La API de notificación de exposición de COVID-19 creada por Google y Apple y el tratamiento de datos personales.

14 mar

Introducción

Desde que comenzó el brote de coronavirus en Wuhan China a finales del 2019, las autoridades sanitarias determinaron que detectar y aislar los casos de COVID-19 era una prioridad para frenar el avance de la enfermedad. En concreto, la Organización Mundial de la Salud se pronunció al respecto diciendo que además de encontrar, hacer pruebas, aislar y tratar cada caso positivo, era de vital importancia trazar todos los contactos que las personas hubieran tenido con otras para detener la propagación del virus, lo que convirtió a la tecnología móvil en un aliado para el combate a la pandemia al ser una poderosa herramienta para recolectar datos de los usuarios.

En países como Singapur, Corea del Sur, Indonesia y Polonia no hubo vacilación en ponerlas en marcha para identificar y notificar (vía localización satelital) los contactos de los usuarios contagiados, pero en Europa y Estados Unidos, debido a las estrictas normativas de privacidad, en principio se optó por modelos con un uso más limitado de los datos.

A través de su cuenta de Twitter, el 14 de abril de 2020, la Corte Interamericana de Derechos Humanos publicó una Declaración en la que expresa los principales problemas y desafíos ante la emergencia sanitaria de COVID-19 con perspectiva de Derechos Humanos en apego a las obligaciones internacionales. En esta Declaración la Corte establece claramente que deben disponerse las medidas adecuadas para que el uso de tecnología de vigilancia para monitorear y rastrear la propagación del Coronavirus sea limitado y proporcional y no implique una injerencia desmedida y lesiva para la privacidad, la protección de datos personales y la observancia del principio general de no discriminación.

La API de notificación de exposición de COVID-19 creada por Google y Apple y el tratamiento de datos personales.

Sin duda frente a la pandemia, el uso de cualquier aplicación móvil coloca frente a una disyuntiva que debe ser tomada en cuenta; si bien es cierto que la obtención y utilización de datos más sensibles pudiera resultar polémico, también tiene una serie de ventajas desde el punto de vista epidemiológico porque permite hacer un diagnóstico preciso de métricas relevantes.

En este contexto, en abril pasado Apple y Google anunciaron el desarrollo, en conjunto, de un sistema -mediante Bluetooth y no localización satelital- para alertar a las personas que tuvieron contacto con otras que dieron positivo por COVID-19; ambas empresas previeron salvaguardar la privacidad mediante especificaciones de criptografía que se almacenarían en servidores de computadoras remotas, pero que no se podrían usar para desenmascarar la verdadera identidad de un individuo específico e insistieron en que esta tecnología sería un complemento y no un sustituto del rastreo de contactos tradicional.

Con un total de 22 países que solicitaron y recibieron acceso a la API, la primera versión pública de la herramienta quedó disponible de manera oficial desde el 3 de junio operando de manera anónima con el consentimiento del usuario; sin embargo, tras su puesta en marcha, se despertaron alarmas principalmente entre los organismos internacionales de Derechos Humanos, respecto a qué tan protegida estaba la identidad y los datos personales de los usuarios, ya que éstos podrían estar en riesgo de ser vulnerados y propiciar discriminación contra personas que contraen el virus. El COVID-19 no es solo un problema sanitario, también puede agravar la xenofobia, el odio y la exclusión e incluso favorecer una vigilancia del Estado sobre la ciudadanía (preocupante especialmente en Gobiernos autoritarios) pues, so pretexto de que se trata de tutelar la salud o la seguridad como bienes superiores, se podría justificar que las personas renunciaran a ciertos derechos si no se da a sus datos personales un tratamiento adecuado y apegado a estándares.

Adicionalmente, los organismos protectores de Derechos humanos también advirtieron sobre el riesgo de quebrantar la libertad de tránsito y excluir a grandes segmentos de la población debido a la brecha digital, perjudicando principalmente a las personas mayores y a aquellos que no tienen acceso a las últimas tecnologías.

En México, tanto la comisionada del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales como la Directora Ejecutiva de la Asociación Regional Derechos Digitales, se pronunciaron a favor de que el derecho a la salud y el derecho a la protección de datos personales coexistan pero señalaron que el único mecanismo para garantizar la protección de los datos es que la tecnología sea utilizada de manera proporcional: primero desde un punto de vista técnico y luego desde un punto normativo, que haya reglas claras de cómo esa tecnología puede ser utilizada y cómo se va a desmantelar una vez que el contexto de pandemia haya terminado.

Aunque la solución conjunta de Google y Apple (que es la API oficial de notificaciones de exposición) preserva la privacidad y proporciona un método de uso de Bluetooth Low Energy y criptografía para proporcionar una infraestructura de seguimiento de contactos que está limitada a las autoridades de salud pública de los países otorgándoles acceso solo cuando cumplen criterios específicos sobre privacidad, seguridad y datos, su respeto a la privacidad es cuestionable; incluso las soluciones que afirman ser las más sensibles a la privacidad están abiertas al abuso, especialmente si consideramos en el escenario la combinación entre la tecnología de reconocimiento facial y la ubicación del dispositivo en un momento dado, lo que podría significar que el usuario pudiera ser plenamente identificable.

Se advierte también que aun no existen pruebas y evidencias que respalden la efectividad de la aplicación móvil ideada por Google y Apple para atender la emergencia de salud dado que su uso es voluntario y la experiencia dicta que las aplicaciones son más útiles si son obligatorias.

En este orden de ideas, resulta esencial atender a las legislaciones en materia de protección de datos de los países respetando el derecho fundamental a la privacidad de los ciudadanos y al mismo tiempo, armonizar con el marco normativo internacional en materia tanto de derechos humanos como de protección y tratamiento de datos transfronterizos, lo cual requiere tener autoridades de control que velen por la protección de dichos datos. Esto representa un enorme reto ya que -por lo menos en América Latina- existe gran disparidad en términos de los regímenes vigentes para la protección de datos personales; aunque casi todos los países de la región reconocen estos derechos en sus constituciones, no cuentan con la misma amplitud, ni su cumplimiento es efectivo; por desgracia aún no existe un entorno en materia de protección de datos personales tan robusto que abone a la confianza de los ciudadanos.

Evidentemente las alternativas y soluciones posibles dependerán de cada país, pero sin duda alguna estarán íntimamente relacionadas tanto con su nivel de democratización para garantizar la transparencia en el manejo de la información como con los alcances que den a la protección de los derechos individuales de sus habitantes; por tanto, resulta idóneo que las medidas que adopten sean temporales, objetivas y proporcionales al riesgo.

Conclusión

Que los gobiernos utilicen las herramientas tecnológicas al alcance y establezcan algunas restricciones a los derechos de su población puede ser justificable durante una emergencia de salud pública; sin embargo, esto no puede conllevar a que las personas sacrifiquen su privacidad o vean perjudicada su intimidad.

El principal reto es establecer y comunicar con suficiente claridad, la temporalidad y el propósito que se dará a la información personal obtenida por cualquier medio, poniendo al alcance la población los mecanismos idóneos para que los usuarios tengan el derecho de que se excluyan del tratamiento sus datos de carácter personal, ya sea por ser erróneos, o por no interesarle que se sometan a tratamiento.

La frontera entre atender una emergencia de salud sin atropellar los derechos humanos de la población es muy delgada; es claro que esta crisis y las medidas de emergencia promovidas para frenar el contagio pudieran violentar los derechos a la dignidad, intimidad y privacidad de las personas y desde luego pondrán a prueba a los Estados respecto no solamente de los “qué” sino de los “cómo y para qué” de las medidas de prevención y protección que adopten para garantizar el bienestar sin discriminación.

Todo apunta también a la necesidad de la cooperación internacional; esta emergencia ha dejado ver la interconexión de los desafíos que enfrentamos como humanidad y da cuenta de que la tecnología es crucial para lidiar con ellos, pero no debemos permitir que éstos se utilicen de manera arbitraria, sin bases, siempre estarán sujetos a revisión y ser, dentro de las opciones disponibles, lo menos intrusivas y restrictivas posible para que los derechos humanos de todos, particularmente de los más vulnerables y marginados sean protegidos.

“La conectividad digital es indispensable tanto para superar la pandemia como para conseguir una recuperación sostenible e incluyente. Pero no podemos permitir que las modas tecnológicas superen nuestra capacidad de dirigirlas y proteger el bien público”,
Antonio Guterres, Secretario General de las Naciones Unidas.

Referencias

Anscombe, T. (01 de Julio de 2020). Apps de rastreo de contactos de COVID-19: ¿ayuda tecnológica o preocupación para la privacidad? Recuperado el 08 de Julio de 2020, de https://www.welivesecurity.com/la-es/2020/07/01/apps-rastreo-contactos-covid-19- preocupacion-privacidad/

Contreras García, V. (02 de Junio de 2020). Apps de rastreo para Covid-19 desafían los estándares de protección de datos en la ‘nueva normalidad’. Recuperado el 08 de Julio de 2020, de https://digitalpolicylaw.com/apps-de-rastreo-para-covid-19-desafian-los-estandares-de- proteccion-de-datos-en-la-nueva-normalidad/

COVID-19 y Derechos Humanos: Los problemas y desafíos deben ser abordados con perspectiva de derechos humanos y respetando las obligaciones internacionales. (14 de Abril de 2020). Recuperado el 08 de Julio de 2020, de https://twitter.com/CorteIDH/status/1250104080451670018/photo/1

Forbes Staff. (22 de Mayo de 2020). Apps de rastreo de Covid-19, un riesgo para los derechos humanos: HRW. Obtenido de https://www.forbes.com.mx/mundo-apps-rastreo-covid-19-riesgo- para-derechos-humanos-hrw/

García, J. G. (30 de Mayo de 2020). 'Apps' Google y Apple limitan la lucha contra el coronavirus a la iniciativa pública. Recuperado el 8 de Julio de 2020, de https://retina.elpais.com/retina/2020/05/29/innovacion/1590774607_963078.html

ONU. (11 de Junio de 2020). Noticias ONU. Obtenido de https://news.un.org/es/story/2020/06/1475892

Foto de Roman Grachev en Unsplash

Oerre Abogados

La API de notificación de exposición de COVID-19 creada por Google y Apple y el tratamiento de datos personales.

La cara y cruz de las tecnologías de análisis de datos: ¿herramientas para el bienestar o amenazas a la privacidad?

Adhesión de México al Convenio 108, un balance positivo.