El peligro de las apps: la Generalitat emplea una empresa de marketing en su aplicaci¨®n contra el coronavirus

La Generalitat de Catalunya sac¨® el 18 de marzo StopCovid19, la primera app de autodiagn¨®stico de la Covid-19 en Espa?a. Su objetivo es aliviar las llamadas a emergencias de gente con s¨ªntomas. La app gu¨ªa al usuario sobre si debe seguir en casa o llamar a urgencias. Los datos de identidad y dolencias que introducen los m¨¢s de medio mill¨®n de ciudadanos que se la han descargado son por tanto muy sensibles.

¡°No hay ning¨²n acuerdo para vender esos datos. Hemos pasado todos los permisos de Protecci¨®n de datos. Estamos hablando de datos de estado de salud que tienen la m¨¢xima protecci¨®n y lo hemos hecho todo con rigor para poder tener esta aplicaci¨®n¡±, dijo en rueda de prensa la consellera de Salut de la Generalitat, Alba Verg¨¦s, al poco de salir la app.

La app StopCovid19 manda informaci¨®n a tres dominios: api.backendcovid19[.]net, location.backendcovid19[.]net y mmm.mubiquo[.]com. Los tres est¨¢n alojados en servidores de Amazon, seg¨²n una investigaci¨®n de las apps de autodiagn¨®stico espa?olas de AppCensus, una startup ubicada en San Francisco que ofrece an¨¢lisis y productos centrados en privacidad.

En uno de los dominios aparece el t¨¦rmino Mubiquo, el nombre de una empresa de m¨¢rketing de Barcelona, cuya herramienta estrella se llama Plataforma M y que sirve para ¡°incrementar la eficacia de tu canal m¨®vil con mensajes personalizados, localizaci¨®n y proximidad¡±. En su web, citan como clientes a L¡¯Illa, Tous, Nestl¨¦, BBVA o Santander.

La pol¨ªtica de privacidad de la app no advierte de la presencia ni funci¨®n de una empresa cuyo negocio est¨¢ alejado de la salud p¨²blica.

EL PA?S pregunt¨® a la Generalitat y Mubiquo los detalles de su colaboraci¨®n. ¡°La aplicaci¨®n que estamos utilizando emplea Mubiquo como plataforma push para poder enviar notificaciones generales a los usuarios, segmentados por idioma y eventualmente por ubicaci¨®n¡±, dicen fuentes del Departament de Salut. ¡°Esta plataforma no recoge ning¨²n identificador de usuario, ni informaci¨®n relativa a las respuestas del test de autoevaluaci¨®n: ¨²nicamente recoge el identificador de instalaci¨®n, idioma y ubicaci¨®n para poder enviar notificaciones¡±, a?aden.

Es decir, Mubiquo captura la localizaci¨®n del m¨¢s de medio mill¨®n de descargas de la app. El permiso de localizaci¨®n es imprescindible para usar la app. Ninguna otra app contra la Covid-19 de Espa?a obliga a compartir localizaci¨®n. Seg¨²n la respuesta de la Generalitat, sin embargo, Mubiquo solo tendr¨ªa acceso a un identificador de la descarga, no del usuario.

?Pero es realmente as¨ª? Puede ser. O no. Hay que fiarse. AppCensus no puede comprobarlo. La informaci¨®n pasa por tres dominios. A uno de ellos va ese identificador de descarga junto al DNI y otros datos personales. El presidente ejecutivo de Mubiquo, Rub¨¦n Aparicio, responde que entre los dominios no hay relaci¨®n: ¡°No existen llamadas a nuestro entorno ni a ning¨²n otro tercero relacionadas con datos de salud ni datos de car¨¢cter personal, de ese servicio se encarga el backend de la Generalitat¡±, dice.

Europa no lo aprueba

La presidenta del Comit¨¦ Europeo de Protecci¨®n de Datos, Andrea Jelinek, ha publicado una carta abierta sobre apps y coronavirus: ¡°El desarrollo de apps debe ser hecho en un modo responsable y el c¨®digo deber¨ªa ser colgado en abierto para el mayor escrutinio posible por la comunidad cient¨ªfica¡±.

Los dos servidores que presuntamente son de la Generalitat no est¨¢n firmados por ning¨²n certificado oficial del organismo, con lo que nada prueba los argumentos de Salut y Mubiquo m¨¢s all¨¢ de la confianza. En su carta, Jalinek pide expresamente que la privacidad debe ser ¡°por dise?o, no por confianza¡±. Por si fuera poco, la localizaci¨®n permanente de un ciudadano es muy f¨¢cil de desanonimizar.

Estas dudas sobre qui¨¦n gestiona los datos de cientos de miles de catalanes ganan peso cuando es probable que en los pr¨®ximos meses las autoridades catalanas, espa?olas y europeas pidan a decenas de millones de ciudadanos que se descarguen una app para rastrear contagios. La confianza en ese instrumento tecnol¨®gico solo llegar¨¢ con transparencia y auditor¨ªas. La facilidad y ligereza con la que ahora se construyen apps marca un camino poco prometedor.

