Som una Fundació que exercim el periodisme en obert, sense murs de pagament. Però no ho podem fer sols, com expliquem en aquest editorial.
Clica aquí i ajuda'ns!
Els nostres dispositius mòbils estan plens d’aplicacions, que fem servir per a tot. I estem acostumats a passar per alt les advertències sobre que l’app que ens volem baixar requereix tenir accés a la nostra galeria d’imatges, als nostres contactes o ubicació. És l’equivalent a les condicions d’ús, que afirmem haver llegit encara que -gairebé- mai no és així. Facebook, FaceApp o TikTok ja han protagonitzat polèmiques relacionades amb la protecció de dades però, recentment, el debat sobre privacitat ha anat guanyant terreny en el camp de l’àmbit públic.
Arran de la pandèmia va guanyar pes la disquisició sobre què val més: el bé comú, en forma de salut, o la privacitat?. La filòsofa Marina Garcés deia en una entrevista a aquest mitjà, ja a principis d’abril, que “el control social seria un dels grans guanyadors de la pandèmia“. Amb l’objectiu de frenar els contagis, la tecnologia juga un paper clau en aquesta nova normalitat en què les càmeres tèrmiques o els rastrejos estan a l’ordre del dia. I per això últim han arribat les app.
Són molts els països que ja han desenvolupat i llançat les seves aplicacions de rastreig de contactes per tancar el cercle sobre els contagis de coronavirus. Aquestes apps són de voluntària instal·lació i permeten enviar alertes a aquells usuaris que hagin estat a menys de dos metres, durant un determinat període de temps, d’una persona que s’hagi notificat -de nou, voluntàriament- com a positiva en Covid-19. Això ha despertat recels i dubtes sobre el respecte a la privacitat d’aquests programaris al voltant del món. A Espanya no ha estat menys: l’aplicació Radar Covid, que s’esperava per a mitjans de setembre i ha estat llançada a principis d’aquesta setmana, també presenta preguntes.
No necessita geolocalitzar, però activa el GPS
“La teva privacitat és la nostra prioritat”. Així resa la primera pantalla de Radar Covid, un cop s’ha instal·lat. L’aplicació informa que “funciona sense revelar la teva identitat ni la del teu smartphone. No recull el teu nom, email, geolocalització ni telèfon”. És cert que no demana cap permís a l’hora de ser instal·lada, però la cosa canvia quan l’app es posa en marxa. “Activa el teu Bluetooth. Això és tot el que et demanem”. Això ja no és tan cert. I és que quan s’activa la funció, apareix un pop up a la pantalla del telèfon que informa que l’aplicació “requereix la ubicació del dispositiu”.
Segons l’app, la ubicació “permet que el Bluetooth detecti els dispositius propers” tot i que “no es comparteix ni fa servir la ubicació del dispositiu”. Simona Levi, fundadora d’Xnet, afirma que “no és cert que el Bluetooth no funcioni correctament si es desactiva la geolocalització”. Per Levi, això és preocupant i els dubtes estan justificats, ja que “qualsevol persona que vetlli per la seva privacitat, evita utilitzar el GPS”.
No obstant això, Radar Covid informa que “pots consultar i canviar [el permís d’ubicació] a ‘Configuració’”. Això tampoc és cert, ja que si es desactiva el servei d’ubicació del telèfon (que s’activa automàticament quan l’aplicació comença a funcionar), salta un avís que diu que sense el GPS activat, Radar Covid “no és òptim”. Així i tot, “que el permís hagi de ser activat no vol dir que l’app l’utilitzi”, va explicar Carmela Troncoso, en declaracions a Newtral.
Troncoso és la líder de l’equip europeu que ha desenvolupat la tecnologia en què es basa Radar Covid i la resta d’aplicacions de rastreig del continent. Es tracta d’una API (Interfície de Programació d’Aplicacions) respectuosa amb la privacitat i dissenyada per a Google i Apple. Si l’app usés la geolocalització “incompliria els termes d’ús de Google. En el nostre codi es pot veure clarament que no s’utilitza aquesta informació. Entenem que Radar Covid tampoc la fa servir, ja que Google ha autoritzat l’app, però no es pot comprovar”, aclareix Troncoso a Newtral. I això porta al segon gran dubte sobre Radar Covid.
Codi tancat a la transparència
La Secretaria d’Estat per a la Digitalització i la Intel·ligència Artificial (SEDIA) va informar reiteradament abans del llançament de l’app que no requeriria de dades personals, permisos de geolocalització i que seria de codi obert. Doncs bé, setmanes després d’aquestes declaracions, després de 48 hores del seu llançament i després de més de 500.000 descàrregues per Android, Radar Covid segueix amb el codi tancat i barrat.
Són moltes les veus que, durant la pandèmia, han advertit sobre el perill del control social dels ciutadans, excusat en el control de virus. Per això, el dia abans del llançament de l’API, l’equip es va reunir amb diversos grups de civeractivistes europeus, entre ells Xnet. “Ens van dir que l’única cosa important era el bé comú i ens van assegurar que el codi es publicaria”, explica Simona Levi. Amb el codi a disposició de la ciutadania es poden veure les entranyes de l’aplicació i realment el que comporta. Levi descriu l’API de Google com privacy friendly, però alerta que s’ha fet pública “poca cosa” respecte les diverses apps que han sorgit d’aquesta interfície. “Poc i, per descomptat, res essencial per a una auditoria seriosa”, exposa.
En aquest sentit, l’opacitat del codi també desperta recel sobre el real anonimat dels usuaris de l’aplicació. “No podem saber la teva identitat ni les persones amb les que has estat”, assegura l’app . Això és perquè, sempre segons Radar Covid, es genera una identitat ID -un codi- per a cada usuari, que es regenera cada determinat temps. Així, l’aplicació no estableix connexions entre persones, sinó entre codis. Tota aquesta informació s’emmagatzema al dispositiu mòbil i només s’usa en cas que entre aquests ID estigui el d’algú que hagi declarat ser positiu en Covid-19.
“Aquesta gestió ha de ser descentralitzada, seguint les recomanacions europees, per evitar crear una base de dades que quedi sota el control de governs o empreses”, alerta Simona Levi, que afirma que, al menys fins que el codi no sigui obert, no se sabrà “com es creen aleatòriament les ID, ni com s’emmagatzemen ni s’esborren”. Saber com es generen aquestes identitats anònimes i fins a quin punt donem accés a l’app per emmagatzemar-les al nostre mòbil, cobra més sentit encara des del moment en què aquesta aplicació obliga a tenir la geolocalització activada.
Un contracte a Indra ocult fins a l’últim moment
El contracte per al “disseny, desenvolupament, pilot i avaluació d’un sistema que permeti el rastreig de contactes en relació a la pandèmia” es va adjudicar a Indra el 15 de juny de 2020. Només un mes abans del llançament de l’app i poques setmanes abans de la prova pilot a La Gomera. I la documentació no va ser pública al portal de contractació del Ministeri d’Hisenda fins dimarts passat. El contracte va ser de 330.537,52 euros i s’especificava que el termini d’execució seria de 5 mesos.
Però l’interessant en el contracte no està en el quant, sinó en el com. Indra es va alçar amb l’adjudicació mitjançant una tramitació d’emergència i un negociat sense publicitat. Això vol dir que, en el context d’emergència pandèmica (justificat mitjançant l’article 16 de Reial Decret llei 7/2020 del passat mes de març), l’administració pot negociar directament amb els possibles contractistes sense que se’ls pugui exigir publicar l’expedient de contractació, ni els terminis, ni els candidats ni cap requisit de procediment. Tot això, per poder contractar l’empresa que, segons l’administració, pugui complir la tasca el més aviat possible. En nom d’actuar ràpid contra el virus. Ara bé, la tramitació d’emergència només afecta els requisits i tempos previs a la signatura de el contracte, de manera que aquest hauria d’haver estat públic des del dia 15 de juny.
Segons Simona Levi, estem davant d’un problema clar de “transparència. Ens prometen totes les garanties democràtiques però hem de poder-les verificar”. I és que, segons la d’Xnet, hem de saber què instal·lem i es queixa que si els altres grans països eurpeos que també han basat les seves apps de rastreig en l’API de Google s’haguessin posat més ferms i haguessin pressionat més, ara sabríem tots els detalls d’aquestes aplicacions”. Levi conclou amb una afirmació múrria i contundent: “exigir transparència no és tant per esbrinar certes coses, sinó per vigilar els poderosos, perquè si no ens donen transparència és perquè hi ha gat amagat”.
