Se trata de un test de autoevaluación para el COVID-19 de código abierto que devuelve los mismos resultados que coronamadrid.com pero no almacena tus valiosos datos. La autora lo explica así "me he topado con el enrevesado algoritmo para el que se ha necesitado la colaboración de, al menos, seis multinacionales (según consta en la propia web de la aplicación): Google, Telefónica, Goggo Network, Ferrovial, Carto, Forcemanager y Mendesaltren".
|
etiquetas: madrid , coronavirus , código abierto , software
Me ha gustado tanto la frase que me voy a ir a merendar
Relacionada: maldita.es/malditatecnologia/2020/03/20/aplicacion-madrid-coronavirus-
Lo pego aquí para escarnio de los autores:
var scores = {
falta_aire: 60,
fiebre: 15,
tos: 15,
contacto_positivo: 29,
mucosidad: 0,
dolor_muscular: 0,
gastrointestinal: 0,
mas_20_dias: -15
};
var sc = 0;
for (var k in answers) {
if (answers[k]) {
sc = sc + scores[k];
}
}
if (sc >= 30) {
return 'con-sintomas';
} else {
return 'sin-sintomas';
}
Bola extra: github.com/celiavelmar/open-covid19-test
Y la propiedad de los datos es de la comunidad de Madrid. Ninguna empresa tiene acceso a dichos datos salvo para el desarrollo de la app.
www.coronamadrid.com/proteccion-de-datos
Ya que posiblemente tú no te la hayas leído y no te la vayas a leer, te indico los puntos interesantes: el 4 y el 6.
Si piensas que eso no es así puedes poner una buena denuncia por el GDPR tanto a la Comunidad de Madrid como a las empresas. Pero claro, criticar a gente que ayuda sin ánimo de lucro es mucho mas fácil que hacer algo útil.
Según ese enlace de arriba no solo comparten datos personales con 6 multis sino que almacenan los datos sin cifrar, y además incumplen reiteradamente la normativa europea sobre protección de datos. Al menos eso es lo que se desprende de su política de privacidad.
Del punto 6:
6. ¿Quién tiene acceso a tus datos?
Además de CSCM, tienen acceso a tus datos personales, nuestros proveedores y colaboradores, así como, en su caso, los profesionales sanitarios y las autoridades con las que colaboramos y nos relacionamos para el cumplimiento de las finalidades arriba indicadas. El acceso a tus datos, que proporcionamos a estos terceros, es siempre para finalidades lícitas y sólo durante el periodo de tiempo estrictamente necesario para ello.
Te explico brevemente. No dicen qué datos, si son todos, o no, porque se guardan unos cuantos datos. No dicen quienes son esos proveedores y colaboradores, no dicen quienes son las autoridades con las que colaboran y se relacionan, no dicen para que finalidad compartirán los datos, no especifican cuanto tiempo van a guardarlos.
No necesito poner una denuncia para escribir en internet que esa aplicación además de ser mala, visto el algoritmo, también es contraria a la legislación europea sobre datos personales.
Además de CSCM, tienen acceso a tus datos personales, nuestros proveedores y colaboradores, así como, en su caso, los profesionales sanitarios y las autoridades con las que colaboramos y nos relacionamos para el cumplimiento de las finalidades arriba indicadas. El acceso a tus datos, que proporcionamos a estos terceros, es siempre para finalidades lícitas y sólo durante el periodo de tiempo estrictamente necesario para ello.
Vamos, típica política de privacidad. Los desarrolladores evidentemente tienen acceso a tus datos, pero no significa que puedan hacer con ellos lo que les de la gana.
Y como te he dicho, si incumplen las normas, adelante, denuncia
var scores = {falta_aire: 60,fiebre: 15,tos: 15,contacto_positivo: 29
,mucosidad: 0,dolor_muscular: 0,gastrointestinal: 0,mas_20_dias: -15};
var sc = 0;
for (var k in answers) {if (answers[k]) {sc = sc + scores[k];}}
if (sc >= 30) {return 'con-sintomas';
} else {return 'sin-sintomas';}
github.com/celiavelmar/open-covid19-test
para el cumplimiento de las finalidades arriba indicadas
Ni mas ni menos. Ni venta de datos ni nada. Evidentemente se entiende que los datos a los que tienen acceso los desarrolladores son a todos ya que no se indica ninguna exclusividad. El único motivo por el que dichas empresas accederán a tus datos es para lo que se indica en el punto 4 (y dices que no se indica...).
