CoronApp – Colombia | Análisis de la aplicación móvil

“CoronApp – Colombia” fue desarrollada por el Instituto Nacional de Salud (INS) de Colombia, en colaboración con la Agencia Nacional Digital (AND), el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTic) y la Consejería de Transformación Digital de la Presidencia.

Esta aplicación móvil, fue anunciada por el presidente de la República el 7 de marzo de 2020, está disponible para dispositivos móviles con sistema operativo Android 5 o superior y sistema operativo iOS 10.3 o superior, y su uso no consume datos de telefonía móvil (zero rating).

Principales características

A través de ella el usuario puede acceder a cifras oficiales sobre la pandemia en el país, a información sobre medidas de prevención y alternativas económicas en tiempos de Coronavirus, y a líneas de atención.

Igualmente, si el usuario se registra en la aplicación, puede reportar diariamente su estado de salud y el de los otros miembros de la familia, y realizar un autodiagnóstico que le permitirá tomar acciones de cuidado. Además, con base en el autodiagnóstico, el usuario podrá obtener un estatus de movilidad a través de un código QR según las excepciones que dispone el Gobierno colombiano en el marco de la emergencia.

Para hacer uso de estas dos funcionalidades (autodiagnóstico y pasaporte de movilidad), debe introducir los siguientes datos:

• nombres,
• apellidos,
• número de identificación,
• teléfono celular,
• sexo,
• fecha de nacimiento,
• país de residencia,
• departamento,
• ciudad,
• pertenencia étnica,
• correo y
• su estado de salud.

Si selecciona que se siente mal, debe señalar los síntomas que tiene, si ha tenido contacto con alguien que presente los mismos síntomas, si ha acudido a algún centro de salud o si ha estado por fuera del país y en dónde.

Al momento en que se realiza el autodiagnóstico (que las autoridades aconsejar adelantar diariamente), la aplicación accede a la localización geográfica del usuario y la ubicación del dispositivo (la cual es activada a través del GPS del dispositivo móvil), y envía esa información al INS, junto con la del reporte de salud. Según los desarrolladores, estos datos permiten identificar zonas en donde el riesgo de contagio de la enfermedad es mayor, y junto con información de otras fuentes, proveen información útil a los tomadores de decisiones.

Así mismo, si el usuario lo autoriza, la aplicación accede a la conexión Bluetooth del dispositivo para compartir con el INS la cercanía, en los últimos 21 días, con otros dispositivos móviles que utilizan CoronApp. Sin embargo, según los “Términos y Condiciones de Uso” de la aplicación (última modificación: 26 de mayo de 2020), esa funcionalidad de compartir los datos con el INS para el rastreo digital de contactos “se encuentra desactivada por defecto y solo se activará para los usuarios confirmados por COVID-19 y aquellos que tengan síntomas muy probables de contagio, aún así la información será enviada solo cuando los usuarios deseen compartir su historial de cercanías a través del Menú de CoronApp”.

Para destacar

En primer lugar, las funcionalidades que tiene la aplicación para mantener informados a los ciudadanos son destacables. El mapa interactivo y los datos estadísticos que se ofrecen por departamento, municipio, género y edad, casos confirmados, etc. le permiten al ciudadano acceder de forma sencilla a información actualizada y de calidad sobre la pandemia.

Igualmente, los recursos gráficos utilizados para exponer la información de recomendaciones de prevención y cuidado son un esfuerzo notable por hacer que la información pública necesaria esté disponible en formatos amigables al ciudadano. Además, a pesar de que inicialmente se requería del registro para acceder a esta información, es positivo que en la versión actual de la aplicación el usuario pueda tener acceso a ella sin necesidad de entregar sus datos personales.

En segundo lugar, los Términos y Condiciones de Uso arriba mencionados y la “Política de Tratamiento de Información” de la aplicación (última modificación: 04 de junio de 2020) parecen al día de hoy bastante completos en materia de protección de datos personales.

En particular, y a diferencia de lo que reportábamos frente a la plataforma “Medellín me Cuida”, estos documentos legales incluyen todas las posibles funcionalidades que tiene la aplicación (mapeo a través de geolocalización de reportes, pasaporte de movilidad, rastreo digital de contactos, etc.), incluso si no se encuentran activas actualmente. Así mismo, incluyen información clara sobre las finalidades de tratamiento, el tiempo de tratamiento, los derechos de los titulares de los datos, y los procedimientos que se deben seguir para que los usuarios de la aplicación puedan ejercer esos derechos.

