piden liberar el código de la 'app'

200 investigadores exigen al Gobierno transparencia total con la 'app' Radar Covid

"Sin un procedimiento abierto que posibilite la implicación de toda la comunidad y de los destinatarios de la 'app', esta no gozará de la confianza necesaria para su adopción masiva"

Foto: (Reuters)
(Reuters)

Un grupo de más de 200 destacados investigadores y académicos ha firmado y publicado una carta conjunta pidiendo al Gobierno máxima transparencia respecto al desarrollo de la 'app' de rastreo de contactos Radar Covid. Entre los firmantes están nombres tan relevantes como Carmela Troncoso, investigadora española de la Escuela Politécnica Federal de Lausana (EPFL, Suiza), quien ha liderado la creación del protocolo DP-3T adoptado por Google y Apple y por todos los países europeos, o Ricardo Baeza-Yates, profesor en la Northeastern University en Silicon Valley y en la Universidad Pompeu Fabra. Su mensajes es claro: "Sin un procedimiento abierto que posibilite la implicación de toda la comunidad y de los destinatarios de la 'app', esta no gozará de la confianza necesaria para su adopción masiva".

Entre otros firmantes de la carta, se encuentran los investigadores y académicos Itziar de Lecuona, catedrática Unesco de Bioètica, profesora de la Universitat de Barcelona y miembro del Grupo de Trabajo Multidisciplinar del Ministerio de Ciencia, Miguel Luengo Oroz, profesor de la Universidad Politecnica de Madrid y Chief Data Scientist de la ONU, Daniel Innerarity, catedrático de Filosofía del Derecho o Carme Torras, profesora en el Instituto de Robótica del CSIC y miembro del Consejo Nacional de la Inteligencia Artificial del Gobierno.

El documento se ha publicado hoy tras múltiples peticiones en las últimas semanas de la comunidad internacional de desarrolladores a la Secretaría de Estado Digital e Inteligencia Artificial (Sedia) para liberar el código de la 'app' con el fin de que pueda ser analizado y mejorado. Es una práctica básica y común en proyectos que usan código abierto, como es el caso del protocolo DP-3T desarrollado por Troncoso y su equipo e integrado luego por Google y Apple. Múltiples fuentes consultadas por este diario llevan tiempo avisando: no publicar el código antes del lanzåmiento de la 'app', como han hecho el resto de países, además de ir contra todas las reglas de la comunidad de desarrollo, es un "incumplimiento directo del contrato de licencia del sistema de Google y Apple", que exige publicar al menos las partes del código en las que se ha usado el protocolo DP-3T.

"Radar Covid es ya parte de la nueva generación de infraestructura de sanidad pública. La aplicación marca un hito no sólo como innovación digital, sino también por su carácter cooperativo. Radar COVID precisa de la cooperación de toda la sociedad, y para maximizar su utilidad necesita ser descargada y activada por una cantidad sustancial de usuarios. [...] Democratizar no sólo implica permitir a la ciudadanía el acceso a la infraestructura, sino la co-creación de dichas infraestructuras junto con la sociedad. En una sociedad tan heterogénea como la española, esta co-creación únicamente tendrá éxito con la ayuda de expertos de diversas disciplinas. No hay tecnología sin fallos y por lo tanto es necesario un escrutinio multidisciplinar para conseguir el mejor resultado", señala la carta.

(EFE)
(EFE)

La secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, ha insistido en múltiples ocasiones que liberar el código es una prioridad y de hecho se hará el próximo 9 de septiembre. "Lo estamos documentando. Tener los equipos trabajando en agosto supone que no tienes capacidad infinita y hemos priorizado el desarrollo funcional y la conexión con las CCAA. Es un compromiso y estará ASAP!", publicó recientemente en su cuenta de Twitter. Los firmantes de la carta, sin embargo, reprochan entre líneas que no se haya hecho hasta ahora, aplauden que, por fin, haya fecha, pero piden una serie de documentación clave que debe ser publicada sin dilación.

