Por Andrés Velásquez, Investigador K+Lab
Palabras clave. Notificación de exposición, rastreo de contactos, rastreo digital de contactos, Android Advertising ID (AAID), Identifier For Advertising (IDFA), covid-19, coronavirus, publicidad digital, política pública, tecnología, vigilancia masiva, identificadores de publicidad, trackers, google, apple, Antioquia, Bogotá.
Este documento describe la manera en la que las autoridades de Bogotá y Antioquia han intentado implementar sistemas de notificación de exposición de contacto con COVID 19 valiéndose de las plataformas de publicidad de Google y Facebook. Por un lado, usando georeferenciación para la distribución de anuncios y por el otro, información tomada de sistemas de minería de datos que incluyen identificadores de publicidad de los celulares para simular el proceso de rastreo digital de contactos, implicando un potencial problema grave para la privacidad de las personas.
En los dos casos se puede notar la falta de rigurosidad en la implementación, así como el descuido a la hora de pensar en medidas para el manejo de la epidemia que afecten lo menos posible los derechos de las personas involucradas. Como dato adicional, pudimos constatar, con cierto asombro, el peligro para la privacidad que implican dichos identificadores de publicidad por sí mismos y el potencial que tienen como método de vigilancia masiva.
Como se ha explicado en otras publicaciones hechas por Karisma, las tecnologías diseñadas específicamente para notificación de exposición que, eventualmente, pueden ayudar con el rastreo de contactos son complejas. Sin embargo, en la Alcaldía de Bogotá y en la Gobernación de Antioquia, al parecer, han encontrado soluciones más directas, aunque no menos problemáticas, a este problema usando los sistemas de publicidad de Facebook y Google.
Ante esto, nos preguntamos ¿cuál es el nuevo experimento que están haciendo en Colombia con la ciudadanía? A grandes rasgos, parece que estamos ante otro despliegue tecnosolucionista de las autoridades públicas que se hace con poca transparencia, sin evidencia que respalde sus acciones, sin consideraciones éticas, sin procesos de consulta y participación multisectorial que los alerte de sus puntos ciegos y, muy probablemente, violando las reglas de los sistemas de anuncios de Google y Facebook.
Tanto Bogotá como Antioquia parecen tener aproximaciones distintas sobre cómo usar estos sistemas publicitarios para enviar notificaciones de exposición. Aunque el método bogotano aparenta ser más simple que el de Antioquia, ambos dejan enormes interrogantes.
El caso de Bogotá
En las últimas semanas muchas personas usuarias de internet de la capital de Colombia han podido ver anuncios como estos:
El primer anuncio es de Instagram, pero también le aparece a quienes usan Facebook (no en vano Instagram es propiedad de Facebook). La segunda imagen aparece en las búsquedas de Google. Ambos coinciden en su propósito de alertar a la persona usuaria sobre su posible exposición al virus; es decir, se trata de una notificación de exposición. El sitio al que llevan los anuncios, además, invita a entregar datos personales y de salud con el supuesto fin de hacer un control de síntomas.
Cuando damos clic al anuncio, entramos a un formulario del distrito (Analizado por el K+Lab, encontrando problemas de seguridad y privacidad) que confirma, con un alarmista fondo rojo de alerta, que podríamos estar contagiados de coronavirus y, peor aún, podríamos estar contagiando a otras personas a nuestro alrededor. El formulario pide nombre y teléfono, y presenta un listado de síntomas para que nos autodiagnostiquemos. Al marcar cualquiera de los síntomas, aparece otro mensaje que vuelve a sugerir, y esta vez con mayor énfasis, que quien diligencia el formulario puede estar contagiado de coronavirus:
¿Cómo pueden saber los sistemas de anuncios de Facebook y Google que una persona en Bogotá estuvo expuesta al virus y así emitir este tipo de alertas que suenan personalizadas?
