Los gigantes tecnológicos Apple y Google se han unido para desarrollar una herramienta interoperable de rastreo de contactos que ayudará a las personas a determinar si han estado en contacto con alguien infectado con COVID-19.
Como parte de esta nueva iniciativa, se espera que las empresas lancen una API que las agencias públicas puedan integrar en sus aplicaciones. La próxima iteración será una plataforma integrada a nivel de sistema que utiliza balizas Bluetooth de baja energía (BLE) para permitir el rastreo de contactos de forma voluntaria.
Se espera que las API estén disponibles a mediados de mayo para Android e iOS, con el sistema de seguimiento de contactos más amplio configurado para implementarse «en los próximos meses».
«La privacidad, la transparencia y el consentimiento son de suma importancia en este esfuerzo, y esperamos construir esta funcionalidad en consulta con las partes interesadas», dijeron las compañías.
La rara colaboración se produce cuando los gobiernos de todo el mundo recurren cada vez más a tecnologías como el seguimiento de teléfonos y el reconocimiento facial para combatir el virus y contener el brote de coronavirus.
Apple también ha lanzado una nueva página web que anuncia la función, que detalla las especificaciones preliminares de Bluetooth, las especificaciones de criptografía y el marco API en el que se basará el sistema de seguimiento de contactos.
Uso cero de datos de ubicación
A diferencia de las aplicaciones existentes desarrolladas por diferentes países que utilizan el seguimiento de la ubicación en tiempo real para hacer cumplir las reglas de cuarentena, el sistema propuesto no implica el seguimiento de las ubicaciones de los usuarios u otros datos de identificación.
En cambio, aprovecha las balizas BLE para identificar si una persona ha estado cerca de otras personas que dieron positivo en la prueba de COVID-19, lo que garantiza que la privacidad personal no se vea comprometida.
Tanto Apple como Google han hecho hincapié en que los usuarios tendrán que dar su consentimiento explícito para que funcione. Esto también significa que para que sea efectivo, millones de personas tendrían que optar por participar, lo que requiere que Apple y Google construyan protecciones de privacidad adecuadas antes de que se lance a las masas.
Según un libro blanco publicado por Google, así es como podría funcionar un sistema de este tipo:
- Cuando dos personas entran en contacto cercano durante un cierto período de tiempo (digamos 10 minutos o más), sus teléfonos intercambiarán balizas de identificación anónimas. Los identificadores rotan cada 15 minutos y no tienen información de identificación personal.
- Si uno de los dos es diagnosticado positivamente por COVID-19, esa persona infectada puede ingresar el resultado de la prueba en una aplicación de una autoridad de salud pública que tenga integrada la API mencionada.
- Luego, la persona infectada puede dar su consentimiento para cargar los últimos 14 días de sus balizas de transmisión al sistema.
- Cualquier otra persona que haya estado cerca de la persona que dio positivo será alertada si existe una baliza en el dispositivo que coincida con las balizas de transmisión de todas las personas que dieron positivo por COVID-19 en la región.
- Luego, la aplicación proporciona al individuo información sobre los próximos pasos.
“Este modelo deposita menos confianza en una autoridad central, pero crea nuevos riesgos para los usuarios que comparten su estado de infección que deben ser mitigados o aceptados”, dijo Electronic Frontier Foundation (EFF) sobre la propuesta.
«La transparencia total sobre cómo funcionan las aplicaciones y las API, incluido el código fuente abierto, es necesaria para que las personas entiendan y den su consentimiento informado a los riesgos», agregó.
El sistema de Apple y Google está en la línea de TraceTogether, una aplicación desarrollada por funcionarios del gobierno de Singapur para permitir el rastreo de contactos a través de Bluetooth.
La aplicación, ahora de código abierto, utiliza lecturas del indicador de intensidad de señal relativa (RSSI) de Bluetooth entre dispositivos para determinar la proximidad y la duración de un encuentro entre dos personas. Los registros de encuentros se almacenan en sus respectivos teléfonos durante 21 días.
Las aplicaciones como COVID-Watch y Private Kit: Safe Paths de MIT también se basan en una combinación de datos de GPS y Bluetooth para rastrear a las personas que se han cruzado con otras durante un período continuo de 14 días.
Eso no es todo. Un grupo de académicos de instituciones de investigación europeas ha propuesto un sistema descentralizado para el rastreo de contactos de COVID-19 basado en Bluetooth, denominado «Rastreo de proximidad de preservación de la privacidad descentralizado» (DP-PPT), que tiene como objetivo «minimizar los riesgos de privacidad y seguridad para las personas y comunidades, y garantizar el más alto nivel de protección de datos.”
Preocupaciones de privacidad con la vigilancia pandémica
La necesidad de identificar a las personas infectadas y mantener las cuarentenas ha llevado a los gobiernos de todo el mundo a promulgar duras medidas de vigilancia. Hasta el momento, más de 28 países han adoptado una combinación de seguimiento de teléfonos inteligentes, pulseras de seguimiento electrónico y otras medidas que requieren que los ciudadanos envíen una foto de sí mismos en casa dentro de los 20 minutos o se enfrentarán a una multa.
En respuesta a las preocupaciones de privacidad planteadas por el Supervisor Europeo de Protección de Datos, la Unión Europea dijo que adoptaría un «enfoque paneuropeo» para usar aplicaciones móviles para rastrear la propagación del coronavirus e incluiría un esquema común para usar datos agregados anónimos para rastrear a las personas que entran en contacto con los infectados y monitorear a los que están en cuarentena.
A principios de esta semana, la Unión Estadounidense por las Libertades Civiles (ACLU, por sus siglas en inglés) expresó su preocupación sobre el seguimiento de los usuarios con datos telefónicos agregados, argumentando que cualquier sistema debería tener un alcance limitado y evitar cualquier posible invasión de la privacidad y abuso.
Aunque países como Corea del Sur han podido minimizar el brote a través de un amplio programa de rastreo de contactos, también plantea dudas sobre el consentimiento, como si los usuarios pueden optar por no participar antes de que se recopilen y almacenen dichos datos, sin mencionar el peligro potencial de convertir hacer la vista gorda a sus riesgos de privacidad.
Específicamente, ¿cuánto tiempo durará la recopilación de datos y cuándo se eliminarán? También es crucial asegurarse de que los datos anónimos recopilados no puedan ser sometidos a ingeniería inversa para rastrear a las personas.
El experto en seguridad cibernética Bruce Schneier dijo que cualquier iniciativa de recopilación de datos y monitoreo digital «debe estar científicamente justificada y los expertos en salud pública deben considerarla necesaria con fines de contención. Y que el procesamiento de datos debe ser proporcional a la necesidad».
Al instar a la necesidad de proteger las libertades civiles durante la crisis, la EFF dijo que se justifica eludir ciertas protecciones de privacidad, pero advirtió que «cualquier medida extraordinaria utilizada para manejar una crisis específica no debe convertirse en un elemento permanente en el panorama de las intrusiones del gobierno en la vida diaria».
Dicho de otra manera, estos programas no deberían allanar el camino para la extralimitación del gobierno o los sistemas de monitoreo draconianos que continuarán vivos incluso después de que el brote actual haya desaparecido. Incluir fuertes garantías de privacidad es el medio adecuado para asegurarse de que las medidas de emergencia no se conviertan en la nueva normalidad.
Sin duda, es una pendiente resbaladiza. En la carrera por detener su propagación y controlar la situación, movilizar un aparato de vigilancia pandémica para ayudar a contener el brote requiere un equilibrio adecuado entre la transparencia, la satisfacción de las necesidades de salud pública y los derechos civiles.
