Más de 100 académicos reclaman transparencia al Gobierno con Radar COVID
Nombres propios del conocimiento como Baeza-Yates, Innerarity o López de Mántaras firman un manifiesto en el que critican la “ausencia de documentación sobre el diseño de Radar COVID”, y piden la publicación de código sobre el que está desarrollada
6 septiembre, 2020 14:00La aplicación de rastreo de contactos Radar COVID está en el punto de mira de parte de la comunidad académica española. Más de un centenar de expertas y expertos de diversas disciplinas. Entre ellos, Josep Domingo Ferrer, director de la Cátedra UNESCO de Privacidad de Datos y del Centro de Investigación en Ciberseguridad de Catalunya; Itziar de Lecuona, catedrática Unesco de Bioética, Universidad de Barcelona y miembro del Grupo de Trabajo Multidisciplinar del Ministerio de Ciencia; Ramón López de Mántaras, profesor de Investigación y fundador y exdirector del Instituto de Investigación en Inteligencia Artificial del CSIC; Daniel Innerarity, catedrático de filosofía política y social y director del Instituto de Gobernanza Democrática o José Molina Molina, presidente del Consejo de la Transparencia de la Región de Murcia. También dos integrantes del Consejo Asesor de Inteligencia Artificial de la Secretaría de Estado de Inteligencia Artificial (SEDIA): Carme Torras, profesora de investigación en el Instituto de Robótica del CSIC-UPC, y Ricardo Baeza-Yates, director de Ciencia de Datos en la de Northeastern University en Sillicon Valley y catedrático de la Universidad Pompeu Fabra.
Todos ellos han firmado un manifiesto “en favor de la transparencia en desarrollos de software públicos”. El motivo es la “ausencia de documentación sobre el diseño de Radar COVID, sobre su implementación y sobre el proceso de integración de las Comunidades Autónomas”, así como la no publicación de código sobre el que está desarrollada. Los firmantes temen, además, que esta forma de proceder genere un precedente que califican como dañino para un correcto funcionamiento democrático de la infraestructura digital.
El reclamo no es nuevo: tanto académicos como expertos en privacidad, activistas y medios de comunicación llevan meses pidiendo más transparencia. Radar COVID, que cuenta ya con más de 3,4 millones de descargas, lleva gestándose desde abril. Según el Gobierno, se probó de forma satisfactoria en una prueba piloto en la isla canaria de La Gomera entre el 29 de junio y el 31 de julio. Tres días después, la SEDIA anunció los resultados y habló de la posibilidad de que la app estuviera lista para su uso en varias autonomías desde el 10 de agosto, algo que no se cumplió. Para ello, cada comunidad autónoma debía integrar su sistema sanitario con Radar COVID, siguiendo un protocolo que se notificó de forma posterior a esa fecha. Independientemente de ello, la app ya estaba disponible para descarga en móviles Android e iPhone.
A lo largo de este tiempo se han sucedido las peticiones a la SEDIA para que hiciese públicos tanto los entresijos de la aplicación como el pliego de condiciones del contrato con Indra para su desarrollo, así como la metodología usada para el piloto de la Gomera y más detalles acerca de los resultados. La información sigue sin llegar, aunque en lo relativo al código la SEDIA aseguró que este se publicaría en septiembre. Esto ha sido criticado por la comunidad de desarrolladores por ser un impedimento para alertar sobre posibles errores en el diseño de la app antes de causar un posible daño. Por ejemplo, gracias a que el código de la app de rastreo de contactos canadiense estaba abierto, un ciudadano descubrió que esta estaba enviando a Google información personal de los usuarios y arregló el fallo.
Además, Radar COVID se basa en la tecnología DP-3T (desarrollada por la española Carmela Troncoso y su equipo en la Escuela Politécnica Federal de Lausana, en Suiza), que se encuentra bajo licencia MPL 2.0. Esta licencia obliga a quien use dicho código a compartir las partes de este que se han usado y sus modificaciones. Es decir, el Gobierno está obligado a hacerlas públicas, algo que aún no ha cumplido.
Ante esta situación y dado que se espera la inminente liberación del código de Radar COVID, los firmantes en el manifiesto que ahora se publica piden, entre otras cosas, que se haga público un repositorio con el código que permita analizar la versión de todos los elementos del sistema y futuros cambios, así como los detalles sobre su despliegue, gobernanza y medidas de seguridad adoptadas; el repositorio del código utilizado durante el desarrollo, incluyendo el historial desde el inicio; un informe de diseño del sistema con los análisis que han llevado a decidir los parámetros de configuración y uso de la API de Exposición de Notificaciones de Google y Apple, y la evaluación de la inclusión y accesibilidad del diseño; un informe detallado de los mecanismos de monitorización de la aplicación y para asegurar la privacidad y el cumplimiento de la normativa de protección de datos y, por último, una evaluación de impacto en la protección de datos basada en el informe de diseño y los análisis de riesgo asociados a la aplicación.
Los firmantes resaltan que, a efectos de transparencia, sería deseable que se identifique de forma clara la involucración de entidades privadas junto con su rol y sus responsabilidades en el proyecto. Asimismo destacan que Radar COVID debe ser siempre considerada como medida de apoyo y no como sustituta de rastreadores manuales de contacto y de otras medidas de contención de la pandemia. También enfatizan que, para garantizar el impacto de Radar COVID, “es necesaria la adopción de medidas legales y presupuestarias de apoyo social que permitan a los usuarios seguir las recomendaciones de la app sin sufrir perjuicios económicos, laborales o sociales”. Algo a tener en cuenta, dado que gran parte de la población no podría cumplir con una cuarentena efectiva si fuese necesario. El porcentaje asciende a un 46%, según una encuesta del grupo Data Science for Covid-19, dirigido por la comisionada de la Presidencia para la Estrategia Valenciana para la Inteligencia Artificial, Nuria Oliver.
Por último, el manifiesto destaca que la coyuntura actual constituye una “oportunidad histórica” para hacer realidad los principios de privacidad basada en el diseño y otros presentes en el RGPD, como el de responsabilidad proactiva, y para que la aplicación Radar COVID sea un éxito. “Sin un procedimiento abierto que posibilite la implicación de toda la comunidad y de los destinatarios de la app, esta no gozará de la confianza necesaria para su adopción masiva” sostienen.
rn
Manifiesto en favor de la transparencia en desarrollos de software públicos
Los abajo firmantes, miembros de la comunidad académica española, manifiestan:
La propagación del virus causante de la COVID-19 ha provocado que gobiernos de todo el mundo desplieguen medidas excepcionales y busquen soluciones tecnológicas que ayuden a la contención de la pandemia. Entre estas soluciones, las llamadas "aplicaciones móviles de trazabilidad de contactos" parecen una de las más prometedoras. Estas aplicaciones se han desplegado ya en distintos países, tal como puede comprobarse en los siguientes enlaces:
PT: https://github.com/stayawayinesctecEE: https://koodivaramu.eesti.ee/tehik/hoia
IE: https://github.com/HSEIreland/covid-tracker-app
IT: https://github.com/immuni-app/immuni-app-android
DE: https://github.com/corona-warn-app/cwa-app-android
NL: https://github.com/minvws/nl-covid19-notification-app-design
AT: https://github.com/austrianredcross/stopp-corona-android
Canada: https://github.com/cds-snc/covid-alert-app
Ecuador: https://minka.gob.ec/asi-ecuador),
con resultados preliminares que invitan al optimismo.
En España, la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) ha lanzado la aplicación Radar COVID, desarrollada en colaboración con Indra Sistemas, S.A. La aplicación se lanzó en Google Play el 29 de Junio, y se inició una prueba piloto en La Gomera. Tras analizar los resultados del piloto, considerados positivos, la SEDIA ha puesto la aplicación a disposición de todos los españoles, supeditada a su previa integración por parte de los servicios de salud de las Comunidades Autónomas.
La aplicación ha sido descargada ya por más de 3,4 millones de españoles, y está integrada en más de la mitad de las Comunidades Autónomas. Radar COVID es ya parte de la nueva generación de infraestructura de sanidad pública. La aplicación marca un hito no sólo como innovación digital, sino también por su carácter cooperativo. Radar COVID precisa de la cooperación de toda la sociedad, y para maximizar su utilidad necesita ser descargada y activada por una cantidad sustancial de usuarios. Esto la convierte en una tecnología de carácter masivo y de alto impacto social. A lo largo de la Historia europea, los gobiernos han respondido a epidemias democratizando las infraestructuras de salud pública. Democratizar no sólo implica permitir a la ciudadanía el acceso a la infraestructura, sino la cocreación de dichas infraestructuras junto con la sociedad.
En una sociedad tan heterogénea como la española, esta cocreación únicamente tendrá éxito con la ayuda de expertos de diversas disciplinas. No hay tecnología sin fallos y por lo tanto es necesario un escrutinio multidisciplinar para conseguir el mejor resultado. Únicamente el esfuerzo conjunto interdisciplinario y con la sociedad civil puede identificar de forma eficiente sesgos potenciales y errores en la conceptualización e implementación de la aplicación que puedan dar lugar a efectos indeseados en términos de discriminación y vulneración de derechos.
