Pablo Barrón.- Es una medida que levanta recelos respecto a la privacidad de los ciudadanos, si bien estamos en una situación excepcional. De todas formas, y de acuerdo al texto publicado en el BOE, el acceso a la geolocalización será limitado.

En concreto, este tema se trata en el BOE 86 del 28 de marzo de 2020 (BOE-A-2020-4162), dentro de la Orden SND/297/2020 del Ministerio de Sanidad, así que debemos referirnos a lo que dice el texto.

Y, en realidad, hablamos de dos métodos para la geolocalización: una app para móviles, en principio de instalación opcional, y un estudio usando las redes de los operadores, del que ningún usuario con teléfono móvil podrá escapar.

Una app con una geolocalización limitada

El primer aspecto que desarrolla el BOE es la creación de una aplicación para smartphones, que tendrá que realizar la Secretaría de Estado de Digitalización e Inteligencia Artificial, aunque es de imaginar que será encargada a alguna empresa especializada (una consultora tipo Indra).

En concreto, esto dice el BOE:

“[…] desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19.”

En principio, parece que se trata de una aplicación nativa (no web), que deberá dar información y recomendaciones sobre el coronavirus, permitir un diagnóstico básico en la cuarentena y estimar las posibilidades de que el usuario tenga COVID-19.

Además, también se creará un bot que facilite información en WhatsApp, mediante una conversación estándar, de forma similar al bot sobre el coronavirus que la OMS ha lanzado en WhatsApp.

Respecto a la geolocalización, esto es lo que dice:

“La aplicación permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.”

Es decir, que no se controlará dónde se encuentra exactamente cada persona. Ahora bien, ese es el funcionamiento previsto en el BOE, pero en la práctica acceder al GPS de los móviles ofrece una precisión de pocos metros.

En la realidad, serán los desarrolladores quienes deban tratar los datos de geolocalización de forma adecuada, para que no se registre otra información más allá de si el usuario se encuentra en la comunidad autónoma que ha indicado.

Sobre los responsables de los detalles personales, esto explica el Boletín Oficial del Estado:

“El responsable del tratamiento será el Ministerio de Sanidad y el encargado del tratamiento y titular de la aplicación será la Secretaría General de Administración Digital.”

Haciendo un análisis un poco más escéptico, podemos ver un riesgo para la privacidad, pero no muy alto. Aunque se haga un uso de la geolocalización diferente al declarado, no hablamos de algo muy diferente al control de la ubicación de Facebook, o al historial de ubicaciones de Google.

Claro que los datos estarían en manos del Gobierno, pero en principio instalar la aplicación parece ser opcional.

Un modelo muy diferente al que China, que creó una app para cruzar los datos de posibles infectados, y mandaba a los sospechosos a pasar una cuarentena a su casa.

En el país asiático la aplicación era obligatoria, teniendo que escanear el código QR generado para acceder a muchas zonas (lugares de trabajo, centros de estudios, edificios gubernamentales…)

Estudio de movilidad agregado

El segundo método que contempla el BOE es mucho más agresivo, y permite conocer la geolocalización de los usuarios antes y durante la cuarentena. Básicamente, parece basarse en el polémico estudio de movilidad del INE que se había aprobado antes de saberse nada del coronavirus.

Se pedirá a los operadores de telecomunicaciones con antenas móviles (Movistar, Vodafone, Orange y el Grupo MásMóvil) que faciliten la posición de los teléfonos conectados a sus antenas.

De acuerdo al BOE, esto es lo que se busca:

“Se pretende contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento. El objetivo es entender los desplazamientos de población.”

Cabe destacar que esta información siempre ha estado disponible, y los operadores la han facilitado en el pasado, fundamentalmente para responder a órdenes judiciales.

Es decir, las compañías de móvil guardan un registro de las antenas a las que nos conectamos, que ofrecen una geolocalización más o menos precisa dependiendo de la zona. En las ciudades, con muchas antenas, es bastante exacta, pero en áreas rurales no tanto.

