¿Qué tan anónima es la aplicación de rastreo de contactos NHS Covid-19?
hace 5 años
En la Isla de Wight, la aplicación de rastreo de contactos del NHS está marcando la diferencia. Alrededor de 25 personas por día se someten a pruebas de coronavirus después de informarlo a través de sus teléfonos y más de 50,000 personas han descargado el software, dijo el jefe de datos de Inglaterra.
Pero están surgiendo grietas. Los grupos de Facebook para la isla están llenos de personas que se preguntan si la aplicación funciona correctamente y si alguna vez funcionará en su viejo teléfono inteligente. Las personas son paranoicas sobre la privacidad de los datos. También hay preguntas sobre el algoritmo que asigna automáticamente a todos un puntaje de riesgo y el propósito más amplio de la aplicación.
Como resultado, el gobierno del Reino Unido no ha descartado alejarse de su aplicación centralizada al modelo descentralizado propuesto por Apple y Google. "Si necesitamos cambiar nuestra aplicación, lo haremos", dijo el secretario de comunidades Robert Jenrick. Ya se ha comenzado a trabajar en una segunda aplicación de rastreo de contactos.
Las preguntas técnicas iniciales sobre la aplicación han sido, en su mayoría, respondidas. NHSX, el nuevo brazo tecnológico del servicio de salud, publicó el código fuente para las versiones iOS y Android de la aplicación el 7 de mayo. Hasta ahora, esto solo incluye la interfaz con la información de fondo sobre lo que sucede en los servidores NHS aún no se ha publicado. Sin embargo, esto ha aclarado en gran medida algunas preocupaciones que sugerían que la aplicación no funcionaría correctamente en iPhones.
El análisis de la compañía de software Reincubate ha demostrado que los desarrolladores del NHS han empleado una ingeniosa ingeniería para asegurarse de que la aplicación funcione. Antes de que se publicara el código fuente, Apple dijo que la técnica empleada por el NHS era nueva y no probada, pero crucialmente no rompió ninguno de los términos de servicio de la empresa. (Australia, que también rechazó a Apple y Google, ha tenido problemas para que los dispositivos iOS funcionen correctamente).
Para que las personas utilicen la aplicación, debe haber confianza. Uno de los mayores riesgos de la aplicación de seguimiento de contactos centralizada del Reino Unido, donde los datos de Bluetooth sobre la cercanía de los usuarios se combinan con cierta información de código postal en una base de datos, es el riesgo de que se identifique a las personas y a quienes han estado cerca. Pero, ¿qué tan realistas son esas preocupaciones?
La aplicación en sí no recopila información que obviamente revelaría la identidad de alguien: no es necesario proporcionar su dirección de correo electrónico o nombre, no se recopilan datos de GPS, ni la aplicación solicita acceso a muchos datos en su teléfono. El secretario de salud, Matt Hancock, dijo que la aplicación alertará "anónimamente" a las personas cuando hayan estado cerca de quienes informan síntomas de coronavirus. Y el documento legal, la evaluación de impacto de protección de datos (DPIA), que describe cómo la aplicación maneja los datos de las personas también se refiere al sistema como anónimo.
Pero según las leyes de protección de datos, la aplicación no es anónima. El RGPD y las reglas de protección de datos del Reino Unido definen los "datos personales" como algo que puede identificar a un individuo. Bajo GDPR, un identificador asignado a un teléfono puede considerarse datos personales. (En el pasado, la dirección IP de una persona se consideraba como información personal). Si bien el sistema de registro Bluetooth en la aplicación NHS no recopila información de ubicación u otro tipo de datos, crea un identificador (conocido como InstallationID) para cada teléfono que usa la aplicación. Esto cuenta como algo que podría conducir a la identificación de un individuo.
"La aplicación NHSX no preserva el anonimato de los usuarios, ya que procesa principalmente datos personales seudónimos, no anónimos", escribió Michael Veale, profesor de derechos y regulación digital en el University College de Londres, en un análisis de la aplicación NHS. "La información anónima es solo aquella que no son datos personales".
