El perill de les ‘apps’
El Govern fa servir una empresa de màrqueting per a la seva aplicació contra el coronavirus
La Generalitat va treure el 18 de març StopCovid19, la primera app d'autodiagnòstic de covid-19 a Espanya. El seu objectiu és alleujar les trucades a emergències de gent amb símptomes. L'aplicació guia l'usuari respecte a si ha de seguir a casa o bé trucar a urgències. Les dades d'identitat i malalties que introdueixen els més de mig milió de ciutadans que se l'han descarregat són, per tant, molt sensibles.
“Hem superat tots els permisos de protecció de dades. Estem parlant de dades d'estat de salut que tenen la màxima protecció i ho hem fet tot amb rigor per tenir aquesta aplicació”, va dir en roda de premsa la consellera de Salut, Alba Vergés, poc després que sortís l'app.
L'aplicació StopCovid19 envia informació a tres dominis: api.backendcovid19.net, location.backendcovid19.net i mmm.mubiquo.com. Tots tres estan allotjats en servidors d'Amazon, segons una investigació de les apps d'autodiagnòstic espanyoles d’AppCensus, una empresa emergent situada a San Francisco que ofereix anàlisis i productes centrats en la privacitat.
En el nom d'un dels dominis apareix Mubiquo, el nom d'una empresa de màrqueting de Barcelona, que té com a eina estrella la Plataforma M i que serveix per “incrementar l'eficàcia del canal mòbil dels clients amb missatges personalitzats, localització i proximitat”. Al seu web citen com a clients L'Illa, Tous, Nestlé, BBVA o Santander.
La política de privacitat de l'aplicació no adverteix de la presència ni funció d'una empresa amb un negoci allunyat de la salut pública. EL PAÍS ha preguntat a la Generalitat i Mubiquo els detalls de la seva col·laboració. “L'aplicació que estem utilitzant fa servir Mubiquo com a plataforma push per poder enviar notificacions generals als usuaris, segmentats per idioma i eventualment per ubicació”, diuen fonts de Salut. “Aquesta plataforma no recull cap identificador d'usuari, ni informació relativa a les respostes del test d'autoavaluació: únicament recull l'identificador d'instal·lació, idioma i ubicació per poder enviar notificacions”, afegeixen. És a dir, Mubiquo captura la localització del més de mig milió de descàrregues de l'aplicació. El permís de localització és imprescindible per utilitzar l'eina. Cap altra app contra la covid-19 d'Espanya obliga a compartir localització. Segons la Generalitat, tanmateix, Mubiquo només tindria accés a un identificador de la descàrrega, no de l'usuari.
Però és realment així? Pot ser. O no. Cal refiar-se'n. AppCensus no ho pot comprovar. La informació va a tres dominis. A un d'ells va aquest identificador de descàrrega amb el DNI i altres dades personals. El president executiu de Mubiquo, Rubén Aparicio, respon que no hi ha relació entre els dominis: “No existeixen crides al nostre entorn ni a cap altre tercer relacionades amb dades de salut ni de caràcter personal, d'aquest servei s'encarrega la Generalitat”, diu.
La presidenta del Supervisor Europeu de Protecció de Dades, Andrea Jelinek, ha publicat una carta oberta sobre aplicacions i coronavirus: “El desenvolupament d'apps s'ha de fer d'una manera responsable i el codi s'hauria de penjar en obert per al màxim escrutini possible per part de la comunitat científica”. Els dos servidors que presumptament són de la Generalitat no estan firmats per cap certificat oficial de l'organisme, amb la qual cosa res no prova els arguments de Salut i Mubiquo més enllà de la confiança.
La transparència necessària
Els dubtes sobre qui gestiona les dades de centenars de milers de catalans guanyen pes quan és probable que en els propers mesos les autoritats catalanes, espanyoles, europees demanin a desenes de milions de ciutadans que es descarreguin una app per rastrejar contagis. La confiança en aquest instrument tecnològic només arribarà amb transparència i auditories. La facilitat i lleugeresa amb la qual ara es construeixen apps marca un camí poc prometedor.
"Això és una raó convincent perquè les apps finançades amb diners públics i fetes per a l'interès públic siguin de codi font obert", diu Joel Reardon, professor a la Universitat de Calgary (Canadà) i cofundador d'AppCensus. "El problema principal és que hi ha d'haver transparència i vigilància", afegeix Serge Egelman, investigador a l'ICSI (International Computer Science Institute) a Berkeley (Estats Units) i director tècnic d'AppCensus.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.