Artículos

Privacidad digital y Covid-19: entre una paradoja y un lugar difícil

por Florencio Travieso

La situación en la que vive actualmente el mundo es extraordinaria en todos los sentidos de la palabra: desde el estallido de la pandemia Covid-19, se han registrado más de 53 millones de casos confirmados y más de 1,3 millones de personas han muerto. Después de una ronda de cierres en la primavera y desconfinamientos en el verano, la tan temida “segunda ola” ha surgido en muchos países, sumergiéndonos nuevamente en lo desconocido.

Desde el punto de vista legal, es comprensible y justificable que en esos momentos las libertades civiles puedan ser restringidas temporalmente a través de instrumentos legales que plasmen la legalidad y proporcionalidad de la medida (autorización legal, autoridad competente y duración en el tiempo o alcance de la decisión, razonabilidad de los medios), el respeto de los derechos constitucionales (privacidad de los usuarios) junto con los mecanismos para proporcionar garantías públicas (controladores de datos, autoridades independientes o vigilantes).

Este artículo reflexiona sobre las medidas que los países han tomado para monitorear a sus residentes a fin de rastrear efectivamente los casos de Covid-19. La búsqueda de un equilibrio entre la expresión de la política pública y el respeto de las libertades civiles básicas es, tradicionalmente, una cuestión esencial detrás de una compleja situación jurídica.

La tentación de manejar mal la restricción de derechos

Algunas naciones se han centrado lo suficiente en el rastreo de contactos y se han utilizado métodos que serían muy criticados en los países occidentales. Por ejemplo, en Corea del Sur, las autoridades utilizaron datos de ubicación de teléfonos móviles, transacciones con tarjetas de crédito y metraje de CCTV para identificar a personas potencialmente infectadas. Como señaló Jung Ki-suck, ex director de los Centros para el Control y la Prevención de Enfermedades (CDC), “la gente [en Corea del Sur] está de acuerdo con que se infrinja su privacidad por el interés público en general”.

China es otro ejemplo muy citado: las aplicaciones del país, que son obligatorias, utilizan reconocimiento facial, datos biométricos, rastreo de ubicación y otros datos para generar códigos de color de estado de salud. Un análisis de The New York Times de una de las aplicaciones indicó que parecía compartir información con las autoridades policiales. Incluso la base sobre la que se asignan los códigos de color no está clara, y aunque se ha criticado la falta de transparencia, las autoridades chinas no son conocidas por su apertura.

El 4 de mayo, el gobierno húngaro adoptó un decreto, 179/2020, en el que se restringían la protección de datos y los derechos de acceso a la información durante el “estado de peligro”. Se suspendió el ejercicio de los derechos esenciales en virtud de los artículos 15 a 22 del Reglamento General de Protección de Datos (GDPR) de la Unión Europea – derecho de acceso, rectificación, supresión, restricción de procesamiento, etc. El decreto también autorizó al primer ministro a pronunciarse sobre asuntos legislativos sin definir una fecha de finalización. Después de presiones, las autoridades finalmente levantaron las restricciones el 16 de junio, el mismo día en que una ley complementaria otorgó al ejecutivo la facultad de restringir la libertad de circulación o reunión durante seis meses.

Sin embargo, las restricciones a los derechos de protección de datos solo deben ser de naturaleza legislativa (emitidas por los parlamentos) y no decididas unilateralmente por el poder ejecutivo (un decreto). Esta naturaleza jurídica de la restricción está protegida por el artículo 52 (1) de la Carta de los Derechos Fundamentales de la Unión Europea, el artículo 8 (2) del Convenio Europeo de Derechos Humanos y, más recientemente, el artículo 23 del RGPD.

Las restricciones de ciertos derechos, desde una perspectiva legal, deben ser:

  • de carácter excepcional.
  • impuesto por una duración limitada en el tiempo (temporal)
  • no se aplicará retroactivamente
  • sujeto a condiciones claras y definidas (criterios de “previsibilidad”).

Francia desarrolló una aplicación, StopCovid, basada en tecnología Bluetooth – y adopción voluntaria – que pretendía ser menos intrusiva. Fue lanzado por primera vez el 2 de junio, pero fue descargado por menos del 5% de la población francesa. En comparación, la aplicación equivalente del Reino Unido fue descargada por el 20% de la población y la aplicación irlandesa por el 35%. La baja tasa de adopción de StopCovid significaba que no solo la aplicación era ineficiente, sino que también revelaba cierta aprensión por parte de los usuarios franceses. De hecho, incluso antes del lanzamiento de la aplicación, el entonces ministro del Interior, Christophe Castaner, afirmó que el rastreo digital “no formaba parte de la cultura francesa”.

El 22 de octubre, se lanzó una versión actualizada de la aplicación, ahora llamada TousAntiCovid (United Against Covid). Se descargó más de 4,5 millones de veces durante la última semana de octubre, una tasa de adopción mejor que la primera versión. Parte de la razón podría ser que se puede apagar, facilita la creación de documentos que permiten viajar y proporciona información y acceso a instalaciones médicas y de pruebas. Todavía es demasiado pronto para determinar su eficacia.