Es muy relevante el siguiente fragmento del BOE:

“[…] a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento.”

Es decir, las ubicaciones se analizarían de forma conjunta, y sin identificar a personas concretas. Por lo tanto, no se buscaría vigilar que se cumpla la cuarentena de forma individual, ni poner multas, solo tener una visión completa del conjunto.

Por poner un ejemplo, podría servir para analizar cómo se extendió el coronavirus. Tras decretarse la suspensión de las clases en la Comunidad de Madrid surgieron noticias sobre personas que iban a sus segundas residencias en otras comunidades, lo que podría propagar la enfermedad.

Usando la geolocalización de los teléfonos esto se podría comprobar y cuantificar mejor, con cifras exactas, pues basarse en las observaciones de los ciudadanos no es demasiado fiable.

Eso sí, el análisis de movimientos durante la cuarentena podría señalar zonas con desplazamientos extraños, abriendo la posibilidad de enviar a las fuerzas de seguridad a controlar aquellas poblaciones donde se sospecha que el confinamiento no se está respetando.

Como es lógico, estos datos podrían afectar a la privacidad de los ciudadanos dependiendo de cómo se usen, pero lo que el BOE explica no debería preocuparnos demasiado.

En resumen, el control de la geolocalización de los teléfonos en cuarentena no parece muy problemático, y en cambio da una herramienta valiosa en estos momentos cuando renunciar a un poco de nuestra privacidad podría salvar muchas vidas.

Pasamos el día proporcionando datos a empresas sobre cómo nos movemos, qué nos gusta, dónde comemos, quiénes son nuestros amigos, adónde vamos de vacaciones y un sinfín de datos que, cruzados, pueden trazar un perfil muy ajustado de la personalidad de cada uno de nosotros. El pasado 27 de marzo el Boletín Oficial del Estado (BOE) publicó “una serie de medidas dirigidas a proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública” que implicaban el uso de tecnología de geolocalización. Y estalló el debate.

Con su orden del BOE, el Ministerio de Sanidad encargó dos proyectos complementarios. El primero, encomendar a la Secretaría de Estado de Digitalización e Inteligencia Artificial el desarrollo urgente de una aplicación móvil que permita al usuario autoevaluarse sobre Covid-19 a partir de síntomas y ofrecerle información y consejos prácticos. Ya está en funcionamiento. Se llama AsistenciaCOVID19. Como cada comunidad autónoma tiene diferentes direcciones y teléfonos para sus recursos, la app debía “permitir la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar”.

Protección de datos

La instalación de la app y la autorización de la geolocalización son voluntarias. Los sistemas operativos de los teléfonos móviles piden siempre el permiso del usuario si una app intenta acceder al GPS o a cualquier otro sensor, como la cámara de fotos o el micrófono.

La segunda orden ministerial fue encargar a la misma secretaría de Estado un estudio de movilidad que siga el modelo que ya emprendió el año pasado el Instituto Nacional de Estadística (INE) “a través del cruce de datos de los operadores móviles, de manera agre-gada y anonimizada”. Se llama DataCOVID19.

El BOE especificaba que el periodo de análisis de la movilidad se ceñirá “a los días previos y durante el confinamiento”. El Gobierno delimitaba que los trabajos velarían por el cumplimiento del Reglamento General de Protección de Datos (GPDR) de la Unión Europea, la ley orgánica de Protección de Datos y “los criterios interpretativos” de la Agencia Española de Protección de Datos (AEPD).

¿Debemos temer un control personalizado de nuestros movimientos por parte de las autoridades? En general, la mayoría de los expertos no lo cree así, aunque sí que hacen ver la necesidad de mucha más transparencia e información para despejar cualquier sospecha.