Aquí comienza el problema. No pueden saberlo, como tampoco puede saberlo la Alcaldía, que es la que paga por los anuncios.
De acuerdo con la explicación que nos dieron funcionarios del Distrito cuando les expusimos nuestra preocupación, en aquellas zonas en donde la Alcaldía identifica que hay picos de contagio, pagan anuncios georeferenciados que despliegan estas alertas simulando el resultado de un proceso de rastreo digital de contacto. Usar un algoritmo publicitario, que nada tiene que ver con lo que se viene desarrollando internacionalmente como rastreo digital de contactos, para distribuir alertas de exposición de contacto es irresponsable. Para empezar, no se está usando ni rastreo manual de contactos ni la tecnología para determinar la proximidad de exposición, por ejemplo, usando bluetooth. Lo que se usa es el miedo de las personas para que se acerquen a ver si están contagiadas y se exacerba con formatos que refuerzan su temor.
Puede que la intención sea buena al intentar identificar posibles sospechas de contagio en zonas de alto riesgo para actuar rápidamente en su contención. Sin embargo, en lugar de informar eso están usando el miedo al transmitir el engañoso mensaje de que se ha estado “cerca de un posible foco de contagio”, cuando no es cierto que lo saben.
Ya hemos mencionado en otras publicaciones que incluso un sistema de notificación de exposición basado en bluetooth bien concebido puede generar falsos positivos, pero esto es mucho peor. Generar una alerta en todo un barrio por posible contagio a partir de la confirmación de una persona infectada, sin que se consideren ningún factor de riesgo real, por decir lo menos, es completamente insidioso y embaucador… De buenas intenciones está empedrado el camino al infierno.
Adicionalmente, en materia de publicidad, hay regulaciones para evitar el engaño. Las empresas de tecnología como Google y Facebook tienen reglas para sus anunciantes sobre todo en materia de salud. Y, de hecho, las han reforzado en el contexto del COVID-19 en una controversial estrategia que busca evitar la difusión de información falsa. En Karisma creemos que los anuncios del Distrito violan estas reglas de acuerdo con los términos y condiciones para anuncios de Facebook y los de Google.
Las alertas que el distrito envía a las personas contienen atributos personales o que insinúan conocer información privada al sugerir que quien recibe el anuncio puede estar contagiado de COVID-19. Esto se encuentra prohibido según las reglas de estas plataformas. Adicionalmente, la alerta lleva a un formulario en el que se solicitan datos personales y sensibles, incluidos los de salud al preguntar por los síntomas.
Karisma elevó una consulta a Facebook y a Google sobre si esta implementación en su sistema de anuncios publicitarios está en línea con sus reglas comunitarias. Facebook aún no responde la consulta que pudimos individualizar debidamente. Por su parte, en relación con Google, aunque recogimos pantallazos, no tuvimos toda la información del aviso que permitiera individualizarlo, por tanto, no pudimos presentar la consulta con más especificidad.
Al momento de discutir este tema en general, durante una conversación con representantes del equipo de Facebook que lidera Publicidad, Facebook aclaró que la publicidad utilizando focalización como geolocalización sólo puede alcanzar a personas con base en su ubicación aproximada, pero no con base al contacto con otras personas. Los anunciantes están autorizados a promover iniciativas de salud pública siempre que cumplan con las Políticas de Publicidad.
Por su parte, Google nos indicó por escrito que “[c]on el fin de asegurar que nuestros usuarios tengan acceso a información esencial, nuestra política actual permite a organismos prestadores de servicios de salud, organizaciones no gubernamentales, organizaciones intergubernamentales, entre otros, correr campañas de publicidad relacionadas con el COVID-19 siguiendo las políticas de Google Ads al ofrecer contenido relacionado con la enfermedad del coronavirus, y la Política de Eventos Sensibles.”
