RADAR COVID: es necesaria una auditoría informática independiente de la app de rastreo

Por Javier Rubio Alamillo.

Perito informático e ingeniero informático colegiado (peritoinformaticocolegiado.es)

El Gobierno de España ha lanzado una aplicación informática que pretende rastrear los contactos de las personas contagiadas, para que sea más fácil llevar a cabo la trazabilidad de los mismos y sus sucesivos contactos y avisarles de manera automática. Aseguran que la app es anónima, pero existen muchos interrogantes que deberían ser resueltos. ¿Se trata de una aplicación distribuida, o existe una base de datos centralizada de información?

Para ayudar a que la aplicación sea anónima, lo ideal es la primera opción, almacenando en el terminal los contactos con los que se encuentra el usuario y la fecha del encuentro, avisando a todos sus encuentros de los últimos quince días (periodo de transmisión del virus), así como a los contactos que se hayan encontrado con estos a partir del encuentro con el primer contagiado, de manera sucesiva hasta completar el árbol de posibles contagios.

Si se elige la opción de la base de datos centralizada, se deberán almacenar los encuentros de cada individuo en dicha base de datos y, cuando una persona avise de su contagio, avisar a todos los contactos con los que hubiera estado el contagiado a lo largo del tiempo, y a su vez, sucesivamente, a todos los encuentros de cada contacto. En cualquiera de los dos casos, se deberán recabar números de teléfono y ubicaciones. Así pues, si se refiere que la aplicación será anónima y que quedará fuera de la cobertura del RGPD y de la LOPD–GDD, la información que se almacene debería ser previamente anonimizada.

Es menester señalar que se recabarán datos médicos. ¿Con qué dato se asociará el contagio? ¿Con el número de teléfono? Para que la aplicación sea considerada anónima, el contagio no puede asociarse al número de teléfono, porque si la aplicación es descentralizada y el terminal es sustraído o extraviado y su información es volcada, los delincuentes podrán tener acceso a la base de datos y determinar si uno o varios usuarios están contagiados. Y si la aplicación es descentralizada, los administradores de la base de datos de la aplicación podrán tener acceso a los números de teléfono y determinar, igualmente, los números de teléfono asociados a contagios.

Los datos sanitarios son muy sensibles y tienen la máxima protección que otorga la legislación. El Estado debe predicar con el ejemplo y cumplir su propia legislación. Si la información recabada es anónima o se anonimiza antes de almacenarse, quedaría fuera de la aplicación del RGPD y de la LOPD–GDD, pero en caso contrario, el reglamento europeo y la ley de protección de datos sí le serían de aplicación y se deberían tomar las medidas oportunas para garantizar la confidencialidad. Pero, en tal caso, el Gobierno no debería vender que se trata de una aplicación anónima.

¿Qué es la información anonimizada? Este concepto, que forma parte de directivas del Parlamento y el Consejo europeos, así como de la legislación española, hace referencia a una técnica que impide que los datos personales sensibles, como los sanitarios o de filiación política o religiosa, puedan ser utilizados para identificar a alguien o para inferir atributos adicionales que se desconocían. Los datos, una vez anonimizados, pueden ser utilizados para otros objetivos completamente distintos.

Existen diversas técnicas de anonimización que se recogen en una directiva europea y que deben utilizarse de forma conjunta para alcanzar la robustez necesaria y evitar que el proceso pueda ser reversible: aleatorización, adición de ruido, permutación, privacidad diferencial, generalización, agregación y anonimato ‘k’, diversidad ‘l’ y proximidad ‘t’. También existen técnicas de “seudonimización”, con las que sigue existiendo una amplia probabilidad de identificar, de manera indirecta, al sujeto.

En este contexto, para considerar que la aplicación RADAR COVID trata los datos sanitarios de los ciudadanos de manera anónima, es necesaria una auditoría del código fuente y de la base de datos en la que se almacene la información. Esta auditoría debería practicarse por Ingenieros o Ingenieros Técnicos en Informática colegiados, los únicos expertos que pueden certificarlo o identificar brechas en el código o en la base de datos, proponiendo cambios o mejoras para conseguir la anonimización.

También se debería publicar el código fuente de la app y su contrato de desarrollo, para determinar si se exige la creación de un proyecto de diseño y su adecuación a la normativa técnica nacional e internacional. La Informática es la única profesión de ingeniería no regulada por el Estado. Se crean miles de proyectos de software al año sin pasar ningún control de calidad y sin que nadie se responsabilice de ellos, ya que la ley no exige la firma colegiada como en cualquier otra rama de la ingeniería, y nos hemos acostumbrado a que achaquen a ‘errores informáticos’ cualquier fallo.

¿Alguien circularía por un puente sin tener la certeza de que ha sido proyectado por un Ingeniero de Caminos colegiado y ejecutado por un Ingeniero Técnico de Obras, si los albañiles se hubieran puesto a apilar ladrillos sin orden ni concierto y sin nadie que asumiera responsabilidades en caso de catástrofe? Pues eso es lo que ocurre con los sistemas informáticos en España, es decir, con la aplicación para rastrear el coronavirus. El Estado pretende que nos instalemos una app que recaba datos sanitarios sin saber si se ha desarrollado en base a estándares y desconociendo si el responsable del proyecto asumirá responsabilidades si hay filtraciones de la información médica de los ciudadanos.

El Gobierno de España podría encargar a los Consejos Generales de Colegios Profesionales de Ingeniería en Informática y de Ingeniería Técnica en Informática una auditoría exhaustiva para poder afirmar, sin ningún género de dudas y avalado por organismos profesionales e independientes, que la aplicación es anónima. Los profesionales de la Ingeniería Informática son los únicos habilitados para poder auditar una aplicación de este tipo, ya que la app almacena y trata, supuestamente, información anonimizada, no existiendo ninguna otra disciplina científica capaz de proyectar este tipo de desarrollos.


4 de setiembre de 2020.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *