#coronavirus #apps #privacidad
Vigilancia & Salud: Corona-Apps en América Latina
Entrevista a Carolina Aguerre
Por Natalia Arralde
Amenaza Roboto, 16.06.20
Desde que se instaló el brote de COVID-19 han surgido múltiples aplicaciones móviles que buscan contener la pandemia. Usan datos de ubicación satelital o Bluetooth y permiten a los usuarios registrar sus síntomas, informarse y recibir notificaciones en caso de haber estado cerca de una persona enferma. En América Latina se han relevado decenas de estas herramientas de uso voluntario, de diversos orígenes y con distintas funcionalidades. Estas apps aún no han demostrado ser efectivas en el control de la crisis sanitaria y plantean un reto en relación al resguardo de la identidad y a los estándares de privacidad en la región.
En su reciente publicación para la Fundación Carolina, La delgada y móvil frontera de las corona-apps en América Latina, la Codirectora del Centro de Tecnología y Sociedad (CETyS) de la Universidad de San Andrés, Carolina Aguerre, analiza las aplicaciones que surgieron en la región, sus objetivos, el papel del Estado, las colaboraciones público privadas para crearlas, y los posibles conflictos con los marcos normativos vigentes.
Amenaza Roboto, 16.06.20
Desde que se instaló el brote de COVID-19 han surgido múltiples aplicaciones móviles que buscan contener la pandemia. Usan datos de ubicación satelital o Bluetooth y permiten a los usuarios registrar sus síntomas, informarse y recibir notificaciones en caso de haber estado cerca de una persona enferma. En América Latina se han relevado decenas de estas herramientas de uso voluntario, de diversos orígenes y con distintas funcionalidades. Estas apps aún no han demostrado ser efectivas en el control de la crisis sanitaria y plantean un reto en relación al resguardo de la identidad y a los estándares de privacidad en la región.
En su reciente publicación para la Fundación Carolina, La delgada y móvil frontera de las corona-apps en América Latina, la Codirectora del Centro de Tecnología y Sociedad (CETyS) de la Universidad de San Andrés, Carolina Aguerre, analiza las aplicaciones que surgieron en la región, sus objetivos, el papel del Estado, las colaboraciones público privadas para crearlas, y los posibles conflictos con los marcos normativos vigentes.
(United Nations Covid-19 Response)
Mapa de las corona apps en la región
El informe señala que el primer país de América Latina en desarrollar una corona-app fue Bolivia, el 15 de marzo, seguido de Colombia, el 16, y luego Uruguay, que lanzó una aplicación el 20 de marzo. Desde entonces se desplegaron muchos instrumentos con distintos alcances, funciones y modelos de gobernanza de datos.
El análisis deja al descubierto una realidad regional muy diversa y marca diferencias incluso a la interna de cada Estado. Varios países, sobre todo los que tienen una organización política federal, como Argentina, Brasil y México, desarrollaron más de una aplicación en los distintos Estados. También en Colombia, Paraguay, Perú, Honduras y Ecuador se desplegaron varias iniciativas regionales. "Se busca ir al nivel más local posible, y eso pone en tensión las capacidades tecnológicas de los actores más pequeños como municipios o ciudades", señala Aguerre.
La experta relevó 28 aplicaciones locales de distintos orígenes. Casi la mitad fueron creadas por iniciativa gubernamental, seis de ellas pertenecen a empresas, dos tienen un origen mixto y, en ellas, la colaboración con las bases de datos del Ministerio de Salud es clave para su funcionamiento. Luego, hay seis aplicaciones activas pero no se especifica la organización que respalda su desarrollo.
La investigación indica que el principal objetivo de estas herramientas es brindar servicios de telemedicina y reporte de síntomas, seguido por la función de informar a los ciudadanos, y luego la de autodiagnóstico. Dentro de las funcionalidades más controvertidas está la de alerta por proximidad y la de control de salida. El estudio advierte que no se conoce si los datos proporcionados por los usuarios se utilizan para elaborar otro tipo de análisis que pueda interferir con la privacidad e intimidad de las personas.
El informe expone dudas sobre la protección de los datos personales y revela carencias de políticas de eliminación.
La Unión Europea establece cuatro principios rectores para el desarrollo de aplicaciones: voluntariedad, consentimiento, resguardo de la identidad y política de eliminación de datos.
