La falta de confianza en las aplicaciones de rastreo de contactos ha sido una de las principales razones por las que esta tecnología no ha tenido el resultado esperado en la Unión Europea. El miedo a ser vigilados ha disuadido a muchas personas a hacer uso de ellas y su contribución a la lucha contra la pandemia ha sido más bien decepcionante —solo han servido para rastrear el 5% de todos los casos—.

Pero ¿es una preocupación realmente fundada? La respuesta es clara: no. La gran mayoría de aplicaciones europeas garantizan que los datos permanezcan en todo momento en los teléfonos móviles de los usuarios y que estos además sean anónimos. En otras palabras: aunque hubieran querido, los Gobiernos no podrían haber accedido a la información privada de los ciudadanos.

Mucho menos podrían haber trazado sus movimientos, ya que la tecnología de rastreo no usa el GPS, sino el bluetooth —en cada dispositivo se genera una clave aleatoria diaria que sirve para generar identificadores que se transmiten a los móviles cercanos, quedando así registrado el contacto—.

Curiosamente, la gestión de los datos fue el principal elemento de fricción entre los Estados miembros a la hora de consensuar un enfoque común para desarrollar estas apps y, a la vez, ya fuera por la ausencia de una campaña de comunicación clara o por la falta de confianza de la ciudadanía en sus gobernantes, uno de los aspectos que más han preocupado a los ciudadanos tras su implementación.

El protocolo único europeo fue torpedeado desde dentro

China fue la encargada de dar el pistoletazo de salida a las apps de rastreo en febrero de 2020 con sus “códigos sanitarios”. Desarrollada por Alibaba y Tencent, esta tecnología monitorizaba el historial de movimientos y los síntomas reportados por los usuarios para asignarles un código rojo, amarillo o verde en función de hasta qué punto han estado en contacto con el virus. La aplicación resultó ser un éxito, pero a costa de la privacidad de los ciudadanos chinos, que vieron cómo el Estado se guardó información sobre su ubicación, sus contactos o su estado de salud.

Europa comenzó a plantearse la necesidad de desarrollar su propia aplicación apenas un mes después , justo cuando empezó a perder la batalla contra el virus. Claro que las exigencias de privacidad y protección de los derechos digitales eran mucho más altas. Por ello, el debate se centró desde el primer momento en cómo gestionar y almacenar los datos.

Se plantearon dos alternativas: el modelo centralizado y el descentralizado. El primero guardaba la información de los usuarios fuera de los dispositivos móviles, en servidores controlados por el Estado o los desarrolladores de la aplicación. Esta opción presentaba mayores riesgos de fuga de datos personales, pero también permitía a los epidemiólogos seguir más de cerca la evolución de la pandemia y combinar el rastreo digital con el manual. Alemania y Francia eran partidarios de este sistema.

Por su parte, el modelo descentralizado proponía que los datos se almacenaran de forma local en los teléfonos y que estos solo fueran compartidos con las autoridades en caso de que el usuario quisiera notificar su contagio. Era, también, el que garantizaba la ausencia de interferencias con el Reglamento General de Protección de Datos , un plus que acabó desequilibrando la balanza en su favor.

Así, el 3 de abril de 2020 un consorcio formado por diversas organizaciones académicas y de investigación de Europa publicó el protocolo DP3T , una documentación que sentaba las bases de “un sistema de rastreo de proximidad seguro, descentralizado y que preserva la privacidad”.

Sus autores eran, en realidad, una escisión de otro consorcio más amplio formado por 130 especialistas de Austria, Bélgica, Dinamarca, Francia, Alemania, Italia, Suiza y España que no fue capaz de ponerse de acuerdo sobre qué sistema de gestión de los datos adoptar, el conocido como PEPP-PT . Por eso, la primera gran propuesta de un protocolo único europeo nació agrietada, débil, y pronto Apple y Google le asestaron el golpe definitivo.