El análisis no ha sido revisado por pares, pero varios expertos en protección de datos que han leído el documento están de acuerdo en que el uso de anónimo es incorrecto. El DPIA de la aplicación admite que los datos no son anónimos, al menos en un sentido legal. En una sección que pregunta si se utilizarán datos personales con seudónimo, sus creadores escriben un proceso de "individualización" y las identificaciones que se les dan a los teléfonos requerirían datos adicionales para revelar la identidad de las personas. El DPIA pregunta si se utilizarán datos personales totalmente identificables. "No", escribe el NHS. "Los datos no se procesarán de forma remota, lo que permitirá a los usuarios ser identificados directamente".
"La importancia está realmente en el arrastre de la función", dice Veale. Está involucrado en el proyecto de localización de contactos DP-3T, que está creando un sistema descentralizado alternativo. “Un sistema centralizado está siempre a un pequeño paso de la identificación, incluso sin una actualización de la aplicación, al colocar un sensor en un punto donde se identifica, como una cabina de pasaporte, un lector de tarjetas Oyster o una cámara de CCTV. Una aplicación descentralizada no lo es. "
Dentro del análisis de Veale, destaca tres posibles formas en que alguien podría ser identificado a través de InstallationID que crea la aplicación NHS. El primero implica el uso de sensores adicionales, como lectores de tarjetas Oyster, que pueden hacer coincidir la identidad de una persona con la aplicación que se está utilizando en su teléfono. El segundo involucra a una persona que viaja y se encuentra con muchas personas que usan la aplicación con diferentes códigos postales adjuntos a sus cuentas. Se puede encontrar a una persona en la base de datos del NHS en función de sus interacciones con personas en esas áreas. En tercer lugar, escribe Veale, la policía podría extraer la identificación de instalación proporcionada por el NHS utilizando herramientas forenses para eliminar información de un teléfono.
"Sí, algunos de los riesgos de reidentificación planteados por el Dr. Veale parecen plausibles", dice Jon Baines, asesor de protección de datos de la firma de abogados Mishcon de Reya. "En particular, el análisis del Dr. Veale plantea algunas preocupaciones específicas, algunas de las cuales, particularmente en torno al uso impreciso y potencialmente engañoso del término" anónimo ", creo que corresponde al secretario de Estado hablar". Un experto en ciberseguridad, que dice que el documento legal del NHS debería usar seudónimos en lugar de anónimos, agrega que algunos de los problemas de identificación mencionados requerirían desarrollos significativos e inversión en infraestructura y plantearían problemas legales por separado. Agregan que el NHS ha cumplido en gran medida con lo que dijo que haría, a pesar de tomar más tiempo del ideal para publicar parte de la documentación y el código fuente de la aplicación.
"Los datos en la aplicación NHSX son" capaces "de revelar la identidad de un individuo", escribe Veale. "Si NHSX tiene la intención de hacer esto no es una pregunta relevante desde un punto de vista legal, la pregunta es si razonablemente podría". El análisis también dice que no hay una "base legal válida" sobre cómo el sistema envía notificaciones a las personas que han estado alrededor de esos síntomas de coronavirus autoinformados. El estado de las personas que reciben notificaciones dentro de la aplicación cambia a ámbar o rojo, según la probabilidad de que tengan el virus. Esto se determina automáticamente a través del "procesamiento automatizado", una máquina que toma decisiones sobre las personas. El NHS DPIA incluye una referencia a su algoritmo de calificación de riesgo del NHS, cuyos detalles aún no se han publicado.
El Departamento de Salud no respondió a una solicitud de comentarios preguntando si aclararía el lenguaje utilizado alrededor de la aplicación antes de un lanzamiento a nivel nacional. En su análisis de la aplicación, Ian Levy, director técnico del Centro Nacional de Seguridad Cibernética del Reino Unido, afirmó que la palabra "anónimo" se puede usar en una perspectiva de seguridad, pero no bajo GDPR. Sin embargo, Levy también ha descartado el riesgo de ser identificado a partir de la información que el sistema corrige actualmente.
