La falta de confianza ha sido una de las principales razones por las que las aplicaciones de rastreo de contactos de covid-19 no han triunfado en la Unión Europea. El miedo a ser vigilados ha disuadido a muchas personas a usarlas y su contribución a la lucha contra la pandemia ha decepcionado: solo han servido para rastrear el 5% de los casos.
Pero no es una preocupación realmente fundada. La gran mayoría de aplicaciones europeas garantizan que los datos permanezcan en los teléfonos móviles de los usuarios y que estos además sean anónimos. En otras palabras: aunque hubieran querido, los Gobiernos no podrían haber accedido a la información privada de los ciudadanos. Mucho menos podrían haber trazado sus movimientos, ya que la tecnología de rastreo no usa el GPS, sino el bluetooth. En cada dispositivo se genera una clave aleatoria diaria que sirve para generar identificadores que se transmiten a los móviles cercanos, quedando así registrado el contacto.
La gestión de los datos fue el principal elemento de fricción entre los Estados miembros a la hora de consensuar un enfoque para desarrollar estas apps. A la vez, ya fuera por la ausencia de una campaña de comunicación clara o por la falta de confianza en sus gobernantes, ha sido uno de los aspectos que más ha preocupado a los ciudadanos tras su implementación.
El protocolo único europeo fue torpedeado desde dentro
China dio el pistoletazo de salida a las apps de rastreo en febrero de 2020 con sus “códigos sanitarios”. Desarrollada por Alibaba y Tencent, esta tecnología monitorizaba el historial de movimientos y los síntomas que los usuarios reportaban para asignarles un código rojo, amarillo o verde en función de hasta qué punto habían estado en contacto con el virus. La aplicación resultó un éxito, pero a costa de la privacidad de los ciudadanos chinos, que vieron cómo el Estado se guardó información sobre su ubicación, sus contactos o su estado de salud.
China demuestra que para salvar a la economía hay que vencer al virus
Europa comenzó a plantearse la necesidad de desarrollar su propia aplicación apenas un mes después, justo cuando empezó a perder la batalla contra el virus, pero las exigencias de privacidad y protección de los derechos digitales eran mucho más altas. Por ello, el debate se centró desde el primer momento en cómo gestionar y almacenar los datos.
Se plantearon dos alternativas: el modelo centralizado y el descentralizado. El primero guardaba la información de los usuarios fuera de los dispositivos móviles, en servidores controlados por el Estado o los desarrolladores de la aplicación. Esta opción presentaba mayores riesgos de fuga de datos personales, pero también permitía a los epidemiólogos seguir más de cerca la evolución de la pandemia y combinar el rastreo digital con el manual. Alemania y Francia eran partidarios de este sistema.
Por su parte, el modelo descentralizado proponía que los datos se almacenaran de forma local en los teléfonos y que estos solo se compartieran con las autoridades si el usuario quería notificar su contagio. También garantizaba la ausencia de interferencias con el Reglamento General de Protección de Datos, un plus que desequilibró la balanza en su favor.
¿Qué es el Reglamento General de Protección de Datos (RGPD)?
Así, un consorcio formado por diversas organizaciones académicas y de investigación de Europa publicó el 3 de abril de 2020 el protocolo DP3T, que sentaba las bases de “un sistema de rastreo de proximidad seguro, descentralizado y que preserva la privacidad”. Sus autores, sin embargo, eran una escisión de otro consorcio más amplio formado por 130 especialistas de Austria, Bélgica, Dinamarca, Francia, Alemania, Italia, Suiza y España que no había sido capaz de ponerse de acuerdo sobre qué sistema de gestión de los datos adoptar, el conocido como PEPP-PT. Por eso, la primera gran propuesta de un protocolo único europeo nació agrietada, y pronto Apple y Google le asestaron el golpe definitivo.
Las grandes tecnológicas toman los mandos
Apenas unos días después, se supo que a finales de mayo vería la luz el Sistema de Notificación de Exposición Google/Apple o GAEN, “un esfuerzo conjunto entre Apple y Google para proporcionar la funcionalidad principal de crear aplicaciones de Android que alerten a los usuarios sobre una posible exposición a casos confirmados de covid-19”. Muy similar al DP3T, el GAEN permitía que las apps funcionaran de forma más eficiente, ya que hacía uso directo del sistema operativo sin requerir la instalación de complementos externos.