Las grandes tecnológicas toman los mandos

Apenas unos días después se supo que a finales de mayo vería la luz el Sistema de Notificación de Exposición Google/Apple , más conocido como GAEN, “un esfuerzo conjunto entre Apple y Google para proporcionar la funcionalidad principal para crear aplicaciones de Android que alerten a los usuarios sobre una posible exposición a casos confirmados de covid-19”. Muy similar al DP3T, el GAEN permitía un funcionamiento más eficiente de las apps, ya que hacía uso directamente del sistema operativo.

Pronto Austria, Suiza y Alemania se posicionaron y anunciaron que usarían la tecnología de Apple y Google. El miedo a desarrollar sistemas que luego no fueran compatibles con la propuesta de las tecnológicas y quedaran desfasados terminó de derribar las reticencias de aquellos países que preferían un modelo centralizado. Reino Unido, que en un principio se decantó por una aplicación centralizada, también rectificó y lanzó una segunda versión de su aplicación que utilizaba el protocolo GAEN.

Incluso la Unión Europea, que no había podido coordinar las tareas de desarrollo por no tener competencias en materia de Sanidad y temía acabar con un mosaico de apps que no fueran interoperables, animó a los Estados miembros a adherirse a la nueva propuesta.

Francia, que prefirió tener el control de los datos por motivos de soberanía, fue la gran excepción en la Unión Europea y siguió adelante con el desarrollo de una aplicación basada en un modelo centralizado que finalmente implementó. En cierto modo Hungría también, pero Budapest negoció la implantación de una app con una empresa de Macedonia del Norte que luego no terminó de apoyar.

También destaca el caso de Bulgaria, que igualmente aceptó la propuesta de una empresa privada. En su caso, sin embargo, más que en el rastreo la app ViruSafe basó su funcionamiento en la geolocalización de casos positivos para poder mapear núcleos de contagio. Además de compartir su ubicación —un acto voluntario pero imprescindible para el correcto funcionamiento de la aplicación—, los usuarios debían introducir datos personales como la edad o posibles enfermedades crónicas. Todo ello, sumado a la posibilidad de que el Gobierno búlgaro pudiera compartir los datos con “autoridades autorizadas” sin especificar cuáles, ocasionó que la población confiara muy poco en ViruSafe.

De un protocolo propio y único a la homogeneización europea 

Meses después, cuando la mayoría de capitales europeas habían desarrollado su propia aplicación de rastreo, la Comisión Europea lanzó en octubre de 2020 una iniciativa para homogeneizar las tecnologías implantadas a nivel nacional: la pasarela europea de interoperabilidad, que permite que las aplicaciones puedan registrar contactos entre sus usuarios a pesar de las fronteras. La mayoría de los Estados miembros se han unido a ella —no en el caso de Francia, claro—.

Para terminar de apuntalar la protección de los derechos de los usuarios, Bruselas también aprovechó para exigir que los datos almacenados en los dispositivos móviles se eliminaran a los 14 días .

De esta forma, los datos de los ciudadanos europeos que respondieron a la llamada de las instituciones a descargarse masivamente las aplicaciones de rastreo han permanecido en todo momento en sus propios teléfonos móviles. Incluso en el caso de que notificaran a través ellas su positivo o el rastreo fuera almacenado en un servidor centralizado, su información privada también ha estado a salvo gracias a los estándares de protección que fijaron tanto la Comisión Europea como Apple y Google.

En otros lugares los usuarios no han estado tan protegidos, como en Singapur, donde el Gobierno concede acceso a los cuerpos de seguridad a los datos recopilados por su aplicación covid. Y en la propia Unión Europea, la reticencia de los ciudadanos a la hora de usar aplicaciones públicas contrasta con la facilidad con la que entregan multitud de datos personales a las empresas privadas —durante toda la pandemia Google ha publicado detallados informes de movilidad local —.

Mientras, en el sector público el debate sobre la protección de los datos dividió a los Estados miembros y retrasó probablemente la puesta en marcha de las apps, pero garantizó por encima de todo el derecho a la privacidad de los europeos.