Radar COVID APP: La historia

Allá por el mes de agosto de 2020 se empezó a hablar de una aplicación de rastreo de personas contagiadas por la COVID19. Esta APP nació de manos de la Secretaría de Estado de Digitalización e Inteligencia Artificial, la aplicación utilizaba una api de rastreo de contactos creada por Google y Apple para que las aplicaciones oficiales de cada gobierno pudieran aprovecharla para rastrear contactos sin tener que crearlo todo desde cero. Se intentaba automatizar el trabajo de los rastreadores. El sistema estaba basado en tecnología Bluetooth, cuando la aplicación estaba instalada y activa, el móvil generaba una clave aleatoria diaria a partir de la cual se generan identificadores que cambian pasados entre 10 y 20 minutos y se transmiten a los móviles cercanos mediante esta tecnología. Este código aleatorio se emitía varias veces por segundo usando el Bluetooth del móvil y los móviles cercanos que tenían también Radar Covid instalado lo recogían, de modo que ambos móviles registraban el contacto.

Una buena idea, en una situación complicada, no exenta de polémica ya que, desde abril de 2020, el equipo técnico y de desarrollo estaba al tanto de vulnerabilidades en materia de protección de datos, según consta en un documento técnico publicado durante el mes de abril de 2020. La AEPD, indica que «registró varias reclamaciones en las que se denunciaba una vulnerabilidad en el diseño de la aplicación», que permitía, por ejemplo, asociar una IP con la subida de un test positivo, lo que excedía lo necesario para cumplir sus funciones y permitía desanonimizar la información, vulnerando así la última versión de la política de privacidad de la propia app.

¿Por qué estamos hablando de esto? La respuesta es sencilla. Durante el mes de Junio de 2022 la Agencia Española de Protección de Datos (AEPD) publicó un expediente sancionador contra la Secretaría de Estado de Digitalización e Inteligencia Artificial, que fue el organismo que firmó el contrato con la empresa encargada del desarrollo y mantenimiento de la aplicación. En dicho expediente, la AEPD establece que la Secretaría de Estado de Digitalización reconoció que «para el proyecto piloto no se generó ningún documento de evaluación de impacto de protección de datos». Ante esto, sólo puedo decir, olé, olé y olé

La Ley Orgánica 3/2018, de 6 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que entre otros aspectos adapta a nuestra normativa el RGPD, no contempla multas cuando el incumplimiento es obra de una administración pública: el expediente se saldará con un mero apercibimiento, sin penalización económica.

Al respecto únicamente diré que es la ley y que por supuesto hay que cumplirla. ¿Es justo esto? Desde mi punto de vista no, no lo es. Todos los que trabajamos en tecnología en empresas privadas, todos los que gestionamos proyectos en empresas privadas, todos los que gestionamos servicios en empresas privadas, somos conscientes de que un error de este tipo tiene unas consecuencias muy graves. En mayo de 2022 Google fue multado con 10M de euros por ceder datos a terceros sin estar legitimado para ello y por obstaculizar el derecho de supresión de los ciudadanos. ¿Por qué no se depuran responsabilidades en la administración pública? ¿Por qué no se penaliza económicamente a los responsables?

El uso de Radar COVID fue un fracaso, un coste final de en torno a 4M de euros y los datos de miles de sus usuarios al descubierto.

Este parece que será un verano más normal que los dos últimos, estimados lectores, os deseo unas ¡felices vacaciones!