En América Latina todavía hay seis países que no cuentan con una ley de protección de datos personales y sin embargo desarrollaron sus propias corona-apps. Del estudio realizado por Aguerre surge que las políticas de eliminación de datos son específicas únicamente en tres de las 28 corona-apps relevadas. En relación a los resguardos de identidad, solamente seis tienen políticas que por defecto anonimizan o no toman datos personales, una en la que el usuario puede solicitar el resguardo de su identidad vía email, y en las restantes 21 no se aplica ninguna política o no se hace explícita. Se destaca como innovador el caso de la aplicación COVID-19 CDMX que si bien toma datos como la georreferencia, tiene un botón visible que permite borrar información y almacenamiento de datos.
La experta entiende que es necesario imponer más presión a los Estados sobre cuál es la política de almacenamiento y eliminación del dato: "En eso Europa es categórica, rige el principio de eliminación del dato en un tiempo razonablemente acotado al control de la pandemia. Yo temo que en nuestra región, por cómo están desplegados los términos y condiciones, esto hoy no es una política. En algunos casos he visto plazos de 10 años. No creo que sea relevante saber tu nombre y apellido, tu documento de identidad, tu dirección postal o el día de tu nacimiento. Hay que buscar todas las técnicas para garantizar el anonimato y dejar lo realmente imprescindible".
El informe señala que el primer país de América Latina en desarrollar una corona-app fue Bolivia, el 15 de marzo, seguido de Colombia, el 16, y luego Uruguay, que lanzó una aplicación el 20 de marzo. Desde entonces se desplegaron muchos instrumentos con distintos alcances, funciones y modelos de gobernanza de datos.
El análisis deja al descubierto una realidad regional muy diversa y marca diferencias incluso a la interna de cada Estado. Varios países, sobre todo los que tienen una organización política federal, como Argentina, Brasil y México, desarrollaron más de una aplicación en los distintos Estados. También en Colombia, Paraguay, Perú, Honduras y Ecuador se desplegaron varias iniciativas regionales. "Se busca ir al nivel más local posible, y eso pone en tensión las capacidades tecnológicas de los actores más pequeños como municipios o ciudades", señala Aguerre.
La experta relevó 28 aplicaciones locales de distintos orígenes. Casi la mitad fueron creadas por iniciativa gubernamental, seis de ellas pertenecen a empresas, dos tienen un origen mixto y, en ellas, la colaboración con las bases de datos del Ministerio de Salud es clave para su funcionamiento. Luego, hay seis aplicaciones activas pero no se especifica la organización que respalda su desarrollo.
La investigación indica que el principal objetivo de estas herramientas es brindar servicios de telemedicina y reporte de síntomas, seguido por la función de informar a los ciudadanos, y luego la de autodiagnóstico. Dentro de las funcionalidades más controvertidas está la de alerta por proximidad y la de control de salida. El estudio advierte que no se conoce si los datos proporcionados por los usuarios se utilizan para elaborar otro tipo de análisis que pueda interferir con la privacidad e intimidad de las personas.
El informe expone dudas sobre la protección de los datos personales y revela carencias de políticas de eliminación.
La Unión Europea establece cuatro principios rectores para el desarrollo de aplicaciones: voluntariedad, consentimiento, resguardo de la identidad y política de eliminación de datos.
En América Latina todavía hay seis países que no cuentan con una ley de protección de datos personales y sin embargo desarrollaron sus propias corona-apps. Del estudio realizado por Aguerre surge que las políticas de eliminación de datos son específicas únicamente en tres de las 28 corona-apps relevadas. En relación a los resguardos de identidad, solamente seis tienen políticas que por defecto anonimizan o no toman datos personales, una en la que el usuario puede solicitar el resguardo de su identidad vía email, y en las restantes 21 no se aplica ninguna política o no se hace explícita. Se destaca como innovador el caso de la aplicación COVID-19 CDMX que si bien toma datos como la georreferencia, tiene un botón visible que permite borrar información y almacenamiento de datos.
La experta entiende que es necesario imponer más presión a los Estados sobre cuál es la política de almacenamiento y eliminación del dato: "En eso Europa es categórica, rige el principio de eliminación del dato en un tiempo razonablemente acotado al control de la pandemia. Yo temo que en nuestra región, por cómo están desplegados los términos y condiciones, esto hoy no es una política. En algunos casos he visto plazos de 10 años. No creo que sea relevante saber tu nombre y apellido, tu documento de identidad, tu dirección postal o el día de tu nacimiento. Hay que buscar todas las técnicas para garantizar el anonimato y dejar lo realmente imprescindible".
