La pandemia de coronavirus ha cambiado la vida de los ciudadanos de todos los países del mundo, especialmente de los países occidentales, donde más ha golpeado el virus por la avanzada edad media de sus ciudadanos. El confinamiento de la población y la posterior “nueva normalidad”, en la que los ciudadanos deben llevar mascarilla y vigilar sus movimientos y sus contactos para, en caso de contagiarse, avisar a las autoridades y que éstas contacten con el entorno del contagiado, para que éstos realicen cuarentena, ha modificado los parámetros de vida de todos los ciudadanos y ha impactado en la comodidad de la sociedad.
En este contexto, el Gobierno de España ha lanzado una aplicación informática que pretende rastrear los contactos de las personas contagiadas, para que sea más fácil llevar a cabo la trazabilidad de los mismos y sus sucesivos contactos y avisarles de manera automática. El piloto ha sido probado, según parece, con éxito, en la isla canaria de La Gomera y se pretende que el día 15 de septiembre sea lanzada en toda España.
El Gobierno de España asegura que la aplicación es anónima, sin embargo, existen muchos interrogantes que deberían ser resueltos antes de que la aplicación sea lanzada definitivamente por el Gobierno. Existen dos posibilidades, bien que pueda tratarse de una aplicación distribuida o descentralizada, o bien que exista una base de datos centralizada de información.
Para ayudar a que la aplicación sea anónima, lo ideal es la primera opción, almacenando en el propio terminal los contactos con los que se encuentra el usuario y la fecha del encuentro, avisando a todos sus encuentros de los últimos quince días (periodo de transmisión del virus), así como a los contactos que se hayan encontrado con éstos a partir del encuentro con el primer contagiado, de manera sucesiva hasta completar el árbol de posibles contagios.
Si se elige la opción de la base de datos centralizada, se deberán almacenar los encuentros de cada individuo en dicha base de datos y, cuando una persona avise de su contagio, avisar a todos los contactos con los que hubiera estado el contagiado a lo largo del tiempo (al menos durante los últimos quince días, periodo de transmisión del virus), y a su vez, sucesivamente, a todos los encuentros de cada contacto, a partir de la fecha del encuentro con el primer contagiado y con cada contacto, de manera sucesiva, hasta que se cubra el árbol completo de posibles contagios.
En cualquiera de los dos casos, se deberán recabar números de teléfono para avisar a los contactos de los contagiados, así como ubicaciones (mediante GPS), de los usuarios de la aplicación (porque pretender que un usuario, al finalizar el día, relacione en la aplicación los contactos con los que se ha encontrado, es abocar la aplicación al fracaso, además de que muchos encuentros no estarán en la agenda de contactos del usuario, por lo que será la aplicación la que deberá determinar, mediante algún tipo de algoritmo de inteligencia artificial, cuándo están interactuando dos o más personas -siendo que, además, la cercanía física no implica interacción-).
Así pues, si se refiere que la aplicación será anónima y que, por tanto, quedará fuera de la cobertura del RGPD y de la LOPD–GDD, la información que se almacene, bien en el terminal de cada usuario si la aplicación es distribuida, bien en la base de datos si es centralizada, debería ser información previamente anonimizada, concepto que se explicará más adelante.
Es menester señalar que la aplicación recabará datos médicos, porque conocerá si una persona se ha contagiado. Obviamente, dicho contagio deberá ser registrado en una base de datos, interna o externa. ¿Con qué dato se asociará el contagio? ¿Con el número de teléfono? Es evidente que, para que la aplicación sea considerada anónima, el contagio no puede asociarse al número de teléfono, porque, en este caso, si la aplicación es descentralizada y el terminal es sustraído o extraviado y su información es volcada, los delincuentes podrán tener acceso a la base de datos y determinar si uno o varios usuarios están contagiados y, si la aplicación es descentralizada, los administradores de la base de datos de la aplicación podrán tener acceso a los números de teléfono y determinar, igualmente, los números de teléfono asociados a contagios.
