El peligro de las apps: la Generalitat emplea una empresa de marketing en su aplicación contra el coronavirus

La Generalitat de Catalunya sacó el 18 de marzo StopCovid19, la primera app de autodiagnóstico de la Covid-19 en España. Su objetivo es aliviar las llamadas a emergencias de gente con síntomas. La app guía al usuario sobre si debe seguir en casa o llamar a urgencias. Los datos de identidad y dolencias que introducen los más de medio millón de ciudadanos que se la han descargado son por tanto muy sensibles.

“No hay ningún acuerdo para vender esos datos. Hemos pasado todos los permisos de Protección de datos. Estamos hablando de datos de estado de salud que tienen la máxima protección y lo hemos hecho todo con rigor para poder tener esta aplicación”, dijo en rueda de prensa la consellera de Salut de la Generalitat, Alba Vergés, al poco de salir la app.

La app StopCovid19 manda información a tres dominios: api.backendcovid19[.]net, location.backendcovid19[.]net y mmm.mubiquo[.]com. Los tres están alojados en servidores de Amazon, según una investigación de las apps de autodiagnóstico españolas de AppCensus, una startup ubicada en San Francisco que ofrece análisis y productos centrados en privacidad.

En uno de los dominios aparece el término Mubiquo, el nombre de una empresa de márketing de Barcelona, cuya herramienta estrella se llama Plataforma M y que sirve para “incrementar la eficacia de tu canal móvil con mensajes personalizados, localización y proximidad”. En su web, citan como clientes a L’Illa, Tous, Nestlé, BBVA o Santander.

La política de privacidad de la app no advierte de la presencia ni función de una empresa cuyo negocio está alejado de la salud pública.

EL PAÍS preguntó a la Generalitat y Mubiquo los detalles de su colaboración. “La aplicación que estamos utilizando emplea Mubiquo como plataforma push para poder enviar notificaciones generales a los usuarios, segmentados por idioma y eventualmente por ubicación”, dicen fuentes del Departament de Salut. “Esta plataforma no recoge ningún identificador de usuario, ni información relativa a las respuestas del test de autoevaluación: únicamente recoge el identificador de instalación, idioma y ubicación para poder enviar notificaciones”, añaden.

Es decir, Mubiquo captura la localización del más de medio millón de descargas de la app. El permiso de localización es imprescindible para usar la app. Ninguna otra app contra la Covid-19 de España obliga a compartir localización. Según la respuesta de la Generalitat, sin embargo, Mubiquo solo tendría acceso a un identificador de la descarga, no del usuario.

¿Pero es realmente así? Puede ser. O no. Hay que fiarse. AppCensus no puede comprobarlo. La información pasa por tres dominios. A uno de ellos va ese identificador de descarga junto al DNI y otros datos personales. El presidente ejecutivo de Mubiquo, Rubén Aparicio, responde que entre los dominios no hay relación: “No existen llamadas a nuestro entorno ni a ningún otro tercero relacionadas con datos de salud ni datos de carácter personal, de ese servicio se encarga el backend de la Generalitat”, dice.

Europa no lo aprueba

La presidenta del Comité Europeo de Protección de Datos, Andrea Jelinek, ha publicado una carta abierta sobre apps y coronavirus: “El desarrollo de apps debe ser hecho en un modo responsable y el código debería ser colgado en abierto para el mayor escrutinio posible por la comunidad científica”.

Los dos servidores que presuntamente son de la Generalitat no están firmados por ningún certificado oficial del organismo, con lo que nada prueba los argumentos de Salut y Mubiquo más allá de la confianza. En su carta, Jalinek pide expresamente que la privacidad debe ser “por diseño, no por confianza”. Por si fuera poco, la localización permanente de un ciudadano es muy fácil de desanonimizar.

Estas dudas sobre quién gestiona los datos de cientos de miles de catalanes ganan peso cuando es probable que en los próximos meses las autoridades catalanas, españolas y europeas pidan a decenas de millones de ciudadanos que se descarguen una app para rastrear contagios. La confianza en ese instrumento tecnológico solo llegará con transparencia y auditorías. La facilidad y ligereza con la que ahora se construyen apps marca un camino poco prometedor.

