Códigos QR para detección de COVID-19: CDMX y su uso de tecnologías de vigilancia masiva

El pasado 20 de noviembre el gobierno de la Ciudad de México anunció los cambios en el Sistema para la Identificación de Contagios en Espacios Cerrados implementado como estrategia para controlar la emergencia sanitaria por la COVID-19. Este sistema consiste en códigos QR generados por los establecimientos comerciales y de servicios para ser escaneados con el celular por las personas que quieran entrar. El usuario luego proporciona su número telefónico para ser notificado en caso de haber estado en riesgo de contagio. Sin embargo, cuando se propuso por primera vez esta medida en la ciudad, se pretendía que la medida fuera obligatoria para poder entrar a los establecimientos.

El hecho de que fuera obligatoria generó controversia entre las personas de la CDMX y obligó a que la Agencia Digital de Innovación Pública (ADIP) se acoplara a los lineamientos establecidos por la Organización Mundial de la Salud para las tecnologías de rastreo de proximidad. La Red en Defensa de los Derechos Digitales (R3D) publicó el 18 de noviembre un listado de preocupaciones en torno a la estrategia implementada por el gobierno de la ciudad.

Una de las preocupaciones fue el tema de la discriminación, debido a que esta medida dejaba en una situación vulnerable a un 23.9% de la población que no cuenta con teléfono móvil, según la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH) del Instituto Nacional de Estadística y Geografía (INEGI). Además, de este 23.9%, un 44% son población con bajos recursos económicos y otro 37.2% son adultos mayores. Dichos grupos hubieran resultado los más discriminados por esta medida.

Por otro lado, están las preocupaciones en torno a la seguridad. En ocasiones pasadas el gobierno mexicano ya ha dañado la confianza de la población para el manejo de sus datos personales por parte de las autoridades. Por ejemplo, está el caso del software malicioso Pegasus, adquirido por el gobierno del ex presidente Enrique Peña Nieto y utilizado para espiar a periodistas, activistas y defensores de derechos humanos.

Más recientemente el gobierno de Coahuila y del Estado de México, en Ecatepec, están implementando tecnologías de reconocimiento facial que han demostrado afectar especialmente a las personas racializadas por los defectos que tienen para identificar a personas no blancas. Además de que, según denuncia R3D, su uso es opaco y autoritario.

Entonces ¿Es seguro confiar nuestros datos al gobierno de la CDMX para el Sistema para la Identificación de Contagios en Espacios Cerrados?

Grecia Macías, abogada defensora del derecho a la privacidad y la libertad de expresión de R3D, explicó a Infobae México que, aunque celebran los cambios aplicados por la ADIP en respuesta a las inconformidades (como la publicación de un aviso de privacidad donde explican que la información recabada será eliminada después de 15 días), “hay varias cosas que siguen causando ruido para varias y varios de nosotros”; y estas tienen que ver precisamente con la seguridad de la información proporcionada por la ciudadanía que ocupe estos códigos QR.

“Se entiende que se hagan transferencias [de información] con autoridades sanitarias pero, por ejemplo, yo no sé por qué la Fiscalía o tribunales de justicia tendrían que saber este tipo de datos”. A Grecia le preocupa que el aviso de privacidad publicado por la ADIP no es lo suficientemente específico cuando se trata de esclarecer qué dependencias tendrán acceso a los datos del usuario.

La ADIP primero afirma que los datos recabados sólo serán compartidos con autoridades sanitarias, sin embargo, inmediatamente agrega “o aquellas [autoridades] con atribución legal para requerirlos”. Para Grecia esto es preocupante puesto que, aunque la ADIP ha aclarado que sólo requiere del usuario su número telefónico, los datos solicitados se cruzan con otra información, como el local donde se hizo el registro, la hora y la fecha, con lo cual un usuario se vuelve identificable y localizable en un lugar y momento específico.

“Otra cosa, se pide que se haga una base de datos descentralizada”, Grecia explica que el hecho de que la ADIP acumule en una base de datos central toda la información de las y los usuarios, la vuelve vulnerable para algún tipo de ataque “y que justamente un agente externo termine apropiándose de esos datos”.

Para Grecia, “cualquier tratamiento de datos personales tiene que estar consentido, tiene que estar hecho con ciertas salvaguardas y para una finalidad en específico”. Esto en oposición al presupuesto, que ella considera erróneo, de que cuando una persona transita en el espacio público, esta pierde parcial o totalmente su derecho a la privacidad y a que se protejan sus datos personales.

También defiende que el rastreo y control de los contagios de la COVID-19 “no está peleado con la privacidad”, siempre y cuando estas medidas de vigilancia masiva se hagan con consentimiento y con claridad; “No puede ser de manera remota ni mucho menos encubierta.”

Sin embargo, la Ciudad de México también tiene una historia de uso de tecnologías de vigilancia masiva sin el consentimiento ni conocimiento de su población. En colaboración con PODER, R3D denunció en junio de este año el uso de las llamadas IMSI Catchers o Stingrays, que interceptan el enlace entre un teléfono móvil y la torre telefónica de su compañía para extraer cantidades indiscriminadas de información e incluso modificar la programación del mismo dispositivo o reducir su potencia.

Según la investigación del equipo chileno South Lighthouse para la detección de antenas falsas, el gobierno federal mexicano tiene 21 contratos con L3Harris Technologies, Inc., empresa que fabrica IMSI Catchers. Tres de esos contratos fueron firmados por la Secretaría de Defensa Nacional (SEDENA) y la Secretaría de Marina (SEMAR) ya durante el gobierno de Andrés Manuel López Obrador, en el 2019, y tienen un valor de 23 millones 94 mil 970 pesos.

El Fake Antenna Detection Project detectó que en la ciudad de México, la zona que concentra la mayor cantidad de antenas con irregularidades (sospechosas de ser IMSI Catchers) es el Zócalo Capitalino, el Palacio de Bellas Artes y Avenida Reforma, entre otras. Estas son, además, las rutas por las que transitan la mayoría de las manifestaciones que ocurren en la ciudad.

MÁS DE ESTE TEMA: