Cuando una de las prioridades del plan de los fondos europeos que llegarán a España es la digitalización, cobra importancia analizar qué ha pasado con Radar COVID.
El organismo llamado a ejecutar la hoja de ruta tecnológica, la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA), es el mismo que estuvo detrás de esta app de rastreos de tecnología puntera, cuyo bajo índice de uso revela que finalmente no ha contribuido significativamente a su objetivo, que era rastrear contagios. La falta de confianza y transparencia puede haber sido el principal problema.
Hace un año comenzaron a multiplicarse los contagios y en España entramos en estado de alarma. Muchos sectores se reorganizaron para aportar en la lucha contra la pandemia, y la tecnología fue uno de los pilares en los que pudimos apoyarnos para enfrentarla. Científicos, desarrolladores e investigadores de todo el mundo se unieron en miles de proyectos para innovaciones o desarrollos que no hubieran sido posibles sin colaboración interdisciplinar de miles de personas a lo largo de todo el mundo.
La innovación en el ARN mensajero para producir vacunas en el récord de un año, la implementación de inteligencia artificial para diagnósticos médicos, la monitorización remota en varios campos de la medicina, la innovación en materiales para mascarillas, el desarrollo de herramientas para trabajo o estudio remoto, y el desarrollo de las apps para el rastreo de contactos, los análisis y visualización de datos epidemiológicos para análisis de la evolución de la pandemia son algunos de los ejemplos en los que la tecnología ha supuesto un diferencial significativo con respecto a otras épocas en las que el ser humano estaba a la merced de las pestes.
☷
Radar COVID
Cronología de una aplicación sin transparencia
En los primeros meses de pandemia, España apostó por una app como complemento para el rastreo de contactos y decidió hacerlo con la opción más respetuosa con la privacidad, surgida tras varios debates en la comunidad tecnológica. De un grupo de investigadores independientes europeos nació el DP-3T, adoptado por Google y Apple en una iniciativa sin precedentes. Las dos compañías rivales en el mercado crearon una API para que la mayoría de teléfonos inteligentes del mundo pudieran contar con el sistema de rastreo de contactos garantista de los derechos.
Este punto era clave para ganar la confianza de una mayoría de la población, necesaria para que un sistema de este tipo funcione. Y puede que este haya sido el punto que ha fallado.
Los números de Radar COVID
La SEDIA debe enviar periódicamente informes sobre la utilización de la aplicación Radar COVID al Consejo Interterritorial del Sistema Nacional de Salud. El primero de estos informes fue enviado el 28 de enero, donde presentaron la funcionalidad de Dashboard de RadarCovid en el que puede accederse a las principales estadísticas de la aplicación. Desde Newtral.es hemos pedido este informe pero SEDIA nos indica que los datos son los mismos del panel y que por lo tanto es mejor verlos actualizados en la web.
Radar COVID registra en la actualidad menos del 2% de los casos positivos de COVID-19: 1,66%. ¿Por qué es tan bajo?
Una información conocida a fines de enero a través de la publicación del piloto en la revista Nature, es que la app es capaz de alertar a una media de 6 contactos estrechos por cada caso confirmado. Seguir los datos es complicado cuando falta información.
La app ha sido descargada a día de hoy 7,2 millones de veces, según el panel con los datos oficiales, pero este número no indica la cantidad de personas que la tienen activa actualmente. Incluso si la usaran activamente esos millones, este porcentaje de población no llega al 18%. Lo que sí sabemos es que la cantidad de códigos introducidos en la app a día de hoy es 57.861, y que los casos totales de contagios en España son 3.430.000, aproximadamente a día de hoy.
Nos faltan los números de códigos entregados por las Comunidades Autónomas. Desde Newtral.es hemos preguntado a todas cuántos códigos habían entregado y si tenían algún dato de la media de contactos que hacían los rastreadores humanos. Sólo 5 de ellas nos han enviado datos.
- Baleares ha entregado hasta ahora 2800 códigos a positivos. Tienen 340 rastreadores humanos, y desde el inicio de la pandemia han rastreado más de 30.000 casos, una media de 91 casos rastreados por día. Son 134.000 contactos estrechos rastreados. El 23,4% de los casos rastreados se han confirmado como caso.
- Cantabria ha entregado 16.813 códigos; y Murcia, 715. Ninguna responde sobre rastreo humano.
- La Comunidad Valenciana ha entregado 253 códigos. Cuentan con 2237 rastreadores humanos y no nos dan ninguna información sobre ratios o cantidad de casos rastreados.
- Extemadura ha entregado 72 códigos en el período enero a marzo de 2021. Tienen 300 rastreadores humanos, que hacen un promedio de 4 contactos de media por rastreador. Desde la Consejería de Sanidad de esa comunidad nos dicen: “El Radar Covid ha sido un fracaso en Extremadura”.
La desconfianza hacia la app aparece como una de las primeras causas por las que un proceso, no una tecnología, no ha triunfado en España. La creación de este tipo de apps, con un reto ético y tecnológico complejo, ha sido posible, y los investigadores coinciden que para que den buenos resultados es imprescindible contar con la parte humana. Troncoso comentaba a Newtral.es que el principal obstáculo en el desarrollo de las tecnologías de rastreo de contactos ha sido la integración en el sistema sanitario.
La tecnología de la app en sí ha dado resultados buenos, aunque discretos en otros países, como Reino Unido. Allí un estudio reciente señala que la aplicación ha evitado entre 300.000 y 600.000 casos y entre 4.000 y 8.000 muertes. Si miramos cuántos usuarios allí usando la app se necesitaron para alcanzar esta cifra, vemos que han sido más de medio millón. En España este número es de 57.861. Nos quedamos lejos.
Una metodología esquiva
El desarrollo de nuestra app nacional de rastreo de contactos fue aprobado en Consejo de Ministros el 23 de junio y una primera versión estaba lista el 29 de ese mes. Durante julio se puso en marcha el piloto en La Gomera y el 3 de agosto la SEDIA anunciaba que ese piloto había tenido resultados exitosos. La metodología del estudio para saber cómo se habían obtenido esos datos no había sido publicada.
Tampoco el código, ni el contrato de la adjudicación de la app. Pedimos esta documentación directamente a SEDIA varias veces sin resultado. También lo hicimos a través de una petición de información de Transparencia, y fue inadmitida por el Gobierno diciendo que estaba pendiente de publicación primero en una revista científica.
Otros que querían conocer esta metodología eran los equipos europeos que trabajaban en las apps con DP-3T, que esperaban esos datos para comparar la eficiencia en otras casuísticas y proponer mejoras para la app. Tampoco tuvieron estos datos. En agosto, Carmela Troncoso, líder del equipo de la Escuela Politécnica de Lausana que había creado la app, nos dijo que ella no llamaría colaboración a lo que había tenido con España, a pesar de que SEDIA había anunciado que estaban trabajando conjuntamente desde hacía cinco meses.
En Newtral publicamos un reportaje con lo que sabíamos hasta ese momento, y el mismo día registramos una petición de información pública al consejo de Transparencia, solicitando el contrato adjudicado a Indra y toda la información disponible relacionada con el desarrollo de la app. Al día siguiente se publicó en la plataforma de contratación pública el contrato. Pero seguían faltando los pliegos, y otra documentación relativa al diseño de la app, además de la metodología de La Gomera.
A pesar de que la volvimos a pedir a la SEDIA y vía solicitud de información a Transparencia 3 días más tarde, la metodología tardaría casi 6 meses en salir a la luz. Lo hizo pero no a través de la publicación en un portal oficial, sino por medio del paper en Nature Communications, una revista científica, con los nombres de un grupo de personas que trabajaban en el grupo de Radar COVID.
El Consejo de Transparencia y Buen Gobierno (CTBG) nos ha dado la razón después de reclamar la negativa de la SEDIA a enviarnos la información que solicitábamos, y ha exigido al Ministerio de Asuntos Económicos y Transformación Digital el envío de la documentación. Aquí contamos cómo ha sido la cronología de esas negativas y reclamaciones.
Un código tardío y ofuscado
Desde la SEDIA se había anunciado que se abriría el código de la app, algo que suele hacerse para reforzar la seguridad del software: se permite que la comunidad lo revise y que más ojos puedan detectar errores más rápidamente.
También parece lo más correcto al estar basado en DP-3T, un software que ha sido liberado por el equipo que lo desarrolló, y que ha trabajado en colaboración con los equipos en cada país. Carme Artigas había repetido en varias ocasiones que “se trata de un ejercicio de transparencia para que el funcionamiento de la aplicación pueda ser auditado de forma abierta y directa por parte de la ciudadanía”.
Pero el código también tardó en llegar. A pesar de que la app ya estaba disponible para descargar en agosto, después del piloto, el código se publicó en Github casi medio año después, el 9 de septiembre, tras la insistencia de más de 200 académicos e investigadores y una ola de pedidos de usuarios de redes sociales que querían ayudar a detectar los fallos que tiene todo programa al salir.
Una vez que sucedió, tampoco pudieron hacer mucho, porque el código publicado estaba ofuscado, (no se podía comprobar si era el mismo que estaba corriendo en miles de móviles de quienes ya se lo estaban descargando) y tampoco se publicaron las versiones de ese código que habían estado disponibles para descargarse, como pedía la comunidad académica.
En una carta consideraban que esta app “precisa de la cooperación de toda la sociedad y para maximizar su utilidad necesita ser descargada y activada por una cantidad sustancial de usuarios”, lo que convierte a Radar COVID en “una tecnología de carácter masivo y de alto impacto social”.
Pedían no sólo la liberación del código sino también la documentación necesaria para garantizar la privacidad en la que se basa su diseño, así como los restantes principios de protección de datos contenidos en el Reglamento General de Protección de Datos europeo (RGPD).
