Entre las implicaciones que tiene la crisis del coronavirus hay una que tiene que ver con la tensión entre los derechos fundamentales, la privacidad y la tecnología: el teletrabajo al que muchos nos hemos visto obligados nos ha llevado a utilizar la plataforma Zoom, que ha resultado tener brechas en su política de privacidad, y para controlar la expansión del COVID-19, gobiernos como el español han lanzado app de autodiagnóstico, y manejan datos estadísticos para analizar la expansión de la pandemia apoyándose en información del INE o de Google Maps. Hablamos con el equipo directivo de la Fundación Datos Protegidos.

En las últimas semanas, debido a las normas de confinamiento del Estado de Alarma, en España sea intensificado el uso de Zoom. Varios medios han detectado que esta plataforma no tiene una política de privacidad rigurosa, ¿no? Los cambios que Zoom aplicó el 29 de marzo a sus términos y condiciones (T&C) van en la dirección correcta, al hacer más explícitas y precisas las descripciones de los usos de los datos. Pero los T&T continúan siendo suficientemente vagos para pasar información a terceros de maneras que no sean obvias. Por ejemplo, en su blog la compañía admite que comparte “metadata” con “paneles”, llamándole además metadata al nombre o la dirección de correo electrónico del usuario, lo cual es un dato personal. No está claro si la filtración de datos que hacía Zoom sobre usuarios iOS hacia Facebook o los cruces de datos que la compañía venía haciendo con LinkedIn contravenía a sus T&C previos. Lo bueno es que han dejado de llevar a cabo estas prácticas. Lo malo es que solo dejaron de hacerlo cuando fueron pillados. Además de lo descrito hasta aquí, se han descubierto varias fallas graves en sus sistemas que crean vulnerabilidades a los usuarios: se trata de fallas que no necesariamente son por diseño, pero demuestran poco cuidado con el tema a nivel técnico. Si bien en su oferta publicitaria Zoom habla protección de privacidad, seguridad y cifrado, investigadores demostraron que la comunicación entre usuarios solo usa TLS de 128 bits, lo que es una protección muy básica, y que para el intercambio de los datos así cifrados la empresa utiliza llaves de acceso que se envían a servidores múltiples, algunos de los cuales se ubican en China, país donde por requerimiento jurisdiccional el Estado tiene acceso a todo.

¿Qué alternativas recomendáis? Para videoconferencias a las que deban conectarse hasta diez personas recomendamos Jitsi. Es una plataforma de código abierto y gratuita que consideramos tiene una buena política de privacidad y uso de datos. Además es tanto o más fácil de usar y funcional que alternativas comerciales. En casos que requieren más participantes, la respuesta es un poco más compleja, en especial si se trata de organizaciones, escuelas o compañías.  Hay que considerar los términos y condiciones caso a caso y si no son de fácil lectura consultar otras fuentes o pedir ayuda experta. Esto es importante no solo para defender la privacidad de los usuarios, también puede ser crítico para una organización, por la responsabilidad que le cabe al obligar a sus usuarios a utilizar determinada plataforma. Ser responsable y punible por pérdidas o filtraciones de datos de terceros puede ser un gran dolor de cabeza para una empresa.

En España, como en otros países, se ha activado una app de autodiagnóstico de la Covid-19, donde la geolocalización del usuario es opcional. ¿Qué tenemos que controlar de esos sistemas para que se respete la privacidad de nuestros datos? Para que se respete la privacidad de nuestros datos es necesario que en el desarrollo e implementación de estos sistemas se considere el resguardo de nuestra información frente a usos indeseados por terceros, en este sentido, se debe considerar que los datos de salud son extremadamente delicados. Todo uso que pueda ser legítimo frente al contexto de COVID19 requiere tomar medidas que evalúen el riesgo de la afectación a nuestras libertades, para que se tomen soluciones que impliquen la menor intromisión y divulgación de los datos. Para ello, el consentimiento debe ser siempre requerido, la anonimización o seudo anonimización de los datos debe ser considerado como alternativas viables, la infraestructura donde se almacenan, recolectan, analizan así como también los mecanismos de distribución de esta información deben conceder garantías a sus titulares de que sus datos no serán utilizados por terceros con usos distintos a los señalados al momento de su captura, asimismo la transferencia transfronteriza de datos debe ser fuertemente regulada para que en todo momento se respete el principio de finalidad, el cual por lo demás debe estar limitado al contexto de la emergencia de la pandemia y no a usos comerciales. En definitiva, no existe una oposición total al uso de tecnologías para enfrentar la pandemia pero se pide que se respeten los derechos fundamentales de las personas, lo que implica que los riesgos que puedan afectar nuestra privacidad por parte de terceros como de los Estados sea disminuido de tal forma que su uso sea necesario y proporcional, ya que de otra forma no existiría justificación para utilizar dichas tecnologías.

¿Puede haber un exceso de controles en nombre de la Salud Pública, de la misma manera que ocurrió tras el 11S con la seguridad? En la práctica, creo que esta es otra forma de utilizar objetivos que pueden ser legítimos para limitar nuestras libertades y garantías fundamentales. Una sociedad vigilada por el motivo que sea, es un reto no sólo para la protección de datos sino que para el ejercicio de nuestros derechos en una sociedad democrática. Lo que vivimos actualmente se podría asemejar fuertemente a las consecuencias posteriores al 11S.

En realidad, a las empresas tecnológicas ya las autorizamos a tener gran parte de estos datos que ahora recaban los Estados, ¿no? ¿Qué representa mayor peligro? Quizás este sea el tema más complejo, porque el análisis de datos ha llegado a tal punto que hoy se consideran algunas señales de comportamiento, por ejemplo la geolocalización de usuarios, como datos que no pueden ser efectivamente anonimizados. En base a solo algunas coordenadas de tiempo y espacio, es posible identificar con alta fiabilidad a una persona, de manera que la información de ubicación de personas puede ser casi tan personal como la biometría. En consecuencia, el traspaso de esos datos por parte de las compañías de telecomunicaciones, a Estados o a otras empresas, crea una potencial pesadilla desde el punto de vista de la privacidad. Pues quien tenga acceso a esos datos, aunque hayan sido anonimizados al no incluir datos identificatorios como nombre, teléfono, IMEI, etc., puede aplicar análisis que, en conjunto con otros datos puede revelar las identidades y por lo tanto los desplazamientos de todas las personas incluídas en un dataset. ¡Qué no darían por tener eso empresas aseguradoras o empresas publicitarias! Y esto nos lleva a lo de las grandes tecnológicas. Sin pedir permiso a nadie y bajo el alero de una acción de aparente interés público, Google ha liberado análisis de localizaciones de sus usuarios en todo el mundo. Por una parte, no está entregando la información de manera suficientemente granular para que se pueda extraer información de personas específicas, y eso está muy bien, pero con esta acción la compañía está naturalizado uno de los aspectos más cuestionables de su negocio: la colección de datos de comportamiento, y eso está muy mal.