Esta columna fue publicada originalmente en el sitio web de la ONG de Derechos Digitales.
Gran revuelo ha causado la denuncia realizada respecto a una aplicación distribuida por la Subsecretaría de Telecomunicaciones (Subtel) chilena, que podría vulnerar la privacidad de quienes la utilizan. ¿De qué se trata todo esto? Te lo explicamos a continuación.
La app:
A partir del 6 de febrero, cambiará en Chile la forma de marcar los número telefónicos, lo que en la práctica significa agregar 9s y quitar 0s. Para facilitar este proceso, Subtel encargó el desarrollo de una aplicación que pueda realizar este cambio de forma automática.
La aplicación se llama “Subtel – Nueva forma de marca” y fue desarrollada por la empresa Cursor S.A.
La denuncia
Fernando Lagos (zerial), Spect Research y Alejandro Vera analizaron la aplicación de forma independiente y descubrieron que esta compartía datos con un servidor que no era de la Subtel, sino de la empresa privada que produjo la aplicación.
Los datos compartidos serían:
Número de contactos totales.
Número de números de teléfono totales.
Número de contactos convertidos.
Número de números de teléfono convertidos.
Ubicación del dispositivo móvil.
UUID del dispositivo móvil.
La controversia nace por estos dos últimos datos, la ubicación del dispositivo móvil y la UUID.
Fernado Lagos además notó que la información se transmite como texto plano, sin ningún tipo de cifrado como medida de seguridad.
¿Qué es la UUID?
Es un número que identifica al dispositivo y que en el caso del sistema operativo Android solamente puede cambiarse realizando un reseteo completo del aparato (esto no sería igual para los usuarios de iOS).
Esto significa que con los datos aportados por la app, la empresa que los compila podría conocer la ubicación exacta de un dispositivo específico.
Los problemas:
En resumen, los denunciantes dicen que no hay ninguna mención a la empresa Cursor S.A. en las condiciones de uso de la aplicación, por lo que se desconoce su existencia como intermediarios en el tratamiento de datos personales y su política de privacidad; que la app recolecta más datos de los necesarios y, por último, que la información que envía no está cifrada.
La respuesta de Subtel
La Subsecretaría de Telecomunicaciones ha sido enfática en señalar que la aplicación no recolecta datos personales y que la información que se recoge es con fines estadísticos, para medir la efectividad y el alcance de la campaña.
Frente a la respuesta de Subtel, Spect Research y Alejandro Vera han cuestionado la idoneidad y proporcionalidad de utilizar el UUID como forma de medir el uso de la aplicación.
Pero quizás la discusión más interesante es respecto al nivel de protección que estos datos demandan. Datos, metadatos y la protección de la privacidad
El subsecretario de telecomunicaciones, Pedro Huichalaf, respondió a las críticas señalando que la aplicación de Subtel no colecta datos personales, definiéndolos como “aquel que identifica o hace identificable a una persona”.
La pregunta lógica es: ¿hace identificable a una persona la UIDD?
En la medida en que este dato permite individualizar un dispositivo Android, podríamos sospechar que su tratamiento requeriría los resguardos de un dato personal. Pero además debemos considerar el conjunto de medios necesarios que pueden ser utilizados por el responsable del tratamiento de los datos (Cursor S.A.) para identificar a una persona.
Tomemos el caso del dato “ubicación del dispositivo movil”. Por si mismo, es un dato que revela poco. Si lo estudiamos durante un periodo de tiempo, podríamos establecer patrones de desplazamiento: qué lugares de la ciudad se visitan con mayor frecuencia. Si lo cruzamos con el dato “hora”, podemos perfilar de mejor manera a la persona: dónde vive, dónde trabaja o estudia, a qué hora sale y vuelve a su casa, a dónde va el fin de semana, etc.
Si cruzamos el UUID con la información que podemos determinar a partir del dato geolocalización del dispositivo, identificar a una persona no es complicado, por lo que el estándar del tratamiento de este dato debiese ser alto. Más todavía si consideramos la posibilidad de cruzar esta información con otras bases de dato que posea Cursor S.A.
Al respecto, es interesante la lectura que ha hecho, por ejemplo, la legislación española respecto a la IP como un dato personal, lo que podría homologarse al caso de la UUID.
Subtel ha argumentado que el contrato entre la subsecretaría y la empresa impide a esta última transferir o vender estos datos, lo que está bien, pero nos desvía del punto central: la privacidad debería estar dada por diseño, siendo una de las preocupaciones centrales de cualquier política pública.
Nadie está acusando a Subtel de actuar de mala fe o conspirar para acceder a información personal de los usuarios de la aplicación. Pero, ante los problemas señalados, pareciera ser que su respuesta –negar todo y ponerse a la defensiva- carece de la necesaria delicadeza, diplomacia y seriedad que requieren asuntos de esta índole.
Ante dudas serias y razonables respecto a la aplicación, formuladas por expertos trabajando de forma independiente, esperamos que Subtel refuerce su compromiso con la ciudadanía y tome cartas en el asunto, de modo que asuma y repare cualquier falencia que afecte el derecho de los ciudadanos al debido resguardo de sus datos personales.
