Temática: Privacidad

Llorar sobre la leche derramada: El problema cultural del manejo de los datos personales

Hace pocos días se hizo público que los exámenes médicos y la información de salud de miles de personas habían sido expuestos debido a fallas de seguridad de los prestadores chilenos de servicios médicos RedSalud y Bupa. Sin embargo, el manejo de la noticia vino dado con un enfoque de peso en los datos de salud de diputados, senadores y otras autoridades, como si esta información sensible fuera la que originara la gravedad del fallo. 

A principios de la pandemia mundial por COVID-19 se publicó la información georreferenciada de personas que habían dado positivo al test de diagnóstico de la enfermedad; el medio responsable señaló que no los había publicado con detalle “para evitar peleas entre vecinos o actos de discriminación”. 

Este nivel de indolencia y lassez-faire en el manejo de la información privada es endémica: basta prestar atención por cinco segundos para notar cómo en América Latina nuestros números de identificación personal (llámese cédula, RUT, carnet o como prefieran) están esparcidos por las bases de datos más diversas, públicas, privadas, gubernamentales, bancarias y de retail, que se los intercambian como fichas de bingo. En Venezuela, a más inri del sistema de vigilancia omnipresente, el propio gobierno ha inventado mecanismos de phishing para obtener datos sobre la conducta política de sus ciudadanos.

Es fácil en este punto culpar a los ciudadanos por la facilidad con la que estamos dispuestos a entregar nuestros datos a cambio de un poco de comodidad, a dar nuestro número de identificación para obtener un descuento o a iniciar sesión con nuestra cuenta de Google para evitar crear una nueva contraseña.

Lo cierto es que estamos jugando con cartas marcadas: pretender que sea el ciudadano el que cargue con el peso de la desigualdad económica y social que implica proteger sus datos. Perderse ese descuento que puede, hacer una diferencia a fin de mes; o tener el tiempo y el conocimiento necesario para comprender cuál es el trasfondo de usar una red social en lugar de otra menos privada. Eso es trasladar responsabilidades a quien menos debería acarrear con ellas.

Si nuestros propios gobiernos no son capaces de enfrentar el problema de la protección de los datos personales con la seriedad que merece, si manejan bases de datos centralizadas e inseguras que son vulnerables ante cualquier ataque y tampoco toman las medidas necesarias para sancionar a las empresas privadas que llevan a cabo las mismas prácticas, entonces de nada vale que nos pongamos el sombrero de papel aluminio y nos alejemos de la vida en sociedad. 

¿Tendrá sentido que —de aquí a una década o quizás antes— tengamos que inventar nuevos mecanismos de verificación porque los patrones de nuestras huellas digitales se han perdido en una tras otra filtración de datos y ahora se requieren para hacer trámites bancarios, para comprar cosas, para entrar a nuestra casa o para desbloquear nuestro teléfono?

¿Valdrá la pena llorar sobre la leche derramada una vez que nuestra privacidad haya sido vulnerada hasta el punto de no retorno? ¿O quienes no tienen “nada que ocultar” publicarán finalmente la contraseña de su cuenta bancaria? 

Hasta que no comprendamos la gravedad de un problema que nos afecta a todos y todas, no solo a diputados y ministros, nuestros datos personales seguirán siendo fichas de intercambio en un juego en el que la casa siempre gana.

Protección de datos personales en Ecuador: El momento es ahora

A mediados de septiembre de 2019, la prensa internacional reportaba “la mayor filtración en línea de información personal en la historia de Ecuador”, con los datos de la casi totalidad de la ciudadanía expuestos. Se trataba de 18 GB de datos distribuidos en múltiples archivos, que incluían nombres, información financiera y otra información personal de 20 millones de personas.

Al comienzo de la pandemia, la declaración de Estado de Emergencia en Ecuador dispuso que “[p]ara el cumplimiento de las restricciones del presente Decreto se podrán utilizar plataformas satelitales y de telefonía móvil para monitorear la ubicación de personas en estado de cuarentena sanitaria y/o aislamiento obligatorio, que incumplan las restricciones dispuestas, a fin de ponerlas a disposición de las autoridades judiciales y administrativas competentes”. La sociedad civil de la región reaccionó con preocupación a este anuncio, planteando que esta medida revistía gravedad en un contexto en que, a pesar de la garantía de la privacidad consagrada en la Constitución, el Ecuador carece de una normativa legal y de una autoridad técnica e independiente que permita una adecuada protección de datos personales conforme a estándares internacionales de derechos humanos.

Como vemos, Ecuador sufre de una paradoja: reconoce la protección de datos personales como derecho fundamental, basado en su Constitución, así como en tratados internacionales de derechos humanos que protegen la privacidad, pero carece de una estructura legal interna para garantizar dicha protección, lo que deja a ecuatorianas y ecuatorianos en la práctica en la indefensión, ante situaciones y medidas como las descritas.

En efecto, Ecuador es uno de los pocos países de América Latina que no cuenta con una Ley de Protección de Datos Personales, mientras otros países de la región lo hacen desde más de 20 años, o la han aprobado recientemente. Para remediarlo, el 19 de septiembre de 2019 el presidente de la República presentó ante la Asamblea Nacional el Proyecto de Ley Orgánica de Protección de Datos Personales.

La iniciativa ha concluido su primera revisión por la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral, la cual ha presentado un texto consolidado a consideración del pleno de la Asamblea Nacional.

El proyecto está actualmente en tabla para su discusión y es crucial que las ecuatorianas y ecuatorianos se mantengan atentos a este desarrollo legislativo y movilicen a sus representantes de todo el espectro político para asegurar que esta ley —esencial para la efectividad del ejercicio de los derechos fundamentales de la ciudadanía en el siglo XXI— sea aprobada.

Para entender la relevancia de esta moción para el Ecuador hoy, y por qué no puede seguir siendo postergada su discusión, es necesario comprender la transversalidad del objeto regulado por la ley de protección de datos personales. Este derecho no solo garantiza la autodeterminación informativa y la privacidad, si no que posibilita el libre ejercicio de otros derechos como la libertad de expresión, la no discriminación, la participación ciudadana, el derecho a reunión pacífica, el acceso al empleo, la salud, la educación, entre otros.

El objetivo de la ley general de protección de datos personales es establecer reglas para el desarrollo de actividades que involucren la recolección y procesamiento de datos, por parte de agentes públicos y privados. Así como prevenir injerencias arbitrarias en el normal desarrollo de la vida de los ciudadanos y ciudadanas, de donde sea que tales injerencias vengan.

En un mundo cada vez más tecnologizado, la protección de los datos personales es indispensable, en especial para grupos vulnerables o históricamente marginalizados, para prever que la utilización de tecnología basada en el uso de esos datos pueda amplificar y replicar la dicriminación tradicionalmente sufrida. Esto aplica a la hora de postular a un crédito bancario comercial, recibir beneficios sociales del Estado o entrar en relación con una aseguradora de salud.

Hoy, los datos personales —cualquier información referida a una persona identificada o identificable— se entregan en todas las interacciones sociales, ya sea con el aparato público o entes privados que operan en todos los ámbitos de la economía, el quehacer social y cultural.

Sin embargo, por esa misma frecuencia y cotidianidad con que los datos personales se tranzan, muchas veces se pierde de vista que son una puerta a nuestra vida y nuestra posibilidad de interacción social. Una regulación de protección de datos personales permite que como ciudadanas y ciudadanos podamos contar con herramientas concretas para exigir límites en el uso de la información. Ese control es esencial para garantizar nuestra libertad, autonomía y dignidad como personas, frente al Estado y las empresas, donde las desproporciones de poder y potenciales impactos en ejercicio de derechos resultan más evidentes.

Actividades tales como tomar una cita médica, comprar alimentos, visitar sitios web, realizar búsquedas en internet, monitorear nuestros hábitos de sueño con dispositivos inteligentes, entregar información para acceder de una wifi pública y caminar por calles que cuentan con cámaras de seguridad, se traducen en un rastro de datos personales que puede ser recolectado en forma constante y que permite analizar nuestros hábitos, nuestras relaciones personales, nuestros gustos y necesidades, nuestras preferencias personales o políticas. Conocer esa información otorga un poder único para tomar decisiones sobre nuestra vida: ya sea ocupar un determinado puesto de trabajo, acceder a una oportunidad de educación, ser atendido preferentemente o no en la sala de urgencias, obtener un crédito bancario, recibir un beneficio social, ser cuestionado o no por participar en una manifestación pública, etc.

