Durante la pandemia del COVID-19 la tecnología ha estado al frente y al centro de la escena, pero no sin presentar algunos problemas y desafíos. El uso de aplicaciones como comprobantes de vacunación y como validación de resultados de test son las últimas de la larga lista de tecnologías que han despertado preocupaciones en lo que refiere a privacidad y seguridad. El concepto es muy simple; proporcionar una prueba de identidad, digital y verificable; y un comprobante de vacunación o una prueba para validar un diagnóstico COVID-19 negativo (o ambas).

A medida que los países, estados y ciudades reabren y permiten reuniones masivas y eventos en espacios cerrados, muchos exigen previo a la entrada certificados de vacunación o que confirmen el resultado negativo de un test. Si bien muchas autoridades han evitado ir en contra de los derechos de los ciudadanos al implementar que la vacunación sea un requisito para llevar una vida normal, como cenar en el interior de un restaurante o asistir a un concierto o espectáculo, la variante Delta los está haciendo reconsiderar.

La necesidad de utilizar pasaportes sanitarios que demuestren que una persona recibió la vacunó está creciendo y presenta dos desafíos distintos, ESET analizó el derecho a la privacidad y cómo se puede utilizar la tecnología para ofrecer de forma segura la funcionalidad requerida.

“Tener que declarar que ha recibido una vacuna puede verse como una posible infracción a la privacidad de una persona al tener que compartir datos médicos personales con la persona y la organización que necesitan verificar esta información. Antes de subirse al tren de la privacidad y objetar esta medida, hay que tener en cuenta que la información sobre las vacunas recibidas ya está siendo compartida: podemos decir que el 99% de los estudiantes de escuela en los Estados Unidos y otros países han recibido al menos una vacuna, incluidas las que protegen contra el sarampión, las paperas y la rubéola, la poliomielitis y la difteria. Hay algunas exenciones por razones médicas, religiosas o filosóficas, pero la mayoría de los estudiantes han sido vacunados”, mencionó Tony Anscombe, Chief Security Evangelist de ESET.

Agregó: “muchos gobiernos de todo el mundo han adoptado, o se espera que adopten, aplicaciones y soluciones similares a las que eligió la ciudad de Nueva York. Espero que la mayoría use algo similar al Excelsior Pass, donde los datos del usuario se verifican para crear el pase y luego solo se almacena dentro del registro del pasaporte de vacunación en el dispositivo el código QR y datos mínimos del usuario, como el nombre, la fecha de nacimiento y la fecha de vacunación. El gobierno canadiense ha anunciado recientemente el uso de un sistema similar; la propuesta en este momento es incluir los datos mencionados y qué vacuna recibió la persona, lo que puede servir para viajes internacionales, pero a nivel nacional no estoy seguro de por qué se requiere este punto de datos”.

Seguridad en credenciales de vacunación

Cualquiera que sea la solución que ofrezca el gobierno, estado o proveedor de atención médica, debe ofrecer privacidad y seguridad de manera predeterminada, al tiempo que le brinda a la persona que necesita verificar su estado de vacunación datos suficientes para estar seguro de que se es la persona que recibió la vacuna o realizó un test. Las características que ESET sugiere verificar si se está contemplando el uso de una aplicación como credencial sanitaria digital son las siguientes:

• La creación del pasaporte sanitario debe verificar la solicitud con los registros médicos.
• Solo se utilizan los datos mínimos requeridos para crear el pasaporte: nombre, fecha de nacimiento y fecha de vacunación. Suficiente para validar la vacunación y, si es necesario, para validar la identidad frente a otra fuente, como una licencia de conducir.
• La comunicación y cualquier dato almacenado deben estar cifrados.
• La política de privacidad debe indicar el propósito de la aplicación y que no se comparte información personal con terceros.
• No se permite el seguimiento de la ubicación ni la recopilación innecesaria de datos, que no sean los datos del dispositivo, con el fin de mejorar la experiencia de la aplicación como es normal.
• Confirmación por parte del titular del pase cuando se escanea el pasaporte para su verificación.
• Solo descargar aplicaciones de una fuente oficial, como la App Store o Google Play.

“En países que han adoptado GDPR o una legislación de privacidad similar, como CCPA, las aplicaciones deben estar sujetas a la regulación de privacidad para garantizar que el sujeto de los datos, el individuo, tenga la privacidad y seguridad necesarias.”, concluyó el experto de ESET.