Enric Luján: “En momentos complejos como el actual tenemos que optar por el mal menor desde la perspectiva de la privacidad”

22 mayo 2020

Hablamos con el experto en privacidad, doctorando por la Universitat de Barcelona (UB) y miembro de Críptica, Enric Luján. Pero antes de hablar nos deja claro que la suya es una opinión personal, no la consensuada por su colectivo, en el que existen varias opiniones en relación a la gestión de los datos personales en tiempos de coronavirus.

¿Ante qué retos nos sitúa la crisis sanitaria derivada del Covid19 en lo relativo a la gestión de datos personales?

El problema de origen es cómo se gestiona democráticamente una apendemia. Yo no estoy muy seguro, pero creo que nadie de mi ramo no lo sabe. ¿Cuál es el umbral democrático o de privacidad que se establece en tiempos de pandemia? El Reglamento General de Protección de Datos (RGPD) de la Unión Europea ya contempla que en casos como el que vivimos se puedan utilizar datos para intentar frenar sus consecuencias de maneras que en condiciones normales podríamos consider abusivas. O como mínimo que no pasarían por los controles ordinarios. El problema aquí es que en base al interés público se puede hacer prácticamente todo. “Interés público” es un término jurídico indeterminado que tiene un amplio radio de acción.

¿De qué nos hemos de preocupar, pues?

Por un lado, me preocupa la indefinición de lo que es interés público en el reglamento, porque permite a los estados casi todo, pero también me preocupa el posicionamiento contrario, que parte de una interpretación de la privacidad sumamente restrictiva y que consiste en impugnar sistemática cualquier tipo de iniciativa digital por parte de los poderes públicos para intentar controlar la pandemia en tanto que sociedad. Para mi, el debate real consiste en intentar ver qué datos pueden ayudar a mejorar la gestión del Covid19 (como es el caso del estudio de movilidad del INE), rechazando firmemente las iniciativas legales que no contribuyen realmente a hacerle frente, siendo cualquier tratamiento de datos por parte de segundos un abuso claro en términos de privacidad, ya que cualquier información debe pedirse en base a su efectividad para frenar el virus.

¿Cuál es el punto medio, entonces?

El objetivo tendría que ser definir una estrategia digital clara desde los poderes públicos, ver qué datos les pueden ser útiles para gestionar la pandemia y cuales no lo son en absoluto. A partir de ahí, se podrían transmitir unas directrices concretas a los organismos encargados de desarrollar las soluciones tecnológicas.

¿Qué opinión te merecen iniciativas de autogestión de la salud como las aplicaciones de autodiagnóstico o herramientas que nos permiten descargarnos nuestros datos de geolocalización para saber con quien hemos estado en contacto y avisarles en caso de dar positivo en una preba de Covid19?

Yo pienso que tenemos una sociedad envejecida. El perfil de usuario no es un acitivista digital, sino mi padre. Me preocupa que no podamos ir más allá de una élite tecnológica ¿Cómo lo tienen que hacer los abuelos? El problema de tener que centrar toda la respuesta gubernamental en aplicaciones o derivados choca con la grieta digital, y más en regiones donde esto de los smartphones les queda muy lejos. En este contexto propuestas como la de Corea del Sur son inasumibles aquí.

Pero cuando se pide que una aplicación trabaje en código abierto ya se asume que no toda la sociedad en su conjunto revisará su código. Es una medida que va dirigida a una élite, sí, pero es una medida complementaria.

Sí, pero cómo lo hacemos para que la gran mayoría de la sociedad pueda protegerse del coronavirus. No queda otra que los poderes públicos se corresponsabilicen. Y aún así veo el riesgo intrínseco de que se acaben desentendiendo. Ahora lo que tenemos es un desconfinamiento programado analógicamente, en franjas horarias: lo que se hacía en la edad media. Necesitamos una respuesta efectiva y una respuesta para la mayoría de la sociedad ¿Cómo lo hacemos para que esta respuesta sea privacy-respectful y democrática? El problema de esto es que en muchos casos la acción más eficiente no es la más democrática. La política no es lo que a mi me gustaría sino hacer frente a contingencias que nunca abordaremos en condiciones ideales. En un mundo ideal habríamos tenido meses para planificarlo todo con tiempo, aprobarlo mediante los procedimientos formales adecuados, etc. Pero no ha sido el caso. Soy alguien a quien le preocupa la privacidad, pero también creo que hay que entender la situación actual.

Pero que las aplicaciones funcionen en código abierto sí es una medida exigible ¿no? Para poder constatar que nadie no está compartiendo nuestros datos con terceros.

Esto se contempla en RGPD, que en casos de emergencia en el campo de la salud pública estos datos se podrán transmitir siempre que, una vez que acabe la pandemia, sean borrados de las bases de datos de las instituciones y empresas. Sí, el código abierto siempre es necesario. Imagino que al principio podría tener cierto sentido no abrirlo para intentar impedir que alguien descubriera alguna vulnerabilidad, teniendo en cuenta que la intención era recopilar datos médicos, pero ahora mismo, cuando ya hace semanas que estas aplicaciones están en circulación, no tiene mucho sentido que siga siendo así. El hecho de decir que estamos en el peor de los escenarios posibles no me desresponsabiliza de mi deber de estar alerta. En momentos complejos como el actual tenemos que optar por el mal menor desde la perspectiva de la privacidad.