El Distrito parece haber dejado de pautar estos avisos. Nos queda difícil saber si esas plataformas han retirado esos anuncios por violación a sus reglas. Nos quedemos con la duda sobre cuál fue la razón para que el Distrito suspendiera esta publicidad. Queremos creer que al manifestar nuestras preocupaciones a la Alcaldía esto se identificó como una estrategia inaceptable. No estaría mal que, en un ejercicio de transparencia, las autoridades bogotanas nos contarán más al respecto.
El caso de Antioquia
La Gobernación de Antioquia, más específicamente la Dirección para el Manejo de la Pandemia, explicó su solución de rastreo digital de contacto y notificación de exposición usando datos de publicidad que, indicó, desarrollaron en conjunto con Google y la empresa Servinformación:
En la presentación de la estrategia de rastreo, el entonces director encargado, Luis Gonzalo Morales, señaló que: “Lo que nos permite esta búsqueda es que, una vez localizamos inicialmente los casos positivos, y tenemos el ID de los celulares de los casos positivos, lo que voy a tratar de hacer es que a través de esos celulares que ya conozco le digo a la herramienta de Google: dígame ese celular por dónde se movió en la ciudad y qué personas que tienen otro celular estuvieron cerca por más de 30 minutos y a menos de 10 metros de distancia”.
Este extracto, citado también en una nota de prensa de El Espectador, deja muchas preguntas: ¿puede funcionar esto como rastreo digital de contacto?, ¿está Google efectivamente apoyando a Antioquia?, ¿existe un sistema como este en otro lugar del mundo?, ¿cuál es su confiabilidad?
Como ya se mencionó, es improbable que los sistemas diseñados para avisos publicitarios puedan ser ajustados de manera confiable para funcionar como sistemas de rastreo digital de contactos. No encontramos referencia alguna de que un sistema como este esté funcionando en ningún otro lugar del mundo.
En cuanto a la participación de Google, cuando le hicimos la consulta, nos indicó que “no ha celebrado acuerdos con la Gobernación de Antioquia. A nivel mundial, Google Cloud tiene aliados comerciales dentro de los cuales los clientes pueden escoger expertos en diversas especialidades, para que los ayuden a pasarse, establecerse y trabajar en la nube”. Es decir, Antioquia no tiene un convenio con Google, sino que, como lo hace cualquiera, usa sus servicios a través de un partner autorizado por esa empresa. Ese socio seguramente es Servinformación, que se menciona en la misma presentación de la estrategia de rastreo y que también presta servicios a la Alcaldía de Bogotásegún se menciona en un artículo de prensa de la revista Dinero.
El principal problema de esas declaraciones es que engañan a la ciudadanía frente a lo que es el rastreo digital de contacto al tiempo que alarman sin una base justificada. Si lo que sostiene la Gobernación de Antioquia fuera cierto, este tipo de pactos o acuerdos estarían en contradicción con el esfuerzo que hace Google en conjunto con Apple para hacer un sistema de notificación de exposición. ¿Por qué estaría Google haciendo paralelamente una solución basada en identificadores publicitarios y geolocalización como lo explica la presentación del gerente para el manejo de la pandemia de Antioquia? Cuando le preguntamos a Google si esta era una solución alternativa de rastreo digital de contacto al API que desarrollan con Apple, nos dijo que la empresa “no está desarrollando herramientas de ese estilo”.
Ahora bien, si creyéramos que Antioquia tiene una solución tecnológica para hacer rastreo digital de contacto, ¿cómo puede Servinformación usar el identificador de publicidad de un teléfono para saber su recorrido durante un lapso de tiempo e incluso saber qué otros celulares estuvieron cerca a menos de 10 metros y por más de 30 minutos? No hay información pública que explique esto. Y si existiera la información, aún podemos cuestionar la falta de transparencia y de un proceso de participación pública que permitiera a cualquiera conocer y hacer comentarios a una medida de salud pública de esta naturaleza.
Algo podemos saber por la presentación de la Dirección para el Manejo de la Pandemia y los datos de una investigación publicada en la revista de la Universidad de Rosario titulada Políticas públicas, grandes datos, teoría de redes y COVID-19 que también nos fue referenciada por la Gobernación de Antioquia al momento de presentarles nuestros cuestionamientos. De acuerdo con esta investigación, la empresa Servinformación trabaja con “...un conjunto de datos de movilidad de teléfonos celulares que provienen de un servicio de agregación de aplicaciones para minería de datos sobre usuarios con fines de mercadeo digital disponibles a nivel mundial”. Lo que podemos inferir de este artículo es que Servinformación compra paquetes o acceso a un conjunto de datos a un tercero que debe contener una tabla que relaciona identificadores de publicidad con coordenadas geográficas. No sabemos qué más datos se incluyen en este trato.
Este tercero compra estos datos directamente a los desarrolladores de diferentes aplicaciones móviles que, por sus funcionalidades, cuentan con los permisos para recolectarlos. Por ejemplo, datos de localización que capturan aplicaciones de movilidad (ej. Uber), o de domicilios (ej. Rappi).
Las políticas de privacidad y términos de uso de estas aplicaciones permiten vender dichos datos a terceros. Esta venta debería hacerse con datos semi anónimos, es decir, datos de los que no se pueda inferir fácilmente la identidad real de una persona. Para este caso, el identificador de publicidad y la ubicación, sin incluir nombres o número de identificación. Sin embargo, no podemos estar seguros de cuántos y cuáles datos son transados por estas aplicaciones.
Los identificadores de publicidad son el equivalente a una cookie o a un rastreador (tracker). En términos prácticos, son números seriales y únicos con los que se puede individualizar a una persona en internet. Sus fines son publicitarios, ya que permiten rastrear hábitos, ubicación geográfica, historial de navegación, etc. Esos datos pueden no asociarse con el nombre de alguien pero siguen siendo datos personales por tener la capacidad de hacer identificable a una persona. Estos identificadores son los responsables de que una búsqueda de la palabra “zapatos” en un buscador o en alguna página de compras resulte luego en un montón de publicidad relacionada con zapatos en el resto de páginas o aplicaciones que visitamos. Hay muchos tipos de identificadores de publicidad. Sin embargo, los identificadores de publicidad del conjunto de datos que tiene Servinformación son específicos para cada teléfono y son conocidos como Android Advertising ID (AAID) para Google e Identifier For Advertising (IDFA) en Apple.
Este par de identificadores son especiales porque vienen incrustados en los sistemas operativos de los aparatos y es imposible renunciar a ellos. Sin embargo, Apple anunció en su Conferencia Mundial para Desarrolladores del 2020 que con la actualización de sus sistemas operativos a la versión 14 a mediados de septiembre del mismo año, el acceso a este identificador se tratará como un permiso y se requiere autorización expresa del usuario para poder acceder a este sistema de rastreo. No obstante, por lo pronto, lo máximo que se puede hacer es renovarlos para que periódicamente cambie el número. Esto permite romper la secuencia o marcarlos para no recibir anuncios personalizados, pero es imposible deshacernos de ellos completamente.
Precisamente por que ese ID se deshace de nuestro nombre, pero puede identificarnos muy eficientemente, la organización sin ánimo de lucro noyb elevó una queja formal por violación al Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea por parte de Google. En ella señala que no existe opción alguna para renunciar al uso de este rastreador y, en consecuencia, considera que el constante seguimiento que ejerce la compañía, los desarrolladores de aplicaciones y los anunciantes sobre los dispositivos Android violan nuestra privacidad. El 21 de Junio de 2020 quedó en firme una multa impuesta a google por parte de la CNIL (la autoridad francesa de protección de datos) consecuencia de esta queja.
