AD 15/2022
LOS “OTROS” JUEGOS OLÍMPICOS DE INVIERNO SE JUEGAN EN EL TERRENO DE LA PRIVACIDAD
RESUMEN:
Este artículo pone de manifiesto las diferentes perspectivas ideológicas y regulatorias en materia de privacidad que existen entre China y Europa. Para ello, se parte del análisis de la aplicación oficial de los Juegos Olímpicos de Invierno de 2022 en Beijing, realizado por The Citizen Lab de la Universidad de Toronto, donde se identifican sus vulnerabilidades y efectos sobre los datos de los usuarios.
SUMMARY:
This article exposes the different ideological and regulatory perspectives on privacy that exist between China and Europe. It is based on an analysis of the official app of the 2022 Beijing Winter Olympics by The Citizen Lab at the University of Toronto, which identifies its vulnerabilities and effects on users’ data.
PALABRAS CLAVE:
Privacidad – RGPD – Europa – China – Datos personales – Aplicación móvil – Transparencia – Ciberseguridad
KEYWORDS:
Privacy – GDPR – Europe – China – Personal Data – Mobile app – Transparency – Cibersecurity
Durante estos últimos años, se han venido adoptando a nivel global nuevas estrategias encaminadas a sortear los nuevos retos que han ido surgiendo en cuestiones relacionadas con la privacidad. Así, han proliferado nuevas entidades, asociaciones, grupos de trabajo y organizaciones internacionales cuyo objetivo es reforzar y proteger el intercambio de información y, al mismo tiempo, dotar de mayor protección a las personas en lo que respecta a sus datos personales.
En pleno 2022, gran parte de las estrategias en materia de privacidad están orientadas a intensificar la transformación digital y se espera que, a nivel europeo, comience a tomar forma más o menos definitiva el Reglamento ePrivacy y se marque de forma más precisa el camino a seguir en cuanto a la regulación de la Inteligencia Artificial. Tampoco podemos olvidar el papel que jugará la Data Governance Act, gracias a la cual se espera que se establezcan mecanismos sólidos que faciliten la reutilización de determinadas categorías de datos protegidos por el sector público, y asimismo faciliten el intercambio de datos en el entorno UE. Por tanto, la “Estrategia Europea de Datos” cobrará más fuerza que nunca y se esperan grandes avances este año.
Pero, más allá de los hitos y eventos regulatorios que se espera tengan lugar en los próximos meses, el desarrollo tecnológico y la lucha contra el COVID siguen poniendo de relieve que la ciberseguridad debe seguir constituyendo un pilar fundamental si se pretende tratar datos con plenas garantías para los derechos y libertades de las personas.
Con motivo de los Juegos Olímpicos de Invierno que tendrán lugar en febrero de 2022 en la ciudad china de Beijing, el Comité organizador y el Comité Olímpico Internacional han implementado la app “MY 2022”, la cual está configurada por el equipo encargado de desarrollar el sistema operativo Android[1]. Según el Comité organizador de los Juegos, alrededor de 35.000 atletas, periodistas y personal voluntario ya utilizan esta aplicación que, entre otros servicios, permite gestionar datos de salud relacionados con la lucha contra la Covid – 19. De hecho, el uso de esta aplicación es obligatorio para todos los asistentes a los Juegos Olímpicos de 2022, incluidos miembros del público, prensa y, por supuesto, los propios atletas.
El desarrollo de la aplicación “MY 2022” no debería interpretarse como una gran novedad, ya que integra funcionalidades que se utilizaban en anteriores apps de los Juegos Olímpicos de Londres o de Tokio, tales como la posibilidad de trazar rutas de transporte público, chatear entre los usuarios o el procesamiento en tiempo real de la voz humana para realizar traducciones instantáneas a más de 20 idiomas. No obstante, este año se han introducido, entre otras, novedades tales como el tratamiento de información relacionada con el pasaporte, información demográfica y datos sobre el historial médico y estado de salud de los usuarios registrados.
Estas novedades en cuanto al tratamiento de datos realizado por “MY 2022”, unidas a las últimas tensiones geopolíticas y a la intensificación de los ciberataques a escala global, han encendido las alarmas de distintas organizaciones y activistas dedicados a la privacidad debido a los riesgos para los derechos y libertades de las personas que el uso de esta app implica.
Así, el organismo The Citizen Lab de la Universidad de Toronto, ha realizado un profundo análisis de esta aplicación, arrojando una conclusión inquientante: “MY 2022 tiene un fallo sencillo pero devastador por el que el cifrado que protege el audio de los usuarios y las transferencias de archivos puede eludirse de forma trivial”[2]. A tenor este análisis, The Citizen Lab determina que “los formularios de salud que registran y transmiten datos del pasaporte, información demográfica, así como historial médico y de viaje, también son vulnerables”.
Sin embargo, no es posible afirmar categóricamente que la app “MY 2022” haya sido diseñada sin tener en cuenta el respeto de la privacidad o la seguridad de la información. En relación con el principio de transparencia, la aplicación ofrece información clara acerca de los datos del usuario que está tratando, así como funcionalidades que permiten a dichos usuarios denunciar contenidos sensibles. En cambio, no está claro con qué o con cuáles organizaciones “MY 2022” comparte los datos que trata, entre los que se encuentran aquellos relativos a la salud de los usuarios.
Siguiendo con el análisis del organismo de la Universidad de Toronto, a juicio de éste, las deficiencias en la seguridad de la aplicación supondrían una vulneración de las políticas de Google y de la Apple Store e, incluso las leyes chinas en materia de privacidad (recordamos que, el 10 de junio de 2021, el Comité Permanente del Congreso Nacional de China aprobó la Ley de Seguridad de Datos “Data Security Law”, la cual entró en vigor el 01 de septiembre de 2021).
