Por: Índice coronavirus y derechos digitales Colombia
Clic aquí para leer la entrada original
Mientras que la aplicación recoge datos de una forma que muchas voces califican como riesgosa y abusiva, no es claro qué busca el gobierno con ella ni qué rol juega en la estrategia de contención del coronavirus.
El 7 de marzo de 2020, cuando Colombia tenía un solo caso confirmado de Covid-19, el presidente Iván Duque presentó CoronApp, una aplicación que les permitiría a los colombianos “tener información en la palma de su mano, no solamente sobre temas que salgan de última hora, sino también de medidas preventivas”. Para mediados de abril, en palabras de la entonces ministra de las TIC Sylvia Constaín, CoronApp ayudaría a “controlar la propagación del virus” para “salvar vidas”.
Después de anuncios y actualizaciones, la utilidad de CoronApp –que tiene casi siete millones de descargas– está en duda, y algunas de sus funcionalidades generan inquietudes frente al manejo y la seguridad de los datos.
CoronApp tiene su origen en 2017, cuando se llamaba “Guardianes de la salud” y fue lanzada por el Instituto Nacional de Salud (INS) en vísperas de la visita del Papa Francisco a Colombia. El objetivo de la aplicación en ese entonces era monitorear los riesgos de salud que se pudieran presentar en medio de las aglomeraciones y que los usuarios reportaran si estaban enfermos.
Tomando como base el código fuente de “Guardianes de la salud”, la Agencia Nacional Digital (AND) creó CoronApp, que hoy tiene las siguientes funciones:
- Dar información y recomendaciones sobre el coronavirus en Colombia.
- Ofrecer un test de autodiagnóstico.
- Hacer las veces de pasaporte de movilidad.
- Implementar un sistema de rastreo digital de contactos.
La primera función, de carácter netamente informativo, está activa; las dos siguientes también, pero su implementación “offline” no es clara. Y la última, sobre la cual giró principalmente la difusión oficial de la aplicación, ha sido activada y desactivada varias veces.
¿Reportes para qué?
Al descargar e instalar CoronApp, lo primero que se le pide al usuario es permiso para determinar su ubicación precisa. Lo segundo, es el nombre y el número de la cédula. Después, información sobre el estado de salud (si ha tenido fiebre, tos, congestión nasal y dolor de garganta, entre otros) y sobre factores de riesgo (si ha estado en contacto con una persona contagiada, por ejemplo). En este último punto, el cuestionario de la aplicación parece estar desactualizado: dos meses después de que se cerraran las fronteras áreas, aún pregunta si el usuario ha viajado al exterior en los últimos 30 días.
“Los datos permiten al INS encontrar los focos y cadenas de contagio con la mayor oportunidad posible, y así realizar un despliegue de estrategias de prevención y atención para que cada ciudadano y su familia puedan recibir ayuda médica en el momento que sea necesario”, afirma Víctor Muñoz, consejero presidencial para la innovación y la transformación digital.
Según las fuentes oficiales consultadas, los datos reportados por la aplicación llegan al Centro de Monitoreo de Emergencias del INS. Allí se contrastan con otras fuentes, como el Sistema Nacional de Vigilancia en Salud Pública (SIVIGILA), para orientar las acciones de las autoridades de salud de los departamentos y municipios. Además, los datos son usados para identificar factores como “la cantidad de registros por departamento, síntomas y factores de riesgos ingresados por los usuarios y número de alertas emitidas”, dice Germán Rueda, el viceministro de economía digital del Ministerio TIC.
En teoría, la decisión de qué hacer con la información que reportan los usuarios a través de CoronApp depende de cada departamento o municipio. Sin embargo, no está claro qué proceso de seguimiento se lleva a cabo, ni de qué forma las autoridades sanitarias pueden tomar decisiones a partir de una encuesta cuyo proceso formal de verificación se desconoce.
¿Qué ocurre con los usuarios luego del reporte? ¿Se analiza la información para saber si una persona en particular está en riesgo, o los datos simplemente se estudian en un nivel macro? A pesar de que el Índice Coronavirus pidió explicaciones adicionales sobre esto, no obtuvo respuesta. De hecho, a una pregunta informal hecha a través de Twitter, la gran mayoría de las personas que afirmaron haber reportado síntomas a través de CoronApp, explicaron que no fueron contactadas en ningún momento.
César Caballero, gerente de Cifras & Conceptos y exdirector del Dane, se muestra escéptico sobre la utilidad de recoger tantos datos: “Para poder tener información real de millones de datos tienes que tener una capacidad de procesamiento que yo no creo que el Estado tenga”.
¿Existe el rastreo de contactos?
La idea de que CoronApp sería fundamentalmente una aplicación para rastrear a los contactos de personas que interactuaron con contagiados fue promovida de manera decidida por el gobierno (sobre esta narrativa oficial, vea este análisis de Linterna Verde). A finales de marzo, en uno de los programas habituales del presidente durante la cuarentena, el consejero presidencial Víctor Muñoz le pidió a la gente que descargara CoronApp y activara el Bluetooth:
“De esta manera, cuando llega la ‘data’ al Instituto Nacional de Salud, se detecta una persona contagiada, se pueda a través de información georeferenciada generar protocolos de control y de seguimiento en los diferentes movimientos que ha realizado la persona”, afirmó.
