandemia mundial en pleno siglo XXI que ha trascendido fronteras, sobrecargado sistemas sanitarios, puesto gobiernos patas arriba y a 8 de abril se ha cobrado más de 80.000 vidas? Pues que la solución que nos ofrecen para controlar algo así vuelve a ser tecnológica, en forma de decenas de aplicaciones para el móvil. ¿Cuál es el problema? preguntarán algunos, pues básicamente el cómo, el quién, el dónde y el cuándo de cada una de ellas. Para entender en profundidad qué está ocurriendo con estas tecnologías necesitamos hacer un repaso por todas las soluciones que existen ahora mismo en todo el mundo, ya que cada país ha dado una respuesta diferente.

China, Corea del Sur y Taiwan

Quizás lo más indicado sea comenzar por China, donde nació la enfermedad. Una de las características más brutales de la aplicación de la tecnología en este país ha sido la falta de libre elección. La aplicación de control de la epidemia lanzada por el gobierno chino - y desarrollada por Alibaba y Ant Financial - es, para empezar, de obligatoria descarga para los ciudadanos. La aplicación requiere del registro del usuario con sus datos personales y otorga una valoración inicial a partir de las respuestas a un cuestionario sobre el estado general de salud de éste, así como de los posibles contactos que haya tenido con otros focos de infección. A partir de ahí, la aplicación - embebida en Alipay o WeChat - permite a los usuarios el escaneo de códigos QR en determinados puntos controlados y generando un "permiso de acceso" en forma de código de color. Verde: todo bien, adelante. Amarillo y rojo: acceso denegado, el usuario debe someterse a cuarentena por siete o catorce días. Esa información de movimiento es, por otro lado, compartida con el gobierno y usada para recalcular los códigos de acceso de cada individuo, teniendo en cuenta si han estado en contacto con zonas o personas infectadas.

Pero ¿y cómo se impone algo así? ¿Cómo puede obligarte nadie a descargar, instalar y usar una aplicación? Es tan sencillo como llenar ciudades y espacios públicos de puntos de control obligatorio: en tiempo récord, ciudades, transportes, carreteras se llenaron de controles con código QR. Usar el metro, el autobús, ir al parque, usar servicios de bicicletas compartidas, entrar a mercados o centros comerciales, acceder a zonas residenciales... la única forma posible de no usar esta aplicación es quedarse en casa y disponer de una despensa grande con comida para los meses que dure el encierro chino. En resumen: no existe opción.

La alta efectividad de este sistema se debe, en parte, a que la red de hipervigilancia impuesta por el gobierno chino sobre sus ciudadanos estaba ya en funcionamiento.

Así que a la falta de libertad de elección se le suma una preocupante situación de hipervigilancia centralizada (aunque cabe decir que los gobiernos locales no están obligados a desplegar esta aplicación, ésta ha sido adoptada por más de 100 ciudades). Dicha situación, sin embargo, no es nueva, y la alta efectividad de este sistema se debe, en parte, a que la red de hipervigilancia impuesta por el gobierno chino sobre sus ciudadanos estaba ya en funcionamiento. La aplicación usa datos no solo proporcionados a través de los puestos de control diseñados para ésta, sino proporcionados por el Ministerio de Transporte, los servicios de ferrocarril, la Administración de Aviación Civil China, y la Comisión Nacional de Salud.

No muy lejos de allí, Corea del Sur lanza una aplicación que es retratada en múltiples medios como la versión transparente y no-autoritaria del enfoque chino. El sistema ideado por el gobierno coreano es, para empezar, de uso opcional, y depende fuertemente de la participación ciudadana voluntaria, algo que en sociedades orientales es, sin duda, una apuesta segura. Esta aplicación ha servido para descongestionar enormemente las lineas de asistencia sanitaria, ya que permiten al usuario solicitar hora para el test así como recibir los resultados 24 horas después. Sin embargo, la aplicación registra su geoposición, gracias a la cual el gobierno observa si éste sigue la cuarentena o no.

