Skip to content

BLOG

Novedades, ideas y reflexiones varias.

La avalancha de las Covid-Apps

Mayoritariamente bajo la aceptación de que serán una pieza irrenunciable en el cubo de medidas requeridas para un desconfinamiento efectivo, pero también por fe ciega en el poder redentor de una solución tecnológica, llevamos ya varias semanas presenciando la propagación descontrolada de aplicaciones “contra el Covid-19”. 

Como hemos visto, las funcionalidades buscadas han ido más allá del Contact Tracing, o seguimiento de la proximidad a otras personas potencialmente infectadas en ciertos umbrales temporales (misión “A”). Podríamos enumerar así algunas otras, tangibilizadas o no en España, como:

  • (B) Descargar al sistema sanitario del volumen de solicitudes durante el triaje y evaluación continuada de los síntomas
  • (C) Obtener información estadística sobre contagios voluntariamente declarados y su relación con valores sociodemográficos y/o código postal de residencia, así como movimientos de población (igualmente agregados) durante el confinamiento o propagación a través de coordenadas GPS 
  • (D) Solicitud de cita para un test rápido y seguimiento de sus resultados
  • (E) Portabilidad de una especie de “pasaporte de inmunidad” o testimonio de ausencia de contagio en base a un test médico reciente
  • (F) Verificación del cumplimiento de una cuarentena como continuación a un diagnóstico positivo de la enfermedad, o a la entrada en un país (mediante GPS).

Habiendo terminado una o varias de estas funcionalidades paquetizadas en diferentes propuestas públicas o privadas, locales o nacionales, rápidamente se ha levantado el grito en el cielo por los riesgos presentados frente a derechos fundamentales de la ciudadanía, con la privacidad ocupando un lugar privilegiado en esta particular parrilla. 

Y he aquí que ha quedado claro lo imperativo que resulta, más allá de garantizar el cumplimiento normativo de cualquier actividad de tratamiento de datos, realizar un análisis de adecuación de cada particular propuesta al contexto social y cultural, que no tanto la ley, del ámbito geográfico al que aspira dar servicio. Dejando con ello en evidencia el insalvable desafío a una solución transfronteriza compartida. 

¿Idiosincrasia socioliberal con salpimentado conservador? “There’s an app for that”.

En su origen no resultó difícil trazar una línea en la arena entre China (autocracia e imposición, connivencia del sector privado, nulos límites a la naturaleza del dato recabado, su enriquecimiento e integración con otras fuentes, etc.) y el resto del mundo. O incluso ir más allá y hacerlo entre culturas orientales y países occidentales con fuerte arraigo de las libertades y derechos individuales frente al estado. Esto explica que la solución de Corea del Sur, combinando las funcionalidades B, D y F, no tuviera cabida en Europa o Australia (que sí pudieron plantearse la versión más garantista desplegada, por ejemplo, en Singapur).

Pero la cosa ha ido ganando complejidad a medida que llegaba el momento de dar a luz soluciones muy específicas en ámbitos nacionales o regionales de nuestro entorno sociocultural. Es difícil encontrar una propuesta que no hubiera podido argumentar su respeto al Reglamento General de Protección de Datos (expón tus loables propósitos, aprovecha la base legal destinada al efecto, define tus riesgos, implementa tus medidas), pero pocas iban a pasar dos filtros:

  1. De cara a la gran mayoría de potenciales usuarios, el de la confianza que la ciudadanía decida depositar en ellas sobre la base de una reacción prácticamente instintiva, derivada de su tono, diseño, coherencia en el mensaje o valor percibido. Y, por qué no, tal vez anclada en su particular idiosincrasia. 
  2. De cara a una minoría influyente, el de un escrutinio ético muchísimo más riguroso, en el extremo más purista y exigente de lo que conocemos por Privacidad desde el diseño y por defecto (“Privacy by Design”).

No ha derivado este segundo filtro, considero, de un excesivo recelo sectorial por parte de profesionales de la privacidad y organismos de tutela, sino más bien del nivel de madurez alcanzado con relación a la compatibilidad real entre principios básicos y propósitos del tratamiento, sin importar cuán sagrados resulten estos últimos. 

Cosa distinta es que el sensacionalismo mediático sí haya contribuido a empercudir, con torpe atropello, un debate ineludible que exigía fuego lento. 

Glotonería en el recabado

En otras palabras, aquí creo que está la clave: no parecemos enfrentarnos a un verdadero conflicto directo entre salvaguarda de la privacidad y protección de la salud pública, sino más bien a un elevado nivel de ignorancia de las posibilidades reales de la Privacidad desde el diseño y por defecto entre equipos técnicos y personas a cargo de liderar estas iniciativas en ambos sectores, público y privado. 

Pero la cosa va más allá: tanto la percepción individual como las tendencias virales del conjunto de la sociedad en la adopción de tecnología (filtro 1) están mutando de modo paralelo a su propia avanzadilla en forma de grupos de tutela (filtro 2), sea por una paulatina permeabilidad de la primera frente a la segunda, o sea sin más por una evolución natural compartida, y en dos tiempos, hacia transparencia y centralidad en la persona (“Human Centricity”).

Sea como fuere, he aquí que diferentes organismos públicos en España se han encontrado con importantes piedras en el camino que lleva a una adopción masiva imprescindible para la efectividad de sus propuestas. Así (yendo por delante todo mi respeto y agradecimiento por quienes, altruistamente, se han dejado la piel en su ejecución):

  • Las soluciones que declaran funciones de triaje (B) no han podido explicar satisfactoriamente, en el momento clave de su recabado, por qué solicitan el DNI (Gobierno Central y Comunidad de Madrid) o el número de tarjeta sanitaria (Generalitat de Cataluña). Con gran esfuerzo puede llegar a encontrarse el argumento de una potencial vinculación de síntomas o seguimiento ulterior con el historial clínico del paciente, pero resulta admirable la ambición de partida, con lo mucho que entorpece el cumplimiento de la misión primera.
  • La funcionalidad de seguimiento agregado de movimientos de población durante el confinamiento se ha visto satisfecha mediante el acceso de organismos públicos a registros de actividad en las antenas de telefonía móvil, facilitados por las operadoras al gobierno (dejando a un lado el caliente debate sobre la base legal de su existencia y habiendo expuesto el Comité Europeo de Protección de Datos cuán difícil resulta tachar dichos datos de verdaderamente anónimos)
  • La activación obligatoria del GPS en las aplicaciones arriba mencionadas, bien para verificar que el usuario se encuentra en la Comunidad Autónoma en la que dice estar (Gobierno Central), o bien para facilitar datos agregados a la autoridad sanitaria (Generalitat de Cataluña), se ha estrellado con el marco de trabajo comunitario (Directrices 4/2020 en el uso de datos de ubicación y “Contact Tracing” en el contexto del COVID-19): solo el seguimiento de proximidad (Bluetooth) está alineado con los principios de Privacidad desde el diseño. 
  • Quienes han acometido la funcionalidad reina, y verdaderamente diferencial (en compañía de medidas no tecno-mágicas) del Contact Tracing (A), se han topado con el debate más apasionado de las últimas semanas, y el de mayor relevancia transfronteriza.

Pero esta última batalla (versión digital de la figura más tradicional del “rastreador de contactos”) exige explicación detallada.

Descentralización emocional

Nada resulta más sencillo en los días que corren que emitir el siguiente juicio de valor: “centralizado, malo; descentralizado, bueno”. Son al fin y al cabo tiempos de espionaje estatal, NSA, CNI, Zuboff nada es más “cool” que blockchain y el empoderamiento de las personas frente al Leviatán (y, que conste, me considero, “cool” o no, feliz proponente de dicho empoderamiento). 

Pero, como con muchas otras cosas, el secreto de este debate entre el Pan-European Privacy-Preserving Proximity Tracing (estándar europeo para el seguimiento de proximidad en consonancia con principios de Privacidad desde el diseño, o “PEPP-PT”) y Decentralized Privacy-Preserving Proximity Tracing (derivada del anterior con un enfoque más descentralizado, o “DP3T”) ha estado en la letra pequeña y los detalles, y merecen especial respeto quienes, a uno u otro lado de la disyuntiva, se han molestado por su apreciación fina. 

