La Generalitat de Catalunya sacó el 18 de marzo StopCovid19, la primera app de autodiagnóstico de la Covid-19 en España. Su objetivo es aliviar las llamadas a emergencias de gente con síntomas. La app guía al usuario sobre si debe seguir en casa o llamar a urgencias. Los datos de identidad y dolencias que introducen los más de medio millón de ciudadanos que se la han descargado son por tanto muy sensibles.
“No hay ningún acuerdo para vender esos datos. Hemos pasado todos los permisos de Protección de datos. Estamos hablando de datos de estado de salud que tienen la máxima protección y lo hemos hecho todo con rigor para poder tener esta aplicación”, dijo en rueda de prensa la consellera de Salut de la Generalitat, Alba Vergés, al poco de salir la app.
La app StopCovid19 manda información a tres dominios: api.backendcovid19[.]net, location.backendcovid19[.]net y mmm.mubiquo[.]com. Los tres están alojados en servidores de Amazon, según una investigación de las apps de autodiagnóstico españolas de AppCensus, una startup ubicada en San Francisco que ofrece análisis y productos centrados en privacidad.
En uno de los dominios aparece el término Mubiquo, el nombre de una empresa de márketing de Barcelona, cuya herramienta estrella se llama Plataforma M y que sirve para “incrementar la eficacia de tu canal móvil con mensajes personalizados, localización y proximidad”. En su web, citan como clientes a L’Illa, Tous, Nestlé, BBVA o Santander.
La política de privacidad de la app no advierte de la presencia ni función de una empresa cuyo negocio está alejado de la salud pública.
Mubiquo captura la localización del más de medio millón de descargas de la app. El permiso de localización es imprescindible para usar la app. Ninguna otra app contra la Covid-19 de España obliga a compartir localización. Según la respuesta de la Generalitat, sin embargo, Mubiquo solo tendría acceso a un identificador de la descarga, no del usuario.