Este es un resumen del análisis general de la app COVID-19MX. Descarga aquí el texto completo: Análisis de app COVID-19MX
Después de anunciado el lanzamiento de la aplicación COVID-19MX, (aquí el video de su presentación en la conferencia del 1 de abril 2020) descargamos la app para probarla y analizar lo siguiente:
- Permisos y accesos que solicita la app al instalarse en el teléfono
- Información que se genera durante el uso de la app
- Relación entre los datos recabados y el objetivo de la aplicación
- Relación entre los permisos solicitados y sus funcionalidades
- Lineamientos de protección de datos personales
Antecedentes:
El 1 de abril de 2020 la Secretaría de Salud del gobierno de México dio a conocer la aplicación COVID-19MX, para contribuir a la información y orientación sobre el COVID-19 a la población mexicana. Esta app se suma a otras herramientas como el sitio web https://coronavirus.gob.mx y la plataforma de SMS Covid19 del gobierno de la Ciudad de México y Locatel.
Con herramientas como éstas, el gobierno de México busca fortalecer la comunicación entre la población y las autoridades de salud para frenar la velocidad de propagación del coronavirus. Si bien, estas iniciativas parecen tener las mejores intenciones ante la emergencia sanitaria, es importante que brinden claridad sobre el manejo responsable de datos, las medidas y controles de seguridad y privacidad, así como los límites y alcances de estas iniciativas. (Por ejemplo: qué datos se generan, y por quién y durante cuánto tiempo se pueden usar).
La ausencia o información incompleta sobre estos aspectos ha despertado la preocupación y desconfianza por parte de comunidades técnicas, personas usuarias y organizaciones sociales. Estas preocupaciones tienen antecedentes en el abuso de tecnologías de vigilancia por parte de gobiernos, en el uso extendido de técnicas de rastreo a través de teléfonos celulares para evitar la propagación del virus, así como la obtención y explotación de datos para fines comerciales.
Leer aquí:
– Los gobiernos deben promover y proteger el acceso y la libre circulación de la información durante la pandemia – Expertos internacionales OACNUDH (en particular el quinto punto, sobre el uso limitado de herramientas tecnológicas, tanto en términos de propósito como de tiempo).
– El tecno-optimismo volvió en forma de corona-apps (de la organización Derechos Digitales)
Ficha resumen de COVID-19MX
- COVID-19MX: Aplicación del gobierno federal con información para protección y atención médica oportuna ante el Coronavirus-2019.
- Sitio web: https://coronavirus.gob.mx/
- Android: https://play.google.com/store/apps/details?id=mx.gob.www
- iOS: https://apps.apple.com/mx/app/covid-19mx/id1505632889 (*Actualizamos el enlace disponible para iOS el 23 de abril 2020)
- Costo: Gratis
- Desarrollado por: Unidad de Gobierno Digital
- Publicada en Play Store: 29 de marzo del 2020
- Descargas: al 3 de abril del 2020 cuenta con más de 100 mil descargas
- Fecha del análisis: 2 de abril 2020
Hallazgos y observaciones:
Funcionalidades
La aplicación se limita a cumplir 4 de 5 funcionalidades que describe para facilitar información y atención necesaria y oportuna ante el Coronavirus-19. Las funcionalidades descritas son:
-
- auto diagnóstico
- ubicaciones de clínicas cercanas
- dudas
- consejos
- noticias.
En cuanto a la ubicación de clínicas, la descripción de la app indica que hay un mapa que muestra el domicilio del centro de atención y la ruta para llegar; sin embargo en la versión revisada no está presente el mapa, aunque en la página de la Play Store sí existe una imagen de esta función.
Información de perfil y datos generados
La aplicación COVID-19 MX no genera un perfil de usuario de manera directa ya que solo pide ingresar ciertos datos en los formularios del auto diagnóstico para la identificación de grupos posiblemente infectados debido a su mayor riesgo.
Los datos que solicitan los formulario son los siguientes: (Los marcados con * asterisco son obligatorios)
- Nombre, Primer Apellido, Segundo Apellido
- Edad*
- Género* (Masculino, Femenino, No binario)
- Teléfono*
- Dirección (Estado*, Municipio*, Código Postal, Calle)
- Grupo de pertenencia (Embarazo*, Diabetes*, Hipertensión*, Obesidad*, Padecimiento de alguna enfermedad o consumo de medicamento que baje las defensas*)
Esta información no implica ningún dato personal obligatorio, salvo el número telefónico el cual indica que es utilizado para contactar a la persona en caso de ser necesario, mientras que el resto de datos pertenecen a información que puede ser utilizada con fines estadísticos.
Permisos y accesos solicitados
Los permisos establecidos por la app COVID-19MX son:
- Ubicación
– Ubicación aproximada (por red)
– Ubicación precisa (por GPS/red) - Teléfono
– Ver identidad/estado del dispositivo - Almacenamiento
– Editar/borrar contenido de la SD
– Leer el contenido de tu tarjeta SD - Otras funciones de la aplicación
– Permitir acceso completo a la red
– Ver conexiones de red
– Evitar estado de inactividad
– Recibir datos de Internet
– API de referencia de instalación de Play
– Leer la configuración del servicio de Google
– Controlar la vibración
– Ver conexiones Wi-Fi
De los anteriores permisos: – Ubicación – Teléfono – Almacenamiento, el único requerido durante el uso de la app es “Ubicación” (relacionado a la funcionalidad de ubicar clínicas cercanas). Este permiso es opcional, no afecta otras funcionalidades.
