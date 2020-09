Radar Covid, la app de rastreo de contactos lanzada por el Gobierno de España para frenar el avance de la pandemia, incluye en su código Firebase, un software de Google que no se menciona en la política de privacidad de la aplicación. Bajo el reglamento europeo de protección de datos, el llamado GDPR, las aplicaciones están obligadas a declarar la presencia de código externo. Incluso Google lo advierte en su información sobre Firebase. Más, si cabe, en una app utilizada en un ámbito tan sensible como el de la salud. En una actualización del pasado miércoles Firebase ha desaparecido en el entorno Apple, pero en el momento de cerrar este artículo sigue presente en Android, donde la aplicación no se actualiza desde el 7 de agosto.

Desde la Secretaría de Estado de Inteligencia Artificial, impulsora de la app, admiten que se ha usado Firebase en la fase de prueba "para agilizar el proceso de lanzamiento e identificar puntos de mejora de la aplicación". Después de repetidas preguntas de EL PAÍS durante varios días, no han aclarado exactamente qué hace este código, más allá de una explicación que no responde al fondo de la cuestión. "Se utilizó para poder recoger fallos y mejorar la app, y en ningún caso se utilizó ningún dato que no fuesen esos bugs [fallos de software] detectados", siempre según fuentes del Gobierno.

Firebase puede servir para muchas cosas: es una especie de navaja suiza de software para desarrolladores de aplicaciones. No es solo una herramienta para detectar fallos. Su uso depende de las funciones que active cada programador. Una de las más habituales es recoger información sobre el uso de la app: qué modelos de móviles se la descargan, cuánto tiempo se usa, cada cuánto se abre. Google da, además, un identificador aleatorio por cada descarga que en principio no puede llevar a identificar a los usuarios. Pero solo en principio, y para evitar precisamente estas dudas, la legislación europea obliga a declarar la presencia de este tipo de código en las aplicaciones. Radar Covid no lo hace.

La Secretaría de Estado insiste en que Firebase solo sirvió para la fase de pruebas y que desaparecerá de Radar Covid en los teléfonos con sistema operativo Android tras una actualización inminente. EL PAÍS preguntó por primera vez por Firebase el pasado 10 de septiembre, un día después de que se hiciera público el código de la aplicación. En GitHub, el repositorio donde se colgó el código de Radar Covid, hay una pregunta abierta sin contestar sobre Firebase desde el mismo día 9. Firebase podría ciertamente tener sentido en una fase de pruebas real, pero Radar Covid está ya en cuatro millones de móviles españoles y han pasado dos meses desde el fin del piloto. ¿Por qué se ha alargado tanto la fase de testing? El Gobierno no lo explica.

"Las aplicaciones de rastreo de contactos que usan Firebase comparten datos no solo con las autoridades sanitarias sino también con Google", dice Douglas Leith, catedrático de Sistemas de Computación en el Trinity College de Dublín y autor de un informe sobre las apps europeas de rastreo de contactos. "Google es una organización con ánimo de lucro cuyo negocio es usar datos para anuncios personalizados, lo que levanta preocupaciones obvias. Además, en móviles Android, el uso de Firebase habilita Google Play Services, que comparten información con Google ( email, número de teléfono, número de SIM) y hace que un móvil envíe mensajes frecuentes a servidores de Google". Firebase no tiene ninguna relación con el sistema específico que han creado Apple y Google para facilitar que estos sistemas funcionen con Bluetooth. Por todo esto, Leith cree que debe eliminarse: "Firebase no es la mejor práctica para una aplicación de rastreo de contagios que el Gobierno anima a toda la población a instalarse y que pretende proteger su privacidad".