El gobierno indio sostiene que la mayoría de los datos personales y de ubicación de los usuarios se eliminan en última instancia, pero los críticos dicen que la falta de leyes de protección de datos en la India expone a millones de personas a posibles violaciones de la privacidad. También temen que el gobierno pueda vender información personal a empresas privadas, o incluso usarla para vigilancia más allá de las preocupaciones de Covid-19.

Millones de usuarios

La aplicación Aarogya Setu fue desarrollada por el Centro Nacional de Informática, un organismo de TIC y gobierno electrónico dependiente del Ministerio de Electrónica y Tecnología de la Información, en colaboración con expertos técnicos voluntarios de la industria privada y la academia.

A diferencia de las aplicaciones de rastreo de contactos de muchos otros países, Aarogya Setu usa datos de ubicación de Bluetooth y GPS para monitorear el movimiento de los usuarios de la aplicación y la proximidad a otras personas.

Se solicita a los usuarios que ingresen su nombre, número de teléfono, edad, sexo, profesión y los países que han visitado en los últimos 30 días, así como las condiciones de salud anteriores y una autoevaluación sobre cualquier síntoma relacionado con Covid-19.

Se genera una ID digital (DiD) única para cada usuario, que se utiliza para todas las transacciones futuras relacionadas con la aplicación. A través del GPS, la aplicación registra la ubicación de cada usuario cada 15 minutos.

Cuando dos usuarios registrados se encuentran dentro del alcance de Bluetooth entre sí, sus aplicaciones intercambian DiD automáticamente y registran la hora y la ubicación. Si uno de los usuarios da positivo por Covid-19, la información se carga desde su teléfono en el servidor del gobierno indio y se utiliza para el rastreo de contactos.

Hasta el 1 de junio, Aarogya Setu había identificado 200,000 personas en riesgo y 3,500 puntos de acceso Covid-19, según el desarrollador principal Lalitesh Katragadda, el fundador de Indihood, una empresa privada que construye plataformas de crowdsourcing a escala de población, y una de la industria privada. voluntarios que trabajaron con agencias gubernamentales en la aplicación.

«Tenemos una tasa de eficacia del 24%, es decir, el 24% de todas las personas que se estima que tienen Covid-19 debido a la aplicación han dado positivo», dijo Katragadda. Esto significa que solo alrededor de 1 de cada 4 personas recomendadas por la aplicación para hacerse una prueba realmente dan positivo.

Subhashis Bannerjee, profesor de ciencias de la computación e ingeniería en el Instituto Indio de Tecnología de Nueva Delhi, dijo que la combinación de la ubicación de Bluetooth y GPS probablemente arrojaría una mayor tasa de falsos positivos y falsos negativos. Por ejemplo, el GPS a menudo no está disponible o no es confiable en interiores, y Bluetooth sobreestima los riesgos en grandes espacios abiertos, a través de paredes y pisos, que las ondas de radio pueden penetrar pero el virus no puede.

Salvaguardias del gobierno

El gobierno indio afirma que se han incorporado suficientes parámetros de privacidad y protección para garantizar la eliminación permanente de los datos de la aplicación.

«Todos los datos de ubicación y rastreo de contactos en el teléfono se eliminan en un ciclo continuo de 30 días. Los mismos datos en el servidor se eliminan 45 días después de la carga, a menos que la prueba sea positiva. En ese caso, toda la información de ubicación y rastreo de contactos se elimina después de 60 días después de ser declarado curado «, dijo Abhishek Singh, CEO de MyGov en el ministerio de TI de India.

«No hay forma de verificar y verificar si se ha producido la destrucción completa de los datos y si algún tercero con el que se hayan compartido los datos también los ha destruido», dijo Apar Gupta, abogado y director ejecutivo de IFF.

En respuesta a los llamados a una mayor transparencia, el gobierno indio abrió el código fuente de la aplicación el 27 de mayo y anunció un programa de recompensas por errores para incentivar a los expertos en software a encontrar vulnerabilidades de seguridad en la aplicación, para rectificar fallas, si las hubiera.

El 1 de junio, Singh de MyGov, dijo que el gobierno planeaba lanzar el código del servidor en unas pocas semanas.

Sin embargo, Katragadda dijo que incluso con el código del servidor, el acceso a la información sobre el intercambio de datos estaría restringido.

«Nunca será posible ver exactamente con quién se comparten los datos porque para eso tendremos que abrir el código fuente de todo el gobierno», dijo.

No hay leyes de protección de datos.

