- Global Voices en Español - https://es.globalvoices.org -

Aplicación de seguimiento de COVID en Indonesia PeduliLindungi: ¿Cuidar y proteger?

Categorías: Asia Oriental, Indonesia, Derechos humanos, Medios ciudadanos, GV Advox
[1]

Image via EngageMedia

Este artículo de Siti Rochmah Desyana forma parte de Pandemia de Control [2], serie de artículos cuyo objetivo es fomentar el discurso público sobre el aumento del autoritarismo digital en Asia-Pacífico en el marco de COVID-19. Pandemia de Control es una iniciativa de EngageMedia, en colaboración con CommonEdge. Esta versión editada del artículo se reproduce en Global Voices en virtud de una asociación de contenidos.

Mientras la pandemia de COVID-19 continúa en Indonesia, la aplicación gubernamental PeduliLindungi sigue siendo parte integral de la vida diaria. La aplicación, cuyo nombre combina las palabras indonesias «cuidar» (peduli) y «proteger» (lindungi), pretende hacer precisamente eso, rastrear y examinar los estados de COVID-19 [3], y dar recursos e información sobre esta enfermedad. Se ha convertido en algo habitual en la vida cotidiana, ya que la mayoría de los restaurantes, negocios y todos los transportes públicos exigen a los usuarios que se «registren» escaneando un código QR a través de la aplicación.

Su existencia se ha convertido en sinónimo y es inseparable de la propia pandemia en Indonesia. Pero la confianza de la gente en la información, el acceso y los recursos que ofrece para protegerse de la COVID-19 puede ir en detrimento de los derechos de privacidad de los datos.

A inicios de julio de 2022, más de 50 millones de personas habían descargado la aplicación de Google Play Store, lo que la convierte en la aplicación médica más importante del país. Pero, a medida que más y más usuarios se registran y usan la aplicación, también ha aumentado la gravedad de las cuestiones relativas a la seguridad de la aplicación y su amplio seguimiento.

En septiembre de 2021, se filtró en internet el certificado de vacunación del presidente indonesio Joko (Jokowi) Widodo, justo un mes después de la presunta filtración [4] de la aplicación de la Tarjeta Electrónica de Alerta Sanitaria de Indonesia (eHAC), que comprometió los datos de 1,3 millones de usuarios. Desde entonces, las filtraciones han estimulado el debate público [5] sobre la seguridad de los datos y la cantidad de información personal que recolecta y guarda PeduliLindungi.

Tras las filtraciones, el Gobierno indonesio ha afirmado que la aplicación ha protegido los datos de todos los usuarios [6], respuesta que no es muy diferente a las anteriores garantías que ha dado tras otras filtraciones similares. PeduliLindungi, por lo tanto, representa potencialmente una amenaza mayor por su uso frecuente, su gran base de usuarios y el tipo único de información que se guarda, mientras deja a las personas con poco o ningún recurso legal para proteger sus datos.

Ritual diario: Cómo PeduliLindungi controla la libertad de movimiento de las personas

Aunque el uso de la aplicación varía según las regiones, no hay ninguna otra plataforma gubernamental con igual escala y alcance. La interfaz principal de la aplicación también se ha integrado en otras 15 aplicaciones orientadas al consumidor [7]; incluso hay planes para convertirla en un monedero digital [8].

Para entrar en cualquier lugar público de Indonesia, primero hay que escanear el código QR requerido [9] del lugar a través de PeduliLindungi o de una aplicación interconectada, como la aplicación regional JAKI de Yakarta [10] y la empresa indonesia GOJEK [11]. La información recolectada –como el nombre legal del usuario, su número de identificación, su susceptibilidad a la COVID-19, su ubicación actual y el tiempo que ha pasado en el establecimiento– se registra y guarda en los servidores de PeduliLindungi. Quienes no se han registrado formalmente en PeduliLindungi o en las otras aplicaciones interconectadas solo pueden entrar en los espacios públicos si muestran certificados de vacunación válidos, que también están alojados en PeduliLindungi y a los que hay que acceder a través de sus portales.

Cuando un indonesio no forma parte formalmente del sistema PeduliLindungi, hay una serie de dificultades  y obstáculos que perturban sus rutinas diarias. Por ejemplo, sin un billete para vacunarse –ya sea por elección o por falta de disponibilidad de la vacuna– no se podrá usar ni entrar libremente en paradas de autobús, estaciones de tren, aeropuertos, mercados, hospitales, edificios de oficinas u otros espacios públicos [12]. Los no vacunados han informado incluso de dificultades [13] para recibir tratamiento en los centros médicos, que dependen de la base de datos PeduliLindungi para acceder al estado de COVID-19.

El uso de la aplicación ahora es necesario, y además socialmente obligatorio para mantener la libertad de movimiento. Estas medidas se justifican para frenar la propagación del COVID-19, pese a las dudas sobre su capacidad para lograrlo [14].

[1]

Los usuarios de PeduliLindungi pueden solicitar certificados de vacunas a través del sitio web. Siempre que se tenga el nombre completo, el número de identificación, la fecha de nacimiento y la fecha y el tipo de vacunación, se puede acceder a los certificados de vacunas de cualquier persona. Captura de pantalla de Siti Rochmah Desyana.

