CONTRA EL COVID-19, GOOGLE Y APPLE ARRIESGAN TUS DATOS PERSONALES SENSIBLES

Nota publicada en el diario Perfil el 30-04-20.

El anuncio de que dos gigantes tecnológicos se unieran hizo sonar todas las alarmas. Google y Apple, que detentan el 99% del mercado de smartphones en el mundo, presentaron la herramienta de contact tracing para intentar controlar la pandemia del Covid-19.

El anuncio de que dos gigantes tecnológicos se unieran hizo sonar todas las alarmas. Google y Apple, que detentan el 99% del mercado de smartphones en el mundo, presentaron la herramienta de contact tracing para intentar controlar la pandemia del Covid-19.

El contact tracing es un término utilizado en salud pública, y consiste en el rastreo de contactos es el proceso de identificación de personas que pueden haber entrado en contacto con una persona infectada y la posterior recopilación de información adicional sobre estos contactos.

La herramienta que proponen estos titanes de la tecnología utiliza los sensores Bluetooh de los teléfonos y la infraestructura de la red para poder identificar a las personas que pueden haber entrado en contacto con nosotros, y la posterior recopilación de información adicional sobre ellas. Obteniendo esos datos, y adicionándole los de salud de los ciudadanos, se puede saber quién está infectado, y por los registros saber con cuales personas estuvo en contacto o en cercanías, para que estas reciban un alerta y se acerquen a los centros de salud a realizarse el test de coronavirus. Si el resultado de alguna de ellas fuese positivo, esa nueva alerta se enciende, y se repite el procedimiento.

¿Cómo funcionaría?

Dos personas están en contacto por al menos 10 minutos, y automáticamente intercambian sus teléfonos por Bluetooh un código identificatorio. Desde la empresa aseguran que ese código es anónimo y se renueva cada 15 minutos. Si una de esas dos personas que tuvieron contacto, y cuyos teléfonos ya se identificaron fue diagnosticada con Covid-19 dentro de los 14 días posteriores al contacto, la otra recibirá una alerta, con la información sobre cómo debería actuar.

Cada teléfono guardará los códigos emitidos, como los códigos recibidos de todas las personas que estuvieron en cercanía. 

Cuestiones de privacidad.

Desde las empresas aseguraron algunas cuestiones en torno de la privacidad de los usuarios.

·       Requiere consentimiento explícito del usuario.

·       No recopila información de identificación personal o datos de ubicación del usuario.

·       La lista de personas con las que has estado en contacto no abandona tu teléfono.

·       Las personas que dan positivo no están identificadas con otros usuarios, Google o Apple.

·       Solo será utilizado para el rastreo de contactos por las autoridades de salud pública para la gestión de la pandemia del COVID-19.

Estos datos en poder de empresas generan no poca preocupación.

La autorización que requiere la herramienta está correcto. El artículo 5 de la Ley de Protección de datos personales dice que “El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias”.

El primer punto es correcto y se ajusta a lo legal. A partir de los puntos siguientes como respuesta solo obtendremos dudas.

Dicen que no recopila información de identificación personal o datos de ubicación del usuario.

Podemos confiar en la anonimización de los datos. Pero sabemos que así como existen técnicas de anonimización, existen las que des-anonimizan.

La desanonimización es una estrategia de data mining en que los datos anónimos se cruzan con otras fuentes de datos para reidentificar la fuente de información anónima.

En 2006 Netflix creó un concurso para buscar un algoritmo que haga recomendaciones de películas a sus usuarios. Para probar el algoritmo liberó un banco de datos de 500 mil registros anónimos con calificaciones de los suscriptores a las películas. Dos investigadores de la University of Texas at Austin entraron al concurso y crearon un algoritmo que consiguió identificar los suscriptores de Netflix correlacionando la información compartida con una base de datos pública.

La información sobre la salud es un dato sensible. El miedo por esta pandemia está erosionando muchas de los derechos de las personas, pero entiendo que debe haber un límite.

El artículo 7 de la LPDP dice que “Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros.”

Si bien en principio la herramienta no estaría utilizando los datos de geolocalización, los expertos señalan que las claves diarias intercambiadas que solo ocuparían 16 bytes, terminarían convirtiéndose en miles de MB que serían descargados en cada celular, cuando aumenten la cantidad de contagios. Eso para los expertos sería insostenible, y el hilo se cortaría por lo más fino. Se podría terminar utilizando la geolocalización de las personas para enviar selectivamente las alertas.

Por más buenas que sean las intenciones de Google, que tiene sobre sus espaldas una larga lista de denuncias por violación de datos personales, creo que acá se estaría extralimitando con la información que requiere y pretende utilizar en la herramienta.

La más reciente denuncia que pesa sobre Google data del 12 de julio de 2019. Se denunció ante la Agencia Española de Protección de Datos (AEPD) que la política de geolocalización podría incumplir el Reglamento General de Protección de Datos (RGPD), en cuanto empuja a los usuarios a compartir sus datos de ubicación, práctica que resultaría en una vigilancia permanente que no permite a los consumidores una oportunidad real de escapar de la misma.

Si bien es verdad que las personas subestiman el valor de la geolocalización y comparten esa información con Google, Apple o cuanto aplicativo se descargan en el celular, no es menos cierto que debemos alertar de los peligros que ello conlleva.

Los datos de ubicación pueden revelar información especialmente sensible sobre los usuarios, como por ejemplo, creencias religiosas (si se acude a un lugar de culto), inclinaciones políticas (si se participa en manifestaciones), condiciones de salud (si se acude de forma regular al hospital) y orientación sexual (por visitar determinados lugares o zonas de ocio). La denuncia muestra que Google recopila datos de ubicación de los usuarios, especialmente a través del "Historial de ubicación" y de la "Actividad de la Web y la aplicación".

El atentado a las torres gemelas ocurrido en los Estados Unidos, los atentados en Madrid y Londres justificaron medidas de los gobiernos que de otra forma ninguna persona hubiese aceptado. Intercepción de comunicaciones, vigilancia ciudadana, excesivos controles, reducción de la privacidad en los aeropuertos e incluso operaciones contra el intercambio de archivos en la red se justifican con los argumentos de la lucha contra el terrorismo y la seguridad nacional.

Temo que esta pandemia sea un antes y después de la protección de datos personales sensibles y que el temor de la aparición de un nuevo virus nos movilice a ceder derechos sobre nuestros datos personales. ¿De contar con esta tecnología u otra similar, se hubiese podido controlar la pandemia anticipadamente? Podría ser. Pero entiendo que por encima de la salud pública, están nuestras libertades y derechos, y decidimos sobre ellos.