Anónimos (en teoría)

Los trabajos encargados se basan en que no se puedan identificar personas

Hay que tener en cuenta que la futura fase de desconfinamiento podría llevar, como ha ocurrido en otras partes del mundo, a que el Gobierno plantee una app que pueda hacer un seguimiento geolocalizado de los contagiados. Hay ejemplos en China, donde el gobierno tiene todos los datos, o Singapur, donde la aplicación colecta datos mediante bluetooth dentro del móvil para saber si alguien ha estado en contacto con un contagiado. Sólo se revela el dato a la autoridad si se dan casos positivos.

El laboratorio de innovación e investigación de la Cátedra de Industria Conectada (CIC) de la Universidad Pontificia de Comillas ha investigado el caso de éxito de Corea del Sur en la lucha contra la expansión del coronavirus. El país asiático se ha basado en dos estrategias paralelas. Por una parte, la realización masiva de tests. Por otra, el uso de una app que permite geolocalizar a las personas respecto a focos de contagio ya identificados y señalados en mapas.

Álvaro López, coordinador de la cátedra de investigadores de Tecnologías de la Sociedad de la Información de la Universidad de Comillas, destaca que Corea está muy avanzada “porque tuvo una crisis importante” con el virus del MERS (2015). “Se tomaron en serio todas las lecciones aprendidas. Promulgaron una serie de leyes para tenerlo todo preparado en una situación como esta. Esto implica que cuando se activa un estado de alarma le da al gobierno poderes para localizar a todo el mundo”, apunta.

La app coreana, “en función de donde habían estado personas que habían coincidido con un infectado, ponía un indice de riesgo, y si tenías en tu vecindad algún foco de contagio, te lo ponían claro en el mapa para esquivarlo”, explica López. En Corea agregaron la información, de forma que los usuarios eran anónimos. “Pero el Gobierno tiene acceso a todo —añade—. En Europa con el marco del GDPR puede haber algún tipo de conflicto mayor, ya que fuerza un consentimiento explícito. Siempre queda la duda de cómo interpretar el artículo relativo a una cuestión de interés común que lo justifique”, observa. En su opinión, en los países europeos, “con todas las precauciones, por la excepcionalidad de la situación, se podría ir un poco más allá”.

Julián Salas, investigador del grupo Kison del Internet Interdisciplinary Institute (IN3) de la Universitat Oberta de Catalunya (UOC), advierte que en el caso de que el Gobierno lleve a cabo cualquier acción que implique recolectar datos “deberían explicar bien cómo lo harán para anonimizarlos o para agregarlos, porque los datos no siempre son anónimos”. Este experto se refiere a que un cierto número de datos agregados “aumentan la privacidad pero no la garantizan del todo”. De forma simple, si sabemos dónde vive una persona y dónde trabaja, al cruzar datos podemos identificarla.

Para este investigador, ante estas acciones de las autoridades hay que pedir que expliquen “a qué datos tienen acceso, cómo los agregan, sobre cuánto tiempo, la precisión de la geolocalización”. “Es delicado —indica Salas— que digan que son anónimas. Lo que deben hacer es poner a disposición de los expertos qué métodos utilizan, también de protección, y deben ofrecer garantías de privacidad, además de explicar cómo se han procesado los datos”.

Eduard Blasi, profesor del posgrado de Protección de Datos de la UOC, apunta que “la orden del ministerio parecía clara. Si bien estaría mejor obtener más información sobre la técnica empleada, el Gobierno hizo un ejercicio bastante correcto al especificar que no quería datos concretos de individuos. Una medida que en principio parece proporcionada”.

El GDPR es de aplicación directa y cubre el 95% de los aspectos de privacidad. El resto corresponde a la normativa de cada país. Blasi asegura que “la normativa de protección de datos no permite la vigilancia de control masivo de los ciudadanos. La Comisión Europea ha dado pasos muy avanzados. En Asia han salido algunas apps que dudosamente podrían salir aquí”.