Esta semana empezamos con el anuncio del presidente de una estrategia tecnológica para suministrar información y facilitar el reporte de las personas vinculadas con la ahora ya pandemia del Coronavirus en Colombia.
En Twitter nos preguntaron ¿Qué opinamos sobre la aplicación que promociona @INSColombia? La verdad es que revisamos y quedamos con más preguntas que certidumbres y con muchas preocupaciones.
Mirando los detalles
Lo primero que podemos decir es que esta aplicación no es nueva. Se basa en otra aplicación, que se hizo en Brasil en 2016 para los Juegos Olímpicos de Río de Janeiro. El INS la adaptó en 2017 para “fortalecer la vigilancia de los riesgos en salud pública, a los que se expone cualquier ciudadano que visita o asiste a un evento masivo, por medio del reporte del estado de salud de los usuarios.”. No es claro que decisiones se tomaron para esta nueva versión. Pero se lanza con bombos y platillos como si fuera una novedad cuando no lo es y lo peor, se pide que se instale y se promueve por todos los canales cuando no funciona. Hicimos pruebas con dos versiones, una del 8 marzo, otra del 11 de marzo y en ambas la aplicación presenta fallos que impiden su uso.
Aun así es posible examinar algunas de sus características para saber qué permisos solicita, y qué datos recopila.
Permisos
Antes de instalar, como siempre se debe hacer, revisamos la información de la aplicación para ver qué permisos pedía. El resultado: la aplicación es invasiva, Pide acceso completo a la red y a conexiones de red, contactos, ubicación y a recibir datos desde internet. Además evita que el dispositivo entre en estado de inactividad
De estos permisos, inferimos que la aplicación recoge -o necesita- todos esos datos pero su tratamiento no está relacionado en la Política de privacidad, donde los datos que sí mencionan son algunos de los que piden en la encuesta para el registro, como veremos más adelante.
Registro y Datos personales
Cuando nos decidimos a entrar a la aplicación ésta pide Registro. Sin llenar el formulario es imposible acceder a cualquier funcionalidad de la aplicación. Si esta es una aplicación que da información, o que permite medir el nivel de riesgo o que permite el reporte del estado de salud, ninguna de estas funciones se puede hacer sin el registro completo. Por tanto la aplicación tiene una importante barrera para el acceso a información de interés público.
Además, ¡no son pocos datos! La aplicación solicita: Nombre, Apellido, Teléfono, Sexo, Fecha de nacimiento, País de residencia, departamento, ciudad, pertenencia étnica, correo y contraseña.
Cuando se quiere hacer el reporte del estado de salud pide acceso a la localización y, para reportar que uno está mal pide acceso a los contactos y si no das permiso no se puede hacer nada.
Si se hubiera hecho un análisis de impacto en derechos humanos alguien habría preguntado al menos: ¿Se necesitan todos estos datos para suministrar información sobre el coronavirus o para reportar mi estado de salud? La respuesta es, ¡no!. La información de interés público debería ser accesible sin barreras. De hecho, las páginas del Ministerio de Salud, del mismo Instituto Nacional de Salud y la de la Secretaría Distrital de Salud ofrecen información sobre el COVID19 sin exigir un solo dato.
¿Para qué pedir esta información?
La versión del 8 de marzo ofrecía cuatro funcionalidades: Reportar ahora, Noticias, Consejos de salud y Diario de salud.
La versión del 11 de marzo solo permite hacer el reporte del estado de salud.
Posiblemente los datos solicitados se podrían asociar con algunas de estas funcionalidades. Algunos son útiles para un informe de epidemiología, otros para contactar a una persona a la que se amerite hacer seguimiento porque esté vinculada con la pandemia, otros para que le envíen a uno alertas o información al correo y así con las diferentes funcionalidades. Pero cada caso debería manejarse por separado y así mismo cada tipo de acceso a los datos debe asociarse a una solicitud de consentimiento diferente -de hecho hace poco se lo dijo la Superintendencia de Industria y Comercio a Rappi, una cosa es el consentimiento para el servicio a domicilio y otra para que envíe publicidad-.
De otra parte, parece que tampoco se pensó en el tipo de datos que están pidiendo. Por ejemplo piden que la persona indique cuál es su pertenencia étnica y este es un dato obligatorio que además es sensible. ¿Analizaron el impacto en derechos humanos de tener una base de datos con esta información? ¿Cómo evitan discriminación si esta información, junto con la de ubicación y estado de salud, es utilizada para definir una política pública sobre el manejo de la epidemia? ¿Cómo garantizan anonimización si lo que se quiere hacer es un estudio epidemiológico? Por ejemplo, si no hay reportes de personas indígenas, ¿se asume que este grupo poblacional es inmune al virus y no sé enferma o simplemente se asume que no acceden a la aplicación para hacer este tipo de reportes?
