Covid-19: Open data de México en GitHub y algunas consideraciones sobre privacidad

Antes de comenzar hoy, quisiera solamente hacer alusión a los repositorios o base de datos de covid-19 de los casos reportados en México, disponible en formato open data en GitHub.

En este repositorio se busca archivar y poner en un formato más accesible la información oficial publicada por la Secretaría de Salud Federal de México (SSA).

Actualmente se archivan tres tipos de documentos: Los Comunicados Técnicos Diarios (CTD) y las tablas de casos positivos y sospechosos que le acompañan, los datos abiertos publicados por la SSA sobre los pacientes confirmados y sospechosos de COVID-19 y (esporádicamente) archivos de la SSA respecto a vigilancia epidemiológica.

Para facilitar el uso de los datos se vacían las tablas de casos del CTD a formato .csv, se actualiza la tabla resumen histórica y se agregan notas sobre consideraciones y discrepancias de los datos.

¡Muchas gracias a carranco@ciencias.unam.mx por este esfuerzo!

***

Como recordarán, hace exactamente  un mes, el 1 de abril, se lanzó la aplicación COVID-19MX. No me dispongo a hacer un review de la app, pero sí a recomendar el análisis que hicieron en SOCIALTIC, respecto a los permisos y accesos que solicita al instalarse en el teléfono, información que se genera durante el uso de la app, relación entre los datos recabados y el objetivo de la aplicación, relación entre los permisos solicitados y sus funcionalidades, y los lineamientos de protección de datos personales.

Tal y como señalan en SOCIALTIC, si bien estas iniciativas parecen tener las mejores intenciones ante la emergencia sanitaria, es importante que brinden claridad sobre el manejo responsable de los datos, las medidas y controles de seguridad y privacidad, así como los límites y alcances de estas iniciativas. La ausencia o información incompleta sobre estos aspectos despierta la preocupación y desconfianza por parte de comunidades técnicas, usuarios y organizaciones, con antecedentes en el abuso de tecnologías de vigilancia por parte de gobiernos, el uso extendido de técnicas de rastreo a través de teléfonos celulares y la obtención y explotación de datos para fines comerciales.

Esta app se limita al auto diagnóstico.La aplicación COVID-19 MX no genera un perfil de usuario de manera directa ya que solo pide ingresar ciertos datos en los formularios del auto diagnóstico para la identificación de grupos posiblemente infectados debido a su mayor riesgo. Sin embargo, adelantándonos un poco y aunque no encontré evidencia de que se esté trabajando en esta dirección, es posible que eventualmente se trabaje con apps de trazamiento de contactos vía la API que comentábamos ayer, lo cual tendría mayores implicaciones y nos obliga a permanecer vigilantes respecto al manejo de los datos y la información asociada. Por lo pronto, hay una colaboración entre empresas de telefonía y autoridades gubernamentales para monitorear el movimiento de quienes residen en la Ciudad de México:

"Se indicó que las empresas telefónicas brindarán acceso a las antenas de los teléfonos celulares para que, a través de la Agencia Digital de Innovación Pública (ADIP), se mantenga un monitoreo del movimiento y contacto entre las personas en la Ciudad de México, con el objetivo de identificar si las personas cumplen con el aislamiento, y así reducir los contagios", señaló la secretaria de Salud, Oliva López Arellano. El texto completo aquí.

Dejando de lado discusiones estériles sobre tecno-optimismo, lo cierto es que a la hora de levantar restricciones y regresar a una cierta "normalidad" será necesario el trazamiento de contactos, y aunque quizá no podrá implementarse como en algunos países asiáticos, en los que el status de salud y los lugares visitados (garantía de no contagio) son el pasaporte para circular o no, sí podrían ser clave para un retorno menos truculento a las actividades diarias, los paseos por el parque, las visitas al cine, aunque todo suene un poco apocalíptico.

La verdad es que lo que estamos viviendo lo es, y quien no lo crea, solo encienda un canal de noticias de Estados Unidos, donde la cuenta va en más de 65,000 muertos y muestra poca señales de ceder. Cuando veo las imágenes de la gente haciendo fila en los oxxos para comprar cerveza, revisando mi TL de Twitter, y levanto la mirada para ver a Andrew Cuomo, gobernador de Nueva York, mientras pasan imágenes de TRAILERS en los que están los cuerpos de víctimas de COVID-19 porque las funerarias no se dan abasto, ya no sé que pensar. Poco a poco me voy quedando sin palabras. Con que no me de por grabarme tocando la guitarra y cantando que los voy a multar si no se quedan en casa.

