En mayo, se arriesgó a una sentencia de prisión de seis meses o una multa de $ 15 por negarse a descargar la aplicación. Ghosh no lo hizo cuidado: tenía mayores preocupaciones sobre el uso futuro de sus datos.
«No estoy seguro de cómo el gobierno usará mis datos. Si lo desean, pueden vigilarme para siempre a través del rastreo de ubicación en la aplicación», dijo Ghosh.
El gobierno indio sostiene que la mayoría de los datos personales y de ubicación de los usuarios se eliminan en última instancia, pero los críticos dicen que la falta de leyes de protección de datos en la India expone a millones de personas a posibles violaciones de la privacidad. También temen que el gobierno pueda vender información personal a empresas privadas, o incluso usarla para vigilancia más allá de las preocupaciones de Covid-19.
Millones de usuarios
La aplicación Aarogya Setu fue desarrollada por el Centro Nacional de Informática, un organismo de TIC y gobierno electrónico dependiente del Ministerio de Electrónica y Tecnología de la Información, en colaboración con expertos técnicos voluntarios de la industria privada y la academia.
A principios de
Junio, se había descargado más de
120 millones de veces.
A diferencia de las aplicaciones de rastreo de contactos de muchos otros países, Aarogya Setu usa datos de ubicación de Bluetooth y GPS para monitorear el movimiento de los usuarios de la aplicación y la proximidad a otras personas.
Se solicita a los usuarios que ingresen su nombre, número de teléfono, edad, sexo, profesión y los países que han visitado en los últimos 30 días, así como las condiciones de salud anteriores y una autoevaluación sobre cualquier síntoma relacionado con Covid-19.
Se genera una ID digital (DiD) única para cada usuario, que se utiliza para todas las transacciones futuras relacionadas con la aplicación. A través del GPS, la aplicación registra la ubicación de cada usuario cada 15 minutos.
Cuando dos usuarios registrados se encuentran dentro del alcance de Bluetooth entre sí, sus aplicaciones intercambian DiD automáticamente y registran la hora y la ubicación. Si uno de los usuarios da positivo por Covid-19, la información se carga desde su teléfono en el servidor del gobierno indio y se utiliza para el rastreo de contactos.
En un análisis de 25 aplicaciones, el
Instituto de Tecnología de Massachusetts (MIT) le dio a Aarogya Setu solo
dos de cinco estrellas, en gran parte porque recoge
muchos más datos de los que nEeds. A modo de comparación, la aplicación TraceTogether de Singapur obtuvo 5 estrellas y usa solo Bluetooth.
Hasta el 1 de junio, Aarogya Setu había identificado 200,000 personas en riesgo y 3,500 puntos de acceso Covid-19, según el desarrollador principal Lalitesh Katragadda, el fundador de Indihood, una empresa privada que construye plataformas de crowdsourcing a escala de población, y una de la industria privada. voluntarios que trabajaron con agencias gubernamentales en la aplicación.
«Tenemos una tasa de eficacia del 24%, es decir, el 24% de todas las personas que se estima que tienen Covid-19 debido a la aplicación han dado positivo», dijo Katragadda. Esto significa que solo alrededor de 1 de cada 4 personas recomendadas por la aplicación para hacerse una prueba realmente dan positivo.
Subhashis Bannerjee, profesor de ciencias de la computación e ingeniería en el Instituto Indio de Tecnología de Nueva Delhi, dijo que la combinación de la ubicación de Bluetooth y GPS probablemente arrojaría una mayor tasa de falsos positivos y falsos negativos. Por ejemplo, el GPS a menudo no está disponible o no es confiable en interiores, y Bluetooth sobreestima los riesgos en grandes espacios abiertos, a través de paredes y pisos, que las ondas de radio pueden penetrar pero el virus no puede.
«Parece haber un salto de fe de la colocación de GPS y la proximidad de radio Bluetooth para estimar una puntuación de riesgo para la transmisión de infecciones», dijo.
escribió en un informe para Internet Freedom Foundation (IFF), una organización no gubernamental que aboga por los derechos digitales, que ha presentado un desafío legal contra la orden de descarga obligatoria en el Tribunal Superior de Kerala.
Salvaguardias del gobierno
El gobierno indio afirma que se han incorporado suficientes parámetros de privacidad y protección para garantizar la eliminación permanente de los datos de la aplicación.
«Todos los datos de ubicación y rastreo de contactos en el teléfono se eliminan en un ciclo continuo de 30 días. Los mismos datos en el servidor se eliminan 45 días después de la carga, a menos que la prueba sea positiva. En ese caso, toda la información de ubicación y rastreo de contactos se elimina después de 60 días después de ser declarado curado «, dijo Abhishek Singh, CEO de MyGov en el ministerio de TI de India.
sin embargo, el
Protocolo de acceso a datos y conocimiento compartido de Aarogya Setu establece que los datos no identificados (anónimos) se pueden compartir con cualquier ministerio o institución gubernamental, siempre y cuando sea con el propósito de abordar Covid-19. Cualquier información recibida debe eliminarse permanentemente después de 180 días, según el protocolo. Pero los activistas de la privacidad dicen que no hay forma de saber si eso sucedió.
«No hay forma de verificar y verificar si se ha producido la destrucción completa de los datos y si algún tercero con el que se hayan compartido los datos también los ha destruido», dijo Apar Gupta, abogado y director ejecutivo de IFF.
En respuesta a los llamados a una mayor transparencia, el gobierno indio abrió el código fuente de la aplicación el 27 de mayo y anunció un programa de recompensas por errores para incentivar a los expertos en software a encontrar vulnerabilidades de seguridad en la aplicación, para rectificar fallas, si las hubiera.
«Este es un paso en la dirección correcta, pero para conocer la imagen completa de quién tiene acceso a los datos, también necesitamos el código del servidor», dijo Robert Baptiste, un hacker ético que usa el alias
de
Elliot Alderson y fallas de seguridad expuestas en la aplicación poco después de su lanzamiento. Un código de servidor abierto permitiría a los expertos ver qué datos ciudadanos se almacenan en el servidor del gobierno y cómo se comparten.
El 1 de junio, Singh de MyGov, dijo que el gobierno planeaba lanzar el código del servidor en unas pocas semanas.
Sin embargo, Katragadda dijo que incluso con el código del servidor, el acceso a la información sobre el intercambio de datos estaría restringido.
«Nunca será posible ver exactamente con quién se comparten los datos porque para eso tendremos que abrir el código fuente de todo el gobierno», dijo.
No hay leyes de protección de datos.
Una de las principales preocupaciones de los activistas es que la India no tiene una ley de protección de datos, aunque un comité de selección conjunta está revisando un proyecto de ley y
podría pasar después en este año.
El proyecto de ley de protección de datos personales impone límites sobre cómo se usan, procesan y almacenan los datos personales de los residentes. Si se aprueba, el proyecto de ley también establecería un nuevo organismo regulador, la Autoridad de Protección de Datos (DPA), para monitorear el cumplimiento. Los críticos dicen que el proyecto de ley es defectuoso por varias razones, entre ellas que permite al gobierno eximir a sus departamentos de la legislación sobre la base de la seguridad nacional.
Pero en este momento, hay pocas garantías para los datos en la India.
«Ningún marco legislativo significa que no hay un nivel oficial de rendición de cuentas. Por lo tanto, si ocurre algún contratiempo en los datos, no habrá penalización, no habrá salvaguardas», dijo Gupta.
También hay un incentivo financiero para que el gobierno comparta información. los
Encuesta Económica Nacional de India 2018-19 declara abiertamente que el gobierno indio monetizará los datos de los ciudadanos y los venderá a empresas privadas para generar ingresos.
«India ha hecho una estrategia para vender datos de ciudadanos y, por lo tanto, los convierte en una mercancía al reclamar la propiedad sobre los datos personales de los indios, lo que va en contra del derecho fundamental de los indios a la privacidad», dijo Kodali, el tecnólogo de interés público.
El año pasado, el gobierno de Modi vendió el registro de vehículos de los ciudadanos y los datos de la licencia de conducir a 87 empresas privadas por 65 rupias crore (aproximadamente $ 8.7 millones) sin el consentimiento de los ciudadanos. Esto provocó una reacción violenta con el partido de oposición cuestionando los motivos del gobierno y el precio de la venta en el parlamento.
A pesar de las garantías del gobierno de que todos los datos de Aarogya Setu serán eliminados, Katragadda le dijo a CNN Business que cierta información de la aplicación se transferirá automáticamente al National Health Stack (NHS). El NHS es un registro de salud basado en la nube, actualmente en desarrollo, que incluirá el historial médico de los ciudadanos, la cobertura de seguro y las reclamaciones.
«Cualquier dato residual de la aplicación Aarogya Setu se trasladará automáticamente a la Pila Nacional de Salud dentro de la arquitectura de consentimiento, tan pronto como la pila de salud entre en vigencia», dijo Katragadda.
Los datos residuales se refieren a los datos que aún se encuentran en el servidor del gobierno en el momento en que el NHS se activa. Eso incluye la ubicación, la salud y los datos personales que se han descargado al servidor pero que aún no se han eliminado en los plazos establecidos por el gobierno, dijo Katragadda.
No se ha establecido una fecha para el lanzamiento del NHS, pero a Gupta de IFF le preocupa, una vez más, que no haya un marco legal para proteger los datos.
«Aunque se afirma repetidamente que el consentimiento será la base del intercambio de información, es importante tener en cuenta que tanto en la aplicación Aarogya Setu como en el NHS, el consentimiento está integrado en la arquitectura, que es un marco técnico en lugar de una fuente clara de información legal autoridad.»
Boleto para mudarse
Al igual que otros países que han introducido una aplicación de rastreo de contactos, India dice que la tecnología es vital para detener la propagación del virus. Hasta el 22 de junio, el país había confirmado más de 410,000 casos y 13,254 muertes.
Se alienta a los pasajeros aéreos a descargar la aplicación antes de los vuelos, los pasajeros ferroviarios la necesitan para viajar en tren y
algunos trabajadores les han dicho que lo necesitan para hacer su trabajo.
Pero los activistas de derechos digitales dicen que la aplicación conlleva más riesgos de lo que vale, especialmente en un país donde
menos del 35% de las personas tienen los teléfonos celulares capaces de soportarlo.
Los ciudadanos y los activistas también temen el arrastre de la función de la aplicación, lo que significa que la información obtenida a través de la aplicación podría estar vinculada a otros servicios.
«En el pasado, hemos visto que las intervenciones tecnológicas de este gobierno, como el programa Aadhar, que se creó inicialmente para garantizar que todos tengan una identidad digital, se convirtieron en un sistema generalizado», dijo Gupta.
«Inicialmente construido con el propósito de acceder a los beneficios y subsidios del gobierno, pronto se le ordenó abrir cuentas bancarias, hacer uso de números móviles y dedicarse a su negocio».
Gupta se refiere a Aadhaar, una base de datos biométrica.
introducido en 2009, inicialmente como un programa voluntario para prevenir el fraude de beneficios. Ahora, contiene las huellas digitales y escaneos de iris de más de mil millones de indios. Los usuarios reciben un número de identidad de 12 dígitos que se utiliza para acceder a los pagos de asistencia social y otros servicios controlados por el gobierno.
Sin embargo, en 2018 un periodista descubrió una violación de seguridad que reveló los datos personales de los ciudadanos. El gobierno introdujo nuevas medidas de seguridad, pero el escándalo erosionó la confianza en su capacidad para mantener los datos seguros.
Antes de suavizar su orden de descarga obligatoria, India fue el único país democrático que obligó a millones de ciudadanos a descargar la aplicación. Los únicos otros países que impusieron un orden similar fueron Turquía y China. Los activistas dicen que eso solo es motivo de preocupación.
«Cuando se trata de tecnología y uso público, la democracia más grande del mundo se basa en el libro de jugadas de China, utilizando la seguridad nacional o una crisis de salud pública para construir un modelo digital de recopilación de datos, supervisión y vigilancia», dijo Vidushi Marda, un abogado que trabaja sobre tecnología emergente y derechos humanos.
La aplicación china Covid-19, inicialmente diseñado para el seguimiento de contactos durante la pandemia, ahora se está incorporando a un sistema de crédito social en algunos lugares, donde la aplicación se utiliza para rastrear el ejercicio de un individuo, el consumo de alcohol y tabaco y las horas de sueño.
«Diría que este tipo de arquitecturas técnicas complejas no están ocurriendo de manera colectiva en India, pero existe el peligro de que se construyan a través de plataformas como el National Health Stack», dijo Gupta.