(Brian McGowan)
Qué tan efectivas son las corona-apps
Para que las aplicaciones sean efectivas, un buen número de ciudadanos deben plegarse a ellas. Aguerre sostiene que muchas de las iniciativas no logran sostenerse ya que si bien se hicieron esfuerzos para el desarrollo y lanzamiento, faltan recursos de los gobiernos para darles difusión y visibilidad. "No solo es el desarrollo de una aplicación y su difusión sino que hay todo un mecanismo de coordinación entre los centros sanitarios y los operadores territoriales que debe funcionar bien", señala.
La experta indica que estas aplicaciones por el momento no tienen el alcance masivo para que sean estadísticamente efectivas, y pone como ejemplo otros abordajes que han realizado algunos estados como Nueva York, donde las jurisdicciones que no llegaron a acuerdos con empresas de tecnología realizaron rastreos en forma manual, a través del reclutamiento de voluntarios, y con una efectividad mayor que con tecnología.
"Lo más importante es considerar que estas apps no van a ser la bala mágica. La tecnología como estrategia no es sostenible como instrumento único", indica Aguerre, mientras destaca el valor de las iniciativas locales: "muchos actores ven con alarma este discurso tecno-utópico de que las apps nos van a salvar, pero tampoco descalificaría los intentos por generar desarrollos con un fuerte componente local de tecnología. Es una oportunidad enorme de aprendizaje para las comunidades locales de desarrolladores, ingenieros, y una chance de poner a prueba los instrumentos legales y las instituciones".
Por otra parte, Aguerre señala que aún pasó poco tiempo para evaluar la efectividad de las apps en el control de la enfermedad: "Todavía no sabemos qué impacto tiene usarlas o no usarlas, qué diferencia hay entre un país que las usa y un país que no. Aún no es transparente ni está tan a disposición cómo se ha trabajado con estas aplicaciones en términos de la detección". Agrega, que las corona-apps tendrán sin dudas un lugar relevante a la hora de pensar estrategias ante un segundo brote, sobre todo en países que ya han manifestado que no volverán a realizar una cuarentena.
Para que las aplicaciones sean efectivas, un buen número de ciudadanos deben plegarse a ellas. Aguerre sostiene que muchas de las iniciativas no logran sostenerse ya que si bien se hicieron esfuerzos para el desarrollo y lanzamiento, faltan recursos de los gobiernos para darles difusión y visibilidad. "No solo es el desarrollo de una aplicación y su difusión sino que hay todo un mecanismo de coordinación entre los centros sanitarios y los operadores territoriales que debe funcionar bien", señala.
La experta indica que estas aplicaciones por el momento no tienen el alcance masivo para que sean estadísticamente efectivas, y pone como ejemplo otros abordajes que han realizado algunos estados como Nueva York, donde las jurisdicciones que no llegaron a acuerdos con empresas de tecnología realizaron rastreos en forma manual, a través del reclutamiento de voluntarios, y con una efectividad mayor que con tecnología.
"Lo más importante es considerar que estas apps no van a ser la bala mágica. La tecnología como estrategia no es sostenible como instrumento único", indica Aguerre, mientras destaca el valor de las iniciativas locales: "muchos actores ven con alarma este discurso tecno-utópico de que las apps nos van a salvar, pero tampoco descalificaría los intentos por generar desarrollos con un fuerte componente local de tecnología. Es una oportunidad enorme de aprendizaje para las comunidades locales de desarrolladores, ingenieros, y una chance de poner a prueba los instrumentos legales y las instituciones".
Por otra parte, Aguerre señala que aún pasó poco tiempo para evaluar la efectividad de las apps en el control de la enfermedad: "Todavía no sabemos qué impacto tiene usarlas o no usarlas, qué diferencia hay entre un país que las usa y un país que no. Aún no es transparente ni está tan a disposición cómo se ha trabajado con estas aplicaciones en términos de la detección". Agrega, que las corona-apps tendrán sin dudas un lugar relevante a la hora de pensar estrategias ante un segundo brote, sobre todo en países que ya han manifestado que no volverán a realizar una cuarentena.