¡°Esto es una raz¨®n convincente para que las apps financiadas con dinero p¨²blico y hechas para el inter¨¦s p¨²blico sean de c¨®digo abierto¡±, dice Joel Reardon, profesor en la Universidad de Calgary (Canad¨¢) y cofundador de appCensus. ¡°El problema real es que debe haber transparencia y vigilancia¡±, a?ade Serge Egelman, investigador en el ICSI (International Computer Science Institute) en Berkeley (Estados Unidos) y director t¨¦cnico de appCensus.

La app StopCovid19 no solo no es transparente con el c¨®digo en abierto: en sus condiciones legales proh¨ªbe el an¨¢lisis mediante ingenier¨ªa inversa. Es un intento de limitar la investigaci¨®n de la comunidad de expertos en privacidad.

La Autoritat Catalana de Protecci¨® de Dades, consultada por EL PA?S, interpreta que en este caso la comunicaci¨®n de que el ¡°responsable del tratamiento¡± (el Departament de Salut) tiene un ¡°encargado del tratamiento¡± (Mubiquo) no es obligatoria, aunque el ¡°responsable debe velar porque el encargado re¨²na las garant¨ªas necesarias¡±. ?Y una empresa de marketing re¨²ne esas garant¨ªas? ¡°En funci¨®n de cu¨¢l sea la otra actividad s¨ª pueden aumentar los riesgos¡±, dicen, y a?aden este detalle fin¨ªsimo: ¡°En este caso, Mubiquo no ser¨ªa propiamente una empresa de marketing sino una empresa de soluciones de marketing para m¨®vil¡±.

Una empresa como Mubiquo, que tiene una plataforma que ofrece como servicio cuando un usuario entra por ejemplo en un centro comercial, tendr¨ªa f¨¢cil aprovechar la ubicaci¨®n permanente de cientos de miles de catalanes. La app incluye tambi¨¦n c¨®digo por ahora sin utilizar de geofencing, que se emplea para saber cu¨¢ndo un m¨®vil est¨¢ en un espacio concreto. Si llegara el caso en que la Generalitat necesitara advertir a alguien de que no puede salir de una calle, barrio o ciudad, la app y Mubiquo ya est¨¢n a punto.

Mubiquo coge adem¨¢s el GPS con todos sus decimales. Para mandar notificaciones a usuarios, que es el presunto motivo por el que est¨¢ ah¨ª, es improbable necesitar tanta precisi¨®n. Puede minimizarse la obtenci¨®n de datos ¨Cotro principio b¨¢sico en privacidad recordado por el Comit¨¦ europeo¨C redondeando la cifra a nivel de calle, barrio o c¨®digo postal. Estas precauciones no son solo para evitar malos usos de datos sensibles, sino tambi¨¦n filtraciones o robos. Un cibercriminal ya sabe d¨®nde buscar si quiere la localizaci¨®n durante semanas de un 10% de los catalanes.

M¨¢s ejemplos en otras regiones

La app catalana no es la ¨²nica que genera dudas. La vasca, Covid19.eus, est¨¢ desarrollada por una empresa privada pero al menos en la pol¨ªtica de privacidad advierten de qui¨¦nes son y a qu¨¦ tienen acceso, aunque su impacto en descargas en el Pa¨ªs Vasco ha sido menor. Como la catalana, su c¨®digo tampoco est¨¢ abierto ni est¨¢ bien documentada con un an¨¢lisis independiente. Tampoco respeta el principio de minimizaci¨®n al obtener datos, que pide el Comit¨¦ europeo.

La app CoronaMadrid y la del Gobierno, AsistenciaCovid19, que se usa de momento en cinco comunidades, tienen al menos dos problemas. Madrid fue un piloto nacional. Todos los datos van a servidores de Google, que es una enorme empresa cuyo negocio principal es vender anuncios y est¨¢ bajo jurisprudencia de otro pa¨ªs. La app nacional lleg¨® d¨ªas m¨¢s tarde que CoronaMadrid, aunque el equipo de desarrolladores fue el mismo. Las dos apps se parecen tanto que incluso la base de datos podr¨ªa ser la misma, seg¨²n el informe, lo que podr¨ªa incurrir en fraude.

Jorge Garc¨ªa Herrero, abogado especializado en privacidad, no lo ve tan grave: ¡°Si se volcaran los datos de forma consciente y deliberada y se trataran a la vez todos juntos, s¨ª existir¨ªa corresponsabilidad y se estar¨ªa defraudando la confianza de los usuarios al no darse esa informaci¨®n. Pero con franqueza, desde el sentido com¨²n, m¨¢s bien parece que el Gobierno de Espa?a ignora este hecho, o que no cree que sean la misma base de datos por implementaci¨®n de medidas t¨¦cnicas que son l¨®gicamente posibles¡±, explica.

?Tienes m¨¢s informaci¨®n sobre esta noticia? Puedes contactar con el autor en jordipc@elpais.es