Privacidad en tiempos de coronavirus: cómo evitar un estado de "vigilancia digital permanente"

Cuenta el filósofo coreano asentado en Alemania Byung-Chul Han que los asiáticos, para enfrentarse al coronavirus, han apostado "fuertemente por la vigilancia digital". Afirma, incluso, que en Asia las epidemias no solo las combaten los virólogos y epidemiólogos sino que un papel fundamental en la lucha contra el virus es de "los informáticos y los especialistas en macrodatos". El filósofo pone, además, un ejemplo muy claro de qué supone esta "vigilancia digital":  "Cuando alguien sale de la estación de Pekín es captado automáticamente por una cámara que mide su temperatura corporal. Si la temperatura es preocupante todas las personas que iban sentadas en el mismo vagón reciben una notificación en sus teléfonos móviles", explica en su artículo publicado en El País.

La implantación de esta "vigilancia digital" es posible en países asiáticos, explica el filósofo, porque son sociedades donde "la conciencia crítica ante la vigilancia digital es prácticamente inexistente". "Apenas se habla ya de protección de datos, incluso en Estados liberales como Japón y Corea. Nadie se enoja por el frenesí de las autoridades para recopilar datos. (...) Los proveedores chinos de telefonía móvil y de Internet comparten los datos sensibles de sus clientes con los servicios de seguridad y con los ministerios de salud", explica el autor de La sociedad del cansancio, que también señala que "no se tiene muy en cuenta la protección de datos ni la esfera privada".

La situación en Europa es muy diferente. La protección de datos y la esfera privada juegan un papel importante en la cultura occidental y la ciudadanía se muestra alerta y combativa ante iniciativas tecnológicas que puedan suponer una invasión del espacio personal y el derecho a la privacidad. Prueba de ello es el debate que ha generado el anuncio del Gobierno de lanzar una aplicación móvil para combatir la expansión del virus y la posibilidad de que esta tecnología tenga acceso al GPS del terminal y, por tanto, también a los movimientos de la ciudadanía. Más reparos, todavía, ha despertado la aplicación móvil de la Comunidad de Madrid que deja abierta la posibilidad de que las empresas que han colaborado en el desarrollo del software puedan tener acceso a esos datos. 

"Tenemos que estar siempre vigilantes porque no podemos entregar nuestros datos a cualquier Gobierno o empresa sin condiciones", señala Almeida

El reto, tal y como explica el jurista y director de legal de la PDLI Carlos Sánchez Almeida, es encontrar el equilibrio perfecto entre la obligación de la Administración Pública de dar cumplimiento al derecho a la salud de la ciudadanía con todos los recursos posibles y el derecho de la ciudadanía a la privacidad. El objetivo que señala es claro: que después de esta emergencia sanitaria la ciudadanía salga con los mismos derechos o más que con los que entró: "Tenemos que estar siempre vigilantes porque no podemos entregar nuestros datos a cualquier Gobierno o empresa sin condiciones. No podemos salir de esta epidemia habiendo perdido de manera definitiva nuestra privacidad", explica. 

En esta lucha por el derecho a la salud, el abogado y experto en protección de datos Borja Adsuara explica a Público que se hace imprescindible la utilización de toda la tecnología posible para luchar contra la pandemia. Y eso incluye bigdata, el tratamiento masivo de nuestros datos, también los de movilidad, para luchar con toda la tecnología posible contra la pandemia. "No utilizar big data sería una grave irresponsabilidad. Necesitamos la tecnología para hacer, por ejemplo, una cartografía que muestre posibles zonas de contagio. Tratando los datos de manera individual sería imposible. Hablamos de millones de contagiados", explica Adsuara. 

No obstante, a pesar de que su utilización parece necesaria, también es cierto que también provoca recelos en la sociedad. Sobre todo por el mal uso que se pueda dar a los datos proporcionados para combatir la epidemia. El investigador de la Universitat Oberta de Catalunya Javier Toret lo describe a la perfección con un ejemplo: "Si se utiliza los datos de movilidad que ofrecen nuestros móviles para combatir la epidemia y hacer mapas de calor de posibles zonas de contagio y prevenir, todo el mundo está contento. Ahora, el miedo que siempre existe es que, por ejemplo, el día de mañana esa misma tecnología se utilice para saber quién ha acudido a una manifestación o a determinada protesta ciudadana". 

