Las apps de rastreo y contacto son algunos de los instrumentos que los gobiernos y sus sistemas de salud comienzan a implementar para combatir el COVID-19.
En Costa Rica su desarrollo y puesta en marcha se encuentra en planeación, pero no exenta de debate. Algunos tecnólogos y pragmáticos urgen por la implementación de estas tecnologías como pronta solución para la reactivación de la economía y el regreso a la normalidad en nuestra sociedad, ellos acostumbrados a ver la vida en bits (unos y ceros), en métricas y datos, ven como palabrerías a los que como yo, deseamos el balance en la implementación de estas tecnologías para que se haga de una manera respetuosa de la privacidad y las libertades civiles de los ciudadanos.
La discusión no es intrascendente, un app de contacto y rastreo para combatir el COVID-19 podría recopilar y realizar tratamiento de datos personales como la geolocalización, los desplazamientos físicos, los encuentros sociales, número de teléfonos, información de contactos, datos de salud, número IMEI del dispositivo etc. Por tal razón, algunas voces a nivel mundial ya han señalado los riesgos que se podrían enfrentar.
La Comisión Europea manifestó hace pocos días que el uso de las tecnologías de rastreo y contacto pueden afectar el ejercicio de ciertos derechos fundamentales, como entre otros, el derecho al respeto de la vida privada y familiar, por tal razón ya presentaron su propuesta de cómo se deben desarrollar estas tecnologías, más adelante lo explicaré. Por otro lado, el pasado 19 de abril, más de 300 académicos e investigadores de 27 países han firmado un comunicado advirtiendo de los riesgos de una app de rastreo de contagios.
Debemos estar atentos, la historia nos ha enseñado que el caos y el miedo se convierten en escenarios ideales para restringir o disminuir las garantías y derechos de los más débiles, es más fácil que las personas cedan derechos cuando se encuentran más vulnerables y eso lo saben los gobernantes. Recordemos como después de los ataques del 9/11 y con la justificación de la lucha contra el terrorismo se aceptó la validez de la teoría de la legítima defensa preventiva, con la que un Estado puede invadir a otro por las meras sospechas de estar apoyando el terrorismo. A partir de ese hecho histórico nos ha tocado aceptar que en beneficio de la seguridad y bajo la perspectiva de la prevención, todos tenemos que ser vigilados y todos somos sospechosos, por esa razón hoy en día en Costa Rica las sociedades anónimas dejaron de ser anónimas, ya que la OCDE considera que esa es una forma efectiva de luchar contra el terrorismo. En consecuencia nos podríamos preguntar ¿Hay algunos que querrán aprovechar esta crisis para aumentar la vigilancia y el control? Estoy seguro que sí.
No es correcto poner en disputa el derecho a la salud pública versus otros derechos individuales, esto no es una discusión de todo o nada, de unos o ceros, de un derecho u otro, es posible que salud pública y privacidad convivan de manera proporcional si se aplican los mecanismos adecuados que más adelante detallaré. Por eso no se puede aceptar de manera tajante lo que algunos proponen, que por el propósito superior de la salud pública, debemos renunciar a nuestra privacidad, porque si la garantía de los derechos los intentan poner bajo estos matices, se puede llegar a casos como la reciente y fallida UPAD, cuando el presidente intentó imponernos la idea que para cumplir con el propósito superior de realizar políticas públicas requería tener los datos confidenciales de los costarricenses en su despacho, ya es conocido el desenlace de esa iniciativa. Así es cualquier propósito superior no es legalmente válido para restringir un derecho sin un análisis proporcional previo.
Es completamente posible que en Costa Rica se desarrolle tecnología de contacto y rastreo para ponerla al servicio de la salud pública del país y combatir de esta forma el virus, pero se requiere transparencia y apego a la ley para que la ciudadanía pueda confiar en esta iniciativa.
Una forma de lograrlo es trabajar con un enfoque de privacidad desde el diseño, en el cual la privacidad y la protección de datos estará presenta en todas las fases del desarrollo de la tecnología, lo que garantizaría la seguridad de la información y el respeto a los datos personales de los ciudadanos, lo contrario a este enfoque es la privacidad por confianza, en la que el desarrollador de la tecnología y los que la gestionan nos piden confiar en ellos bajo la promesa que no van a usar los datos de manera incorrecta y esto último ya sabemos como termina, repito, como ejemplo reciente tenemos el caso UPAD.
Privacidad desde el diseño
La privacidad desde el diseño nació como un enfoque de trabajo, como una buena práctica organizacional para preservar la privacidad y la protección de los datos de los usuarios, hoy día la privacidad desde el diseño es un requisito legal vinculado al cumplimiento del principio de responsabilidad establecido en el Reglamento General de Protección de Datos de la Unión Europea. Bajo este enfoque, la privacidad es contemplada desde la concepción misma del proyecto, en la que la protección de datos se incrusta en la tecnología por defecto, garantizando la preservación de la privacidad incluso hasta cuando la tecnología deja de funcionar. Este marco de trabajo involucra un comportamiento por defecto que favorece la privacidad del usuario, en consecuencia el usuario estará protegido desde el primer momento.