El viceministro de Sanidad de Corea del Sur, Kim Gang-lip, decía que "en la participación ciudadana debe primar la apertura y transparencia". Transparencia y apertura son palabras clave que tienen la habilidad de tranquilizar a quienes preocupa el uso indiscriminado de datos personales. Sin embargo, transparencia puede significar muchas cosas, y en el caso de esta aplicación, viene acompañada de terroríficas violaciones a la privacidad individual. Aparte de la vigilancia de los periodos de cuarentena - con multas, por supuesto, si éstos no se respetan -, los usuarios de la aplicación reciben mensajes, a veces con información general - "¡recuerda lavarte las manos!" -, pero otras con información específica sobre otros ciudadanos que han sido diagnosticados como positivos en los tests. El ejemplo reportado por The Guardian sin duda pone los pelos de punta:  "Una mujer de 60 años acaba de ser confirmada como positivo. Haga click en el link para ver los lugares por los que pasó antes de ser hospitalizada".

Las aplicaciones dedicadas al control de la epidemia tienen el enorme potencial de funcionar como un caballo de Troya con la excusa de la emergencia sanitaria.

Más radical es aún el enfoque de Taiwan, que monitoriza las señales telefónicas y alerta a la policía y autoridades locales cuando una persona en cuarentena se aleja de su casa o apaga el móvil. Según asegura Jyan Hong-wei, cabeza del Departamento de Ciber Seguridad de Taiwan, aquellos que activen la alarma recibirán una visita de la policía en menos de 15 minutos.

Imagen por Sofia Prósper (CC-BY)

Estados de emergencia

Cuando se trata de lugares en situación de conflicto, las libertades individuales corren un peligro mayor: las aplicaciones dedicadas al control de la epidemia tienen el enorme potencial de funcionar como un caballo de Troya con la excusa de la emergencia sanitaria. Podría ser el caso de AC19, la aplicación lanzada por el gobierno iraní y desarrollada por Smart Land Strategy, la empresa desarrolladora de otras apps de mensajería retiradas de Google Play por recopilar, sin consentimiento, datos de los usuarios para las agencias de inteligencia iraníes. Igualmente, Israel ha estado en el ojo del huracán por intentar usar, sobre la población civil y con el propósito de rastrear la propagación del virus, tecnologías probadas y usadas para espiar a militantes palestinos. Aunque Netanyahu aseguraba públicamente que ello "conlleva un cierto grado de violación de la privacidad", ésto parece no importar demasiado ante el caso de extrema amenaza a la salud pública. Sin embargo, dichos avances sobre las libertades individuales preocupan especialmente en un país en el que los efectos del estado de emergencia declarado en 1948 durante la guerra árabe-israelí duran hasta el día de hoy.

Las emergencias son convenientes y los tiempos de crisis son extremadamente fructíferos para tomar decisiones que pasen por encima de libertades y derechos personales. La autora y activista Naomi Klein habla de ello en su libro "La doctrina del shock" en términos de política económica: ante la conmoción y la confusión de un momento de crisis social, es posible hacer reformas que, en cualquier otro momento, serían extremadamente impopulares.

Europa y su RGPD

La llegada del virus a la Unión Europea ha traído consigo la conversación sobre el uso de la tecnología para el control de la epidemia en el contexto de un relativamente nuevo Reglamento General de Protección de Datos (RGPD). El RGPD ha sido sometido, por primera vez y de forma global a toda la Unión Europea, a la prueba más difícil: un caso de extrema urgencia en la que los 27 países que forman la unión asumen un enorme riesgo tanto de salud pública como económico, ¿es el RGPD lo suficientemente sólido como para seguir protegiendo nuestro derecho fundamental a proteger nuestra privacidad?

Las emergencias son convenientes y los tiempos de crisis son extremadamente fructíferos para tomar decisiones que pasen por encima de libertades y derechos personales.

