Temática: Economía digital

¿Quién defiende nuestros datos?

Las empresas

Cuando lanzamos la primera versión de este informe hace un año, la principal conclusión fue que a la industria de las telecomunicaciones le preocupaba poco o muy poco la protección de datos y la privacidad de los usuarios. Nuestra segunda conclusión fue que las empresas controladas por capitales extranjeros fueron levemente mejor evaluadas que sus pares, probablemente por cumplir con estándares fijados por su casa matriz.

Un año después, la versión 2018 pinta un panorama un poco más auspicioso. Un sector de la industria (en particular Claro y WOM) parece haber reaccionado ante los cuestionamientos del informe y avanzó sustantivamente en sus condiciones de privacidad y prácticas en pos de la defensa de los usuarios. Por otra parte, VTR y Movistar parecen haberse dormido en los laureles de su evaluación relativamente positiva del año pasado, y no avanzaron sustantivamente. Por último, Entel y Manquehue se mantienen al fondo de la tabla, no habiendo mostrado mayor interés en mejorar.

Una de las principales mejoras, y que resulta particularmente positiva a la luz de la polémica por la aprobación del llamado Decreto Espía, es que un número importante de empresas anunció públicamente que exige orden judicial previa, no solo cuando la autoridad solicita interceptar comunicaciones, sino para entregar acceso a los metadatos del usuario.

También resulta llamativo que las dos empresas que más avanzaron (Claro y WOM), son justamente las empresas más presentes en el segmento móvil del mercado, que hoy presenta mayores niveles de competencia. Esto puede indicar que el bajo nivel de competencia que enfrentan las empresas más afianzadas en el mercado entrega pocos incentivos para que estas ofrezcan mejoras en las condiciones de privacidad de sus usuarios.

La sociedad civil

Cuando nos preguntamos quienes recolectan, tratan y abusan de nuestros datos, los dardos generalmente apuntan al Estado y las empresas. Sin embargo, muchas organizaciones de la sociedad civil, como ONGs, partidos políticos, sindicatos y otros cuerpos intermedios también manejan grandes bases de datos personales, los que por un interés activo o por negligencia pueden ser mal utilizados.

Por su volumen, las bases de datos que los partidos políticos manejan al momento de desplegar sus campañas electorales son de particular importancia. Este año, nos enteramos que el mal uso de nuestros datos personales por parte de los partidos políticos va más allá de la compra de bases de datos y de mensajes de texto no solicitados.

En un extenso reportaje, CIPER dio a conocer que distintos partidos políticos han contratado los servicios de la empresa Instagis. A través de su software, la empresa permitiría identificar el RUT, domicilio y preferencia política de una persona, y de esta forma entregar publicidad personalizada durante las campañas políticas. Cabe recordar que las preferencias políticas de una persona constituyen un dato personal sensible, y por tanto su tratamiento no puede ampararse en haberse obtenido los datos de una fuente accesible al público. En otras palabras, estos partidos políticos están haciendo campaña a través de una herramienta que abusa de nuestros datos personales y está al margen de la legalidad.

Aun así, al igual que en el caso de las empresas de telecomunicaciones, hay un sector de los partidos políticos que ha decidido avanzar en la materia. Recientemente, el Frente Amplio ha buscado asesoría entre distintos expertos, con el fin de que su plataforma de participación no solo cumpla con la legislación, sino que entregue términos de privacidad que promuevan los derechos de sus participantes.

El Estado

Lamentablemente, y como hemos expresado en el pasado, los organismos público no solo no están cumpliendo con su deber de proteger los datos personales de los ciudadanos, sino que muchas de las iniciativas del gobierno activamente los exponen innecesariamente, o incluso como una forma de castigo.

De esta forma, la Ley Electoral todavía mandata que nuestros datos personales estén públicamente disponibles en el sitio web del SERVEL. Por otro lado, el próximo 5 de junio entrará a regir el denominado “DICOM del Transantiago”, una iniciativa que busca combatir la evasión del transporte público a través de un registro abierto cuyo objetivo es que los datos personales de los infractores sean expuestos, y así se vean discriminados en su acceso al trabajo, crédito y otros beneficios estatales.

¿El camino a seguir?

Si bien muchas de las mejoras antes descritas pueden resultar loables, lo cierto es que no bastan las iniciativas individuales. Necesitamos de una nueva legislación que impulse una cultura de la protección de datos a nivel transversal en nuestra sociedad.

El proyecto que hoy se encuentra actuamente en tramitación en el Senado se presenta como una oportunidad necesaria para mejorar nuestro estándar de protección y poder contar con una legislación cuyo objetivo sea proteger a las personas y no solo legitimar el tráfico de datos personales.

Sin embargo, para ello el proyecto debe modificar sustancialmente varias de sus disposiciones. Como hoy está contemplada, la futura Agencia de Protección de Datos Personales no cuenta con la autonomía e independencia necesaria del gobierno de turno para asegurar que sus decisiones sean de carácter exclusivamente técnico. Del mismo modo, resulta imperioso volver a incorporar los hábitos de las personas en la definición de dato personal sensible y restringir sustantivamente la figura del “interés legítimo” como causal para el tratamiento de datos personales sin el consentimiento del titular. Por último, es necesario aumentar el monto de las multas en casos graves o reincidentes, de forma tal que resulte un real desincentivo para las empresas de mayor tamaño. Tal vez emular la fórmula adoptada por la nueva versión Reglamento General de Protección de Datos, pronto a publicarse este mes, y que las multas asciendan hasta un 4% de los ingresos anuales de la empresa infractora resulte una buena idea a emular.

