¿En qué fallamos con Radar COVID?

Nos preguntamos por qué la aplicación Radar Covid no contribuye significativamente al rastreo de contactos. En los medios y la opinión se avanzan opiniones diversas que deberán ser verificadas y acreditadas en su caso.  De una parte, es evidente la baja confianza de la aplicación de una población que no acaba de instalarla. De otra, se señalan las dificultades en la obtención y gestión del código de autodeclaración en un contexto con 17 sistemas sanitarios distintos con sus 17 sistemas de información. Desde un punto de vista más sofisticado se ha reflexionado sobre la disponibilidad de su código fuente, de los riesgos de indexación o trazabilidad por medios que ya se venían empleando para los estudios de aforo y movilidad en grandes superficies, o de la necesaria integración con sistemas operativos en manos de compañías.

Lo significativo en este debate es que ahora la aplicación, “es la aplicación del Gobierno”. Ya saben, la culpa es del otro si algo sale mal. Al parecer los impulsores y defensores de la aplicación, los expertos opinadores en privacidad, las organizaciones que representan intereses colectivos, o las autoridades de protección de datos, carecen de responsabilidad alguna. Y, sin embargo, cuando algo falla, es nuestro deber analizar nuestra propia contribución. Hay que hacerse preguntas:

¿Demandaba la población una aplicación nueva?  

En nuestra mente “todo es perfecto”. En nuestro mundo ideal, y por supuesto regido por una ética intachable, la población exigía una solución anónima ya que se sentía aterrorizada, preocupada por su privacidad. Por cierto, se trataba de la misma población que compartía en WhatsApp videos de sus niñas y niños, y socializaba su experiencia COVID-19 en sus redes sociales.

¿Es posible que la población tomase conciencia a partir de nuestra opinión? Es un hecho que tras la puesta en cuestionamiento en sendos artículos de la aplicación de la Comunidad de Madrid por reputados expertos empezaron a correr bulos en las redes. Y, de hecho, uno de los artículos fue rectificado y las opiniones de tales expertos retirados.   Pero a esas alturas la población asumió que las aplicaciones sanitarias no eran confiables, el Estado un Leviatán peligroso, y sus datos eran objeto de comercio. ¿Es posible entonces que el primer problema para Radar Corona Virus derive de la desconfianza que se sembró en aquella época?

¿Por qué había que desarrollar Radar Covid?

 En opinión de reputados expertos que acaparan los titulares de la prensa internacional: ni siquiera hacía falta, en su opinión “las medidas más efectivas no parecen pasar por ninguna app”.  La apuesta era hacer pruebas a toda la población.  En cualquier caso, en esta y otras opiniones subrayaban la importancia, que, en caso de desarrollar aplicaciones móviles, estas debían reunir ciertos requisitos:

→ No ser centralizadas.

Esto es, o bien no podían ser desarrolladas o implantadas por el Estado, o en caso de hacerlo, el Gobierno no debía tener acceso o control sobre los datos.

→ Funcionar de modo anónimo.

→  Ser capaz de detectar contactos próximos en un rango de uno a dos metros y con una duración superior a 15 minutos.

→  Depender de la propia voluntad del individuo en su instalación y uso.

¿Era realmente peligroso tratar los datos de geolocalización?

En opinión de las autoridades de protección de datos sí. El Comité Europeo de Protección de Datos se manifestó expresamente contrario en una declaración y en las Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. No muy lejana es la posición de la Agencia Española de Protección de Datos la Guía sobre  “El uso de las tecnologías en la lucha contra el COVID19” donde se destacan todos los riesgos posibles, pero ni una sola respuesta, ni una sola medida de gobernanza del riesgo.

¿Consultamos a los sistemas de salud?

No cabe duda que en el desarrollo de estas aplicaciones se habrá consultado a expertos en salud pública. Pero en el debate público no parecen haber intervenido. Tal vez de haberlo hecho hubiéramos descubierto algunos elementos interesantes:

→ Casi todos los sistemas, por no decir todos, contaban con una aplicación previa. Usualmente estas aplicaciones incorporaban gestores de solicitud de cita previa y consejos de salud.

→ Los primeros módulos instalados con motivo de COVID fueron usualmente auto-test guiados con la posibilidad de autodeclaración de potenciales positivos. Nótese que en sí mismas, estas aplicaciones desde el punto de vista arriba expresado, podían incurrir en los mismos vicios de lesa privacidad a los que arriba nos referíamos.

