Sobre la contribuci贸n de las aplicaciones m贸viles contra el COVID -19
Opinión de nuestro panel de expertos sobre las aplicaciones móviles contra el COVID-19 que están proliferando en esta situación que estamos viviendo y las impicaciones que tienen en nuestra vida, presente y futura.
BORJA ADSUARA
Tengo una amiga que está muy preocupada por la ‘geolocalización’ de los ciudadanos que pueda hacer el gobierno con la ‘excusa’ del control de la pandemia, para poder trazar rápidamente e identificar los contagios que se produzcan en la fase de ‘desescalada’ o ‘desconfinamiento escalonado’ (por fases). Yo intento tranquilizarla y le digo que no tiene de qué preocuparse, porque sólo está prevista una aplicación basada en Bluetooth, de rastreo por proximidad, con la que los móviles se intercambian códigos anónimos entre sí y que sólo sirve para informar de un posible contagio a las personas que han estado en contacto más de 10 ó 15 minutos.
Es una aplicación de gestión de datos ‘descentralizada’; es decir, no hay una central de datos del gobierno en la que se almacenen y, por eso, es muy respetuosa con la privacidad de los ciudadanos. Ella se queda más tranquila, sin darse cuenta de que ahora está más ‘geolocalizada’ que nunca, porque no se mueve apenas de su casa, y que, cuando empiece a salir más, volverá a utilizar, como siempre lo ha hecho, la aplicación de ‘Google Maps’ para todo, porque tiene el sentido natural de geolocalización y de orientación permanentemente en este lugar: https://goo.gl/maps/y3gBXeVJMaHF2ns96
MARTA BELTRÁN
En la mayor parte de los países occidentales llevamos semanas hablando de las aplicaciones para móvil que permiten trazar nuestros contactos mediante geolocalización (o medidas de proximidad) y generar así alertas tempranas de posibles contagios en el momento en el que uno de estos contactos resulte positivo en COVID-19. Estas aplicaciones, son, obviamente, de instalación voluntaria. Pero está claro que serán más útiles para la salud pública y para prevenir nuevos brotes importantes cuantas más personas se las instalen.
Esto lleva a una reflexión muy importante y a plantear una serie de preguntas que todos deberíamos intentar contestar lo antes posible: epidemiólogos, legisladores, agencias de control, investigadores, técnicos, etc. ¿Cómo incentivamos a los ciudadanos para que las instalen y las usen correctamente? Tienen que percibir sus beneficios y valorar que les compensan si se comparan con los riesgos que se corren. Porque estos riesgos existen, no hay que negarlo, para la seguridad y para la privacidad. Habría que minimizarlos, y una vez hecho este ejercicio, explicarlos sin ambigüedades y ayudar a gestionarlos. Y en este sentido hay muchas decisiones que serán críticas: ¿quién desarrollará la aplicación en nuestro país? ¿con qué modelo? ¿recogiendo qué datos? ¿qué control se dejará a los ciudadanos sobre estos datos una vez recogidos, durante y tras la pandemia? ¿quién se encargará de proveer esta aplicación y de gestionar las alertas que se produzcan?
Cuanto antes respondamos a estas preguntas antes tendremos a nuestra disposición una herramienta que, sin ser por sí misma ninguna solución a la crisis que estamos atravesando, sí que podría ayudarnos a hacerlo con algo más de flexibilidad o comodidad. Pero las respuestas proporcionadas deben ser honestas, transparentes, completas y generar la confianza suficiente entre los ciudadanos, si no, todos los esfuerzos realizados para desarrollar la aplicación habrán sido en vano.
JUAN MIGUEL PULPILLO
El planteamiento, inicialmente, puede parecer lógico y necesario “la identificación temprana de positivos en Covid19 para evitar los contagios y expansión”. Es algo habitual hacer seguimiento de contactos en epidemias. Pero en esta ocasión, cambia la forma de hacerlo, de las llamadas telefónicas o los rastreadores de contactos hemos pasado al rastreo de los teléfonos móviles a través de las torres de telecomunicaciones, el propio terminal móvil, datos de transacciones financieras, el GPS o el Bluetooth. Y eso si es reto importantísimo para la Privacidad y para valorar la proporcionalidad de tales soluciones tecnológicas.
Ello, nos ha hecho ver que nuestra legislación de privacidad, principalmente Reglamento General de Protección de Datos (GDPR) y la Directiva de Privacidad Electrónica, no está hecha para una situación de pandemia, sobre todo porque hay un interés esencial y un interés vital, pero no nos dice cómo tenemos que realizarlo. Pero hasta ahora, sólo tenemos perspectivas dispares entre las autoridades de protección de datos al respecto.
Por su parte, el Parlamento Europeo, en una resolución plenaria aprobada el 17 de abril, el hizo hincapié en que las autoridades nacionales y de la UE deben cumplir plenamente con la legislación de protección de datos y privacidad. "Los datos de ubicación móvil solo pueden procesarse de conformidad con la Directiva de privacidad electrónica y el RGPD", dice la resolución. Por lo que la seguridad de los datos personales y la privacidad de los ciudadanos deben garantizarse cuando se trata del uso de estas aplicaciones. De ello, ya hace un mes y seguimos igual.
Ante esta situación de pasividad, sólo podemos aprovechar las herramientas que nos brindan las normas vigentes y buscar la solución que más seguridad y garantías den a los ciudadanos en materia de privacidad.