El caso de España y la aplicación de auto-diagnóstico lanzada por la Comunidad de Madrid (desarrollada por CARTO, ForceManager y Mendesaltaren, y con apoyo de Telefónica, Ferrovial y Google) nos permite responder a esta pregunta, tanto desde la perspectiva de la legalidad en lo que se refiere a la protección de datos y las garantías que ofrece el RGPD como desde la perspectiva de la ética. Tras su lanzamiento el día 18 de Marzo de 2020, Coronamadrid puso en alerta a profesionales, particulares y comunidades dedicadas a privacidad, que levantaron la voz en lo que para muchos pudo parecer una mera campaña de escarnio colectivo por las redes sociales.

La primera preocupación surgió a partir de una lectura detallada de la política de privacidad en su primera versión. Para hacer esta lectura, es primero imprescindible entender las garantías que nos proporciona el RGPD en casos excepcionales, como la epidemia que estamos viviendo. La Agencia Española de Protección de Datos publicó el 12 de marzo un informe que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus, intentando ofrecer una guía de acción para instituciones públicas y empresas. En este informe, la AEPD clarifica que en tales situaciones de emergencia, "los tratamiento de datos personales [...] siguen siendo tratados de conformidad con la normativa de datos personales [...], por lo que se aplican todos sus principios". Estos principios recogen el uso del tratamiento de datos personales con licitud, lealtad y transparencia, el principio de limitación de la finalidad, el principio de exactitud y el principio de minimización de datos y, recalcaba la AEPD, "sin que pueda confundirse conveniencia con necesidad".

En tales situaciones de emergencia, los tratamiento de datos personales siguen siendo tratados de conformidad con la normativa de datos personales, por lo que se aplican todos sus principios.

La CAM manifiesta que la finalidad específica de su aplicación es la de proporcionar a la ciudadanía un sistema de autoevaluación y así aliviar la congestión de los sistemas de diagnóstico del sistema sanitario. Pero, analizando los datos que la app requiere al usuario (nombre y apellidos, DNI, fecha de nacimiento, teléfono, sexo, dirección y código postal, datos de geolocalización y datos sanitarios relativos a los síntomas de la enfermedad) se observa que viola el principio de minimización excediendo gravemente la información necesaria para la finalidad detallada por esta misma aplicación.

La preocupación es, entonces, que el fin último especificado pueda no ser, en un futuro y muy probablemente no de forma premeditada, el fin único de la recopilación de dichos datos, violando así otro de los principios fundamentales del artículo 5 del RGPD. Hay que mencionar que, según el reglamento, a este fin único se le pueden añadir tres fines excepcionales, que son, como especifica el artículo 5.1.b del RGPD, "el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos". Sin embargo, dichos fines requieren de un tratamiento excepcional de los datos que se recoge en el art. 89, como la anonimización de éstos o la seudonimización, y siempre respetando el principio de minimización.

Tenemos que obligar por contrato a que estas entidades no puedan utilizar para ningún otro propósito los datos que, bajo la presión de un estado de excepcionalidad, hemos decidido dar. Como usuarios, tenemos que demandar garantías de que esto no va a ocurrir.

El principio del fin único también se tambalea cuando observamos quiénes declara la política de privacidad que tendrán acceso a dichos datos. El listado es potencialmente infinito; aparte de incluir lógicamente al sistema sanitario y su red de profesionales, incluye también a los cuerpos y fuerzas de seguridad del estado, autoridades nacionales e internacionales, empresas colaboradoras y todas sus posibles subcontratas. ¿Queremos permitir que, como siempre, nuestros datos estén en posesión de empresas privadas en vez de en los servidores de las administraciones públicas? ¿en qué manos van a terminar todos estos datos cuando el estado de alarma termine? Como usuarios, tenemos que obligar por contrato a que estas entidades no puedan utilizar para ningún otro propósito los datos que, bajo la presión de un estado de excepcionalidad, hemos decidido dar. Como usuarios, tenemos que demandar garantías de que esto no va a ocurrir.

