Olvidémonos del Gran Hermano. Para enfrentarse al COVID-19, el seguimiento de los ciudadanos parece ser una medida necesaria. Las autoridades trabajan en crear herramientas que permitan monitorizar la propagación de la pandemia y muchos usuarios ven con buenos ojos utilizar todo lo que esté en nuestra mano para proteger la salud. Una postura que choca con esa visión orwelliana de la monitorización que hasta la fecha ha imperado.
Nuestra sociedad ha cambiado en pocas semanas. Durante esta cuarentena hemos visto distintas iniciativas para hacer un seguimiento de los usuarios y poder enfrentarse mejor a la pandemia. Desde aplicaciones de diagnóstico como la que prepara el Gobierno, aplicaciones para controlar el cumplimiento de la cuarentena, hasta un estudio de movilidad con datos de los operadores que gestionará el INE. Diferentes proyectos, cada uno con su propia forma de tratar los datos, pero con la necesidad de analizar de dónde proviene y cómo se expande la infección.
Esta monitorización por parte de las autoridades ha vuelto a reabrir el debate sobre la privacidad. Sobre si el coronavirus es otra excusa para invadir nuestra intimidad o si por el contrario nos hace falta abrazar la tecnología para poder enfrentarnos con las mejores herramientas a la pandemia.
Hemos hablado con distintos expertos en seguridad y protección de datos para que nos expongan su punto de vista sobre los distintos proyectos que están en marcha para hacer frente al COVID-19. Una necesaria reflexión sobre cómo esta crisis del coronavirus puede llegar a cambiar para siempre nuestra visión sobre la privacidad y el uso de nuestros datos.
Qué tipo de datos se están solicitando
Para entender el debate de privacidad entorno al coronavirus primero debemos distinguir distintos casos de monitorización entre las iniciativas que se han propuesto durante estas semanas. Podemos clasificarlos de la siguiente manera:
-
En primer lugar están las aplicaciones de autoevaluación como CoronaMadrid, Stop Covid19 CAT de Cataluña o la aplicación oficial que prepara el Gobierno. Se trata de aplicaciones que piden de manera opcional el número de teléfono móvil y la localización para determinar en qué comunidad autónoma nos encontramos. Estas aplicaciones no geolocalizan la posición del usuario de manera continua.
-
Seguidamente tenemos aplicaciones de cercanía, varias de ellas basadas en Bluetooth. Aquí se engloban iniciativas como TraceTogether de Singapur o PEPP-PT. El objetivo es identificar a las personas que hayan estado en contacto. Lo interesante de las implementaciones nombradas es que únicamente almacenan la última interacción, por lo que sirve para avisar del contagio pero no para identificar con quién has estado en contacto.
-
En tercer lugar están las aplicaciones de control de cuarentena como las que hemos visto en Corea del Sur o la española Open Coronavirus. Se trata de aplicaciones que pueden solicitar acceso al GPS del móvil y sirven a las autoridades para saber si el infectado ha salido de casa. Aplicaciones que según describe Sergio López, ingeniero de RedHat, tienen un "propósito coercitivo y pueden generar un historial de las ubicaciones del ciudadano".
-
Finalmente está el estudio de movilidad que prepara el Gobierno junto al INE, donde se utilizarán los datos anonimizados de las operadoras. Se trata de un seguimiento equivalente al realizado durante el pasado otoño. Este estudio se encuentra en línea con la iniciativa gestionada por la Comisión Europea donde se ha seleccionado un operador de cada país. En total ocho grandes operadores (Telefónica, Vodafone, Deutsche Telekom, Orange, Telecom Italia, Telenor, Telia y Telekom Austria) cederán sus datos para realizar un seguimiento del flujo de movilidad de la población.
Estas son las iniciativas planeadas y anunciadas para luchar contra el coronavirus, si bien empresas privadas como Palantir o firmas de ciberseguridad como NSO Group también estarían ofreciendo sus servicios a distintos países para crear herramientas de seguimiento. El debate que planteamos hemos querido centrarlo en las primeras, pues son aquellas que por el momento se están barajando para España.
"No es lo mismo el control a nivel agregado que se realiza a nivel europeo con los operadores, que un seguimiento individual de todos los ciudadanos, algo que seguramente sería desproporcionado", explica Sergio Carrasco, jurista de Fase Consulting especializado en privacidad y seguridad. "Pero dentro de las iniciativas del gobierno, no he visto que se haya aplicado esto último".