Las aplicaciones de rastreo deben ser sometidas a un análisis de riesgos exhaustivo para limitar al máximo o eliminar cualquier riesgo sobre la privacidad en cuanto a la limitación estricta al rastreo de contactos; en cuanto a la eliminación de estos datos tan pronto como la situación lo permita; en relación a la anonimización de dichos datos; en qué, para minimizar posibles abusos, esos datos de guarden encriptados y nunca en base de datos centralizadas, sino en el terminal; y en relación a la elección y control de los proveedores de los desarrollos y la no utilización de dichos datos por parte de estos.
Al mismo tiempo, en ese análisis de riesgos, se debe garantizar que dichas aplicaciones se desarrollan bajo los principios de privacidad por diseño y por defecto, incluyendo la garantía de la verificación de dicho software dentro de la obligación de proactividad en la protección de la privacidad.
Y en todo caso, su utilización debe ser verdaderamente voluntario, no discriminatorio y transparente en cuanto a la información necesaria para su funcionamiento, tratamiento de información, destinatarios de dicha información, seguridad, accesos necesarios, tiempo de tratamiento de dicha información, borrado, y otros términos requeridos a la hora de recabar el consentimiento de los titulares de los datos.
En el supuesto de no poder garantizar estas cuestiones, deberían valorarse las aplicaciones de rastreo de contactos basadas en tecnologías de corto alcance, como el Bluetooth, en lugar de la geolocalización, en esta perspectiva de salud pública. Ya que ayudan a limitar la enfermedad pero limitan el riesgo para la privacidad, atendiendo al principio de proporcionalidad y al consentimiento para su activación en el terminal del usuario. Ya que, en otro caso, podríamos encontrarnos ante una ruptura del modelo de seguridad del terminal móvil, al decidir una autoridad inyectar controladores en un terminal.
En todo caso, todo ello siguiendo las indicaciones de la Unión Europea, en lo que denomina Caja de herramientas de la UE:
- Las autoridades sanitarias nacionales deberían aprobar las aplicaciones y ser responsables del cumplimiento de las normas de protección de datos personales de la UE.
- Los usuarios mantienen el control total de los datos personales. La instalación de la aplicación debe ser voluntaria y debe interrumpirse tan pronto como ya no sea necesaria.
- Limita el uso de datos personales: solo datos relevantes para el propósito en cuestión, y no debe incluir el seguimiento de ubicación.
- Límites estrictos sobre el almacenamiento de datos: los datos personales deben conservarse por un tiempo no superior al necesario.
- Seguridad de los datos: los datos deben almacenarse en el dispositivo de un individuo y encriptarse.
- Interoperabilidad: las aplicaciones también deberían ser utilizables en otros países de la UE.
- Las autoridades nacionales de protección de datos deben ser consultadas e involucradas, pero deben implicarse.
OFELIA TEJERINA
La AEPD ha publicado un informe sobre este tema, “El uso de las tecnologías en la lucha contra el covid19. un análisis de costes y beneficios”, que es el documento oficial que debe guiar la toma de decisiones. Pero con independencia de sus interesantes aportaciones, y con independencia de la indudable utilidad de la tecnología en la detección, comprensión y control de una pandemia, queremos poner el acento en los grises de esta cuestión, entre el todo y el nada.
La utilidad, necesidad y proporcionalidad en el tratamiento de datos para la lucha contra el COVID – 19 no son criterios a tener en cuenta si la tecnología se nutre de datos estadísticos (incluso de geolocalización) pseudonimizados con un riesgo de reidentificación nulo o casi nulo. Información siempre necesaria ante una crisis sanitaria como en la que nos encontramos. Tampoco si sumamos la ya (por fin) obligatoriedad de usar mascarillas u otras medidas de protección física como la distancia social. O, siempre salvo mejor opinión en Derecho, tampoco si se trata de tomar la temperatura de un individuo sin necesidad de identificarlo, simplemente como parte del derecho de admisión, o más necesario, de salud en el entorno laboral. Ya sea con cámaras térmicas, ya sea con tu propio termómetro, puede ser útil y, creo, poco invasivo en la intimidad de esa persona.
Medidas hay muchas, de más a menos invasivas, complementarias, alternativas e incompatibles. Y en esto es dónde debería trabajar con mayor interés, en ir sumando medidas. Empezando desde las más útiles y menos invasivas, se iría viendo si añadir las demás realmente hace falta, si aportan algo más a la seguridad pública o ya es suficiente.
Una app en el teléfono móvil, ¿es necesaria? Mi respuesta es no. Es útil y cómoda, pero en extremos, en tanto que obligatoria y sin límites en las posibilidades de trackeo individual, sería inaceptable por desproporcionada. Aquí los grises a los que me refería al principio, queda mucho que reflexionar sobre dónde, habiendo otras alternativas que protegen al individuo de la enfermedad, debe marcarse un stop.
¿Se imaginan obligatorio para todo el mundo llevar una pulsera con datos de salud, que además controlase cada movimiento como las que se imponen a los maltratadores? Pues en China es lo más, y una app en el móvil es peligrosamente parecido (con el añadido de que el software instalado pueda acceder al contenido del mismo). Conclusión: mucha modernez, pero queremos garantías y sobre todo transparencia en la justificación de su necesidad.