Temática: Privacidad

La vigilancia por reconocimiento facial se extiende en la región

El fuerte impacto social y económico que la pandemia de COVID-19 ha tenido y seguirá teniendo en los países de América Latina se ha sentido también en la concepción que tenemos sobre el uso de tecnologías, en particular aquellas que permiten a las personas comunicarse a distancia. No obstante, la inclinación por soluciones tecnológicas y vigilantes a la emergencia sanitaria, no ha frenado la implementación de uno de los fetiches de la seguridad pública: el reconocimiento facial automatizado en el espacio público.

Aparece así una aparente paradoja, en tanto las medidas sanitarias a menudo exigen o recomiendan el confinamiento y, en caso de estar en la calle, el uso de mascarillas que limitan el reconocimiento. Sin embargo, al mismo tiempo se ha apostado por tecnologías de vigilancia biométrica como el reconocimiento facial, que además de ser presentada como extremedamante útil para cuestiones relativas a la seguridad pública, sería también necesaria para controlar la posibilidad de contagios en las ciudades, para fiscalizar el transito entre países (como si no se les identificara en los controles policiales), además de ser lo suficientemente avanzada como para aprender a reconocer a personas con barbijo. Y dado que las necesidades de seguridad se mantienen o aumentan (según sectores políticos, al menos), cabría seguir instalando tecnología de punta para observar a la población. A aquello que ya hemos sabido, se han sumado múltiples iniciativas para implementar la sospecha sobre la totalidad de las personas en el espacio público.

Más ojos sobre las ciudades

En Argentina, la Ciudad de Buenos Aires está usando un sistema de reconocimiento facial automatizado, el Sistema de Reconocimiento Facial de Prófugos (SFRP). Ese sistema, implementado en abril de 2019 y que la Asociación por los Derechos Civiles combate en tribunales por su inconstitucionalidad, llegó hasta las calles a pesar de su aparente falta de respaldo normativo. Esta imposición del gobierno de la Ciudad, en lugar de retroceder frente al rechazo de los grupos defensores de derechos humanos, fue fortalecida mediante un proyecto de ley para regular su funcionamiento como parte de los sistemas ya existentes de vigilancia. El rechazo de la sociedad civil no se hizo esperar.

El mismo mes de octubre en que se discutía el proyecto, Human Rights Watch acusó al gobierno federal de exponer información de niños, niñas y adolescentes, y al gobierno de la Ciudad de Buenos Aires de usar esa información en su propio SFRP, pese a la mala calidad de la información. A pesar de la escandalosa situación, la aprobación por la Legislatura de la Ciudad de la regulación legal del sistema, sirvió para validar su funcionamiento más que para restringirlo. Como acusaba la sociedad civil, se trató de una legitimación de un sistema ya implementado al margen de la legalidad, creando un estado de permanente sospecha sobre la ciudadanía en una de las ciudades más grandes de la región. En el resto del país también observan con interés la tecnología, omitiendo los peligros que involucra.

En México, varias localidades hacen sus propios esfuerzos por erigirse como defensores de la seguridad pública mediante la intrusión extrema en el espacio público. En Ecatepec, en el estado de México, el Proyecto Jaguar promete a la vez vigilancia de alta resolución y conectividad pública. No muy distinta es otra iniciativa en la Ciudad de México, enmarcada en contexto de pandemia (pero con antecedentes muy anteriores). En tanto, en el estado de Coahuila, se anunciaba que la reglamentación para un avanzado sistema de reconocimiento facial estaría lista, a pesar de que la tecnología misma ya estaba disponible. Es más, según relata Quinto Elemento, el sistema fue adquirido por compra directa a mediados de 2019, con la esperanza de desplegarlo a pesar de no contar ni con los datos necesarios para su eficacia, ni con la autorización legal suficiente. Una vez más, la tecnología aparece como un hecho consumado, aun cuando no puede operar, y su regulación como una formalidad secundaria.

En Uruguay, uno de los países más seguros en la región, igualmente avanza con fuerza el uso de reconocimiento facial con fines de seguridad en el espacio público. Ya en febrero de 2020, la misma empresa que mantiene cámaras en la entrada de recintos deportivos se adjudicó la licitación del Ministerio del Interior uruguayo para instalar cámaras con capacidad para el reconocimiento facial, 8 400 en todo el país. La autorización legal faltante, introducida después de esa compra mediante artículos en la Ley de Presupuesto Nacional, ha seguido avanzando recientemente en el Congreso, pese a la fuerte oposición de la sociedad civil.

