Rastreo de contactos digital: presente y futuro en Perú

Tras cien días de confinamiento obligatorio, muchos nos preguntamos en qué condiciones podríamos volver a salir a la calle y retomar nuestras actividades. Además de medidas de prevención obligatorias como mantener distancia social y usar mascarillas, se ha comentado mucho sobre la estrategia epidemiológica del “rastreo de contactos”. Es decir, la práctica de identificar y monitorear por distintos medios a personas que pueden haber entrado en contacto con una persona infectada para prevenir que se convierten en nuevos vectores de contagio. Esta práctica de salud pública, conocida y aplicada desde hace décadas, ha cobrado una nueva dimensión durante la actual crisis del Covid-19. Diversos países vienen ensayando el “rastreo de contactos digital” o “rastreo de proximidad” mediante el uso de dispositivos móviles que operan como “testigos” de los contactos entre personas. Hace unas semanas, mi colega Edgar Huaranga escribió sobre cómo las tecnologías de geolocalización y Bluetooth se utilizan en estos casos y cuáles son sus limitaciones.

En Perú se viene hablando del seguimiento de contactos digital casi desde el inicio de la emergencia sanitaria. De hecho, la propuesta inicial de los fundadores de Kambista que gatilló el proceso de creación de la aplicación “Perú en tus Manos” (PETM) ya buscaba seguir los contactos de los contagiados. A inicios de mayo, la Presidencia del Consejo de Ministros anunciaba el lanzamiento “en breve” de dicha funcionalidad a través de la aplicación PETM. El Ministro de Salud señaló en conferencia de prensa del 15 de junio que la actividad de seguimiento de contactos y casos, como parte de las actividades de vigilancia epidemiológica, venía siendo desplegada en el país desde el inicio de la emergencia. En particular, detalló que el seguimiento remoto se estaba llevando a cabo vía telefónica y que pronto se realizaría también por la aplicación para celulares. Un informe de la Secretaría de Gobierno Digital de fines de mayo obtenido por Hiperderecho explica el plan de usar GPS y Bluetooth para el trazado de contactos masivo digital a través de “modelación estadística.”

En Hiperderecho hemos escrito bastante sobre la falta de rumbo de la respuesta tecnológica del Estado a la emergencia, ejemplificada en la aplicación Perú en tus Manos, que muchos todavía cargamos sin saber porqué. Deliberadamente hemos evitado profundizar en las tecnologías de rastreo de contactos porque aunque fue algo prometido desde el inicio, a la fecha no existe una propuesta pública clara del Estado sobre cómo se piensa implementar. Sin embargo, dada la situación actual, es necesario adelantar nuestra posición sobre qué condiciones mínimas se deben exigir para el despliegue de cualquier tecnología de seguimiento de contactos digital:

  1. No debe presentarse sin una rendición de cuentas sobre el éxito o fracaso de los mecanismos de seguimiento de contactos anteriores.
  2. No debe estar permitido que la implementación de seguimiento de contactos digital habilite el almacenamiento centralizado de la información (desplazamientos y contactos de los usuarios). Tampoco debe estar permitido que esta base de datos se crucen con otras para propósitos ajenos a los de tipo sanitario.
  3. No debe presentarse como una iniciativa particular, sino como parte de un programa integral estatal, con norma habilitante, presupuesto asignado, así como recursos humanos y protocolos de ejecución del monitoreo de los casos sospechosos.

¿Fracasó la geolocalización?

A muchos les sorprenderá saber que en Perú tenemos, al menos sobre el papel, dos mecanismos de rastreo de contactos tecnológicos para el Covid-19. Desde abril están funcionando (i) el Grupo de Trabajo “Te Cuido Perú,” que tiene la potestad de solicitar a los operadores de telecomunicaciones la geolocalización por antenas celulares de cualquier persona que reporte síntomas; y, (ii) la aplicación Perú en tus Manos, que recoge la geolocalización precisa de todos los celulares del más de millón y medio de personas que la tienen instalada. ¿Cómo han funcionado estos sistemas? ¿Cuántas solicitudes de geolocalización se han enviado a las operadoras? ¿Cuántas personas han sido notificadas por haber estado en una zona de riesgo según la aplicación? Nadie lo sabe.

Salvo el procedimiento administrativo sancionador que la Dirección de Protección de Datos Personales inició contra EsSalud y el Ministerio de Defensa por divulgar los datos de pacientes contagiados, no hemos tenido más noticia del funcionamiento del Grupo Te Cuido Perú. La aplicación PETM, por su parte, continúa recogiendo silenciosamente la ubicación de cientos de miles de peruanos sin que entendamos para qué usa esta información, tengamos noticias de cuántas alertas ha generado, o cuántas pruebas se han realizado en base a sus resultados. Modificaciones recientes a su Política de Privacidad han ampliado la lista de entidades que también reciben esta información, incluyendo a las municipalidad de Lima Metropolitana.

El Gobierno necesita sincerar esta información antes de pretender incluir una nueva forma de rastreo de contactos. Si no se ha logrado contar con las pruebas y el personal suficiente para usar la información que ya tiene, ¿qué nos hace pensar que una monitorización más precisa y constante del mismo grupo de usuarios mejorará las cosas?

