Protección de Datos PersonalesAplicaciones de notificación de exposición: Sistema centralizado vs descentralizado (II) Adalid Medrano - Abogado especialista en derecho informático - Costa Rica.

FUENTE: BBC Español

Ante la crisis generada por Covid-19, a nivel mundial se ha propuesto utilizar la tecnología para ayudarle a las autoridades sanitarias para luchar contra esta pandemia cuyo crecimiento en Costa Rica se está saliendo de control. Una de las propuestas tecnológicas es el uso de aplicaciones que le ayuden a los usuarios a saber si han estado en contacto con una persona infectada, con el fin de que se puedan tomar medidas para evitar que se siga incrementando el contagio a terceros.  Al mismo tiempo que le permite a las autoridades de nuestro país tomar medidas más efectivas basados en en el análisis de datos.

En la actualidad, existen 2 tipos de sistemas que las autoridades pueden implementar, centralizados y descentralizados, que centran el debate a nivel mundial con respecto al impacto que pueden tener sobre la privacidad del ciudadano.

Sistemas centralizados y el riesgo a la privacidad.

El sistema centralizado suele ser el preferido por las autoridades sanitarias, ya que brinda más datos y más control,  lo que lo hace más útil para crear políticas públicas para derrotar una pandemia.  Sin embargo, con este sistema  el precio que tiene que asumir la ciudadanía es la entrega al Estado de poder sobre sus vidas, al darle información sobre sus vidas que mal utilizada podría poner de rodillas hasta la democracia más sólida.

El riesgo es alto y por esto ha generado amplia discusión a nivel internacional, donde existe cierto rechazo en países con sistemas democráticos contra los sistemas centralizados.

Un sistema centralizado es aquel donde las autoridades tienen el control de la información personal y les permite saber, de alguna forma, quiénes han tenido interacciones de riesgo para así comunicarles qué acciones tomar. El sistema descentralizado lleva un rastreo de contactos de forma anónima y le permite al ciudadano elegir si se comunica con las autoridades o no.

Según ha reportado Amnistía Internacional Bahréin, Kuwait y Noruega han implantado algunas de las aplicaciones de rastreo de contactos contra la COVID-19 más invasivas del mundo,  porque las tres realizan rastreos directos o casi directos de ubicaciones de usuarios, subiendo las coordinadas GPS a un servidor central a intervalos frecuentes, rastreando los movimientos de los usuarios en tiempo real. Debido a la investigación de esta organización el gobierno Noruego anunció la suspensión de su aplicación.Adicionalmente, “las autoridades de todos estos países pueden vincular fácilmente esta información personal sensible con una persona, pues Qatar, Bahréin y Kuwait exigen a los usuarios registrase con un número de documento nacional de identidad, mientras que Noruega impone el registro con un número de teléfono válido”.

El reporte de Amnistía Internacional también reporta que países como Francia han implementado un sistema centralizado donde  “la información sobre el contacto entre los dispositivos de los usuarios se sube sólo si éstos deciden voluntariamente informar de que son sintomáticos o las autoridades de salud la solicitan. Estas subidas voluntarias y consentidas reducen al menos el riesgo de vigilancia masiva, ya que los datos no se suben automáticamente”  Sin embargo, el gobierno francés, canceló la utilización de esta aplicación debido a su poca efectividad:

Los resultados de las tres primeras semanas de StopCovid han sido bastante decepcionantes: sólo 68 franceses han declarado en la aplicación haber dado positivo tras hacerse la prueba. Y la aplicación sólo ha enviado 14 notificaciones a usuarios indicándoles que han estado en contacto cercano con una persona que ha dado positivo de covid-19 y que lo ha notificado al sistema.

Han descargado la aplicación 1,9 millones de franceses
, lo que equivale al 3% de la población, pero sólo 1,8% han activado StopCovid y su sistema de rastreo por Bluetooth. Además, unos 450.000 usuarios han desinstalado la aplicación después de habérsela descargado.” (Fuente: El Mundo.es)

En la teoría, para detener la pandemia con este tipo de sistema se requiere que al menos un 60% de la población lo instale, lo que es difícil de lograr cuando no genera confianza en la población.

Sistemas descentralizados y amigables con la privacidad.

Fuente: BBC (Traducido al español para este artículo)

Los sistemas descentralizados ofrecen mayores garantías de privacidad a los ciudadanos porque no suben los datos personales de sus contactos con un servidor central para que las autoridades puedan comunicarse con estos, sino que más bien descargan todos los códigos anónimos de las personas reportadas como infectadas con el fin de comprobar si estuvo en contacto con alguno de estos.

Muchos países muestran mayor interés en tener mayor control sobre la información, para tomar decisiones para mitigar la propagación de la pandemia, por lo que optan por sistemas centralizados. En nuestro país, como veremos más adelante, se ha propuesto implementar el sistema de alguna forma vinculado con EDUS (Expediente digital / CCSS), lo que podría elevar las alarmas si se implementa un sistema centralizado.

