Política de privacidad de Rastrea el Virus aplicación móvil de monitoreo del COVID-19

2020/08/25 (v1.1.0)

Sobre este documento

Esta “Política de privacidad” describe las prácticas de privacidad del Departamento de Salud de Puerto Rico y de cualquier agente, vendedor, procesador o cualquier otra parte controlada por el Departamento de Salud de Puerto Rico (“DSPR”, “nosotros” “nos” o “nuestro”) con relación a la aplicación móvil Rastrea el Virus (“Rastrea el Virus” o la “Aplicación”) basado en el código abierto de la Fundación PathCheck. Esta Política de privacidad también describe los derechos y alternativas disponibles para usted respecto a su información al utilizar la Aplicación.

¿Qué es el protocolo de Notificaciones de Exposición de Google/Apple?

El 10 de abril de 2020, Google y Apple anunciaron una colaboración para habilitar el uso de la tecnología Bluetooth con el fin de ayudar a los gobiernos y a las agencias de salud a disminuir la propagación de COVID-19 mediante notificaciones de exposición, cuyo diseño está centrado en la seguridad y la privacidad. El protocolo ha sido revisado por expertos en privacidad, y la optimización de su implementación es materia de investigación continua internacionalmente. Solo las autoridades salubristas autorizadas pueden lanzar aplicaciones que accedan a las funciones del sistema operativo que Google y Apple han creado para este fin (la “Notificaciones de Exposición”).

Qué hace Rastrea el Virus

La Aplicación apoya la respuesta de salud pública de Puerto Rico y del público durante la crisis del COVID-19. Su función es notificarle y conectarlo con nosotros a la mayor brevedad posible en caso de que usted haya estado en contacto cercano y prolongado con alguien que ha arrojado un resultado positivo.

La Aplicación no puede prevenir su exposición al virus, pero puede ayudarlo a romper la cadena de exposición.

Cómo funciona la tecnología de Notificaciones de Exposición en la Aplicación

Una vez la Aplicación solicite que el sistema operativo habilite Notificaciones de Exposición, y usted así lo autorice, su dispositivo emitirá señales de Bluetooth regularmente. Estas señales de Bluetooth (o “Pitidos”) son números aleatorios generados utilizando claves (las “Claves”) para que no sean vinculadas a ninguna información de identificación personal sobre usted o su dispositivo, y cambian cada 10 a 20 minutos para proporcionar protección adicional.

Otros dispositivos estarán escuchando Pitidos y transmitiendo los suyos también. Cuando su dispositivo recibe otros Pitidos, su sistema operativo grabará y almacenará esos Pitidos de forma segura. Al menos una vez al día, la aplicación Notificaciones de Exposición que haya sido previamente autorizada solicitará al sistema operativo que descargue una lista de las Claves generadoras de Pitidos que han sido previamente verificadas por nosotros como positivo a COVID-19 (las “Claves de Diagnóstico Positivo”). Su dispositivo verificará la lista de Pitidos que ha grabado para determinar si se generaron utilizando las Claves de Diagnóstico Positivo.

Si usted se encuentra con alguien que también esté utilizando la Aplicación por suficiente tiempo como para registrar Pitidos de esa persona; y luego esa persona recibe un diagnóstico positivo de COVID-19 y decide compartir su Clave de Diagnóstico Positivo, en ese momento, la Aplicación reconocerá una coincidencia con los Pitidos previamente registrados por usted. La Aplicación medirá la cercanía y duración localmente antes de decidir si le envía una notificación de exposición. Los criterios pertinentes serán actualizados de acuerdo con la investigación mundial en curso y están basado en varios factores:

  • Proximidad, según pueda estimar su dispositivo;
  • duración del contacto y;
  • si el contacto ocurrió en los últimos 14 días.

Medidas de seguridad

El proceso de toma de decisión para proveer al usuario una notificación de exposición, utiliza un modelo de privacidad totalmente “descentralizado”. Esto significa que cualquier coincidencia entre una Clave de Diagnóstico Positivo y algún Pitido que usted se ha encontrado ha sido vinculada o enlazada localmente en su dispositivo. Su dispositivo nunca carga Pitidos que ha descubierto. Las correspondencias no las realizamos nosotros externamente ni ningún tercero.

Los terceros que hemos contratado para ayudar con la investigación de casos epidemiológicos y el rastreo de contactos son los “Rastreadores de Contactos”. El protocolo de Notificaciones de Exposición está diseñado para prevenir el rastreo de movimientos de las personas o de los que estás hayan contactado. Dicho de otro modo, se resuelve el mismo problema al que llamamos insignia de exposición. Esto significa que se suman todos los eventos de exposición mientras estos ocurren en vez de que un Rastreador de Contacto tenga que recrear tu historial de movimiento. No obstante, a diferencia de una insignia de exposición, los eventos de exposición a casos positivos son revelados posteriormente no en el momento del contacto.