Epidemias anteriores

¿Cuánto ha aprendido la humanidad de los eventos pasados? Se pueden revisar algunos ejemplos algo recientes: la pandemia de influenza H1N1 en 2009 y el brote de Ébola en 2014.

Durante el brote de ébola, se discutieron cuestiones y problemas similares, incluido el rastreo de contactos y el monitoreo de la comunidad. (Una de las lecciones aprendidas fue que las medidas habían tomado demasiado tiempo, algo que ahora nos resulta familiar a todos). Un estudio de 2015 de Yaneer Bar-Yam, Vincent Wong y Daniel Cooney) mostró que el monitoreo comunitario, es decir, un personas y tratarlas a todas como si hubieran estado en contacto con alguien infectado, fue más efectivo que el rastreo de contactos.

En las primeras etapas de la pandemia de Covid-19, las pruebas no estaban disponibles fácilmente, de ahí los bloqueos a nivel nacional; posteriormente, se han desarrollado capacidades de prueba y se ha hecho hincapié en el rastreo y el aislamiento de contactos.

Autores como María Lucrecia Rovaletti también han analizado el rastreo de contactos en casos de VIH y el uso y difusión de información sobre pacientes en bases de datos. La discusión giró en torno a la importancia de determinar el carácter personal y sensible de la información y restringir el acceso a las estadísticas y la investigación médica únicamente.

Las aplicaciones de rastreo de contactos no son una solución mágica para la propagación de Covid-19. Están en juego múltiples cuestiones, desde la privacidad hasta las opciones tecnológicas y la política y la salud pública. Los sistemas se dividen entre centralizados y descentralizados, y se basan en un uso voluntario u obligatorio. Como se vio, países como Corea del Sur desplegaron tanto un comportamiento activo del estado que interviene en la cadena de suministro de suministros médicos, como una estrategia tecnológica que en realidad invadió la privacidad de los usuarios.

Los modelos europeos, donde los ciudadanos son más conscientes de sus derechos de privacidad, se han basado en la descarga voluntaria de las aplicaciones y las restricciones legales de GDPR. En el aspecto tecnológico, Google y Apple desarrollaron un sistema descentralizado que usaba servidores para recopilar información sobre alertas de exposición. Pero este sistema tiene un costo para la privacidad de los usuarios, ya que estas empresas tienen la clave de los datos obtenidos. Es cierto que está encriptado, anonimizado y limitado por Bluetooth, pero con la tecnología actual, la ingeniería inversa de los datos de origen no sería una tarea particularmente difícil.

Los sistemas centralizados como TousAntiCovid de Francia mantienen la información en el teléfono de los usuarios. Utiliza pseudoidentificadores temporales (cadena anónima de letras y números) para recopilar información, utilizando un protocolo llamado ROBERT (protocolo de rastreo de proximidad robusto y que preserva la privacidad), desarrollado por los centros de investigación tecnológica Inria (Francia) y Fraunhofer AISEC (Alemania). . Los datos solo serán analizados por el gobierno en caso de un diagnóstico de Covid-19, y solo cuando se analicen, el usuario haya dado su consentimiento explícito. Se compartirá un diagnóstico positivo de un posible contacto con los usuarios sin incluir ningún dato personal. Los datos almacenados en el teléfono y el servidor se eliminarán después de 14 días.

¿Cuánto tiempo es “temporal”?

Al abordar situaciones públicas urgentes, los estados a veces pueden decidir facultar (temporalmente) al poder ejecutivo para acelerar la regulación. Implica colocar al parlamento (congreso nacional) en un segundo marco, generalmente delegando esos poderes en, nuevamente, el presidente o el primer ministro.

Cuánto tiempo es “temporal” es la pregunta clave. El riesgo hoy es que la urgencia se haya convertido en normalidad, de la misma manera que trabajar desde casa, usar mascarillas y mantener las distancias físicas se ha convertido en la regla. Son la nueva normalidad. La razón por la que un estado comienza a hacer retroceder esos poderes temporales es clara y vaga. Claro porque esas medidas restrictivas se detendrán una vez que el virus deje de ser una amenaza para la salud pública. Y en esto radica la vaguedad del concepto. El virus podría persistir durante años y, por tanto, las medidas “temporales” podrían permanecer en vigor durante mucho tiempo.

Una vez que nosotros, como sociedad, hayamos aceptado tales infracciones en nuestra privacidad y libertades civiles, ¿cuándo se levantarán? Las medidas de emergencia, una vez consideradas temporales, pueden convertirse fácilmente en la norma, parte del escenario legal habitual en un país. Bajo ciertos regímenes o países, la tentación de utilizar estos métodos por razones distintas al Covid-19 es enorme.

¿Qué pueden hacer los estados con los datos recopilados?