"Hemos visto aplicaciones como CoronaMadrid donde pedían inicialmente de manera obligatoria el teléfono móvil. En general el problema que veo es que se piden demasiados datos. A veces innecesariamente. Y esto puede provocar un sesgo, que el usuario desconfíe de la herramienta".
Otro problema asociado que comenta Carrasco es sobre el uso de una app para móvil a la hora de realizar ciertos controles. "La monitorización puede ser útil para analizar la efectividad, pero si utilizamos herramientas tecnológicas podemos dejar fuera al conjunto de gente que no tiene acceso". Por ello, se entiende que estas aplicaciones deberían ser un complemento a la ayuda telefónica y no la vía única para recibir o transmitir información.
Samuel Parra, jurista especializado en el RGPD y privacidad, nos explica que "ni la aplicación que ha preparado Madrid, ni los datos que van a dar los operadores al INE van a suponer que nos monitoricen para saber si de forma individualizada estamos saliendo de la cuarentena".
"Nadie te va a obligar a utilizarlas. Partimos de la base en que tu vas a actuar y ceder datos voluntariamente, en favor de la contención de la epidemia", explica Parra. "Yo aún no he visto que el Gobierno vaya a extraer información sin nuestro consentimiento. Por tanto no creo que se vaya a perder privacidad. Ahora bien, ¿se está utilizando la epidemia por terceros de manera malintencionada? Eso sí, pero como siempre lo ha habido. De empresas que quieren robar información. En ese sentido la epidemia sí nos puede llegar a hacer más vulnerables".
"Estas iniciativas sí son necesarias, pero no a lo loco", explica Borja Adsuara, profesor y abogado experto en derecho. "No es una cuestión tecnológica, esto es una cuestión médica. ¿Puede ayudar el Big Data? Por supuesto. ¿Puede ayudar la monitorización? Por supuesto. ¿Hace falta hacerlo con todo el mundo? No".
"No hay ninguna individualización ni hay una obligación de bajarse un app. La única aplicación que voluntariamente te puedes bajar es simplemente la de información para descongestionar los teléfonos de atención. Se han quedado en nada".
El interés general prevalece sobre la privacidad individual
En algo que coinciden los distintos expertos consultados es que "el interés general prevalece sobre la privacidad individual" y en este caso, la pandemia es un claro ejemplo de búsqueda del bien común. El propio Reglamento General de Protección de Datos (RGPD) contiene excepciones en el caso de epidemia o de protección de la salud de las personas en base al interés general, a través del Considerando 46.
La Agencia Española de Protección de Datos ha tomado cartas en el asunto y ha emitido un comunicado donde concluye que esta situación "no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias".
Desde la AEPD explican que ya están colaborando con las autoridades competentes y recuerda los criterios que deberían seguirse.
"Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo".
"El único dato que a los efectos de la geolocalización debería facilitarse a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad".
¿Podría implementar el Gobierno una obligatoriedad para que todos los ciudadanos infectados tengan que utilizar una app de cuarentena? "Entre el Reglamento de Protección de Datos y una ley, un tanto antigua, sobre medidas excepcionales de salud ante epidemias, sí se podría implementar una obligatoriedad", nos contesta Samuel Parra.
"Si el día de mañana ponen una app obligatoria para seguir la cuarentena, y solo con ese fin, no deberían preocuparse", expone Parra. "En ese caso la privacidad individual tampoco se vería afectada. Al final estarías colaborando con el Estado para contener una epidemia importante. Además, cualquier aplicación que te vaya a monitorizar requiere tu permiso. Por el propio sistema operativo. En todo momento te darás cuenta de que estás aceptando este permiso".
"Hacer un seguimiento online de tu evolución no supone una vulneración. Habría que ver qué información concreta pide la aplicación y si se piden demasiado datos. Pero lo que le interesa al Gobierno es saber con quién te has relacionado, en el pasado y en el presente. Me consta que en ciertos países como China saber que tal persona infectada ha acudido a determinado sitio puede ser efectivo y no considero que la privacidad vaya a verse afectada en ese caso", continúa Parra.
"Creo que sería legal, otra cosa es que se atrevan a hacerlo. He visto que en su orden ministerial se han quedado muy prudentes", explica Adsuara.
Sí sería bueno, según David Maeztu, abogado especializado en derecho de internet de la firma 451.Legal, que "la AEPD tuviera una especie de sandbox. Que estos datos estén controlados por una autoridad con experiencia y conocimientos; que sea el máximo interprete de la normativa".
