Expertos reclaman una auditoria informática independiente de la app RADAR COVID

Según explica el perito informático Javier Rubio Alamillo, se debe auditar el código fuente y el servidor de la base de datos para asegurar que los datos de los ciudadanos son anónimos.

Aplicación RADAR COVID (Foto. Freepik)
Aplicación RADAR COVID (Foto. Freepik)

El Gobierno de España ha lanzado la aplicación informática RADAR COVID para rastrear los contactos de las personas contagiadas, hacer más fácil su trazabilidad y avisarles de manera automática. La prueba piloto, que fue realizada en la isla canaria de La Gomera, habría sido un éxito y se espera que el día 15 de septiembre se lance en toda España.  Aunque aseguran que la aplicación es anónima, existen interrogantes que deben resolverse antes de que su lanzamiento definitivo, y los expertos advierten de la necesidad de realizar una auditoría independiente de la app que lo garantice.

 Según explica el perito informático Javier Rubio Alamillo, ingeniero informático colegiado, nos encontramos ante dos escenarios: bien que sea una aplicación distribuida o descentralizada, o bien que exista una base de datos centralizada de información. “Para ayudar a que la aplicación sea anónima, lo ideal es la primera opción, almacenando en el propio terminal contactos y fechas de encuentro, avisando a los encuentros de los últimos 15 días, y a los contactos que se hayan encontrado con estos a partir del primer contagiado, así de manera sucesiva hasta completar el árbol de posibles contagios”.

En cambio, añade Rubio, si se elige la opción de la centralización, se deberán almacenar los encuentros de cada individuo en una base de datos y, cuando una persona avise de su contagio, avisar a todos los contactos con los que hubiera estado, y a su vez, a todos los encuentros de cada contacto.

“Si la información es anónima o se anonimiza antes de almacenarse se deberían tomar medidas de confidencialidad”

En cualquiera de los dos casos, se deberán recabar números de teléfono para avisar a los contactos de los contagiados, así como ubicaciones de los usuarios de la app. “Esperar que lo hiciera el usuario voluntariamente al final del día, sería un fracaso, por lo que la app debería hacerlo a través de algún algoritmo de inteligencia artificial”. Así pues, aclara el perito informático, si la aplicación será anónima y fuera de la cobertura las leyes de protección de datos, la información que se almacene deberá serpreviamente anonimizada.

Perito informático Javier Rubio Alamillo (Foto. ConSalud)

Un factor para tener en cuenta es que la aplicación recabará datos médicos. Si estos se almacenan en el terminal del usuario, en caso de que este se pierda o sea sustraído, cualquiera podrá acceder a ellos. “Los datos sanitarios tienen la máxima protección legal. Si la información es anónima o se anonimiza antes de almacenarse, quedaría fuera de la aplicación del RGPD y de la LOPD–GDD, pero en caso contrario, sí se deberían tomar las medidas oportunas para garantizar la confidencialidad. En tal caso, el Gobierno no debería decir que se trata de una aplicación anónima”.

INFORMACIÓN ANONIMIZADA

Este concepto, que forma parte de directivas del Parlamento y el Consejo europeos, así como de la legislación española, hace referencia a una técnica que impide que los datos personales sensibles, como los sanitarios o de filiación política o religiosa, puedan ser utilizados para identificar a alguien o para inferir atributos adicionales que se desconocían. Los datos, una vez anonimizados, pueden ser utilizados para otros objetivos completamente distintos.

Existen diversas técnicas de anonimización que se recogen en una directiva europea y que deben utilizarse de forma conjunta para alcanzar la robustez necesaria y evitar que el proceso pueda ser reversible: aleatorización, adición de ruido, permutación, privacidad diferencial, generalización, agregación y anonimato ‘k’, diversidad ‘l’ y proximidad ‘t’. También existen técnicas de “seudonimización”, con las que sigue existiendo una amplia probabilidad de identificar, de manera indirecta, al sujeto.

En este contexto, para considerar que la aplicación RADAR COVID trata los datos sanitarios de los ciudadanos de manera anónima, es necesaria una auditoría del código fuente y de la base de datos en la que se almacene la información. Esta auditoría, añade Javier Rubio Alamillo, “debería practicarse por Ingenieros o Ingenieros Técnicos en Informática colegiados, que son los únicos expertos que pueden certificarlo o identificar brechas en el código o en la base de datos, proponiendo cambios o mejoras para conseguir la anonimización”.

“Los profesionales de la Ingeniería Informática son los únicos habilitados para poder auditar una aplicación de este tipo” 

También se debería publicar el código fuente de la app y su contrato de desarrollo, para determinar si se exige la creación de un proyecto de diseño y su adecuación a la normativa técnica nacional e internacional. La Informática es la única profesión de ingeniería no regulada por el Estado. “Se crean miles de proyectos de software al año sin pasar ningún control de calidad y sin que nadie se responsabilice de ellos, ya que la ley no exige la firma colegiada como en cualquier otra rama de la ingeniería, y nos hemos acostumbrado a que achaquen a ‘errores informáticos’ cualquier fallo”.

¿Alguien circularía por un puente sin tener la certeza de que ha sido proyectado por un Ingeniero de Caminos colegiado y ejecutado por un Ingeniero Técnico de Obras Públicas? ¿Alguien circularía por un puente si los albañiles se hubieran puesto a apilar ladrillos sin orden ni concierto y sin nadie que asumiera responsabilidades en caso de catástrofe? Pues eso es exactamente lo que ocurre con los sistemas informáticos en España y, con la aplicación para rastrear el coronavirus, ocurre exactamente lo mismo. En opinión del perito informático, el Estado pretende que los españoles se instalen una app que va a recabar sus datos sanitarios sin saber si se ha desarrollado en base a estándares y desconociendo si el responsable del proyecto asumirá responsabilidades si hay filtraciones de la información médica de los ciudadanos.

La aplicación RADAR COVID debería ser auditada por peritos ingenieros informáticos colegiados. El Gobierno de España podría encargar, a los Consejos Generales de Colegios Profesionales de Ingeniería en Informática y de Ingeniería Técnica en Informática una auditoría exhaustiva de la app para poder afirmar, sin ningún género de dudas y avalado por organismos profesionales e independientes, que la aplicación es anónima. “Los profesionales de la Ingeniería Informática son los únicos habilitados para poder auditar una aplicación de este tipo, ya que la app almacena y trata, supuestamente, información anonimizada, no existiendo ninguna otra disciplina científica capaz de proyectar este tipo de desarrollos”, concluye Javier Rubio Alamillo.

Los contenidos de ConSalud están elaborados por periodistas especializados en salud y avalados por un comité de expertos de primer nivel. No obstante, recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.
Lo más leído