Estando ambas soluciones ampliamente documentadas ahí fuera, me limitaré a repetir que la pieza que las diferencia es el lugar del almacenamiento de los encuentros computados (escenarios de proximidad entre señales Bluetooth Low Energy durante un tiempo mínimo), así como el lugar de procesamiento de la lógica que lleva a estimar el riesgo de contagio. Mientra que PEPP-PT gestiona ambos en un servidor central, DP3T lo hace en el dispositivo de cada individuo. 

Como ha quedado espectacularmente bien expuesto en este documento del equipo de trabajo de “ROBERT” (en el marco de PEPP-PT), los riesgos se reparten a ambos lados de la balanza:

  • PEPP-PT se enfrenta a amenazas de ataques al servidor y abusos por parte de las autoridades o equipos responsables de su gestión, incluyéndose la deduplicación de seudónimos para cada individuo y la construcción de un “gráfico social” sobre la base de dicha deduplicación y sus interacciones con usuarios infectados
  • DP3T se enfrenta a posibles abusos por parte de usuarios finales con diferentes grados de competencia técnica (identificación de los contactos o personas próximas infectadas, vinculación de ubicación geográfica a dichas personas infectadas, exploración de interacciones sociales entre ellas, monitorización activa de ciertas áreas físicas, etc.), si bien limita los riesgos a nivel de servidor.

A ello se suma que solo PEPP-PT permite acceder a datos estadísticos sobre volúmenes de personas infectadas o puntos de contagio, ponderar diferentes escenarios de propagación del virus sobre datos de remisión contínua, remitir alertas en dos tiempos (señal previa cuando un contacto presenta síntomas y confirmación al recibirse resultados de un test) o ajustar de forma más inmediata el algoritmo de evaluación. No fue por ello casualidad que un equipo de la Universidad de Oxford se decantara por el modelo centralizado, o que el NHSX (brazo tecno-puntero del servicio de salud británico) siguiera similares argumentos para la concepción y lanzamiento de su primera aplicación (al igual que Francia y al igual que Alemania en primera instancia). 

Dejando a un lado estas diferencias, queda aún así una importante enumeración de salvaguardas y medidas de Privacidad desde el diseño cruciales y compartidas por ambas soluciones: 

  • Las aplicaciones emiten un ID anónimo de generación aleatoria (y renovación diaria) a los dispositivos considerados en “proximidad” (por fuerza de la señal de Bluetooth Low Energy y tiempo de exposición)
  • En ningún caso se comparte la identidad del titular con terceros o el servidor central
  • No comparten ubicación física (GPS)
  • No se comparten datos de contactos ni se construye un “gráfico social”.

Pudiendo todo ello sonar banal, apréciese ahora en este contexto la aplicación Covid-19.eus (Servicio de Salud del País Vasco):

  • Solicita nombre, número de teléfono, edad, género, correo electrónico, código postal, síntomas declarados, medicación actual y condiciones básicas de salud
  • Permite añadir manualmente a cada contacto con quien se mantiene relación habitual de proximidad, con cuyo mapa pueden obtenerse “mapas de contención” en base a síntomas declarados
  • Remite recordatorios periódicos para el autodiagnóstico continuado, facilitando acceso al servicio de citas en caso de arrojar un resultado positivo
  • El código postal facilita datos estadísticos sobre zonas de contagio al servicio de salud.

No teniendo acceso a nivel de penetración de esta aplicación, caben varias preguntas: ¿Genera suficiente confianza la batería de datos recabados, y su cadena de custodia, para el valor percibido? ¿Es beneficioso combinar tantos propósitos (A, B, C y D en base a su vídeo promocional) bajo el paraguas de una aplicación móvil habiendo espacio para encuestas independientes? ¿Resultaba mucho más complicado hacerse eco de cualquier de las dos iniciativas (PEPP-PT, DP3T) a nivel europeo, garantizando la seudonimización y tal vez de paso dejando la puerta abierta a la interoperabilidad con otras aplicaciones locales, nacionales o internacionales? (¿Qué pasa si un residente de Vizcaya entra en Castro Urdiales o un donostiarra se pasea por Hendaya?)