Claro, se pueden leer los términos y condiciones de la aplicación. Para saber si hay información al respecto. La verdad, salvo promesas y generalidades, no es mucho lo concreto que se puede sacar de esta lectura.
Algunas consideraciones finales
En un país donde 20 millones de personas no tienen acceso a internet -y muchas de las que sí, acceden por celulares de baja gama-, confiar en dar información y recoger datos en un app es muy optimista. Pero el gobierno confía mucho en la utilización de la aplicación, la está promocionando a través de mensajes de texto para pedir que las personas la descarguen.
Hasta pide que se agregue la información para la descarga del app en la publicidad de todos los eventos o de los sitios de alta afluencia de público (conciertos, eventos deportivos y culturales, actividades religiosas y de culto, entre otros.
Lo más triste es que esta aplicación hasta ahora no funciona. No hay versión para iOS, las dos versiones para Android no han sido plenamente funcionales. Cuando estuvimos haciendo pruebas, la aplicación deja de funcionar y se cierra. Hay numerosas quejas en el playstore en relación con la aplicación.
A este paso, podría ser una mejor estrategia mantener una página web sencilla y liviana pensada para acceder desde cualquier celular, con información actualizada. Algo interoperable a lo que se pueda acceder sin importar el tipo de equipo. De hecho ¡ya existen estas páginas!
el INS tiene una página que invitamos a consultar https://www.ins.gov.co/Noticias/Paginas/Coronavirus.aspx
Minsalud también
https://www.minsalud.gov.co/salud/publica/PET/Paginas/Covid-19.aspx.
y la página de la secretaría de salud de Bogotá que, aunque debería ofrecer un certificado de seguridad para asegurar la información, facilita una herramienta interactiva para evaluar el nivel de riesgo y da información de las acciones que se deben tomar en consecuencia. En esta página las cosas se hacen sin necesidad de entregar todos esos datos, de hecho, aparentemente ni siquiera los envía si uno no lo quiere.
http://tramitesenlinea.saludcapital.gov.co/covid-19/
La ventaja de todas estas páginas sobre la app es que funcionan, las mantienen actualizadas a diario, te dan información completa, y no te toca entregar todos tus datos.
Algunas preguntas a futuro
Más de 57 mil personas han descargado la aplicación CoronApp-Colombia. Esperamos que mejore sustancialmente quitando el registro y aclarando muchas de las dudas que quedan sobre la privacidad. Cuando funcione esperamos hacer un análisis de seguridad. Mientras podemos anticipar las preguntas ¿Se protege esta información enviándola cifrada? ¿dónde queda guardada esta base de datos? ¿cómo se protege esta información?
Luego de pasear por esta propuesta de base tecnológica queda en el aire la pregunta más importante, ¿cuál es la estrategia para informar a los 20 millones de personas desconectadas?
En medio de una crisis como la que se avizora con el COVID 19 lo que sí debemos hacer es ofrecer nuestro apoyo y reconocimiento al sistema de salud y a los profesionales que están en primera línea.
*24 de marzo
En esta fecha, podemos observar que la aplicación ha tenido algunos cambios importantes en recientes actualizaciones. Ya no se pide registro para acceder a la información, eliminando barreras para que las personas consulten contenidos de interés público sobre COVID-19.
Sin embargo, la aplicación sigue requiriendo el acceso a la ubicación de la persona y a los contactos de la misma. En el primer caso, para reportar su estado de salud, en el segundo, para informar que se encuentra mal.
Esta práctica implica la captura de datos sensibles y aun no se explica a las personas cómo se van a utilizar y quienes tendrán acceso a esta información y por cuánto tiempo.
La información de actualidad que comparte la aplicación es la misma que está publicada en las páginas web oficiales del Ministerio de Salud y el Instituto Nacional de Salud- INS- y presidencia.
Relacionados
Declaraciones Oficiales del Grupo de Latinoamérica y el Caribe, de la Delegación de Colombia y de la Delegación de Brasil en la apertura del SCCR 45 de la OMPI
16 de abril de 2024 Ayer 15 de abril inició el 45° Comité de Derechos de Autor y Derechos Conexos de la Organización Mundial de Propiedad Intelectual (SCCR 45 – por su siglas en inglés). Desde Karisma, como observadoras permanentes, vinimos a participar y les estaremos contando cómo avanzan las discusiones. El día uno tuvo...