Així funciona el rastreig de contactes per Bluetooth

El govern de l’Estat, per boca de la totpoderosa vicepresidenta econòmica, Nadia Calviño, va anunciar dimecres que prepara amb el de les Canàries portar a terme durant el mes de juny en una de les illes de l’arxipèlag una prova pilot d’una aplicació mòbil que avisi els usuaris si en els dies anteriors han estat a prop d’alguna persona que hagi declarat ser portadora del virus del covid-19 i, per tant, poden estar infectats. Segons el ministeri, s’han triat les Canàries perquè són dels territoris que van més avançats en el desconfinament i pel gran pes del turisme en la seva economia. En tractar-se d’un espai geogràfic d’accés controlat, l’elecció d’illes per fer aquest tipus de proves és freqüent: el govern britànic ha fet el mateix, en el seu cas amb l’illa de Wight.

Les autoritats espanyoles no han concretat gaires més detalls sobre la prova, però han destacat a l’ARA que l’aplicació farà servir un sistema descentralitzat que serà respectuós amb la privadesa dels ciutadans. Aquests atributs, combinats amb el fet que, poques hores abans de la intervenció de Calviño, Apple i Google anunciessin la disponibilitat de les eines de software per incloure en els seus respectius sistemes operatius mòbils la funció de rastreig de contactes per Bluetooth, porta a pensar que l’aplicació del govern espanyol farà servir finalment aquestes eines, igual que faran les d’altres governs, fins a un total de 22, entre els quals hi ha Suïssa i Alemanya. De fet, Apple ja va publicar el mateix dimecres la versió 13.5 del sistema iOS –aplicable a tots els models d’iPhone a partir del 6S–, que conté precisament els elements que les aplicacions de rastreig de contactes per Bluetooth necessiten per funcionar de manera eficient.

Les eines en qüestió són el que s’anomena API (interfície de programació d’aplicacions), uns mòduls de programari que faciliten l’accés de les aplicacions a funcions concretes del dispositiu; en aquest cas, comunicar-se amb altres aparells mitjançant la xarxa de curt abast Bluetooth sense haver d’engegar manualment l’aplicació ni que aquesta hagi d’estar funcionant en primer pla consumint massa bateria. Les API no són d’accés públic: només les poden invocar les autoritats sanitàries estatals que ho demanin a Google i Apple, i els desenvolupadors que aquestes autoritats contractin per crear les seves aplicacions.

El sistema es basa en el protocol DP-3T (sigles en anglès de rastreig de proximitat descentralitzat i respectuós amb la privadesa), desenvolupat per diversos centres europeus de recerca sota el lideratge de l’Escola Politècnica Federal de Lausana (EPL), a Suïssa, i funciona així: cada telèfon emet periòdicament per Bluetooth una balisa o codi identificador, no vinculat a la identitat de l’usuari i que canvia cada 10 o 20 minuts. Al mateix temps, es manté a l’espera de rebre les balises del mateix tipus que emeten altres telèfons situats a prop seu. Quan en rep alguna, la guarda internament. Una vegada al dia, tots els telèfons descarreguen del servidor de l’autoritat sanitària estatal una llista de les balises generades pels telèfons de les persones que han declarat –mitjançant la mateixa aplicació– ser portadores del virus, i les compara amb la llista de les que té guardades. En cas de trobar alguna coincidència, l’aplicació l'hi notifica, generalment donant-li instruccions per tal que es confini o bé vagi a fer-se la prova immunològica. El contingut d’aquestes notificacions el decideix l’autoritat sanitària de cada estat, d’acord amb els procediments que tingui establerts.

Igualment, és cada estat qui decideix quins paràmetres aplica per decidir quin grau de contacte es considera sospitós d’haver produït un contagi. En general es considera proximitat que els dos telèfons hagin estat a menys de dos metres de distància durant 15 minuts o més, i les balises dels usuaris positius de covid-19 caduquen a les dues setmanes.

La privadesa del DP-3T es deriva de l’ús de balises que no identifiquen l’usuari ni el terminal, i la descentralització s’aplica comparant les balises al propi dispositiu, no al servidor, com explica a l’ARA la investigadora gallega Carmela Troncoso, responsable del projecte DP-3T a l’EPL. No és el que fan altres sistemes centralitzats, com el PEPP-PT, que el govern espanyol volia adoptar inicialment, i derivats com el que està desplegant el Regne Unit (que ja ha dit que conservarà les dades dels usuaris més enllà del període d’ús de l’aplicació, i que a sobre necessita que l’aplicació s’executi en primer pla, cosa que consumeix una quantitat desmesurada de bateria) o França (que va arribar a demanar a Google i Apple que relaxessin les mesures de protecció de dades personals; no ho va aconseguir). En altres llocs del món ja s’han detectat abusos de manca de privadesa en les aplicacions de rastreig de contactes: la de l’estat nord-americà de Dakota del Nord envia la geolocalització de l’usuari al servei Foursquare i assigna al terminal un identificador publicitari de la plataforma de Google.

Les aplicacions basades en DP-3T, quan arribin, no haurien de tenir aquests inconvenients. Tot i això, no seran eines infal·libles per protegir-nos del virus. Per començar, cal que una proporció significativa de la població –alguns epidemiòlegs parlen del 60%– descarregui i instal·li l’aplicació als seus telèfons. També és imprescindible que les persones confirmades com a infectades acceptin notificar la seva condició al sistema, pujant al servidor de Sanitat la balisa que ho indica. Per altra banda, la notificació de proximitat –l’actual denominació políticament correcta del rastreig de contactes, que sonava massa intrusiu– només facilitarà la circulació entre països diferents –és a dir, el turisme– si els diversos estats comparteixen les llistes de balises corresponents a infectats, i la diversitat de sistemes ho fa molt difícil: ara mateix, potser podrien venir turistes alemanys i suïssos, però no britànics ni francesos. La cirereta d’aquest pastís de condicionants és que ni tan sols ens podem refiar completament del Bluetooth: els dos enginyers suecs que van inventar aquesta tecnologia l’any 1990 a Ericsson diuen que no va ser pensada per mesurar amb precisió la distància entre aparells, i per tant pot arribar a generar nombrosos falsos positius. Troncoso ho explica així: "La població ha d’entendre que amb aquestes aplicacions enviarem a casa persones que no estan infectades".