Amnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsAmnesty IconsCovid IconsCovid IconsCovid IconsCovid IconsCovid IconsCovid Icons
Actuem pels drets humans a tot el món

Aplicacions de rastreig de contactes de Bahrain, Kuwait i Noruega, les més perilloses per a la privacitat

L'aplicació de l'Institut Nacional de Salut Pública de Noruega. © Heiko Junge / NTB scanpix via AP
  • Una anàlisi d'aplicacions de rastreig del coronavirus d'Europa, Pròxim Orient i el Nord d'Àfrica revela greus riscos per als drets humans

Una investigació d'Amnistia Internacional revela que Bahrain, Kuwait i Noruega han implantat algunes de les aplicacions de rastreig de contactes contra la COVID-19 més invasives del món, que posen el perill la privacitat i la seguretat de centenars de milers de persones.

El projecte Security Lab d'Amnistia ha examinat aplicacions de rastreig de contactes d'Europa, Pròxim i el Nord d'Àfrica, amb una detallada anàlisi tècnica d'11 aplicacions d'Algèria, Bahrain, Unió dels Emirats Àrabs, França, Islàndia, Israel, Kuwait, el Líban, Noruega, Qatar i Tunísia, algunes de les quals són des de dolentes fins a perilloses per als drets humans. Les aplicacions "BeAware Bahrain", "Shlonik" i "Smittestopp", de Bahrain, Kuwait i Noruega, respectivament, figuren entre les eines de vigilància massiva més alarmants avaluades per Amnistia, perquè les tres realitzen rastrejos directes o gairebé directes d'ubicacions d'usuaris, pujant les coordinades GPS a un servidor central a intervals freqüents.

Dilluns, el govern noruec va anunciar que frenaria l'ús de la seva aplicació de rastreig. La decisió es va produir poques hores abans que Amnistia Internacional publiqués la seva anàlisi i després que l'organització compartís les seves conclusions amb les autoritats noruegues i l'agència de protecció de dades del país el passat 2 de juny. Amnistia Internacional també es va reunir amb el cap de desenvolupament de l'aplicació "Smittestopp" el 10 de juny.

"Bahréin, Kuwait i Noruega violen la privacitat de les persones amb invasives eines de vigilància que superen els límits justificats per fer front a la COVID-19. Aquests governs han de posar fi immediatament a l'ús que s'està fent en l'actualitat d'aquestes aplicacions intrusives", ha afirmat Claudio Guarnieri, director del projecte Security Lab d'Amnistia Internacional.

L'aplicació noruega és molt invasiva i la decisió de frenar-ne la utilizació és la correcta. Instem els governs de Bahrain i Kuwait que aturin l'ús d'aplicacions intrusives com les que utilitzen ara

Claudio Guarnieri, Amnistia Internacional

"L'aplicació noruega és molt invasiva i la decisió de frenar la seva utilització és la correcta. Instem els governs de Bahrain i Kuwait que aturin immediatament l'ús d'aplicacions intrusivas com les que utilitzen. Bàsicament, transmeten les ubicacions dels usuaris a una base de dades governamental en temps real, la qual cosa és poc probable que resulti necessari i proporcionat en el context d'una resposta de salut pública. La tecnologia pot exercir una funció de rastreig de contactes de gran utilitat per contenir la COVID-19, però la privadesa no pot ser una víctima més com a conseqüència de les presses dels governs per implantar aplicacions".

Eines de vigilància massiva
Les aplicacions de rastreig de contactes de Bahréin, Kuwait i Noruega apliquen un enfocament centralitzat invasiu, que representa una greu amenaça per a la privacitat. Aquests sistemes capten les dades d'ubicació per mitjà del GPS i els pugen a una base de dades central, rastrejant els moviments dels usuaris en temps real. L'aplicació "EHTERAZ" de Qatar ofereix l'opció d'activar el rastreig directe de contactes de tots els usuaris o de persones concretes (en el moment de redactar aquestes línies està desactivat).

