Se trata de un test de autoevaluación para el COVID-19 de código abierto que devuelve los mismos resultados que coronamadrid.com pero no almacena tus valiosos datos. La autora lo explica así "me he topado con el enrevesado algoritmo para el que se ha necesitado la colaboración de, al menos, seis multinacionales (según consta en la propia web de la aplicación): Google, Telefónica, Goggo Network, Ferrovial, Carto, Forcemanager y Mendesaltren".
|
etiquetas: madrid , coronavirus , código abierto , software
Me ha gustado tanto la frase que me voy a ir a merendar
www.coronamadrid.com/proteccion-de-datos
Ya que posiblemente tú no te la hayas leído y no te la vayas a leer, te indico los puntos interesantes: el 4 y el 6.
Si piensas que eso no es así puedes poner una buena denuncia por el GDPR tanto a la Comunidad de Madrid como a las empresas. Pero claro, criticar a gente que ayuda sin ánimo de lucro es mucho mas fácil que hacer algo útil.
Lo pego aquí para escarnio de los autores:
var scores = {
falta_aire: 60,
fiebre: 15,
tos: 15,
contacto_positivo: 29,
mucosidad: 0,
dolor_muscular: 0,
gastrointestinal: 0,
mas_20_dias: -15
};
var sc = 0;
for (var k in answers) {
if (answers[k]) {
sc = sc + scores[k];
}
}
if (sc >= 30) {
return 'con-sintomas';
} else {
return 'sin-sintomas';
}
Bola extra: github.com/celiavelmar/open-covid19-test
Y la propiedad de los datos es de la comunidad de Madrid. Ninguna empresa tiene acceso a dichos datos salvo para el desarrollo de la app.
Y como te he dicho, no necesito poner una denuncia para comentar algo en internet.
Está app está pensada y desarrollada para monitorizar y darle trazabilidad a los focos de infección e infectados.
Que si, que habría que darle una vuelta a esa política de privacidad. Pero 1- no hay dinero público por medio, todas lo hacen de modo altruista, 2- se ha hecho en 4 putos días por voluntarios tirando de la tecnología disponible.
Estoy seguro de que habrá aquí arquitectos cloud, sec devops, y frontend scrum Masters que lo harían de otra forma (yo incluido) pero que cojones. Igual que le damos las gracias a cualquier parguela que pone 1M€ a la sanidad pública bytheface, al menos yo les doy las gracias públicamente a todas las empresas y curritos implicados en esta app.
Del punto 6:
6. ¿Quién tiene acceso a tus datos?
Además de CSCM, tienen acceso a tus datos personales, nuestros proveedores y colaboradores, así como, en su caso, los profesionales sanitarios y las autoridades con las que colaboramos y nos relacionamos para el cumplimiento de las finalidades arriba indicadas. El acceso a tus datos, que proporcionamos a estos terceros, es siempre para finalidades lícitas y sólo durante el periodo de tiempo estrictamente necesario para ello.
Te explico brevemente. No dicen qué datos, si son todos, o no, porque se guardan unos cuantos datos. No dicen quienes son esos proveedores y colaboradores, no dicen quienes son las autoridades con las que colaboran y se relacionan, no dicen para que finalidad compartirán los datos, no especifican cuanto tiempo van a guardarlos.
No necesito poner una denuncia para escribir en internet que esa aplicación además de ser mala, visto el algoritmo, también es contraria a la legislación europea sobre datos personales.
www.coronamadrid.com/proteccion-de-datos
Y los datos que guardan están concretados en el punto 2
Pero claro, es mucho mas fácil leerse un artículo que leerse la política de privacidad por tu cuenta
23,3 millones de euros son muchos millones de euros. Espero se sepa la gente de enmedio y los detalles.
www.comunidad.madrid/noticias/2020/03/22/diaz-ayuso-preside-consejo-go
y si, la noticia es del sofware (imaginemos todo lo demás)
Además de CSCM, tienen acceso a tus datos personales, nuestros proveedores y colaboradores, así como, en su caso, los profesionales sanitarios y las autoridades con las que colaboramos y nos relacionamos para el cumplimiento de las finalidades arriba indicadas. El acceso a tus datos, que proporcionamos a estos terceros, es siempre para finalidades lícitas y sólo durante el periodo de tiempo estrictamente necesario para ello.
Vamos, típica política de privacidad. Los desarrolladores evidentemente tienen acceso a tus datos, pero no significa que puedan hacer con ellos lo que les de la gana.
Y como te he dicho, si incumplen las normas, adelante, denuncia
Relacionada: maldita.es/malditatecnologia/2020/03/20/aplicacion-madrid-coronavirus-
Según ese enlace de arriba no solo comparten datos personales con 6 multis sino que almacenan los datos sin cifrar, y además incumplen reiteradamente la normativa europea sobre protección de datos. Al menos eso es lo que se desprende de su política de privacidad.
var scores = {falta_aire: 60,fiebre: 15,tos: 15,contacto_positivo: 29
,mucosidad: 0,dolor_muscular: 0,gastrointestinal: 0,mas_20_dias: -15};
var sc = 0;
for (var k in answers) {if (answers[k]) {sc = sc + scores[k];}}
if (sc >= 30) {return 'con-sintomas';
} else {return 'sin-sintomas';}
github.com/celiavelmar/open-covid19-test
Que si se usan los datos solo para eso me parecerá genial, pero que el peligro está en no saber qué hay. Lo importante no es el algoritmo que han publicado, es todo lo que se hace con los datos.
Se puede evaluar mucho mas rápido y tener un mejor seguimiento de las personas por orden de prioridad (por ejemplo una persona que no puede respirar debería ser mas prioritario que una persona que solo tenga tos y algo de fiebre) que mediante una línea de teléfono
¿Que es simple? Pues sí ¿y? La complejidad de la aplicación no es detectar si estás enfermo o no, es priorizar la asistencia sanitaria y poder dar un servicio mas rápido que por teléfono. Además que esto será muy útil en investigaciones posteriores para aprender como reaccionar ante una nueva pandemia
- Para archivo en interés público;"
¿sabes qu significa eso? Porque gramaticalmente la frase no tiene mucho sentido.
La dificultad de la aplicación obviamente no es el “algoritmo”. Es la integración con servicios como el 112 y la escalabilidad.
Estáis disparando contra algo altruista que puede ser muy útil.
¿Cómo esperas que hagan las funcionalidades que indican haciendo los datos anónimos? La única forma que tienen es guardando los datos tal cual. Se pueden encriptar con una clave única, algo que posiblemente se haga a nivel de base de datos, pero no se podrá hacer más. Si los datos son anónimos, son datos inútiles, no se puede llamar, no se puede saber si tiene algún tipo de síntoma ni nada.
En el móvil no existe la tecla F12...
Y sangrado otbs sin espacios entre bloques....
Y el que esté en la nube es 100% compatible con que los datos estén almacenados única y exclusivamente en la Unión Europea. Tanto Google, Amazon y Microsoft tienen centros de datos en la UE y cuando abres un proyecto te dan a elegir en que región deseas que estén tus datos. Miles de empresas y administraciones en Europa almacenan datos personales en cualquiera de esas nubes y cumplen al 100% con el GDPR
Cuñada.
* sin eso, cualquier cosa que sea algo mas que javascript sin backend es sobreingenieria
* * que por cierto, ahora casi todo cae por ahi porque casi todo es javascript. Bueno, typescript
para el cumplimiento de las finalidades arriba indicadas
Ni mas ni menos. Ni venta de datos ni nada. Evidentemente se entiende que los datos a los que tienen acceso los desarrolladores son a todos ya que no se indica ninguna exclusividad. El único motivo por el que dichas empresas accederán a tus datos es para lo que se indica en el punto 4 (y dices que no se indica...).
Y sobre el periodo de tiempo, se puede considerar un periodo de tiempo indefinido ya que no se sabe lo que durará esta crisis. Es lo que se hace cuando no sabes por cuanto tiempo lo vas a guardar. Por ejemplo, meneame tampoco lo indica www.meneame.net/legal
Es un bug en si mismo
En muchos entornos seguros/críticos está directamente prohibido usar scanf/printf por esa razón.
Bravo por la creadora de la herramienta y por la difusión.
Y yo no tengo acceso al código de la aplicación pero si es cierto lo que indica ese medio y no se está anonimizando, está incumpliendo con la LOPD.
La LOPD no obliga a anonimizar los datos. Sería estúpido. Como he dicho, la persona que ha escrito eso en maldita.es no tiene ni idea ni de informática ni de leyes. Solo esa frase lo deja claro.
Si los datos está en Europa y no salen, no hay problema, si no existen esas garantías se están incumpliendo con la LOPD en esos términos también.
