Radar COVID, ¿y ahora qué?

Desde que comenzó la crisis generada por el Covid-19 y todavía éramos una sociedad púber en cuestiones de pandemia y confinamiento, la tecnología informática emergió como una opción prometedora para enfrentar el desafío de sobrellevar y cooperar en la contención del virus. Fue así que el utopismo tecnológico hizo que se promoviesen ciertas herramientas como verdaderas “balas de plata” para acabar con la crisis aunque, como luego se demostró, esas propuestas estaban alejadas de la realidad. Al menos por ahora y en nuestro contexto.

Sin embargo, entre los recursos tecnológicos que surgieron durante este período, encontramos a las aplicaciones móviles de “rastreo de contactos” que se desarrollaron en un gran número de los países afectados por la pandemia. España no escapó a estos ensayos y, en el mes de julio, en el marco de la Orden SND/297/2020, de 27 de marzo, la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) llevó a cabo una prueba piloto en La Gomera (Islas Canarias) de la app bautizada como “Radar COVID”, con el objeto de evaluar las bondades que podría traer la utilización de esta aplicación.

La app, que está siendo desarrollada por INDRA y la SEDIA, adoptó un sistema “descentralizado” (acogió el protocolo más respetuoso de la privacidad: Decentralized Privacy – Preserving Proximity Tracing <DP-3T>), que utiliza la tecnología bluetooth del dispositivo y está basada en la API ofrecida conjuntamente por Google y Apple.

En efecto, días atrás, se anunció que el ensayo puesto en marcha arrojó resultados positivos y que la aplicación estaría operativa de forma generalizada para todo el territorio nacional a mediados de septiembre. Entre los resultados alcanzados, se remarcó que el número de descargas superó las expectativas, que la retención de la app por los usuarios fue alta y -quizás lo más trascendente- que se logró detectar una media de 6.4 contactos estrechos por cada positivo simulado, por tanto, prácticamente dobló la eficiencia de los traceadores manuales, que es de una media de 3.5 contactos. En ese sentido, la herramienta permitiría solucionar los problemas que presenta la falta de rastreadores, la falibilidad de la memoria humana para identificar contactos, la imposibilidad de identificar a los contactos “anónimos” (ej. transporte público), etc. Además, las autoridades informaron que las cuestiones técnicas de la aplicación han cumplido las expectativas de sus desarrolladores.

Ahora bien, ¿de qué depende nuclearmente el éxito de la aplicación? Básicamente, el éxito se explica a partir de la penetración que tenga la aplicación. Es decir, del mayor o menor porcentaje de la población que la descargue, haga un uso activo de ella y comunique –eventualmente- si obtuvo un resultado Covid-19 positivo. En ese sentido, mientras mayor sea el porcentaje de personas que la utilicen, mayor será el número de contactos estrechos localizados.

Pero, ¿cómo se logra eso? Al tratarse de una aplicación de adhesión voluntaria, es necesario que el gobierno genere la confianza necesaria en la ciudadanía, demostrando e informando acerca de: 1) el respeto de las disposiciones previstas en el normativa de protección de datos (RGPD y la LOPDGDD); 2) la implementación de estándares altos de seguridad informática; y 3) evidencia científica de que se trata de una herramienta útil para el objetivo que se propone. Empecemos por reflexionar sobre las consecuencias para la privacidad de esta app.

 

Privacidad y Radar COVID

La implementación de este tipo de medidas presenta una tensión permanente entre el derecho individual a la protección de datos personales y el interés colectivo en relación con la salud pública. El equilibrio entre el respeto a la privacidad y el resguardo de la seguridad y salud pública se debe buscar en el marco de una discusión democrática que ponga sobre la mesa varias cuestiones. Así, la incidencia de las herramientas que se pongan a disposición para cumplir con los objetivos buscados deben ser proporcionales (la eficacia no puede justificar todo tipo de medidas de vigilancia), razonables (la efectividad de la herramienta debe ser demostrada, la temporalidad del tratamiento debe ser restrictiva, etc.) y transparentes (que se garantiza, por ejemplo, con la publicación del código fuente de la herramienta informática).

En consecuencia, la ciudadanía aceptará los riesgos (en tecnología y manipulación de datos, el riesgo 0 no existe) en la medida que obtenga algún tipo de beneficio relativo; en este caso, que por el funcionamiento de la app se contenga de manera aceptable el virus y que las medidas de confinamiento puedan ser menores.