Regresemos al caso de Antioquia
El artículo de la revista de la Universidad del Rosario indica que los datos de Servinformación sirven para “detectar contextos sociales asociados a la transmisión del virus casi en tiempo real y responder preguntas retrospectivas con el fin de entender procesos que facilitan o previenen la dispersión del virus”. En otras palabras, la tecnología no parece pensada para detectar a los contactos cercanos, las interacciones, de un caso positivo, qué es lo que se ha popularizado mundialmente bajo la idea de “rastreo digital de contactos” y que termina en una “notificación de exposición” que se recibe en el celular, sino que se refiere a identificar conglomerados y, sobre todo, redes de personas que les permite establecer grandes eventos de transmisión del virus en una población.
Este grupo de datos no son como los agregados y anonimizados que entrega Google en sus reportes de movilidad relacionados con la pandemia (Facebook también tiene algo similar). Tampoco son los individualizados e identificados que entregan las aplicaciones estilo Coronapp. Más bien están a medio camino de los dos. Son grupos de datos sin plena identificación pero sin estar agregados, sino que se tiene cada dato individualmente. Como cualquier grupo de datos sensibles, su gestión y uso genera riesgos para la privacidad. Mientras su uso se oriente a entender mejor contextos sociales que pudieron o pueden facilitar la difusión del virus, dichos riesgos son menores, pero aumentan y se vuelven más complejos si se rastrea a las personas. Todo indica que mientras el artículo de la Universidad del Rosario habla de que los datos que provee Servinformación son para buscar conglomerados, el experimento antioqueño es usarlos para rastrear personas.
El paso que indica que usan estos datos para hacer rastreo digital de contacto es que, según Luis Gonzalo Morales, una vez el sistema es alimentado con el identificador de publicidad de un caso positivo, este retorna los identificadores de publicidad de los dispositivos que estuvieron más de media hora y a menos de diez metros de distancia. Lo que podemos suponer es que, cuando una persona da positivo para el virus, se le solicita el identificador de publicidad de su teléfono para realizar la traza de sus movimientos y encontrar los identificadores que estuvieron cerca. En este punto se rompe completamente cualquier rastro de anonimato de la persona positiva. En teoría, sin su consentimiento, se le puede seguir el rastro a partir de su identificador. Se vuelve un identificador con nombre propio.
¿Qué sucede a partir de ese momento?
No sabemos exactamente cuánta información se tiene de cada identificador. Sin embargo, esto puede ser irrelevante si un cruce con las bases de datos de Medellín Me Cuida o de la Gobernación de Antioquia, puede poner nombre a muchos identificadores. Podrían, por ejemplo, preguntar al sistema que identificador de publicidad estuvo en un rango de tiempo en un lugar de Medellín y asociar la información de esa dirección que ya tiene toda la información de las personas que la habitan, para poner nombre propio a otro identificador.
Automatizando el proceso pueden conseguir muchos nombres para muchos identificadores, lo cual acarrea serios problemas para la privacidad de las personas. Insistimos, mientras más se aleja el ejercicio de vigilancia de transmisión del virus y más se acerca a la vigilancia de las personas y sus contactos, el riesgo para la privacidad aumenta y no nos están contando cómo lo evalúan y hasta dónde lo mitigan.
En todo caso, de acuerdo con Morales, las personas reciben un aviso -similar al de Bogotá como aparece en la imágen- e incluso pueden recibir SMS (ver imagen), según nos han reportado algunas personas en Medellín.
De otra parte, evaluar este proceso como uno de rastreo digital de contacto plantea cuestionamientos más graves sobre la exactitud del tiempo y la proximidad que los que ya se han hecho con el uso del bluetooth. Para empezar, dado que los datos vienen de aplicaciones, estos no son constantes, es decir, solo se suministran cuando se usan las aplicaciones o cómo mínimo cuando el celular está en uso. Esto significa que la información puede ser más fragmentada para algunos identificadores que para otros, e inexistente para muchos.