Una ley de protección de datos personales es precisamente el instrumento a través del cual las sociedades democráticas, comprometidas con la protección y promoción de los derechos humanos, establecen un marco que permite delimitar aquello que puede ser legítimamente conocido, analizado y utilizado para tomar decisiones a través nuestro.

La digitalización y automatización del tratamiento de datos personales propia del siglo XXI solo vuelve más evidente el problema y la necesidad urgente de su regulación, por la mayor capacidad técnica de recoger, almacenar y analizar datos personales. Pero una ley de protección de datos personales permite proteger a las personas de todo tipo de uso de sus datos —automatizados, o no, digitales o físicos— y de donde sea que provengan las amenazas entes públicos o privados.

Es indispensable que la ley de protección de datos personales que actualmente se discute en el Ecuador contemple los derechos que componen el núcleo esencial del derecho a la autodeterminación informativa, de lo contrario tal protección será ilusoria. Para eso la ley debe referirse a qué información personal puede recogerse, cómo se autoriza esa recogida, para qué puede usarse, por cuánto tiempo, cómo se resguarda, etc. En materia de protección de datos personales estas preguntas se traducen en determinados derechos que componen el núcleo esencial del derecho a la autodeterminación informativa, los famosos derechos ARCO: acceso, rectificación, cancelación y oposición. También, en principios tales como el de juridicidad, lealtad, transparencia, finalidad, pertinencia y minimización de datos personales, proporcionalidad del tratamiento, confidencialidad, calidad y exactitud, conservación, seguridad de datos personales, responsabilidad proactiva y demostrada, aplicación favorable al titular, e independencia del control.

Aquellas personas interesadas en proteger la habilidad de empresas o del Estado de tener control sobre la vida de las y los ciudadanos, intentarán decirles que este debate excede la sofisticación tecnológica, o la realidad económica y social del Ecuador. Algunos de esos puntos fueron levantados durante el debate registrado en algunas de las mesas de trabajo abiertas por la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral.

Sin embargo, afirmaciones de ese tipo no se avienen a la realidad, en la cual las y los ecuatorianos a diario experimentan los impactos del uso de sus datos personales (Sí, estamos pensando en ese llamado que recibiste el otro día de una empresa que ni conocías, ni eres cliente, pero que de forma misteriosa sabía lo que necesitabas).

Aquí no se trata de copiar modelos foráneos o adoptar instituciones que son de naturaleza controversial en el sistema interamericano de derechos humanos —como puede ser el derecho al olvido—. Se trata de no perder la oportunidad de dotar al Ecuador de una regulación moderna, para que se actualice en cuanto a las necesidades de una economía digital al servicio de la ciudadanía y, de paso, acorte su rezago respecto de otras naciones de la región que cuentan con este tipo de regulación hace dos décadas. Como compartió la Unidad de Flujos Internacionales y Protección de Datos de la Comisión Europea en sus contribuciones durante la tramitación de la Ley Orgánica de Protección de Datos, esta debe ser concebida “para establecer un sistema moderno de protección con características propias de un régimen moderno de protección de datos”.

Al inicio del debate legislativo de Ley Orgánica de Protección de Datos, en conjunto con la Asociación para el Progreso de las Comunicaciones presentamos a la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral un documento que ahonda en aspectos que consideramos indispensables para una buena política de protección de datos personales en el Ecuador. No se trata de estándares inalcanzables, ni de quedar entrampados en tecnicismos. Ecuador necesita definiciones claras respecto a lo que constituye un dato personal y un dato sensible (de manera no taxativa) y establecer niveles de protección acorde; principios vinculantes que hagan eco de la experiencia internacional —porque está demostrado que funcionan— y permitan orientar el régimen de protección de datos personales; una lista de derechos vinculantes de los titulares de los datos para garantizar que tengan control sobre su información personal; establecer obligaciones de los responsables de bases de datos, señalando con precisión a los sujetos obligados y los estándares de cumplimiento, en particular la seguridad; establecer un régimen sancionatorio de multas que sean disuasivas. Además, la creación de una autoridad de control que tenga la independencia necesaria y los mecanismos apropiados para garantizar la aplicación de la ley a todo ente público o privado.

