Escucha este artículo
Audio generado con IA de Google
0:00
/
0:00
El gobierno colombiano sigue implementando el modelo “ensayo-error” en el despliegue de tecnologías digitales para enfrentar la pandemia de COVID-19, como el certificado digital de vacunación lanzado esta semana lo prueba. Sin justificación sobre el soporte científico, ni la forma como mitiga los riesgos, lanza el nuevo certificado sin socializaciones con los diferentes grupos de interés, sin procesos de prueba, sin que las IPS hayan alimentado los sistemas, sin construir confianza en el proceso.
Los certificados digitales de vacunas avanzan por todas partes a pesar de que han sido ampliamente criticados por organizaciones de la sociedad civil como Privacy International, Derechos Digitales, o Access Now. También ha habido propuestas de elementos mínimos a considerar como las que señaló el Instituto británico Ada Lovelace. De todo lo que han escrito extraeré algunos puntos en este texto.
Nos corresponde apoyar todo esfuerzo para ampliar la vacunación, porque es esencial para reducir la gravedad de la enfermedad, sin embargo, no la evita completamente, ni se sabe todavía cómo funciona para prevenir su transmisión. Por tanto, un problema del despliegue de certificados es que prima la ilusión de que nos permitirán volver a la normalidad económica, lo que hace pensar que la vacunación evita la transmisión y puede generar una falsa sensación de seguridad.
Si bien no se trata de hacer eco a los argumentos de los “anti-vacunas”, sino de recordar que ésta no reemplaza las demás medidas de protección -pues su inmunidad no es del 100%, ni garantiza que quien se vacuna no contagie-, y obliga a reconocer que hay un gran reto sobre cómo comunicar el riesgo al desplegar estos certificados, algo que ya ha sido denunciado.
Otro cuestionamiento de fondo es por qué este programa global de vacunación del COVID-19 necesitamos un certificado digital, si para otras enfermedades se ha trabajado mundialmente con los de papel. La construcción de un sistema global digital supone unos desafíos importantes de gran complejidad que no pasan una evaluación de necesidad y proporcionalidad. Privacy International ha dicho que será la excusa perfecta para crear o ampliar los sistemas de datos e identidad, dejando de lado las necesidades y protecciones de largo plazo que necesitan los sistemas de salud.
La organización Derechos Digitales precisa el riesgo de la amplia recolección de datos: una vez “creado el antecedente digital, y al forzar a la población a circular con esta información en sus dispositivos digitales, el riesgo de pérdida de control, derivado de usos no relacionados al tratamiento de salud, se extiende exponencialmente”.
Además, están los riesgos derivados de la discriminación que puede propiciar este tipo de certificados. Su impacto será incluso mayor si se hacen obligatorios. Los certificados de vacunación pueden ampliar las ya importantes desigualdades que se han creado durante la pandemia especialmente para las poblaciones más vulnerables.
Sin embargo, la idea de que la tecnología puede ayudar y toca intentarlo, le crea un aparente dilema a las autoridades que atrapó incluso a la Organización Mundial de la Salud (OMS). Aunque la OMS insiste en mantener una mirada realista sobre las vacunas, reconociendo los riesgos y problemas del certificado, a principios de agosto publicó una guía para el despliegue de los certificados digitales de vacunación. Es decir, con un cierto nivel de escepticismo la OMS se resigna y, al final, los avala.
El certificado digital de vacunación en Colombia deberá ser analizado con más calma a la luz de los estándares internacionales, sin embargo, la primera mirada, en las horas siguientes a su lanzamiento, mostró que como mínimo recoge y muestra demasiados datos.
El sistema produce un QR que puede leer cualquier persona, y le da acceso a una gran cantidad de datos. El problema en este caso es que por diseño la elección de los datos que recoge y muestra el QR está lejos de ajustarse al principio de minimización de datos. La información incluye además del nombre e identificación (con fecha de nacimiento), el correo personal y el número de celular, además de mucha información sobre la vacuna empleada.
Así, los responsables o intermediarios que requieran el QR en el aeropuerto, el concierto, el restaurante, cuando lo pidan, o siempre que la persona lo exhiba -orgullosamente por ejemplo a través de sus redes sociales-, podrán tener toda esa información, a pesar de que lo único que debería saberse de ese ejercicio es que la persona ya fue vacunada. El resto de información es innecesaria.
Al dar acceso a toda esta información el gobierno colombiano está abriendo una gran vulnerabilidad para que los datos se usen en fraudes, sirvan para acosar a las personas, o en acciones de doxing en redes sociales.
En Karisma, donde trabajo, insistimos en que además de analizar y justificar estas soluciones conceptualmente, es una equivocación que se hagan los despliegues sin pilotos de evaluación. Previo al lanzamiento, estas deberían ser auditadas y probadas por terceros que remitan comentarios y análisis más profundos con diversas miradas que les permita anticiparse a los problemas. Pero, el gobierno colombiano persiste en sus ensayos con toda la población, en tiempo real, sin consideraciones o evaluaciones de impacto. Incluso cuando ni siquiera tiene todo preparado.
Efectivamente, la queja generalizada el día de su lanzamiento, mientras escribo estas líneas, no es por el exceso de datos entregados, o por la impertinencia científica del instrumento, la queja de las personas es que no han podido descargar su certificado porque su información no ha sido cargada en el sistema, ¿cuál era el afán?, ¿se plantearon cuánto vale esto en términos de confianza de la ciudadanía?
Finalmente, los despliegues de tecnología en Colombia suelen justificarse como la mejor forma de evitar fraudes. Pero la realidad es más compleja, la tecnología en general potencia tanto lo bueno como lo malo del mundo analógico y el mismo día de su lanzamiento ya había gente pescando incautos en redes sociales: están cobrando por el certificado.
Construir confianza y educar a la gente en estos procesos no es algo que puedan inventarse de un día para otro. Seguiremos mirando el certificado y analizando su despliegue, así que esto continuará.