Mañana continuamos.

Trazamiento de contactos, segunda llamada: API en camino

El día de hoy Apple y Google liberaron la primera semilla de la API (Application Programming Interface) de notificación de exposición a COVID-19 para desarrolladores de aplicaciones de trazamiento de contactos.

Ambas firmas liberaron la primera versión de dicha API, orientada a desarrolladores, con el objetivo principal de obtener retroalimentación por parte de éstos, quienes la utilizarán para crear nuevas aplicaciones de trazamiento de contactos y notificaciones para agencias públicas de salud. Se trata de un grupo específico y limitado. 

¿Por qué es importante esto? Es importante recordar que apenas hace dos días la NHS (National Health Services) le dijo NO al plan de Apple y Google. El gobierno de Reino Unido ha estado trabajando en una herramienta para rastrear digitalmente y advertir a las personas que han estado cerca de alguien que exhibe síntomas de coronavirus, pero no seguirá el modelo propuesto por estos gigantes, pero sí usarán API´s estándar y Bluetooth LE (Low Energy).

En ese caso, la tecnología usa Bluetooth LE para registrar todos los celulares que han estado próximos, y enviar advertencias anónimas a todos los usuarios que estén en riesgo si encuentra que uno de los dueños de los teléfonos está infectado con Covid-19. A diferencia de GPS o Wi-Fi, Bluetooth sólo rastrea los dispositivos que han estado próximos, en lugar de rastrear las ubicaciones de los usuarios. El método es similar a la aproximación de Google y Apple, excepto que en este caso la app correría en el background, con menos afectación para la batería, y otra cosa muy importante, funcionaría con un modelo descentralizado. UK seguirá un modelo centralizado, lo que significa que cuando un usuario reporte síntomas de covid-19 la advertencia se envía a un servidor, mismo que decide a quién enviar alertas entre los contactos que la persona infectada tiene registrados.

En el modelo descentralizado, los usuarios que están en contacto prolongado intercambian sus respectivos key codes anónimos, y si uno de los usuarios reporta que se siente enfermo, el key code se envía a una base de datos central. Entretanto, el teléfono del segundo usuario regularmente revisa esta base de datos para encontrar key codes de alerta, y envía esta cuando reconoce el de un usuario infectado. El "match", por tanto, ocurre en los dispositivos de los usuarios, en lugar de en una base de datos centralizad. No es perfecto, pero sí más privacy-friendly al menos en la superficie, pues elimina el riesgo de des-anonimizar los datos. Por otra parte, una base de datos central es potencialmente más susceptible al hacking.

La API

Este es un lanzamiento de prueba orientado a facilitar la oportunidad de desarrollo y retroalimentación con un poco de ventaja a su disponibilidad pública, que se planea para mediados de mayo, para cuando los desarrolladores podrán usarla de manera masiva en dispositivos en los que se instalen las apps públicas liberadas a través de las tiendas de Google y iOS.

Se espera que mañana ambas firmas ofrezcan detalles adicionales de la API y su lanzamiento, incluyendo código que muestre cómo opera en la práctica. Conforme esté disponible, se actualizarán las actualizaciones a la documentación, y se añadirá acceso a nuevos desarrolladores, aunque el acceso a esta API se limita a autoridades de salud pública autorizadas.

Los documentos con el detalle de las especificaciones están disponibles en los respectivos sitios web para desarrolladores de Apple y Google, e incluyen los términos de protección de la privacidad del usuario, y la medida en que los desarrolladores pueden maniobrar en este aspecto.

Las autoridades de salud pueden definir y calcular el nivel de riesgo de exposición para los individuos con base en sus propios criterios, que varían entre organizaciones (distancia aproximada de un individuo con un paciente confirmado de COVID-19, duración de la exposición). Los desarrolladores pueden personalizar las notificaciones con base en estos parámetros para asegurar que las alertas correspondan al riesgo calculado.

Esta beta también incluye un nuevo setting para usuarios que permite marcar acceso a notificaciones de COVID-19 a apps .

Apple y Google anunciaron la API combinada y la eventual característica de rastreo de contactos a nivel sistema el 10 de abril. La tecnología está diseñada para preservar la privacidad, asegurando que las IDs sean rotativas y aleatorias, nunca enlazadas a la información identificatoria de un individuo específico. 

Hay mucho que decir sobre este tema, la privacidad y la protección de los datos personales.

Continuará mañana...