El rastreo de contactos (o “contact tracing”) es una intervención de salud pública previa a internet y a cualquier tecnología. “El rastreo de contactos es el proceso de identificación, evaluación y manejo de personas que han estado expuestas a una enfermedad para prevenir la transmisión posterior”, explica la Organización Mundial de la Salud.
Se trata entonces de una labor dispendiosa que requiere de presencia en terreno, conocimiento y empatía: “Funciona mediante la construcción de un vínculo humano entre dos personas”, explicó a Wired Tom Frieden, exdirector de los Centros para el Control de Enfermedades (CDC) de Estados Unidos. Esa relación entre paciente y rastreador –agrega Frieden– implica “abordar sus necesidades y preocupaciones, y construir, ganar y mantener su confianza y confidencialidad”.
La idea de que una aplicación móvil apoyara esa labor de rastreo de contactos en esta pandemia cogió fuerza rápidamente en todo el mundo. Estamos en 2020: 67 por ciento de la población usa teléfonos móviles. Los CDC de Estados Unidos reconocen que esas herramientas pueden “mejorar la eficiencia y la precisión del manejo de los datos, igual que automatizar tareas”.
Gracias a un informe de Reuters de comienzos de mayo, supimos que Colombia había suspendido el rastreo de contactos a través de CoronApp y que estaba evaluando apoyarse en el desarrollo de Google y Apple que supuestamente brindaría mejores resultados (para entender mejor este debate técnico, vea este informe de Fundación Karisma). Pero el 12 de mayo la aplicación incorporó un protocolo llamado BlueTrace, usado en Singapur.
Al día de hoy la función de rastreo de contactos de CoronApp, llamada “Historia de cercanías”, está en la última versión de la aplicación, pero –según la descripción del producto en la tienda de Google— “se encuentra desactivada por defecto y solo se activará por el INS de ser necesario”. Además, señala que la información solo será enviada “cuando el usuario desee realizarlo”. De cualquier forma, no hay un documento del INS que explique cuándo o cómo se decide activarla.
Más allá del proveedor de la solución, lo cierto es que funcionalidad del Bluetooth –de la que había hablado el consejero Muñoz– no es del todo confiable, sobre todo porque puede arrojar muchos “falsos positivos”. Una persona contagiada pero en estricto confinamiento puede hacer que sus vecinos de edificio se muestren erróneamente en riesgo: basta con que el sensor Bluetooth de su celular pueda “ver” los de los otros móviles del edificio. Además, CoronApp solo sería útil si al menos el 60% de los colombianos usan la aplicación, algo que está lejos de suceder.
Dejando de lado la discusión técnica, no hay información pública disponible que permita entender cómo CoronApp hace parte de una estrategia de rastreo de contactos en el nivel nacional. Lo que tenemos por ahora en este punto es una promesa oficial de una funcionalidad que no existe. A eso hay que sumarle las dudas mencionadas alrededor de la verificación de los reportes y la ausencia de cifras de uso: se sabe la cantidad de descargas, pero no cuántos de esos usuarios realmente abren la aplicación con frecuencia ni la calidad de los datos que reportan.
Para Javier Cardona, cofundador de 1doc3, una exitosa aplicación colombiana de telemedicina que ha hecho más de 120 millones de consultas médicas virtuales desde 2014, la diferencia entre descargas y uso es clave: “Si hay cinco millones de usuarios activos al día, es un dato diferente a que si hay cinco millones de descargas, porque, por lo menos según nuestra experiencia, la mitad de las descargas se borran en las siguientes veinticuatro horas”.
Frente a esta cuestión, Muñoz dice que usar masivamente CoronApp “es una responsabilidad conjunta. Si cada uno de los ciudadanos reporta su estado de salud diariamente podemos generar acciones y políticas públicas acordes”.
Pasaporte: voluntario pero obligatorio
Otra funcionalidad que tiene CoronApp es la del “pasaporte de movilidad”. Si el usuario declara que no tiene síntomas o condiciones de riesgo y considera estar cubierto por una excepción, la aplicación genera un código QR que tiene una vigencia de 24 horas. Según los términos y condiciones, ese código podrá ser consultado por las autoridades para verificar si la persona está autorizada para salir.
El pasaporte también hace que sea técnicamente posible usar CoronApp como si fuera un brazalete electrónico: al tener la información de ubicación del equipo y el estatus de movilidad del usuario, se podría detectar si una persona que no debería salir está fuera de su casa (suponiendo que la persona esté todo el tiempo con su teléfono).
Estas funcionalidades abren la posibilidad de que CoronApp sea obligatoria, al menos para quienes tienen celular “inteligente”. Pero los voceros del gobierno aseguran que la aplicación es y seguirá siendo de uso voluntario en Colombia, más como “un mecanismo de protección” —en palabras del viceministro Rueda— que como un deber.
