Por: Julie Brill, vicepresidenta corporativa para asuntos regulatorios y privacidad a nivel global y directora de privacidad; Peter Lee vicepresidente corporativo de investigación e incubación.
Microsoft se ha unido con autoridades y proveedores de atención médica, investigadores, organizaciones no lucrativas y gobiernos nacionales, estatales y locales alrededor del mundo en nuestra misión compartida de desarrollar soluciones para la pandemia de COVID-19. Nos hemos asociado con el Centro de Control y Prevención de Enfermedades (CDC, por sus siglas en inglés) de Estados Unidos en una herramienta de auto revisión para Coronavirus, trabajamos de manera directa con hospitales para protegerlos de ransomware, lanzamos un rastreador de Coronavirus en Bing, brindamos IA para decodificar la respuesta del sistema inmune a COVID-19 y no dejaremos de embarcarnos en muchos otros esfuerzos científicos, técnicos y logísticos para ayudar a la comunidad global a navegar nuevos desafíos y necesidades.
A medida que los países y las compañías se enfocan en tecnologías como detección, seguimiento y prueba para combatir la pandemia, es crítico que también protejamos la privacidad de las personas. Ahora, ofrecemos siete principios como ideas a considerar a media que nos movemos a las siguientes fases para ayudar a combatir esta pandemia.
Gobiernos, autoridades de salud pública e industrias que abarcan a todo el planeta están comprometidos en la dura e importante labor de identificar una ruta hacia reunir de nuevo a la sociedad. A través de detectar individuos que están infectados, dar seguimiento a aquellos con los que han tenido contacto de manera reciente y poner a disposición las pruebas a aquellos contactos podría jugar un importante rol en manejar la siguiente fase de COVID-19 alrededor del mundo. Como con todos los aspectos de la vida moderna, las tecnologías digitales tienen más probabilidad de ser utilizadas para detección, seguimiento y pruebas. Esto requiere de un cuidado especial, ya que los datos sensibles sobre ubicación y estado de salud podrían estar involucrados.
Preservar la privacidad a medida que desarrollamos e implementamos estas soluciones técnicas será crítico. A continuación, hay siete principios de privacidad que ofrecemos para gobiernos, autoridades de salud pública, académicos, empleadores e industrias para que los tomen en consideración a medida que avanzamos hacia la siguiente fase de detección, seguimiento y pruebas, y utilizamos tecnologías similares desarrolladas para hacer frente a la pandemia de COVID-19.
- Obtener un consentimiento significativo al ser transparentes sobre la razón de recolectar datos, qué datos son recolectados y por cuánto tiempo se conservan. Los datos sólo deben ser recolectados si hay consentimiento y utilizados en la manera explicada cuando la gente toma la decisión de participar. La información clara y amigable para el usuario sirve para ayudar a promover la participación voluntaria y puede garantizar que todos los que interactúan con la tecnología toman decisiones informadas para participar en la recolección de datos y están conscientes del propósito de su recolección, del tipo de datos que serán recolectados, del periodo de tiempo que esos datos serán conservados y de los beneficios de la recolección de estos.
- Recolectar datos sólo para propósitos de salud pública. Los datos recolectados de un individuo para el propósito de dar seguimiento a aquellos que han estado en contacto físico con una persona infectada y otros propósitos de salud pública son propiedad del individuo y deben permanecer bajo el control de esa persona. Como cuestión general, estos datos deberán ser utilizados por autoridades de salud pública sólo para los propósitos articulados por esa autoridad, y no para otras razones no relacionadas. Las autoridades de salud pública deben brindar información referente a los tipos de datos que serán más útiles para combatir la pandemia.
- Recolectar la cantidad mínima de datos. Los datos que son recolectados por las autoridades de salud pública para razones de salud pública, como para dar seguimiento, deben estar limitados sólo para los datos específicos requeridos, y sólo deben ser recolectados y utilizados para el periodo de tiempo identificado como necesario por los expertos de salud pública.
- Brindar opciones a los individuos sobre dónde serán almacenados sus datos. Los datos deben estar en completo control del individuo, incluido el permitir que elija dónde almacenar sus datos, ya sea en un dispositivo o en la nube.
- Proporcionar las medidas de seguridad apropiadas para asegurar los datos. Las medidas confiables de seguridad como la desidentificación, encriptado, identificadores rotativos y aleatorios, identidades descentralizadas u otras medidas similares, deben estar presentes para proteger los datos de las personas de una exposición dañina o de intentos de hackeo.
