Foto de portada: Homedust Assorted Doctors Tools – Credit to http://homedust.com/ via photopin (licencia)

El BOE del pasado sábado 28 de marzo anunciaba que el gobierno central encargaba de manera urgente el desarrollo de una aplicación informática móvil para el apoyo a la gestión de la crisis sanitaria que atravesamos. Desde Ingeniería Sin Fronteras consideramos imprescindible que esta medida incorpore garantías de protección de los derechos fundamentales de privacidad de la ciudadanía y para ello proponemos diversas medidas, como la liberación del código fuente de tales aplicaciones.

El BOE número 86 del pasado sábado 28 de marzo recogía en su disposición 4162 (BOE-A-2020-4162), resolución primera, la encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial de “el desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19”. Según la publicación oficial, tal aplicación permitiría realizar una autoevaluación en base a los síntomas sobre la probabilidad de que esté infectado por el COVID-19, proporcionando información adicional e indicando acciones a seguir. Además de lo anterior, la aplicación permitiría la geolocalización a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. Para tal desarrollo, la Secretaría General de Administración Digital queda habilitada para recurrir a otros encargados.

En una segunda resolución, el boletín anuncia que se va a contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento. El objetivo que se establece es entender los desplazamientos de la población para comprobar el dimensionamiento de servicios sanitarios de cada provincia. En este caso se especifica que tal tratamiento de datos se someterá al Reglamento General de Protección de Datos

Ante el contenido publicado, mostramos nuestra preocupación por cómo serán gestionados los datos requeridos por la aplicación, si estos serán almacenados en un fichero de datos, y si serán puestos o no a disposición de terceros. Tal preocupación esta basada en las siguientes consideraciones:

  • La aplicación manejará datos relativos a la salud, que están considerados como datos sensibles en el Reglamento General de Protección de Datos, y como tales se les han de aplicar medidas de protección adicional.
  • La externalización a terceros del desarrollo de la aplicación no detalla si los datos quedarán o no a disposición de la empresa o entidad que desarrolle la aplicación, siéndo ésta una práctica habitual bastante implantada en la industria tecnológica.
  • No se arbitran medidas para la publicación del código fuente de la aplicacíón. Esta medida permitiría auditar el funcionamiento de la aplicación y dotaría de total transparencia a la iniciativa, y no menoscabaría en absoluto la consecución de los objetivos de la misma.

Basándonos en lo anterior, desde Ingeniería Sin Fronteras proponemos los siguientes puntos de mejora para garantizar la transparencia de la medida y la privacidad de la ciudadanía:

  1. La publicación código fuente de los sistemas desarrollados, bajo una licencia libre avalada por la Free Software Foundation. El código, documentación y el desarrollo deberían estar disponibles en un repositorio público, tal y como se ha llevado a cabo en la República Checa, siguiendo las directrices marcadas por la FSFE en su campaña “Public Money, Public Code”. El software creado con dinero público ha de licenciarse como libre para que quede disponible para futuros desarrollos y también para prevenir una posterior apropiación privada con fines lucrativos. Ésta es a la vez una medida de transparencia y propicia el análisis y solución de posibles vulnerabilidades, facilitando así la realización de auditoras de seguridad.
  2. La garantía de que los datos serán tratados de manera agregada (nunca indiviudalizados) y desasociados de los datos personales. Poderes extraordinarios requieren medidas de protección extraordinarias.
  3. La liberalización, una vez aplicadas las medidas anteriores, de los datos obtenidos, integrándolos en plataformas abiertas de datos.
  4. La no cesión a terceros de los datos, en especial a iniciativas privadas (participantes o no del desarrollo), con fines lucrativos.
Foto: Book Catalog data privacy via photopin (licencia)

Hasta este momento la postura del gobierno no es clara. Según el BOE 86, parece que seguirá apoyando un modelo híbrido, proponiendo el desarrollo de aplicaciones para la ciudadanía sin dejar claro si serán usadas para un control de la población. Este tipo de sistemas ponen en riesgo el nuestro derecho a la privacidad.

Estas actuaciones no se han llevado a cabo solamente en España, en otros países como Singapur o China los gobiernos han optado por crear sistemas que de trazabilidad que permiten conocer la localización de las personas en cada momento.

En una visión global, la aplicación de la tecnología para combatir la situación de pandemia ha seguido dos direcciones. Una de ellas es usar la tecnología como medio de comunicación y transparencia. Algunos gobiernos como el de la comunidad Autónoma Andaluza tienen aplicaciones para dar información y comunicarse con la ciudadanía. El otro camino tomado nos acerca peligrosamente al uso de la tecnología como una herramienta de control. La tecnología ha de estar al servicio del desarrollo humano, y para ello ha de fomentar la transparencia garantizando la confidencialidad de los datos de la ciudadanía.

Por otro lado, estamos atravesando una época donde el negocio de los datos ha supuesto que las grandes compañías de internet asuman la propiedad de nuestra información personal sin que lo consideremos un ataque a nuestros derechos. Mediante los distintos servicios y aplicaciones (y sus Términos y Condiciones) permitimos, la mayoría de las veces sin ser conscientes o sin conocer en qué medida, que se registren y procesen datos sobre nuestra vida diaria. Tales datos pueden ser nuestros desplazamientos, búsquedas en internet, etc., y son muy valiosos para las grandes empresas en la medida que pueden ser utilizados para fines comerciales (publicidad dirigida, por ejemplo). Esto vulnera nuestra privacidad y supone un ataque a nuestros derechos, a costa de lo cual las compañías están alcanzando volúmenes de negocio nunca antes imaginados.

Para ampliar información