Los códigos de verificación (“Códigos de Verificación”) son secuencias cortas de dígitos que criptográficamente limitan el acceso a reportar resultados de pruebas positivas. Son enviados solamente, bajo nuestra autorización, a usuarios que tienen un diagnóstico positivo confirmado. Esto protege la calidad de las Notificaciones de Exposición que hace la Aplicación.

Las claves utilizadas para generar Pitidos son almacenadas por el sistema operativo y no están disponibles para ninguna aplicación que no sea la autorizada para Notificaciones de Exposición, y sólo cuando éstas están desbloqueadas por un Código de Verificación. El sistema operativo confirma este acceso presentando un cuadro de diálogo con la advertencia de seguridad.

Datos recopilados

La Aplicación no requerirá que usted proporcione datos personales para obtener notificaciones de exposición. Tampoco tendrá acceso al sistema de almacenamiento de archivos del dispositivo para guardar cualquier información.

Datos generados por la Aplicación

Si usted decide autorizar las Notificaciones de Exposición en su dispositivo, su dispositivo intercambiará Pitidos con dispositivos de otros usuarios. Si usted arroja positivo, usted puede prestar su consentimiento en la Aplicación, que entonces compartirá Claves de Diagnóstico Positivo generadas en las últimas dos semanas en nuestro registro. Estos Pitidos generados por las Claves nunca se comparten con nosotros.

Como consecuencia del tráfico en la red, su dirección de Protocolo de Internet (su “Dirección IP”) también se transfiere a los Servidores DSPR. Aunque los datos transmitidos entre la Aplicación y los servidores DSPR incluye su Dirección IP y esta se considera información personal, no la utilizamos para identificarlo, es decir, su Dirección IP no se almacena ni se utiliza en conjunto con los demás datos que puedan servir para identificarlo a usted. Debido a que los Pitidos son enviados anónimamente y coinciden localmente en su dispositivo, y dado que los Códigos de Verificación limitan criptográficamente el acceso, los servidores del DSPR nunca necesitan identificarlo a usted, ni siquiera para cargar Claves de Diagnóstico Positivo.

Acuerdos con terceros

El DSPR es responsable de correr la Aplicación y toda la infraestructura requerida para operar y mantener la Aplicación, incluyendo sus servidores. En ese sentido, terceros desarrollan y operan servidores del DSPR, del mismo modo que procesan Claves de Diagnóstico Positivo. La Aplicación nunca carga datos a ningún servidor sin primero pedir su consentimiento.

Las siguientes entidades proveen servicios al DSPR en relación con las funciones de la Aplicación, pero esta lista no incluye necesariamente a todas las entidades o terceros que pudieran estar colaborando con el DSPR en este esfuerzo actualmente o en el futuro.

  • El Fideicomiso de Ciencia, Tecnología e Investigación de Puerto Rico (“SciTech”) está autorizado por nosotros para desarrollar la Aplicación.
  • SciTech y Fundación PathCheck acordaron suplir la fuente de códigos de la Aplicación y asistir en las operaciones de los servidores del DSPR.
  • El servidor de la Clave de Diagnóstico Positivo de PathCheck es una copia sin modificar del código de referencia de Google.
  • Los Rastreadores de Contactos están autorizados a entregar Códigos de Verificación según sea necesario para enviar Claves de Diagnóstico Positivo a los servidores DSPR.
  • El DSPR, o algún Rastreador de Contacto autorizado, puede enviar Códigos de Verificación a su teléfono a través de mensajes de texto, utilizando la Alerta Sara de MITRE.

La aplicación puede ser descargada de forma gratuita desde el Apple App Store y del Google Play Store. Apple y Google requieren el inicio de sesión en la cuenta para que la Aplicación esté disponible. Ninguna de las compañías obtiene datos personales suyos por el uso de la Aplicación ni el protocolo de Notificaciones de Exposición.

Datos visibles a otros usuarios de la Aplicación

Se envían Pitidos a todos los dispositivos cercanos. Si bien los Pitidos no pueden identificar directamente a ningún usuario, hay circunstancias en las que un usuario podría identificar a otro en función del día en que ocurrió el contacto. A modo de ejemplo, esto puede ocurrir si un usuario conoce a otro usuario personalmente, recuerda un día específico de reunión y puede descartar a otros candidatos.

Terminación

Para revocar su consentimiento y terminar su uso de Rastrea el Virus, borre la Aplicación de su dispositivo. Aparte de la Dirección IP, la cual podría estar almacenada en nuestros servidores y no puede ser borrada ni es utilizada para identificarlo, no hay ninguna otra información que lo identifique a usted aparte de su dispositivo.

Cambios

Esta Política de Privacidad puede cambiar. De esta Política de Privacidad cambiar, usted recibirá una notificación de la actualización en la Aplicación.

Preguntas sobre esta política

Para preguntas legales sobre esta política, contáctenos a <contactus@salud.pr.gov>.