Los senadores tienen plazo hasta el 7 de junio para ingresar indicaciones al proyecto de ley, esperamos que las mejoras antes descritas puedan ser incorporadas a la discusión y debatidas, y de esta forma que sea la protección de los derechos de las personas el principal objetivo de nuestra legislación. Solo de esta forma podremos asegurar que la protección de los datos personales se transforme en la regla general en Chile, y no esté sujeta simplemente a la buena voluntad de los distintos actores involucrados.

Lejos de proteger nuestros datos en América Latina

Estamos a pocas semanas de que el Reglamento General de Protección de Datos (RGPD) entre en plena vigencia en la Unión Europea, y los efectos comienzan a notarse. La reglamentación contempla un entramado de normas que facilita el resguardo de los datos personales, incluyendo el tránsito de información personal que ocurre en el uso de tecnología digital. Varias empresas ya están luciendo nuevas políticas de manejo de datos, y haciendo saber a sus usuarias que han cambiado sus términos y condiciones de uso. Todo ello, para evitar las fuertes sanciones que imponen las nuevas reglas.

Ese cambio de conducta es significativo. No se trata solamente de una cuestión de cumplimiento legal, sino que se vincula directamente con el modelo de negocios de muchas de las empresas más grandes del mundo y que operan en internet. La monetarización basada en la recolección y el procesamiento de los datos personales enfrenta, al menos en la Unión Europea, algo más que un reproche ético y político, sumando ahora la necesidad de respetar una serie de reglas que devuelven un poco de control sobre los datos propios.

El nuevo estándar

El RGPD, aprobado en 2016, representa una evolución de la normativa de la Unión Europea para la protección de datos personales, pensada en el impacto de las tecnologías de información, y las condiciones actuales de recolección y procesamiento de datos personales. Entre otras cosas, el RGPD exige que la recolección de datos sea hecha mediando consentimiento previo, explícito, informado, libre y verificable; permite la portabilidad de los datos desde un controlador a otro; incorpora y regula el derecho a la supresión (u “olvido” desde índices); limita el uso de datos obtenidos de terceras personas a aquel obtenido bajo las condiciones propias del Reglamento; establece principios como el de privacidad por diseño y por defecto; regula más estrictamente la recolección y uso de la información de menores de edad, y más.

De forma quizás más relevante para los gigantes de internet, el RGPD los somete a un sistema de observancia particularmente duro. Además de la obligación de notificar en casos de fugas de datos o quiebres de seguridad, y de variar en las reglas sobre responsabilidad, las sanciones pueden elevarse hasta un 4% de los ingresos globales de la entidad infractora (o 20 millones de euros, según lo que sea mayor). Y ese nivel de impacto monetario es un serio desincentivo: los ingresos de Facebook no fueron seriamente mermados cuando en 2016 fueron multados por € 110 millones por proveer información incompleta tras la adquisición de WhatsApp. La sanción por infringir el RGPD podría ser muchísimo mayor. La pregunta que cabe, entonces, es si ese riesgo es suficiente para cambiar prácticas de uso de información personal y con ello los modelos de negocios a nivel global.

¿Nuevo estándar global?

La aplicación directa del RGPD en la Unión Europea se condice con la estrategia del bloque para agilizar el comercio, manteniendo un mismo nivel de protección en todos los países de la UE. Las transferencias internacionales quedan también sujetas a la existencia de certificación del nivel adecuado de protección de datos personales en los países con los que exista ese flujo de datos, o bien a la existencia de garantías adecuadas.

Por cierto, rigen tales reglas dentro del territorio de la Unión y para sus ciudadanos donde se encuentren, sin que para ello importe la ubicación comercial formal de las empresas, quedando estas obligadas por el hecho de operar allí o alcanzar con sus servicios a ciudadanos de la Unión. Esto es una obligación para quienes deseen continuar prestando servicios a una audiencia europea, sin embargo, ello no significa necesariamente que todos los cambios vayan a ser aplicables alrededor del mundo donde tales empresas también prestan sus servicios. Después de la audiencia de su CEO ante miembros del Senado estadounidense, Facebook tuvo que salir a aclarar que aplicará iguales condiciones de protección para la UE que para el resto del mundo, y no solamente los “controles” a los que obliga el RGPD; no obstante, subsiste la duda sobre si fuera de la UE esta y otras empresas abandonarán sus prácticas de recolección de datos masiva y su modelo de negocios basado en servicios a terceros a partir de los datos recolectados, o si adoptará por fin la privacidad por diseño.

Entonces, ¿se aplicarán estas reglas de protección allí donde el servicio alcanza igualmente a usuarios europeos y latinoamericanos? En parte, podríamos esperar que sí. Pero eso no es en absoluto suficiente para asegurar el pleno respeto de los derechos de las internautas en América Latina. Los cambios introducidos por el RGPD sirven como una demostración adicional del relativo abandono en que buena parte de la región mantiene sus reglas de protección de datos personales. Porque no existen, porque llevan años de tramitación como en Brasil y Chile, o porque sus alcances operativos son limitados.

