Contratos de tecnología para el combate a la Covid-19 no protegen datos personales y derechos humanos

Contratos de tecnología para el combate a la Covid-19 no protegen datos personales y derechos humanos 150 150 Estamos vigilando

Contratos de tecnología para el combate a la Covid-19 no protegen datos personales y derechos humanos

El análisis de las herramientas adoptadas en Latinoamérica durante la pandemia revela que las alianzas, donaciones y compras no brindan mecanismos para garantizar derechos básicos y reducir el riesgo de exposición de datos sensibles. La opacidad también es un problema común. 

A lo largo de la pandemia Covid-19, hemos visto el despliegue de una gran variedad de tecnologías alrededor del mundo, con la promesa de contribuir con el combate al virus. Han surgido nuevos portales, softwares de gestión, aplicaciones para teléfonos móviles, entre otras soluciones para rastrear y monitorear casos de la enfermedad que, en común, ofrecen la capacidad de recolección masiva de datos personales y sensibles de millones de individuos. 

La adquisición y el desarrollo de estas tecnologías, cuando formalizadas – lo que no siempre ocurre – se apoyan en instrumentos que son, de modo general, insuficientes para garantizar que la recolección, el intercambio y el almacenamiento de datos personales cumplan con los principios básicos de la finalidad y la proporcionalidad. Los contratos y términos tampoco ofrecen medios capaces de evitar que la adopción de esas tecnologías viole derechos fundamentales como la privacidad y la posibilidad de que las propias personas puedan ejercer el control sobre sus datos, es decir, la autodeterminación informativa. 

La opacidad prevalece en partes importantes de los procesos y se enfrentan dificultades para el acceso a la información, aún cuando las solicitudes están amparadas por la legislación. Todo eso hace que el escenario sea más preocupante, en especial porque las tecnologías son presentadas a la población como instrumentos fundamentales e indispensables para el control de la pandemia; y su utilización es a menudo incentivada o exigida por los propios gobiernos. 

Enfocándose en las experiencias de Chile, Colombia y Brasil, la investigación se desarrolló en el marco del proyecto Sonríe #EstamosVigilando, una colaboración entre el Centro por la Justicia y el Derecho Internacional (CEJIL), la organización Derechos Digitales de Chile, la Fundación para la Libertad de Prensa (FLIP), el Instituto de Derechos Humanos de la Universidad Centroamericana José Simeón Cañas (IDHUCA) e la Open Knowledge Brasil (OKBR). En total, se analizaron en profundidad 11 (once) herramientas en dichos países. 

¿Cómo fueron adquiridas las tecnologías analizadas? 

Los arreglos contractuales encontrados para la adquisición y desarrollo de las soluciones tecnológicas analizadas son los más diversos. La mayor parte de ellos involucra instituciones públicas y privadas y no hay previsión de transferencia de recursos, lo que enciende la alerta acerca de los intereses involucrados en la recolección e intercambio de datos.

En Colombia, solamente una de las cuatro tecnologías analizadas – la plataforma Mi Vacuna – fue desarrollada exclusivamente para el contexto de la Covid-19, y su implementación quedó a cargo del equipo del propio Ministerio de la Salud, dentro del Proyecto de Fortalecimiento del Sistema de Información en Salud y Protección Social (SISPRO). Las otras tecnologías, que ya existían, fueron reformuladas, o bien ya habían sido contratadas por el gobierno. 

El software ArcGIS, utilizado para la construcción y el análisis de mapas, había sido adquirido por la misma agencia hacen ya algunos años y de ahí se derivaron órdenes de compra por parte de otras instituciones públicas, como la Fuerza Aérea Colombiana y la Alcaldía de Bogotá, que los ha empleado en acciones para el control de la pandemia. 

Otro software, el PAIWEB 2.0, utilizado para el manejo de datos e informaciones, también ya venía siendo utilizado por el Ministerio de la Salud. Este sistema fue adaptado para el contexto de la Covid-19 a partir de una versión anterior, con base en el proyecto de rediseño hecho en 2018 por la empresa Ingenian Software S.A.S.

Por fin, está la aplicación CoronApp, que ya venía siendo utilizada en el país desde el año 2017 bajo el nombre de “Guardianes de la Salud”, para el monitoreo de los riesgos a la salud. A ella se han agregado nuevas funcionalidades en el contexto de la pandemia, en especial para permitir la amplia difusión de informaciones y el rastreo de síntomas y contagio. 

En Brasil, cada uno de los cinco casos analizados ha contado con instrumentos distintos para la formalizar la relación entre los gobiernos y las instituciones responsables por el desarrollo de las aplicaciones – todas ellas privadas. En ninguno de los casos hubo transferencia de recursos financieros a las instituciones, a excepción del ConecteSUS, aplicación que ya formaba parte de una estrategia más amplia de digitalización de la salud a nivel federal.