Tanto los servidores de Google, como Amazon y Microsoft te permiten configurar por proyecto la localización de los servidores. Si se indica que los datos se guardan en la región europea, los datos en ningún momento dejarán territorio Europeo.
Pero yo asumo que si un medio de comunicación ha realizado esa labor de investigación y lo publica, es así y por lo tanto incumpliría con la LOPD.
Mira que yo me solía fiar de maldita.es, pero los dos puntos en los que se basan son falsos. Dice que "no está respetando el principio de minimización de datos" (cosa que es mentira ya que los datos que se piden tienen sentido para la investigación científica y diagnóstico) o "no habla de anonimizar los datos que cedemos, y eso hace que la base de datos que creen sea vulnerable" cosa que es una soberana estupidez desde el punto de vista técnico y legal.
Si lo anonimizas no puedes llamar a nadie porque no sabes quién ha dado positivo.
Luego los mismos que ponen el grito en el cielo porque la Comunidad de Madrid recopile estos datos ponen a Corea como ejemplo de cómo se hacen las cosas cuando ellos han hecho sosas mucho más turbias para trazar los casos.
Tanto bombo con la super aplicación y mira lo que resultó ser. Por eso me río, por como venden una tontería como una aplicación innovadora.
Vamos el informático simplemente se ha limitado a implementarlo e ya.
Y llamarle "hackeo" a entrar en el modo desarrollador...
Vamos yo no lo veo el problema o bien me falta contexto.
#104 para leer ficheros daba problemas si no recuerdo mal, pero hablo de memoria.
No confundas Google Cloud (para empresas) con los servicios de Google (para usuarios).
De hecho, preferiría que hubiesen pagado a los que les hacen la aplicación actual del sanidad de madrid y lo integrasen con su sistema, a lo que han hecho.
- Para finalidades estadísticas;
- Para investigación biomédica, científica o histórica; y
- Para archivo en interés público;
Vamos, que para realizar ciertos análisis, archivo o lo que sea en un futuro posiblemente otras empresas/universidades puedan tener acceso, pero siempre dentro de las finalidades indicadas en el punto 4.
Los datos personales los indica en el punto número 2 muy claramente. Si no dice que datos se entiende que las empresas pueden acceder a todos esos datos (siempre con la finalidad del punto 4).
Y finalmente, que no te indiquen las medidas de seguridad, es algo lógico. Ninguna empresa te va a detallar las medidas de seguridad que usan, precisamente por seguridad
Es intolerable que no anonimicen los datos!
Y te equivocas en una cosa básica, el único propietario de los datos es la CAM (la consejería de salud para ser exactos). Ellos son los responsables de guardar los datos y dar el acceso a unos u a otros. Telefónica por ejemplo no puede tener una copia de la base de datos para ellos, ni Google ni nadie ya que el único propietario de dichos datos es la CSCM. El propietario siempre es la CSCM y la para la cesión de dichos datos a terceras empresas tendría que contar con el consentimiento de los afectados. Y hay una importante diferencia entre cesión y acceso de datos.
Y lo de la finalidad lícita es muy importante indicarlo. ¿Qué quiere decir? Pues por ejemplo, un programador que está trabajando en el proyecto, para ver un error puede mirar un registro en concreto, PERO, ese mismo programador no puede buscar a un amigo suyo a ver si tiene el coronavirus o no, ya que eso no sería una finalidad lícita. Pero vamos, que lo mismo pasa con cualquier otro registro de datos sensibles, como puede ser del Ministerio de Hacienda, de Sanidad, una compañía telefónica, etc.
Indica claramente:
b) Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública
c) Se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial
Y para terminar, lo que estais repitiendo una y otra vez de maldita.es. Eso lo ha escrito alguien sin conocimiento técnico ni legal alguno. Ese tipo de datos NO pueden estar anonimizados. Si estuvieran anonimizados, ¿como esperas que contacten a una persona que da positivo? Lo que tienen que hacer en caso de que vayan a hacer un estudio científico es pseudoanonimizar los datos, pero eso es algo completamente diferente a anonimizar. Y la CAM, como propietario de los datos, no necesita almacenar los datos pseudoanonimizados porque no daría ningún tipo de seguridad extra.
#84 #106 Sí pero, en ese caso, no debería poner que solo los compartirán sin anonimizar con los centros de salud con el único propósito, y únicamente por el tiempo que sea necesario, de que se pongan en contacto contigo para hacer un seguimiento? Porque creo que lo que le preocupa a la gente es que se compartan con las empresas colaboradoras.
La CSCM es el propietario de los datos, por tanto ellos pueden, siempre que lo especifiquen en la política de privacidad (cosa que hacen) contactar contigo. Además, en este caso al ser especial (pandemia mundial con consecuencias graves) tengo entendido que también podrían usar esos datos para tales fines sin necesidad de tu consentimiento (dicho de otra forma, si necesitan contactar contigo en una situación de emergencia para salvarte y para ello necesitan usar tus datos de una forma "incorrecta", pueden hacerlo).
Luego está la cesión de datos a terceros, que es un tema distinto. La cesión de datos está más protegida y solo es válida en ciertas circunstancias. Dichos casos deben estar recogidos en la política de privacidad (tal y cómo se indica) y al momento de la cesión se debe cumplir con las leyes que lo regula (principalmente el GDPR). No es necesario que te digan en la política de privacidad que tus datos van a ser compartidos de una forma anónima (o pseudoanónima), ya que dependiendo del caso y la situación se tendrán que compartir de una forma u otra, como digo, siempre respetando las leyes vigentes. No hay que enumerar todo lo que pueden ceder y lo que no y las condiciones especiales en la política de privacidad porque en tal caso sería un texto casi imposible de leer. Dicho de otra forma, pueden hacer con tus datos lo que quieran siempre que respeten la política de privacidad y las leyes (siendo las leyes evidentemente prioritarias en caso de duda)
Para ponerte un ejemplo (no digo que esto puedan hacerlo, es un ejemplo que creo que se entenderá mejor), es posible que puedan compartir los datos de nombre y dirección con Amazon ya que diste positivo en el cuestionario y así te pueden enviar un test del COVID a casa, pero no podrán compartir tu edad o los síntomas que has tenido. Sin embargo, si los datos se los ceden a una universidad para hacer una investigación, podrían ceder los datos de síntomas, sexo, edad, pero no podrían ceder datos de dirección o nombre. Lo que pueden y no pueden compartir en cada caso es distinto y está regulado de una forma diferente y no hace falta indicarlo en la política de privacidad. De la misma forma que no hace falta indicar que no usarán tus datos para mandar a un sicario a tu casa, las leyes lo prohiben por tanto se sobreentiende que no lo usarán con esos fines.
Anunciaron que iban a crear una app de movil que, desde mi experiencia, podría tener un servicio residente trackeando al usuario, un sistema de recordatorios para casos posibles que fuera siguiendo la evolución en posibles casos, o tras una alerta de foco por casos positivos.
Perooo, han sacado una web, que solo obtiene tu localización durante el uso, y prometido una aplicación (imagino que híbrida dada la elección de plataforma web) que todavía no ha aparecido.
Se han sacado la foto de la inaguración y santas pascuas. Y realizar algo útil, probablemente llevaría mas tiempo* al departamento legal que prepara los informes, y los locos del big data proponiendo modelos, que a los desarrolladores.
*Mas una semana para que la apple store la aprobara por no ajustarse a las guías de diseño, pero que se jodan los pijos.
Que los datos no se anonimizan ya que no se indica expresamente, según este artículo:
maldita.es/malditatecnologia/2020/03/20/aplicacion-madrid-coronavirus-
LOPD, Disposición adicional decimoséptima. Tratamientos de datos de salud.
www.boe.es/eli/es/lo/2018/12/05/3/con
En cualquier caso, yo no me refería a eso que comentas. Yo me refería a esto:
1.º Una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conserven la información que posibilite la reidentificación.
2.º Que los datos seudonimizados únicamente sean accesibles al equipo de investigación cuando:
i) Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación.
ii) Se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.
Y yo no tengo acceso al código de la aplicación pero si es cierto lo que indica ese medio y no se está anonimizando, está incumpliendo con la LOPD.
A parte está el tema de los servidores de Google. Si los datos está en Europa y no salen, no hay problema, si no existen esas garantías se están incumpliendo con la LOPD en esos términos también.
Yo todo eso de primera mano no lo sé, ni si es así o si no, habría que preguntárselo al Delegado de Protección de Datos. Pero yo asumo que si un medio de comunicación ha realizado esa labor de investigación y lo publica, es así y por lo tanto incumpliría con la LOPD.
Esos datos están más dispersos que el Covid19 around the world y a saber bajo la supervisión de quién.
La CAM es un cliente con todo su derecho como usuaria del servicio, pero el propietario físico es el dueño de la infraestructura, nada que ver con los modelos asiáticos de China y Korea
O puedes correrlo en PC