El contrato social en acción: Uso de los datos personales para rastrear contactos en el contexto de la COVID-19
COVID-19
La necesidad de contar con información inmediata y confiable sobre la COVID-19 ha puesto a prueba la capacidad de los sistemas para proteger los datos.
En las leyes nacionales e internacionales se reconoce que, en circunstancias excepcionales, se pueden restringir determinados derechos fundamentales, como el derecho a la protección de datos, con las siguientes condiciones: que los principios y salvaguardas democráticos esenciales estén garantizados y que la restricción sea legítima, de duración limitada y no arbitraria.1
Tras la declaración de la Organización Mundial de la Salud de una pandemia global a mediados de marzo de 2020,2 los Gobiernos de todo el mundo adoptaron estrategias de rastreo de datos para localizar a toda persona que podría haber estado en contacto con otra persona infectada, con el fin de ponerla en cuarentena y evitar una mayor propagación de la enfermedad.3 Históricamente, las autoridades de salud pública han realizado este rastreo de contactos de forma manual.4 Sin embargo, se puede realizar en gran escala y de forma más eficiente, mediante tecnologías digitales tales como las aplicaciones móviles, que pueden proporcionar —al mismo tiempo— recomendaciones de salud pública.
A pesar de estos beneficios, el rastreo de contactos genera varias inquietudes. En primer lugar, puede interpretarse que las herramientas que se basan en el rastreo de la ubicación constituyen un tipo de vigilancia injustificada y una amenaza a la privacidad, especialmente en las jurisdicciones que carecen de marcos adecuados para la protección de datos 5 ya que resulta difícil lograr que los datos de ubicación se mantengan totalmente anónimos. En segundo lugar, los datos personales recopilados actualmente en el rastreo de contactos no quedan solamente en manos de las partes y organizaciones de confianza, sino que llegan a una cantidad de terceros mayor de lo previsto en los modelos actuales de gestión institucional. En tercer lugar, según las evidencias, el uso de la ubicación geográfica en el rastreo de datos puede resultar impreciso e ineficiente, debido a que no proporciona todos los datos relevantes. Conforme a un estudio empírico sobre el brote de ébola, esos datos solo son significativos cuando se los reidentifica, lo que guarda relación con el principio de “limitación de finalidad” aplicado en las leyes de protección de datos que se consideran prácticas recomendadas.
A medida que los países de todo el mundo desarrollaban aplicaciones de rastreo de contactos, surgieron dos enfoques: centralizado y descentralizado. Ambos enfoques utilizan señales de Bluetooth para registrar el momento en que los propietarios de teléfonos inteligentes se encuentran cerca unos de otros y, cuando una persona presenta síntomas de COVID-19, envían alertas a los usuarios que se podrían haber contagiado.
En el marco del modelo centralizado que empleó originalmente el Gobierno del Reino Unido, se recopilan los datos anónimos y se los carga en un servidor remoto, en el que se realizan búsquedas de coincidencias con otros contactos cuando una persona comienza a presentar síntomas de COVID-19.6 El enfoque propuesto por el Reino Unido incluye un identificador permanente que se comparte con el Servicio Nacional de Salud, que permite a las autoridades públicas recibir automáticamente datos sobre los contagios. El servidor central alerta a otros usuarios de la aplicación que han mantenido un contacto considerable con la persona infectada. Pese a las ventajas en materia de salud pública del enfoque centralizado, la aplicación se dejó de utilizar a mediados de junio de 2020 y se la sustituyó por un enfoque descentralizado, debido a los bajos índices de reconocimiento de teléfonos durante su fase de prueba en la Isla de Wight.
Por el contrario, el modelo descentralizado, promovido conjuntamente por Apple y Google, apunta a apoyar el rastreo de contactos efectuado por los organismos de salud, incorporando al mismo tiempo la privacidad y seguridad en el diseño.7 Los usuarios tienen mayor control sobre su información, ya que se almacena de forma descentralizada en sus teléfonos y esto impide el desvío de datos a los servidores del Gobierno central. En este modelo, “el protocolo excluye el procesamiento de datos de ubicación (a menos que el usuario seleccione esta opción), aplica identificadores de proximidad renovables que impiden la identificación del usuario, procesa los identificadores de proximidad obtenidos de otros dispositivos exclusivamente en el dispositivo [y] permite que solo los usuarios decidan si desean contribuir con el rastreo de contactos compartiendo las claves de diagnóstico con el servidor de diagnóstico”, en caso de que se les diagnostique COVID-19, lo que emite una alerta para otros usuarios. 8
Un consorcio compuesto por múltiples partes interesadas, la comunidad Rastreo Paneuropeo de Proximidad para Preservar la Privacidad (PEPP-PT), está desarrollando tecnologías de rastreo que cumplen con estrictas leyes y principios europeos de protección de los datos y la privacidad.9 Los mecanismos y las normas técnicos del PEPP-PT protegen completamente la privacidad y, a la vez, aprovechan las posibilidades que ofrece la tecnología digital para maximizar la velocidad y la capacidad en tiempo real de las respuestas nacionales a la pandemia. Las iniciativas enmarcadas en el PEPP-PT apuntan a desarrollar un protocolo abierto para el rastreo de proximidad relacionado con la COVID-19 mediante el uso de Bluetooth de bajo consumo en dispositivos móviles y una arquitectura que permita garantizar que los datos personales permanezcan en su totalidad en el teléfono de la persona.
- Access Now (2020).
- WHO (2020).
- Yan (2020).
- eHealth Network (2020).
- FPF (2020).
- Economist (2020).
- Google (2020); Sabbagh y Hern (2020).
- eHealth Network (2020).
- Véase Rastreo Paneuropeo de Proximidad para Preservar la Privacidad (panel), s. f.
- Access Now (2020), Recommendations on Privacy and Data Protection in the Fight against COVID-19 (i), Access Now, Brooklyn, NY, marzo de 2020.
- Economist (2020), Privacy Be Damned: Some Countries Want Central Databases for Contact-Tracing Apps (i), 30 de abril de 2020.
- eHealth Network (2020), Mobile Applications to Support Contact Tracing in the EU’s Fight against COVID-19: Common EU Toolbox for Member States (i), versión 1.0, eHealth Network, Bruselas, 15 de abril de 2020.
- FPF (Future of Privacy Forum) (2020), Privacy & Pandemics: The Role of Mobile Apps (Chart) (i), FPF, Washington, DC, abril de 2020.
- Google (2020), “Apple and Google Partner on COVID-19 Contact Tracing Technology” (i), Company Announcements (blog), 10 de abril de 2020.
- OMS (Organización Mundial de la Salud) (2020), WHO Announces COVID-19 Outbreak a Pandemic (i), comunicado de prensa, Oficina Regional de la OMS para Europa, Copenhague, 12 de marzo de 2020.
- Rastreo Paneuropeo de Proximidad para Preservar la Privacidad (panel) (sin fecha), PEPP-PT, GitHub, consultado el 15 de diciembre de 2020,
- Sabbagh, Dan y Alex Hern (2020), “UK Abandons Contact-Tracing App for Apple and Google Model” (i), The Guardian, 18 de junio de 2020.
- Yan, Holly (2020), “Contact Tracing 101: How It Works, Who Could Get Hired, and Why It’s So Critical in Fighting Coronavirus Now” (i), CNN Health (blog), 15 de mayo de 2020.