Las excepciones al ámbito de aplicación de la ley y al consentimiento deben ser limitadas a casos excepcionales y establecidos con claridad. Para fortalecer las oportunidades de comercio del Ecuador con el exterior, la ley debe considerar la protección a los flujos transfronterizos de los datos, mediante mecanismos sometidos a una supervisión estricta y transparente, e incluir medidas de reparación para garantizar que los derechos de los usuarios viajen junto con sus datos. Los aspectos descritos en estos últimos dos párrafos son esenciales si se quiere garantizar la protección de los datos personales y, con ello, cumplir el estándar exigido por la Unión Europea para declarar a Ecuador un país adecuado en materia de protección de datos personales, cuya protección se ha transformado en el estándar global y cuyo cumplimiento es cuestión indispensable para el comercio digital.

Limitar la aplicación de la ley al flujo transfronterizo de datos o solo al contexto de relaciones comerciales y de consumo, o flexibilizar las normas sobre intercambio de datos personales bajo la excusa de que una ley proteccionista de los derechos de las personas significaría una traba para el desarrollo comercial del país, son falsos dilemas con los que algunos participantes del debate legislativo han intentado convencer a la Asamblea Nacional. Sin embargo, retrasar la discusión no deja ni los intereses económicos del Ecuador, ni el ejercicio de los derechos de su ciudadanía en mejor posición: solo mantiene en el rezago de alcanzar los beneficios de hacer exigibles sus derechos.

La atención de la ciudadanía al debate de la Ley Orgánica de Protección de Datos que se estará produciendo en la Asamblea Nacional en las próximas semanas es esencial para que sus representantes entiendan la necesidad de que se apruebe una legislación adecuada, que permita la plena protección de los derechos de las y los ecuatorianos: el momento es ahora.

Sobre la (in)violabilidad de las comunicaciones

El derecho a la inviolabilidad de las comunicaciones privadas es un derecho fundamental contemplado en las principales convenciones internacionales sobre derechos humanos. En Latinoamérica, la mayoría de sus países reconoce a nivel constitucional la inviolabilidad de las comunicaciones como un derecho fundamental y que, por tanto, solo puede ser suspendido en casos excepcionales y bajo las condiciones establecidas en una ley. O, al menos, así debería ser.

Los estudios, sin embargo, muestran que el uso de medidas investigativas intrusivas de la privacidad de las personas, entre ellas, la interceptación de las comunicaciones, es una práctica que está lejos de ser excepcional.

Interceptación de las comunicaciones

Dado su carácter de derecho fundamental, la regla general es que el derecho a la inviolabilidad de las comunicaciones solo pueda ser limitado en los casos y bajo las circunstancias establecidas expresamente por ley, lo que se da, generalmente, en el marco de investigaciones penales o por motivos de seguridad del Estado.

Adicionalmente, estas medidas intrusivas suelen ir acompañadas por algunos mecanismos de control para evitar su principal riesgo: que terminen siendo ocupadas como herramientas de vigilancia estatal, especialmente en contra de ciudadanos y disidentes del gobierno de turno. Esto no es conspiranoia, la protección de las comunicaciones privadas frente a la vigilancia estatal se remonta a varios años en el pasado, siendo uno de los primeros antecedentes el caso de Giuseppe Mazzini, activista por la unificación italiana que descubrió que agentes estatales leían sus cartas.

Mecanismos de control de la vigilancia estatal

El principal mecanismo de control es la autorización judicial previa, pero algunos países han ido un poco más allá. Por ejemplo, en el caso de Brasil, una vez realizada la diligencia de interceptación, el juez debe decidir si los resultados son relevantes para la investigación. Otro caso interesante es el de Chile, cuya legislación exige, además de la autorización judicial previa, que la medida de interceptación sea notificada al afectado con posterioridad a su realización (artículo 224 del CPP). Sin embargo, la evidencia indica que los mecanismos de control existentes no son suficientes.

En el caso chileno, el mecanismo judicial ha mostrado ser mucho menos estricto de lo que debiera. De acuerdo a números recientes, se realizan alrededor de 66 interceptaciones diarias, por lo que es difícil que jueces estén analizando el mérito de las solicitudes. Estas  solo debieran ser autorizadas bajo sospechas fundadas, basadas en hechos determinados, y para persecución de delitos que merezcan pena de crimen). En cuanto a la notificación del artículo 224, tampoco se cumple.