Por último, resulta escandaloso que para responder al tiempo de conservación de los datos, esta política rezara un ambiguo "mientras sean necesarios", violando así otro de los principios fundamentales a la hora de proteger los derechos de la ciudadanía: el principio de limitación del plazo de conservación detallado en el artículo 5.1.e del reglamento.

Ocurre que, con un análisis crítico de esta política de privacidad por parte de la comunidad interesada y medios de comunicación, se promueve el diálogo y esto alenta - o fuerza - a las empresas implicadas en el desarrollo de esta aplicación a plantearse cuestiones que, quizás por la urgencia de la situación, no fueron planteadas en un primer momento. De ese modo, el 24 de marzo se publicó finalmente la segunda versión de la política de privacidad que, con gran cautela y un visible asesoramiento experto, ya aborda algunas de las cuestiones planteadas arriba.

Iniciativa empresarial y reacciones

Google también ofrece su ayuda en forma de datos con un proyecto recién lanzado llamado "COVID-19 Community Mobility Reports". La herramienta permite consultar informes de mobilidad de más de 130 países en formato PDF, en los que se puede estudiar la tendencia de cambio en el movimiento de personas hacia diferentes categorías de lugares como tiendas, cafeterías y restaurantes, supermercados y farmacias, parques, estaciones, lugares de trabajo y lugares residenciales en forma de gráficas. Cada informe se compone de datos agregados a nivel nacional seguido de un desglose por estados, autonomías o provincias de algunos de los paises, como España, EEUU, Holanda o Italia. Este proyecto se ha realizado con la misma tecnología que permite mostrar los atascos en Google Maps o la concurrencia de personas en locales comerciales o bares.

Como punto a favor la política de privacidad de este proyecto (como de otros productos de Google) utiliza el llamado "differential privacy" que anonimiza los datos añadiendo ruido artificial a los datos de manera que hace casi imposible identificar a individuos concretos a partir de estos. La intención del proyecto también es teóricamente loable, ya que pretenden ayudar a las diferentes autoridades sanitarias aportando más datos que puedan ayudar a tomar decisiones críticas.

No se percibe como un problema que una corporación cuya soberanía no parte de la ciudadanía no haya tenido obstáculos en anonimizar y publicar datos confidenciales agregados sin tener que atender por ejemplo, al principio de minimización.

Ahora bien, la actuación de Google pone de manifiesto una incoherencia grave que existe en el imaginario colectivo sobre la privacidad de los datos. Mientras que el estudio de movilidad llamado DataCOVID que el INE va a realizar ha generado una alarma social y reacciones tan ridículas como las de "el gobierno ha legalizado la geolocalización", no se percibe como un problema que una corporación cuya soberanía no parte de la ciudadanía no haya tenido obstáculos en anonimizar y publicar datos confidenciales agregados sin tener que atender por ejemplo, al principio de minimización.  Al contrario que el gobierno u otros estudios realizados específicamente para este fin, el ámbito de recopilación de Google es mucho mayor e ilimitado en el tiempo ("mientras uses sus servicios"). ¿Por qué nos indigna más que un gobierno que podemos reemplazar democráticamente realice un estudio con un fin acotado que que una corporación internacional nos espie día a día para cualquier cosa que pueda resultarle útil a su beneficio económico?

Singapur: un ejemplo de buenas prácticas

El último caso que vamos a nombrar es el de Singapur, que ha propuesto un enfoque distinto, respondiendo a una pregunta mucho más relevante que la de dónde está la poblanción en todo momento, sino ¿con quién ha entrado en contacto en el pasado esta persona que ahora está enferma? ¿cómo se puede trazar un origen y un alcance de la transmisión? La aplicación TraceTogether, diseñada por el equipo de Servicios Digitales en la Agencia Tecnológica del Gobierno de Singapur, parte de dos principios completamente distintos a sus análogas china o coreana: primero, los datos se almacenan en el propio teléfono y segundo, utiliza el bluetooth del dispositivo en vez del gps. El bluetooth en este caso es mucho más confiable, directo y respetuoso con la privacidad.