"No hay datos suficientes aquí para atraer cualquier riesgo de reidentificación", escribió Levy. "El riesgo viene a medida que se agregan más datos al gráfico o se mezclan con él". En la actualidad, la aplicación del Reino Unido no vincula datos a ningún otro sistema. Sin embargo, esto podría cambiar en el futuro. Los que desarrollan la aplicación han dicho que planean incorporar más funciones con el tiempo. Esto podría incluir datos de ubicación, dijo Matthew Gould, jefe de NHSX, aunque las personas tendrían que optar por permitir que esto suceda.
Hay planes para usar la aplicación en su forma actual para identificar dónde pueden ocurrir brotes de coronavirus. Esto solo es posible utilizando el sistema centralizado que el gobierno del Reino Unido ha elegido, en lugar del modelo elegido por Apple y Google. Gould ha dicho que los datos de código postal proporcionados por las personas que usan la aplicación ayudarán a los funcionarios a identificar los "puntos críticos" de Covid-19 y luego usar estos datos para adaptar su respuesta. El gobierno o el NHS no han publicado un plan detallado sobre cómo funcionará esto o los posibles beneficios de observar las tendencias regionales.
Gus Hosein, director ejecutivo del grupo de libertades civiles Privacy International y que también forma parte del consejo de ética de la aplicación NHS, ha tuiteó que los debates sobre la aplicación no son "privacidad versus pandemia". Él dice: "Es que la tecnología es difícil. Y se tomaron decisiones difíciles en el diseño y la implementación. ¿Eran los correctos y, si no, podemos cambiar de rumbo? ¿O simplemente anunciaremos nuestra brillantez y benevolencia? "
"El DPIA establece claramente que los datos son valiosos para la investigación, y pueden estar vinculados a otros conjuntos de datos en algún momento en el futuro", dice Rowenna Fielding, experta en privacidad y protección de datos en Protecture, una consultora. "Aunque hay garantías en el DPIA de que cualquier vinculación o usos secundarios de los datos se llevarán a cabo con la gobernanza y los controles adecuados, esta afirmación no puede tomarse al pie de la letra y debe respaldarse con líneas claras de responsabilidad, procesos para evaluar solicitudes de enlace o exportación, y un fuerte monitoreo de garantía. "
Fielding agrega que uno de los mayores riesgos para las personas que se vuelven a identificar desde la aplicación es "humano" en lugar de ser puramente técnico. "La presión de esto, o de futuros gobiernos para extender el propósito y la funcionalidad de la aplicación, los empleadores hacen uso obligatorio de la aplicación como condición de empleo continuo, control inadecuado sobre los diversos terceros involucrados en el funcionamiento de la aplicación", dice Fielding. "El uso de una arquitectura centralizada, a pesar de los problemas de privacidad con este enfoque, parece indicar que hay intención (si no planes reales) de aprovechar la aplicación para propósitos más amplios que el rastreo de contactos de Covid-19".
Matt Burgess es editor digital adjunto de Mundo Informático. Él tuitea desde @ mattburgess1
Cobertura de coronavirus de Mundo Informático
?️ Los hogares de cuidado fallidos son el verdadero escándalo de coronavirus
? El bloqueo del coronavirus del Reino Unido, explicado
❓ El esquema de licencia de retención de trabajo del Reino Unido, explicado
? ¿Puede Universal Basic Income ayudar a combatir el coronavirus?
? Siga Mundo Informático en Gorjeo, Instagram, Facebook y LinkedIn
Si quieres conocer otros artículos parecidos a ¿Qué tan anónima es la aplicación de rastreo de contactos NHS Covid-19? puedes visitar la categoría Otros.
Otras noticias que te pueden interesar