Covid-19, tecnologia i privadesa

Al costat de la preocupació per l’emergència sanitària del covid-19, hi ha una inquietud creixent per la retallada de llibertats que comporta la resposta dels estats. Sovint es posa com a model l’eficiència de la reacció de la Xina i d’altres estats asiàtics, que han explotat a fons les tecnologies de la informació i de les comunicacions per seguir els moviments de la població i els contactes dels infectats. Ara bé, els valors europeus són bastants diferents dels d’aquests països i n’és una bona prova el Reglament General de Protecció de Dades (RGPD) de la Unió Europea, que és capdavanter al món en la defensa de la intimitat de la ciutadania. Com veurem, hi ha mitjans tecnològics per fer compatible la privadesa dels ciutadans i la lluita eficaç contra l’epidèmia en la majoria de situacions.

El passat 20 de març l’European Data Protection Board, un organisme europeu que vetlla pel compliment del RGPD, va emetre una declaració sobre el processament de dades personals arran del brot de covid-19. El text afirma que el RGPD permet a les autoritats competents en sanitat i als empresaris processar dades personals de ciutadans i de treballadors, respectivament, en el context d’una epidèmia, d’acord amb les lleis dels estats membres.

Pel que fa al processament de dades geolocalitzades provinents dels operadors de telecomunicació, la declaració diu que, sempre que es pugui, els estats haurien de fer servir dades anonimitzades, és a dir agregades o pertorbades de manera que no es pugui reidentificar els ciutadans als quals corresponen. Efectivament, els investigadors en tecnologies de privadesa hem elaborat mètodes d’anonimització de dades de mobilitat que permeten de cartografiar el moviment general de la població respectant la privadesa dels individus. Aquestes dades de mobilitat protegides poden assolir una qualitat suficient per alimentar els models epidemiològics i de risc de propagació de malalties.

Malgrat l’esverament que ha provocat en alguns opinadors, l’article 2 de l’ordre de 27 de març del govern espanyol anava en aquesta línia: planteja l'estudi de la mobilitat aplicat al covid-19 basant-se en dades anonimitzades fornides pels operadors de telecomunicació. És cert que l’article 1 anuncia un aplicació mòbil que permetrà saber si el ciutadà és a la comunitat autònoma on diu ser, i li oferirà informació rellevant sobre el territori on és. Amb tot, no sembla pas una geolocalització ni permanent ni detallada com la de Google i d’altres companyies d’internet. Aquestes empreses sí que tenen un coneixement exhaustiu i instantani de les nostres anades i vingudes. Ho demostra l’informe de Google del 3 d’abril sobre la mobilitat mundial durant la crisi del coronavirus. Val a dir que l’informe dona estadístiques agregades i no permet de deduir els moviments de ningú en particular, però l’empresa té les dades individuals de cadascun de nosaltres. Si hi reflexionem, és gràcies a aquestes dades que pot mostrar els embussos en temps real a la seva aplicació de mapes. Mentre que recelem dels estats –potser amb raó quan demostren baixa qualitat democràtica–, tenim menys manies a l'hora de cedir les nostres dades a les grans companyies d’internet –que l’únic vot que respecten és el dels seus accionistes.

D’altra banda, des de fa tres o quatre anys hi ha una recerca frenètica, finançada en part per les empreses d’internet, per fer que la intel·ligència artificial sigui respectuosa amb la privadesa. S’han desenvolupat algorismes d’aprenentatge profund que poden aprendre de les dades privades que les persones tenen en els seus mòbils sense que hagin de revelar ni de cedir aquestes dades. És l’anomenat aprenentatge federat (federated learning). En el context del covid-19, els pacients podrien tenir una aplicació que seguís la seva salut i la seva resposta a un cert tractament, i els epidemiòlegs o els governs podrien aprendre federadament quina és l’efectivitat de diferents tractaments sobre la població en general.

Ara bé, aquests darrers dies epidemiòlegs i governs ja parlen d’anar més enllà de fer mapes de mobilitat o d’aclarir si els tractaments van bé. Es tractaria de fer servir la geolocalització dels telèfons mòbils per seguir no només els moviments dels infectats, sinó determinar amb qui han tingut contacte. En aquest cas, és obvi que caldria processar dades de persones amb noms i cognoms, és a dir, dades individuals no agregades ni anonimitzades. La directiva e-Privacy i el RGPD preveuen que excepcionalment els estats membres puguin regular aquest processament en nom de la seguretat pública i només si és una mesura necessària i proporcionada. En concret, cal adoptar el rastrejament menys intrusiu possible, sotmetre’l a l’escrutini públic, mantenir-lo només mentre duri la crisi sanitària, no retenir les dades un cop passada la crisi i abstenir-se de fer-les servir per a finalitats que no siguin la lluita contra l’epidèmia.

Des del projecte europeu SoBigData++ estem promovent un manifest a favor d’una solució descentralitzada compatible amb la privadesa personal, en la qual el mòbil del ciutadà tindria un dipòsit personal de dades amb les seves coordenades de moviment i els pseudònims dels mòbils que té a la vora. El ciutadà decidiria quines d’aquestes dades vol transferir a les autoritats i també podria decidir d’integrar-se en iniciatives d’aprenentatge federat o de càlcul distribuït que aprofitessin les seves dades privades sense requerir-ne la cessió.

Com a ciutadans, no hem d’acceptar que ningú faci servir la por a la malaltia per trepitjar els nostres drets civils. En concret, tenim prou tecnologies de privadesa per fer compatibles la salut pública i la nostra intimitat. Sense aquesta darrera, perillen la llibertat d’expressió i la mateixa democràcia.