Coronavirus UY | Análisis de la aplicación móvil

“Coronavirus UY” es una aplicación desarrollada por un gran número de empresas privadas y auspiciada, operada y gestionada por la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) y por el Ministerio de Salud Pública de Uruguay (MSP). Esta aplicación móvil, introducida en el marco del Plan Nacional Coronavirus y como parte de la Estrategia Digital frente al COVID-19, está disponible para sistemas operativos iOS y Android.

Por medio de ella, el usuario puede visualizar información sobre el estado de la pandemia en Uruguay, accediendo a la cantidad de casos nuevos y recuperados por departamento, pruebas realizadas y número de fallecidos, y a una serie de gráficas para seguir la evolución de la enfermedad en el país. Así mismo, si el usuario viajó al exterior, tuvo contacto con un caso de COVID-19 confirmado o presenta algunos síntomas, la aplicación le permite acceder a consultas por telemedicina e iniciar el proceso para ser testeado.

Finalmente, a partir del 15 de junio de 2020, y como parte de la estrategia de tránsito hacia “la nueva normalidad”, la aplicación incorporó la alerta de exposición desarrollada conjuntamente por Google y Apple. Esta última funcionalidad, que requiere la activación de Bluetooth, emite una alarma a aquella persona que haya activado la funcionalidad en su celular y haya estado en contacto directo o cerca de una persona que haya dado positivo al virus.

Para destacar

En primer lugar, la adopción de la API desarrollada por Google y Apple para el desarrollo de la funcionalidad de alerta de exposición es una buena señal de la voluntad del gobierno uruguayo de respetar la privacidad y la autonomía de los usuarios de la aplicación.

Esta API, basada en un modelo descentralizado para el protocolo Bluetooth, permite que la aplicación emita códigos generados al azar que cambian cada 15 minutos (“señales”) y que pueden ser captados por los teléfonos de otros participantes que se encuentren suficientemente cerca. Cada celular se encarga de guardar los códigos que emitió y recibió durante los últimos 15 días. Entonces, de acuerdo con el documento “Guía para usuarios de la aplicación Coronavirus UY",

“[s]i una persona recibe un resultado de test positivo tendrá la posibilidad, a su entera voluntad, de comunicar al servidor de Coronavirus UY –bajo la tutela del estado– los códigos que su celular emitió en los últimos días. El servidor recibe esta información y la almacena temporalmente (aproximadamente por 15 días), sin relacionarla con ninguna información de los dispositivos ni de las personas que los utilizan. De esta forma, los códigos emitidos por quienes se han contagiado podrán ser enviados a todos los participantes. Al recibir estos códigos, cada celular podrá compararlos con los que había llegado a captar y, en caso de encontrar coincidencias y que se cumplan otras condiciones (por ejemplo, haber captado esos códigos durante cierto tiempo), podrá determinar que hubo riesgo de contagio y emitir, por tanto, una alerta a la persona que lo usa.”

De esta manera, el sistema funciona sin revelar ningún dato personal, ni que permita identificar los celulares o la geolocalización de los usuarios. Así mismo, siempre que se produce una alerta de exposición, esta es generada por el propio teléfono y solo la verá quien lo usa. Y a partir de ella, cada persona puede elegir si utilizar la aplicación para solicitar más información o asistencia, o no comunicar a nadie que recibió el aviso, sin que el gobierno pueda intervenir en dicha decisión.

En segundo lugar, y en relación con el primer punto, es destacable el nivel de transparencia que se ha manejado frente a la implementación de la funcionalidad de alerta de exposición. En particular, la publicación del documento “Guía para usuarios de la aplicación Coronavirus UY” antes mencionado, y la posibilidad que existe de acceder al repositorio de código fuente y documentación de la API, e incluso, de hacer reviews y colaborar en el código de la misma, generan confianza en la ciudadanía.