La autorregulación, a estas alturas, es deseable pero insuficiente. En el espacio que brinda la ausencia de reglas protectoras, han nacido prácticas con décadas de asentamiento, como la recolección de huellas dactilares o números de identidad para condicionar la entrega de servicios, la formación de bases de datos opacas, fugas de datos sin compensación alguna, y un constante desdén por la idea del consentimiento y la finalidad. Si las reglas del RGPD contribuyen al establecimiento de un nuevo estándar global, es exigible a los gobiernos de América Latina que contemplen ese estándar como la guía para la protección de sus propias ciudadanías. No es una cuestión de mera información o transparencia, sino de igualdad, libertad, autonomía y dignidad.

¿Nuestra privacidad en manos del mercado?

Más allá del vendaval de memes que generó la audiencia, la pregunta por la privacidad de los usuarios en el contexto de Cambridge Analytics sigue abierta. Sin embargo, las extenuantes horas de audiencia dejaron varias cuestiones en claro.

Primero, que pese a las disculpas ofrecidas por Zuckerberg el modelo de negocios de la compañía seguirá afirmándose en los datos que sus usuarios generan. La diferencia sería, esta vez, que habría mayores recaudos respecto al acceso de tal información por parte de terceros. Pero, tal como dijo Zuckerberg, Facebook no vende datos, vende publicidad, así que vender los datos generados por sus usuarios sería enajenar su principal capital a la hora de segmentar audiencias. Pero la decisión de Facebook de no vender nuestros datos no es altruista, se trata de resguardar su modelo de negocios. Sobre la marcha, al ser preguntado por una senadora respecto a la posibilidad de cambiar el modelo de negocios para resguardar la privacidad de los usuarios, Zuckerberg respondió que no sabía a qué se refería.

Segundo, que la compañía está tomando el camino equivocado a la hora de asumir responsabilidad en sus acciones, al tiempo que Zuckerber repite, como mantra, que Facebook es una comunidad. A efectos prácticos, las y los usuarios no cuentan con mayor control de los datos que entregan a la red social; vaya comunidad aquella donde sus miembros no pueden discutir los fundamentos de su vínculo. Peor aún, al ser inquirido por asuntos como el discurso de odio en la plataforma, Zuckerberg apuntó al desarrollo y uso de herramientas de Inteligencia Artificial, como si estas fueran suficientes y sin cuestionar sus implicaciones políticas.

Este tipo de discursos, centrados en la potencial eficacia de los desarrollos tecnológicos -que autores como Morozov han catalogado de tecnosolucionismo- desplaza la pregunta sustantiva (¿qué constituye un discurso de odio?) hacia una pregunta formal (¿está adecuadamente programada la máquina que determina tal categoría?). Tales posiciones sitúan a desarrollos como la Inteligencia Artificial en el fundamento de las certezas, naturalizando su actuar. Como señaló Ryan Calo, Profesor de Derecho de la Universidad de Washington, “‘La inteligencia artificial solucionará esto’, es el nuevo ‘lo solucionará el mercado’».

Tercero, que necesitamos, con urgencia, un mayor desarrollo institucional para abordar problemáticas como las que surgieron tras el escándalo de Cambridge Analytica. No se trata solo de la existencia de agencias estatales dedicadas al resguardo de los datos personales; tampoco a la necesidad de una legislación que reconozca el cambio en los modos de registro de la vida cotidiana. Además es importante puntualizar la necesidad de que las y los representantes democráticamente elegidos desarrollen un juicio crítico sobre las implicaciones asociadas a las nuevas tecnologías. Bajo ese rasero las preguntas de las y los congresistas norteamericanos dejaron bastante que desear. Como contrapunto, la imagen de una situación semejante en el contexto latinoamericano llega a ser pavorosa. Basta recordar que una de las congresistas acabó discutiendo con Zuckerberg cuán bueno sería que Facebook desarrollase proyectos de fibra óptica en su distrito.

A la luz de lo anterior es necesario que repensemos la pregunta en torno a la privacidad. Durante siglos resultó habitual considerar que la publicidad, considerada la contra cara de la privacidad en tanto capacidad de alcanzar a otros con nuestro mensaje, suponía un esfuerzo activo. Actualmente, por el contrario, pareciera que estamos situados en un contexto donde, como señaló Danah Boyd, lo público se asume por defecto, lo privado por necesidad. Si la privacidad es una necesidad, ha de ser también reconocida como una construcción, como algo por ser resuelto. No significa que tengamos que renunciar a ella, en lo absoluto, sino que debemos hacer esfuerzos conscientes a nivel individual y colectivo por construirla.

Esto se traduce en las “nuevas” preocupaciones que, por ejemplo, deben enfrentar madres y padres al verificar que sus hijas e hijos “conocen” personas a través de redes sociales. Tales preocupaciones suponen un esfuerzo activo por señalar a las y los niños cómo pueden construir su privacidad. Lo mismo que hacemos día a día, a través de las distintas redes sociales, al determinar a quién permitimos acceder a los contenidos que generamos. A nivel colectivo, sin embargo, esto supone un esfuerzo mayor. Toda vez que hemos de reconocer que la construcción de la privacidad será uno de los grandes desafíos de una era que, como nunca en la historia, ha generado mecanismo de registro pasivo de nuestras acciones cotidianas. Me refiero con esto, a cuestiones como el hecho de que nuestros teléfonos saben cuántos pasos hemos dado día a día, sin nosotros tener -las más de las veces- noticia de ello.

Finalmente, es importante no caer en la tentación de situar a Facebook como el chivo expiatorio de las tensiones que generan las nuevas tecnologías. En este sentido, Facebook no es sino, literalmente la punta del iceberg de un problema mayor: el comercio de datos sobre el que se cimenta la nueva economía de internet. Es imperioso que comprendamos que nuestros datos son valiosos, aunque no sean tangibles, aunque no sepamos que se están generando.

¿Cambridge Analytica? El próximo escándalo está a la vuelta de la esquina

Hace pocos días, el Guardian Observer y el New York Times, en una investigación conjunta, dieron a conocer una noticia que ha dado ya varias veces la vuelta al mundo: cincuenta millones de perfiles de Facebook habían sido explotados por Cambridge Analytica, la firma de análisis de datos que fue parte de las campañas previas a la elección de Donald Trump en los Estados Unidos y la votación para que el Reino Unido abandonara a la Unión Europea. Una enorme “fuga” de datos personales, que tiene hoy a la red social, una de las compañías más grandes del mundo, en una difícil posición ante la opinión pública.

La trama de las revelaciones (ya contada hasta el cansancio) involucra desde jóvenes investigadores hasta poderosos millonarios; desde interesantes postulados académicos aplicados al avisaje microdirigido (micro-targeting) de votantes hasta el escepticismo sobre el efecto real en los potenciales votos. También, la intervención de ex empleados tanto de Facebook como de Cambridge Analytica, que al modo de tardíos denunciantes (tratados hasta en la prensa como whistleblowers), han entregado detalles de la operación de Facebook sobre los datos personales al menos hasta 2014.

El escándalo es justificado: una firma privada, acumulando decenas de millones de perfiles, a partir de aplicaciones aparentemente inocentes y desarrolladas con fines académicos, montadas sobre Facebook. Una situación de abuso sobre datos personales, recordando el valor de nuestra información personal. No es más que la consecuencia lógica del continuo funcionamiento de la poderosa máquina de vigilancia que ha sido Facebook en los últimos años, alimentada por el legítimo interés por conectarse con familiares, amistades, colegas y más. Una máquina que funciona sobre perfiles construidos incluso sobre quienes no usan la plataforma.

Business as usual

Esta interesante historia es solo un ejemplo de los límites, cada vez más lejanos, a los que llega la industria de los datos. En el capitalismo de la vigilancia, no es del todo cierto que si no pagas por un servicio eres el producto. Aunque pagues, a menudo eres el producto. Aunque no tengas una cuenta, muy probablemente eres el producto. Y las conexiones personales recogidas por Cambridge Analytica dan cuenta de ello, pero están lejos de ser los únicos en tener tal clase de conexiones: Facebook está al centro de un ecosistema que involucra a muchos más actores, invisibles ante la opinión pública.

Los incentivos para operar son múltiples, y los costos ínfimos. Por una parte, las reglas sobre datos personales han sido lo suficientemente permisivas como para permitir instancias de dudosa entrega de consentimiento sobre los datos, bajo condiciones en que es imposible gozar de una opción sin entrega de datos para acceder a un servicio, o bien bajo la sujeción a términos de uso y políticas de privacidad ilegibles. La ausencia de suficiente conocimiento o educación sobre los derechos que existen, como consumidoras y como titulares de datos, hace aun más intensa la disparidad de poder entre compañías y usuarias.

Y todo ello se ha visto reflejado en la respuesta de Facebook: no se trataría de una “fuga” de datos personales, porque los datos recolectados fueron entregados voluntariamente por quienes usan Facebook. Claro, esto ignora a las decenas de millones de personas que no entregaron su información a los investigadores tras la app thisisyourlife; pero, más gravemente, transfiere la responsabilidad a las mismas personas, titulares de datos personales, por una pérdida masiva del manejo y control sobre los mismos. Aunque las condiciones que permitieron el abuso se remontan a 2014, y en teoría no existirían hoy, la respuesta importa: los marcos de funcionamiento ético, en la práctica, no parecen ser distintos de un apego al mínimo legal.

Democracia y control social

Una arista que ha recibido particular atención desde que Cambridge Analytica ganó notoriedad pública es su vocación para la operación en contextos electorales. Ayudada ante la imaginación pública, por cierto, por el éxito imprevisto de las campañas electorales de Donald Trump y de #VoteLeave. Este funcionamiento, basado tanto en el alcance de la red social como en el exitoso algoritmo, que mantienen a cientos de millones de personas pendientes de sus dispositivos, implicaría una capacidad de persuasión con efectos ya no sobre personas individuales, sino sobre grupos completos.

Aunque no sea del todo cierto que esa influencia es real y comprobable (o que esa sea la situación hoy), la noción de que movilizar y desmovilizar a las masas puede lograrse de forma más efectiva mediante herramientas tecnológicas, tiene un efecto significativo sobre los mercados de la información personal y el perfilamiento para las campañas políticas. Un marco atractivo para gobiernos que enfrentan sus propios, posiblemente adversos, contextos electorales. Como mostraban las -poco discretas- revelaciones de Channel 4 en el Reino Unido, la manipulación alcanzaba a varios niveles. Todo como demostración, ante la posibilidad de clientes futuros, del poder que pueden ejercer quienes tienen información personal a manos llenas. Cambridge Analytica aseguró así un jugoso contrato con el gobierno estadounidense.