Les autoritats de tots aquests països poden vincular fàcilment aquesta informació personal sensible amb una persona, perquè Qatar, Bahréin i Kuwait exigeixen als usuaris el registre amb un nombre de document nacional d'identitat, mentre que Noruega imposa el registre amb un número de telèfon vàlid.

Altres aplicacions analitzades per Security Lab, com la "E7mi" de Tunísia, també segueixen un model centralitzat, però en lloc de registrar les coordinades GPS, utilitzen l'escaneig de proximitat de Bluetooth per seguir els contactes entre usuaris en temps real. L'aplicació "EHTERAZ" de Qatar registra i puja el contacte de Bluetooth entre els dispositius dels usuaris, juntament amb les coordinades GPS de la trobada.

En l'aplicació de Qatar es va identificar una greu vulnerabilitat de seguretat que deixava exposats dades personals sensibles de més d'un milió de persones. Aquesta vulnerabilitat era especialment preocupant, perquè l'ús de l'aplicació era obligatori a partir del 22 de maig. Es va esmenar després que Amnistia n'alertés a les autoritats a finals de maig. La fallada de seguretat hauria permès a ciberatacants accedir a informació personal altament sensible, inclosos el nom, document nacional d'identitat, estat de salut i ubicació de confinament assignada dels usuaris.

Les aplicacions de rastreig de països com Unió dels Emirats Àrabs, França i Islàndia utilitzen un model centralitzat, però la informació sobre el contacte entre els dispositius dels usuaris es puja solament si aquests decideixen voluntàriament informar que són simptomàtics o les autoritats de salut la sol·liciten. Aquestes pujades voluntàries i consentides redueixen almenys el risc de vigilància massiva, ja que les dades no es pugen automàticament. El model centralitzat de l'aplicació de rastreig de contactes de França, sumat a la manca de transparència sobre la manera d'emmagatzemar les dades, desperta la sospita que la informació dels usuaris pugui deixar de ser anònima.

"Cal que, a tot el món, els governs no s'apressin a implantar aplicacions defectuoses i excessivament intrusives de rastreig de contactes, que no protegeixin els drets humans. Perquè les aplicacions de rastreig de contactes exerceixin una funció efectiva en la lluita contra la COVID-19, les persones han d'estar segures que es protegirà la seva privacitat", ha afirmat Claudio Guarnieri.

Noves formes de vigilància
L'aplicació de Bahrain fins i tot estava vinculada a un programa de televisió d'àmbit nacional anomenat "Ets a casa?", en el qual es concedien premis per quedar-se a casa durant el Ramadà. Amb les dades de contacte recopilades per l'aplicació, es triaven cada dia 10 números de telèfon a l'atzar mitjançant un programa informàtic i se'ls trucava en directe per comprovar si els usuaris de l'aplicació eren a casa. Si era així, guanyaven un premi. La inclusió en el sorteig del programa de televisió era obligatòria al principi, però després l'Administració Electrònica i d'Informació de Bahrain va afegir a l'aplicació "BeAware Bahrain" una opció que permetia als usuaris triar no participar en el concurs televisiu. Les autoritats també han publicat a Internet informació personal sensible de presumptes casos de COVID-19, inclosos l'estat de salut, nacionalitat, edat, gènere i historial de viatges d'una persona.

Les aplicacions de Bahrain i Kuwait poden combinar-se amb una polsera amb Bluetooth que serveix per assegurar-se que l'usuari és a prop del telèfon i fer complir així les mesures de quarentena. La kuwaitiana comprova periòdicament la distància entre la polsera i el dispositiu i cada 10 minuts puja la ubicació a un servidor central.

Les dades d'ubicació i la informació addicional de diagnòstic de la polsera amb Bluetooth vinculada a l'aplicació "BeAware Bahrain" s'envien a un servidor central a intervals freqüents. És obligatori que totes les persones incloses en els registres de quarentena domiciliària portin la polsera, i si no la porten poden ser sancionades per la Llei de Salut Pública Núm. 34 (2018), que permet imposar penes de fins a tres mesos de presó, multes d'entre 1.000 i 10.000 dinars (al voltant de 2.700 i 27.000 dòlars nord-americans) o ambdues coses.

