Una coalición de técnicos de la UE está respaldando un estándar de "preservación de la privacidad" para el rastreo de contactos COVID-19

Una coalición de técnicos de la UE está respaldando un estándar de “preservación de la privacidad” para el rastreo de contactos COVID-19

by

in

Una coalición europea de técnicos y científicos provenientes de al menos ocho países, y dirigida por el Instituto alemán de telecomunicaciones Fraunhofer Heinrich Hertz (HHI), está trabajando en la tecnología de proximidad de rastreo de contactos para COVID-19 que está diseñada para cumplir con las estrictas reglas de privacidad de la región – Develar oficialmente el esfuerzo de hoy.

El seguimiento de la ubicación a nivel individual al estilo chino de las personas por parte de los estados a través de sus teléfonos inteligentes, incluso con fines de salud pública, es difícil de imaginar en Europa, que tiene una larga historia de protección legal para la privacidad individual. Sin embargo, la pandemia de coronavirus está ejerciendo presión sobre el modelo de protección de datos de la región, ya que los gobiernos recurren a las tecnologías de datos y móviles para buscar ayuda para rastrear la propagación del virus, apoyar su respuesta de salud pública y mitigar los impactos sociales y económicos más amplios.

Decenas de aplicaciones están apareciendo en toda Europa con el objetivo de atacar el coronavirus desde diferentes ángulos. La privacidad europea sin fines de lucro, noyb, mantiene una lista actualizada de enfoques, tanto dirigidos por gobiernos como por proyectos del sector privado, para usar datos personales para combatir el SARS-CoV-2, con ejemplos hasta ahora que incluyen el rastreo de contactos, el bloqueo o la cuarentena aplicación y autoevaluación de COVID-19.

La eficacia de tales aplicaciones no está clara, pero la demanda de tecnología y datos para impulsar tales esfuerzos proviene de todas partes.

En el Reino Unido, el gobierno ha llamado rápidamente a los gigantes tecnológicos, incluido Google, Microsoft y Palantir, para ayudar al Servicio Nacional de Salud a determinar dónde deben enviarse los recursos durante la pandemia. Mientras que la Comisión Europea se ha apoyado en las empresas de telecomunicaciones regionales para entregar los datos de ubicación de los usuarios para llevar a cabo el seguimiento del coronavirus, aunque en forma agregada y anónima.

El nuevo proyecto paneuropeo de seguimiento de proximidad para preservar la privacidad (PEPP-PT) es una respuesta a la pandemia de coronavirus que genera un gran aumento en la demanda de datos de los ciudadanos que está destinado a ofrecer no solo otra aplicación, sino lo que se describe como “un enfoque de total preservación de la privacidad “para el rastreo de contactos COVID-19.

La idea central es aprovechar la tecnología de teléfonos inteligentes para ayudar a interrumpir la próxima ola de infecciones notificando a las personas que han estado en contacto cercano con una persona infectada, a través del proxy de que sus teléfonos inteligentes han estado lo suficientemente cerca como para llevar a cabo un apretón de manos Bluetooth. Hasta ahora tan estándar. Pero la coalición detrás del esfuerzo quiere dirigir los desarrollos de tal manera que la respuesta de la UE al COVID-19 no se desplace hacia la vigilancia estatal de los ciudadanos al estilo chino.

Si bien, por el momento, se mantienen estrictas medidas de cuarentena en gran parte de Europa, puede ser menos imperativo que los gobiernos elaboren el libro de reglas de mejores prácticas para entrometerse en la privacidad de los ciudadanos, dado que la mayoría de las personas están encerradas en sus hogares. Pero la pregunta que se avecina es qué sucede cuando se levantan las restricciones a la vida diaria.

El rastreo de contactos, como una forma de ofrecer una oportunidad para intervenciones que pueden romper cualquier nueva cadena de infección, se promociona como un componente clave para prevenir una segunda ola de infecciones por coronavirus por algunos, con ejemplos como la aplicación TraceTogether de Singapur estar mirando por legisladores regionales.

Singapur parece haber tenido cierto éxito al evitar que una segunda ola de infecciones se convirtiera en un brote importante, a través de un régimen de pruebas agresivas y de rastreo de contactos. Pero lo que una pequeña ciudad-estado insular con una población de menos de 6 millones de habitantes puede hacer frente a un bloque comercial de 27 naciones diferentes cuya población colectiva supera los 500 millones no necesariamente parece inmediatamente comparable.

Europa no va a tener una sola aplicación de rastreo de coronavirus. Ya tiene un mosaico. Por lo tanto, la gente detrás de PEPP-PT ofrece un conjunto de “estándares, tecnología y servicios” a los países y desarrolladores a los que conectarse para obtener un enfoque de rastreo de contactos COVID-19 estandarizado en funcionamiento en todo el bloque.

La otra pieza con sabor muy europeo aquí es la privacidad y la ley de privacidad. “Cumplimiento de la protección de datos, anonimización, GDPR [the EU’s General Data Protection Regulation] el cumplimiento y la seguridad “están integrados, es el reclamo de primera línea.

“PEPP-PR se creó explícitamente para cumplir con las estrictas leyes y principios europeos de privacidad y protección de datos”, escribe el grupo en un manifiesto en línea. “La idea es hacer que la tecnología esté disponible para la mayor cantidad de países, gerentes de respuesta a enfermedades infecciosas y desarrolladores de la manera más rápida y fácil posible.

“Los mecanismos y estándares técnicos proporcionados por PEPP-PT protegen completamente la privacidad y aprovechan las posibilidades y características de la tecnología digital para maximizar la velocidad y la capacidad en tiempo real de cualquier respuesta nacional a una pandemia”.

Hans-Christian Boos, uno de los co-iniciadores del proyecto, y el fundador de una compañía de inteligencia artificial llamada Arago, discutió la iniciativa con el periódico alemán Der Spiegel, diciéndole: “No recopilamos datos de ubicación, ni perfiles de movimiento, ni información de contacto y sin características identificables de los dispositivos finales “.

El periódico informa que el enfoque de PEPP-PT significa que las aplicaciones que se alinean con este estándar generarían solo identificaciones temporales, para evitar que las personas sean identificadas. Según el informe, dos o más teléfonos inteligentes que ejecutan una aplicación que utiliza la tecnología y tiene Bluetooth habilitado cuando se acercan intercambiarían sus respectivas identificaciones, guardándolos localmente en el dispositivo de forma encriptada.

Der Spiegel escribe que si un usuario de la aplicación es diagnosticado posteriormente con coronavirus, su médico podría pedirle que transfiera la lista de contactos a un servidor central. Luego, el médico podría usar el sistema para advertir a las identificaciones afectadas de que han tenido contacto con una persona a la que se le ha diagnosticado el virus, lo que significa que las personas en riesgo podrían someterse a pruebas proactivas y / o autoaislarse.

En su sitio web, PEPP-PT explica el enfoque de la siguiente manera:

Modo 1
Si un usuario no es evaluado o ha resultado negativo, el historial de proximidad anónimo permanece encriptado en el teléfono del usuario y nadie puede verlo ni transmitirlo. En cualquier momento, solo se guarda el historial de proximidad que podría ser relevante para la transmisión del virus, y el historial anterior se elimina continuamente.

Modo 2
Si se ha confirmado que el usuario del teléfono A es SARS-CoV-2 positivo, las autoridades sanitarias se comunicarán con el usuario A y le proporcionarán un código TAN que garantiza que el malware potencial no puede inyectar información de infección incorrecta en el sistema PEPP-PT. El usuario utiliza este código TAN para proporcionar voluntariamente información al servicio de confianza nacional que permite la notificación de aplicaciones PEPP-PT registradas en el historial de proximidad y, por lo tanto, potencialmente infectadas. Dado que este historial contiene identificadores anónimos, ninguna de las personas puede conocer la identidad de la otra.

Al proporcionar más detalles de lo que considera como “operación de servicio de confianza dependiente del país”, escribe: “Las identificaciones anónimas contienen mecanismos encriptados para identificar el país de cada aplicación que utiliza PEPP-PT. Con esa información, las identificaciones anónimas se manejan de manera específica para cada país “.

Mientras que en el procesamiento de atención médica se sugiere: “Un proceso sobre cómo informar y gestionar los contactos expuestos se puede definir país por país”.

Entre las otras características de los mecanismos de PEPP-PT que el grupo enumera en su manifiesto están:

  • Arquitectura y tecnología backend que pueden implementarse en la infraestructura local de TI y pueden manejar cientos de millones de dispositivos y usuarios por país al instante.
  • Administrar la red de socios de iniciativas nacionales y proporcionar API para la integración de las características y funcionalidades de PEPP-PT en los procesos nacionales de salud (prueba, comunicación, …) y los procesos del sistema nacional (logística de salud, logística económica, …) dando a muchas iniciativas locales una columna vertebral local arquitectura que hace cumplir GDPR y garantiza la escalabilidad.
  • Servicio de certificación para probar y aprobar implementaciones locales para utilizar los mecanismos PEPP-PT como se anuncia y, por lo tanto, heredar las pruebas de privacidad y seguridad y la oferta de mecanismos de aprobación PEPP-PT.

Tener un enfoque estandarizado que podría conectarse a una variedad de aplicaciones permitiría que el rastreo de contactos funcione a través de las fronteras, es decir, incluso si las diferentes aplicaciones son populares en diferentes países de la UE, una consideración importante para el bloque, que tiene 27 Estados miembros.

Sin embargo, puede haber preguntas sobre la solidez de la protección de la privacidad diseñada en el enfoque; si, por ejemplo, los datos seudonimizados se centralizan en un servidor al que los médicos pueden acceder allí, podría existir el riesgo de que se filtren y se vuelvan a identificar. Y la identificación de los titulares de dispositivos individuales sería legalmente riesgosa.