Actualmente el único mecanismo fiable de control que existe para comprobar cómo funcionan las interceptaciones del CPP es la entrega voluntaria que las principales empresas de telecomunicaciones realizan de datos anonimizados, lo que ha permitido evidenciar los problemas del sistema.

Pero el proyecto de ley sobre delitos informáticos pondría en riesgo este último mecanismo, al aumentar la sanción que arriesgan las empresas en caso de incumplir el deber secreto respecto de los requerimientos de interceptación que reciben. Con las nuevas reglas, bajo la amenaza de una sanción penal – hoy, multa administrativa-, difícilmente las empresas querrán colaborar con instancias de control ciudadano, como la encuesta Quién Defiende Tus Datos.

Una explicación posible para la falta de cumplimiento de esta obligación legal es la falta de capacidades técnicas para realizar las notificaciones exigidas por la ley. De ser este el caso, la dificultad podría ser fácilmente solucionada con la ayuda de las mismas empresas de telecomunicaciones que reciben las órdenes de interceptación.

Estas empresas fácilmente podrían comunicar a sus usuarios el hecho de haber sido objeto de escuchas telefónicas, una vez terminado el plazo de la investigación. Pero actualmente están impedidas de hacerlo. Esto, porque mientras no se formalice la investigación en su contra, el usuario afectado por una escucha telefónica no tiene calidad de interviniente en el proceso penal y, por tanto, el deber de secreto que pesa sobre las empresas de telecomunicaciones alcanza al propio usuario afectado. Esto último, por aplicación del secreto relativo del proceso penal chileno: las investigaciones del Ministerio Público sólo pueden ser conocidas por los intervinientes del proceso (artículo 182 CPP), es decir, fiscal, imputado, defensor, víctima y querellante (artículo 12 CPP).

¿Significa esto que las personas afectadas por interceptaciones no tienen derecho a saberlo? En ningún caso. El artículo 224 establece el deber de notificar al “afectado”, no al “interviniente”. Pero la falta de mecanismos de control eficaces y el desconocimiento de los afectados por esta clase de medidas permite que las mismas sean abusadas, llegando a usarse incluso para la creación de pruebas. Lo anterior es particularmente grave, considerando que ni siquiera el Congreso ha logrado que el Ministerio Público informe sobre el cumplimiento de sus obligaciones legales.

La solución

Dado que el Ministerio Público no está cumpliendo con el deber de notificación del artículo 224, y que se niega a entregar información al respecto, en una sesión reciente de la Cámara de Diputados de Chile, donde se discute el proyecto de ley sobre delitos informáticos, se propuso un mecanismo de control que pareciera ser una solución eficaz y eficiente: que sean las telcos las que cumplan con el referido deber de notificación.

Sin embargo, tanto los representantes del Ministerio del Interior y Seguridad Pública como del Ministerio Público se opusieron a la medida, sin ofrecer una alternativa, aún cuando durante la misma sesión admitieron no estar cumpliendo con la obligación legal de notificar al afectado.

Ante la falta de soluciones alternativas, lo razonable sería que se volviera a discutir la que, hasta ahora, pareciera ser la única solución efectiva.

Ni conspiranoia ni exageración. No necesitamos viajar cientos de años en el tiempo, recordando a Mazzini para justificar nuestra preocupación. Basta pensar en Edward Snowden, cuyo caso – lejos de ser el único- permitió develar la extensión de la vigilancia estatal.

La invasión de los dispositivos usurpadores de cuerpos

Tu smartphone sabe cuántas horas duermes, en qué plataformas de redes sociales pierdes tu tiempo y qué sitios visitas. Hay refrigeradores que no solo saben qué contienen, sino que son capaces de hacer la lista de compra por ti. Si tomas clases o exámenes a distancia debido a la pandemia, puede que la plataforma que tu escuela o universidad ha decidido usar quiera saber cuántas veces mueves los ojos y si los tienes fijos en la pantalla durante toda la clase. La nueva pulsera de Amazon no solo registra tu ejercicio o tus horas de sueño, sino que también tiene opiniones sobre tu voz, tu cuerpo y tu estilo de vida.