Finalmente, es destacable que las últimas versiones de la aplicación ya no soliciten el registro del usuario para poder acceder a sus funcionalidades. Así, hoy en día el usuario puede utilizar la aplicación sin tener que proveer sus datos personales, los cuales solo se tornan relevantes cuando alguien tiene síntomas, caso en el cual deberá hacer clic en el botón “Tengo algunos síntomas”.

Para mejorar

A pesar de los avances descritos anteriormente, a la aplicación “Coronavirus UY” aún le queda mucho por mejorar en términos de transparencia. Si bien, como ya dijimos, existe información suficiente sobre la funcionalidad de alerta de exposición, no sucede lo mismo frente a las demás funcionalidades ni frente a las generalidades de la aplicación. Por el contrario, la información existente, consagrada en gran medida en la Política de Privacidad de la aplicación y en la página “Información sobre la Aplicación Coronavirus UY”, es bastante escueta.

Por un lado, dicha política no especifica cuales son las funcionalidades que ofrece la aplicación. Así, si bien se mencionan como parte del texto la “funcionalidad de seguimiento” y la “funcionalidad de teleconsulta”, no se especifica en qué consiste cada una de estas ni cuál será su alcance. En ese sentido, al leer la Política de Privacidad el usuario no puede conocer cuáles serán los usos que se le darán a su información. Por otro lado, la finalidad de tratamiento que allí se expone es supremamente amplia e imprecisa. Así, hablar de “la finalidad de relevamiento y contención relacionada a la pandemia Coronavirus (COVID- 19)” no le provee al usuario información suficiente para tomar una decisión informada sobre el uso de la aplicación.

En tercer lugar, la información ofrecida en relación con la seguridad de la información es igualmente vaga. En concreto, decir que “[l]os datos personales (…) cuentan con medidas de seguridad adecuadas que garantizan su integridad, disponibilidad y confidencialidad” no le permite en ningún caso al usuario ni a la sociedad civil en general ejercer control social sobre las medidas concretas que han sido adoptadas por el gobierno para evitar el uso de la información por parte de terceros no autorizados.

Finalmente, el enfoque adoptado frente al acceso a la información sobre el código fuente de “Coronavirus UY” no parece ser el más adecuado. En particular, es preocupante que la posibilidad de auditar la documentación y código fuente de la aplicación se restrinja a: (i) instituciones nacionales (academia, industria, sociedad civil organizada); que (ii) se pongan en contacto con el gobierno a través del correo electrónico coronavirusuy@agesic.gub.uy; e (iii) indiquen el propósito de las actividades a realizar, así como los responsables a contactar para realizar la coordinación y acceso a la documentación y código fuente.

En lugar de facilitar el acceso a información pública, este tipo de requisitos y filtros previos desincentivan la participación de la ciudadanía en el control social de este tipo de aplicaciones. Por eso, sería recomendable que, en lugar de este modelo de transparencia pasiva, se adopte un modelo de transparencia activa que garantice el acceso sin restricciones.

Como se ve, se trata de una aplicación que a diferencia de muchas otras analizadas en entradas anteriores, privilegia la protección de la privacidad de sus usuarios. Sin embargo, para asegurar la confianza de los ciudadanos, esos esfuerzos deben ir igualmente acompañados de mayores garantías en materia de transparencia y acceso a información pública.

---

Desde Puentech estamos investigando la relación entre la aplicación de la tecnología como respuesta de los gobiernos a la pandemia generada por el COVID19. Realizamos análisis de distintas aplicaciones y plataformas que están siendo utilizadas por los gobiernos locales y nacionales de América Latina para lidiar con el COVID-19.

¿Conoces alguna aplicación que crees que deberíamos analizar? Escríbenos a blog@puentechlab.com.

---

Este artículo fue escrito por:

María Paula Angel, Directora de la Red Académica Puentech.

Abogada Cum Laude y politóloga de la Universidad de los Andes (Colombia), con maestría en Derecho Administrativo de la Universidad del Rosario (Colombia). Estudiante del Doctorado en Derecho de la Universidad de Washington, Seattle, y asistente de investigación del UW Tech Policy Lab.