“CoronApp – Chile” | Análisis de la aplicación móvil

“CoronApp – Chile” fue desarrollada por el Ministerio de Salud (MINSAL) de Chile. Esta aplicación móvil, anunciada por el presidente a través de su cuenta de Twitter el 16 de abril de 2020, está disponible para sistemas operativos iOS y Android.

Por medio de ella, el usuario puede:

• reportar diariamente sus síntomas (cada 1 hora se puede volver a enviar síntomas),
• consultar información oficial del COVID-19 disponible en el sitio web oficial del gobierno,
• acceder a respuestas a preguntas frecuentes y
• ubicar los centros de salud más cercanos.

Así mismo, puede “monitorear” su cuarentena al registrar la dirección particular en donde la está realizando, y “colaborar” a prevenir el contagio, pudiendo notificar sobre situaciones que ponen en riesgo a más personas, tales como aglomeraciones indebidas de personas.

Por otra parte, tiene una funcionalidad denominada “Ayuda vecina”, que le permite al usuario que se encuentra en cuarentena hacer solicitudes de ayuda para evitar salir de su casa, y lo conecta con otros vecinos que voluntariamente se ofrecen para ayudarlos. Finalmente, incluye acceso al WhatsApp informativo del Ministerio de Salud, en donde podrá hablar con un asistente virtual basado en inteligencia artificial, para responder consultas generales.

Para el registro en la aplicación, “CoronApp-Chile” solicita los siguientes datos:

• tipo de documento, RUN o pasaporte del usuario,
• correo electrónico (opcional),
• número telefónico,
• nombre completo,
• edad y comuna donde vive.

Además, si se desea utilizar la funcionalidad de “Ayuda vecina”, se debe subir una fotografía e ingresar la dirección. Por último, en caso de que se quiera reportar aglomeraciones, buscar centros de salud o solicitar ayuda de vecinos, la aplicación recolectará también la ubicación GPS del dispositivo celular, con el fin de obtener la posición actual del usuario en el mapa. Sin embargo, —dice la Política—“[e]sto es opcional. CoronApp no almacena estos datos.”

Para destacar

En primer lugar, la información sobre la aplicación “CoronApp-Chile” es fácilmente accesible y se encuentra en un solo lugar: coronapp.gob.cl. Además, el formato en el que allí están presentados tanto los Términos y Condiciones de la aplicación, como su Política de Privacidad, es bastante amigable y sencillo de leer. Los distintos subtítulos incluidos en ambos documentos, y que pueden ir siendo desplegados conforme se avanza en su contenido, le permiten al usuario buscar rápidamente la información que desea consultar (e.g. Formas en las que se resguarda la seguridad de los datos recolectados). Así mismo, la lista de Preguntas Frecuentes incluida en el sitio web de la aplicación es un recurso útil para que el usuario conozca rápidamente sobre su alcance.

Y hablando de las formas en las que se resguarda la seguridad de los datos recolectados por CoronApp-Chile, su carácter público y accesible es precisamente el segundo elemento para destacar de la aplicación. A diferencia de las aplicaciones de otros países, en cuyos Términos y Condiciones se limitan a señalar que la aplicación utiliza diferentes medidas técnicas y procedimientos de seguridad de la información, en la aplicación de Chile nos ofrecen muchos más elementos de juicio para evaluar la seguridad con la que se manejan los datos de sus usuarios.

Por un lado, la Política de Privacidad remite al lector a las Políticas de Seguridad del MINSAL, las cuales no sólo incluyen la política General de Seguridad, sino también la Política de Desarrollo de Sistemas y la de Acuerdos de Intercambio de Información.Por otro lado, le informa al usuario que “la seguridad de CoronApp ha sido verificada mediante un análisis de vulnerabilidades realizado por el CSIRT del Ministerio del Interior.”

Adicionalmente, le ofrece algunas condiciones de seguridad con las que cuenta la aplicación. Por ejemplo, se expone que toda la comunicación entre el servidor y “CoronApp-Chile” ocurre en canales de comunicación cifrados utilizando el protocolo TLS; que la aplicación no puede ser utilizada en dispositivos con acceso root (Android) o que hayan sido intervenidos con jailbreak (iOS); y que la información de RUN (número de identificación utilizado en Chile) se almacena en la base de datos de manera encriptada.