Los datos sanitarios tienen la máxima protección que otorga la legislación a datos como la filiación política o religiosa. Se trata, por tanto, de información muy sensible. El Estado es el primero, pues, que debe predicar con el ejemplo y cumplir su propia legislación. Si la información recabada es anónima o se anonimiza antes de almacenarse, ésta quedaría fuera de la aplicación del RGPD y de la LOPD–GDD, pero en caso contrario, el reglamento europeo y la ley de protección de datos sí le serían de aplicación y, por tanto, se deberían tomar las medidas oportunas para garantizar, al menos, la confidencialidad de la información. Pero, en tal caso, el Gobierno no debería vender que se trata de una aplicación anónima.
El concepto de información anonimizada se introdujo en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Dicho concepto de anonimización, se estudia profusamente en un documento, el Dictamen 05/2014, publicado el 10 de abril de 2014, sobre técnicas de anonimización, del Grupo de Trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales, creado por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, el 24 de octubre de 1995.
Es necesario indicar que, según normativa española, la anonimización de datos aparece reflejada en tanto en la Ley Orgánica 15/1999, de 13 de diciembre, como en el Real Decreto 1720/2007, de 21 de diciembre, que desarrolla dicha Ley Orgánica, refiriéndose a ella como “disociación” de datos, en los siguientes términos:
En La Ley Orgánica 15/1999, de 13 de diciembre, en el artículo 3 f), se define como “todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable”.
En el Real Decreto 1720/2007, de 21 de diciembre, se define el proceso de disociación, en el apartado p), como “todo tratamiento de datos personales que permita la obtención de datos disociados”, concretando en el apartado e), que un dato disociado es “aquel que no permite la identificación de un afectado o interesado”.
La anonimización es una técnica en virtud de la cual, una serie de datos, habitualmente personales, aunque pueden ser datos personales en combinación con datos sanitarios, de filiación política o religiosa, pasan por un proceso irreversible que impide que, dichos datos, una vez han sido anonimizados, puedan ser utilizados para identificar a los sujetos reales que se hallan tras los mismos (singularización), o para inferir atributos adicionales que, en principio, se desconocían, asociados a éstos (inferencia). Los datos, una vez anonimizados, pueden ser utilizados para otros objetivos completamente distintos a aquéllos para los que se utilizan los datos originales.
Existen diversas técnicas de anonimización, las cuales deben utilizarse de forma conjunta para alcanzar la robustez necesaria y evitar que el proceso pueda ser reversible. Con el objetivo de definir las mejores técnicas de anonimización, la Comisión Europea creó el Grupo de Trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales, en virtud del artículo 29 de la Directiva 95/46/CE, con el objetivo de abordar el asunto de la disociación de datos personales. Dicho Grupo emitió, el 10 de abril de 2014, el Dictamen 05/2014 sobre técnicas de anonimización, en el que se recogen las mejores prácticas existentes hasta el momento que tienen como objetivo la disociación o anonimización de datos personales. Según este dictamen, no existe ninguna técnica infalible, sino que siempre debe utilizarse una conjunción de las mismas para evitar que los datos puedan ser desanonimizados.
Las técnicas de anonimización más importantes, según el Dictamen 05/2014, publicado el 10 de abril de 2014, sobre técnicas de anonimización, son las siguientes:
- Aleatorización
- Adición de ruido
- Permutación
- Privacidad diferencial
- Generalización
- Agregación y anonimato ‘k’
- Diversidad ‘l’ y proximidad ‘t’
Además de las técnicas de anonimización, existen las denominadas técnicas de “seudonimización”, con las que sigue existiendo una amplia probabilidad de identificar, de manera indirecta, al sujeto.