(Carolina Aguerre - Amenaza Roboto)
API
Una API no es una app sino una infraestructura de base sobre la cual se pueden desarrollar aplicaciones. El nombre que utilizan las compañías que desarrollaron este sistema es "notificación de exposición". En este caso, la API está pensada para que sea utilizada exclusivamente por gobiernos, y no por otros actores
El consorcio Google-Apple
En mayo Google y Apple se unieron para lanzar la primera versión de la API de su sistema de notificación de contacto.
Aguerre marca una diferencia importante entre los desarrollos de aplicaciones locales y las denominadas APIs (interfaces de programación de aplicaciones) que funcionan conectadas a las aplicaciones oficiales de los gobiernos, como el caso del consorcio Google-Apple que acaba de anunciar su alianza con el gobierno uruguayo. "Google y Apple no ofrecen su API a ninguna autoridad que tenga un nivel menor al estadual. Están marcando una cancha. Hay que ver qué rol cumplen los sistemas nacionales de salud, versus los sistemas descentralizados", apunta Aguerre.
La tecnología de la API no accede a los contenidos de los celulares, donde está la información más sensible, sino únicamente a metadatos. Pero, operan varios niveles de identificación: uno que es el de la API Apple-Google donde no existe un acceso al individuo que usa ese celular, y otro, que es el sistema que operan las autoridades sanitarias que sí deben identificar a la persona. "La API de Google y Apple solo se justifica en términos de política pública, si se usa de forma integrada con los sistemas de salud nacionales. Esta tecnología tiene sentido siempre y cuando permita la identificación del sujeto contagiado y los posibles contactos afectados. Solo el control numérico de los expuestos no es información valiosa para que la autoridad de salud pueda contener la enfermedad", afirma Aguerre.
La experta señala que la tecnología de Google y Apple "es muy robusta en términos de anonimización de datos" y otorga mayores garantías frente a ciberataques. Aguerre sostiene que los Estados que hacen alianzas con este consorcio, reflejan sentir un respaldo: "Alguna parte de la sociedad civil de la región acompaña ese sentimiento porque hay otro actor que tiene un estándar de rendición de cuentas diferente a la que puede tener un Estado con una ONG con la que hay una relación de combate. No es la situación de Uruguay como ecosistema pero sí la de otros países".
No obstante, Aguerre se plantea algunas dudas: "No sabemos qué pasa una vez que el gobierno toma la información y se identifica a la persona. Eso hoy no está claro. Hay un riesgo muy grande de un manejo poco transparente y sobre todo, que sea para otros fines. El consorcio no está haciendo público los acuerdos que tiene con los gobiernos. Lo que se sabe es porque los propios gobiernos lo han querido manifestar. Ellos no hacen acuerdos con el usuario final sino con el Estado".
En mayo Google y Apple se unieron para lanzar la primera versión de la API de su sistema de notificación de contacto.
Aguerre marca una diferencia importante entre los desarrollos de aplicaciones locales y las denominadas APIs (interfaces de programación de aplicaciones) que funcionan conectadas a las aplicaciones oficiales de los gobiernos, como el caso del consorcio Google-Apple que acaba de anunciar su alianza con el gobierno uruguayo. "Google y Apple no ofrecen su API a ninguna autoridad que tenga un nivel menor al estadual. Están marcando una cancha. Hay que ver qué rol cumplen los sistemas nacionales de salud, versus los sistemas descentralizados", apunta Aguerre.
La tecnología de la API no accede a los contenidos de los celulares, donde está la información más sensible, sino únicamente a metadatos. Pero, operan varios niveles de identificación: uno que es el de la API Apple-Google donde no existe un acceso al individuo que usa ese celular, y otro, que es el sistema que operan las autoridades sanitarias que sí deben identificar a la persona. "La API de Google y Apple solo se justifica en términos de política pública, si se usa de forma integrada con los sistemas de salud nacionales. Esta tecnología tiene sentido siempre y cuando permita la identificación del sujeto contagiado y los posibles contactos afectados. Solo el control numérico de los expuestos no es información valiosa para que la autoridad de salud pueda contener la enfermedad", afirma Aguerre.