Parece que hace ya largo rato que, como sociedad, decidimos dar por superada la falsa dicotomía entre privacidad: hemos decidido que, mientras más datos tengan los dispositivos, aplicaciones y plataformas sobre nosotros, más fácil nos será hacer las compras, sincronizar todas las cosas y tomar la menor cantidad de decisiones posible.

Esta característica —que se denomina “function creep” y describe el hecho de que un determinado sistema sea usado para una finalidad distinta a aquella para la cual fue diseñado originalmente— es típica de las tecnologías modernas, que al “poder” llevar a cabo ciertas funciones o recoger ciertos datos (como la ubicación de una persona, su velocidad de movimiento o incluso, en el caso del Halo, su temperatura) terminan buscando posteriormente qué nuevas funciones pueden ofrecerse con los datos recabados, y no a la inversa.

Lo más importante es que estos datos son recolectados por empresas como Amazon con el objetivo primario de “ajustar sus recomendaciones”, es decir, de venderte más cosas, puesto que su negocio se basa en la pretención de querer conocer al usuario incluso más de lo que el usuario se conoce a sí mismo.

¿No reviste gravedad acaso el hecho de que, como usuarios, no tengamos la agencia necesaria para ejercer resistencia al enfrentarnos con la implementación de tecnologías como el reconocimiento facial y el rastreo de la mirada en el sector educativo? ¿No es grave que hayamos normalizado el hecho de que una aplicación “de salud” o “de menstruación” posea información íntima sobre nuestros cuerpos y pueda venderla con fines publicitarios? La pandemia, como toda crisis, ha sido el caldo de cultivo ideal para facilitar que la sociedad acepte más rápidamente medidas de vigilancia que se le ofrecen como tablas de salvación, como las coronapps, propiciando que se instalen soluciones que hacen retroceder la línea limítrofe de la privacidad de un modo que luego será sumamente difícil restaurar.

Se hace no solo necesario, sino urgente, replantearnos el orden de prioridades que, como sociedad, hemos asignado a nuestra privacidad y a los datos que existen sobre nuestro cuerpo y nuestra actividad en línea. En la era de lo público, en la que más que nunca parecemos estar viviendo conectados a una cámara, no es cierto que la privacidad sea una cosa del pasado a la que debemos renunciar: muy por el contrario, es cada vez más indispensable que rescatemos lo privado, el espacio donde nuestra humanidad, y por ende nuestra democracia y nuestra cultura cívica, pueden florecer de manera más libre.

La vigilancia por reconocimiento facial se extiende en la región

El fuerte impacto social y económico que la pandemia de COVID-19 ha tenido y seguirá teniendo en los países de América Latina se ha sentido también en la concepción que tenemos sobre el uso de tecnologías, en particular aquellas que permiten a las personas comunicarse a distancia. No obstante, la inclinación por soluciones tecnológicas y vigilantes a la emergencia sanitaria, no ha frenado la implementación de uno de los fetiches de la seguridad pública: el reconocimiento facial automatizado en el espacio público.

Aparece así una aparente paradoja, en tanto las medidas sanitarias a menudo exigen o recomiendan el confinamiento y, en caso de estar en la calle, el uso de mascarillas que limitan el reconocimiento. Sin embargo, al mismo tiempo se ha apostado por tecnologías de vigilancia biométrica como el reconocimiento facial, que además de ser presentada como extremedamante útil para cuestiones relativas a la seguridad pública, sería también necesaria para controlar la posibilidad de contagios en las ciudades, para fiscalizar el transito entre países (como si no se les identificara en los controles policiales), además de ser lo suficientemente avanzada como para aprender a reconocer a personas con barbijo. Y dado que las necesidades de seguridad se mantienen o aumentan (según sectores políticos, al menos), cabría seguir instalando tecnología de punta para observar a la población. A aquello que ya hemos sabido, se han sumado múltiples iniciativas para implementar la sospecha sobre la totalidad de las personas en el espacio público.