Por eso, si la discusión sobre la efectividad del bluetooth es grande en el mundo, el debate sobre la efectividad técnica y la confianza sobre los datos provenientes de los rastreadores para publicidad en un proceso de rastreo digital de contacto no pasaría ni la primera prueba. Además, esta tecnología se basa en la localización vía GPS y redes (antenas y puntos WIFI), que tiene un margen de error de 1 hasta 100 metros según la densidad de antenas de la conexión. El GPS puede ser útil para determinar una ruta y ofrecer datos agregados de movilidad, pero no tanto para localizar a una persona. De hecho, justo su alto grado de imprecisión para establecer un posible contacto de proximidad ayudó a inclinar la balanza hacia el uso del bluetooth en los protocolos de rastreo digital de contacto que se usan en el mundo.
Es decir, es muy probable que la falta de precisión en la ubicación del celular y la incertidumbre sobre la continuidad de los datos, condiciones requerida para deducir que un dispositivo estuvo 30 minutos cerca de otro a menos de 10 metros de distancia, sea tan poco fiable en la identificación que esta solución no pase un filtro científico para considerar esta medida como confiable para una notificación de exposición.
Se supone entonces que la notificación de exposición que hace Antioquia usando los datos de Servinformación se hace por medio de publicidad dirigida por Google y sus aplicaciones. Igualmente, podemos suponer que se hace por medio de audiencias creadas a partir de los identificadores devueltos por el sistema de Servinformación. Sin embargo, como ya explicamos para el caso de Bogotá, esto no solo iría en contra de las reglas de publicidad de esa empresa, sino que no es posible enviar publicidad a una persona determinada, hay que definir los criterios de las audiencias, eso significa que el sistema está lleno de falsos positivos.
Por tanto, en el caso de Antioquia, no sabemos exactamente cómo conectan su ensayo con los anuncios a las personas usuarias a partir de estos identificadores. En una respuesta enviada a Karisma por la Gobernación de Antioquía sobre este tema se reitera lo dicho por Luis Gonzalo Morales en su presentación pero no se resolvieron temas puntuales sobre el manejo de los identificadores publicitarios o detalles técnicos como la manera en que se crean las audiencias para enviar las notificaciones. Lo que sí es claro es que el algoritmo de distribución de anuncios de Google no es adecuado para hacer rastreo digital de contactos y mucho menos usar lo que hacen con los identificadores de publicidad para enviar notificaciones de exposición.
Este caso demuestra dos cosas
La primera es que el manejo mediático que se está haciendo del uso de tecnología en la pandemia parece estar más alineado con una presentación a un grupo de inversionistas que con lo que corresponde a un sistema que incide en el manejo de la salud pública. Es decir, es una gestión que no da cuenta ni de la teoría que respalda el despliegue de la solución tecnológica ni tampoco sus resultados, lo que deja serias dudas. También puede ser que están exagerando las capacidades de la plataforma y estamos ante un ensayo al que se le atribuyen bondades que no necesariamente corresponden con la realidad.
Y la segunda, que como lo han denunciado organizaciones de la sociedad civil en el mundo, los identificadores de publicidad están exponiendo a los personas que usamos internet a una vigilancia masiva por parte de terceros, sin escapatoria. Por más anónimos que sean los datos, las mismas técnicas de vinculación que se usan en este sistema pueden ser usadas para desanonimizar los datos de las personas usuarias para obtener rutas de desplazamientos y quién sabe qué otra información con nombre propio. Lo que, además, constituye un cambio radical de la finalidad de estos identificadores publicitarios: de la publicidad, hacia el rastreo en contexto de pandemia.
Conclusiones
La emergencia justifica tomar medidas excepcionales. Los datos sirven para enfrentar la pandemia. Las autoridades deben encontrar formas de identificar a las personas contagiadas y evitar que el contagio se multiplique. Sin embargo, la emergencia no suspende el deber del Estado de proteger nuestros derechos fundamentales. Corresponde a quienes gobiernan analizar las soluciones a implementar para decidir cuáles y cómo las despliegan. En ese proceso, deben hacer evaluaciones que les permitan tomar esas decisiones, deben transparentar la información sobre ese proceso indicando por qué es que esa solución es la que van a desplegar y cómo buscaron el equilibrio evitando las afectaciones a otros derechos. Además, deben favorecer procesos participativos que les permita escuchar las preocupaciones y alternativas para evitar sus puntos ciegos. Cuando esto no se hace, se confunde la visión propia del emprendimiento privado con el autoritarismo público.
El 28 de mayo del 2020, la Organización Mundial de la Salud emitió un documento con consideraciones éticas para las implementaciones relacionadas con rastreo digital de contactos por proximidad y notificaciones de exposición que no se ven aplicadas en los los dos casos expuestos en este documento.
Es evidente que estas medidas no cumplen con los principios que propone la OMS. No son voluntarias, se desplegaron sin pruebas o evaluaciones, no hay transparencia en cuanto a los procesos del sistema ni sobre el proceso de toma de decisiones que termina en los despliegues de estas soluciones. Tampoco hay información sobre los algoritmos utilizados, ni se informa si están verificados y mucho menos validados por las autoridades epidemiológicas, pues, son algoritmos de distribución de anuncios que nada tienen que ver con este tema. Menos aún tienen veedurías externas. Y un largo etcétera de incumplimiento de consideraciones éticas necesarias para una medida de salud pública.
El rastreo digital de contactos es un tema que se ha debatido ampliamente tanto en lo que compete a su efectividad técnica como a las consecuencias que tiene en el ámbito de los derechos humanos. A pesar de que todavía hay importantes reservas sobre el sistema diseñado e implementado en forma de API por Apple y Google, no cabe duda de que, en medio del afán, es un ejemplo de una solución que se planea, se justifica desde un enfoque compatible con la privacidad y puede sostenerse a partir de consideraciones éticas para un sistema de este tipo.
Incluso con todas las reservas técnicas y sociales que suponen las notificaciones de exposición, es posible que en el futuro puedan jugar algún papel como parte del rastreo de contactos, Sin embargo, si se usan métodos erróneos no solo se puede generar pánico y afectar la salud mental de algunas personas, sino que su falta de efectividad continuada hará que otras muchas personas ignoren estos mensajes posteriormente, cuando depronto, si se logre un sistema bien planeado y probado. ¿Alguien se acuerda del cuento del pastorcito mentiroso?
Ahora bien, la creatividad que desplegaron estas administraciones locales, con el apoyo de la empresa privada, de usar los identificadores de publicidad de los celulares también prueba que estas grandes empresas han desarrollado tecnologías que no son tan amigables con la privacidad. El uso que se está dando en Colombia a los identificadores de publicidad de los celulares confirma los temores de noyb al cuestionar como este rastreo permanente e irrenunciable representa un grave riesgo para nuestra privacidad no solo por lo que las empresas responsables (Google o Apple) puedan hacer, sino lo que otros logran conocer también.
Por último, queda la reflexión sobre la implementación de la tecnología por parte de los entes gubernamentales, que se adapta más a los estereotipos de startups buscando clientes e inversionistas que a sistemas que encajen en una estrategia integral de salud pública con una rigurosidad más académica. Se esperaría que, como mínimo, una medida pública diseñada por una autoridad pública tomara referentes, explicara, abriera a comentarios y participación pública en la toma de sus decisiones, incluso en medio del afán. Además, deberían concebir mecanismos de auditoría y seguimiento. Nada de esto ha sucedido, está ganando la autocomplacencia de una solución tecnológica que se acerca a la magia.
Lo que más nos preocupa es que estos son los sistemas que salen a la luz pública y así se nos permite revisarlos. La pregunta que nos queda es ¿cómo serán los sistemas que corren internamente y con los que toman las decisiones que influyen notablemente en las libertades individuales y el ejercicio de los derechos humanos, la salud mental y física, y en la calidad de vida de la población?