Austria, Suiza y Alemania se posicionaron pronto y anunciaron que utilizarían la tecnología de Apple y Google. El miedo a desarrollar sistemas que luego fueran incompatibles con la propuesta de las tecnológicas y quedaran desfasados terminó de derribar las reticencias de los países que preferían un modelo centralizado. El Reino Unido, que se había decantado por esa opción, también rectificó y lanzó una segunda versión de su aplicación que empleaba el protocolo GAEN. Incluso la Unión Europea, que no había podido coordinar las tareas de desarrollo por no tener competencias en sanidad y que temía acabar con un mosaico de apps que no fueran interoperables, animó a los Estados miembros a adherirse a la nueva propuesta.
El problema de Europa: la dependencia tecnológica de Estados Unidos y China
Francia, que prefirió tener el control de los datos por motivos de soberanía, fue la gran excepción del bloque y siguió desarrollando una aplicación basada en un modelo centralizado que finalmente implementó. En cierto modo Hungría también, pero negoció la implantación de una app con una empresa de Macedonia del Norte que luego no terminó de apoyar.
Bulgaria, igualmente, aceptó la propuesta de una empresa privada. En su caso, sin embargo, la app ViruSafe se basó en la geolocalización de casos positivos para poder mapear núcleos de contagio, más que en el rastreo. Además de compartir su ubicación —un acto voluntario, pero imprescindible para el correcto funcionamiento de la aplicación—, los usuarios debían introducir datos personales como la edad o posibles enfermedades crónicas. Todo ello, más la posibilidad de que el Gobierno búlgaro pudiera compartir los datos con “autoridades autorizadas” sin especificar cuáles, llevó a que la población confiara muy poco en ViruSafe.
De un protocolo propio y único a la homogeneización europea
Meses después, cuando la mayoría de Estados miembros habían desarrollado su propia aplicación de rastreo, la Comisión Europea lanzó en octubre de 2020 una iniciativa para homogeneizar las tecnologías implantadas: la pasarela europea de interoperabilidad, que permite que las aplicaciones puedan registrar contactos entre sus usuarios. La mayoría de los Estados miembros se han unido a ella, sin contar a Francia, claro.
Para apuntalar la protección de los derechos de los usuarios, Bruselas exigió que los datos almacenados en los dispositivos móviles se eliminaran a los catorce días. De esta forma, los datos de los ciudadanos europeos que respondieron a la llamada de las instituciones a descargarse las aplicaciones de rastreo han permanecido en sus teléfonos. Incluso en el caso de que notificaran a través ellas su positivo o si el rastreo se almacenara en un servidor centralizado, su información privada también ha estado a salvo gracias a los estándares de protección que fijaron tanto la Comisión Europea como Apple y Google.
1.300 millones de euros en multas: la batalla de la UE contra las big tech por la protección de datos
Los usuarios no han estado tan protegidos en otros lugares, como Singapur, donde el Gobierno concede acceso a los cuerpos de seguridad a los datos que recopila su aplicación covid. En la Unión Europea, la reticencia de los ciudadanos a usar aplicaciones públicas contrasta con la facilidad con la que entregan multitud de datos personales a las empresas privadas. Durante toda la pandemia, por ejemplo, Google ha publicado informes detallados de movilidad local. Mientras, el debate en el sector público sobre la protección de los datos dividió a los Estados miembros y retrasó la puesta en marcha de las apps, pero garantizó por encima de todo el derecho de los europeos a la privacidad.
Este artículo, publicado bajo una licencia CC BY-SA 4.0., forma parte de la European Data Journalism Network (EdjNet), un consorcio periodístico internacional que cubre temas paneuropeos usando periodismo de datos, y el proyecto Panelfit, apoyado por el programa Horizon 2020 de la Comisión Europea (acuerdo de financiación n. 788039). La Comisión no ha participado en la producción del artículo y no es responsable de su contenido.
Desconfianza ciudadana y falta de consenso: qué llevó al fiasco de las aplicaciones de rastreo fue publicado en El Orden Mundial - EOM.