Y sobre el periodo de tiempo, se puede considerar un periodo de tiempo indefinido ya que no se sabe lo que durará esta crisis. Es lo que se hace cuando no sabes por cuanto tiempo lo vas a guardar. Por ejemplo, meneame tampoco lo indica www.meneame.net/legal
Y como te he dicho, no necesito poner una denuncia para comentar algo en internet.
www.coronamadrid.com/proteccion-de-datos
Y los datos que guardan están concretados en el punto 2
Pero claro, es mucho mas fácil leerse un artículo que leerse la política de privacidad por tu cuenta
23,3 millones de euros son muchos millones de euros. Espero se sepa la gente de enmedio y los detalles.
www.comunidad.madrid/noticias/2020/03/22/diaz-ayuso-preside-consejo-go
y si, la noticia es del sofware (imaginemos todo lo demás)
Que si se usan los datos solo para eso me parecerá genial, pero que el peligro está en no saber qué hay. Lo importante no es el algoritmo que han publicado, es todo lo que se hace con los datos.
Bravo por la creadora de la herramienta y por la difusión.
Tanto bombo con la super aplicación y mira lo que resultó ser. Por eso me río, por como venden una tontería como una aplicación innovadora.
Se puede evaluar mucho mas rápido y tener un mejor seguimiento de las personas por orden de prioridad (por ejemplo una persona que no puede respirar debería ser mas prioritario que una persona que solo tenga tos y algo de fiebre) que mediante una línea de teléfono
¿Que es simple? Pues sí ¿y? La complejidad de la aplicación no es detectar si estás enfermo o no, es priorizar la asistencia sanitaria y poder dar un servicio mas rápido que por teléfono. Además que esto será muy útil en investigaciones posteriores para aprender como reaccionar ante una nueva pandemia
Cuñada.
* sin eso, cualquier cosa que sea algo mas que javascript sin backend es sobreingenieria
* * que por cierto, ahora casi todo cae por ahi porque casi todo es javascript. Bueno, typescript
De hecho, preferiría que hubiesen pagado a los que les hacen la aplicación actual del sanidad de madrid y lo integrasen con su sistema, a lo que han hecho.
Y sangrado otbs sin espacios entre bloques....
9. ¿Cómo protegemos tus datos de usuario?
CSCM garantiza la seguridad, el secreto y la confidencialidad de tus datos, comunicaciones e información personal adoptado las más exigentes y robustas medidas de seguridad y medios técnicos para evitar su pérdida, mal uso o su acceso sin tu autorización.
Además, nos comprometemos a actuar con rapidez y responsabilidad en el caso de que la seguridad de tus datos pueda estar en peligro, y a informarte si fuese relevante.
Medidas exigentes y robustas, medios técnicos para evitar su pérdida o robo. No dice nada de nada.
Vamos el informático simplemente se ha limitado a implementarlo e ya.
Y llamarle "hackeo" a entrar en el modo desarrollador...
Vamos yo no lo veo el problema o bien me falta contexto.
- Para finalidades estadísticas;
- Para investigación biomédica, científica o histórica; y
- Para archivo en interés público;
Vamos, que para realizar ciertos análisis, archivo o lo que sea en un futuro posiblemente otras empresas/universidades puedan tener acceso, pero siempre dentro de las finalidades indicadas en el punto 4.
Los datos personales los indica en el punto número 2 muy claramente. Si no dice que datos se entiende que las empresas pueden acceder a todos esos datos (siempre con la finalidad del punto 4).
Y finalmente, que no te indiquen las medidas de seguridad, es algo lógico. Ninguna empresa te va a detallar las medidas de seguridad que usan, precisamente por seguridad
- Para archivo en interés público;"
¿sabes qu significa eso? Porque gramaticalmente la frase no tiene mucho sentido.
Está app está pensada y desarrollada para monitorizar y darle trazabilidad a los focos de infección e infectados.
Que si, que habría que darle una vuelta a esa política de privacidad. Pero 1- no hay dinero público por medio, todas lo hacen de modo altruista, 2- se ha hecho en 4 putos días por voluntarios tirando de la tecnología disponible.
Estoy seguro de que habrá aquí arquitectos cloud, sec devops, y frontend scrum Masters que lo harían de otra forma (yo incluido) pero que cojones. Igual que le damos las gracias a cualquier parguela que pone 1M€ a la sanidad pública bytheface, al menos yo les doy las gracias públicamente a todas las empresas y curritos implicados en esta app.
En el móvil no existe la tecla F12...
La dificultad de la aplicación obviamente no es el “algoritmo”. Es la integración con servicios como el 112 y la escalabilidad.
Estáis disparando contra algo altruista que puede ser muy útil.
Anunciaron que iban a crear una app de movil que, desde mi experiencia, podría tener un servicio residente trackeando al usuario, un sistema de recordatorios para casos posibles que fuera siguiendo la evolución en posibles casos, o tras una alerta de foco por casos positivos.
Perooo, han sacado una web, que solo obtiene tu localización durante el uso, y prometido una aplicación (imagino que híbrida dada la elección de plataforma web) que todavía no ha aparecido.
Se han sacado la foto de la inaguración y santas pascuas. Y realizar algo útil, probablemente llevaría mas tiempo* al departamento legal que prepara los informes, y los locos del big data proponiendo modelos, que a los desarrolladores.
*Mas una semana para que la apple store la aprobara por no ajustarse a las guías de diseño, pero que se jodan los pijos.
Después de haber leído la noticia, solo la instalaré a punta de pistola.
Es intolerable que no anonimicen los datos!
xkcd.com/221/
¿Cómo esperas que hagan las funcionalidades que indican haciendo los datos anónimos? La única forma que tienen es guardando los datos tal cual. Se pueden encriptar con una clave única, algo que posiblemente se haga a nivel de base de datos, pero no se podrá hacer más. Si los datos son anónimos, son datos inútiles, no se puede llamar, no se puede saber si tiene algún tipo de síntoma ni nada.
Y el que esté en la nube es 100% compatible con que los datos estén almacenados única y exclusivamente en la Unión Europea. Tanto Google, Amazon y Microsoft tienen centros de datos en la UE y cuando abres un proyecto te dan a elegir en que región deseas que estén tus datos. Miles de empresas y administraciones en Europa almacenan datos personales en cualquiera de esas nubes y cumplen al 100% con el GDPR
Pueden usar los datos directamente para: "Investigación biomédica, científica o histórica".
Pero con un poco de imaginación cualquier cosa que se te ocurra puede ser incluida como "investigación científica o histórica".
Pero lo que es mucho peor estas finalidades no son aplicables a sus "colaboradores".
Para sus colaboradores la única restricción es que la finalidad "no sea ilicita".
Lo que significa en la práctica "cualquier finalidad" incluidas las ilicitas, porque para hacer cosas ilícitas no hace falta cumplir ningún contrato.
Es decir esa cláusula restrictiva no restringe nada, es ridicula.
Y te equivocas en una cosa básica, el único propietario de los datos es la CAM (la consejería de salud para ser exactos). Ellos son los responsables de guardar los datos y dar el acceso a unos u a otros. Telefónica por ejemplo no puede tener una copia de la base de datos para ellos, ni Google ni nadie ya que el único propietario de dichos datos es la CSCM. El propietario siempre es la CSCM y la para la cesión de dichos datos a terceras empresas tendría que contar con el consentimiento de los afectados. Y hay una importante diferencia entre cesión y acceso de datos.
Y lo de la finalidad lícita es muy importante indicarlo. ¿Qué quiere decir? Pues por ejemplo, un programador que está trabajando en el proyecto, para ver un error puede mirar un registro en concreto, PERO, ese mismo programador no puede buscar a un amigo suyo a ver si tiene el coronavirus o no, ya que eso no sería una finalidad lícita. Pero vamos, que lo mismo pasa con cualquier otro registro de datos sensibles, como puede ser del Ministerio de Hacienda, de Sanidad, una compañía telefónica, etc.
No confundas Google Cloud (para empresas) con los servicios de Google (para usuarios).
¿Es un robo la app? No se, ¿cuánto ha costado? ¿En qué consiste el backend? Quizas es mucho más interesante, con alarmas automatizadas en caso de que surjan brotes en zonas.. o quizás hay alguien que se descarga un excel a mano y tene que analizarlo un par de veces al día.
Que los datos no se anonimizan ya que no se indica expresamente, según este artículo:
maldita.es/malditatecnologia/2020/03/20/aplicacion-madrid-coronavirus-
LOPD, Disposición adicional decimoséptima. Tratamientos de datos de salud.
www.boe.es/eli/es/lo/2018/12/05/3/con
Indica claramente:
b) Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública
c) Se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial
Y para terminar, lo que estais repitiendo una y otra vez de maldita.es. Eso lo ha escrito alguien sin conocimiento técnico ni legal alguno. Ese tipo de datos NO pueden estar anonimizados. Si estuvieran anonimizados, ¿como esperas que contacten a una persona que da positivo? Lo que tienen que hacer en caso de que vayan a hacer un estudio científico es pseudoanonimizar los datos, pero eso es algo completamente diferente a anonimizar. Y la CAM, como propietario de los datos, no necesita almacenar los datos pseudoanonimizados porque no daría ningún tipo de seguridad extra.
En cualquier caso, yo no me refería a eso que comentas. Yo me refería a esto:
1.º Una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conserven la información que posibilite la reidentificación.
2.º Que los datos seudonimizados únicamente sean accesibles al equipo de investigación cuando:
i) Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación.
ii) Se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.
Y yo no tengo acceso al código de la aplicación pero si es cierto lo que indica ese medio y no se está anonimizando, está incumpliendo con la LOPD.
A parte está el tema de los servidores de Google. Si los datos está en Europa y no salen, no hay problema, si no existen esas garantías se están incumpliendo con la LOPD en esos términos también.
Yo todo eso de primera mano no lo sé, ni si es así o si no, habría que preguntárselo al Delegado de Protección de Datos. Pero yo asumo que si un medio de comunicación ha realizado esa labor de investigación y lo publica, es así y por lo tanto incumpliría con la LOPD.