(De nuevo, vaya por delante mi respeto a los esfuerzos realizados desde la mejor de las voluntades.)

Un golpe de realidad

De poco iba a servir en cualquier caso tanto progreso en términos de Privacidad desde el diseño y análisis comparativo, puesto que su ejecución práctica dependía por completo de los dispositivos móviles en uso por la población. 

Alemania descubrió temprano que no habría forma de pasar por encima de la limitación impuesta por iOS para la emisión de señales Bluetooth Low Energy desde una aplicación que no está abierta en primer plano de modo continuado. Los primeros tests de la aplicación británica en la Isla de Wight arrojaron similar diagnóstico, a pesar de conseguir un envidiable nivel de adopción del 50% (y aún así inferior al 60% considerado como requerido).

El resto de la historia sonará a muchos: Apple rechazó la petición alemana de introducir cambios en iOS que facilitaran e l despliegue de PEPP-PT, si bien se asoció con Google para compartir una iniciativa (“Apple/Google Privacy Preserving Contact Tracing”) que hiciera ambos sistemas operativos compatibles con aplicaciones descentralizadas. A la adopción por parte de Italia y Austria de este último estándar siguieron la resignación de Alemania en su seguimiento, el arranque de un nuevo desarrollo en Reino Unido igualmente alineado (versión descentralizada del proyecto del NHSX), y la propuesta francesa, en resistencia numantina a una imposición del sector privado, para un protocolo de interoperabilidad entre ambos PEPP-PT y Apple/Google (“DESIRE”, versión descentralizada de ROBERT). 

Atrás quedaban ya, ancladas en el modelo centralizado, aplicaciones desplegadas con relativo éxito en sus respectivos mercados. Sus nombres, detalles y nivel de adopción están disponibles en un documento “vivo” mantenido por el MIT. Huelga decir que España no aparece por ningún lado en este registro, lo cual no tiene por qué ser mala señal, vistos los resultados: incluso Islandia, con una base instalada del 40% reconoce el mínimo impacto del proyecto. Y sabemos que se trabaja duramente en la contratación de “rastreadores” para el seguimiento telefónico de dichos contactos a la vieja usanza.  

[Actualización del 21 de mayo (y guinda a todo lo expuesto): el Gobierno español anunció ayer que se suma a las iniciativas desplegadas sobre el protocolo de Apple y Google, con un primer piloto que será desplegado en Canarias]

Espacios para el debate: la escalera de principios

No me gustaría, para finalizar, esquivar el bulto del conflicto privacidad-salud. Como he anticipado arriba, tengo bastante claro que hemos descargado injustamente sobre dicho conflicto toda responsabilidad en la conceptualización y diseño de soluciones técnicas. 

Había otra forma de hacer las cosas, pero muchos en España hemos percibido una especie de carrera infantil en la publicación de aplicaciones móviles en tiempo récord, más motivada por la urgencia política (apuntarse el tanto) que por la urgencia sanitaria (más que obvia). Y en ese contexto han transpirado deficiencias clave en la definición de políticas de recabado y uso de datos personales. Estas deficiencias no resultan en tiempos más cortos y soluciones más eficientes, sino en todo lo contrario.

¿Significa esto que no llegará nunca el momento de escoger entre privacidad y salud, o intimidad y vida, o posibilidades futuras (por el análisis de datos hoy expuestos) y presentes (supervivencia)? Para nada. Sin duda nos enfrentaremos a múltiples decisiones que pondrán ambos intereses en lados contrapuestos de la balanza. Y habrá que tener muy clara la jerarquía de valores o principios de cada sociedad. Pero no me parece que ninguno de los escenarios vividos en el contexto de las Covid Apps haya justificado aún poner sobre la mesa tan drástico comodín. 

Share on twitter
Share on facebook
Share on linkedin

01

¿Eres un usuario y quieres tener más control sobre tus datos?

Cuéntame +

02

¿Eres un medio, una app o un anunciante y quieres saber más sobre nuestra plataforma?

Escríbenos