Tecnología

Certificado de vacunación busca superar dudas en manejo de datos con nueva versión

Autoridades indican la lectura en los comercios podrá realizarse por medio de un teléfono inteligente y una app gratuita

A partir del primero de diciembre será obligatorio mostrar el código QR de certificado de vacunación covid-19 completo en diferentes establecimientos del país

El gobierno de Carlos Alvarado anunció que el Ministerio de Salud, como ente rector del sector, emitirá un nuevo código QR para el certificado de vacunación contra el covid-19, el cual será indispensable para que las personas puedan ingresar a comercios, instituciones públicas y eventos desde el próximo mes de diciembre.

“Estamos generando un código QR con la información necesaria. El app lo que tiene es una llave que abre esa información que viene de forma segura y por medio de un certificado digital del Ministerio de Salud”, explicó Jorge Mora Flores, director de gobernanza digital del Micitt en la conferencia de prensa de Casa Presidencial el pasado 13 de octubre.

Ante una consulta de EF, Mora indicó que se trabaja para que la app esté disponible en las tiendas de App Store de Apple, Google Play de Android y Huawei. La lectura en los comercios podrá realizarse por medio de un teléfono inteligente y una app gratuita.

La sustitución se realiza cuando más de 1,1 millón de personas ya tienen un certificado con código QR, el cual se empezó a distribuir hace menos de un mes y generó múltiples preocupaciones y dudas.

El Micitt aclaró que no se pudo utilizar la app del Expediente Único Digital en Salud (EDUS), de la Caja Costarricense del Seguro Social (CCSS), pues en Costa Rica y en diferentes países legalmente la entidad que puede generar los certificados es el Ministerio de Salud. Aún así “se están explorando algunas opciones en esta vía”.

¿Qué pasó con el primer QR?

El certificado de vacunación nació ante la necesidad de la población de demostrar su vacunación, en su mayoría inicialmente para salir del país y como requisito de las autoridades de destino. “Hace tres semanas se decidió realizar una prueba piloto generando una primera versión de código QR con un formato muy similar a los que se están utilizando en otros países”, señaló Mora.

Edgar Morales, director de tecnología de información y comunicación del Ministerio de Salud, dijo que el certificado fue evolucionando en diferentes escenarios para presentar como evidencia en trabajos, becas o procedimientos médicos entre otras razones que tienen los usuarios para solicitarlo. El documento debía contar con una forma de validación, por lo que se implementó verificación por medio de QR o código alfanúmero único para cada persona.

A las personas vacunadas les llegaba a su correo electrónico o lo solicitaban en línea, pues según las autoridades cerca de la mitad no lo reporta. El mecanismo establecido generó dudas y preocupaciones, pues en el certificado actual, al escanear el código QR o luego de introducir el código de cada persona se muestra información de una desarrolladora informática local y se enlaza a un sitio web privado (fuera del dominio go.cr) que lleva al enlace de vacunas Estuve Aquí, el cual “es de titularidad privada”.

“El Ministerio de Salud está realizando recolección de datos sensibles sin informar a los ciudadanos la finalidad del tratamiento, quiénes serán los destinatarios de dicha información ni el tipo de tratamientos que realizará con esos datos”, advirtió Mauricio París, socio ECIJA Legal y especialista en protección de datos.

Morales admitió que para que el certificado pudiera ser verificado en otros países debía estar en línea y que cuando se realizaba la lectura de cada documento se dirigía “a una página que no tenía dominio oficial” y hacía mención “a un sitio Estuve Aquí”. El funcionario aseguró que este sitio no tiene ninguna relación con aplicaciones de rastreo, pues en Costa Rica no se cuenta con este tipo de aplicaciones.

Estuve Aquí fue una iniciativa que no llegó a su finalización, por lo que se decidió aprovechar el sitio para este proyecto, en el tanto llegaba la transición a un dominio oficial del Ministerio de Salud”, señaló Morales. Agregó que la información de las personas no está expuesta abiertamente, sino que se hace por medio de la verificación de cada documento y si la persona lo muestra, “por lo cual ya queda implícito su consentimiento informado”.

“El dominio utilizado se había registrado para otro proyecto que no continuamos, mientras se terminaban de realizar las configuraciones necesarias bajo el dominio oficial del Ministerio de Salud”, dijo por su parte Mora, del Micitt.

Los especialistas legales recordaron que la información sobre la salud y la vacunación es un dato sensible de acuerdo a la Ley de Protección de Datos Personales (Nº 8968) y sólo puede ser tratada con el consentimiento de su titular o bajo algunas excepciones como la gestión de servicios sanitarios, siempre y cuando dicho tratamiento lo realicen funcionarios del área de salud sujetos al secreto profesional.

La base de datos debe contar así con medidas de seguridad, responsabilidad que se mantiene cuando se subcontratan empresas que brindan servicios de gestión de datos, lo que obliga a establecer los deberes de cada parte, el uso de la información para el objetivo establecido únicamente y verla por la confidencialidad y protección de los datos. “Al solicitar el certificado se debe aclarar para cuáles fines será utilizada dicha información y deben apegarse a lo indicado”, advirtió León Weinstok Mendelewicz, director en la firma BLP.