Más ojos sobre las ciudades

En Argentina, la Ciudad de Buenos Aires está usando un sistema de reconocimiento facial automatizado, el Sistema de Reconocimiento Facial de Prófugos (SFRP). Ese sistema, implementado en abril de 2019 y que la Asociación por los Derechos Civiles combate en tribunales por su inconstitucionalidad, llegó hasta las calles a pesar de su aparente falta de respaldo normativo. Esta imposición del gobierno de la Ciudad, en lugar de retroceder frente al rechazo de los grupos defensores de derechos humanos, fue fortalecida mediante un proyecto de ley para regular su funcionamiento como parte de los sistemas ya existentes de vigilancia. El rechazo de la sociedad civil no se hizo esperar.

El mismo mes de octubre en que se discutía el proyecto, Human Rights Watch acusó al gobierno federal de exponer información de niños, niñas y adolescentes, y al gobierno de la Ciudad de Buenos Aires de usar esa información en su propio SFRP, pese a la mala calidad de la información. A pesar de la escandalosa situación, la aprobación por la Legislatura de la Ciudad de la regulación legal del sistema, sirvió para validar su funcionamiento más que para restringirlo. Como acusaba la sociedad civil, se trató de una legitimación de un sistema ya implementado al margen de la legalidad, creando un estado de permanente sospecha sobre la ciudadanía en una de las ciudades más grandes de la región. En el resto del país también observan con interés la tecnología, omitiendo los peligros que involucra.

En México, varias localidades hacen sus propios esfuerzos por erigirse como defensores de la seguridad pública mediante la intrusión extrema en el espacio público. En Ecatepec, en el estado de México, el Proyecto Jaguar promete a la vez vigilancia de alta resolución y conectividad pública. No muy distinta es otra iniciativa en la Ciudad de México, enmarcada en contexto de pandemia (pero con antecedentes muy anteriores). En tanto, en el estado de Coahuila, se anunciaba que la reglamentación para un avanzado sistema de reconocimiento facial estaría lista, a pesar de que la tecnología misma ya estaba disponible. Es más, según relata Quinto Elemento, el sistema fue adquirido por compra directa a mediados de 2019, con la esperanza de desplegarlo a pesar de no contar ni con los datos necesarios para su eficacia, ni con la autorización legal suficiente. Una vez más, la tecnología aparece como un hecho consumado, aun cuando no puede operar, y su regulación como una formalidad secundaria.

En Uruguay, uno de los países más seguros en la región, igualmente avanza con fuerza el uso de reconocimiento facial con fines de seguridad en el espacio público. Ya en febrero de 2020, la misma empresa que mantiene cámaras en la entrada de recintos deportivos se adjudicó la licitación del Ministerio del Interior uruguayo para instalar cámaras con capacidad para el reconocimiento facial, 8 400 en todo el país. La autorización legal faltante, introducida después de esa compra mediante artículos en la Ley de Presupuesto Nacional, ha seguido avanzando recientemente en el Congreso, pese a la fuerte oposición de la sociedad civil.

Con el apoyo de decenas de organizaciones, el mensaje de rechazo a esta forma de vigilancia llegó a los legisladores. A pesar de que el mensaje ha sido también oído por miembros del Congreso, han avanzado medidas para el traspaso de bases de datos personales, facilitando así el funcionamiento técnico del sistema. Y ante la interpelación por los aspectos negativos del sistema, el gobierno ha respondido que las preocupaciones deberían haberse formulado antes del gasto de un millón de dólares en el software. Es decir, la tecnología termina siendo más importante que los derechos de las personas, y su adquisición un hecho entendido como consumado e irreversible. Una respuesta indefendible ante la exposición de un riesgo inaceptable.

El momento histórico

Sabemos que hay más iniciativas, como también que grandilocuentes anuncios a veces parecen no ser tan reales. La oferta de tecnología de reconocimiento facial en el espacio público, tanto con supuestos fines de seguridad como para combatir la pandemia, mediante la identificación de rostros con cubrebocas y todo. No se trata de un camino inevitable; sin embargo, una y otra vez hemos visto a gobiernos locales y nacionales priorizar la adquisición de una tecnología riesgosa y falible, y luego preocuparse de su regulación. Los gobiernos no han entendido que no es necesario prescindir de la privacidad y la libertad en nombre de la seguridad, y que las garantías fundamentales exigen una regulación estricta que no cree esa clase de riesgos.

Mientras así sea, debemos seguir exigiendo el rechazo y la prohibición del reconocimiento facial.