A pesar de haber sido lanzada durante la pandemia, el desarrollo de dicha herramienta no respondía específicamente al referido contexto, sino que a ella se han agregado, posteriormente, nuevas funcionalidades para que pudiera atender también a las necesidades de contención de la Covid-19, bajo una contratación ya en marcha entre el Ministerio de la Salud y la empresa Zello Tecnología de la Información LTDA. Dicha empresa fue la responsable por el desarrollo de otro sistema utilizado por el Ministerio, que expuso datos personales de más de 240 millones de brasileños a finales del año 2020. 

En los Estados de Goiás y Río de Janeiro, que han utilizado la aplicación Datos del Bien, la formalización se llevó a cabo por medio de un Acuerdo de Cooperación Técnica entre los gobiernos estatales y el Instituto D’Or de Investigación y Enseñanza. Dicho instrumento se utiliza para crear alianzas entre agencias públicas y organizaciones sin fines de lucro, para las cuales no hay repase financiero, como previsto en el Marco Normativo de Organizaciones de la Sociedad Civil en Brasil. 

En el Estado de Bahia, fue utilizado instrumento de formalización similar, bajo el cual la aplicación Monitora Covid-19 fue implementada. Empero, en este caso específico, el Acuerdo de Cooperación de Investigación y Desarrollo Científico y Tecnológico fue firmado entre una agencia pública y dos empresas: la Core Consulting – Consultoría y Servicios LTDA y la Novetech Soluciones Tecnológicas LTDA. Se trata de un tipo de cooperación que está previsto en la Ley de Licitaciones, mediante un dispositivo genérico que permite, en tesis, diversos modelos de formalización. 

En el Estado de Minas Gerais, la aplicación Salud Digital MG fue otorgada temporalmente por Techtools Ventures Inversiones S.A. al gobierno estatal mediante un Término de Permiso Libre para el Uso de Propiedades Móviles. A la OKBR se otorgó el acceso al proceso administrativo que formalizó el permiso de uso, pero con trabas: diversos de los documentos presentados contienen secciones enteras omitidas, en especial los que contenían la propuesta hecha por Techtools al gobierno de Minas Gerais, bajo la alegación de la necesidad de protección de datos personales y propiedad intelectual de la empresa. Contrariamente, las propuestas hechas por otras empresas no han pasado por el mismo procedimiento.

El caso más crítico es el de Amazonas, Estado en el que se utiliza la aplicación Juntos en el Combate a la Covid-19. No hay evidencias de que la asociación con la empresa SASI Comunicación Ágil LTDA haya sido formalizada, puesto que no se pudo localizar públicamente los respectivos documentos, que tampoco fueron presentados por el gobierno estatal en respuesta a las solicitudes de información enviadas. Desde el lanzamiento de dicha aplicación para el combate a la pandemia, la empresa ha trabajado conjuntamente con el gobierno del Estado para la implementación de otras interfaces de recolección de datos, orientadas hacia diversos propósitos y áreas de políticas públicas, incluidas aquellas de contratación directa. 

Con relación a las dos tecnologías analizadas en Chile, la falta de transparencia impidió el análisis de posibles acuerdos con empresas privadas y otros aspectos de su desarrollo. El gobierno no respondió a la mayoría de las cuestiones presentadas en las solicitudes de acceso a información tramitadas por la organización Derechos Digitales acerca de la versión chilena de CoronApp y la plataforma de policía en línea Comisaría Virtual, que durante la pandemia comenzó a recibir solicitudes de autorización temporal para desplazamientos y viajes en medio de la cuarentena. 

Sin inspección, no hay garantías

Considerando la naturaleza y el volumen de los datos recolectados, es de esperar que las tecnologías con alta capacidad de vigilancia no sean, bajo ninguna circunstancia, implementadas por ningún gobierno sin las garantías necesarias. Los instrumentos legales para la adopción de dichas tecnologías deben ser inequívocos en cuanto a sus requisitos y a las funcionalidades de estas herramientas; y deben, además, establecer condiciones y obligaciones suficientes para que la sociedad y los organismos de control puedan fiscalizar dichas acciones. 

Casos como el de Juntos en el Combate a la Covid-19, en Brasil, ponen de manifiesto no solo la debilidad en el desarrollo de tecnologías que involucran el procesamiento de datos personales y sensibles por entidades gubernamentales y privadas, como también la precariedad de las relaciones establecidas. Hacen falta instrumentos efectivos de rendición de cuentas de los involucrados en caso de violación a los derechos individuales de las personas usuarias o mal uso de recursos públicos, ya sean financieros o de otro tipo. 

Aunque los contratos y términos firmados contengan cláusulas para garantizar la protección de datos y libertades individuales, el riesgo de violaciones a esos derechos aún persiste debido a la falta de inspección adecuada. En los términos contractuales analizados, no fueron identificados, por ejemplo, mecanismos y flujos de trabajo que demuestren la estructuración de un planeamiento de inspecciones – lo que sería fundamental para garantizar el cumplimiento de las buenas prácticas y de la legislación por parte de las instituciones públicas. Una señal importante de la ausencia de esos cuidados es el hecho de que, en ninguno de los casos analizados en los tres países, fueron realizados los análisis previos a la implementación de dichas tecnologías para cerciorarse de sus posibles impactos a los derechos humanos. En general, tampoco hay apuntes sobre la realización futura de tales estudios. 