Finalmente, en otra sección de la Política de Privacidad (5. Almacenamiento de los Datos) se especifica que la información registrada en la aplicación será almacenada y replicada en una nube privada en Amazon Web Services (AWS) correspondiente a la región ‘us-east region’, el cual se encuentra físicamente en Estados Unidos de América en el estado de Virginia.

En tercer lugar, el hecho de que se le ponga un término de tiempo específico a la recolección y al almacenamiento de los datos de los usuarios merece también un reconocimiento. De acuerdo con la Política de Privacidad, los datos serán almacenados y tratados sólo durante el periodo que se mantenga la alerta sanitaria, la cual tiene una duración inicial de un año contado desde el 05 de febrero de 2020 (sin perjuicio de que pueda terminarse antes si las condiciones sanitarias así lo permiten o de prorrogarla en caso de que estas no mejoren).

Lo único que se echa de menos, sin embargo, es que se especifique lo que se hará con los datos una vez termine dicha alerta. A partir de las demás partes de la Política de Privacidad se infiere que los datos serán luego anonimizados para poder ser utilizados para fines históricos, estadísticos, científicos y de estudios o investigaciones. Si bien lo ideal es que fueran eliminados, dadas las conocidas deficiencias de la anonimización en la era del Big Data, lo cierto es que al menos se requiere conocer con mayor detalle los métodos que se pretende utilizar para evitar la repersonalización de los datos una vez se estén utilizando con esos otros fines.

Finalmente, y al igual que en el caso de la aplicación COVID-19MX de México, se resalta el hecho de que la aplicación no incluya las dos funcionalidad que suelen ser más polémicas, dado su carácter más invasivo en los derechos y libertades de los ciudadanos: el rastreo digital de contactos y el pasaporte de movilidad. Por su parte, generan curiosidad (aún no sabemos si crítica o apreciativa) dos de sus funcionalidades incluidas, pues no habían sido identificadas en ninguna de las aplicaciones antes estudiadas. Hablamos en concreto de la funcionalidad “Ayuda vecina” y de la posibilidad de enviar una alerta sobre situaciones que ponen en riesgo a más personas.

Para mejorar

En este análisis de la aplicación móvil “CoronApp-Chile” descubrimos 2 áreas de oportunidad para mejorar:

• Transparencia en una de sus funcionalidades
• Necesidad y proporcionalidad de los datos recolectados

A continuación, el desarrollo de cada una en detalle:

Transparencia en una de sus funcionalidades

Entre el video promocional de CoronApp-Chile que publicó el Presidente de Chile en su tweet y la sección de finalidades de tratamiento de la Política de Privacidad de la aplicación existe una diferencia fundamental: sólo en el primero se habla de la funcionalidad de “monitoreo” de la cuarentena. Así, si bien CoronApp-Chile parece incluir ese “servicio”, no se encuentra mencionado ni mucho menos explicado en ninguno de los dos documentos legales oficiales de la aplicación.

De hecho, no existe información oficial sobre esta funcionalidad en el sitio web de la aplicación que mencionamos más arriba. Pero si hacemos una pequeña revisión de medios, encontraremos que, por ejemplo, en el caso del medio de comunicación 24horas, este servicio es descrito de la siguiente manera: “El usuario principal de la aplicación podrá compartir su posición geográfica ingresando su dirección particular o marcándola en el mapa desplegado. Una vez ingresada su ubicación, podrá activar el monitoreo de su cuarentena usando la geolocalización del teléfono. En caso de que la persona salga de un radio de 100 metros de su posición de cuarentena ingresada, CoronApp le enviará una alerta informando que usted ha abandonado la cuarentena, y solicitándole que regrese a ella o bien acuda a Comisaría Virtual por un permiso temporal.” Si esto es así, realmente no es muy clara cuál es la utilidad de esta aplicación. ¿No puede el mismo usuario determinar que ha violado su cuarentena, sin necesidad de que una aplicación se lo notifique? ¿O es que esa notificación será enviada a las autoridades para que tomen medidas al respecto?

Desafortunadamente, la falta de información oficial sobre esta funcionalidad nos impide evaluar la utilidad real de esta funcionalidad, que, por ahora, parece ser sólo un pretexto para poder solicitar la activación del GPS del dispositivo móvil del usuario.