Por tanto, los expertos consultados por este medio tienen claro la necesidad de utilizar big data para luchar contra la pandemia. A la vez, también advierten de que la pandemia no justifica un mal uso de los datos personales y que la propia normativa europea permite cauces para que esta tecnología se desarrolle respetando la privacidad de la ciudadanía y sin conculcar derechos fundamentales. El riesgo de hacerlo mal, de dar un mal uso a los datos que se proporcionen ahora a las autoridades es alto. Toret lo resume de esta manera: 

"El riesgo de hacerlo mal es que avancemos hacia un horizonte con más control y vigilancia para la ciudadanía", señala Javier Toret 

"El riesgo es que avancemos hacia un horizonte con más control y vigilancia para la ciudadanía. Este riesgo, no obstante, ya estaba antes de este debate y de la aparición del coronavirus. Hay una preocupación lógica de que un mal uso de estos datos derive en un Estado con mecanismos de vigilancia y control sobre sus ciudadanos mucho más exhaustivos y pormenorizados", detalla. 

Por tanto, las conclusiones de los expertos son claras: hay que desarrollar una tecnología basada en los datos médicos y personales de la ciudadanía que ayude a combatir la pandemia, pero hay que hacerlo conforme a unos controles, reglas y garantías que velen por la protección de los derechos de la ciudadanía. La pregunta que surge, entonces, es el cómo. Cómo desarrollar una tecnología que permita el equilibrio perfecto entre la obligación de la Administración por defender nuestro derecho a la salud y las garantías necesarias al derecho a la privacidad. 

En esta línea, un grupo de más de 60 juristas y expertos en protección de datos enviaron el pasado viernes una carta al Ejecutivo en la que aplaudían "la decisión del Gobierno de usar medios tecnológicos que ayuden a prevenir contagios, salvar vidas, optimizar el sistema sanitario y acabar con la pandemia del COVID-19", pero también recalcaron "el papel decisivo" que debe jugar en esta tecnología "la gestión legal, ética y transparente de los datos personales". Entre el grupo de expertos firmantes se encuentra el propio Borja Adsuara y otros profesionales de reconocido prestigio como Manuela Battaglini, abogada experta en Ética de los datos; Virginia Dignun, catedrática de la Universidad de Umea; o Itziar Laka Mugarza, catedrática de la Universidad del País Vasco. 

Finalidad concreta, caducidad y proporcionalidad

La misiva lanzada al Ejecutivo explica, en primer lugar, que no hace falta implementar ningún tipo de legislación extraordinaria para adaptarnos a la nueva situación ya que el Reglamento General de Protección de Datos de la Unión Europea ya contempla "cauces excepcionales para situaciones, como la actual, en las que se deben seguir cumpliendo las normas en garantía de los derechos de los ciudadanía".

En este sentido, los expertos recuerdan que las garantías que se deben adoptar son esencialmente tres. Por un lado, que la tecnología sea segura y proporcional. Es decir, que las autoridades no pueden aprovechar esta situación de emergencia sanitaria para recopilar más datos de los estrictamente necesarios o para aumentar su grado de conocimiento y control de la ciudadanía. 

Las autoridades no pueden aprovechar esta situación de emergencia sanitaria para recopilar más datos de los estrictamente necesarios

Por otro, que quede radicalmente clara la finalidad de los datos aportados y la fecha de caducidad de los mismos. "Los datos tienen que ser utilizados únicamente para luchar contra la pandemia y, además, tienen que desaparecer una vez solucionada esta situación para que no terminen en manos de, por ejemplo, empresas privadas", explica Adsuara.

Por último, la carta también pide a las administraciones públicas que el diseño y desarrollo de las herramientas debe hacerse en "observación y estricto respeto al principio de protección de datos conforme al artículo 25 del RGPD europeo", que pide que las medidas garanticen que "los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas".

También piden al Gobierno que trate de evitar las "iniciativas tecnológicas privadas con ánimo de lucro que no respeten la privacidad ni los derechos fundamentales de los ciudadanos españoles" que han surgido o puedan surgir y, por último, recomiendan la formación de un "equipo multidisplinar" formado por "representantes del Gobierno, las autoridades de protección de datos, la comunidad científica, compañías tecnológicas, expertos en protección de datos y en ética de los datos" para establecer un protocolo y vigilar que no se implante "en el territorio nacional un estado de vigilancia tecnológica permanente". 