En América Latina esa estrategia parece también haber tenido efectos. Un contrato en Brasil fue rescindido esta semana. También habría operado en el Perú. En Argentina se investiga si tuvo influencia. Habría tenido efecto en México, donde también cesó un contrato. Una empresa en Chile se jacta de servicios similares, pero niega operar como la firma británica.

Aun si no hay evidencia de una manipulación efectiva mediante el algoritmo, sí podemos vislumbrar que los mecanismos de administración de nuestra atención sí van ganando en complejidad y efectividad. Los contextos electorales, en que (según se nos permite) solamente es necesaria una línea sobre un papel cada cierto tiempo para mover ámbitos de poder, ponen estas herramientas en una atractiva vitrina para quienes quieren y pueden pagar por ellas. La gran afectada por esta operación masiva de vigilancia, minería y venta de datos e influencia es, finalmente, la democracia.

Retomando el control

Cuando por fin reaccionó Mark Zuckerberg, fundador y CEO de Facebook, la suspicacia ya estaba instalada. Se trataba de una instancia más en un largo historial de disculpas a nombre de la compañía por situaciones vergonzosas. Pero mientras los escándalos y las disculpas se acumulan, la empresa sigue creciendo, porque el negocio se mantiene vivo. El problema no es Cambridge Analytica, ni es tal empresa un villano corporativo único. El problema es una economía que permite e incentiva el tratamiento masivo y abusivo de datos personales, para vendernos productos y para vendernos como productos.

¿Qué hacer frente a estos escándalos? La propuesta de cerrar las cuentas de Facebook frente a este incidente puntual se muestra como una solución parcial; al menos, un pequeño alivio frente al potencial abuso para los (escasos) usuarios de internet que no tienen una cuenta abierta (pero que siguen siendo seguidos a través la red). No obstante, las posibilidades de interacción hacen que para muchos esa solución sea costosa; por lo demás, como usuarias sí debemos contar con la posibilidad de acceder a servicios sin que nuestros datos sean abusados por ello, sin que nuestras decisiones individuales o colectivas estén dirigidas por algoritmos o por intereses políticos. Existen algunas medidas de autocuidado que permiten limitar el alcance brutal de la recolección de información. Pero también podemos exigir más de las instituciones y empresas.

Por otra parte, es urgente contar con marcos legales que protejan suficientemente los datos personales, entregando herramientas a los titulares de datos para ejercer sus derechos de manera efectiva y sancionando los abusos. No parece haber disenso al respecto. Sin embargo, la lenta marcha de las reformas legales a nivel nacional, sumada a la ausencia de regulación en varios países, dejan a América Latina una vez más a merced de grandes empresas extranjeras, y a la espera de que la institucionalidad comercial y estatal de otros países adopte medidas efectivas. Por ello, frente a riesgos masivos, corresponde a su vez insistir en que se adopten reglas fuertes de protección de datos personales en cada uno de nuestros países, que faciliten el control por las personas.

La responsabilidad de las empresas en casos como el actual tampoco puede dejarse pasar. Ya hay anuncios de demandas civiles y de acciones de agencias administrativas tanto en el Reino Unido como en los Estados Unidos. A ello se suma lo que las propias empresas pueden adoptar como prácticas respetuosas de los derechos de sus usuarias. Que las propias redes sociales digitales reconozcan tales derechos es a la vez una muestra de respeto como una forma de mejorar su propia imagen corporativa. Que las condiciones en que operan los desarrolladores de apps que interactúan con los datos, permitan prevenir el riesgo de abusos. En fin, el involucramiento de personas al formar marcos de interacción, incluyendo a las usuarias, como también de las organizaciones de la sociedad civil que representan sus intereses, para desarrollar y hacer evolucionar conjuntamente las políticas que rigen aspectos fundamentales de las vidas de las personas, es también un paso necesario.

Finalmente, el escándalo adquiere dimensiones de relevancia que son consecuencia del enorme poder que tiene hoy Facebook, cuya base de usuarias (al menos, con cuentas abiertas) es tal que llega a los miles de millones de personas. Una empresa que opera a esa escala sobre la humanidad es evidentemente un foco de atención por la influencia que puede llegar a tener. Poder a esa escala es ejercido apenas por un puñado de compañías, y es necesario abordar alternativas para reducir el riesgo que implica, más allá de la urgencia por reglas sensatas de protección de datos personales. El próximo escándalo está a la vuelta de la esquina, y los riesgos son cada vez más grandes.

En la OMC se negocia desconociendo nuestros derechos digitales

La más reciente ronda de negociación de la OMC estuvo marcada no solamente por el intento de incluir nuevas temáticas a la discusión sobre las reglas del comercio mundial. Estuvo además marcada por la exclusión de la sociedad civil del proceso, de forma incluso contraria a la historia del foro. Cerca de 60 individuos de más de 20 organizaciones, incluida Derechos Digitales, vieron cómo su acreditación fue revocada días antes del evento. El gobierno argentino emitió un comunicado esgrimiendo razones de seguridad, acusando a los grupos excluidos de ser disruptivos y violentos, lo que fue recibido con estupor por la comunidad internacional e incluso por las empresas. Lo cierto es que se marginó a estas organizaciones exclusivamente por tener una posición distinta a la del gobierno organizador del evento, lo que no se condice con una sociedad democrática.

