Los smartphones son un instrumento clave en la guerra contra la Covid-19 (nuevo coronavirus). Al extenderse la enfermedad, los gobiernos de todo el mundo han recurrido a los datos de ubicación de los dispositivos para hacerse una idea del paradero actual del virus y pistas sobre la dirección que podría seguir en el futuro.

Pero, aunque dicha búsqueda de información se enmarque en un intento de salvar vidas mediante el rastreo de contactos y el modelado de movimientos, plantea algunas preguntas espinosas sobre la privacidad de los datos, el consentimiento del usuario y el retorno a las normas anteriores una vez finalice la crisis.

Cómo funciona

Varios países usan ya los datos de localización generados por los smartphones para frenar la propagación de la Covid-19 y colaboran con operadoras de telefonía móvil y grandes empresas tecnológicas como Google y Facebook en la recopilación de datos generalizados que permitan rastrear las tendencias de propagación.

La asociación GSMA reconoce dicho trabajo y señala que la propia asociación y sus miembros “hacen todo lo posible para contribuir a la lucha mundial contra la Covid-19”. Explica que está colaborando con las operadoras en Europa para ayudar a la Comisión Europea (CE) a crear un modelo de propagación del virus y comprender dónde se necesitan suministros médicos.

La GSMA subraya que “las operadoras móviles se comprometen a proteger la privacidad y los derechos de los ciudadanos europeos” y que “se asegurarán de que toda asistencia que proporcionen a la CE frente a la crisis de la Covid-19 se ajuste a la legislación vigente sobre protección de datos”.

Añade que todos los datos que las operadoras se avengan a compartir tendrán que ser “agregados y anónimos, con el objetivo de informar a la Comisión sobre las pautas generales de movimiento, sin identificar a usuarios individuales”.

No obstante, parece que ciertas naciones actúan con mayor agresividad y se sirven de los datos para hacer cumplir las medidas de cuarentena y llevar a cabo un rastreo amplio de contactos.

¿Cuál es el problema?

Las polémicas sobre el uso de datos de localización de smartphones no son una novedad, puesto que las operadoras estadounidenses y Facebook se han enfrentado hace poco a reacciones adversas por haber presuntamente recopilado y compartido datos de los usuarios.

En el origen de dichos debates se hallan cuestiones de consentimiento y control. ¿Saben los usuarios que se está recogiendo información sobre ellos? ¿Lo han autorizado expresamente? ¿Y tienen medios para impedir que se recopilen datos sobre su persona?

Otras preguntas clave tienen que ver con el almacenamiento y el acceso. ¿Durante cuánto tiempo se conservarán los datos recopilados para la lucha contra la Covid-19? ¿Quién podrá acceder a ellos? ¿De acuerdo con qué normas se compartirán?

Aunque muchos países tengan leyes sobre privacidad de datos, Privacy International, una asociación para la defensa de los derechos de privacidad con sede en el Reino Unido, señala en un comunicado de prensa que numerosas actuaciones gubernamentales para el rastreo de localizaciones se llevan a cabo “sobre la base de poderes extraordinarios, cuya vigencia debería limitarse al período de emergencia”, mientras que otros recurren a exenciones legales para permitir compartir datos.

La entidad destaca que dichas medidas extraordinarias requieren criterios estrictos de salvaguardia y supervisión, y advierte que si las protecciones y estrategias de mitigación no se adoptan desde el principio “se corre el riesgo de que se establezcan sistemas no regulados ni sujetos a responsabilidad, y de que estos no funcionen tan solo durante el período en los que serán necesarios para hacer frente a la Covid-19, sino que se utilicen luego como fundamento para sistemas de vigilancia a gran escala y explotación de datos”.

La Electronic Frontier Foundation (EFF, Fundación para la Frontera Electrónica), una asociación sin ánimo de lucro para la defensa de los derechos digitales con sede en Estados Unidos, insiste en que los gobiernos deberían demostrar que las capacidades especiales de rastreo que utilizan ahora son “eficaces, fundamentadas en la ciencia, necesarias y proporcionadas”. Y al igual que Privacy International, afirma que tales poderes deberían estar sujetos a “estrictas salvaguardias y auditorías” y “expirar cuando la crisis termine”.

Wojciech Wiewiorowski, máximo responsable del Supervisor Europeo de Protección de Datos -un organismo independiente de control- se ha hecho eco de dichas preocupaciones y ha pedido a todos los gobiernos de la UE que centralicen el seguimiento de la Covid-19 mediante una única aplicación móvil. Afirma que tal medida contribuiría a garantizar el respeto a las regulaciones de privacidad de datos.

Si bien reconoce que el intercambio de datos es necesario temporalmente para combatir el virus, advierte de que “las grandes recopilaciones de datos implican una gran responsabilidad” y destaca la necesidad de asegurar que el uso de los datos personales se reduzca tras la pandemia.

Mientras tanto, la preocupación se centra en el manejo de los datos que se están utilizando para contribuir a resolver la crisis.

Stacey Gray, asesora sénior del Future of Privacy Forum (Foro sobre el Futuro de la Privacidad), ha declarado a Mobile World Live (MWL) que los datos de localización “pueden adoptar muchas formas distintas según quién disponga de ellos, cuán precisos y exactos sean, y en qué medida permitan la identificación”.

Explica que, si se anonimizan de verdad y no se utilizan para representar tendencias individuales, sino de modo agregado, pueden resultar útiles sin poner en peligro la privacidad del usuario. Pero señala que los datos vinculados a un dispositivo, o a un elemento identificador de otro tipo, “facilitan mucho la reidentificación de una persona a partir de las características del aparato”.

Albert Gidari, director de privacidad del Centro para Internet y Sociedad de la Facultad de Derecho de la Universidad de Stanford, está de acuerdo en que datos anonimizados y datos agregados no son lo mismo, pero afirma que los datos agregados provenientes de torres de telecomunicaciones como los que podrían proporcionar las operadoras de telefonía móvil, “si bien no son totalmente anónimos, plantean un riesgo muy bajo para la privacidad”.

Los antecedentes sí importan

Derrotar a la Covid-19 es una obvia prioridad en todo el planeta, y no cabe duda de que las soluciones tempranas salvarán innumerables vidas. De hecho, las operadoras de telefonía móvil y las grandes firmas tecnológicas se merecen todos los elogios por haber actuado con tanta celeridad para proporcionar asistencia.

Pero los defensores de la privacidad señalan que el motivo por el que exigen prudencia es que la crisis podría sentar precedentes que resulten dañinos en el futuro. Como afirma Adam Schwartz, abogado de la EFF, en una entrada de blog, “una vez se abre la caja de Pandora, es muy difícil volver a cerrarla”.

Gidari ha explicado a MWL que la creación de infraestructuras para controlar la pandemia “suscita miedos por la continuidad que puedan tener en el futuro. ¿Podría suceder que los datos recopilados se usaran en “organismos no dedicados a la salud pública, que se privara de sus derechos a personas y comunidades, que los individuos estuvieran sujetos a identificaciones y padecieran como consecuencia de sesgos, prejuicios u otras reacciones negativas”?

Varias empresas y gobiernos ya han adoptado medidas para establecer salvaguardias.

Así, por ejemplo, Google explica que los informes de movilidad que proporciona se basan en datos anónimos, protegidos por una tecnología de privacidad diferencial que añade ruido artificial a los datos para enmascarar todavía más las identidades individuales.

Solo se obtienen datos de usuarios que han activado el historial de localización de su cuenta de Google, que según la firma está desactivado por omisión, y que el usuario puede eliminar en cualquier momento.

Facebook explica que su herramienta de rastreo del virus solo muestra información referida a ciudades o provincias, y no patrones de movimiento individuales, a fin de reducir el riesgo de que los datos se usen para identificar a una sola persona. Añade que los datos tan solo se proporcionan a “organizaciones específicas que los utilizarán con fines específicos”.

La CE ha publicado recientemente unas directrices que prescriben el uso de “datos de localización móvil anonimizados y agregados”, y añade que la información recogida con finalidades de seguimiento debe se eliminada al cabo de 90 días, o tan pronto como la pandemia esté bajo control.

Tanto Gray como Gidari entienden que la medida adoptada por la CE es un buen paso, pero señalan la falta de normas similares en Estados Unidos.

Gray indica que, si bien Estados Unidos dispone de leyes sobre recopilación de datos de usuarios por parte de las operadoras, dicho país “no cuenta con salvaguardias legales significativas sobre este tipo de datos cuando provienen de aplicaciones y de la mayoría de firmas tecnológicas”.

Gidari añade que ni la Comisión Federal de Comunicaciones (FCC en sus siglas inglesas) ni la Comisión Federal de Comercio (FTC) trabajan en la elaboración de directrices similares a las de la CE, si bien reconoce que el Departamento de Salud y Servicios Humanos ha declarado que los datos que se recojan se utilizarán tan solo en respuesta a la emergencia.

Concluye que, “sin duda”, la crisis provocará la aparición de nuevas normativas de privacidad, porque el análisis a posteriori de la aportación tecnológica a las organizaciones de salud pública arrojará luz sobre las necesidades de protección de la privacidad y la seguridad.

“Pienso que esto ha sido una llamada de atención muy necesaria sobre el gran volumen de datos que obra en manos de la administración.”

Las opiniones editoriales expresadas en este artículo son exclusivas de la autora y no reflejan necesariamente los puntos de vista de la GSMA, sus Miembros o Miembros Asociados.