El funcionamiento de TraceTogether es bastante sencillo de explicar. Todas las personas que descarguen la aplicación necesitan poner su número de teléfono: este es el único dato personal que el gobierno va a almacenar, y sirve para poder contactar a los usuarios de manera ágil y eficiente. Una vez la aplicación está configurada, el usuario deberá llevar el bluetooth encendido en todo momento, así el móvil va registrando un id anonimizado de todos los dispositivos con los que se va cruzando que también tienen la aplicación instalada. Cuando el Ministerio de Salud detecta un nuevo caso de infección por Covid-19, se le solicitará acceso al paciente al registro de los ids anónimos que su móvil haya registrado por haber estado en contacto. Con estos ids, el Ministerio podrá llamar por teléfono a todos los usuarios que hayan tenido contacto con el mismo, para que puedan ponerse en cuarentena, y encontrar el origen y determinar la transmisión del virus eficazmente.

No existe geolocalización ni mayor recopilación de datos personales, y más aún, Singapur planea liberar el código de TraceTogether para que otros países puedan utilizar esta tecnología. Esta aplicación que respeta el principio de minimización de los datos estipulado en el RGPD es además mucho más eficiente que otras, precisamente, por el uso de bluetooth, tecnología que registra contactos a pocos metros, que es la distancia a la que el Covid-19 se puede transmitir. El GPS por ejemplo deriva en problemas de inexactitud en altura, teniendo que, por ejemplo, poner en cuarentena a todo un edificio cuando un caso de Covid-19 ha ocurrido en sólo una planta. En el manifiesto el equipo de desarrollo deja clara la intención de su esfuerzo: "Covid-19 y otro nuevos virus no respetan las fronteras nacionales. La respuesta de la humanidad tampoco debería. En un mundo globalizado, con un volumen alto y continuo de movimientos internacionales de personas (hasta recientemente), cualquier solución de seguimiento de contactos descentralizada necesitará una adopción masiva para maximizar los efectos de la red. Creemos que TraceTogether y sus implementaciones hermanas deberían ser interoperables, y eso es hacia lo que estamos trabajando."

Legisladores, políticos, periodistas, estamos al borde del abismo pero justo a tiempo de corregir esa trayectoria que tan peligrosamente nos lleva a una pérdida de derechos y libertades, estamos a tiempo de que esto no sea irreversible.

Ahora bien, sabiendo de la existencia de una solución como la de Singapur, que está funcionando y es eficiente, de código abierto y por lo tanto auditable ¿por qué los gobiernos europeos (por centrar el tiro en un ámbito cercano) están desarrollando soluciones mucho más intromisivas y que violan nuestra privacidad de manera desmedida? ¿por qué la Unión Europea, cuna del RGPD, la ley más protectora de la privacidad del mundo, está demandando a una empresa de telecomunicaciones por cada estado miembro datos de localización de los teléfonos móviles? Parece que pudiendo tomar un camino más transparente, más eficiente y menos invasor de libertades personales en Europa estamos tomando, salvando las distancias, un camino más parecido al de China o Corea que al de Singapur. Legisladores, políticos, periodistas, estamos al borde del abismo pero justo a tiempo de corregir esa trayectoria que tan peligrosamente nos lleva a una pérdida de derechos y libertades, estamos a tiempo de que esto no sea irreversible, estamos a tiempo de que en futuras problemáticas la decisión no sea siempre restar privacidad y libertad en pos de una seguridad ficticia.