Supervisar el cumplimiento de cláusulas referentes al procesamiento de datos, en especial aquellas sobre el intercambio y plazos de exclusión, se vuelve una tarea aún más compleja cuando se consideran las redes de socios vinculadas a las empresas involucradas. Por ejemplo, en los casos brasileños de las aplicaciones Salud Digital MG y Datos del Bien, la celebración de la alianza se llevó a cabo entre gobiernos e instituciones específicas – respectivamente Techtools Ventures e Instituto D’or. Sin embargo, hay aún otras organizaciones privadas involucradas en el desarrollo de dichas tecnologías que tienen acceso a los datos recopilados. Solamente en el caso de Salud Digital MG, fueron identificadas al menos seis personas jurídicas que pueden tener acceso parcial o integral a la base de datos generada por la aplicación. Aunque las políticas de privacidad y términos de uso prevean la posibilidad de acceso a terceros, el usuario difícilmente tendrá la real dimensión de la cadena de actores por detrás del desarrollo de esas aplicaciones y al volumen de datos personales que son puestos a su disposición. 

En la práctica, la teoría es otra

No basta con tener un contrato o término de colaboración adecuado, es necesario aún que sea compatible con lo que las aplicaciones, en la práctica, informan a las personas usuarias. En diversos de los casos analizados, sin embargo, los documentos de formalización que contemplan cuestiones de privacidad y procesamiento de los datos recopilados difieren de los que son puestos a disposición de las personas usuarias en las tiendas de aplicaciones. En ocasiones, las contrataciones poseen informaciones más completas que no fueron declaradas a los usuarios. Otras veces, las políticas de privacidad informadas alteran el contenido previsto en el documento firmado con la administración pública. En general, hacen falta informaciones detalladas sobre toda la cadena de procesamiento de los datos y los terceros involucrados, desde la finalidad de los procedimientos a los plazos de manejo y almacenamiento de informaciones. También es común que los contratos, términos y políticas de privacidad se reporten de manera genérica a la legislación, sin especificar cómo se cumplen las referidas leyes. En algunos casos, fueron identificadas cláusulas de sigilo que restringen el acceso a las informaciones sobre las dinámicas de operación de las tecnologías. Por ejemplo, en el caso de CoronApp, en Colombia, la entidad originalmente responsable por los datos recolectados por la aplicación era el Instituto Nacional de Salud, que delegó dicha responsabilidad  a la Agencia Nacional Digital por medio de un Contrato de Transmisión de Datos Personales. En él, las condiciones referentes a la confidencialidad de las informaciones intercambiadas o generadas entre entidades son excesivamente amplias, abarcando información financiera, listas de clientes, inversores, empleados, relaciones comerciales y planes de marketing, elementos que deben ser de conocimiento público de acuerdo a la ley colombiana de acceso a la información.  

Otro aspecto al que hay que tener atención es sobre la adecuación de esos instrumentos a los propósitos de las asociaciones o contrataciones. Tomando como ejemplo, de nuevo, el caso del CoronApp colombiano, las adaptaciones de la aplicación para el contexto de la Covid-19 fueron hechas a partir de un memorando de entendimiento entre la Agencia Nacional Digital y el Ministerio de la Salud. Memorandos de entendimiento no son contratos en sí mismos. Si bien estos acuerdos generan efectos jurídicos vinculantes entre las partes, carecen de las definiciones acerca de las sanciones que correspondan en caso de incumplimiento de las disposiciones. Este ejemplo nos muestra que los problemas identificados no se limitan a las relaciones público-privadas, ya que el desarrollo fue responsabilidad de dos instituciones públicas. 

La protección de los datos es un derecho fundamental 

El análisis de las formas de adquisición de tecnologías de Covid-19 en diferentes países de Latinoamérica plantea desafíos comunes en la región. Los problemas identificados se refieren más a la ausencia de buenas prácticas de gobernación de datos y de transparencia en las asociaciones y contrataciones que a la necesidad de marcos normativos específicos o cambios en la legislación. Principios básicos de la Administración Pública – formalización, rendición de cuentas, publicidad y prevención de conflictos de intereses – deberían ser observados en el desarrollo de estas tecnologías, independientemente del instrumento elegido para su realización. Aspectos como el intercambio de datos personales, que es el punto más sensible de esa relación entre los gobiernos y otras instituciones o empresas, han quedado al margen de tales instrumentos. 

Lo que evidencian los casos analizados es que los gobiernos no ven la protección de datos como derecho fundamental a ser garantizado en cualquier situación. Aún con la necesidad de acción rápida frente a la pandemia, las garantías básicas pueden y deben ser previstas en estas relaciones. A fin de cuentas, la situación de emergencia sanitaria en algún punto terminará – pero los posibles daños causados a las personas por la exposición o intercambio indebido de sus datos son irreversibles. El tema debe ponerse con urgencia en la agenda pública para que los límites y procedimientos para el manejo de datos personales sean discutidos por la sociedad – lo que solo será posible con más transparencia en los acuerdos y prácticas actuales.

Back to top