En esa línea, el gobierno inglés adoptó un sistema centralizado de rastreo de contactos en el Servicio Nacional de Salud  (NHS, similar a la CCSS), el cual después de un rotundo fracaso fue abandonado en favor de un sistema descentralizado  que respeta más la privacidad y utiliza la tecnología de Apple y Google:

“Tras meses de anuncios grandilocuentes y peleas con Apple y Google, el Gobierno británico ha renunciado a su aplicación centralizada de rastreo de contactos de coronavirus para optar por otra descentralizada que encargó en secreto. El resultado: una pérdida de tiempo, dinero y confianza en los sistemas de rastreo automatizados.

El modelo centralizado permitiría analizar los datos mucho más que los sistemas descentralizados, que ofrecen a los usuarios las notificaciones sobre la exposición, pero no permiten a los funcionarios tanto acceso a los datos. Esos modelos, como el propuesto por Google y Apple que ahora será el utilizado por el NHS, son mucho menos invasivos en cuanto la privacidad. Se espera que esas protecciones de privacidad aumenten la confianza en la aplicación, lo que llevaría a que un mayor número de usuarios la utilizan.  (Fuente: MIT Tecnology Review)



Fuente: El Observador.

En Uruguay, el mes pasado adoptaron el sistema de Apple y Google, el cual después de 36 días no generaba ningún tipo de alerta para los ciudadanos y cuando empezó a funcionar las autoridades no se atrevieron a dar un número de cuántas personas recibieron notificaciones, lo que podría ser un indicador de que no ha dado los resultados esperados.

En Alemania, tuvo una adopción importante por parte de la población, sin embargo, la aplicación presentó problemas importantes que ha tenido impacto en su efectividad, como lo reporta el medio alemán DW:

” La aplicación alemana Corona-Warn parecía haber avanzado bastante. Hasta el 24 de julio, la aplicación había sido descargada 16,2 millones de veces en Alemania, según el Instituto Robert Koch (RKI), lo que representa un impresionante 20% de la población.

Sin embargo, ese mismo día, el periódico sensacionalista Bild reveló que la aplicación no había funcionado correctamente para millones de potenciales usuarios durante cinco semanas. Algunos sistemas operativos Android habían bloqueado la ejecución de la aplicación en segundo plano para ahorrar energía, lo que significa que su función clave, enviar una alerta a un usuario si conocía a alguien que dio positivo por el virus, puede no haber funcionado.

El Ministerio de Salud alemán dice que el problema ya se ha solucionado. Pero este está lejos de ser el único ejemplo de una aplicación de rastreo de contactos de COVID-19 que ha presentado problemas. ” (Fuente: DW)

¿Cuál opción implementar en Costa Rica?

Es nuestra obligación como ciudadanos en nuestro país escoger el sistema que sea más compatible con nuestra democracia y más efectivo para luchar contra la pandemia, por lo que el sistema descentralizado es la única opción que puede visualizarse.

Sería un enorme error implementar un sistema de rastreo de contactos utilizando EDUS (Expediente Digital), que pueda erosionar la confianza sobre esta, que tiene enormes beneficios para los costarricenses, pero que sin se fusiona con una aplicación de contactos, puede convertirse en un arma de vigilancia ciudadana.

El camino ideal es utilizar un sistema descentralizado, que proteja la privacidad y la democracia costarricense, cuya aplicación puede en caso de un evento de infección comunicarse con EDUS, pero que se encuentre separado para garantizarle al costarricense que no se le vigilará con esta información.

En cuanto a sistemas descentralizados hay dos opciones principales:

1. La tecnología que proporciona Apple y Google: que no solo permite implementar el sistema descentralizado sino que también asegura que se implemente por parte de un gobierno en respeto de la privacidad de los ciudadanos.

2. The Bios App: un novedoso sistema descentralizado de la empresa canadiense Micron Digital, que brinda enormes posibilidades de análisis de ‘big data’  que con  su tecnología patentada llamada GEOSHASH  protege la privacidad del ciudadano y cumple la normativa nacional sobre protección de datos personales **.


Llegó el momento de utilizar la tecnología para derrotar Covid-19, sin poner en riesgo nuestra democracia.


En la próxima entrega estaré analizando estas dos tecnologías.


** Conclusión del informe jurídico que me fue requerido sobre esta tecnología..


Leer la primera entrega:

El camino hacia la protección de la privacidad en Costa Rica. 

José Adalid Medrano Melara

Abogado especialista en derecho informático, conferencista internacional, consultor y capacitador sobre ciberdelincuencia, ciberseguridad y protección de datos personales. Co-redactor de las reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035) y del más reciente proyecto de ley de lucha contra la Ciberdelincuencia (Proyecto № 21187).

Leave a Reply

Your email address will not be published. Required fields are marked *