Esta exclusión no solo se tradujo en la incapacidad de la sociedad civil para acreditarse, y por tanto participar del evento. El gobierno del presidente Macri llegó al extremo de retener en el aeropuerto de Ezeiza y deportar al activista Peter Tiland y la periodista Sally Burch. Otras organizaciones de la sociedad civil ni siquiera pudieron viajar a Buenos Aires, ya que el gobierno argentino rechazó sus solicitudes de visa sin expresión de causa. Incluso quienes pudieron acreditarse vieron con preocupación cómo el gobierno argentino organizó el evento de tal manera que la prensa y la sociedad civil estuvieran en un edificio, y las delegaciones de los países en otro, a varias cuadras de distancia, dificultando la capacidad de los dos primeros para contactar a los negociadores. Del mismo modo, el hecho de que la sociedad civil no pudiera participar de la ceremonia de apertura y clausura no tiene precedente en rondas pasadas de la OMC.

Todo lo anterior debe servir como un llamado de atención. Hasta hace poco tiempo se argumentaba, incluso desde la sociedad civil, que la inclusión de estos temas a nivel OMC podría ser positivo por el mayor nivel de apertura y participación al interior de este organismos internacional, especialmente en comparación con procesos plurilaterales como TPP, TiSA y NAFTA. Sin embargo, lo que ha sucedido en Buenos Aires ha dejado en evidencia que esta noción está muy lejos de la realidad.

Más allá del bochorno internacional

Una de las novedades de esta ronda de negociación fue el creciente interés de los países desarrollados, agrupados en “Friends of E-commerce for Development” por incluir el comercio electrónico en la agenda de temas que la OMC debe negociar en el futuro inmediato.

Esta propuesta aparentemente inocua debe ser vista con precaución. Por supuesto que nadie se opone a la promoción del comercio electrónico, pero el llamado de estos países a avanzar en la materia no es neutral. Una revisión de los non-papers propuestos basta para darse cuenta que muchas de las disposiciones más polémicas de TPP y TiSA están siendo propuestas como reglas que deben ser adoptadas a nivel global. Entre ellas, la obligación de permitir el flujo transfronterizo de datos, incluidos datos personales, además de reglas para impedir que se exija la revelación del código fuente como política pública, y la prohibición de que se exija a las empresas operar con servidores a nivel local.

Sin embargo, elementos esenciales para la promoción del comercio electrónico, como asegurar el acceso universal a internet y la consagración del principio de neutralidad de la red, brillaron por su ausencia. Todo indica que la promoción del comercio electrónico, al igual que en TPP y TiSA, se limita a aquellos aspectos que van en el interés de las grandes corporaciones.

Lo cierto es que todavía no sabemos cuál será el impacto económico, social e incluso en el carácter de nuestras democracias del hecho que Facebook y Google dominan hasta el 85 % del mercado de la publicidad en línea. Hoy internet se configura como un espacio de producción para el norte global y de consumo para el sur. Las reglas que se están discutiendo en la OMC tienden a mantener ese estado de cosas, y no desafiarlo.

¿Fin a la promesa del multilateralismo?

La falta de resultados de esta ronda de negociación parece haber mermado la confianza de muchos países en que se puede avanzar en materia de comercio en un modelo multilateral. La declaración del USTR, que nadie creería posible hace un par de años, habla de una “nueva era” en OMC, en donde se avanzará en los temas a través de acuerdos entre grupos de países que piensan parecido.

Este esquema no se condice con las reglas mismas de la OMC, constituye una noción peligrosa y que debe ser enfrentada. Luego de que no se lograra el consenso necesario para lograr un mandato de negociación en comercio electrónico, un grupo de 70 países, incluyendo varios latinoamericanos, publicaron una declaración conjunta manifestando que iniciarán trabajo exploratorio en miras a una futura negociación en la materia, y que este grupo estaría abierto a todo país que se quiera unir.

La legitimidad de esta estrategia es cuestionable. La OMC cuenta con órganos establecidos encargados del estudio, discusión y negociación de distintos temas. No le corresponde a un grupo de países declarar que trabajarán en cierta materia de forma paralela, pues les permite avanzar en la materia desde su perspectiva particular y constituye una presión indebida sobre el resto de los países que forman parte de un organismo internacional que opera por consenso.

Panorama a futuro

Esta vez no se alcanzó el consenso necesario para iniciar negociaciones en materia de comercio electrónico. Sin embargo, la declaración conjunta de países desarrollados muestra que es probable que la sociedad civil deba mantenerse alerta sobre cómo se aborda esta materia al interior de la OMC.

La capacidad de hacer escuchar nuestra voz en estos asuntos, que puede tener profundos y duraderos efectos en cómo nos desenvolvemos en línea, dependerá de que no se repita el autoritarismo con que Argentina abordó la organización de esta ronda de negociación. Es de esperar que la próxima ministerial incorpore criterios de transparencia y participación, y asegure que distintos actores críticos puedan ser tomados en consideración en esta instancia.

Mientras tanto, los esfuerzos de la sociedad civil deberán multiplicarse para mantenerse alerta de lo que se discute al interior de la OMC, al mismo tiempo que se opone activamente a las reglas que vulneran nuestros derechos en los procesos de TPP, TiSA y NAFTA.

La Neutralidad de la red bajo ataque II: El regreso

No, no es el título de la última entrega de Hollywood. Mientras nuestros amigos de los EE. UU. se preparaban alegremente para las celebraciones de su Día de Acción de gracias, el Chairman de la Federal Communications Commission (FCC), Ajit Pai, se encontraba cocinando algo más que pavo y salsa de cranberries.