Solucionar un problema creando otro

Utilizar la tecnología de Bluetooth para el rastreo de contactos digital continúa siendo una idea nueva y sin evidencia suficiente en el mundo. Según el documento guía sobre el tema de la Organización Mundial de la Salud (OMS), no existe todavía forma de evaluar la efectividad de un sistema de rastreo de contactos digital. Incluso bajo la experiencia de otros países como Corea del Sur o Singapur, la OMS resalta la relevancia de que solo va a funcionar en países con una gran cantidad de teléfonos móviles y para conseguir su propósito debe de ser usada por el 60% a 75% de la población.

La ausencia de evidencia o indicadores para su eficacia debilita en la balanza la proporcionalidad de la medida. Nuestro Estado no es ajeno a las prácticas de registro masivo de información privada (como el mandato vigente de retención de datos de las telecomunicaciones). No obstante, la implementación de un sistema estatal que monitoree los desplazamientos y/o los contactos interpersonales de millones de ciudadanos implica un nivel superior de intrusión en la privacidad. Un nivel particularmente alarmante si entendemos que es información sobre salud y la condición de estar contagiado de la enfermedad más temida de nuestra historia reciente.

Por eso, no solo se necesita preservar adecuadamente los datos recolectados sino diseñar las aplicaciones y servicios desde la privacidad. Es decir, en lugar de esperar que lo recolectado no se pierda ni caiga en malas manos, es imperativo recolectar solo lo mínimo indispensable. Empresas como Apple y Google y hasta el Comité Europea de Protección de Datos o la propia OMS recomiendan que en estas aplicaciones (i) no se combinen datos de ubicación (GPS) con proximidad (Bluetooth) y, fundamentalmente, (ii) que funcionen de manera descentralizada. Lamentablemente, lo poco que se conoce de la propuesta del Estado peruano indica que piensan desconocer abiertamente estas recomendaciones, combinar distintas fuentes de datos y almacenar centralizadamente la información.

La única manera ética y legal de implementar una aplicación de este tipo en el país es bajo un diseño descentralizado. Es decir, la información de con quién se cruzó una persona o cuándo se debe de almacenar exclusivamente en los teléfonos. De la misma manera, las alertas de riesgo deben procesarse en el mismo dispositivo en lugar de un servidor centralizado estatal. Esto no solo es una obligación legal según los principios de minimización de recolección y privacidad por diseño, sino también una estrategia honesta de reducción de riesgos. El gobierno ha demostrado no tener la madurez ni transparencia tecnológica suficiente para desarrollar tecnología con seguridad.

Países como Reino Unido, Noruega o Italia intentaron usar el modelo centralizado de recolección de datos y fracasaron, retirando sus aplicaciones a las pocas semanas o volviéndolas descentralizadas, por la desconfianza de la población, su poca adopción o preocupaciones de privacidad. Apple y Google, dos gigantes del desarrollo tecnológico, eligieron modelar su API especial de manera descentralizada, renunciando a recolectar esos datos y previniendo a los Estados de hacerlo con su ayuda. Colombia ha seguido una ruta de errores similar presentando una aplicación que no ha dejado contento a nadie.

Tecnología como herramienta, no como resultado

Las aplicaciones de seguimiento de contacto no van a derrotar al Covid-19 ni subsanar las carencias de nuestro sistema de salud pública. Presentar una aplicación de seguimiento de contactos no es un logro de salud pública en sí mismo. Lograr identificar y aislar a posibles contagiados es la verdadera meta. Por eso, ninguna aplicación de seguimiento de contactos digital debería de presentarse sin un presupuesto especial, plan de despliegue, indicadores de adopción o desempeño y protocolos para los equipos de seguimiento de contactos a desplegar.

El Estado necesita presentar también un plan serio con recursos y transparencia sobre quiénes harán el rastreo de contactos, qué capacidad tienen de movilizar pruebas y bajo qué protocolos actuarán. Sin este marco de referencia, reconocido por la propia OMS como indispensable en cualquier modelo serio, una aplicación de seguimiento de contactos es simplemente una activación publicitaria, totalmente inútil para combatir los contagios y peligrosa para el Estado y sobre todo para los usuarios de la aplicación.

En particular, no podemos perder de vista que es precisamente la población con menor acceso a servicios básicos como educación o agua la más golpeada por esta crisis. Introducir una medida de salud pública exclusiva para quienes porten un teléfono inteligente y tengan las competencias para instalar una aplicación puede abrir una nueva brecha de acceso a la salud entre clases sociales. Peor todavía, experiencias recientes en India nos advierten del peligro de que estas aplicaciones se conviertan en una suerte de salvoconducto de salud excluyendo a quienes no tienen la aplicación de acceso a centros comerciales, servicios de transporte o centros de trabajo.

Hay muchos factores que no controlamos en esta crisis. En correspondencia, la respuesta estatal a la emergencia sanitaria ha tenido muchos aciertos y también varios errores. Pero un error que sí podemos evitar es no hacer caso de las recomendaciones internacionales ni ignorar los errores de otros países.

Este artículo es parte de nuestra serie especial sobre la emergencia del Covid-19 y nuestros derechos digitales. Síguenos en Facebook, Twitter e Instagram para a recibir nuestro análisis más reciente.

Foto: Ministerio de Agricultura (CC BY-NC)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *