Dentro del proceso de lucha contra la pandemia se han propuesto multitud de potenciales soluciones tecnológicas que ayudarían en la misma, desde aplicaciones QR para poder localizar posteriormente a personas que estuvieron presentes en un local en un momento determinado, a pasaportes digitales de vacunación o las aplicaciones de rastreo de contactos.
Este último tipo de aplicaciones fueron diseñadas para poder llegar a conocer que se ha estado en contacto con un positivo en coronavirus, a los efectos de poder realizar las pruebas oportunas, así como llevar a cabo un aislamiento preventivo.
A la hora de introducir una tecnología en un determinado campo debe analizarse, por un lado, si puede aportar algo positivo, es decir, si va a sumar en dicho contexto y, por otro, los potenciales riesgos que pueden llegar a darse.En el primero, sin perjuicio de discusiones de porcentajes a partir de los cuales son más o menos efectivas, puede llegar a verse que sí, que existe un beneficio en poder localizar a personas que han estado expuestas al coronavirus y que, por tanto, pueden contribuir a la propagación de este virus.
Ahora bien, los riesgos existentes son manifiestos. Debemos tener en cuenta que nos encontramos ante datos relativos a salud, con múltiples participantes ajenos a la administración pública, como son los relativos a los servicios de la sociedad de la información.
Un uso proporcionado de datos de localización
Con tal de garantizar transparencia y aumentar la confianza en el sistema, se aprobaron las Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 por parte del Comité Europeo de Protección de Datos (CEPD). Según este documento, el CEPD entiende que el marco jurídico de la protección de datos fue diseñado como un instrumento flexible que, por tanto, puede aportar una respuesta eficiente en la contención de la pandemia y, al mismo tiempo, proteger los derechos humanos y las libertades fundamentales.
Por ello, propone un uso proporcionado de datos de localización y de herramientas de rastreo de contactos para fines específicos, utilizando mecanismos que permitan garantizar los derechos de las personas a través del rastreo de movimientos individuales y no de información sobre la proximidad de los usuarios. Es por esta razón que progresivamente se ha optado por soluciones de detección de proximidad utilizando el estándar DP-3T de rastreo de proximidad descentralizado para preservar la privacidad.
Las aplicaciones que utilizan esta tecnología permiten almacenar dispositivos que han permanecido a una distancia que puedan haber contribuido a la propagación de la enfermedad si posteriormente se detecta un positivo, pero sin necesidad de conocer la persona identificada que ha dado dicho positivo. Por esta razón, estas soluciones son preferibles al uso de servidores centralizados que pueden tener acceso a toda la información.
Riesgos innecesarios para los derechos
Dicho lo anterior, las aplicaciones de rastreo no están formadas exclusivamente por esta base tecnológica de rastreo de proximidad, sino que se implementan las diferentes rutinas necesarias para comunicarse con los servidores de sanidad, enviar la confirmación de positivo, así como la descarga de las listas.
Es en este punto donde se pueden introducir potenciales vulnerabilidades que permitan identificar a los usuarios y, por tanto, crear un riesgo innecesario para sus derechos. De hecho, en el caso de la app de España, Radar COVID, con posterioridad se han detectado problemas que tuvieron que solucionarse en nuevas versiones de la aplicación. Asimismo, se han detectado problemas a la hora de cumplir con las obligaciones de Transparencia que las Directrices indicaban.
El primero de los problemas se produjo durante el mismo desarrollo de la aplicación. Recordemos que se realizó un programa piloto en junio de 2020 en La Gomera, pero no es hasta septiembre que los ciudadanos pudieron tener acceso al código fuente de la aplicación.
Es en este momento, con la apertura del repositorio, que terceros detectaron problemas de privacidad relativos a cómo se había implementado específicamente DP3T en la aplicación de Radar COVID, como es el caso de la inexistencia de tráfico falso en el momento de enviar el positivo a los servidores. Dado que la aplicación únicamente se conectaba con los servidores en caso de un positivo, resultaba trivial trazar qué personas habían dado positivo en las pruebas.
El segundo aparece cuando, pese a abrirse dicho repositorio y facilitar el acceso al código fuente, no se publica conjuntamente la documentación relativa al análisis de riesgos y la evaluación de impacto en materia de protección de datos de la aplicación. Fue esta circunstancia la que provocó el inicio de la litigación estratégica por parte de Rights International Spain en coordinación con la Civil Liberties Union for Europe necesaria para obtener la documentación.
La evaluación de impacto relativa a la protección de datos, llega tarde
Si recordamos las Directrices, el CEPD considera que ha de llevarse a cabo una evaluación de impacto relativa a la protección de datos (EIPD) antes de empezar a utilizar una aplicación de este tipo por cuanto se considera que el tratamiento puede entrañar un alto riesgo como es el caso con datos sanitarios, adopción previa a gran escala, seguimiento sistemático o utilización de una nueva solución tecnológica. Además, en este mismo documento el CEPD recomienda encarecidamente la publicación de las EIPD.
Por lo tanto, estas recomendaciones, así como el cumplimiento de los principios básicos en materia de Transparencia, deberían llevar a que la EIPD hubiera sido preparada con anterioridad incluso a este programa piloto, y que se facilitara el acceso a cualquier ciudadano interesado, sin necesidad de realizar una solicitud a tal efecto. De esta manera, se aumentaría la confianza de los ciudadanos en el sistema, dado que podrían tener acceso de primera mano a la información utilizada para garantizar el derecho.
El problema ha sido no solo que no se publicó este documento, sino que, ante una petición de documentación pública y existente, al menos en teoría, se acudió a una figura inaplicable para inadmitir directamente la solicitud. Así, directamente indicaron que se estaba modificando el documento EIPD, y que en el futuro se publicaría para conocimiento general.Esta denegación fue recurrida ante el Consejo de Transparencia, que finalmente dio la razón a nuestros argumentos, estimando que había un documento público existente, diferente además al que la SEDIA indicó que con posterioridad se publicaría, y que los límites de acceso a la información pública deben ser interpretados de manera restrictiva.
Deficiencias del EIPD
Mientras tanto, el Ministerio publicaba una presunta EIPD en el repositorio de GitHub dedicado a la aplicación, pero con importantes deficiencias. En primer lugar, y al igual que veremos sucede con el documento original, no hay firma electrónica alguna y se limita a indicar una fecha de realización.
Curiosamente, esta fecha es anterior a la solicitud realizada, que recordemos fue inadmitida por presuntos cambios que iban a realizarse, y sin que se indique que haya sido modificada con posterioridad. Además, pese a indicarse un control de versiones en el mismo documento, diciendo que es una versión 2.0, no existe ningún tipo de control de versiones en el documento, impidiendo a los ciudadanos saber qué cambios se han ido produciendo desde su primera realización.
No negamos en ningún momento que tanto la EIPD como la aplicación en sí son instrumentos al final vivos, susceptibles de modificación durante su vida útil. Deben adaptarse a potenciales cambios provocados por la detección de vulnerabilidades y recomendaciones de mejora, pero eso no implica que el ciudadano no pueda contar con acceso a dicha información.
Pero podemos ir más allá, una vez el Ministerio finalmente entregó el documento solicitado, y en el que advertimos:
- El documento no cuenta con firma electrónica
- Se afirma que se realizó en agosto
Si se realizó un programa piloto en junio de 2020, y la aplicación ya se distribuyó de manera generalizada en agosto de forma cercana a las fechas del informe, resulta imposible que los potenciales riesgos se hubieran tenido en cuenta en el primer caso, y que las recomendaciones de la evaluación hubieran sido incorporadas antes del lanzamiento en el segundo. Además, la falta de firma electrónica en el documento impide la comprobación de que efectivamente fue realizado en las fechas que se indican.
Cuestiones de transparencia
Además de todo lo anterior, y pese a haber obtenido acceso al documento, la práctica en materia de Transparencia por parte del Ministerio sigue siendo deficiente. Recordemos que se busca una gran transparencia en el desarrollo de estas soluciones, pero el documento que se nos ha facilitado no ha sido incorporado en el repositorio accesible al público, ni directamente, ni como parte del control de versiones del documento subido. Por tanto, se está obligando a los ciudadanos a reclamar el documento en caso de querer tener conocimiento de ello.
Si no se hubiera presentado reclamación ante el Consejo de Transparencia, el Ministerio simplemente habría dado por cerrado el caso, no habría facilitado información alguna, y habría publicado una EIPD que no se corresponde con la aplicación desarrollada.
A mí parecer, el desarrollo de toda la campaña es una muestra de que falta aún práctica en el impulso de acciones plenamente transparentes, y en especial si afecta al desarrollo de código abierto. La ofuscación del código, el tiempo que se tardó en dar acceso a terceros indicando que se realizaría con la aplicación ya en producción, impidió la solución de varias vulnerabilidades que fueron rápidamente detectados una vez se subió el código al repositorio. Todo ello ha dificultado una adopción que ya resulta compleja de inicio.
Seguimos esperando el resultado de la investigación de la Agencia Española de Protección de Datos, dado que en nuestra opinión varias actuaciones pueden haber sido potencialmente contrarias a la normativa de protección de datos.
Es importante que cuando hablamos de salud, y más cuando se quiere introducir una nueva solución tecnológica, se tengan en cuenta todas las circunstancias del caso y se actúe lo mejor posible.