Privadesa i drets humans en el disseny
El rastreig de contactes és un component important d'una resposta eficaç a la pandèmia, i les aplicacions de rastreig de contactes poden ser d'utilitat amb aquesta finalitat. Però, perquè siguin compatibles amb els drets humans, les aplicacions de rastreig de contactes han de, entre altres coses, incorporar en el seu disseny la protecció de les dades i la privacitat, la qual cosa significa que les dades recopilades han de ser les mínimes necesàries i emmagatzemar-se de forma segura. Qualsevol recopilació de dades ha de limitar-se al control de la propagació de la COVID-19 i no tenir cap altra finalita, com fer complir la llei, vetllar per la seguretat nacional o controlar la immigració. Tampoc ha de posar-se a la disposició de tercers ni destinar-se a finalitats comercials. La decisió individual de descarregar i usar aplicacions de rastreig de contactes ha de ser completament voluntària. Ha de protegir-se la confidencialitat de totes les dades recopilades, fins i tot si es combinen amb altres conjunts de dades.

"Els governs que implanten aplicacions de rastreig de contacte amb rastreig d'ubicació en temps real han de replantejar-se'n l'ús. Hi ha opcions millors, que atenen la necessitat de rastrejar la propagació de la malaltia sense recopilar informació personal sensible de milions de persones", ha manifestat Claudio Guarnieri.

Resum de les aplicacions de rastreig de contactes analitzades pel Security Lab d'Amnistia
La investigació d'Amnistia Internacional sobre les aplicacions de rastreig de la COVID-19 ha determinat que tendeixen a classificar-se en tres categories. En primer lloc estan les que no fan en realitat rastreig digital de contactes, sinó que permeten que els usuaris registrin i comprovin voluntàriament els seus símptomes (p. ex., les de Líban i Vietnam).

En segon lloc estan les que utilitzen un model descentralitzat i menys invasiu de rastreig de contactes per Bluetooth, com les desenvolupades per Google i Apple. En les d'aquest model, les dades s'emmagatzemen en el telèfon particular, no en una base de dades centralitzada. Són les que s'utilitzen en països com Alemanya, Àustria, Irlanda i Suïssa. Amnistia Internacional no va dur a terme un examen tècnic de les aplicacions d'aquest model, perquè tendeixen a ser menys preocupants des del punt de vista de la privadesa i estan encara en procés d'implantació.

En tercer lloc estan les aplicacions de rastreig de contactes, que són les més perilloses per als drets humans, perquè estan centralitzades, la qual cosa suposa que registren les dades captades per mitjà del sensor Bluetooth del telèfon, del GPS o de tots dos i els pugen a una base de dades governamental centralitzada, i en alguns casos són d'ús obligatori. Amnistia Internacional va escriure a les autoritats de Bahréin, Kuwait i Noruega abans de publicar els resultats de la seva investigació per comunicar-los les vulnerabilitats de privadesa i seguretat de les aplicacions. El 2 de juny, Amnistia Internacional va compartir les seves conclusions amb el Ministeri de Justícia i Seguretat Pública de Noruega, l'Institut Noruec de Salut Pública i l'Agència de Protecció de dades del país. Amnistia es va reunir amb la persona responsable del desenvolupament de l'aplicació "Smittestopp" noruega el 10 de juny.

Aplicacions problemàtiques de rastreig de contactes d'altres parts del món
Amnistia Internacional es va centrar concretament en les aplicacions d'Europa, Pròxim Orient i el Nord d'Àfrica. Les investigacions realitzades per ONG i organitzacions de mitjans de comunicació mostren que hi ha altres aplicacions i plataformes digitals que plantegen greus riscos per als drets humans, entre elles les de la Xina, Etiòpia i Guatemala.