La experta señala que la tecnología de Google y Apple "es muy robusta en términos de anonimización de datos" y otorga mayores garantías frente a ciberataques. Aguerre sostiene que los Estados que hacen alianzas con este consorcio, reflejan sentir un respaldo: "Alguna parte de la sociedad civil de la región acompaña ese sentimiento porque hay otro actor que tiene un estándar de rendición de cuentas diferente a la que puede tener un Estado con una ONG con la que hay una relación de combate. No es la situación de Uruguay como ecosistema pero sí la de otros países".
No obstante, Aguerre se plantea algunas dudas: "No sabemos qué pasa una vez que el gobierno toma la información y se identifica a la persona. Eso hoy no está claro. Hay un riesgo muy grande de un manejo poco transparente y sobre todo, que sea para otros fines. El consorcio no está haciendo público los acuerdos que tiene con los gobiernos. Lo que se sabe es porque los propios gobiernos lo han querido manifestar. Ellos no hacen acuerdos con el usuario final sino con el Estado".
(Visuals - Unsplash)
Vaivenes, incertidumbres y dilemas
El trabajo de Aguerre concluye que las incipientes corona-apps de la región todavía presentan "vaivenes, incertidumbres y dilemas" y que reflejan problemas que no pudieron resolverse antes de la pandemia.
Además, la autora señala que el relevamiento da cuenta de una discusión pendiente en América Latina: "de dónde obtenemos nuestros datos, cómo se gestionan, quiénes son las autoridades competentes para hacerlo. Ahora nuevamente los Estados son actores, y en América Latina, el mayor concentrador de datos públicos, lo son por excelencia".
Por último, Aguerre plantea una duda a futuro: "¿Van a querer los Estados de América Latina y del mundo, después de todo esto, tener menos datos de sus ciudadanos una vez que supieron y le tomaron el gusto? Como ciudadanos hay que insistir en que esto es para la emergencia. Normalizar esto es peligroso. Claramente".
El trabajo de Aguerre concluye que las incipientes corona-apps de la región todavía presentan "vaivenes, incertidumbres y dilemas" y que reflejan problemas que no pudieron resolverse antes de la pandemia.
Además, la autora señala que el relevamiento da cuenta de una discusión pendiente en América Latina: "de dónde obtenemos nuestros datos, cómo se gestionan, quiénes son las autoridades competentes para hacerlo. Ahora nuevamente los Estados son actores, y en América Latina, el mayor concentrador de datos públicos, lo son por excelencia".
Por último, Aguerre plantea una duda a futuro: "¿Van a querer los Estados de América Latina y del mundo, después de todo esto, tener menos datos de sus ciudadanos una vez que supieron y le tomaron el gusto? Como ciudadanos hay que insistir en que esto es para la emergencia. Normalizar esto es peligroso. Claramente".
En Limpio
* El estudio relevó 28 corona-apps en América Latina de diversos orígenes. Casi la mitad fueron creadas por iniciativa del gobierno, seis por empresas privadas, dos son mixtas y hay seis aplicaciones que no especifican la organización que respalda su desarrollo.
* Estas aplicaciones, que operan con geolocalización o Bluetooth, plantean dudas sobre el resguardo de la privacidad y la eliminación de los datos de los usuarios. Solo en tres casos se especifica una política de eliminación de datos.
* En América Latina las corona-apps no han logrado aún el alcance estadístico requerido para ser efectivas en el combate de la pandemia.
* El Consorcio Google / Apple se despliega en la región con una tecnología (API) más robusta en términos de privacidad, pero se plantean dudas sobre cómo operan las autoridades sanitarias que sí deben identificar a la persona contagiada y los posibles contactos afectados.
* Estas aplicaciones, que operan con geolocalización o Bluetooth, plantean dudas sobre el resguardo de la privacidad y la eliminación de los datos de los usuarios. Solo en tres casos se especifica una política de eliminación de datos.
* En América Latina las corona-apps no han logrado aún el alcance estadístico requerido para ser efectivas en el combate de la pandemia.
* El Consorcio Google / Apple se despliega en la región con una tecnología (API) más robusta en términos de privacidad, pero se plantean dudas sobre cómo operan las autoridades sanitarias que sí deben identificar a la persona contagiada y los posibles contactos afectados.
*
El relevamiento del cual surge el informe fue realizado hasta la primera semana de mayo de 2020.
Que comience el diálogo
¡Ponete en contacto con nosotros!