- No compartir datos o estado de salud sin consentimiento, y minimizar los datos compartidos. Los datos o estado de salud de un individuo no deben ser compartidos con los contactos de la persona o con otros, sin asegurar que hay un consentimiento significativo de parte del individuo. Si dicho intercambio se realiza de conformidad con los requisitos legales, deberá estar limitado de manera estricta por el ámbito de aplicación de la ley. Cuando se notifique a los individuos que tal vez pudieron estar en contacto físico con una persona infectada, sólo compartir una cantidad mínima de datos, necesaria para protegerse contra las inferencias sobre la identidad de la persona infectada.
- Eliminar los datos en cuanto ya no sean necesarios para la emergencia. Los individuos son dueños de sus datos, ya sea que estén almacenados en un dispositivo, en un servidor o en la nube. Las copias de esos datos que fueron transferidas a las autoridades de salud pública para seguimiento y para otros propósitos de salud pública, deben ser eliminados cuando ya no sean útiles para esos propósitos, como se define por las autoridades de salud pública. Las autoridades u otros no deben retener nada de información del individuo para usos o propósitos futuros no relacionados.
Estos principios están diseñados para aplicarse en cualquier solución tecnológica de COVID-19 que involucre la recolección y uso de datos personales como datos de salud, datos precisos de geolocalización, datos de proximidad o adyacencia, y contactos identificables.
Nuestro enfoque está basado en la creencia de que, para que la tecnología tenga éxito, la gente necesita estar en control de sus datos, y ser impulsada con información que explique cómo sus datos serán recolectados y utilizados. Aún más, las compañías necesitan asumir la responsabilidad de esos datos. Legisladores, grupos de defensa y reguladores han comenzado a compartir ideas sobre consejos para preservar la privacidad en cualquier despliegue de tecnología de detección, seguimiento y pruebas. No tenemos todas las respuestas, y queremos que otros contribuyan con ideas adicionales, pero esperamos que nuestros principios ayuden a que la conversación avance.
Necesitamos combatir el COVID-19 y proteger la privacidad
Es comprensible que hacer frente a problemas globales de esta magnitud cree una necesidad urgente de innovadores usos de los datos para combatir la pandemia, y creemos que estas medidas deben tener en cuenta la privacidad. La buena noticia es que, en la actualidad, tenemos más herramientas y métodos que nunca – como privacidad diferencial, aprendizaje federado, identidades descentralizadas, protocolos de seguimiento de preservación de privacidad del contacto y repositorios de código abierto, y otras técnicas para manejar privacidad de los datos – para permitir a la sociedad utilizar los datos para el bien y tener la confianza de que la información personal se mantiene privada.
En los Estados Unidos, la necesidad de esta conversación en medio de una pandemia destaca la urgencia de una fuerte ley federal de privacidad. Un marco legal actualizado que coloque obligaciones en los negocios que recolectan y usan datos personales podría ayudar a brindar las salvaguardas necesarias para que las compañías sepan cómo proteger y respetar los datos personales a medida que crean herramientas y tecnologías para hacer frente a las urgentes necesidades sociales.
Considerar el panorama general
En el contexto de la creciente emoción sobre la posibilidad de aprovechar las tecnologías de cómputo para ayudar a mitigar la pandemia, notamos que los problemas con, y las oportunidades para, ayudar con COVID-19 son complejos. Los avances técnicos, como el uso de teléfonos móviles para recolectar datos de diferentes tipos, necesitan ser considerados en el contexto más amplio de la complejidad del mundo, cómo qué tan cómoda se siente la gente cuando comparte datos, la disponibilidad de recursos para pruebas, la eficacia de los métodos bajo situaciones realistas de uso, y las políticas locales y nacionales en evolución. Las preocupaciones sobre cualquier tecnología o programa incluyen la inclusión y el potencial de una discriminación sistemática basada en numerosos factores. Por ejemplo, diferentes poblaciones podrían enfrentar diferentes desafíos cuando intenten participar en programas centrados en salud con base en acceso a, y familiaridad con, la tecnología, de acuerdo con la raza, edad, educación y nivel de ingresos. Estos también son problemas vitales que se tienen que enfrentar a medida que avanzamos.
Las preocupaciones éticas y de privacidad deben ser consideradas a medida que avanzamos para utilizar los datos de manera responsable para vencer la pandemia de COVID-19. Microsoft está comprometido a servir como un socio constructivo en esta lucha.