Sin embargo, y como ahondaremos más adelante, esto no siempre ha sido así. Si bien la aplicación “CoronApp – Colombia” lleva casi 4 meses “al aire”, la versión original (1.0) de la Política de Tratamiento de Información es del 8 de mayo de 2020. Eso quiere decir que, durante al menos dos meses, la aplicación estuvo recolectando datos sin ningún tipo de políticas y procedimientos para garantizar la protección del derecho fundamental de protección de datos de los colombianos.

Para mejorar

En este análisis de la aplicación móvil CoronaApp descubrimos 4 áreas de oportunidad para mejorar:

• Brecha Digital
• Riesgos para la privacidad
• Problemas de transparencia
• Improvisación y ausencia de una perspectiva de derechos humanos

A continuación el desarrollo de cada una en detalle:

Brecha digital

Ofrecer una aplicación móvil como uno de los principales canales de reporte de información oficial, en un país en donde 61.3 de cada 100 habitantes cuentan con acceso Internet móvil, es desconocer la brecha digital considerable que aún enfrenta Colombia. Así, si bien es cierto que la aplicación no consume datos de telefonía móvil, esto no quiere decir que no necesite de Internet para descargarse y funcionar.

Entonces, al utilizarla se excluye a todos aquellos que no tienen esta tecnología— y que suele ser también la más vulnerable a la pandemia—tanto de la posibilidad de acceder a información pública, como de la opción de ser tenidos en cuenta para decisiones de política pública. Por eso, organizaciones de la sociedad civil le han reclamado constantemente a las autoridades mayor claridad sobre la estrategia con la que se planea informar a y monitorear el estado de salud de los desconectados.

Riesgos para la privacidad

En principio, parece loable que el Gobierno de Colombia haya decidido hacer el rastreo digital de contactos a través de Bluetooth (en lugar del utilizar datos de las antenas de telefonía celular, GPS o Wifi), y que en los Términos y Condiciones de Uso se establezca que “CoronApp no recopila información sobre los movimientos y actividades de un usuario mediante el uso de sensores de ubicación (tales como GPS), puntos de acceso Wifi y estaciones de base, a menos que voluntariamente lo decida cada usuario de CoronApp” (aunque hay que decir que esta última frase no es clara).

Dado que el sistema de Bluetooth ha demostrado ser más efectivo (aunque no al 100%) y menos invasivo que el resto de las opciones, esta preferencia por el rastreo de exposición al contagio y el rechazo al constante seguimiento de las personas a través del acceso a su ubicación son inicialmente positivos.

No obstante, es necesario hilar más fino. Si bien a principios de mayo se conoció que para la funcionalidad de rastreo digital de contactos el Gobierno de Colombia había decidido implementar el protocolo descentralizado que se utiliza en la API de Google y Apple, eso nunca sucedió.

Por el contrario, el sistema de Bluetooth que utiliza hoy en día la aplicación se basa en un protocolo centralizado como el de Singapur. Como lo explica la Fundación Karisma, “es engañoso calificar este sistema como enfocado en la privacidad”. Lo anterior, pues a diferencia del protocolo descentralizado, en el sistema centralizado la notificación de la posible exposición al contagio también la recibe la autoridad sanitaria que controla la aplicación, y aunque utiliza identificadores aleatorios para ofuscar un poco la identidad de las personas, para la entidad que controla la aplicación es fácil saber qué identificador corresponde a quien. Más aún, si como en el caso de “CoronApp – Colombia”, la aplicación también tiene la posibilidad de utilizar el GPS para localizar al usuario.

Problemas de transparencia

Por un lado, y al igual que en el caso de la plataforma “Medellín me Cuida”, existe muy poca información disponible sobre las medidas de privacidad y seguridad de la información que han sido adoptadas por el INS para para asegurar la protección y confidencialidad de la información frente a terceros.

Una vez más, no es suficiente señalar únicamente que la aplicación “utiliza diferentes medidas técnicas y procedimientos de seguridad de la información, tendientes a garantizar la integridad, disponibilidad y confidencialidad de todos los datos personales suministrados en CoronApp”.

