La pandemia de COVID-19 ha obligado a los australianos a compartir más datos de los que normalmente se sentirían cómodos compartiendo: mandatos de códigos de respuesta rápida (QR) a nivel estatal que requieren que la gente se registre y salga en cualquier lugar.
Estas medidas eran importantes para notificar a las personas que habían estado en contacto con un caso confirmado de COVID-19, pero tenían un precio: los ciudadanos estaban entregando una cantidad sin precedentes de información sensible a los gobiernos: su nombre, su ubicación en una fecha y hora específicas y, a menudo, los detalles de los dependientes que los acompañaban.
Un banco de datos como éste debería ser gobernado con cuidado y almacenado de forma segura, pero no ha sido así. Las leyes relativas a la recopilación obligatoria de los datos recogidos por los registros basados en códigos QR han llegado "a posteriori", o no se han comunicado bien al público.
Puntos destacados:
- Los australianos han comopartido datos por la COVID a trabés de los códigos de respuesta rápida (QR) a nivel estatal que requieren que la gente se registre y salga en cualquier lugar.
- MyGuestList e ImpactData, almacenaron decenas de millones de registros en sus bases de datos desarrollando sus propias aplicaciones de registro personalizadas utilizando la interfaz de programación de aplicaciones (API) del gobierno estatal.
- La ley no prohíbe a estas entidades analizar los datos recogidos para determinar los patrones de gasto de los usuarios si su facturación anual es inferior a tres millones de dólares al año.
Tras el fracaso de la aplicación federal COVIDSafe, los gobiernos estatales se apresuraron a crear sus propias aplicaciones de códigos QR. Aunque era obligatorio para las empresas recoger las visitas de los clientes durante el COVID, podían optar por elegir entre un pequeño número de opciones de aplicación. Por ejemplo, los proveedores de terceros, MyGuestList e ImpactData, almacenaron decenas de millones de registros en sus bases de datos desarrollando sus propias aplicaciones de registro personalizadas utilizando la interfaz de programación de aplicaciones (API) del gobierno estatal.
Nada impide a estas empresas explotar estos datos en su propio beneficio o en el de sus clientes. La ley no prohíbe a estas entidades analizar los datos recogidos para determinar los patrones de gasto de los usuarios si su facturación anual es inferior a tres millones de dólares al año.
Los australianos han acatado ampliamente este nuevo nivel de control por el imperativo de la salud pública, pero también por las garantías ofrecidas por los gobiernos. Los organismos gubernamentales dijeron a los ciudadanos que sus datos estaban a salvo, pero se han producido fallos de confianza.
Por ejemplo, tras las repetidas afirmaciones de que las aplicaciones de registro con códigos QR sólo conservarían los datos durante 28 días, SA Health incumplió sus propias directrices, almacenando los datos de los códigos QR indefinidamente hasta que una auditoría descubrió el supuesto error. En al menos seis ocasiones, las fuerzas policiales de los estados (por ejemplo, la Policía de Australia Occidental sin una orden de registro y la Policía de Queensland con una orden de registro) han accedido a los datos de facturación para realizar investigaciones penales después de que se les asegurara que esto no estaría permitido. La policía de Victoria intentó acceder a los datos y se le impidió hacerlo.
A waiter checks the QR code on a patron's Coronacheck app in a bar in Doesburg on September 24. Source: AAP Image/Robin Utrecht/ABACAPRESS.COM
Como dato positivo, algunos estados (por ejemplo, Nueva Gales del Sur) han introducido leyes que impiden el uso retrospectivo o secundario de los datos del código QR de COVID. Recientemente ha entrado en vigor el proyecto de ley Service NSW (One-stop Access to Government Services) Amendment (COVID-19 Information Privacy) de 2021.
Los australianos siguen esperando que se les diga si los datos de facturación se alojan en servidores de Estados Unidos, como supuestamente ocurría con la aplicación COVIDSafe del gobierno federal. El almacenamiento de datos australianos en Estados Unidos sometería a los usuarios a la Cloud Act, la legislación estadounidense que permite acceder a la información personal bajo citación.