“Esto es una razón convincente para que las apps financiadas con dinero público y hechas para el interés público sean de código abierto”, dice Joel Reardon, profesor en la Universidad de Calgary (Canadá) y cofundador de appCensus. “El problema real es que debe haber transparencia y vigilancia”, añade Serge Egelman, investigador en el ICSI (International Computer Science Institute) en Berkeley (Estados Unidos) y director técnico de appCensus.

La app StopCovid19 no solo no es transparente con el código en abierto: en sus condiciones legales prohíbe el análisis mediante ingeniería inversa. Es un intento de limitar la investigación de la comunidad de expertos en privacidad.

La Autoritat Catalana de Protecció de Dades, consultada por EL PAÍS, interpreta que en este caso la comunicación de que el “responsable del tratamiento” (el Departament de Salut) tiene un “encargado del tratamiento” (Mubiquo) no es obligatoria, aunque el “responsable debe velar porque el encargado reúna las garantías necesarias”. ¿Y una empresa de marketing reúne esas garantías? “En función de cuál sea la otra actividad sí pueden aumentar los riesgos”, dicen, y añaden este detalle finísimo: “En este caso, Mubiquo no sería propiamente una empresa de marketing sino una empresa de soluciones de marketing para móvil”.

Una empresa como Mubiquo, que tiene una plataforma que ofrece como servicio cuando un usuario entra por ejemplo en un centro comercial, tendría fácil aprovechar la ubicación permanente de cientos de miles de catalanes. La app incluye también código por ahora sin utilizar de geofencing, que se emplea para saber cuándo un móvil está en un espacio concreto. Si llegara el caso en que la Generalitat necesitara advertir a alguien de que no puede salir de una calle, barrio o ciudad, la app y Mubiquo ya están a punto.

Mubiquo coge además el GPS con todos sus decimales. Para mandar notificaciones a usuarios, que es el presunto motivo por el que está ahí, es improbable necesitar tanta precisión. Puede minimizarse la obtención de datos –otro principio básico en privacidad recordado por el Comité europeo– redondeando la cifra a nivel de calle, barrio o código postal. Estas precauciones no son solo para evitar malos usos de datos sensibles, sino también filtraciones o robos. Un cibercriminal ya sabe dónde buscar si quiere la localización durante semanas de un 10% de los catalanes.

Más ejemplos en otras regiones

La app catalana no es la única que genera dudas. La vasca, Covid19.eus, está desarrollada por una empresa privada pero al menos en la política de privacidad advierten de quiénes son y a qué tienen acceso, aunque su impacto en descargas en el País Vasco ha sido menor. Como la catalana, su código tampoco está abierto ni está bien documentada con un análisis independiente. Tampoco respeta el principio de minimización al obtener datos, que pide el Comité europeo.

La app CoronaMadrid y la del Gobierno, AsistenciaCovid19, que se usa de momento en cinco comunidades, tienen al menos dos problemas. Madrid fue un piloto nacional. Todos los datos van a servidores de Google, que es una enorme empresa cuyo negocio principal es vender anuncios y está bajo jurisprudencia de otro país. La app nacional llegó días más tarde que CoronaMadrid, aunque el equipo de desarrolladores fue el mismo. Las dos apps se parecen tanto que incluso la base de datos podría ser la misma, según el informe, lo que podría incurrir en fraude.

Jorge García Herrero, abogado especializado en privacidad, no lo ve tan grave: “Si se volcaran los datos de forma consciente y deliberada y se trataran a la vez todos juntos, sí existiría corresponsabilidad y se estaría defraudando la confianza de los usuarios al no darse esa información. Pero con franqueza, desde el sentido común, más bien parece que el Gobierno de España ignora este hecho, o que no cree que sean la misma base de datos por implementación de medidas técnicas que son lógicamente posibles”, explica.

¿Tienes más información sobre esta noticia? Puedes contactar con el autor en jordipc@elpais.es