Resumiendo

¿Cómo corregir esta trayectoria? Hay muchas maneras diferentes de dar una solución tecnológica a este problema pero no muchas buenas, éticas y respetuosas. A continuación una pequeña lista de los requisitos que consideramos indispensables que cumplan estas tecnologías:

  • Primero de todo, las aplicaciones que se desarrollen deberán ser software libre, esto es, el código fuente del programa tiene que poder ser estudiado, modificado y utilizado libremente. Esto permite que las aplicaciones sean transparentes y auditables.
  • En la medida de lo posible los datos de cada usuario que maneja la aplicación se debería guardar en el propio dispositivo y de manera encriptada.
  • El principio de minimización ha de incorporarse desde la más temprana fase de diseño de la recopilación de datos. Ha de evitarse el pedir datos "por si acaso se necesita en el futuro".
  • Las soluciones tecnológicas han de estar diseñadas para un fin único, transparente y bien especificado en su política de privacidad. No han de caer en el oportunismo.
  • Los datos que permiten la reidentificación de los pacientes se han de guardar por separado del resto de información para poder minimizar el acceso a los mismos.

La pandemia del Covid-19 llegará a su fin, pero no sin antes provocar una profunda crisis que trascenderá la salud pública y transformará la economía, la sociedad, la tecnología y nuestra forma de interactuar con ella. Toda crisis tiene el potencial de generar cambios y facilitar la imposición de políticas abusivas sobre una sociedad sumida en la conmoción.

Sin embargo, toda crisis tiene también el potencial de hacernos entender, revisar, asentar bases éticas y reconstruir. Toda crisis tiene el potencial de proveernos de un espacio valiosísimo para tomar decisiones, ejercer nuestra soberanía y demandar a las instituciones que trabajen por nosotros, protegiendo nuestros derechos y libertades. Está en nuestras manos no infravalorar la importancia de nuestro derecho a la privacidad y no perder, en el pulso contra el autoritarismo y el control corporativo, lo que es soberanamente nuestro.

Referencias

  1. "Hungría aprueba una ley que permite a Orbán alargar indefinidamente el estado de alarma por la pandemia". elpais.com
  2. "How China is using QR code apps to contain Covid-19". technode.com
  3. "China's Coronavirus App Uses Mass Surveillance to Tell Citizens If They Could Be Infected". newsweek.com
  4. "Spying concerns raised over Iran's official COVID-19 detection app". zdnet.com
  5. "Dos modelos de gestión de crisis luchan por dominar Europa: el chino y el coreano". eldiario.es
  6. "Governments around the world are increasingly using location data to manage the coronavirus". theverge.com
  7. "'More scary than coronavirus': South Korea's health alerts expose private lives". theguardian.com
  8. "Phone location data could be used to help UK coronavirus effort". theguardian.com
  9. "Should Location Data Be Used in Battle Against COVID-19?". bankinfosecurity.com
  10. "Israel takes step toward monitoring phones of virus patients". apnews.com
  11. "Trudeau leaves door open to using smartphone data to track Canadians' compliance with pandemic rules". cbc.ca
  12. "Alemania prepara una app contra el coronavirus capaz de monitorizar el pulso o los patrones de sueño". eldiario.es
  13. "Política de Privacidad de la aplicación Covidapp, versión 1.0"
  14. "Política de Privacidad de la aplicación Covidapp"
  15. "COVID-19 Digital Rights Tracker". top10vpn.com
  16. "Protecting Civil Liberties During a Public Health Crisis". eff.org
  17. "La emergencia viral y el mundo de mañana. Byung-Chul Han, el filósofo surcoreano que piensa desde Berlín". elpais.com
  18. "La ingeniosa 'app' de Singapur para frenar el coronavirus que España debería crear ya". elconfidencial.com
  19. "El Gobierno iniciará el rastreo de móviles con CCAA y operadoras para combatir el virus". elconfidencial.com
  20. "Coronavirus: Singapore develops smartphone app for efficient contact tracing". straitstimes.com
  21. "Yuval Noah Harari: the world after coronavirus". ft.com