A día de hoy, no se ha publicado ninguna documentación sobre el diseño de Radar COVID, sobre su implementación ni sobre el proceso de integración de las Comunidades Autónomas. El 1 de Septiembre, la Secretaría de Estado de Digitalización e Inteligencia Artificial anunció que el código de la aplicación se abrirá al público el día 9 de Septiembre. Con su decisión, la SEDIA ha iniciado una democratización de las infraestructuras digitales públicas. Los abajo firmantes aplauden esta decisión, que sin duda es un paso importante de cara a fortalecer la confianza de la ciudadanía en la app, maximizando así su impacto. La apertura del código debe ir acompañada de la documentación e información completas, a fin de que la comunidad científica y la sociedad civil tengan la capacidad de escrutinio necesaria para identificar puntos a mejorar y contribuir a desarrollar y desplegar Radar COVID conforme a los más altos estándares.
Los abajo firmantes hacemos un llamamiento a la comunidad científica, sociedad civil y sector privado a contribuir a este hito en la historia de la digitalización. Para que esta colaboración tenga la mayor efectividad, es preciso que se hagan públicos los siguientes elementos relativos al desarrollo de Radar COVID:
- Un repositorio con el código que permita analizar la versión de todos los elementos del sistema el día que se haga público así como futuros cambios, incluyendo aplicación y servidores junto con los detalles de su despliegue y gobernanza: dónde se hallan, quién los administra, y qué medidas de seguridad se han adoptado tanto para el despliegue a nivel nacional como el relativo a las Comunidades Autónomas.
- El repositorio de código utilizado durante el desarrollo, incluyendo el historial desde el inicio del desarrollo, detallando los cambios desde que la primera versión se hace disponible en las tiendas de las plataformas móviles y por lo tanto descargadas por los usuarios. La revisión de las versiones anteriores es necesaria debido a que no todos los usuarios actualizan periódicamente sus móviles.
- Informe de diseño del sistema (aplicación y servidores), detallando los análisis que han llevado a decidir los parámetros de configuración y uso de la API de Exposición de Notificaciones de Google y Apple, los mecanismos implementados y las librerías y servicios utilizados para evaluar la seguridad y privacidad de los datos, así como la evaluación de la inclusión y accesibilidad del diseño.
- Informe detallado de los mecanismos de monitorización de la aplicación y mecanismos asociados para asegurar la privacidad y el cumplimiento de la normativa de protección de datos, referido a los datos recogidos tanto durante el piloto como en la fase de producción.
- La evaluación de impacto en la protección de datos basada en el informe de diseño y los análisis de riesgo asociados a la aplicación.
La liberación del código y su adecuada documentación es necesaria también para la materialización del principio de privacidad basada en el diseño así como de los restantes principios de protección de datos contenidos en el RGPD, singularmente el de responsabilidad proactiva. La actual coyuntura constituye una oportunidad histórica para hacer realidad estos principios y para que la app, diseñada bajo la dirección de la SEDIA, sea un éxito. Sin un procedimiento abierto que posibilite la implicación de toda la comunidad y de los destinatarios de la app, esta no gozará de la confianza necesaria para su adopción masiva.
En complemento a lo anterior, a efectos de transparencia, es deseable la máxima información sobre el sistema de gobernanza y toma de decisiones en el diseño de la aplicación. En este sentido, es importante que la involucración de entidades privadas, y su rol y sus responsabilidades en el proyecto se identifiquen de manera clara.
Finalmente, queremos destacar que Radar COVID es un elemento esencial dentro de un complejo plan de contención de los contagios, pero no es la única medida con la que detener las cadenas de contagio. Es una medida de apoyo y no sustituye a rastreadores manuales de contacto, sino que necesita desplegarse en coordinación con los procesos manuales ya existentes. Su uso, incluso a nivel masivo, no excluye la necesidad del establecimiento de otras medidas de contención de la pandemia. Entre otras medidas ya conocidas, como el uso de máscaras o distanciamiento en el lugar de trabajo, para garantizar el impacto de Radar COVID es necesaria la adopción de medidas legales y presupuestarias de apoyo social que permitan a los usuarios seguir las recomendaciones de la app sin sufrir perjuicios económicos, laborales o sociales. Teniendo en cuenta las asimetrías sociales del país, por las que no todos disponen de móviles o de acceso a la infraestructura digital, es importante recalcar el carácter voluntario de la app. Es necesario también monitorizar e identificar potenciales abusos discriminatorios en ámbitos como el de la vivienda, el mercado de trabajo, la educación y, en general, en el acceso a servicios públicos y privados, en toda la amplitud reconocida por la legislación actual o futura.
rn