Con el apoyo de decenas de organizaciones, el mensaje de rechazo a esta forma de vigilancia llegó a los legisladores. A pesar de que el mensaje ha sido también oído por miembros del Congreso, han avanzado medidas para el traspaso de bases de datos personales, facilitando así el funcionamiento técnico del sistema. Y ante la interpelación por los aspectos negativos del sistema, el gobierno ha respondido que las preocupaciones deberían haberse formulado antes del gasto de un millón de dólares en el software. Es decir, la tecnología termina siendo más importante que los derechos de las personas, y su adquisición un hecho entendido como consumado e irreversible. Una respuesta indefendible ante la exposición de un riesgo inaceptable.

El momento histórico

Sabemos que hay más iniciativas, como también que grandilocuentes anuncios a veces parecen no ser tan reales. La oferta de tecnología de reconocimiento facial en el espacio público, tanto con supuestos fines de seguridad como para combatir la pandemia, mediante la identificación de rostros con cubrebocas y todo. No se trata de un camino inevitable; sin embargo, una y otra vez hemos visto a gobiernos locales y nacionales priorizar la adquisición de una tecnología riesgosa y falible, y luego preocuparse de su regulación. Los gobiernos no han entendido que no es necesario prescindir de la privacidad y la libertad en nombre de la seguridad, y que las garantías fundamentales exigen una regulación estricta que no cree esa clase de riesgos.

Mientras así sea, debemos seguir exigiendo el rechazo y la prohibición del reconocimiento facial.

El interés superior (¿en los datos?) de los niños y niñas

El uso de algoritmos de reconocimiento facial puede tomar distintas formas técnicas. En términos muy generales, podemos distinguir el uso de esta tecnología para la verificación de un individuo y para la la identificación de la identidad de un individuo. Así, la verificación facial y la identificación mediante el reconocimiento facial son técnicas diferentes, que a su vez tienen formas distintas de ser utilizadas en la práctica.

En la primera, el usuario se somete voluntariamente a la comprobación de su identidad mediante la identificación de sus rasgos biométricos, para acceder u obtener algo a cambio, como el acceso a un servicio o el desbloqueo de su teléfono. La identificación mediante reconocimiento facial no siempre es voluntaria e implica el uso de inteligencia artificial y cámaras alimentadas de grandes bases de datos que rastrean los rasgos biométricos de las personas, como ocurre en las cámaras con reconocimiento facial en el espacio público. En todos estos casos se está tratando datos sensibles: aquella información personal referida a características físicas de las personas.

En El Salvador, el Ministerio de Educación ha propuesto que más de 75,000 estudiantes, de escuelas públicas y privadas, realicen a través de una plataforma digital la prueba AVANZO para evaluar su aprendizaje. Años atrás, la prueba –conocida como PAES- era presencial y sin el auxilio de tecnologías. Este año se usará verificación facial con la finalidad declarada de evitar fraudes. El gobierno anunció que comprará almacenamiento en la nube, sin especificar si se usará para la realizar la prueba o para resguardar los datos biométricos;  cada estudiante podrá acceder a una cuenta de Google for Education para ser evaluados a través de la plataforma ‘AVANZO’ – software desarrollado por la Secretaria de Innovación-.  

A través del Plan Cuscatlán: Innovación y Tecnología, el Presidente Nayib Bukele prometió en 2018  transformar tecnológicamente al país y entregar servicios públicos más eficaces. Las instituciones y mecanismos de control en El Salvador son muy débiles y no existen los marcos regulatorios que garanticen el ejercicio y protección de los derechos de los ciudadanos frente a la adopción de las tecnologías. La ausencia de regulación, supervisión y seguridad significa, en otras palabras, la ausencia de los controles y balances que ayudarán a proteger los derechos y las libertades civiles y, en general, hacer valer el Estado de Derecho.

Esa promesa ambiciosa choca de frente con recientes casos de exposición de datos confidenciales de miles de contribuyentes, estudiantes y ciudadanos,  evidenciando aún más la falta de regulación, estándares y protocolos básicos de protección de datos personales y seguridad de la información en el sector público, y aumentando el riesgo para cualquier persona que deba entregar su información personal. Preocupa aún más que gobiernos desarrollen y adopten tecnologías sin transparencia y regulación adecuada, como el caso de la prueba AVANZO. ¿Qué resguardos se han tomado en su formulación? ¿Cómo puede hoy la ciudadanía auditar o evaluar la creación y la adopción de esos sistemas?

De acuerdo con el Secretario General de la ONU, desde hace 30 años a través de la ratificación de la Convención de las Naciones Unidas sobre los Derechos del Niño, casi 200 países han reconocido que “los niños tienen los mismos derechos humanos que los adultos”. Las tecnologías pueden impactar de diversas maneras sus vidas y sus derechos, sea positiva o negativamente. La Ley de Protección Integral de la Niñez y Adolescencia (LEPINA) de El Salvador, basada en la Convención de los Derechos de los Niños, reconoce el derecho al honor, imagen, vida privada e intimidad, protección de datos y el interés superior de los niños y niñas. Y, en su articulado, prohíbe el uso de la imagen o en contra de la voluntad del niño o niña, o sin el consentimiento de sus padres. Imponer la verificación facial es grave, pues implica que miles de niños y niñas deberán entregar sus datos biométricos como la única alternativa para rendir la prueba.

En un contexto global de pandemia, que ha atacado fuertemente a países como El Salvador, parece ser que se acelera la marcha hacia “soluciones” tecnológicas que, entre otras cosas, asistan a los procesos educativos de los países. Pero frente a este apuro por digitalizar procesos, no hay una prisa similar por resguardar la información de las personas sujetas a esos procesos. Ni siquiera por el hecho de tratarse de personas menores de edad. A la fecha se desconoce el destino final y como serán almacenados esos datos. ¿Qué promovemos con este tipo de medidas? ¿El interés superior de los niños y niñas, o la colecta y uso de sus datos?

El regreso de los delatores en el proyecto de ley de delitos informáticos

En las últimas semanas se reactivó en el Congreso chileno la discusión del proyecto de ley sobre delitos informáticos, que implementa en Chile el Convenio de Budapest. Hasta ahora, la mayoría de las criticas se han centrado en tres temas: penalización del hackeo ético, modificación de las normas sobre retención de datos y acceso a comunicaciones, y ampliación de las facultades del Ministerio Público, incluida la eliminación del requisito de autorización judicial previa para determinadas diligencias.

Resumido en una sola gran crítica, el proyecto ha servido como excusa para inyectar de nueva fuerza el poder del Estado para invadir la privacidad y la autonomía de las personas. A pretexto de combatir el ciberdelito, el proyecto modificaría sustancialmente las actuales normas del código procesal penal chileno en materia de técnicas de investigación.

Pero hay otro aspecto de este proyecto que, a pesar de ser igualmente preocupante, no recibió mayor atención por parte de la Comisión: la utilización de agentes encubiertos para investigar a personas individualmente consideradas respecto de la generalidad de los delitos contemplados en el proyecto.

El agente encubierto es la medida investigativa más intrusiva que contempla nuestro ordenamiento jurídico y, por ello, históricamente ha sido limitada a la investigación de bandas delictivas organizadas y delitos de especial gravedad.

La marcha por implementar Budapest

El proyecto de ley Boletín 12192-25 sobre delitos informáticos tiene su origen en la suscripción y ratificación por parte de Chile al Convenio sobre ciberdelincuencia, también conocido como el Convenio de Budapest. En 2017, con la ratificación del convenio, Chile adquirió la obligación de adecuar su normativa interna y, por ello, el proyecto busca modificar distintos cuerpos legales. Si bien el proyecto ingresado al Congreso en 2018 era altamente cuestionable y peligroso, algunos puntos han sido subsanados en la tramitación.

Pero con la reactivación del proyecto, urgencia del Ejecutivo mediante, algunos riesgos para los derechos fundamentales vuelven a la vida. Preocupa que el proyecto pretenda expandir los mandatos generales sobre retención de datos, acceso a comunicaciones privadas de las personas y las facultades investigativas del Ministerio Público, al punto de prescindir de autorización judicial para determinadas diligencias. Argumentando que es necesario para la investigación de los delitos informáticos, se busca modificar las normas sobre medidas investigativas del código procesal penal, ampliando el poder de vigilancia estatal dentro y fuera de la red. Todo lo anterior sin siquiera ofrecer garantías para impedir el abuso de este tipo de medidas, por ejemplo, robustecer la obligación de notificar al afectado por las mismas.

De estas nuevas medidas y facultades investigativas, solo algunas se encuentran, hasta ahora, limitadas al ámbito del ciberespacio: preservación y custodia de los antecedentes de investigación, comiso y agente encubierto en línea. Pero la forma en que este último irrumpirá es extremadamente preocupante, pues podrá interactuar directamente con las personas de manera individual, sin necesidad de sospecha de actuación en organizaciones delictuales, para la investigación de cualquiera de las conductas tipificadas en el proyecto, sin atender a la gravedad de las mismas.

La irrupción cibernética del agente encubierto

La figura del agente encubierto fue introducida en nuestro país el año 1995, mediante la ley 19.366, sobre tráfico ilícito de estupefacientes y sustancias psicotrópicas, exclusivamente para la investigación de este tipo de ilícito. Su ámbito de aplicación en el régimen penal común fue ampliado para la persecución de la pornografía infantil en 2004 y en 2011 para la investigación de los delitos de tráfico ilícito de migrantes y trata de personas.