¿Qué tan seguros están los datos?

También hay numerosas preguntas sin respuesta sobre la seguridad digital de PeduliLindungi. Aunque ninguna información clasificada almacenada en línea puede estar completamente segura, el Gobierno indonesio aún no ha tomado las medidas adecuadas [15] para garantizar la seguridad de sus diversas bases de datos.

Cuando se filtró la base de datos del eHAC en 2021, el Gobierno optó por desviar la atención y subrayar que solo el «antiguo eHAC separado [16]» estaba comprometido. El Gobierno se limitó a pedir a los ciudadanos que borraran la antigua aplicación eHAC de sus teléfonos.

PeduliLindungi no escapa a esta falta de responsabilidad. Por un lado, la filtración del certificado de vacunas del presidente solo demostró lo fácil que es obtener cualquier certificado, incluso los ajenos. Para acceder a los datos en la aplicación se necesita el nombre completo, el número de DNI, la fecha de nacimiento y la fecha y tipo de vacunación, información que puede encontrarse fácilmente en las redes sociales o incluso a través de documentos desechados por descuido [17].

En el caso del presidente, los investigadores descubrieron que su información se obtuvo a través [18] de PCare, aplicación independiente del Ministerio de Salud, que usan los proveedores de servicios de salud para publicar los datos de vacunación de un usuario a los servidores de PeduliLindungi. La conexión entre ambas aplicaciones sigue sin estar clara.

El problema se agrava con la interconexión de PeduliLindungi con otras aplicaciones de terceros. Por ejemplo, la aplicación está conectada a Google y a otros proveedores de software de terceros que rastrean la ubicación de los usuarios cuando entran y salen de espacios públicos, y cuando usan transporte público. Una versión anterior de la aplicación móvil PeduliLindungi supuestamente contenía anomalías [19], pues almacenaba datos manualmente dentro de la aplicación y enviaba esos datos a un sitio web externo, no indonesio. La aplicación también había enviado los nombres de los usuarios y los tipos de dispositivos a una filial de PT Telkom [20], empresa estatal de telecomunicaciones de Indonesia con servidores en Singapur.

Pero, a pesar de las pruebas de que las aplicaciones de terceros pueden haber provocado filtraciones de datos en otras aplicaciones gubernamentales [21], la última política de privacidad de PeduliLindungi mantiene una cláusula de no responsabilidad por «filtraciones o accesos no autorizados», que incluye el uso de los datos de PeduliLindungi por parte de terceros.

[1]

Limitación de responsabilidad de PeduliLindungi en la versión móvil de la aplicación. Captura de pantalla de Siti Rochmah Desyana

Continúa la falta de protección, regulación y responsabilidad

A pesar del gran número de contagios, la opinión pública sigue debatiendo si la vigilancia y el seguimiento de PeduliLindungi son necesarios para frenar la propagación del COVID-19. Independientemente del lado del debate, las respuestas del Gobierno indonesio a las pasadas violaciones de datos y otros sucesos preocupantes no abordan la raíz del problema: la seguridad de los servidores de PeduliLindungi y la privacidad de los datos de sus usuarios.

El Gobierno nunca publicó los resultados de la auditoría de seguridad inicial de PeduliLindungi, que habría informado al público de la seguridad de la aplicación antes de su implantación.

PeduliLindungi tampoco está registrada en los Organizadores de Sistemas Electrónicos [22] del propio Gobierno, requisito para los servidores públicos según la normativa.

Los ciudadanos están cargando una vez más el peso de esta falta de protección, regulación y responsabilidad. Los indonesios han sacrificado su libertad de movimiento y su privacidad, y han confiado sus datos al Gobierno, bajo la premisa de que así se evitará una mayor propagación del virus y se allanará el camino hacia el fin de la pandemia.

Y lo que es peor, Indonesia no cuenta actualmente con una legislación específica sobre protección de la privacidad de datos. Aunque hay disposiciones que regulan el consentimiento para usar datos individuales, están dispersas en varios niveles de la normas.

El reglamento ministerial vigente sobre la protección de datos privados en los sistemas electrónicos es más bien una pauta que no contiene cláusulas punitivas ni de consecuencia para quienes infrinjan los términos de la norma. Aunque existe un proyecto de ley de protección de datos personales, sigue estancado en las deliberaciones [23] de la Cámara de Representantes, y hasta ahora se han introducido pocas mejoras.

Mientras PeduliLindungi y el Gobierno continúan con sus operaciones a tientas, y mientras estos asuntos se esconden bajo la alfombra, es necesario preguntarse: ¿PeduliLindungi está cuidando y protegiendo realmente al público indonesio?

Siti Rochmah Desyana es observadora de asuntos de derechos humanos y está especialmente interesada en las cuestiones de igualdad y justicia. Actualmente trabaja en el Foro Internacional de ONG para el Desarrollo de Indonesia (INFID) en el programa In-Equality, y escribe sobre el mundo en su tiempo libre.