Aplicaciones para el rastreo de contactos: una prueba para el derecho a la intimidad en Europa

Anna Bacciarelli, investigadora sobre IA y macrodatos de Amnistía Internacional

Con un tercio del mundo confinado en un intento de frenar la propagación del coronavirus, los gobiernos exploran soluciones tecnológicas que contribuyan a reducir las restricciones a la circulación. Las aplicaciones de rastreo de contactos son la herramienta tecnológica del momento, aunque sin el debido control, estas herramientas tienen el potencial de alterar de forma fundamental el futuro de la intimidad y de otros derechos humanos. Al hacer frente a la pandemia, hemos de evitar que Europa entre sonámbula en un estado permanente de vigilancia ampliada.

Las directrices de la Comisión Europea sobre el rastreo de contactos, publicadas la semana pasada, son un punto de partida para que los Estados eviten ese camino. Elaboradas por los Estados de la UE con la Comisión, contienen orientaciones para que los Estados Miembros exploren nuevos métodos de recogida de datos en una crisis de salud pública, al mismo tiempo que les recuerdan sus obligaciones existentes en materia de derechos humanos. Este “enfoque común europeo” sobre el establecimiento de normas y la supervisión, si se desarrolla como es debido, podría contribuir a fomentar la circulación de personas entre Estados Miembros de la UE y estimular el crecimiento económico.

Los derechos humanos siguen vigentes en época de crisis

Las propuestas establecen que las aplicaciones han de ser conformes al RGPD (Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos), petición que, según las entidades reguladoras de datos de la UE, no es sólo posible, sino necesaria. Aunque en una crisis de salud pública hay ciertas exenciones limitadas de la aplicación del Reglamento como en una situación normal, esto no significa dar luz verde a los Estados para que ignoren los requisitos legales vigentes.

El derecho internacional de los derechos humanos sigue siendo de aplicación, y cualquier injerencia en la intimidad debe seguir siendo legítima, necesaria y proporcionada. Amnistía y alrededor de otros 100 grupos de derechos han expuesto las condiciones que han de cumplir los Estados cuando introduzcan un aumento de la vigilancia digital para hacer frente a la pandemia.

Las directrices de la UE promueven principios de derechos humanos y para la recogida de datos, fomentando un loable enfoque “suave” de los Estados al recomendar que las aplicaciones sean voluntarias y se eliminen rápidamente una vez que haya pasado la crisis. Pero la enorme confusión y las contradicciones que recorren estas propuestas hacen sonar las alarmas.

Las aplicaciones descentralizadas favorecen la intimidad

Las directrices se presentaron con una recomendación principal de usar aplicaciones de rastreo de contactos descentralizadas —del tipo de las que aparentemente proporcionarán Apple y Google—, que dan mucho menos acceso a los datos personales a las agencias gubernamentales y son la opción adecuada en lo que se  refiere a proteger la intimidad y otros derechos humanos. No obstante, esta recomendación se ve debilitada enseguida por la exposición de las “limitaciones” derivadas de los enfoquen que anteponen la intimidad.

Estamos sólo ante unas directrices y las aplicaciones de rastreo de contactos pueden variar enormemente en cuanto a función y diseño, pero a veces parece que las propuestas propugnan aplicaciones que no sólo se conectan a una base de datos centralizada del gobierno, sino que permiten la existencia de una base de datos paneuropea interconectada. Esto sería un paso firme en la dirección equivocada para los derechos humanos, pues abriría la puerta para que los Estados accedan a nuevas cantidades ingentes de información delicada y a oportunidades para compararlos con datos antes disociados —no sólo en el ámbito nacional, sino también en el internacional—, lo que conferiría a los gobiernos inmensos y nuevos poderes para discriminar basándose en esta información.

Las aplicaciones de rastreo de contactos deben tener alcance limitado, y un propósito y unas limitaciones claramente definidos. Hay muchas posibilidades de cambio subrepticio aquí, con los Estados recogiendo datos “por si acaso” o intentando fusionar información con bases de datos existentes. Toda aplicación de rastreo de contactos deberá ser objeto de un examen riguroso y periódico de unas autoridades independientes de protección de datos  para garantizar que su uso es conforme a las leyes y normas de derechos humanos y sobre protección de datos.

Aunque se propone sólo el uso voluntario, las directrices subrayan que, para que sean efectivas, las aplicaciones deberán ser adoptadas por más de la mitad de la población de los Estados miembros. Sólo cabe esperar que los Estados entiendan que esto es un indicador de los límites de las aplicaciones de rastreo de contactos y no un estímulo para presionar a su población. En Corea del Sur, donde el programa de rastreo de contactos es considerado un ejemplo de buena práctica, las personas están obligadas a entregar una cantidad enorme de datos, lo que representa un problema significativo de derechos humanos.

La Comisión debe aclarar que, para proteger los derechos humanos, toda aplicación de rastreo de contactos deberá tener un enfoque descentralizado. Para evitar que los Estados se extralimiten, las directrices deben explicitar qué datos se pueden recoger en qué circunstancias, dónde y cómo pueden ser almacenados y, lo que es crucial, qué recogida de datos y prácticas son inapropiadas. Hay un poco más de claridad por parte de entidades reguladoras de datos de la UE hoy sobre las líneas rojas para la recogida de datos de las aplicaciones de rastreo de contactos, pero ¿hasta qué punto están escuchando los Estados?

El enfoque común europeo no está yendo exactamente según lo planeado. France ha pedido a Apple que elimine las protecciones de la intimidad para establecer una aplicación centralizada. Austria y Suiza han optado hoy por modelos descentralizados. Países Bajos, que acogió una turbulenta competición para promover el desarrollo de aplicaciones (appathon), afortunadamente, tras las intervenciones de Amnistía y otros, se dio cuenta de la complejidad de tamaña empresa y concluyó que hacía falta más tiempo.

Para que esta tecnología funcione, la ciudadanía tiene que confiar en que su uso redunda en su propio interés. Necesitamos saber que todas las entidades dedicadas a la creación, operación y revisión actúan para servir nuestro interés superior y protegerán nuestros derechos humanos durante la crisis y después de ella. Sobre todo en momentos de emergencia, no podemos dar por supuesto que los Estados harán lo correcto: necesitamos transparencia en cada paso del recorrido.

No está aún claro hasta qué punto las aplicaciones de rastreo de contactos podrán aliviar la presión sobre los sistemas de salud. No son más que una herramienta que pueden usar los Estados para gestionar esta pandemia, pero deben verse a la luz del día, con todas sus limitaciones y fallos, y nunca deben implementarse a costa de los derechos humanos.