Para Maeztu, "es importante que estos datos se borren cuando termine todo esto". Pero apunta que "es probable que luego salgan con que es bueno tener estos datos para estudios de prevención de pandemias similares."
En la misma línea se encuentra Adsuara: "Esto no es un acto de fe. Por eso propongo crear una comisión de expertos independientes del Gobierno que sepan de tecnología y protección de datos para dar confianza a la sociedad de que se están haciendo las cosas bien, con capacidad de auditoría y de supervisión".
¿Sería proporcionado utilizar apps más intrusivas?
"Todo depende de la proporcionalidad y la necesidad. Puede ser muy útil tenernos controlados para cumplir el confinamiento. Pero, ¿con esto se consiguen los fines? Hay que valorar cuanta intromisión se necesita para conseguir el fin. Todo parece indicar que las herramientas de control de cuarentena son útiles, pero hay que analizar si hay otras formas menos lesivas", apunta Maeztu.
"Lo que habrá que hacer es un análisis de proporcionalidad, para ver qué es realmente lo que se quiere hacer. Una balanza con los derechos afectados y la razón por la que adoptamos estas medidas. Tenemos que ver la afectación de derechos en cada caso. Es algo similar a lo que ocurre con las escuchas y con los delincuentes, son casos concretos donde esa suspensión de derechos está justificada", nos explica Sergio Carrasco en relación al uso de las aplicaciones de monitorización de cuarentena que apuestan por el GPS. Unas herramientas que por el momento no se encuentran entre las planteadas por el Gobierno.
"No hay una fórmula matemática automática para analizar esta ponderación. Es muy complejo. La ley lo que te dice es que este tipo de usos debe ser necesario". Carrasco se refiere al hecho de pedir a la población que se instale una aplicación para comprobar que se queda en casa. "No hace falta que te instales una app. Puedo pedirle los datos a la operadora. Es más sencillo y menos intrusivo. Y el resultado es el mismo".
En relación a este principio de proporcionalidad también se expresa la organización Electronic Frontier Foundation (EFF) en defensa de los derechos de privacidad. "Un programa que recoge, en masa, información identificable sobre las personas debe estar científicamente justificado y ser considerado necesario por los expertos en salud pública con el propósito de la contención. Y ese procesamiento de datos debe ser proporcional a la necesidad".
El Big Data para enfrentarse al coronavirus
Sobre el riesgo de reidentificación, Carrasco explica que "todo depende del conjunto de datos que ofrezcas. Si únicamente tenemos el número de móviles en una celda, la reversión es virtualmente imposible. Incluso con la mejora de la tecnología. Aunque hay que diferenciar una anonimización en apariencia, de una agregación real con su mínimo en celdas de 5.000 móviles, etc".
"Las operadoras tienen divisiones especializadas para estos datos. Tenemos muchos prestadores que pueden ser muy útiles. Ahora necesitamos a las operadoras, pero pensemos en toda la información que tienen Google o Facebook. Su intervención si ofrecieran datos agregados sería muy útil para la toma de decisiones".
En opinión de Maeztu, "lo que está claro es que cuantos más datos se cruzan, más posibilidad hay de averiguar información. Estos días corría por la red una visualización del contagio en una playa en Miami, al final ese rastreo acaba en el domicilio de un usuario. No sabemos de quién es el móvil, pero ya sabemos dónde vive. Con las herramientas de machine learning, a partir de unos pocos datos es posible de obtener mucha información".
One single beach gathering
— Tory Fibs (@ToryFibs) March 29, 2020
This will blow your mind wide open. Using anonymised mobile phone data experts tracked the spread of one gathering on a Miami Beach. Watch this & as you do think Cheltenham, Madrid March, Capaldi Concert & Stereophonics Concert pic.twitter.com/aYREcaYFsG
"Hay sistemas de machine learning que son capaces a partir de los patrones de escritura conocer si dos usuarios son la misma persona. Uno puede argumentar que solo se detectan las teclas del teclado, pero la información que se extrae es muy alta. Pueden identificarnos por nuestros patrones, solo necesitan ver si vuelve a aparecer ese patrón", expone Maeztu.
"Es ridículo tener miedo del Instituto Nacional de Estadística".
Borja Adsuara explica que en realidad estamos ante "un problema de pedagogía social. Es ridículo tener miedo del Instituto Nacional de Estadística. Tu historial clínico se podría vender a una aseguradora a cambio de mucho dinero. ¿Por qué tú crees que con estos datos se van a hacer más cosas perversas que con los datos que tienen los hospitales? También hay mucho mito con que nuestros datos son tan valiosos. El INE utiliza datos agregados, es decir, estadísticos y lo único que van a saber son flujos de movilidad".
"Las unidades de LUCA, Vodafone y Orange se dedican precisamente a anonimizar. Estos datos se crearon para establecer targets. Es el dato estadístico que ha manejado toda la vida el INE y de hecho ahora es mejor que antes. Antes se hacían encuestas telefónicas individuales, ahora se fían de las franjas de edad de las operadoras".
Sobre el riesgo de reidentificación, la respuesta de Adsuara es muy reveladora. "¿Puede alguien tan y tan hábil que les pueda dar la vuelta? Claro, pero también hay hackers que han entrado en la NSA. Y quien haga eso, es un delito de revelación de secretos y se le mete en la cárcel. Puestos a conseguir datos, para eso entras en Telefónica y los robas. O en Mercamadrid. O en la Seguridad Social. ¿Para qué esforzarse en desanonimizar? Los hackers también son humanos y no quieren trabajar extra. Otro tema, que nadie habla, es que las bases de datos de los servidores más susceptibles quizás tienen incluso menos seguridad que estos datos del INE. Lo que no tiene sentido es preocuparse de esto, porque quien haga este tipo de delitos lo hará y se acabó. No lo van a publicar en el BOE".
"Esta crisis puede ser una oportunidad para hacer un debate sobre el uso del Big Data. El Big Data salva vidas, sirve para evaluar políticas. No puede ser que por el miedo a los malos usos del Big Data, nos perdamos todos los buenos", argumenta Adsuara.
El mensaje que Carlos Sanchez Almeida, abogado especializado en delitos informáticos y responsabilidad civil, nos transmite es que "no podemos dejar que estos datos caigan en malas manos". El experto expone que "si permitimos que estos datos acaben en manos privadas, luego nos indignaremos cuando empiecen a denegarnos seguros de vida o de cobertura sanitaria aplicando técnicas de Big Data. Los datos solo debe tenerlos la autoridad sanitaria".
Samuel Parra lo argumenta de la siguiente manera: "Del mismo modo que entiendo para qué me piden los datos, emprendería acciones legales si descubro que no se están utilizando mis datos para eso. Pero si lo están utilizando de la manera correcta, a mi no me importaría que me vigilasen en este caso para esa finalidad en concreto durante un tiempo concreto. Aunque entiendo que haya otra gente que sí le moleste y le preocupe".
El jurista recuerda una ley de 2007, que obliga a las operadoras guardar información sobre los terminales de los usuarios, con quién habla y dónde están. "Esa base de datos se puede acceder en caso de que se tenga que perseguir un delito. Pero a mi no me preocupa, por qué sé para qué sirve y cuándo se utiliza. En este caso sería igual".
El estado de alarma no contempla restringir el derecho a la privacidad
"El estado en el que estamos, que no es el de excepción, no permite limitar derechos fundamentales como el derecho a la intimidad o a la protección de datos. Los límites están en el propio Reglamento de Datos, que ya contiene excepciones como la salud pública. A nosotros nos han restringido la libertad de movimientos, pero porque el estado de alarma sí parece permitirlo. No así restringir el derecho a la privacidad", nos explica Samuel Parra y confirma la AEPD.
El estado de alarma no suspende el derecho a la #proteccióndedatos. Los responsables deben seguir notificando las quiebras de seguridad que afecten a los datos personales. Más detalles en el blog de la Agencia. #COVID19
— Agencia Española de Protección de Datos (@AEPD_es) April 2, 2020
▶ https://t.co/9Q0wkHUtnZ pic.twitter.com/qaOqUY6TZp
Adaptar la ley actual para limitar el derecho a la intimidad o la protección de datos sería difícil porque "son derechos fundamentales recogidos en la Constitución". Si bien, Parra expone que sí se podría hacer "mediante un estado de excepción junto a un Real Decreto que permitiera reducirlos temporalmente".
¿Qué mecanismos tiene el Estado para solicitar nuestros datos más allá del Reglamento de Protección de Datos? ¿Es legal en España que el Gobierno solicite a empresas privadas como Google o Facebook nuestros datos, tal y como plantea Trump?
