Los pasaportes sanitarios de vacunación pueden facilitar el regreso a la normalidad, pero también existen preocupaciones sobre qué tipo de datos personales recopilan y qué tan bien los protegen. Nueva York es un modelo que vale la pena analizar.
Durante la pandemia del COVID-19 la tecnología ha apoyado muchos procesos. El uso de aplicaciones como comprobantes de vacunación y como validación de resultados de test son algunos ejemplos, pero han despertado preocupaciones en lo que refiere a privacidad y seguridad.
A medida que los países, estados y ciudades reabren y permiten reuniones masivas y eventos en espacios cerrados, muchos exigen – previo a la entrada – certificados de vacunación o que confirmen el resultado negativo de un test. Si bien muchas autoridades han evitado ir en contra de los derechos de los ciudadanos al implementar que la vacunación sea un requisito para llevar una vida normal, como cenar en el interior de un restaurante o asistir a un concierto o espectáculo, la variante Delta los está haciendo reconsiderar.
La necesidad de utilizar pasaportes sanitarios que demuestren que una persona recibió la vacuna está creciendo y presenta dos desafíos. Ante ello, ESET analiza el derecho a la privacidad y cómo se puede utilizar la tecnología para ofrecer de forma segura la funcionalidad requerida.
“Tener que declarar que ha recibido una vacuna puede verse como una posible infracción a la privacidad de una persona al tener que compartir datos médicos personales con la persona y la organización que necesitan verificar esta información. Antes de subirse al tren de la privacidad y objetar esta medida, hay que tener en cuenta que la información sobre las vacunas recibidas ya está siendo compartida: podemos decir que el 99% de los estudiantes de escuela en los Estados Unidos y otros países han recibido al menos una vacuna, incluidas las que protegen contra el sarampión, las paperas y la rubéola, la poliomielitis y la difteria. Hay algunas exenciones por razones médicas, religiosas o filosóficas, pero la mayoría de los estudiantes han sido vacunados”, menciona Tony Anscombe, Chief Security Evangelist de ESET.
Debido a la variante Delta y al nuevo aumento en las infecciones por COVID-19, el alcalde de la ciudad de Nueva York (NYC), Bill de Blasio, anunció recientemente que para los trabajadores y clientes de restaurantes y gimnasios que realicen su actividad en espacios cerrados será requisito presentar certificado de vacunación.
NYC ofrece varias opciones para comprobar el estado de vacunación: la tarjeta de registro de vacunación de los Centros para el Control y la Prevención de Enfermedades (CDC), la app Excelsior Pass o la aplicación NYC COVID SAFE, la última es la opción para los visitantes de la ciudad de Nueva York. Es inusual que una sola autoridad adopte tres soluciones. Cada uno de estos sistemas, o tarjetas, ofrece diferentes niveles de verificación, pero todos son aceptados para ingresar a la ciudad de Nueva York cuando sea necesario.
Aquí están las diferencias:
– Tarjeta de registro de vacunas de CDC – Es una pequeña tarjeta de papel, un poco más grande que una tarjeta de crédito, que incluye el nombre y apellido, fecha de nacimiento, y los detalles del tipo de vacuna, incluyendo la primera y la segunda dosis. Se supo que médicos, bares y restaurantes han estado vendiendo tarjetas falsas por tan solo U$20. Una tarjeta de papel sin validación de identidad no parece ser tan útil como comprobante.
– App NYC COVID SAFE: la aplicación toma una fotografía del registro de vacunación de los CDC o su equivalente internacional y la almacena como una imagen; esta imagen se convierte en un registro digital de vacunación. Sería similar al caso anterior.
– Excelsior Pass, una solución desarrollada por IBM que utiliza el estado de Nueva York con blockchain y tecnología de cifrado para garantizar que los datos personales se mantengan privados y seguros. Los usuarios deben registrarse utilizando los datos proporcionados al momento de la vacunación: nombre, fecha de nacimiento, código postal y número de teléfono. Esto otorga acceso al estado de vacunación del usuario en la base de datos de vacunación del estado de Nueva York. Luego, la aplicación crea un pase escaneable; contiene un código QR, nombre y fecha de nacimiento. El defecto que señalan desde ESET es que el pase no identifica al titular del dispositivo como la persona que recibió la vacuna; para una verificación verdadera, se necesitaría ver una prueba oficial de identidad que tenga una foto de la persona, como una licencia de conducir o un pasaporte. Esto abre la aplicación al fraude, ya sea a través de una copia del código QR y los detalles capturados desde otro dispositivo o que el usuario se haya conectado con la información del registro de vacunación de otra persona.
“Muchos gobiernos de todo el mundo han adoptado, o se espera que adopten, aplicaciones y soluciones similares a las que eligió la ciudad de Nueva York. Espero que la mayoría use algo similar al Excelsior Pass, donde los datos del usuario se verifican para crear el pase y luego solo se almacena dentro del registro del pasaporte de vacunación en el dispositivo el código QR y datos mínimos del usuario, como el nombre, la fecha de nacimiento y la fecha de vacunación. El gobierno canadiense ha anunciado recientemente el uso de un sistema similar; la propuesta en este momento es incluir los datos mencionados y qué vacuna recibió la persona, lo que puede servir para viajes internacionales, pero a nivel nacional no estoy seguro de por qué se requiere este punto de datos”, agrega Anscombe.
¿Cómo proteger tus datos al momento de elegir una app como credencial de vacunación?
Cualquiera que sea la solución que ofrezca el gobierno, estado o proveedor de atención médica, debe ofrecer privacidad y seguridad de manera predeterminada, al tiempo que le brinda a la persona que necesita verificar su estado de vacunación datos suficientes para estar seguro de que se es la persona que recibió la vacuna o realizó un test.
Las características que ESET sugiere verificar si se está contemplando el uso de una aplicación como credencial sanitaria digital son las siguientes:
– La creación del pasaporte sanitario debe verificar la solicitud con los registros médicos. Solo se utilizan los datos mínimos requeridos para crear el pasaporte: nombre, fecha de nacimiento y fecha de vacunación. Suficiente para validar la vacunación y, si es necesario, para validar la identidad frente a otra fuente, como una licencia de conducir.
– La comunicación y cualquier dato almacenado deben estar cifrados.
– La política de privacidad debe indicar el propósito de la aplicación y que no se comparte información personal con terceros. No se permite el seguimiento de la ubicación ni la recopilación innecesaria de datos, que no sean los datos del dispositivo, con el fin de mejorar la experiencia de la aplicación como es normal.
– Confirmación por parte del titular del pase cuando se escanea el pasaporte para su verificación.
– Solo descargar aplicaciones de una fuente oficial, como la App Store o Google Play.
“En países que han adoptado GDPR o una legislación de privacidad similar, como CCPA, las aplicaciones deben estar sujetas a la regulación de privacidad para garantizar que el sujeto de los datos, el individuo, tenga la privacidad y seguridad necesarias”, concluyó el experto de ESET.
