El protocolo de Apple y Google que usa RadarCOVID no se ha auditado al completo: en Países Bajos piden que se exijan más garantías antes de activar su app de rastreo

La autoridad de protección de datos neerlandesa ha pedido al Gobierno de Países Bajos que mantenga reuniones con Apple y Google para comprobar que la tecnología de rastreo de contactos que utilizan las apps nacionales sean 100% seguras con la privacidad de los usuarios.

La app española para rastrear contactos, por ejemplo, se llama RadarCOVID, y usa el protocolo desarrollado por estas dos multinacionales.

Este protocolo consiste en que los teléfonos emiten y reciben códigos encriptados a través de Bluetooth de dispositivos cercanos, de modo que cada terminal puede hacer un historial de 'contactos estrechos' durante días. Si un usuario comunica en una app que use este protocolo su positivo por COVID-19, los móviles que han estado cerca de él recibirán un aviso de posible exposición a un contagio.

El protocolo de Apple y Google se inspiró en uno llamado DP-3T que fue desarrollado por investigadores de toda Europa liderados por la española Carmela Troncoso, investigadora de la Escuela Politécnica de Lausana, en Suiza. Este protocolo DP-3T defendía que los datos de los usuarios se gestionaran de forma descentralizada.

Leer más: El verdadero desafío de RadarCOVID, la app de rastreo de contactos, es configurarla: los usuarios menos expertos en tecnología tendrán problemas para que funcione

A mediados de abril se supo que el Gobierno de España se había adscrito a un consorcio europeo llamado PEPP-PT que buscaba desarrollar una tecnología para ayudar en el rastreo de contactos y prevenir contagios de COVID-19. Sin embargo, este consorcio acabó defendiendo un modelo en el que los datos generados en los contactos cercanos se subiesen a un servidor centralizado.

Este modelo, el centralizado, acabó siendo adoptado por países como Reino Unido y Francia, entre críticas de colectivos hackers y organizaciones en defensa de la privacidad.

Finalmente, en mayo Apple y Google presentaron su API. Al ser estas dos tecnológicas las propietarias de los sistemas operativos iOS y Android, presentes en la mayoría de teléfonos del mundo, la mayoría de países se rindieron a la evidencia: no podrían desarrollar ningún protocolo que no aceptase estas dos firmas, responsables últimas de hacer compatible esta tecnología con sus sistemas.

Esto no estuvo exento de polémica. El propio Gobierno de España criticó con dureza la unilateralidad de estas dos multinacionales. La secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, lamentó que se hubiese perdido una "oportunidad" para la colaboración público-privada.

"No está claro si Apple y Google pueden recoger datos de usuarios"

Ahora, la agencia de protección de datos de Países Bajos ha planteado al gobierno de su país que "la privacidad de los usuarios de las apps de coronavirus todavía no está garantizada lo suficiente".

En un comunicado, la Autoridad de Protección de Datos Holandesa (DPA, por sus siglas en inglés) considera que el Ministerio de Salud del país debería alcanzar acuerdos con Google y Apple y la ley debería adaptarse convenientemente para regular el uso de esta aplicación.

Por esta razón, la DPA plantea al Gobierno que no lance la app de rastreo de contactos hasta que se hayan dado estos pasos previos.

Leer más: "Implantar la semana de 4 días ha hecho aumentar una barbaridad nuestra productividad", según la emprendedora que impulsa su aceleración en España

Eso sí, el presidente de la DPA, Aleid Wolfsen, asegura que la aplicación desarrollada por la administración neerlandesa se ha desarrollado correctamente. "La aplicación se ha desarrollado claramente con la privacidad como principio. Hay suficientes herramientas para garantizar que terceras partes puedan leer el tráfico de datos".

En España, RadarCOVID cuenta con las mismas herramientas: tráfico de datos encriptados, móviles comunicándose mediante códigos cifrados generados de forma aleatoria. El problema reside en el protocolo en el que se basa la app para funcionar; el protocolo de Apple y Google.

En este sentido, la principal preocupación de la DPA neerlandesa está en el protocolo de las dos tecnológicas: no tiene claro si las firmas pueden recopilar datos de los usuarios que utilicen esta tecnología. "No está claro para la DPA si estos dos gigantes estadounidenses pueden recoger datos de usuarios combinando la tecnología con el sistema operativo".

"Si es así: ¿qué pasa con los datos?", se pregunta el organismo de control.

El movimiento de la DPA es el primero que una agencia de protección de datos da en toda Europa, después de que un colectivo de activistas digitales, X.net, advirtiera en España que el protocolo de Apple y Google no se ha podido auditar al 100%.

Así, Países Bajos podría ser el primer país de Europa en pedir más información a Apple y Google sobre cómo funciona el protocolo en la que muchos estados están confiando ciegamente para desarrollar sus apps de rastreo.