RadarCOVID: se libera su código, aunque la demanda de más transparencia no cesa

La imprescindible aplicación de rastreo de contactos RadarCOVID ha vivido numerosas batallas en su corta vida. Primero fueron las quejas por la lentitud en su concepción (motivada principalmente por la espera al desarrollo conjunto de Apple y Google en que se basa). Luego, los problemas derivados de la gestión autonómica de la sanidad y la necesidad de integrar la app con cada uno de esos sistemas regionales. Y, por el camino, las dudas sobre la privacidad que algunos colectivos habían lanzado, especialmente a través de las redes sociales.

Con el fin de dotar de transparencia a todo lo que rodea a la aplicación, la Secretaría de Estado de Digitalización e Inteligencia Artificial liberó ayer, 9 de septiembre, el código de RadarCOVID en GitHub, popular repositorio propiedad de Microsoft. "Se trata de un ejercicio de transparencia para que el funcionamiento de la aplicación pueda ser auditado de forma abierta y directa por parte de la ciudadanía. El objetivo es que cualquiera pueda remitir observaciones y sugerencias que contribuyan a mejorar esta herramienta", afirman desde la SEDIA.

Ese movimiento se llevó a cabo calcando el plazo marcado por la propia Carme Artigas al respecto y, de este modo, dando cumplimiento no sólo a un compromiso político del Gobierno, sino también a las propias especificaciones técnicas del protocolo europeo DP3T en que se basa esta app. De hecho, la liberación del código de RadarCOVID se ha hecho bajo la misma licencia que el protocolo DP3T, la  ‘Mozilla Public License 2.0’.

Lo que se echa en falta

Aunque este paso adelante en el código abierto ha sido bien acogido por la comunidad, también se han sucedido algunas críticas contra las formas y algunas deficiencias técnicas en este ejercicio de transparencia pionero en la Administración Pública.

Una de ellas, reflejada por varios desarrolladores en redes sociales, tiene que ver con la falta de coincidencia entre el código publicado en GitHub y la actual aplicación para Android. Desde el Ejecutivo aseguran que se trata de "la última versión disponible de la aplicación", pero algunos técnicos aseguran que hay diferencias -menores, eso sí- entre ambas, con lo que es probable que no se trate realmente de la última revisión sino que se haya tomado la foto fija del código con anterioridad.

Por otro lado, entre los numerosos comentarios de mejoras y detección de errores (que lejos de ser negativo es el objetivo último de esta apertura) hay algunos que resultan llamativos. Ya cuando RadarCOVID solo estaba disponible en el proyecto piloto de La Gomera, hubo desarrolladores que descubrieron -mediante técnicas de reversing- la existencia de algunas claves privadas en el código de la aplicación. Aunque esas claves ya no están operativas, siguen presentes en el código liberado por la SEDIA en el día de ayer.

Pero más allá del código, las voces críticas apelan a un concepto más amplio y demandan no sólo que se abra el código de la aplicación, sino que se publiquen muchos más documentos asociados a RadarCOVID. "Ahora falta que se publique la Evaluación de Impacto (en relación con la Privacidad/Protección de Datos Personales) y el dictamen favorable de la Autoridad de Control (AEPD) como ya se ha hecho en Italia y Alemania", defiende DigiLegal. "¿Se ha publicado ya la memoria justificativa del contrato, el pliego de condiciones y el contrato de RadarCOVID?", se pregunta @mablanes. Por el momento, la respuesta es no a todas estas cuestiones.

A ello hemos de sumar las reclamaciones planteadas la semana pasada por un centenar de académicos que exigían no sólo que se hiciera público un repositorio con el código, sino también detalles "sobre su despliegue, gobernanza y medidas de seguridad adoptadas", así como "el historial del código utilizado desde el inicio" y un "informe de diseño del sistema con los análisis que han llevado a decidir los parámetros de configuración y uso de la API de Exposición de Notificaciones de Google y Apple".

Proyecto pionero

A pesar de estas lagunas, la apertura del código de RadarCOVID constituye el primer gran ejercicio en estas lides de la AAPP española, al menos a esta escala. 

Por lo pronto, la aplicación continua con su expansión por el territorio nacional, estando "totalmente operativa" según la SEDIA en trece comunidades autónomas, una vez completado en la última semana el proceso técnico de integración con los sistemas sanitarios de la Comunidad de Madrid, la Comunidad Valenciana, Navarra, Asturias y La Rioja. De este modo, la aplicación ya está disponible de forma completa para casi el 70% de la población. 

Todas ellas se suman a Andalucía, Aragón, Baleares, Canarias, Cantabria, Castilla y León, Extremadura y Región de Murcia donde la aplicación ya estaba operativa. RadarCOVID "está lista para que el resto de comunidades autónomas también puedan integrarla en cuanto terminen los trabajos técnicos, cuyo desarrollo sigue avanzando", reiteran desde el Ejecutivo.