Disponible la API de Apple y Google para apps de rastreo de exposición al COVID

En los inicios de la fiebre de apps de rastreo, en abril Apple y Google firmaron un pacto sin precedentes para desarrollar conjuntamente una tecnología de seguimiento de contagios basada en Bluetooth. Los dos rivales trabajaron en su API con un objetivo inquebrantable: privacy first.

La clave del éxito reside en la adopción por parte de los usuarios - se estima necesaria un 60% -  y el énfasis en la protección de la privacidad fomentará el uso de estas apps integradas con la API.

Ya está disponible el servicio en Android en nuestros teléfonos, listo para ser utilizado con alguna app oficial de alguna entidad de Salud Pública de seguimiento y rastreo de Covid-19.

Es posible comprobar si nuestro Smartphone ya tiene disponible el servicio que en el caso de Android nos ha actualizado de manera transparente. En Ajustes / Google junto a nuestra cuenta de Google aparecen los servicios disponibles, y el primero puede ser “Notificaciones de exposición al COVID-19”
  
 

Apple y Google anuncian que su API ya está lista para uso exclusivo de organismos públicos de salud y será utilizada en 22 países


Lo que han creado no es una app, sino que las autoridades sanitarias incorporarán la API en sus propias apps que instale la gente. La API está diseñada para hacer que estas aplicaciones oficiales funcionen mejor. 
Se tiene muy en cuenta la privacidad y cada usuario decide si opta o no por las notificaciones de exposición.  

El sistema no recopila ni utiliza la ubicación del dispositivo y si a una persona se le diagnostica COVID-19, depende de ella notificarlo o no en su app de salud pública. 

 

Cómo funciona la API de Apple y Google de notificación de exposición al coronavirus

 

  • Alice y Bob poseen un iPhone y un teléfono Android, ambos con una aplicación de salud instalada que usa la API de notificación de exposición. 

 

  • Un día coinciden sentados en un banco y charlan durante un rato. Mientras tanto cada uno de sus teléfonos está transmitiendo balizas de identificación totalmente anónimas y cambiantes. Sus teléfonos saben que han estado en contacto y almacenan esa información en el propio dispositivo, sin transmitirla a ningún otro lugar.

 

  • Una semana más tarde, Bob presenta síntomas de COVID-19, acude a su centro médico y le diagnostican la enfermedad. Abre su aplicación de salud, verifica su diagnóstico utilizando la documentación del proveedor oficial de servicios de salud y su teléfono sube sus balizas identificadoras de los últimos 14 días a un servidor en la nube.

 

  • Más tarde ese mismo día, la aplicación de salud de Alice descarga una lista de todas las balizas de las personas que han contraído COVID-19 recientemente. Debido a su contacto con Bob en el banco, Alice recibe una notificación informándole de que ha estado en contacto con alguien que tiene COVID-19. 

 

  • Alice no sabe que es Bob el infectado con el COVID-19 porque no se recopiló ninguna información personal. Pero el sistema detecta que Alice estuvo expuesta a una persona infectada con COVID-19 durante 10 minutos aquel día, basándose en la intensidad de la señal Bluetooth entre sus dos teléfonos.

 

  • Alice sigue los pasos de la aplicación de salud que le informa sobre qué hacer después de la exposición a COVID-19. Si Alice enferma más tarde con COVID-19, seguirá los mismos pasos que siguió Bob anteriormente para alertar a las personas con las que ha estado en contacto.

 

 

Privacidad y seguridad de los usuarios

Así ha diseñado Google la nueva API de seguimiento de contactos de Android para proteger la privacidad y seguridad del usuario:

 

  • Las aplicaciones que llaman a la API a través del método startContactTracing son necesarias para obtener el consentimiento del usuario para iniciar el seguimiento de contactos. Si es la primera vez que se invoca la API, se mostrará un cuadro de diálogo al usuario que le solicitará permiso para iniciar el seguimiento.

 

  • Para ser incluido en la lista blanca para usar esta API, se requerirá que las aplicaciones "marquen la hora y firmen criptográficamente el conjunto de claves antes de enviarlas al servidor con la firma de una autoridad médica autorizada". En otras palabras, las aplicaciones COVID-19 no autorizadas no podrán usar esta API.

 

  • Si el usuario desinstala la aplicación, el método stopContactTracing se invocará automáticamente y la base de datos y las claves se borrarán del dispositivo.

 

  • El usuario, después de haber confirmado un diagnóstico positivo de COVID-19, debe otorgar su consentimiento explícito para cargar 14 días de claves de rastreo diarias. Se mostrará un diálogo al usuario si la aplicación llama al método startSharingDailyTracingKeys.

 

  • Se mostrará a los usuarios en qué fecha y durante cuánto tiempo estuvieron en contacto con una persona potencialmente contagiosa, hasta incrementos de 5 minutos, pero no con quién o dónde ocurrió el contacto.

 

Así protege el nuevo servicio de detección de contactos Bluetooth Low Energy la privacidad y seguridad del usuario:

 

  • La especificación no requiere la ubicación del usuario ni ninguna otra información de identificación personal. El uso de la ubicación es opcional, si el usuario da su consentimiento explícito.

 

  • Los identificadores de proximidad se cambian cada 15 minutos en promedio, para que la ubicación del usuario no pueda rastrearse a través de Bluetooth.

 

  • Los identificadores de proximidad recuperados de otros dispositivos se procesan exclusivamente en el dispositivo. Es decir la lista de personas con las que has estado en contacto nunca deja tu teléfono.

 

  • Depende del usuario decidir si desea contribuir al rastreo de contactos. Los usuarios diagnosticados con COVID-19 deben consentir compartir las claves de diagnóstico con el servidor. Las personas que dan positivo no están identificadas. Esta información sólo será utilizada para el rastreo de contactos por parte de las autoridades de salud pública.

 

Desarrolladores: restricciones impuestas por Apple y Google para las apps de salud pública que usen su API


¿Quieres usar la API de Apple/Google de notificación de exposición en tu app? Tendrás que seguir una serie de restricciones si quieres que te la aprueben:

  • Las apps deben ser creadas por o para un organismo público de salud.
  • Sólo se permite una app por país, para evitar fragmentación y para promover una alta adopción por parte de los usuarios. Se contemplan versiones distintas por Estado o provincia.
  • Se requiere el consentimiento explícito del usuario en su instalación.
  • No recopilar ni utilizar datos de localización de su teléfono por GPS.
  • Las balizas y claves Bluetooth no revelan la identidad o la ubicación del usuario.
  • El usuario controla todos los datos que quiere compartir y la decisión de compartirlos, incluido el resultado positivo de una prueba.
  • Las personas que dan positivo no son identificadas por otros usuarios, ni por Google o Apple.
  • Las aplicaciones sólo deben recopilar la cantidad mínima necesaria de datos y sólo se utilizarán para la notificación de la exposición por parte de las autoridades sanitarias para la gestión de la pandemia de la COVID-19.
  • No se permite ningún otro uso de los datos de los usuarios, incluida la publicidad dirigida.
  • No importa si tienes un teléfono con Android o un iPhone, recuerda que funciona en ambos.

 

Para los que deseen entrar en detalles, Apple y Google mantienen actualizada y disponible la documentación sobre la tecnología para consulta pública en las siguientes webs: 

Acceso a la web de especificaciones de Google

Acceso a la web de especificaciones de Apple