Radar COVID, la app de rastreo de contactos española para luchar contra la pandemia, ha pasado el período de pruebas. Llevo semanas siguiendo este tema y hablando con fuentes para saber por qué aún tiene tantas sombras (y despejarlas), y esta semana he publicado este reportaje sobre las dudas que persisten, meses después.
Se dice que es de código abierto, como el resto de apps europeas, pero todavía no hemos podido verlo. Esto despejaría el 100% de esas dudas (esperamos al 15 de septiembre, que es cuando dicen que la abrirán). Dicen que se basa en DP-3T, una app abierta europea, que en principio podría ser adaptada con ligeras modificaciones, pero el proceso parece estar llevando demasiado tiempo, y Carmela Troncoso, la líder del equipo de DP-3T, nos ha dicho que no llamaría colaboración a lo que hubo con España. Sólo en Europa, contamos ya 10 apps basadas en este código abierto que están funcionando.
La ministra de Economía, Nadia Calviño, dijo a finales de mayo en el Congreso que las pruebas comenzarían en junio. Luego lo retrasaron hasta julio, con el piloto de La Gomera. Hace dos semanas empezamos a buscar el contrato, que no estaba publicado aún. Fuentes de SEDIA me dijeron que igual era por la tramitación de emergencia, pero esto no es así. La tramitación de emergencia permite saltarse la adjudicación para agilizar el trámite, pero una vez adjudicado toda esa documentación debe ser puesta a disposición del público, según la ley de contratos públicos.
Por otro lado, el tema de la localización. Se repite que la app funciona con Bluetooth y no utiliza datos de localización pero en Android no puedes usarla con localización desactivada. Haz la prueba, tu teléfono te mandará un mensaje como el de la imagen de esta entrada. Es decir que tu teléfono sí está cogiendo datos de localización. “Pero la app no los pide”, dicen desde SEDIA. Muy bien, pero a día de hoy, con más de un millón de apps instaladas y activas en los bolsillos de los españoles, no podemos comprobar eso, o si Google está haciendo algo con esos datos. Por eso además de una auditoría externa de esta app sería bueno también auditar la API que Google y Apple crearon para esto y en lo que se basa la app. Esa auditoría ha sido pedida por Troncoso, sin respuesta aún.
Una app de rastreos implica un desafío tecnológico y ético tremendo, más en épocas de pandemia, en las que siempre planea la tentación y la excusa de dejar de lado la privacidad por la seguridad. No es imposible. En pandemia necesitamos tecnologías seguras, abiertas y auditadas para garantizar la confianza de los usuarios. Los ciudadanos deben tener la información clara para que la instalen con decisiones informadas. Seguridad por diseño, no por confianza.
El reportaje completo ha sido publicado en Newtral: Luces y sombras de la app de rastreo en España
Me gustaría aclarar una cosa respecto a la ubicación, el bluetooth y DP-3T.
DP-3T utiliza únicamente el bluetooth y no necesita la ubicación para funcionar. Sin embargo, desde Android 6.0 (2016) para activar el bluetooth y poder «ver» qué dispositivos hay a tu alrededor (justo lo que utiliza DP-3T), el sistema obliga a la aplicación a solicitar permiso para acceder a la ubicación.
Es cierto que una vez que la aplicación tiene el permiso, sin el código, no sabemos si lo usa responsablemente, pero la aplicación no puede funcionar sin él.
Referencia: https://developer.android.com/about/versions/marshmallow/android-6.0-changes?hl=es#behavior-hardware-id