Entre las normas que el Gobierno Chino ha impuesto a los asistentes y atletas de los Juegos Olímpicos de Invierno, está la obligación de instalar “MY 2022” en sus dispositivos 14 días antes de su llegada a China. De esta forma, los usuarios van registrando información relacionada con su estado de salud desde un periodo de tiempo que comienza bastante antes de su entrada en el país. Amparándose en la lucha contra el COVID-19, la aplicación también recoge información sobre el estado de vacunación de los usuarios en relación con esta enfermedad.
Toda vez queda claro que la aplicación registra información que contiene datos relativos a la salud de los usuarios, cabe preguntarse cuál es la finalidad de este registro y, sobre todo, quién va a tener acceso a esta información. Los playbooks publicados por el Comité Olímpico Internacional[3] que incluyen directrices dirigidas a los atletas, prensa y asistentes, ya indican que la información registrada en “MY 2022” podrá ser conocida, sin el consentimiento de los usuarios, por las autoridades gubernamentales chinas, el Comité Organizador de Beijing 2022, el Comité Olímpico Internacional, el Comité Paralímpico Internacional, así como por “otras entidades implicadas en la aplicación de las contramedidas contra la COVID-19”. De esta forma, la información de los usuarios podrá salir de su esfera de control, llegando a ser conocida por entidades cuya identidad no está clara, ni se sabe con qué finalidad tratarán estos datos.
Asimismo, la política de privacidad de “MY 2022” publicada por The Citizen Lab, describe otras situaciones en las que la información registrada podrá ser comunicada a terceras entidades sin necesidad de consentimiento de los usuarios, como por ejemplo aquellas relacionadas con la seguridad nacional, la salud pública y la investigación criminal. Nuevamente, no se especifica qué entidades u organizaciones recibirán esta información.
En paralelo a lo anterior, además de la aparente falta de transparencia que existe a la hora de identificar las entidades que recibirán los datos de los usuarios, The Citizen Lab ha detectado distintas vulnerabilidades en relación con el cifrado de la información. Según su análisis, la seguridad de la información que circula a través de los servidores de esta aplicación no garantiza la privacidad o la integridad de los datos, y cabe la posibilidad de que un usuario se conecte a un host diferente a los habilitados, lo que puede provocar un acceso no autorizado a los datos registrados en la aplicación. Así, debido a que “MY 2022” no contiene herramientas que validen los certificados SSL, no se garantiza que los mismos envíen la información a los servidores correctos, ni tampoco se garantiza la seguridad de la información que circula a través de sus servidores. No obstante, cabe mencionar que no todas las conexiones han presentado estos fallos de cifrado, por lo que no es posible afirmar que todos los certificados SSL son vulnerables.
En el marco del análisis de la seguridad de los certificados SSL, The Citizen Lab ha descubierto que, en algunas ocasiones, la aplicación transmite datos sensibles sin aplicar ningún tipo de cifrado SSL u otras medidas de seguridad. Entre las transmisiones analizadas, se encuentran metadatos que contienen información sensible contenida en mensajes enviados entre usuarios, incluidos los nombres de los remitentes y destinatarios, además de los identificadores de sus cuentas de usuario. Estas vulnerabilidades se agravan si los usuarios se conectan a redes wifi públicas, redes wifi no seguras, e incluso, es posible acceder a esta información a través de redes puestas a disposición por los propios operadores de telecomunicaciones.
A tenor del análisis realizado por The Citizen Lab, no cabe duda de que la aplicación “MY 2022” no ha sido dotada de las máximas garantías y salvaguardas que aseguran la implementación de medidas de seguridad adecuadas, y es un claro ejemplo de las diferencias regulatorias que existen actualmente entre China y la Unión Europea en materia de protección de datos. Mientras que en Europa se opta por una legislación altamente garantista y enfocada a los derechos de los individuos (al menos, en teoría), en China se adoptan textos que introducen matices orientados a proteger los intereses gubernamentales, permitiendo a las autoridades conocer y rastrear información personal.
A modo de conclusión, el análisis de la aplicación “MY 2022” pone de manifiesto cómo el desarrollo de la tecnología puede ser diferente en función del territorio en el que se elabora. En este sentido, la privacidad puede verse afectada no sólo por fallos en la seguridad en el cifrado o en el tráfico, sino que pueden entrar en juego factores tales como la censura o las tensiones geopolíticas que desencadenan ciberataques masivos.
En los próximos años, veremos si la Estrategia Europea de Datos da lugar a un aumento del desarrollo de tecnología en la Unión, y si el marco legal europeo consigue equilibrar los derechos de las personas sobre sus datos y el avance tecnológico.
Imanol de Hipólito Lorenzo
08 de febrero de 2022
FUENTES CONSULTADAS:
1.- www.citizenlab.ca/2022/01/cross-country-exposure-analysis-my2022-olympics-app
2.- www.olympics.com/ioc/beijing-2022-playbooks
[1] Equipo que está integrado en el grupo empresarial Beijing Financial Holdings Group.
[2] Disponible online en a través del link: www.citizenlab.ca/2022/01/cross-country-exposure-analysis-my2022-olympics-app.
[3] Disponible online a través del link: www.olympics.com/ioc/beijing-2022-playbooks
Imanol de Hipólito Lorenzo es abogado del Departamento de Propiedad Intelectual Industrial y Nuevas Tecnologías de Bardají & Honrado Abogados. Especialista en Derecho Audiovisual, Entretenimiento, Propiedad Intelectual y Privacidad, habiendo cursado el Máster en Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información por la Universidad Carlos III de Madrid, donde colabora como profesor invitado.
