La decisión que llegó tarde para proteger los datos de los usuarios de CoronApp

La Corte Constitucional recientemente tomó una decisión que llegó casi cinco años tarde. En medio de la pandemia por Covid-19, Colombia se unió a la lista de países que implementaron la aplicación CoronApp, con la que buscaban recolectar los datos de los ciudadanos para identificar su ubicación, los contactos cercanos y evaluar riesgos epidemiológicos. Sin embargo, el gobierno de Iván Duque no dejó claro si los datos que se le entregaban a la aplicación serían usados solo para esos fines o si la información personal sería empleada con otro propósito. Ese interrogante llevó a que se le pidiera al gobierno Duque abrir al público el código fuente de la herramienta y saber realmente en qué se usaría la información.

La Corte Constitucional recientemente tomó una decisión que llegó casi cinco años tarde. En medio de la pandemia por Covid-19, Colombia se unió a la lista de países que implementaron la aplicación CoronApp, con la que buscaban recolectar los datos de los ciudadanos para identificar su ubicación, los contactos cercanos y evaluar riesgos epidemiológicos. Sin embargo, el gobierno de Iván Duque no dejó claro si los datos que se le entregaban a la aplicación serían usados solo para esos fines o si la información personal sería empleada con otro propósito. Ese interrogante llevó a que se le pidiera al gobierno Duque abrir al público el código fuente de la herramienta y saber realmente en qué se usaría la información.

Podría interesarle: A cinco años de la pandemia de covid-19, ¿estamos preparados para otra emergencia?

En agosto de 2020, el investigador y docente de la Universidad Externado, Juan Carlos Upegui Mejía, le solicitó a la Agencia Nacional Digital (AND) la copia del código fuente de la aplicación CoronApp, al considerar que debía ser información abierta al público. Ese código, en palabras sencillas, es el que dice para qué y cómo funciona realmente una aplicación y hasta qué punto puede recolectar y usar datos de sus usuarios. Sin embargo, la respuesta fue negativa, porque, según la AND, entregar esos datos “podría comprometer la privacidad de la información personal de los usuarios de la aplicación” y era “información con carácter reservado”.

El docente, quien para la época hacía parte de la ONG Dejusticia, presentó una tutela ante el Juzgado 64 Administrativo de Bogotá, que en enero de 2021 le dio la razón a la AND. Sin embargo, insistieron en su petición, pero frente al Tribunal Administrativo de Cundinamarca, que tomó la misma decisión un mes después y consideró que el código fuente debía ser reservado y que “la publicación del código fuente de la aplicación pondría en riesgo la seguridad de la información que al menos 13 millones de ciudadanos han depositado en ella, de los cuales tres millones eran usuarios activos”. Pero el caso llegó hasta la Corte Constitucional, donde su destino fue muy distinto, aunque tardío.

Le recomendamos: El Estado sigue sin cumplir las órdenes sobre la salud de los wayuu en La Guajira

El expediente llegó al alto tribunal en junio de 2021 y en medio del proceso CoronApp pasó a llamarse Minsalud Digital. También, dejó de ser propiedad de la AND y se le cedió al Ministerio de Salud y Seguridad Social, debido a que la pandemia terminó y la función de recolectar datos sobre el Covid-19 ya no era útil. A pesar de eso, el nuevo dueño de la aplicación dijo que no entregarían la información, porque “podría afectar la confidencialidad e integridad del Ministerio”. Pero la reciente decisión de la Corte ordenó entregar “el código fuente de la aplicación CoronApp, con todo el historial y control de versiones desde su versión original hasta el momento en que estuvo en uso”.

En diálogo con este diario, Juan Carlos Upegui, quien ahora es delegado de Protección de Datos de la Superintendencia de Industria y Comercio, aseguró que aunque la Corte le dio solamente 15 días al Ministerio para enviar la información, todavía no lo han hecho a pesar de que está por cumplirse un mes de la decisión. Además, el docente señaló que la información que le llegaría sobre la extinta aplicación ya no serviría de mucho, porque mientras estuvo vigente no se supo qué pasaba con la información recopilada. Aun así, resalta que la sentencia va a ser un referente en el mundo para el acceso a la información pública y uso de nuevas herramientas digitales.

Conozca más: Despiste de Corte Constitucional echó para atrás discusión de la reforma pensional

“Lo que le está pasando al sector privado y al sector público con la transformación digital, con el uso de inteligencias artificiales, es que cada vez más la toma de decisiones está siendo casi que entregada a los programas informáticos y cada vez más esa toma de decisiones se alimenta con los datos personales de todos”, expresó Upegui a este diario. Agregó que “los sistemas de fotomultas, las centrales de riesgo, las clasificaciones de las personas para subsidios, el estudio de créditos, funcionan así, con sistemas de decisión automatizados que funcionan con unos códigos fuente en los que se adelanta tratamiento intensivo de datos personales”.

Aunque sostiene que el caso CoronApp está “enterrado”, sirve para la protección de derechos a futuro. “Si todas esas decisiones que tienen un impacto concreto y real sobre las personas son tomadas con sistemas de decisión automatizados, la Corte nos dice que nosotros, como titulares de la información y eventualmente como beneficiarios o afectados de esas decisiones, tenemos derecho a saber cómo se toman”. De hecho, la sentencia dice que entregar los códigos fuente “es una garantía fundamental para asegurar un empleo adecuado y razonable de los datos personales y evitar que el uso de sistemas algorítmicos para la toma de decisiones por parte de entidades públicas derive en decisiones arbitrarias o discriminatorias”.

Lea también: La cadena de errores que llevó a ponerle freno a debate sobre la reforma pensional

Ahora Upegui está en una posición muy distinta a la que ocupaba cuando presentó la tutela hace casi cinco años. Según él, como delegado de Protección de Datos de la Superintendencia de Industria y Comercio tendrá que encargarse de resolver el problema que abrió él mismo en el pasado, pero que ahora considera que dará mayores garantías al acceso a la información. “Mi rol ha cambiado, pero el compromiso con la protección del derecho a la protección de datos personales es el mismo. Lo que pasa es que ahora tengo los desafíos regulatorios y la necesidad de eventualmente hacerle difusión a esa sentencia como una garantía”, concluyó.

Para conocer más sobre justicia, seguridad y derechos humanos, visite la sección Judicial de El Espectador.