Lo que fue comunicado oficialmente el 21 de noviembre es el documento titulado “Restoring Internet Freedom”, propuesta regulatoria que vendría a sustituir la “Open Internet Order” de 2015, que estableció meridianamente el principio de neutralidad de la red en el país del norte. La propuesta, que se someterá a votación el próximo 14 de diciembre, propone eliminar todas las reglas de neutralidad de red actuales, con la excepción de una regla de transparencia modificada.

Eso significa que, en adelante, los proveedores de servicio de internet (ISP) de los EE. UU. serían libres de bloquear, acelerar o ralentizar sitios web, aplicaciones y servicios, cobrar tarifas a las compañías en línea por acceder a los suscriptores del ISP, o entrar en acuerdos con proveedores de servicios y aplicaciones para darles condiciones de conexión privilegiada de velocidad a sus suscriptores, bastando que los ISP informen a sus clientes sobre la existencia de este tipo de acuerdos. Es decir, decidir, según su conveniencia económica, qué sitios y servicios funcionan mejor que otros en internet.

La propuesta elimina también todas las reglas de estándar de conducta destinadas a asegurar la supervisión del regulador de las facultades de administración de la red limitadamente reconocidas a los proveedores de servicios. Con esto, abre la puerta al ejercicio de discrecionalidad técnica y comercial de los ISP en la oferta de servicios, como gestión de tráfico o esquemas de zero-rating.

No conforme con el retroceso respecto del estándar de neutralidad de la red hoy vigente, la propuesta va más allá: al echar pie atrás a la clasificación del servicio de banda ancha como servicio de comunicación (common carrier) y catalogarlo como servicio de información (information service), imposibilitaría que en el futuro la FCC adopte o imponga alguna norma significativa que permita garantizar la neutralidad de la red.

La norma además limita la posibilidad de que sean los Estados quienes adopten sus propias reglas de neutralidad de la red, distintas de la regulación federal, lo que hará imposible que estos reaccionen implementando sus propias normativas ante la falta de protecciones de la neutralidad de la red a nivel federal.

Algunas encuestas muestran que la iniciativa de eliminar la protección de la neutralidad de la red parece ser tremendamente impopular en todos los sectores del espectro político, lo que no ha detenido esta iniciativa con nefastas consecuencias como precedente global.

Desafortunadamente, la FCC no es responsable directamente ante el público, y Pai ha dejado en claro que no tiene la intención de dar mucho peso a la opinión pública o la cantidad de comentarios recibidos por la FCC en apoyo de las reglas de neutralidad de la red. Sin embargo, a los miembros del Congreso sí les importa lo que piensan sus electores, y como ellos son los encargados de supervisar los esfuerzos de la FCC en este espacio, ellos tienen el poder de detenerlo. Por eso las organizaciones de la sociedad civil en Estados Unidos están haciendo un llamado a que las personas se comuniquen con sus representantes para exigirles la protección de la neutralidad de la red.

Como lo plantea Tim Wu -a quien se le atribuye la paternidad teórica del principio de neutralidad de la red- lo más probable es que este episodio de revés regulatorio termine con la intervención de las Cortes de los Estados Unidos. De acuerdo a los estándares normativos del derechos administrativo norteamericano, las decisiones administrativas solo pueden ser revocadas cuando la agencia federal involucrada cumpla con examinar evidencia fáctica que demuestre la conveniencia de un cambio de estándar, lo cual difícilmente podría ser el caso de la regla de neutralidad cuyo resultado a sido mayoritariamente satisfactorio. Pero aun con la previsible intervención judicial, este movimiento regulatorio no deja sin riesgo todo lo que suceda en el tiempo intermedio.

La propuesta de la FCC no tiene solamente efectos en los EE. UU. Gran parte de los servicios de internet son ofrecidos por plataformas que operan desde Estados Unidos, donde los acuerdos con los ISP serían los que determinen quiénes son ganadores y perdedores con alcance global. Los usuarios de internet en nuestra región verán afectadas sus posibilidades de acceder a contenidos y aplicaciones, lo que implica una restricción de acceso a la información y al conocimiento.

La decisión de Pai resulta además un nefasto precedente para otras latitudes, en las cuales el reconocimiento del principio de neutralidad ha sido inexistente o débil en su ejecución, como precisamente es el caso de varios países de América Latina conforme se muestra en un estudio coordinado por Intervozes este año. La propuesta de la FCC puede así convertirse en un mal modelo de regulación que podría además ser copiado por otros países.

Desde otros lugares del mundo podemos sumarnos a la reacción pública en contra del desmantelamiento de la neutralidad de la red pues, como lo explicábamos hace unos meses, no podemos quedarnos indiferentes ante esta amenaza que, como internet, no reconoce límites territoriales.

Renegociación del TLCAN: no en nuestro nombre

Para Donald Trump el TLCAN era “el peor tratado de libre de comercio de la historia.” Ahora quiere “modernizarlo”, llevando adelante un impulso por la renegociación entre los tres países que componen el acuerdo. En México, los gobernantes usan la misma palabra, “modernizar”, sin pensarlo dos veces, como si la modernidad aún fuera una utopía. Como si las premisas tras esa “modernización” no hubieran causado más desigualdad, dependencia y crisis ecológicas y de derechos humanos. Después de 23 años, Canadá, Estados Unidos y México están renegociando el tratado comercial que regirá sus relaciones durante las próximas décadas.

Hay un patrón en las negociaciones comerciales: se hacen a oscuras, sin transparencia y privilegiando siempre los intereses de grandes empresas por encima de los derechos humanos. Con el TLCAN pasa lo mismo: no importa cuánto esfuerzo dedique México en tener elecciones democráticas y transparentes, en que los legisladores y funcionarios sean verdaderamente representativos, las decisiones que se tomen a puerta cerrada en estas negociaciones impactarán directamente nuestras vidas tanto dentro como fuera de línea. Pero la ciudadanía y la sociedad civil no participan activamente en ellas.

Por un breve momento creíamos que el Acuerdo Transpacífico de Cooperación Económica (TPP por sus siglas en inglés) había muerto cuando Trump firmó la salida de Estados Unidos. Pero estos tratados son como zombis: se rehúsan a morir y permanecer muertos. El pasado 10 de noviembre, los 11 países que restaban en esta negociación, acordaron seguir adelante sin la potencia que en un principio los empujaba, “suspendiendo” (quizás hasta que EE. UU. vuelva al redil).

Ahora nos enfrentamos a dos instrumentos distintos que amenazan nuestras libertades en internet: el TLCAN y el CPTPP, negociados con exclusión de la ciudadanía. Peor aún, en México el 80 % de los mexicanos rechaza al gobierno el turno, de acuerdo con la última encuesta del Latinobarómetro, dejando así al ejecutivo sin un piso de representatividad en el esfuerzo negociador. Estamos hablando de un gobierno sin legitimidad, que sellará un pacto para regir cientos de millones de vidas, durante décadas. Y ese pacto afecta también la vida de los ciudadanos en el entorno digital.

Hay dos consensos importantes en la sociedad civil mexicana que se opone a las negociaciones del TLCAN. La Convergencia México Mejor Sin TLCs –formada por más de veinte organizaciones desde campesinos, activistas, trabajadores, ambientalistas y sectores técnicos– concuerda en que uno de los problemas más graves es el mecanismo de resolución de disputas vía tribunales de Arbitraje de Diferencias Estado-Inversor (conocido por ISDS del inglés Investor-State Dispute Settlement). Este ya estaba en el capítulo XI del TLCAN original de 1994 y a la fecha ha sido parangón de muchas injusticias.

En segundo lugar, la falta de transparencia es una constante antidemocrática: ¿cómo tener un debate ciudadano, rico y representativo de todos los intereses si no sabemos qué viene en los textos?

El capítulo de propiedad intelectual del TPP fue uno de los más discutidos gracias a que Wikileaks lo filtró. De lo contrario, hubiera permanecido en secreto hasta su firma. Una de las primeras cosas que proponía era aumentar el plazo de los derechos de autor para protegerse durante la vida de los creadores y hasta 70 años después de su muerte, además de reforzar los mecanismos de observancia. Esto fomenta la idea de que la cultura y el conocimiento son titularidad de algunas industrias, poniéndola a disposición únicamente de quienes pueden pagarla. Promueve un esquema en el que empresas y personas distintas de los autores siguen recibiendo regalías por algo que no crearon.

Es más, mediante el mecanismo del comercio internacional, limita la capacidad de los países de fijar sus propias reglas para compartir cultura y para descargar, leer, reproducir, copiar, pegar o remixear, cosas que muchas veces son sabiduría popular (¡y pública!). Un esquema promovido por las industrias de contenidos de los EE.UU., como principal explotador de derechos de autor en el mundo. No es difícil adivinar que la postura estadounidense en el TLCAN repetirá esta tendencia pues son los mismos intereses los que se sientan en la mesa de negociación.

El TPP también buscaba exportar una ley que en la práctica ha instaurado un sistema de censura privada: la Digital Millennium Copyright Act (DMCA). Básicamente se trata de un mecanismo dirigido a compañías como Google, Facebook, Twitter y Youtube bajo la siguiente lógica: si conocen de contenidos que violen derechos de autor, y no lo bajan, entonces son también responsables por la infracción. En México, el presidente Enrique Peña Nieto ha usado la DMCA para eliminar videos en que aparece cometiendo errores al hablar. Sin controles ni salvaguardas judiciales, miles de expresiones legítimas e importantes podrían ser eliminadas.

El capítulo sobre comercio electrónico no se quedaba muy atrás. En la era del capitalismo digital los datos son dinero, y las personas somos datos: todo lo que hacemos en internet, los sitios que visitamos, lo que consumimos y compramos. De forma inevitable, al hablar de datos hablamos de privacidad. La pauta en ambos tratados es promover el “libre flujo de datos” entre países, incluso cuando estos tratan de información sensible. Hay excepciones a este libre flujo pero siempre y cuando no sean “restricciones encubiertas al comercio”. Traducción: se puede interpretar que una política que protege derechos humanos impide el comercio de datos, y por lo tanto bloquearse vía los mecanismos de ISDS.

Hay muchos otros puntos preocupantes, pero en esencia hay que decir que la modernización tiene tintes colonialistas. Estos tratados protegen a Estados Unidos y a las empresas multinacionales por encima de los intereses democráticos de personas comunes. Que quede claro: el TPP no puede revivirse y la negociación del TLCAN debe hacerse bajo criterios distintos que representen a la ciudadanía. Los derechos humanos no pueden supeditarse al comercio internacional. Exijamos mejores condiciones.