Necesidad y proporcionalidad de los datos recolectados

Salvo la funcionalidad antes mencionada, la mayoría de las funcionalidades ofrecidas por CoronApp - Chile parecen ofrecer algún tipo de utilidad para el usuario. Por el contrario, no es muy clara la utilidad que el MINSAL puede extraer de estas mismas funcionalidades. Y esto no es negativo. De hecho, el principal objetivo de este tipo de desarrollos debe ser precisamente servir a la ciudadanía y hacer efectiva la garantía de sus derechos. Lo que sucede es que, si el MINSAL no está utilizando ni explotando el valor de los datos que la aplicación recolecta, no se entiende porqué, al momento de registrarse, se le solicita al usuario proveer tantos datos de identificación.

En particular, ¿cuál es la necesidad de que se registren el tipo de documento, RUN o pasaporte del usuario, el correo electrónico (opcional), el número telefónico, o el nombre completo? Ni en los Términos y Condiciones ni en la Política de Privacidad de la aplicación se señala que la funcionalidad de reporte de síntomas pueda desembocar en el contacto directo a quienes tengan síntomas relacionados con el COVID-19. A lo sumo, la evaluación de riesgo de los síntomas reportados dará como resultado que la aplicación provea al usuario con recomendaciones en cuanto a acciones preventivas a seguir. Pero para ello, no es necesario contactarlo directamente. Entonces, ¿cuál es la necesidad de identificar personalmente al usuario, y más aún, con tantos datos de identificación y de contacto?

De acuerdo con la Política de Privacidad, “[p]ara evitar duplicidad de usuarios y hacer un seguimiento óptimo de la información de síntomas solicitada, la aplicación solicita el ingreso con clave única o el registro de los siguientes datos personales: [(lista de datos ya mencionados)]”. En contraste con esta justificación, consideramos que la cantidad de datos solicitados no era necesaria. Es decir, que para lograr esos fines (evitar la duplicidad y hacer seguimiento de la información de síntomas) existían medios alternativos menos invasivos del derecho a la protección de datos del usuario, como podría ser por ejemplo, la solicitud únicamente el nombre o únicamente el documento de identificación.

Caso similar sucede con la foto que se solicita cargar cuando el usuario requiera utilizar la funcionalidad de “Ayuda vecina”. Según la Política de Privacidad de la aplicación, esta información será necesaria “para identificarlo entre los vecinos cuando solicita y entrega ayuda”. Más allá de la necesidad y efectividad de esta solución—que ponemos en duda--, nos preocupa su proporcionalidad. Lo anterior, teniendo en cuenta el carácter sensible de los datos biométricos que se encuentran en una fotografía del usuario. En ese sentido, creemos que el uso indebido de dichas fotografías en manos de otros “vecinos” puede generar mayores daños que los beneficios que se obtienen con el reconocimiento del vecino por medio de una foto.

Como se ve, esta es una de las aplicaciones móviles a las que más aspectos positivos le hemos encontrado. Sin embargo, aún es necesario obtener más información sobre la funcionalidad de “monitoreo de la cuarentena” y aplicar el principio de minimización a la hora de solicitar datos personales que: (i) parecen innecesarios para cumplir con las funcionalidades ofrecidas; y, (ii) por el contrario, podrían poner exponer innecesariamente al titular de esa información.

---

Desde Puentech estamos investigando la relación entre la aplicación de la tecnología como respuesta de los gobiernos a la pandemia generada por el COVID19. Realizamos análisis de distintas aplicaciones y plataformas que están siendo utilizadas por los gobiernos locales y nacionales de América Latina para lidiar con el COVID-19.

¿Conoces alguna aplicación que crees que deberíamos analizar? Escríbenos a blog@puentechlab.com.

---

Este artículo fue escrito por:

María Paula Angel, Directora de la Red Académica Puentech.

Abogada Cum Laude y politóloga de la Universidad de los Andes (Colombia), con maestría en Derecho Administrativo de la Universidad del Rosario (Colombia). Estudiante del Doctorado en Derecho de la Universidad de Washington, Seattle, y asistente de investigación del UW Tech Policy Lab.