Radar Covid morirá en noviembre tras infringir reiteradamente la ley
► La AEPD resuelve que la secretaría de Estado infringió ocho artículos del reglamento de protección de datos ► «El desarrollo de la aplicación fue incorrecto y el uso completamente nulo, con problemas en todas la fases»
La historia de Radar Covid toca a su fin. Salvo giro sorprendente de los acontecimientos, la aplicación española de rastreo del coronavirus, esa que, en algún momento, aspiró a convertirse en herramienta diferencial en la lucha contra la pandemia, dejará de recibir soporte a partir del próximo mes de noviembre. Es cuando vence el contrato con la tecnológica española Indra, encargada de su creación y de su mantenimiento desde hace más de dos años.
Fuentes de la Secretaría de Estado de Digitalización e Inteligencia Artificial (Sedia), institución encargada de la aplicación, explican a ABC que «no hay planes» de prorrogar el acuerdo y seguir invirtiendo en una ‘app’ que nunca despegó y que, a lo largo de su vida, ha tenido un uso completamente residual. Esto no ha impedido que, hasta la fecha, todos los españoles hayan invertido en ella más de 4,2 millones de euros en materia de desarrollo, publicidad y mantenimiento. Dicho de otro modo, por cada uno de los 122.478 códigos de rastreo que se han ingresado en su interior desde el verano de 2020, el Estado ha pagado alrededor de 35 euros.
El hecho de que Radar Covid deje de contar con mantenimiento implica que la aplicación no podrá recibir mejoras e irá perdiendo funcionalidad de forma progresiva. Con el paso del tiempo, dejará de ser compatible con los sistemas operativos de los terminales que lo tienen instalado. Tampoco se dará solución a los errores que se descubran en su interior. Básicamente, implica matar a una plataforma que ni siquiera llegó a ser amortizada y que comenzó a perder valor en el momento en el que la prioridad comenzaron a ser las vacunas por encima del control de las infecciones.
La noticia de la muerte de Radar Covid llega acompañada en el tiempo por la resolución de la Agencia Española de Protección de Datos (AEPD) en la que se notifica que Sedia vulneró ocho artículos del Reglamento General de Protección de Datos (RGPD) durante el desarrollo y lanzamiento de la ‘app’ de rastreo, por lo que se la apercibe, pero no se la multa con ninguna cantidad económica al formar parte de la Administración.
La resolución del proceso sancionador llega después de dos años en los que varios demandantes se han quejado a la AEPD sobre la falta de transparencia del Gobierno respecto al tratamiento de la información de los usuarios y el funcionamiento de la herramienta. La agencia lo deja claro: Sedia
no trató la información de los españoles con «licitud, lealtad y transparencia», como manda la normativa.
«Estamos satisfechos con la resolución, aunque parcialmente. La aplicación se ha sacado de la forma que se ha sacado y, además, con un coste bastante importante para los españoles. El desarrollo fue incorrecto y el uso completamente nulo. Ha habido problemas en todas las fases», explica en conversación con ABC Sergio Carrasco, abogado litigante en nombre de Rights International Spain.
Cúmulo de fallos
Rights International Spain, como otros demandantes, llamó la atención de la agencia sobre el retraso de la administración a la hora de compartir la evaluación de impacto de la ‘app’, que, según las directrices del Comité Europeo de Protección de Datos, debía realizarse antes de arrancar el desarrollo. No se compartió hasta septiembre, cuando la aplicación ya había sido testada durante semanas en La Gomera y comenzaba a ser funcional en varias comunidades autónomas. Tampoco se
contó con la participación de un delegado de protección de datos, algo que la AEPD afea a la secretaría de Estado. «La existencia de una primera evaluación de impacto en agosto de 2020 denota también una falta flagrante de privacidad desde el diseño», expresa la agencia en su expediente sancionador.
Pau Enseñat, otro de los demandantes, señala que «era razonable que la secretaría de Estado, en un primer momento, cometiese errores; lo que no nos esperábamos es que muchos de ellos no se solucionasen con el tiempo».
Entre estos fallos se encuentra el descubrimiento de una vulnerabilidad en la aplicación que podía poner en riesgo información de los usuarios. Permitía, por ejemplo, asociar una dirección IP con la subida de un test positivo. Este ‘agujero’ ya era conocido por el equipo de desarrollo, ya que figuraba al menos en un documento técnico de abril de 2020. No fue resuelto hasta el 8 de octubre de ese año. «Aun siendo conscientes del riesgo, no integraron las garantías necesarias para garantizar la confidencialidad de los datos», afirma la AEPD.
Con esta sentencia, y la pérdida de funcionalidad progresiva de la aplicación a partir de noviembre, la carrera de Radar Covid llega a su fin. Durante los cerca de dos años que ha estado disponible, la ‘app’ ha sido descargada ocho millones de veces, pero no está claro el número de usuario reales. Tampoco se sabe el número de códigos de casos positivos que han recibido los españoles desde los centros de salud de sus localidades.