El principal regulador de datos de Europa, el SEPD, recientemente twitteó para advertir a un eurodiputado (y ex comisionado digital de la CE) contra la legalidad de aplicar el rastreo de contactos con tecnología Bluetooth al estilo de Singapur en la UE – escribiendo: “Tenga cuidado al comparar Singapur ejemplos con situación europea. Recuerde que Singapur tiene un régimen legal muy específico sobre la identificación del titular del dispositivo “.

Un portavoz del SEPD nos dijo que está en contacto con las agencias de protección de datos de los Estados miembros que participan en el proyecto PEPP-PT para recopilar “información relevante”.

“Los principios generales presentados por EDPB el 20 de marzo y por el SEPD el 24 de marzo siguen siendo relevantes en ese contexto”, agregó el portavoz, refiriéndose a la guía emitida por los reguladores de privacidad el mes pasado en la que alentaron el anonimato y la agregación si los Estados miembros quisieran utilizar datos de ubicación móvil para monitorear, contener o mitigar la propagación de COVID-19. Al menos en primera instancia.

“Cuando no es posible procesar solo datos anónimos, la Directiva de privacidad electrónica permite a los Estados miembros introducir medidas legislativas para salvaguardar la seguridad pública (Art. 15)”, señaló el EDPB.

“Si se introducen medidas que permitan el procesamiento de datos de ubicación no anonimizados, un Estado miembro está obligado a establecer garantías adecuadas, como proporcionar a las personas de los servicios de comunicación electrónica el derecho a un recurso judicial”.

Nos comunicamos con el HHI con preguntas sobre el proyecto PEPP-PT y nos remitieron a Boos, pero al momento de escribir esto no había podido hablar con él.

“El sistema PEPP-PT está siendo creado por un equipo europeo multinacional”, escribe el HHI en un comunicado de prensa sobre el esfuerzo. “Es un enfoque de seguimiento de contactos digitales anónimo y que preserva la privacidad, que cumple totalmente con el RGPD y también se puede usar cuando se viaja entre países a través de un mecanismo de intercambio anónimo de varios países. No se almacenan ni transmiten datos personales, ni ubicación, ni Mac-Id de ningún usuario. PEPP-PT está diseñado para incorporarse a las aplicaciones nacionales de telefonía móvil corona como una funcionalidad de rastreo de contactos y permite la integración en los procesos de los servicios nacionales de salud. Se ofrece que la solución se comparta abiertamente con cualquier país, dado el compromiso de lograr la interoperabilidad para que el mecanismo de intercambio anónimo de varios países siga siendo funcional “.

“El equipo internacional de PEPP-PT está formado por más de 130 miembros que trabajan en más de siete países europeos e incluye científicos, tecnólogos y expertos de reconocidas instituciones y compañías de investigación”, agrega.

“El resultado del trabajo del equipo será propiedad de una organización sin fines de lucro para que la tecnología y los estándares estén disponibles para todos. Nuestras prioridades son el bienestar de los ciudadanos del mundo de hoy y el desarrollo de herramientas para limitar el impacto de futuras pandemias, todo ello conforme a las normas y estándares europeos “.

El PEPP-PT dice que sus esfuerzos centrados en la tecnología se están financiando a través de donaciones. Según su sitio web, dice que ha adoptado los estándares de la OMS para dicho financiamiento, para “evitar cualquier influencia externa”.

Por supuesto, para que el esfuerzo sea útil, depende de que los ciudadanos de la UE descarguen voluntariamente una de las aplicaciones de rastreo de contactos alineados, y lleven su teléfono inteligente a todas partes, con Bluetooth habilitado.

Sin una penetración sustancial de los teléfonos inteligentes regionales, es cuestionable cuánto impacto podría tener esta iniciativa, o cualquier tecnología de rastreo de contactos. Aunque si dicha tecnología pudiera romper incluso algunas cadenas de infección, las personas podrían argumentar que no es un esfuerzo inútil.

En particular, hay indicios de que los europeos están dispuestos a contribuir a una causa de salud pública haciendo su parte digitalmente, como una aplicación de seguimiento COVID-19 de autoinforme que la semana pasada acumuló 750,000 descargas en el Reino Unido en 24 horas.

Pero, al mismo tiempo, las aplicaciones de rastreo de contactos enfrentan escepticismo sobre su capacidad de contribuir a la lucha contra COVID-19. No todos llevan un teléfono inteligente, ni saben cómo descargar una aplicación, por ejemplo. Hay muchas personas que caerían fuera de una red tan digital.

Mientras tanto, aunque claramente ha habido una gran lucha en toda la región, tanto a nivel de gobierno como de base, para movilizar la tecnología digital para una emergencia de salud pública porque podría decirse que existe un mayor imperativo para dirigir el esfuerzo y los recursos para ampliar los programas de pruebas de coronavirus, un área donde la mayoría Los países europeos continúan rezagados.

Alemania, de donde son algunos de los patrocinadores clave del PEPP-PT, es la excepción más notable.




Source link