Ahora bien, ¿para qué servían estas autodeclaraciones? Básicamente desintermediaban la atención. El paciente ya no pasaba por el 112, es decir se ahorraba en gestión y se evitaba la saturación del servicio. El dato se incorporaba a la historia clínica y permitía una atención directa telefónica por un facultativo especializado. Ello, al menos en teoría implicaba decisiones clínicas más ajustadas y eficientes.

→ Desde el punto de vista de las condiciones de uso estas aplicaciones:

1) Son unipersonales y se vinculan al número de la tarjeta sanitaria del usuario en el sistema.

2) Incorporan procesos de doble validación para servicios comprometidos.

3) Han debido ser desarrollados cumpliendo el Esquema Nacional de Seguridad y, por tanto, las Guías del CCN, y/o las recomendaciones de ENISA.

4) Consecuencia de lo anterior:

– El perfil de usuario se limita al personal facultativo con competencia.

– Existe una trazabilidad absoluta, quién, qué, cuándo y cómo, todo lo que ocurre queda registrado en el log de la historia clínica.

Parece que la realidad sea distinta de ese apocalíptico descontrol, de ese Gran Hermano, que vaticinamos los expertos.

¿Y qué sucedió con tales aplicaciones?

La Agencia Española de Protección de Datos anunció, y al parecer ejecutó inspecciones de oficio, incluida Radar Covid de cuyo resultado poco o nada sabemos. ¿Si el balance fuera positivo y se publicará mejoraría la confiabilidad?

¿Ofrecía alguna seguridad por ejemplo el rastreo de móviles mediante la colaboración de las compañías de telecomunicaciones?

Este rastreo planteaba dos problemas. Uno era de predeterminación normativa. No existe una habilitación específica en la Directiva 2002/58/CE, ni en la ley española. Sin embargo, es significativo señalar que tampoco existía una predeterminación normativa antes de la Declaración del último Estado de Alarma. Ni para las medidas de confinamiento colectivo, ni individual que, entre otras, restringen las libertades de circulación y reunión.  Tan derechos fundamentales estas libertades como el derecho fundamental a la protección de datos. Y sin embargo, distintos Tribunales Superiores de Justicia han ratificado este tipo de medidas con fundamento en la potestad de adoptar medidas control del artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, la Ley 33/2011, de 4 de octubre, General de Salud Pública y la Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil.

El segundo problema es de confiabilidad. Es obvio que la localización de una antena de telefonía no sirve para un contacto próximo en una cafetería. Pero, hay que preguntarse si un rastreo de “grano grueso” hubiera sido eficiente en los siguientes casos:

→ Una reunión familiar.

→ Una fiesta (discoteca, botellón etc.).

→ Reuniones en espacios cerrados (como colegios mayores).

→ El desplazamiento en el transporte público.

¿Hubiera sido eficiente manejar estos datos? ¿Hubiera sido posible emular el procedimiento del artículo 7 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Es decir, lo hubiera permitido el juego de los artículos 8.6 y 10.8 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En resumen, ¿podrían requerir datos de localización las autoridades sanitarias con ratificación judicial para un rastreo rápido de contactos? Y en caso afirmativo, ¿hubiera sido de ayuda esta medida?

¿Cuántos usuarios del sistema de salud serían alcanzables con modelos alternativos?

En caso de obtener una vía adecuada y garante de derechos para su implementación, ¿hubiera alcanzado al combinación de aplicaciones móviles preexistentes y mensajería directa una adecuada o útil trazabilidad de contactos mediante datos de operadoras?

Pero hay una última pregunta, la más lacerante. ¿En nuestro enfoque ponderamos el derecho a la salud?

 Me temo, que nuestra ética de la privacidad no haya sido necesariamente una ética de la vida. No parece que hayamos buscado soluciones funcionales. Seguimos anclados en una lucha del bien contra el mal, preñada de valores absolutos. Y mientras, Radar Covid no se instala, los rastreadores están desbordados, y la gente enferma y muere. ¿Nos equivocamos? La historia nos juzgará. Mi deseo es que la hiperdefensa de la privacidad haya sido la apuesta correcta. Que el tiempo y los hechos demuestren que se estaba construyendo una sociedad totalitaria y lo evitamos. Porque, si no es así, si nos equivocamos primando la privacidad cada muerto, cada enfermo, cada diagnóstico perdido cae sobre mi conciencia.