La AEPD continúa investigando
Además de los temas de transparencia, entran en juego las normativas que protegen nuestros datos personales. Por la cantidad y naturaleza de los datos que trata Radar COVID, debe presentar una Evaluación de Impacto en Protección de Datos (EIPD), trámite obligatorio según el RGPD, y lo que ha solicitado Rights International Spain (RIS) a la SEDIA.
Rights International Spain es una ONG independiente sin ánimo de lucro que está formada por juristas especializados en Derecho internacional. Está asociada a la European Liberties Platform, que promueve libertades civiles para ciudadanos de la Unión Europea y ha estado coordinando iniciativas locales de aspectos como la privacidad en aplicaciones para combatir el coronavirus.
SEDIA respondió que facilitaría el informe antes de que acabara el año, lo que no cumplió. El informe terminaría siendo publicado a fines de enero, pero la ONG considera que esto no es suficiente.
Sergio Carrasco, abogado encargado de la litigación estratégica en nombre de Rights International Spain, indica que lo que la SEDIA ha publicado es la evaluación de impacto presuntamente realizada en noviembre de 2020, aunque el PDF fue generado en enero de 2021, y sin que conste firma electrónica alguna, control histórico de versiones, ni ninguna otra información que permita conocer cuál ha sido la evolución del documento desde su versión inicial.
“Pensemos que hablamos de un documento que debe realizarse de manera previa a la distribución de la aplicación”, señala Carrasco, aludiendo a que las Directrices 04/2020 del Comité Europeo de Protección de Datos son claras al respecto.
El procedimiento ya se ha resuelto por el Consejo de Transparencia, dando la razón a IRS y ordenando la entrega de esos documentos, aunque esa entrega aún no se ha producido.
En la resolución del Consejo de Transparencia [PDF], con respecto a la Evaluación de Impacto se estima que :
Las Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 indican que este documento es importante para la transparencia del proceso, y que debe realizarse con carácter previo a la utilización de la aplicación. Dicho esto, basta observar el dilatado tiempo entre la publicación de la versión inicial de la aplicación y la publicación, para ver que se han incumplido de manera manifiesta.
Esto resulta más relevante aun cuando tenemos en cuenta que ha habido una serie de riesgos que no fueron observados hasta que usuarios los notificaron en el mismo repositorio, incluyendo potenciales brechas para los datos de salud. Además, se produjo la distribución de una versión para el programa piloto con código diferente, y riesgos que deberían haber sido tomados en cuenta, y que no aparecen mencionados en ningún momento en el documento.
Resolución 901/2020 CTBG
Al mismo tiempo se ha notificado la situación a la AEPD, que ha entendido que (sin perjuicio de lo que resulte de la instrucción) existen elementos susceptibles de constituir infracción. Desde Newtral.es hemos consultado a la AEPD si tienen novedades en este tema, sin recibir respuesta. La agencia española sigue con el procedimiento que había abierto, requiriendo documentación. De momento no ha trascendido más información.
Mientras tanto, la tecnología funciona, y otros países ya ven algunos resultados -o por lo menos los tienen-, pero aquí el momento de la novedad y la campaña por descargarse la app ya ha pasado, sin dar información clara cuando la ciudadanía la ha pedido. La tecnología ha demostrado que funciona, pero la cantidad de retrasos y negativas han lastrado un proceso de rastreo, que aunque complementario, podía haber ayudado más.
Carrasco cree que es muy probable que la falta de confianza provenga de una mezcla de diferentes factores “empezando por los retrasos iniciales, y efectivamente una falta de transparencia. Pese a existir soluciones que podrían haber sido adaptadas en corto plazo, se optó por el desarrollo de una nueva solución, con un programa piloto, mientras las diferentes comunidades autónomas desarrollaban otras aplicaciones de autodiagnóstico para llenar ese hueco que el ciudadano buscaba”.
Además, menciona “el hecho conocido de que los códigos no se entregaban en todo caso a los positivos (recordemos que seguimos sin tener los datos estadísticos de códigos entregados por las comunidades autónomas), posiblemente fruto del desconocimiento, ha favorecido la percepción de que su uso era inútil”, opina.
Fuentes
- Consejería de Sanidad de Baleares
- Consejería de Sanidad de Cantabria
- Consejería de Sanidad de Comunidad Valenciana
- Consejería de Sanidad de Extremadura
- Consejería de Sanidad de Murcia
- Agencia Española de Protección de Datos
- Prensa de la Estado de Digitalización e Inteligencia Artificial (SEDIA)
- Sergio Carrasco, abogado encargado de la litigación estratégica de Rights International
- Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 – Comité Europeo de Protección de Datos
- A population-based controlled experiment assessing the epidemiological impact of digital contact tracing – Nature Communications
- The epidemiological impact of the NHS COVID-19 App [PDF]
- Resolución del Consejo de Transparencia 901/2020 [PDF]