Algunas preguntas que nos surgen:

• ¿Cuáles medidas técnicas y procedimientos?
• ¿Cómo se está almacenando la información, cómo se transfiere, qué protocolos se están utilizando?
• ¿Estamos hablando de información cifrada y encriptada?
• ¿Se están implementando técnicas de privacidad diferencial (incluir ruido en los resultados estadísticos)?

Todas estas preguntas deberían estar siendo respondidas en los documentos que regulan la aplicación, para dar mayor confianza a la ciudadanía sobre el grado de protección de su información.

Por otro lado, no existe transparencia sobre los resultados de la aplicación. Al descartar el API de Google y Apple, el Gobierno de Colombia le apostó al control de la situación sobre la privacidad de sus ciudadanos (porque la implementación de esa API le impediría identificar los posibles casos que han sido expuestos al virus, entregando la responsabilidad a los ciudadanos notificados por la aplicación de tratarse y aislarse). Si esa fue la decisión, es necesario que le muestren a los usuarios de la aplicación que ese sacrificio de su derecho a la privacidad ha valido la pena.

Más allá del número de descargas de la aplicación:

• ¿Ha sido ésta efectiva para identificar casos?
• ¿Ha sido de utilidad para que las secretarías de Salud departamentales y alcaldías locales focalicen la toma de muestras en lugares específicos en donde la gente está reportando síntomas?
• ¿Ha sido efectiva la funcionalidad de rastreo digital de contactos para identificar a las personas posiblemente contagiadas?
• ¿Están todos los datos recolectados siendo de utilidad para la contención de la pandemia?

Limitar el discurso oficial a los posibles usos de la información recolectada, sin dar cuenta de sus resultados reales, genera suspicacias sobre las verdaderas cualidades de la aplicación para establecer sistemas de monitoreo y vigilancia masiva de la población. Por el contrario, divulgar este tipo de información le permitirá al Gobierno de Colombia incrementar la confianza y credibilidad de los ciudadanos en la aplicación, y contribuirá a que más personas se atrevan a utilizarla.

Improvisación y ausencia de una perspectiva de derechos humanos

Por último, la aplicación parece estar siendo construida sobre la marcha y con una especie de filosofía de “ensayo y error”. Muestra de ello son las vulnerabilidades de seguridad que ya han sido encontradas por la Fundación Karisma y la organización Access Now, y la ausencia inicial de una Política de Tratamiento de Información que mencionamos más arriba. Si bien esto puede ser producto del Estado de Emergencia Económica, Social y Ecológica, no por ello resulta justificable, pues de lo que se trata es de posibles violaciones a derechos fundamentales como la privacidad y el hábeas data. Al respecto, la AND ha respondido diciendo que estamos ante fallas propias de los procesos de innovación. Y en efecto, esa mentalidad parece coincidir con la cultura de datos de la administración pública datificada, en la que se prioriza la innovación, la experimentación y la generación de valor económico y social. Sin embargo, dicha reacción—y la misma composición de los equipos que construyeron CoronApp—da cuenta de una preocupante ausencia de una perspectiva de derechos humanos en el diseño de esta aplicación.

Como se ve, las intenciones del Gobierno de Colombia han sido buenas. Sin embargo, su exagerado énfasis en el carácter innovador de esta aplicación les ha hecho perder de vista las medidas que se deben tomar, a tiempo y sin improvisar, para asegurar la protección de los derechos al hábeas data, privacidad, seguridad digital, y no discriminación que tienen sus ciudadanos.

---

Desde Puentech estamos investigando la relación entre la aplicación de la tecnología como respuesta de los gobiernos a la pandemia generada por el COVID19. Realizamos análisis de distintas aplicaciones y plataformas que están siendo utilizadas por los gobiernos locales y nacionales de América Latina para lidiar con el COVID-19.

¿Conoces alguna aplicación que crees que deberíamos analizar? Escríbenos a blog@puentechlab.com.

---

Este artículo fue escrito por:

María Paula Angel, Directora de la Red Académica Puentech.

Abogada Cum Laude y politóloga de la Universidad de los Andes (Colombia), con maestría en Derecho Administrativo de la Universidad del Rosario (Colombia). Estudiante del Doctorado en Derecho de la Universidad de Washington, Seattle, y asistente de investigación del UW Tech Policy Lab.