Para considerar que la aplicación RADAR COVID, desarrollada a instancias del Gobierno, trata los datos sanitarios de los ciudadanos de manera anónima, es necesaria una auditoría, tanto del código fuente, como de la base de datos en la que se almacene la información. Esta auditoría, evidentemente, debería practicarse por Ingenieros o Ingenieros Técnicos en Informática colegiados, que son los únicos expertos que pueden certificar si la aplicación anonimiza la información o, en caso contrario, identificar brechas en el código o en la base de datos, en virtud de las cuales se pudiera señalar que la aplicación no anonimiza los datos, proponiendo los cambios o mejoras adecuados para que se consiga dicha anonimización.
Asimismo, al igual que se debería publicar el código fuente de la aplicación, se debería publicar también el contrato de desarrollo de la aplicación, para determinar si el mismo exige la creación de un proyecto de diseño como se exige en cualquier otra rama de la ingeniería, así como la adecuación de dicho proyecto a la normativa técnica nacional e internacional en materia de proyectos informáticos. Es necesario señalar, en este punto, que la Ingeniería Informática es la única profesión de ingeniería no regulada por el Estado, de tal manera que, en España, se crean miles de proyectos de software al año sin pasar controles de calidad algunos y sin que nadie se responsabilice de ellos, ya que la ley no exige la firma colegiada como en cualquier otra rama de la ingeniería.
El Estado pretende que los españoles se instalen una aplicación que va a recabar sus datos sanitarios sin saber si la aplicación ha sido desarrollada en base a estándares técnico-normativos contrastados, así como desconociendo, también, si el ingeniero o ingeniera encargado del proyecto asumirá, como en cualquier obra de ingeniería, las responsabilidades que se deriven de una negligencia en el proyecto, como por ejemplo si la aplicación se demuestra no anónima y la información de los contagiados pudiera llegar a ser filtrada con la posibilidad de identificar a los contagiados (que, obviamente, no significa que finalmente fuera filtrada, en cuyo caso se trataría de otro supuesto completamente diferente y aún más grave).
Puesto que la Ingeniería Informática y, por tanto, el desarrollo de proyectos informáticos, no se encuentra regulado por el Estado, achacando a pretendidos “errores informáticos” los fallos que suelen ocurrir con frecuencia en los sistemas informáticos desarrollados en España, no es posible saber si el contrato o pliego de desarrollo de la aplicación exige la creación de un proyecto de diseño (los “planos” de la aplicación, por asimilarlo al proceso de la construcción), ni si carga en el equipo de desarrollo la debida responsabilidad civil que cargaría la construcción de, por ejemplo, una obra pública como un puente. ¿Alguien circularía por un puente sin tener la certeza de que éste ha sido proyectado por un Ingeniero de Caminos colegiado y ejecutado por un Ingeniero Técnico de Obras Públicas? ¿Alguien circularía por un puente si los albañiles se hubieran puesto a apilar ladrillos sin orden ni concierto y sin un proyecto de diseño del puente firmado por un ingeniero que asumiera la responsabilidad del proyecto en caso de catástrofe?
Pues eso es exactamente lo que ocurre con los sistemas informáticos en España y, con la aplicación para rastrear el coronavirus, también ocurre. Al no estar regulado el desarrollo de software en España, no es posible saber si existe un proyecto de diseño de la aplicación, ni si el jefe de proyecto es un ingeniero informático colegiado, ni si los responsables cargarán con responsabilidad civil, como en cualquier proyecto de ingeniería.
La aplicación RADAR CIVID debería, por tanto, ser auditada por peritos ingenieros informáticos colegiados. El Gobierno de España podría encargar, a los Consejos Generales de Colegios Profesionales de Ingeniería en Informática y de Ingeniería Técnica en Informática, una auditoría exhaustiva de la aplicación para poder afirmar, sin ningún género de dudas y avalado por organismos profesionales e independientes, que la aplicación RADAR COVID es anónima. Los profesionales de la Ingeniería Informática son los únicos habilitados para poder auditar una aplicación de este tipo, ya que la aplicación almacena y trata, supuestamente, información anonimizada, no existiendo ninguna otra disciplina científica capaz de proyectar este tipo de desarrollos.