La privacidad desde el diseño se articula en 7 valores fundacionales, entre ellos quiero destacar los tres siguientes:
- la privacidad desde el diseño es un enfoque proactivo y no reactivo, es decir, la privacidad se contempla antes y no después del desarrollo de la tecnología, anticipando todos los riesgos a la protección de datos personales;
- la privacidad desde el diseño busca además alinear todos los intereses, la privacidad no puede ser sacrificada en detrimento de la usabilidad, la seguridad o los intereses organizacionales, una tecnología debe ser una suma positiva de todos sus componentes, de esta manera logra ser un método ganar-ganar;
- Transparencia, la privacidad desde el diseño busca asegurar la transparencia en el tratamiento de los datos personales, tanto a los titulares de los datos, como a sus benefactores.
Debido a la importancia del tema que aquí planteo, diferentes organizaciones a nivel mundial han estado trabajando en propuestas que contemplan el desarrollo de tecnologías de contacto y rastreo contra el COVID-19 bajo un enfoque de privacidad desde el diseño, con el propósito de lograr obtener tecnología al servicio de la salud pública, pero en apego al respeto a la privacidad y los derechos ciudadanos, estas son algunas de las propuestas:
Principios para la implementación de la Tecnología de rastreo y contacto (Universidad de California)
La Universidad de California publicó el pasado 16 de abril el paper Principles for Technology-Assisted Contact-Tracing en el que se proponen algunos principios que deberían guiar el desarrollo de tecnologías de rastreo y contacto (TACT). En este documento, se señala la oportunidad de unirnos como sociedad para salir de la crisis, pero también resaltan la oportunidad que se presenta para que los aspirantes a autoritarios y corporaciones poderosas expandan su poder, la forma en que pueden intentar hacerlo es mediante el uso de tecnología y datos para abordar la pandemia, agrega el autor.
En concreto los principios que establecen son:
- No desplazamiento de las medidas no técnicas: Las TACT no deberían implementarse en detrimento de las actuales medidas de salud pública que han dado buenos resultados como las pruebas, los tratamientos y la investigación.
- Debe ser tecnología de implementación voluntaria.
- El no uso de esta tecnología no debe ser punitivo ni castigable.
- Construido con profesionales de la salud pública.
- Preservar la privacidad.
- No discriminatorio.
- Mínima dependencia de las autoridades centrales.
- Minimización de datos en todas partes.
- Sin fuga de datos.
- Impacto medible.
- Tener una estrategia de salida.
- Estrechamente diseñado para atacar una epidemia específica.
- Auditable y reparable.
- Mantenido de manera sostenible.
El protocolo DP-3T
Por su parte, uno de los proyectos que más avanzó en Europa fue el protocolo DP-3T, dirigido por el Consorcio de Rastreo Paneuropeo de Proximidad para Preservar la Privacidad (PEPP-PT), sin embargo esta propuesta al parecer se quedó a medio camino al verse enredada entre intereses políticos y privados, por lo tanto Europa ha abandonado el apoyo a esta iniciativa, pese a esto hay aspectos que vale la pena rescatar.
DP-3T nació como un protocolo de código abierto, la documentación descansa en un repositorio de Github que cualquiera puede acceder, cumple con el Reglamento Europeo de Protección de Datos, utiliza bluetooth y no geolocalización, tal y como lo sugirió la Comisión Europea que sería el método preferido ya que permite mayor anonimización de datos. El DP-3T se ha desarrollado siguiendo los principios de privacidad desde el diseño, por lo tanto evita que terceras personas usen los datos obtenidos por la aplicación y envía los datos mínimos al servidor central ya que la mayoría de los datos personales se almacenan en el dispositivo del ciudadano, según sus desarrolladores, es suficiente con que la gente sepa su peligro y actúe en consecuencia.
Recomendaciones de la Comisión Europea para el uso de tecnología y datos para combatir el COVID-19
La Comisión Europea también ha realizado su aporte y el 8 de abril publicó la Recomendación sobre instrumentos comunes para la utilización de la tecnología y los datos para combatir y salir de la crisis de COVID-19, en particular en relación con las aplicaciones móviles y el uso de datos de movilidad anonimizados, en este documento, reconoce entre otros aspectos, el valor de las tecnologías digitales y los datos para combatir el COVID-19 y señala que las aplicaciones de advertencia y rastreo pueden desempeñar un papel importante en el rastreo de contactos, limitando la propagación de enfermedades e interrumpiendo las cadenas de transmisión.
Pero a su vez advierte que el uso de estas tecnologías puede afectar el ejercicio de ciertos derechos fundamentales, como, entre otros, el derecho al respeto de la vida privada y familiar. Como cualquier interferencia con esos derechos debe estar de acuerdo con la ley. Además, la Organización Mundial de la Salud y otros organismos han advertido sobre el riesgo de que las aplicaciones y los datos inexactos puedan provocar la estigmatización de las personas que comparten ciertas características debido a un vínculo percibido con la enfermedad.
Por tal razón sugieren los siguientes lineamientos para su implementación:
- Cualquier restricción de derechos debe ser temporal y limitada estrictamente a lo que es necesario para combatir el virus.
- Minimización de datos y procesamiento de datos solo cuando sea adecuado, relevante y limitado a lo necesario.
- Salvaguardas apropiadas como seudonimización, agregación, cifrado y descentralización.
- Las medidas eficaces de ciberseguridad y seguridad de datos son esenciales.
- Consulta con las autoridades de protección de datos.
- Salvaguardas que garanticen el respeto de los derechos fundamentales y la prevención de estigmatización.
- Preferencia por las medidas menos intrusivas pero efectivas, incluido el uso de datos de proximidad y evitar el procesamiento de datos sobre ubicación o movimientos de individuos, y el uso de datos anónimos y agregados cuando sea posible.
- Requisitos técnicos sobre tecnologías apropiadas (por ejemplo, Bluetooth Low Energy) para establecer la proximidad del dispositivo, encriptación, seguridad de datos, almacenamiento de datos en el dispositivo móvil, posible acceso por parte de autoridades sanitarias y datos almacenamiento.
- El vencimiento de las medidas tomadas y la eliminación de los datos personales obtenidos a través de estas medidas cuando se declara que la pandemia está bajo control.
- Datos anónimos de proximidad en caso de infección confirmada y métodos apropiados para advertir a las personas que han estado en contacto cercano con los infectados persona.
- Transparencia para garantizar la confianza en las aplicaciones.
Además de las anteriores propuestas, también se trabaja en otras iniciativas de protocolos, estándares y métodos de implementación de dichas tecnologías: Protocolo Robert, Apple y Google, TCN Coalition, PACT, OpenTrace.
Por lo visto, no son pocas pues las propuestas presentadas hasta el momento, todas en el mismo sentido, combatir el virus y garantizar la privacidad y los derechos del ciudadano, así es que no es aceptable impulsar en Costa Rica iniciativas que busquen garantizar el derecho a la salud pública en detrimento de la privacidad del ciudadano.
Ahora bien, las apps de rastreo y contacto no son la solución mágica que van a controlar el virus, el caso de Singapur lo demuestra, fue uno de los primeros países en implementar tecnología para rastrear los movimientos de los infectados y llego a ser citada por la OMS como ejemplo en la lucha contra la pandemia, pero en días recientes se ha visto un repunte significativo en el número de contagios. Incluso en los países que sí ha dado buenos resultados, estas tecnologías han estado acompañadas de otras estrategias, como son los casos de éxito de Corea del Sur y Taiwan, los cuales demuestran que sus resultados no se han debido solo a consecuencia del uso de la tecnología, además involucraron aspectos culturales, de experiencia de pasadas epidemias, una estrategia de toma de pruebas masiva, aislamiento y mucha transparencia por parte de sus gobiernos.
Por último, el especialista británico en ciberseguridad Ross Anderson, ofrece una versión realista y poco optimista de lo que podrían ser estas tecnologías en la práctica y las diferentes maneras de cómo no podrían ser anónimas o cómo los mismos ciudadanos podrían burlar sus controles.
Conclusiones
A pesar de las vidas perdidas en el país a causa del COVID-19 los números nos favorecen, se han hecho bien las cosas hasta el momento y es la hora de dar el siguiente paso para superar la crisis, si parte de la solución es el desarrollo de tecnologías de rastreo y contacto, bienvenidas sean, pero se debe hacer de la manera correcta preservando la debida proporcionalidad entre derechos.
Si no hay transparencia ni garantías será difícil que los ciudadanos compren la idea de descargar un app que rastreará su actividad social, sus contactos y demás datos personales, para luego enviarlos a un servidor al cual no se sabrá quien tendrá acceso. Será primordial poder auditar la aplicación, que los ciudadanos que participen en la iniciativa puedan tener acceso a los datos que están otorgando y a conocer el tratamiento que están realizando de esta información.
De acuerdo a lo presentado aquí ya existen marcos de trabajo que buscan el desarrollo de estas tecnologías garantizando y preservando la privacidad del usuario, por lo tanto no son válidas las voces que proponen sacrificar el derecho a la privacidad y protección de datos en beneficio de la salud pública, es viable lograr garantizar estos dos derechos fundamentales bajo un enfoque de trabajo de privacidad desde el diseño.
Articulo creado por: Juan Esteban Durango
En este día...
- Celebración internacional de la Soberanía Tecnológica en 20 países de Iberoamérica - 2015
- Infografía: Escuelas Linux de Zacatecas - 2013
- Nuevo reto profesional: Gerente de Desarrollo de Negocio para Latinoamérica en Ándago - 2012
- Maratón de Empleo y Autoempleo en Alicante - 2012
- La analítica móvil y el control de lo que hacemos con nuestros smartphones - 2011