"A día de hoy, no se ha publicado ninguna documentación sobre el diseño de Radar Covid, sobre su implementación ni sobre el proceso de integración de las Comunidades Autónomas. El 1 de Septiembre, la Sedia anunció que el código de la aplicación se abrirá al público el día 9 de Septiembre. Con su decisión, la Sedia ha iniciado una democratización de las infraestructuras digitales públicas. Los abajo firmantes aplauden esta decisión" pero detallan a continuación la información y documentos que el organismo gubernamental debería publicar para un correcto análisis independiente de la 'app'.

Entre esos documentos solicitados a la Sedia destacan "un repositorio con el código que permita analizar la versión de todos los elementos del sistema", "el repositorio de código utilizado durante el desarrollo, incluyendo el historial desde el inicio", un informe detallado del diseño del sistema y de "los mecanismos de monitorización y los que aseguran la privacidad y el cumplimiento de la normativa de protección de datos", así como un documento de "evaluación de impacto en la protección de datos". Los investigadores y académicos firmantes piden además "la máxima información sobre el sistema de gobernanza y toma de decisiones en el diseño de la aplicación", incluyendo información "clara" sobre "la involucración de entidades privadas y su rol y responsabilidades en el proyecto".

(Reuters)
(Reuters)

En caso de que el Gobierno español no facilite esta información, señalan los firmantes, será imposible confiar en la 'app' Radar Covid. "La actual coyuntura constituye una oportunidad histórica para hacer realidad estos principios y para que la 'app', diseñada bajo la dirección de la SEDIA, sea un éxito. Sin un procedimiento abierto que posibilite la implicación de toda la comunidad y de los destinatarios de la 'app', esta no gozará de la confianza necesaria para su adopción masiva".

Fuentes consultadas con conocimiento del desarrollo de Radar Covid y relación directa con los firmantes, explican que la carta tiene un doble objetivo. "La idea es tender puentes, tiene una voluntad constructiva de ayudar a resolver cualquier fallo en la 'app' si lo hubiera". Pero reconocen también que hay "cierta alarma en la comunidad internancional de desarrolladores al comprobar que aún no se ha liberado el código. Todos los países lo han hecho ya, es lo más normal. Entedemos que es un tema cultural, puede que la Sedia no esté acostumbrada a trabajar de esta forma, pero ya hay cierta alarma al ver que la población sigue usando y confiando en una 'app' que, relamente, no sabemos cómo funciona".

Si no hay un ejercicio de transparencia total, se pasará de leer la situación como una falta de experiencia a un acto de mala fe

La gran pregunta es: ¿qué ocurrirá si el 9 de septiembre la Sedia no publica la información solicitada?. "Si no se publica, me temo que esta alarma se va a convertir en una certeza. Si no hay un ejercicio de transparencia total, se pasará de leer la situación como una falta de experiencia por parte de la Sedia a un acto de mala fe. Está en juego la reputación del Gobierno al completo en esto", explican.

La carta evidencia también algo que desde el entorno del DP-3T se venía evidenciando en los últimos meses: el escaso contacto entre la Sedia y el núcleo de ingenieros e investigadores creadores del protocolo. "Nunca tuvimos una colaboración de ningún tipo, la verdad. Tampoco han contactado con nadie del DP-3T para el piloto de Canarias. Los motivos los desconozco", explicó Troncoso a este diario el pasado junio. Otras fuentes consultadas confirman que Sedia "lleva meses sin hablar con absolutamente nadie del entorno del DP-3T. No es que haya poca relación, es que hay mala relación. Tienes a un grupo de expertos que llevan tiempo trabajando en esto, que te pueden ahorrar todo el tiempo del mundo, y ¿no hablas con ellos?".

La carta de los investigadores españoles pone en un complicado brete a la Sedia: la obliga a un gran esfuerzo de transparencia inusual para una secretaria de estado, un esfuerzo del que tiene mucho que ganar o que perder. ¿Recogerá el guante? El 9 de septiembre saldremos de dudas.