Los permisos “Teléfono” y “Almacenamiento” no son necesarios para las funciones actuales de la aplicación. Estos permisos, en teléfonos con Android 6 o superior quedan deshabilitados por las políticas de seguridad de Android. Al no ser necesarios para las funciones de la app, no deberían estar presentes ya que podrían ser explotados de alguna manera.
Y sobre los permisos de “Otras funciones de la aplicación”, generalmente se encuentran habilitados ya sea porque la aplicación necesita tener acceso a Internet para descargar información o para emitir notificaciones en el dispositivo. Por el objetivo y características de la app COVID-19MX, estos permisos no deberían estar presentes.
Con el fin de comparar esta información, utilizamos la aplicación Exodus la cual analiza aplicaciones para mostrar los permisos que tienen, así como buscar rastreadores incluidos en la aplicación. En el caso de la aplicación COVID-19MX no se encontró ningún rastreador y los permisos concordaron con los descritos anteriormente.
De acuerdo a reportes publicados por usuarios en Twitter, la aplicación se encuentra desarrollada con un motor para aplicaciones móviles (Appcelerator) el cual sería el causante de que la aplicación requiera todos los permisos anteriores aunque no los necesite. Este tipo de desarrollos son comunes en aplicaciones que se desean desarrollar rápidamente, sin embargo, las prácticas de seguridad y privacidad deben estar presentes en todo momento para evitar malas configuraciones en las herramientas de desarrollo que se utilicen y así evitar requerir o solicitar información de más.
Oigans @HLGatell, @SSalud_mx
Está muy bonita su App de #COVID19mx, pero…..Entiendo que había que sacarla rápido, pero está hecha con un “engine” llamado #Appcelerator así que básicamente es una Webapp adentro de un webview.
Hay detalles que considero importantes:
Va 🧵 pic.twitter.com/lLwHwHx2Ar— Underdog1987 (@Underdog1987) April 3, 2020
Así mismo en tweets intercambiados con Ricardo Cortés Alcalá, Director General de Promoción de la Salud del Gobierno de México, nos indicó que el equipo técnico de la Secretaría de Salud se encuentra revisando alcances e hicimos notar que no es una buena práctica generar permisos en un app para “funcionalidades futuras” pues lo correcto es que una persona sepa al instalar una app a qué datos accede y para qué fines.
A ver @HLGatell @SSalud_mx porqué su nueva app recaba todos estos datos de sus usuarios??? Qué quieren lograr con los datos de red, ubicación, almacenamiento y servicios de Google? #COVIDー19 #COVID19mx #covid_19mexico pic.twitter.com/50KX5P94ig
— Juan Manuel (@jm_casanueva) April 2, 2020
Lineamientos de protección de datos personales
Verificando el aviso de privacidad disponible en la aplicación y en el sitio web de la Play Store, ambos nos dirigen a https://coronavirus.gob.mx/ donde no mencionan lineamientos de manejo de datos y privacidad, si no que damos por hecho que se extiende el establecido por la Unidad de Gobierno Digital de la Secretaría de la Función Pública que se encuentra en el pie de página https://www.gob.mx/aviso_de_privacidad.
Si bien el aviso de privacidad que despliega la app, se apega a lo establecido en la ley de datos personales al informar a las personas usuarias sobre el tratamiento de su información, los siguientes puntos de este texto han levantado la alarma:
- Los datos personales pueden ser proporcionados a terceros. (No precisa a quiénes y con qué fines)
- Se refiere a los datos recabados en el cuestionario y omite los datos que la app recaba (y pudiera recabar) del teléfono y otros programas a los que se les otorgue permisos
- Se reserva el derecho a realizar cualquier actualización al aviso de privacidad sin previa notificación.
- Se indica que la Secretaría de Salud no se responsabilidad del uso o mala utilización del contenido de la aplicación.
Es importante recordar que la mayoría de las personas usuarias, especialmente en contexto de crisis, descargan apps para resolver sus necesidades frecuentemente sin reflexionar a detalle sobre qué datos personales otorgan al instalar y utilizar la aplicación. Comúnmente, aunque existan campos no obligatorios, las personas usuarias los llenan, recabando así más datos personales (nombre, teléfono, dirección). Un elemento esencial en el uso responsable de datos es el minimizar los datos que una aplicación recaba y, así disminuir el riesgo de abuso o vulneración de los mismos así como aumentar la confianza de las personas usuarias.
Bajo una perspectiva de manejo responsable de datos y protección de datos personales, cualquier persona debería poder conocer de manera clara, simple y coloquial qué datos genera la app, cuál es el propósito para su generación, quién es responsable de su resguardo y bajo qué términos se pueden compartir los datos personales con terceros. Es decir, los servicios tecnológicos deberían, además de tener un enlace al aviso de privacidad integral, deben expresarlo de manera resumida y entendible en los espacios de descarga y documentación de la misma.
Todas las iniciativas de gobierno, incluidas éstas que se basan en tecnología y manejo de bases de datos personales y de salud, deben ser transparentes, respetuosas con los derechos, y cumplir con medidas que protejan nuestra información. La situación de alerta que enfrentamos frente al COVID-19 no es pretexto para recopilar datos innecesarios, no mejorar las prácticas de protección y desarrollo ético de tecnología para interés público.
Recursos recomendados: