Por Carolina Botero
Clic aquí para visitar la publicación original
En el marco del Convenio 108 “para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal” del Consejo de Europa, se publicó el informe “Soluciones digitales para combatir el COVID-19” analizando las medidas tomadas por sus países miembros. Colombia no forma parte, a pesar de que en 2019 dio pasos para unirse, pero está en línea y refuerza los estándares internacionales en la materia. Veamos cómo le habría ido a CoronApp_Colombia (en adelante CoronApp).
El informe analiza las medidas excepcionales adoptadas en los 55 países y menciona aspectos a considerar para proteger la privacidad cuando se implementan soluciones digitales. Veamos tres aspectos que elegí arbitrariamente y enfocada en aplicaciones celulares de rastreo digital de contacto:
1- Debe haber líneas claras sobre qué autoridades tiene acceso a los datos que recogen y por cuánto tiempo.
Aunque no se prohíbe el uso de datos personales más allá de la emergencia, hacerlo depende de detalles del tratamiento y del contexto. Así, usar datos de salud para investigación -usualmente datos anonimizados-, no es lo mismo que usarlos para controlar los movimientos de las personas o imponer sanciones. El Consejo encontró que para los Estados este puede ser uno de los principales desafíos, “frente a una situación desconocida y en constante evolución, algunos gobiernos han adoptado una amplia reglamentación que les da un gran margen de maniobra”.
Estableció que muchos países comparten datos entre diferentes autoridades y el tiempo de su retención (duración del almacenamiento) muchas veces es poco claro, sobre todo cuando se involucran otras autoridades. Sobre las aplicaciones de rastreo digital de contacto vió que, sobre todo cuando usan protocolo descentralizado para el rastreo con Bluetooth (como el de Google y Apple), se limita el tiempo de retención a un par de semanas.
De estar en el informe, Colombia no habría tenido mucho que mostrar. CoronApp recoge y analiza datos para diferentes funcionalidades (reporte de síntomas, rastreo digital de contactos y pasaporte de movilidad) por tanto, desde su diseño no plantea claramente cuáles autoridades tienen acceso a qué datos y mucho menos por cuánto tiempo. CoronApp no usa un protocolo descentralizado. Además, para evitar el consentimiento y las autorizaciones para compartir datos, emplea de forma muy amplia la excepción del artículo 10 de la ley de protección de datos, sin concretar la causal, en contravía con la recomendación del Consejo de limitarla y comprometerse con cuál autoridad y en qué plazo. Incluso el Consejo habla de incorporar cláusulas de caducidad automática.
De los datos que CoronApp recoge, los del reporte de síntomas, que van a Sivigila, tienen las claridades que el informe reclama. Sin embargo, lo que sucede con el resto de las funcionalidades no es claro ¿quién tiene y por cuánto tiempo los datos del rastreo digital de contactos?, ¿con cuáles autoridades se comparten los datos para el pasaporte de movilidad y por cuánto tiempo?
2- Transparencia y explicabilidad de los procesos de tratamiento de datos.
El Consejo de Europa valora que se informe a las personas sobre los diferentes aspectos de la recolección y el procesamiento de datos. Encontró que en la emergencia fueron las autoridades de protección de datos y la sociedad civil las que con frecuencia actuaron para mejorar este aspecto y el de seguridad digital. En el caso de las aplicaciones de rastreo digital de contacto el Consejo de Europa elogió que 20 de los 39 Estados miembros que las usan, publicaron el código fuente.
En relación con CoronApp, fue el ejercicio de Karisma, donde trabajo, el que alertó desde abril sobre las deficiencias en materia de transparencia y seguridad digital. La Agencia Nacional Digital (AND), en cooperación con la autoridad de protección de datos, mejoró el panorama, aunque falta. La resistencia de la AND a publicar el código fuente de la aplicación estaría fuera de las buenas prácticas exaltadas, sin contar con que con ello viola los términos de la licencia de software libre que la cobija.
3- Proporcionalidad de las medidas adoptadas y evaluación continua para conocer su eficacia o retirar la medida
Para el Consejo de Europa “las medidas que no pueden lograr el objetivo previsto nunca pueden considerarse proporcionales. Sin embargo, la eficacia real de muchas medidas aún no ha sido probada y examinada, y todavía están en curso los debates sobre la proporcionalidad de la interferencia con el derecho a la protección de datos, a la luz de la eficacia probada y real de la medida adoptada”, por eso los gobiernos deben evaluar.
En relación con las aplicaciones celulares indicó que su despliegue se ha hecho a pesar de la falta de evidencia sobre su eficacia y por tanto de la proporcionalidad de la medida. Aun así 39 países desplegaron aplicaciones y en el informe se presentan ejercicios de evaluación de esos despliegues. Por ejemplo, indica que la versión centralizada de la aplicación de Gran Bretaña fue descartada cuando se estableció que era casi inútil en los iPhone y que en las pruebas realizadas en la Isla de Wight tan solo una persona de las 55000 que la descargaron fue notificada a través de la aplicación.
En Colombia la aplicación tiene funcionalidades de rastreo digital de contactos desde abril (hace 7 meses, antes incluso de las pruebas que hizo Reino Unido en la isla de Wright) sin que a la fecha se conozca un solo informe de evaluación. Por artículos periodísticos sabemos que cambiaron de protocolo para Bluetooth en la funcionalidad de rastreo digital de contacto en mayo porque el anterior generaba muchos falsos positivos, pero el silencio no nos permite saber cómo se desempeña el actual, tampoco conocer por qué Colombia decide no usar un protocolo descentralizado, mucho menos establecer qué hemos aprendido y cuánto nos ha costado ese aprendizaje.
En suma, el modelo de implementación de CoronApp sigue el modelo “ensayo-error” donde aspectos como finalidad, proporcionalidad (evaluación) y transparencia son deficientes desde la óptica del Estado. Puede que algunas de estas falencias se expliquen con la visión “startup” del gobierno que parece justificar ciertas licencias, cuando lo que se espera es que desarrollen tecnologías con todas las de la ley. Durante la crisis esta falencia no ha sido exclusiva del gobierno nacional, a pesar del aura que acompañó a “Medellín Me Cuida”, ya aparecen reportes menos gloriosos.
1 comentario
Soy un estudiante de derecho y para un proyecto de la universidad, evaluaré con mi equipo la utilización de datos personales por parte del gobierno durante la pandemia.
Creemos que ustedes tiene varios artículos que nos ayudaran muchísimo a nuestra investigación.