El primer (y principal) objetivo de recopilar datos de los usuarios es rastrear los contactos sociales y detener el contagio. Esto permitiría a los estados hacer cumplir medidas como cierres y cuarentenas al mismo tiempo que se monitorea a las poblaciones (por razones de salud pública). Pero al acceder a estos datos, también podemos extraer información sobre las personas por diferentes motivos: ingresos, opiniones políticas e incluso orientaciones sexuales.

Desde la perspectiva de los derechos humanos, si un país decide restringir los derechos de los ciudadanos durante una situación de emergencia, las medidas deben ser legales, necesarias y proporcionadas. Un estado de emergencia basado en la salud pública debe estar limitado en el tiempo y ninguna medida puede tener un efecto colateral indirecto sobre poblaciones específicas (minorías o grupos marginados, por ejemplo). La Unión Estadounidense por las Libertades Civiles (ACLU) ha declarado que “si las medidas tienen un límite de tiempo y tienen una base racional en la ciencia”, pueden ser aceptables.

En países como Israel, Armenia, Rusia y Ecuador, los gobiernos tienen acceso a las empresas de telecomunicaciones o información satelital que les permite identificar a las personas infectadas y monitorear el autoaislamiento o cuarentenas.

Rastreo digital de contactos, privacidad y libertades civiles

El uso de algoritmos e inteligencia artificial puede permitir el procesamiento de suficientes datos de los usuarios para predecir la propagación de la pandemia. En principio, esto es útil, ya que las sociedades pueden monitorear la situación casi en tiempo real y tomar medidas rápidas (políticas de salud) para adaptarse y ajustarse.

Una pandemia global podría, en principio, convencer a las personas de que acepten cierto nivel de restricción en sus libertades civiles que podría implicar un régimen de vigilancia. Debe tener lugar una compensación lógica entre las libertades civiles, la seguridad, la salud pública y la evitación de riesgos, y estas restricciones pueden tomar la forma de aplicaciones para teléfonos inteligentes.

En el centro de esta discusión es el compromiso entre la privacidad individual y la necesidad de proteger la salud pública. Se promulgan restricciones a corto plazo de la libertad individual para proteger los intereses a largo plazo de las comunidades. Estas medidas restrictivas incluyen, en nuestra opinión, la semilla de un potencial abuso.

La nueva aplicación de rastreo de contactos de Francia TousAntiCovid
La nueva aplicación de rastreo de contactos de Francia ‘TousAntiCovid reemplazó a la aplicación anterior, StopCovid, y no se consideró un éxito. El cambio se produjo cuando el gobierno francés impuso medidas de toque de queda para frenar la propagación del virus. Ludovic Marin / AFP

Un ejemplo digno de mención de medidas de vigilancia masiva ha sido la directiva de la UE 2006/24 /EC (15 de marzo de 2006) sobre la retención de datos por redes y servicios de comunicaciones electrónicas. Promulgada después de los atentados de Madrid (2004) y Londres (2005), requirió que los estados miembros adoptaran medidas para garantizar que se retengan los datos potencialmente relevantes. Sin embargo, en 2014 la medida fue anulada por el Tribunal de Justicia de la Unión Europea (TJUE). Declaró que la directiva implicaba

“Una injerencia amplia y particularmente grave en los derechos fundamentales al respeto de la vida privada ya la protección de los datos personales, sin que dicha injerencia se limite a lo estrictamente necesario”.

El ejemplo de Corea del Sur, que recopiló, y presumiblemente sigue recopilando, una cantidad casi ilimitada de datos sobre sus ciudadanos, exige una enorme responsabilidad en la forma en que se procesan y divulgan: las políticas deben garantizar la privacidad, regular la forma en que se analizan los datos, reducir los riesgos de fugas y garantizar su destrucción una vez finalizada la pandemia. China ha recopilado aún más datos, pero dada la naturaleza del gobierno del país, su destrucción parece poco probable.

Acceso a datos, poder de procesamiento y tutor

En este sentido, no se puede imaginar una solución unilateral; debe hacerse en coordinación con múltiples jugadores. Como dijo Georgios Petropoulos, investigador en Economía Digital del MIT, las empresas de telecomunicaciones tienen acceso a los datos de las personas y la industria de alta tecnología tiene las herramientas para procesarlos, y el estado debe supervisar cómo se procesan y respetan.

Como medida de seguridad, las aplicaciones telefónicas de rastreo de contactos deben ser voluntarias, garantizando el anonimato de los usuarios, los datos recopilados solo deben ser necesarios para el rastreo, la retención de datos debe limitarse a las medidas reales y el acceso a los datos privilegiados solo debe brindarse a personas específicas. Estricidad que solemos encontrar en el respeto a la privacidad de los datos sanitarios de los usuarios individuales.

A medida que la crisis continúa desarrollándose, temas como las libertades civiles y la privacidad se han colocado en el centro de la escena. En una entrevista de abril de 2020 para The New Yorker , la comisionada europea Margrethe Vestager afirmó que hemos llegado a un punto en el que podríamos confiar nuestra privacidad a la tecnología que usamos en nuestra vida diaria. Sin embargo, la forma en que la sociedad en su conjunto reacciona a esta pregunta puede llevar más tiempo.

The Conversation