A continuación reproducimos de forma íntegra la carta firmada por los investigadores (se puede leer también aquí y acceder aquí a una lista actualizada de los firmantes):

Resumen

Este manifiesto expone la necesidad de seguir una serie de pautas en desarrollos de software destinados a servir al público, con Radar COVID como ejemplo. Radar COVID es uno de los primeros ejemplos de la nueva generación de infraestructura pública. Estas pautas describen elementos imprescindibles para implementar procesos abiertos que permitan a la sociedad participar en la integración de nuevas tecnologías en la administración desarrolladas con dinero público. Entre otros, la publicación de documentación y código que provean a la comunidad científica y la sociedad civil de la capacidad de escrutinio necesaria para identificar puntos a mejorar y contribuir a desarrollar y desplegar soluciones digitales democráticas, inclusivas y conformes a los más altos estándares. La infraestructura pública es parte del bien común de una sociedad. Mediante ella se ordena y estructura la sociedad, creando las reglas de acceso y disponibilidad a servicios sociales. Su legitimidad depende de su grado de inclusividad y democratización. La implantación de este tipo de estándares es especialmente importante en estos momentos en que se están automatizando y dejando en manos de programas informáticos procesos que afectan directamente a las personas y a la sociedad. Éstos deben ser monitorizados para evitar resultados no deseados.

Manifiesto

Los abajo firmantes, miembros de la comunidad académica española, manifiestan:

La propagación del virus causante de la COVID-19 ha provocado que gobiernos de todo el mundo desplieguen medidas excepcionales y busquen soluciones tecnológicas que ayuden a la contención de la pandemia. Entre estas soluciones, las llamadas “aplicaciones móviles de trazabilidad de contactos” parecen una de las más prometedoras. Estas aplicaciones se han desplegado ya en distintos países con resultados preliminares que invitan al optimismo, y poniendo su código disponible para escrutinio público. Entre otros: Alemania, Austria, Canada, Ecuador, Estonia, Holanda, Irlanda, Italia, Portugal, y Suiza.

En España, la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) ha lanzado la aplicación Radar COVID, desarrollada en colaboración con Indra Sistemas, S.A. La aplicación se lanzó en Google Play el 29 de Junio, y se inició una prueba piloto en La Gomera. Tras analizar los resultados del piloto, considerados positivos, la SEDIA ha puesto la aplicación a disposición de todos los españoles, supeditada a su previa integración por parte de los servicios de salud de las Comunidades Autónomas.

La aplicación ha sido descargada ya por más de 3,4 millones de españoles, y está integrada en más de la mitad de las Comunidades Autónomas. Radar COVID es ya parte de la nueva generación de infraestructura de sanidad pública. La aplicación marca un hito no sólo como innovación digital, sino también por su carácter cooperativo. Radar COVID precisa de la cooperación de toda la sociedad, y para maximizar su utilidad necesita ser descargada y activada por una cantidad sustancial de usuarios. Esto la convierte en una tecnología de carácter masivo y de alto impacto social. A lo largo de la Historia europea, los gobiernos han respondido a epidemias democratizando las infraestructuras de salud pública. Democratizar no sólo implica permitir a la ciudadanía el acceso a la infraestructura, sino la co-creación de dichas infraestructuras junto con la sociedad.

En una sociedad tan heterogénea como la española, esta co-creación únicamente tendrá éxito con la ayuda de expertos de diversas disciplinas. No hay tecnología sin fallos y por lo tanto es necesario un escrutinio multidisciplinar para conseguir el mejor resultado. Únicamente el esfuerzo conjunto interdisciplinario y con la sociedad civil puede identificar de forma eficiente sesgos potenciales y errores en la conceptualización e implementación de la aplicación que puedan dar lugar a efectos indeseados en términos de discriminación y vulneración de derechos.

A día de hoy, no se ha publicado ninguna documentación sobre el diseño de Radar COVID, sobre su implementación ni sobre el proceso de integración de las Comunidades Autónomas. El 1 de Septiembre, la Secretaría de Estado de Digitalización e Inteligencia Artificial anunció que el código de la aplicación se abrirá al público el día 9 de Septiembre. Con su decisión, la SEDIA ha iniciado una democratización de las infraestructuras digitales públicas. Los abajo firmantes aplauden esta decisión, que sin duda es un paso importante de cara a fortalecer la confianza de la ciudadanía en la app, maximizando así su impacto. La apertura del código debe ir acompañada de la documentación e información completas, a fin de que la comunidad científica y la sociedad civil tengan la capacidad de escrutinio necesaria para identificar puntos a mejorar y contribuir a desarrollar y desplegar Radar COVID conforme a los más altos estándares.