París advirtió que ni en el formulario ni en ninguna otra parte del procedimiento para la obtención del certificado de vacunación, cuando una persona se vacunó fuera del país y requiere “homologar” su vacuna en el país, se solicita el consentimiento informado. Agregó que no se ha emitido ningún tipo de regulación relativa al tratamiento de datos personales sensibles relacionados con covid-19. “El Ministerio debe informar sobre las condiciones de participación del proveedor y los parámetros de seguridad y confidencialidad”, recalcó París.

Elizabeth Mora, directora nacional de la Agencia de Protección de Datos de los Habitantes (Prodhab), afirmó que desde el inicio de la pandemia se brinda acompañamiento al Ministerio de Salud “cuando este así lo ha solicitado” y ha sido clara en los procedimientos que se deben cumplir en caso que se emplee cualquier aplicación o sistema tecnológico de tratamiento de datos sensibles, como lo son los datos personales referentes a la salud.

“La CCSS o el Ministerio de Salud no requieren la aprobación de la Prodhab para disponer de mecanismos como el certificado de vacunación digital o para escoger a sus proveedores de tecnología”, dijo Elizabeth Mora. “Es más bien, bajo el principio de responsabilidad proactiva, que cada responsable o encargado de una base de datos debe comprometerse con el cumplimiento de la normativa de cada uno de los titulares de los datos que trata”.

¿Más seguro?
Medidas de protección de información del certificado de vacunación:
La información existente en la plataforma se encuentra almacenada en un datacenter dentro de un servicio administrado por AWS, con niveles de seguridad elevados que cumplen con los lineamientos definidos en los decretos de seguridad y privacidad de la información HIPPA.
Toda la información viaja a través de protocolos HTTPS y SSL por lo que los datos siempre viajan cifrados y en caso hipotético de intercepción de los datos, no pueden ser vistos ni desencriptados.
A nivel de base de datos la información está protegida con usuarios solo con permisos específicos para lo que requiere la aplicación que solo se puede acceder por direcciones IP y puertos específicos.
El nuevo código QR que se está implementando incorpora el mecanismo de la firma digital certificada institucional, llamada “sello electrónico”, con el cual genera garantía y no repudio de la emisión del código y al mismo tiempo lo protege para que pueda ser leído únicamente con app oficial.
Fuente: Ministerio de Salud

El nuevo QR

El nuevo código QR se puede adquirir a partir del próximo 8 de noviembre. En teoría, las personas que ya tienen el QR “anterior” deberán ingresar a la plataforma y “automáticamente” tendrán el nuevo para descargarlo.

La versión que se dispondrá tiene el mismo formato del primero y lo que se pretende es “fortalecer y agilizar” la verificación del estado de vacunación contra la COVID-19 de las personas. Los funcionarios sostuvieron que el “piloto” permitió validar la funcionalidad y la facilidad de uso del certificado.

“Ahora nos encontramos fortaleciendo el código QR de vacunación COVID-19 tomando las mejoras prácticas internacionales y el modelo definido por la Unión Europea para que a partir de noviembre contemos con una solución segura, que no utilice Internet, que proteja nuestros datos y finalmente que pueda ser utilizada en formato digital o impreso”, dijo Mora, del Micitt.

En su desarrollo trabajan empresas privadas “que donan su trabajo” y funcionarios del Ministerio de Salud, la CCSS, la Comisión Nacional de Emergencias, el Instituto Costarricense de Electricidad (ICE) y el Micitt. La app no tendrá costo, no requiere conexión a Internet, no almacena datos de cédulas ni otra información de las personas y, según las entidades, solo tendría datos básicos para verificar el certificado.

El gobierno aseguró que no se registrarán los sitios visitados donde se usó el código QR. Además, existirá la opción de usar el código QR en el celular o imprimirlo para que puedan utilizarlo toda la población.

Aparte de los estándares y el formato de la Unión Europea (que facilitaría el ingresos de turistas de esa región y la visita de costarricenses a ella), Mora dijo que se incorporan también herramientas como el sello electrónico de los certificados digitales que se tiene en Costa Rica, así como una plataforma que resguardaría la información de los ciudadanos.

El Ministerio de Salud indicó que mantiene administración y control del certificado QR, que se encuentra alojado en servidores de Amazon Web Services. Su generación se realiza a través del llamado Módulo de Comando, una plataforma de gestión epidemiológica de casos COVID-19 que tiene la institución y que integra la información de casos, contactos, resultados de laboratorio, órdenes sanitarias y vacunas. En esa plataforma también se encuentran otros aplicativos, como la Mascarilla Digital.

La cartera recalcó que el proceso de emisión del certificado es su responsabilidad, como en otras inmunizaciones que se tengan que realizar (por ejemplo, de la fiebre amarilla). A la CCSS le corresponde notificar o enviar la información de vacunación. Los datos quedan en la base de datos del Ministerio, cuya inscripción en la Prodhab se realizó hasta abril del 2021.

Carlos Cordero Pérez

Carlos Cordero Pérez

Carlos Cordero es periodista especializado en temas tecnológicos. Escribe para El Financiero y es autor del blog "La Ley de Murphy".