Nuestros dispositivos móbiles están repletos de aplicaciones, que usamos para todo. Y estamos acostumbrados a pasar por alto las advertencias de que la app que nos queremos bajar requiere tener acceso a nuestra galería de imágenes, a nuestros contactos o ubicación. Es el equivalente a las condiciones de uso, que afirmamos haber leído aunque -casi- nunca es así. Facebook, FaceApp o TikTok ya han protagonizado polémicas relacionadas con la protección de datos pero, recientemente, el debate sobre privacidad ha ido ganando terreno en el campo del ámbito público.
A raíz de la pandemia ganó peso la disquisición sobre qué vale más: ¿el bien común, en forma de salud, o la privacidad?. La filósofa Marina Garcés decía en una entrevista a este medio, ya a principios de abril, que “el control social sería uno de los grandes ganadores de la pandemia”. Con el objetivo de frenar los contagios, la tecnología juega un papel clave en esta nueva normalidad en la que las cámaras térmicas o los rastreos están a la orden del día. Y para esto último han llegado las app.
Son muchos los países que ya han desarrollado y lanzado sus aplicaciones de rastreo de contactos para cerrar el círculo sobre los contagios de coronavirus. Estas apps son de voluntaria instalación y permiten enviar alertas a aquellos usuarios que hayan estado a menos de dos metros, durante un determinado periodo de tiempo, de una persona que haya notificado -de nuevo, voluntariamente- ser positiva en Covid-19. Esto ha despertado recelos y dudas sobre el respeto a la privacidad de estos programarios alrededor del mundo. En España no ha sido menos: la aplicación Radar Covid, que se esperaba para mediados de setiembre y ha sido lanzada a principios de esta semana, también presenta preguntas.
No necesita geolocalizar, pero activa el GPS
“Tu privacidad es nuestra prioridad”. Así reza la primera pantalla de Radar Covid, una vez se ha instalado. La aplicación informa que “funciona sin revelar tu identidad ni la de tu smartphone. No recoge tu nombre, email, geolocalización ni teléfono”. Es cierto que no pide ningún permiso a la hora de ser instalada, pero la cosa cambia cuando la app se pone en marcha. “Activa tu Bluetooth. Eso es todo lo que te pedimos”. Eso ya no es tan cierto. Y es que cuando se activa la función, aparece un pop up en la pantalla del teñléfono que informa de que la aplicación “requiere la ubicación del dispositivo”.
Según la app, la ubicación “permite que el Bluetooth detecte los dispositivos cercanos” aunque “no se comparte ni usa la ubicación del dispositivo”. Simona Levi, fundadora de Xnet, afirma que “no es cierto que el Bluetooth no funcione correctamente si se desactiva la geolocalización”. Para Levi, esto es preocupante y las dudas están justificadas, ya que “cualquier persona que vele sobre su privacidad, evita usar el GPS”.
Sin embargo, Radar Covid informa de que “puedes consultar y cambiar [el permiso de ubicación] en ‘Configuración’. Eso tampoco es cierto, ya que si se desactiva el servicio de ubicación del teléfono (que se activa automaticamente cuando la aplicación comienza a funcionar), salta una alerta que avisa que sin el GPS activado, Radar Covid “no funciona correctamente”. Aun así, “que el permiso deba ser activado no quiere decir que la app lo utilice”, explicó Carmela Troncoso, en declaraciones a Newtral.
Troncoso es la líder del equipo europeo que ha desarrollado la tecnología en la que se basa Radar Covid y el resto de aplicaciones de rastreo del continente. Se trata de una API (Interfaz de Programación de Aplicaciones) respetuosa con la privacidad y diseñada para Google y Apple. Si la app usara la geolocalización “incumpliría los términos de uso de Google. En nuestro código se puede ver claramente que se no utiliza esa información. Entendemos que Radar Covid tampoco la usa, ya que Google ha autorizado la app, pero no se puede comprobar”, aclara Troncoso a Newtral. Y eso lleva a la segunda gran duda sobre Radar Covid.
Código cerrado a la transparencia
La Secretaría de Estado para la Digitalización y la Inteligencia Artificial (SEDIA) informó reiteradamente antes del lanzamiento de la app que no requeriría datos personales, premisos de geolocalización y que sería de código abierto. Pues bien, semanas después de esas declaraciones, tras 48 horas de su lanzamiento y después de más de 500.000 descargas, Radar Covid sigue con el código cerrado a cal y canto.
Son muchas las voces que, durante la pandemia, han advertido del peligro del control social de los ciudadanos, excusado en el control del virus. Por ello, el día antes del lanzamiento de la API, el equipo se reunió con diversos grupos de civeractivistas europeos, entre ellos Xnet. “Nos dijeron que lo único importante era el bien común y nos aseguraron que el código se publicaría”, explica Simona Levi. Con el código a disposición de la ciudadanía se pueden ver las entrañas de la aplicación y realmente lo que comporta. Levi describe la API de Google como privacy friendly, pero alerta de que se ha hecho pública “poca cosa” respecto las diversas apps que han surgido de esa interfaz. “Poco y, desde luego, nada esencial para una auditoría seria”, expone.
En este sentido, la opacidad del código también despierta recelo sobre el real anonimato de los usuarios de la aplicación. “No podemos saber tu identidad ni las personas con las que has estado”, asegura la app. Esto es porque, siempre según Radar Covid, se genera una identidad ID -un código- para cada usuario, que se regenera cada determinado tiempo. Así, la aplicación no establece connexiones entre personas, sino entre códigos. Toda esta información se almacena en el dispositivo móbil y solo se usa en caso de que entre esos ID esté el de alguien que haya declaado ser positivo en Covid-19.
“Esta gestión debe ser descentralizada, siguiendo las recomendaciones europeas, para evitar crear una base de datos que quede bajo el control de gobiernos o empresas”, alerta Simona Levi, quien afirma que, al menos hasta que el código no sea abierto, no se sabrá “cómo se crean aleatoriamente las ID, ni cómo se almacenan ni se borran”. El saber cómo se generan estas identidades anónimas y hasta qué punto damos acceso a la app para almacenarlas en nuestro móbil, cobra más sentido todavía desde el momento en que ésta obliga a tener la geolocalización activada.
Un contrato a Indra oculto hasta el último momento
El contrato para el “diseño, desarrollo, piloto y evaluación de un sistema que permita el rastreo de contactos en relación a la pandemia” se adjudicó a Indra el 15 de junio de 2020. Sólo un mes antes del lanzamiento de la app y pocas semanas antes de la prueba piloto en La Gomera. Y la documentación no fue pública en el portal de contratación del Ministerio de Hacienda hasta el martes pasado. El contrato fue de 330.537,52 euros y se especificaba que el plazo de ejecución sería de 5 meses.
Pero lo interesante en el contrato no está en el cuánto, sino en el cómo. Indra se alzó con la adjudicación mediante una tramitación de emergencia y un negociado sin publicidad. Esto quiere decir que, en el contexto de emergencia pandémica (justificado mediante el artículo 16 del Real Decreto ley 7/2020 del pasado mes de marzo), la administración puede negociar directamente con los posibles contratistas sin que se les pueda exigir publicar el expediente de contratación, ni los plazos, ni los candidatos ni ningún requisito de procedimiento. Todo ello, para poder contratar a la empresa que, según la administración, pueda cumplir la tarea lo más pronto posible. En aras de actuar rápido contra el virus. Ahora bien, la tramitación de emergencia sólo afecta a los requisitos y tempos previos a la firma del contrato, por lo que éste debería haber sido público desde el día 15 de junio.
Según Simona Levi, estamos ante un problema claro de “transparencia. Nos prometen todas las garantías democráticas pero debemos poderlas verificar”. Y es que, según la de Xnet, debemos saber lo que instalamos y se queja de que si los demás grandes países eurpeos que también han basado sus apps de rastreo en la API de Google se hubieran puesto más firmes y hubieran presionado más, ahora sabríamos todos los detalles de estas aplicaciones”. Levi concluye con una afirmación pícara y contundente: “exigir transparencia no es tanto para averiguar ciertas cosas, sino para vigilar a los poderosos, porque si no nos dan transparencia es porque hay gato encerrado”.