El jurista Borja Adsuara va más lejos en esta última recomendación y considera necesario la creación de un "grupo de expertos independientes" que cuenten con la confianza de la sociedad civil, además de la Agencia de Protección de Datos, que se encargue de "revisar toda aplicación que surja de una institución pública y de velar por el cumplimiento de todas las garantías democráticas". "Supondría incluir un tercero de confianza con permiso para auditar las distintas aplicaciones, el uso que está haciendo de los datos, quién los tiene y qué va a pasar con ellos en el futuro. En mi opinión, eso inspiraría confianza a los ciudadanos". 

Ir más allá de las garantías básicas: un software libre

El investigador del grupo Tecnopolítica de la UOC y experto en estrategia digital y bigdata Javier Toret también hace hincapié en que sería "muy beneficioso" que, desde un punto de vista técnico, se trate de "software libre" para que la potencial aplicación pueda ser "auditada y mejorada por miles de personas dispuestas a ayudar", así como para implementar una mejor "coordinación de esta aplicación con otras que puedan crear otros gobiernos nacionales y regionales en todo el mundo". 

Asimismo, Toret destaca que "una exigencia deseable" es que este software se ajuste a "criterios de transparencia algorítmica". Es decir, que muestre en la medida de lo posible "los algoritmos y los modelos" con los que trabaja con el fin de "hacer auditable todo el proceso". 

Por último, el experto en estrategia digital también destaca que sería deseable que el software que finalmente se implemente para luchar contra la expansión del coronavirus esté "controlada por el Estado". En este sentido, Toret señala que esto no implica prohibir a las empresas privadas colaborar, pero sí definir de manera tajante que el control de la infraestructura y las decisiones que se vayan tomando estén en manos del Estado y no de una corporación o empresa privada. 

Seudonimizar y anonimización de datos

Los expertos consultados por Público también hacen referencia a la necesidad de anonimizar los datos que obtenga el Estado para garantizar el respeto a la privacidad. En este sentido, el jurista experto Borja Adsuara señala que los datos obtenidos de los ciudadanos para la realización de esta aplicación tienen que ser seudonimizados. ¿Qué es esto y cómo se hace?

El jurista experto Borja Adsuara señala que los datos obtenidos de los ciudadanos para la realización de esta aplicación tienen que ser seudonimizados

Adsuara explica que la futura aplicación debería tener dos capas de datos. Una primera capa donde estén los datos de la ciudadanía con sus historiales clínicos y una capa superior donde esta información ya está seudonimizada con nombres como sujeto 1, 2, 3, etc. De esta manera, sería posible elaborar los citados mapas de trazabilidad y de contagio sin que se desvele la identidad de las personas. 

El objetivo de seudonimizar los datos, en lugar de una completa anonimización de los mismos, es vital en Sanidad. Explica Adsuara que la autoridad sanitaria debe guardar una tabla de equivalencia para poder reidentificar a un ciudadano concreto para advertirle de un posible contagio o de que trate de evitar determinadas zonas por las que está circulando por riesgo alto de contagio. 

"Estamos acostumbrados a dar nuestros datos al médico sin miedo a que los filtre o a que invada nuestra esfera personal. La gente tiene que entender que este caso es muy similar y que la autoridad sanitaria tiene la misma obligación que los médicos de no revelar los datos personales de los pacientes", explica el jurista. 

Objetivo: combatir el coronavirus sin perder libertades

Todas las voces hacen referencia a que la prioridad actual número uno es combatir la epidemia desde todos los frentes y con todas las herramientas disponibles. Una de estas herramientas es el big data cuyo funcionamiento y puesta en marcha debe ajustarse a las garantías mencionadas anteriormente. El jurista Almeida, no obstante, también destaca que la ciudadanía debe mantenerse vigilante ante la forma en la que se aplican estas medidas, sus consecuencias y también realizar una especie de lista donde anotar cada uno de los pasos dados para, posteriormente y ya con la calma de estar fuera de una pandemia, volver a analizar punto por punto cada paso dado para asegurarse de que no ha habido una regresión en libertades y derechos. 

"El mundo ya no va a ser como era antes. Eso está claro. Esta pandemia ha cambiado el mundo que conocemos y de aquí saldrá una nueva realidad. Tenemos que mantenernos vigilantes porque no podemos llegar a ese nuevo escenario con menos derechos de los que tenemos hoy. Así que habrá que analizar cada paso que demos ahora, pero también, cuando todo esto acabe, recordar que tenemos muchas tareas pendiente en el ámbito de las libertades como la derogación de las leyes mordaza o la modificación del decreto que permite al Gobierno asumir la "gestión directa" de redes y servicios de comunicaciones electrónicas "en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional", sentencia Almeida.