Debe señalarse, en cuanto al marco jurídico sobre el cual se apoya el tratamiento de datos personales en este tipo de circunstancias, que la Agencia Española de Protección de Datos detalló en el Informe AEPD 17/2020, de 12 de marzo, que el Reglamento General de Protección de Datos (Reglamento –UE- 2016/679, de 27 de abril de 2016) prevé que la base jurídica que otorga licitud a este tipo de tratamiento –más allá de los casos en donde preste consentimiento el interesado-, la encontramos en los artículos 6.1.d): cuando sea necesario para proteger intereses vitales del interesado u otras personas físicas; y 6.1.e): cuando sea necesario para el cumplimiento de una misión realizada en interés público.

No obstante, al tratarse de una categoría especial de datos, en este caso, concernientes a la salud, el artículo 9.2 del RGPD exige que exista una circunstancia que levante la prohibición de tratamiento (siempre interpretando los preceptos de manera restrictiva), la cual se halla, especialmente, en los siguientes apartados: a) consentimiento explícito del interesado; g) que hace referencia a la necesidad del tratamiento por razones de un interés público esencial; e i), en el que se señala la necesidad del tratamiento debido a un interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria. En consecuencia, bajo determinadas circunstancias, cuando exista una tensión entre el derecho individual a la protección de datos personales y el derecho colectivo a la salud pública, el RGPD da lugar a este último.

En lo que a este punto respecta, el desarrollo de la aplicación Radar COVID adoptó los estándares de privacidad más avanzados para la protección de los datos personales- Especialmente, se tuvo como eje la Recomendación -UE- 2020/518 de la Comisión Europea, de 8 de abril de 2020. El respeto por la privacidad que ostenta la app es imposible de desconocer. No obstante, el código fuente aún no ha sido publicado, cuestión que restringió hasta el momento la posibilidad de que los expertos externos realicen una auditoría y, eventualmente, propongan mejoras.

Respecto al resguardo de la privacidad, la transparencia y la minimización de tratamiento de datos, considero que se manifiesta en las siguientes características de la app: se trata de un sistema descentralizado (el registro de contactos de un teléfono se almacenan localmente, sin que ninguna autoridad central pueda conocer quién ha estado expuesto al caso confirmado); la aplicación es de uso voluntario; no almacena datos personales; los datos son utilizados únicamente para los fines que se propone la aplicación; los datos que se recopilan en el propio dispositivo pueden ser eliminados por el usuario cuando lo desee, o bien, son eliminados automáticamente pasados 14 días; la herramienta solicita únicamente la información necesaria para su uso; y por último, días atrás la titular de la SEDIA informó que el código fuente será publicado una vez que se cuente con la versión final de la aplicación, cuestión que aportará la transparencia necesaria para este tipo de herramientas informáticas.

 

Radar COVID de aquí en adelante

La aplicación ha pasado las pruebas técnicas y, en principio, ha demostrado cumplir con los estándares de privacidad más rigurosos que se conocen hasta el día de la fecha. Sin embargo, el éxito de la aplicación se cimienta sobre una delgada capa de hielo en atención a la justificada inquietud que la ciudadanía tiene respecto a posibles abusos, por parte del Estado o de terceros, en relación con sus datos.

Por ello, al tratarse de un sistema de aceptación voluntaria por los ciudadanos, el trabajo comunicacional que debe cumplir el gobierno de aquí en adelante es clave. Se debe proporcionar información clara, fidedigna y precisa para que la herramienta sea adoptada por el mayor número de ciudadanos y así permitir que la población pueda cooperar de manera informada en la lucha contra el virus.

Además, otra cuestión fundamental a tener en cuenta se vincula con la implementación final de la “pasarela federativa” europea, que persigue el objetivo de lograr la interoperabilidad entre las distintas aplicaciones que se encuentran operativas en los países de la Unión Europea, cuya gestión recaerá bajo la responsabilidad de la Comisión (Decisión de Ejecución -UE- 2020/1023 de la Comisión, de 15 de julio de 2020).

Por otro lado, también es importante destacar que la aplicación es un instrumento complementario a la tarea de los rastreadores manuales y que debe acompañarse por una serie de medidas logísticas como, por ejemplo, la implementación de un sistema de contacto telefónico que responda adecuadamente a quienes reciban una notificación de “contacto estrecho” con un Covid-19 positivo y, también, con la disposición de un número suficiente de test para todos aquellos que reciban la notificación.

En definitiva, garantizado el respeto de la privacidad y la puesta a punto de los requisitos técnicos y logísticos, solo quedará evaluar la recepción que tenga la app entre la población. Si se genera confianza en la herramienta, se podrá contribuir con la solución a los problemas que presenta el rastreo manual y, de esta manera, contener los rebrotes del virus mediante el uso de una herramienta de tecnología informática como lo es esta aplicación.