Es cierto que la resolución que reglamenta la reapertura de negocios y empresas dice que es “responsabilidad” de los empleadores “promover” que los trabajadores usen la aplicación, no una “obligación” o un “deber”. No obstante, en el manual que expidió el gobierno con las tareas que deben cumplir los negocios para reabrir sí incluye el uso de CoronApp como una “medida a cumplir”. Y según versiones de prensa, el protocolo para la reapertura de vuelos nacionales exigiría el uso de CoronApp a todos los pasajeros. Para Lucía Camacho, abogada de la Fundación Karisma, todo eso “fija en la retina de la gente que el uso del ‘app’ va sí o sí. Punto final”.
Inseguridad, privacidad y desconfianza
Cuando el gobierno lanzó la primera versión de CoronApp, Fundación Karisma hizo un análisis de seguridad digital y encontró fallas serias que le reportó a la AND antes de publicar el reporte. En ese entonces, la aplicación —dice Karisma— se hackeaba “sin siquiera intentarlo”. Al parecer, la seguridad no fue una prioridad para el gobierno en ese momento. Según el viceministro Rueda, “se hizo un trabajo de implementación acelerado” y los problemas en ese ámbito se solucionaron “después de estabilizar la plataforma”.
Gracias a ese trabajo –agrega Rueda– “al día de hoy se encuentran cerradas el 100 por ciento las incidencias a las que se refieren los diferentes informes publicados”. Por otra parte, el gobierno contrató una firma de ciberseguridad “para que, con base en una auditoría exhaustiva, se realicen pruebas de seguridad a la aplicación”.
En otro frente, sigue habiendo dudas sobre el control y uso de los datos que está recogiendo CoronApp. En un documento reciente, Cifras & Conceptos planteó varios reparos a los términos de servicio de la aplicación. “Lo que dicen los decretos abre unas puertas enormes. Y el problema es que todas las medidas están bajo la misma lógica de coger datos sin pedirles permiso a los ciudadanos”, afirma César Caballero.
Caballero le apunta a un párrafo de los términos y condiciones según el cual “se podrá suministrar información a las entidades públicas o administrativas que en el ejercicio de sus funciones legales así lo requieran”. Eso, a su juicio, autoriza a que cualquier autoridad pueda pedir los datos que se recojan en CoronApp. “Son unas condiciones abusivas”, plantea.
Emmanuel Vargas, abogado y cofundador de El Veinte, considera que no solo son condiciones abusivas, sino ilegales: “La ley de habeas data dice que la circulación personal debe ser restringida y con propósitos muy limitados y justificados cuando no exista consentimiento”. Javier Cardona, por su parte, considera que el beneficio último de entregar esos datos no es claro: “En cualquier otra aplicación en la que tú entregas datos, recibes algo a cambio. Acá el reto es, ¿qué voy a recibir a cambio?”.
Sobre este punto el consejero Muñoz dice que CoronApp cumple las reglamentaciones vigentes de habeas data, y que las entidades solo podrán pedir los datos de la aplicación CoronApp “para uso estrictamente de mitigar la emergencia”. El viceministro Rueda añade: “Siempre hemos sido claros y transparentes sobre que la información recolectada a través de CoronApp es tratada únicamente para vigilancia en salud pública por el INS”.
Para Lucía Camacho, de Karisma, esas aclaraciones no son suficientes. “Hay riesgo de que entidades de múltiple orden se atribuyan las facultades que les permitan acceder a esos datos”. Para Carlos Cortés, co-fundador de Linterna Verde, se necesita mucho más que las declaraciones de funcionarios del gobierno: “no hay un documento oficial que respalde el desarrollo de la aplicación, no hay hoja de ruta y, en tiempos de protocolos, no hay uno que establezca claramente las limitaciones en el uso de los datos”.
La desconfianza no ocurre solo en Colombia. En Estados Unidos, un estudio de la Universidad de Maryland muestra que casi tres de cada cinco personas no usarían las aplicaciones, bien sea porque no tienen acceso a un teléfono inteligente o porque desconfían de la industria tecnológica. En el Reino Unido, el sindicato más grande del país sugirió a los trabajadores de la salud no instalar la aplicación del gobierno, pues sus jefes podrían utilizar la información de sus celulares contra ellos.
El gobierno ha impulsado agresivamente CoronApp. Sin contar el costo del desarrollo y el mercadeo –todo lo cual se desconoce–, invirtió 40.000 millones de pesos para darles minutos y datos móviles gratuitos a millones de usuarios. Además, sin el consentimiento de sus usuarios, Samsung instaló CoronApp de forma predeterminada en muchos de sus teléfonos en los que se actualizó el sistema operativo.
“CoronApp es un medio tecnológico indispensable”, afirma el consejero Víctor Muñoz, quien ha sido uno de los promotores más entusiastas de esta iniciativa. Un entusiasmo que, como afirma la directora de Karisma, Carolina Botero, no deja ver “las propias limitantes de la tecnología, que en el mejor de los casos lo que podrá es apoyar partes del proceso”. La duda que queda sobre la mesa es a qué proceso nos referimos. Sabemos que CoronApp existe y que millones de colombianos la descargaron. La pregunta es para qué.