Los abajo firmantes hacemos un llamamiento a la comunidad científica, sociedad civil y sector privado a contribuir a este hito en la historia de la digitalización. Para que esta colaboración tenga la mayor efectividad, es preciso que se hagan públicos los siguientes elementos relativos al desarrollo de Radar COVID:

  • Un repositorio con el código que permita analizar la versión de todos los elementos del sistema el día que se haga público así como futuros cambios, incluyendo aplicación y servidores junto con los detalles de su despliegue y gobernanza: dónde se hallan, quién los administra, y qué medidas de seguridad se han adoptado tanto para el despliegue a nivel nacional como el relativo a las Comunidades Autónomas.

  • El repositorio de código utilizado durante el desarrollo, incluyendo el historial desde el inicio del desarrollo, detallando los cambios desde que la primera versión se hace disponible en las tiendas de las plataformas móviles y por lo tanto descargadas por los usuarios. La revisión de las versiones anteriores es necesaria debido a que no todos los usuarios actualizan periódicamente sus móviles.

  • Informe de diseño del sistema (aplicación y servidores), detallando los análisis que han llevado a decidir los parámetros de configuración y uso de la API de Exposición de Notificaciones de Google y Apple, los mecanismos implementados y las librerías y servicios utilizados para evaluar la seguridad y privacidad de los datos, así como la evaluación de la inclusión y accesibilidad del diseño.

  • Informe detallado de los mecanismos de monitorización de la aplicación y mecanismos asociados para asegurar la privacidad y el cumplimiento de la normativa de protección de datos, referido a los datos recogidos tanto durante el piloto como en la fase de producción.

  • La evaluación de impacto en la protección de datos basada en el informe de diseño y los análisis de riesgo asociados a la aplicación y su uso en las plataformas Android y iOS.

La liberación del código y su adecuada documentación es necesaria también para la materialización del principio de privacidad basada en el diseño así como de los restantes principios de protección de datos contenidos en el RGPD, singularmente el de responsabilidad proactiva. La actual coyuntura constituye una oportunidad histórica para hacer realidad estos principios y para que la app, diseñada bajo la dirección de la SEDIA, sea un éxito. Sin un procedimiento abierto que posibilite la implicación de toda la comunidad y de los destinatarios de la app, esta no gozará de la confianza necesaria para su adopción masiva.

En complemento a lo anterior, a efectos de transparencia, es deseable la máxima información sobre el sistema de gobernanza y toma de decisiones en el diseño de la aplicación. En este sentido, es importante que la involucración de entidades privadas, y su rol y sus responsabilidades en el proyecto se identifiquen de manera clara.

Finalmente, queremos destacar que Radar COVID es un elemento esencial dentro de un complejo plan de contención de los contagios, pero no es la única medida con la que detener las cadenas de contagio. Es una medida de apoyo y no sustituye a rastreadores manuales de contacto, sino que necesita desplegarse en coordinación con los procesos manuales ya existentes. Su uso, incluso a nivel masivo, no excluye la necesidad del establecimiento de otras medidas de contención de la pandemia. Entre otras medidas ya conocidas, como el uso de máscaras o distanciamiento en el lugar de trabajo, para garantizar el impacto de Radar COVID es necesaria la adopción de medidas legales y presupuestarias de apoyo social que permitan a los usuarios seguir las recomendaciones de la app sin sufrir perjuicios económicos, laborales o sociales. Teniendo en cuenta las asimetrías sociales del país, por las que no todos disponen de móviles o de acceso a la infraestructura digital, es importante recalcar el carácter voluntario de la app. Es necesario también monitorizar e identificar potenciales abusos discriminatorios en ámbitos como el de la vivienda, el mercado de trabajo, la educación y, en general, en el acceso a servicios públicos y privados, en toda la amplitud reconocida por la legislación actual o futura.

Tecnología
Escribe un comentario... Respondiendo al comentario #1
32 comentarios
Por FechaMejor Valorados
Mostrar más comentarios