El proyecto de ley de protección de datos personales impone límites sobre cómo se usan, procesan y almacenan los datos personales de los residentes. Si se aprueba, el proyecto de ley también establecería un nuevo organismo regulador, la Autoridad de Protección de Datos (DPA), para monitorear el cumplimiento. Los críticos dicen que el proyecto de ley es defectuoso por varias razones, entre ellas que permite al gobierno eximir a sus departamentos de la legislación sobre la base de la seguridad nacional.

Pero en este momento, hay pocas garantías para los datos en la India.

«Ningún marco legislativo significa que no hay un nivel oficial de rendición de cuentas. Por lo tanto, si ocurre algún contratiempo en los datos, no habrá penalización, no habrá salvaguardas», dijo Gupta.

«India ha hecho una estrategia para vender datos de ciudadanos y, por lo tanto, los convierte en una mercancía al reclamar la propiedad sobre los datos personales de los indios, lo que va en contra del derecho fundamental de los indios a la privacidad», dijo Kodali, el tecnólogo de interés público.

El año pasado, el gobierno de Modi vendió el registro de vehículos de los ciudadanos y los datos de la licencia de conducir a 87 empresas privadas por 65 rupias crore (aproximadamente $ 8.7 millones) sin el consentimiento de los ciudadanos. Esto provocó una reacción violenta con el partido de oposición cuestionando los motivos del gobierno y el precio de la venta en el parlamento.

A pesar de las garantías del gobierno de que todos los datos de Aarogya Setu serán eliminados, Katragadda le dijo a CNN Business que cierta información de la aplicación se transferirá automáticamente al National Health Stack (NHS). El NHS es un registro de salud basado en la nube, actualmente en desarrollo, que incluirá el historial médico de los ciudadanos, la cobertura de seguro y las reclamaciones.

«Cualquier dato residual de la aplicación Aarogya Setu se trasladará automáticamente a la Pila Nacional de Salud dentro de la arquitectura de consentimiento, tan pronto como la pila de salud entre en vigencia», dijo Katragadda.

Los datos residuales se refieren a los datos que aún se encuentran en el servidor del gobierno en el momento en que el NHS se activa. Eso incluye la ubicación, la salud y los datos personales que se han descargado al servidor pero que aún no se han eliminado en los plazos establecidos por el gobierno, dijo Katragadda.

No se ha establecido una fecha para el lanzamiento del NHS, pero a Gupta de IFF le preocupa, una vez más, que no haya un marco legal para proteger los datos.

«Aunque se afirma repetidamente que el consentimiento será la base del intercambio de información, es importante tener en cuenta que tanto en la aplicación Aarogya Setu como en el NHS, el consentimiento está integrado en la arquitectura, que es un marco técnico en lugar de una fuente clara de información legal autoridad.»

Boleto para mudarse

Al igual que otros países que han introducido una aplicación de rastreo de contactos, India dice que la tecnología es vital para detener la propagación del virus. Hasta el 22 de junio, el país había confirmado más de 410,000 casos y 13,254 muertes.

Los ciudadanos y los activistas también temen el arrastre de la función de la aplicación, lo que significa que la información obtenida a través de la aplicación podría estar vinculada a otros servicios.

«En el pasado, hemos visto que las intervenciones tecnológicas de este gobierno, como el programa Aadhar, que se creó inicialmente para garantizar que todos tengan una identidad digital, se convirtieron en un sistema generalizado», dijo Gupta.

«Inicialmente construido con el propósito de acceder a los beneficios y subsidios del gobierno, pronto se le ordenó abrir cuentas bancarias, hacer uso de números móviles y dedicarse a su negocio».

Sin embargo, en 2018 un periodista descubrió una violación de seguridad que reveló los datos personales de los ciudadanos. El gobierno introdujo nuevas medidas de seguridad, pero el escándalo erosionó la confianza en su capacidad para mantener los datos seguros.

Antes de suavizar su orden de descarga obligatoria, India fue el único país democrático que obligó a millones de ciudadanos a descargar la aplicación. Los únicos otros países que impusieron un orden similar fueron Turquía y China. Los activistas dicen que eso solo es motivo de preocupación.

«Cuando se trata de tecnología y uso público, la democracia más grande del mundo se basa en el libro de jugadas de China, utilizando la seguridad nacional o una crisis de salud pública para construir un modelo digital de recopilación de datos, supervisión y vigilancia», dijo Vidushi Marda, un abogado que trabaja sobre tecnología emergente y derechos humanos.

«Diría que este tipo de arquitecturas técnicas complejas no están ocurriendo de manera colectiva en India, pero existe el peligro de que se construyan a través de plataformas como el National Health Stack», dijo Gupta.