Esta falta de transparencia es preocupante si se tiene en cuenta la cantidad de información personal que se ha almacenado: en los cuatro meses siguientes a su lanzamiento en octubre de 2020, por ejemplo, la aplicación Service NSW registró 30 millones de registros. Las cifras indicativas de Service NSW informan de 50,6 millones de registros solo en mayo de 2021. En Victoria, se estima que se registraron 18 millones de registros en la quincena del 13 de mayo y el 31 de mayo de 2021.
Los ciudadanos no sólo están cediendo datos que vinculan su identidad a sus movimientos en la aplicación, sino también las identidades de los "dependientes" (cuando se registran en nombre de familiares o amigos). Si se produjera un hackeo importante a cualquiera de los principales proveedores de servicios en la nube del Estado, estos datos se verían comprometidos. Esto permitiría crear una red de conexiones sociales, como una especie de red social, pero de naturaleza física.
藥房只需掃描病人手機中的電子處方 QR Code 便能配藥。 Source: AAP
De cara al futuro
Las deficiencias y la falta de transparencia en el almacenamiento de datos de los códigos QR surgieron en parte de las directivas de salud pública entregadas en tromba. Las empresas se apresuraron a averiguar cómo abordar las nuevas normas del gobierno, con muy poca antelación u orientación, antes de que se dieran instrucciones más prescriptivas.
Esta es una lección importante para que el gobierno, las organizaciones y el público australiano estén mejor preparados para el despliegue de tecnología durante los períodos de declaración de emergencia o desastre. Australia tiene experiencia en el uso de aplicaciones y paneles de visualización en su historia de incendios forestales (por ejemplo, la aplicación del Servicio de Bomberos Rurales, FiresNearMe). La implementación de la aplicación COVIDSafe demostró problemas de accesibilidad y el despliegue del sistema de códigos QR pasó por alto la inclusividad, por ejemplo, no tuvo en cuenta a quienes viven con problemas de visión.
Los marcos de gobernanza son necesarios para aprovechar el poder de la tecnología en beneficio del interés público. Es responsabilidad de todos. Aunque las nuevas tecnologías no son soluciones milagrosas, con el tiempo nos acostumbraremos a utilizarlas con mayor eficacia.
Australia debe ser más considerada a la hora de trazar su rumbo hacia la vida post-pandémica. Los gobiernos deben responder a preguntas persistentes: En el futuro, ¿qué pasará con los datos recogidos? ¿Podemos relajar los mandatos de registro de entrada y salida en los lugares de bajo riesgo? ¿Podemos almacenar de forma segura los códigos QR y los certificados de vacunas en una sola aplicación? ¿Y qué pasa con los códigos QR falsificados que se instalan subrepticiamente para desviar el tráfico de los teléfonos inteligentes?
Estas y otras cuestiones deben resolverse para evitar que los sistemas de códigos QR se conviertan en un mecanismo de vigilancia por defecto una vez finalizada la crisis de salud pública. Si los estados ponen fin a los mandatos de control después de que las tasas de vacunación alcancen el 95%, como se ha prometido en Nueva Gales del Sur, comenzará el reto de romper este hábito arraigado.
Entregar datos tan sensibles ya se siente como algo normal para muchos, y a menos que los ciudadanos sean conscientes de sus derechos, seguirán haciéndolo.
Publicado originalmente en diciembre de 2021 bajo Creative Commons por 360info™.
Terri Bookman, de la IEEE Society on the Social Implications of Technology, y Vanessa Teague, de la Australian National University, han contribuido a la redacción de este artículo.
Katina Michael es profesora de la Universidad Estatal de Arizona, científica sénior de Futuros Globales en el Laboratorio de Futuros Globales y tiene un nombramiento conjunto en la Escuela para el Futuro de la Innovación en la Sociedad y la Escuela de Computación e Inteligencia Aumentada. También es la editora jefe fundadora de la revista IEEE Transactions on Technology and Society.
Roba Abbas es profesora y directora de programas académicos en la Facultad de Empresariales y Derecho de la Universidad de Wollongong (Australia). También es coeditora de IEEE Transactions on Technology and Society.