"En Estados Unidos sí es posible, en España no. Ahora mismo el Gobierno no puede pedir a Google o Facebook este tipo de datos. Para ello debería hacerlo mediante un mandato judicial y eso tarda muchísimo tiempo. Aunque fueran empresas españolas tampoco podría. El derecho a la protección de datos se está aplicando de forma íntegra. En un estado de excepción sí podrían, pero ahora mismo con el estado de alarma no se contempla poder pedir esta información", argumenta Parra.
Ante esto, según informa VozPópuli, la red Alastria formada por grandes empresas españolas ha solicitado a la AEPD que se incluya en el Real Decreto un artículo específico para que "las autoridades sanitarias puedan usar los datos de los móviles para geolocalizar enfermos y otros individuos de riesgo". Y es que las empresas privadas han mostrado en distintas ocasiones su interés por participar en estos proyectos. Por el momento, el Ministerio de Sanidad sigue siendo la principal autoridad competente.
Una crisis definitoria para el debate de la privacidad
Parafraseando a Serrat, Adsuara explica su visión sobre este debate: "Nunca es triste la verdad, lo que no tiene es remedio". "Nuestra verdad en el siglo XXI es que nuestros datos andan por ahí. Somos los primeros que los hacemos públicos. Es la gran paradoja de la Protección de Datos. Porque tenemos el derecho Constitucional a tener el control de nuestros datos personales, pero eso ya es imposible en este siglo".
"Tenemos el derecho Constitucional a tener el control de nuestros datos personales, pero eso ya es imposible en este siglo"
"Lo vimos con el tema de la propiedad intelectual, con el derecho de autor a controlar su obra. Ya vimos que era imposible en internet. Tienen el derecho, pero no la capacidad. Lo mínimo que pedimos ahora es perseguir los malos usos. No solo la agencia de Protección de datos con multas de hasta 20 millones de euros, sino con el código penal. Cuando empiece a entrar gente en la cárcel por estos temas, entonces aprenderemos que estas son las reglas del juego".
"Cuando no hay problemas somos más garantistas, pero cuando hay un problema que afecta a la salud...", reflexiona Maeztu. "En mi experiencia, la prevalencia de los derechos cede ante la comodidad y la facilidad. Esto es un catalizador que acelerará una postura que ya estaba latente".
Carrasco va más allá y apunta que "en toda situación de crisis, siempre hay mayor flexibilidad a la hora de adoptar medidas. Pasó con el 11S y la lucha contra el terrorismo con el tema del cifrado. Aquí hay ahora otro ejemplo de una crisis generalizada. Al final se crea un falso debate, se opone el derecho a la privacidad con la lucha contra la enfermedad, se opone uno u otro. Estamos en una situación extraordinaria pero lo que no se debe permitir es que las decisiones que se acepten hoy, continúen siendo aceptadas cuando volvamos a la vida ordinaria"
"El debate de dónde poner el límite de privacidad cambia en función de la situación que nos rodea. Cuando hay actos de terrorismo o una pandemia, ese límite se flexibiliza". ¿Hacia dónde se desplaza? Preguntamos a Sergio Carrasco. "Hacia perder privacidad. Porque entienden que está justificado por un bien mayor. Al menos en estos momentos. El problema será recuperarla. Es fácil limitar, pero difícil recuperar".
Donde los expertos vuelven a coincidir es que hace falta más pedagogía. "El Gobierno debería explicar mejor las cosas. Cuando uno leía deprisa el Real Decreto, el artículo cuarto, se pensaba que estaban derogando la Ley de Protección de datos. Cuando no es así. Hace falta explicar mejor por qué se va a hacer cada paso. Utilizar mejor los verbos; controlar quizás no es un verbo adecuado. Hay alternativas que transmiten menos preocupación", explica Samuel Parra.
"Habrá quien siga pensando que no nos enteramos de cómo utilizan nuestros datos y sigue habiendo algo detrás, pero estoy convencido que no se va a producir ninguna violación de nuestra privacidad", asegura Parra. "Creo que el Gobierno está yendo despacio y está siendo cauteloso en no sobrepasar algunos límites, que podría hacerlo, precisamente para no despertar una alerta innecesaria en la privacidad. Creo que está siendo proporcional a la situación en la que estamos viviendo y no me hacen sospechar que vayan a saltarse los límites legales para afrontar esta crisis".
Imagen | Chris Liverani
-
La noticia El gran debate de la privacidad en tiempos del coronavirus: qué está en juego realmente al dar nuestros datos para combatir la pandemia fue publicada originalmente en Xataka por Enrique Pérez .
Gracias a Enrique Pérez
No hay comentarios.:
Publicar un comentario