Recién en 2016 fue incorporada en el código procesal penal chileno, a raíz de la ley 20.931, que “facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como “ley corta antidelincuencia”. Esta fue la primera vez que se contempló la posibilidad de utilizar la figura del agente encubierto para delitos contra la propiedad, pero solo para aquellos cometidos por  bandas complejas, imposibles de desbaratar sin hacer uso de este tipo de medidas.

Hoy esta medida se encuentra regulada en el artículo 226 bis del código procesal penal, bajo estrictos estándares de procedencia, exclusivamente para la investigación de los delitos ahí indicados y bajo fundadas sospechas de la participación de personas en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, requiriendo en todo caso autorización judicial previa.

El artículo 11 del proyecto de ley original sobre delitos informáticos contemplaba esta medida, pero limitada a la persecución de delitos cometidos por bandas organizadas. Hasta el día 8 de marzo de 2019 —plazo originalmente fijado para presentar indicaciones al proyecto de ley— este artículo solo fue objeto de 3 indicaciones, todas por su supresión total o parcial. Pero en enero de 2020 se propuso reemplazar su texto por uno nuevo, mediante una indicación del Ejecutivo que seguía de cerca lo propuesto por el Ministerio Público durante las sesiones de discusión. El nuevo artículo mantuvo la posibilidad de usar esta medida para la persecución de todos los delitos contenidos en el proyecto, pero además amplió radicalmente su ámbito de aplicación autorizando su uso para la persecución de sujetos individualmente considerados.

De la delación a la provocación

La medida del agente encubierto es de las más intrusivas en cualquier sistema de investigación criminal. Por ello, históricamente su aplicación ha estado limitada a la investigación de delitos cuya particular complejidad y gravedad justifique el uso de tales medidas. El proyecto de ley actual cambia ambas reglas: permite el uso de agentes encubiertos para investigar a personas que actúen individualmente y respecto de cualquiera de los delitos contemplados en la ley, ampliando de manera considerable el campo de aplicación de una medida que siempre debiese ser extraordinaria. Con esto, se infringen los requisitos de necesidad, proporcionalidad y legalidad que deben respetar las medidas intrusivas de investigación.

Además, este tipo de agentes difícilmente serán meros espectadores de los hechos que investigan. La realidad en la que se introduce siempre estará intervenida por su interacción con aquellos entre quienes busca permanecer encubierto. Por lo anterior, aun cuando se trate de una organización criminal, los casos en que estos agentes intervendrán en calidad de meros espectadores sin colaborar en la comisión de los delitos, serán excepcionales. De autorizarse el uso de agentes encubiertos para la investigación de personas individuales, podríamos pasar fácilmente de la investigación a la provocación, tal como sucedió con esta institución en sus orígenes. El agente encubierto nace de las actividades de espionaje político francés durante los años del absolutismo, derivando rápidamente en la provocación mediante el uso de “agentes provocadores” que promovían desordenes públicos para justificar el uso de medidas de persecución en contra de opositores. No obstante, la propuesta también los exime de responsabilidad de manera amplísima, favoreciendo una acción temeraria y perdonando anticipadamente la delincuencia de agentes estatales

Si, además, cómo pretendió originalmente el Ministerio Público, estos agentes pudieran ser introducidos en la sociedad sin necesidad de autorización judicial previa, se desdibujaría la división de poderes que debiese caracterizar a toda sociedad democrática. El control de este tipo de medidas sería prácticamente imposible.

Contra nuevos poderes desproporcionados para el Estado

El uso de agentes encubiertos es sin duda una amenaza para la democracia y de ahí que el legislador haya sido, hasta ahora, extremadamente celoso en su autorización. Permitir el uso de esta figura para vigilar a personas individualmente e investigar delitos comunes es absolutamente desproporcionado. Ello sería la normalización de una institución inquietantemente parecida a los delatores del período más oscuro de nuestra historia. Bajo esas condiciones la posibilidad real de ejercer determinados derechos como la libertad de expresión, es sencillamente imposible.

Ni aun las particulares características del ciberespacio, argumento recurrente para defender este tipo de medidas, justifican poner en peligro derechos tan esenciales como la privacidad, libertad personal y la seguridad individual (artículo 19 nº7 de la Constitución Política). De la misma manera que la persecución de los delitos informáticos no justifica la modificación de las reglas de investigación contenidas en el código procesal penal chileno para la persecución de delitos cometidos fuera del ciberespacio.

Vigilando la velocidad de conexión a internet y a sus usuarias

Asegurar la velocidad de internet es un deber en Chile. Así lo establece la ley desde noviembre de 2017, pero esta obligación no ha sido exigible por años, a falta de la emisión de normas adicionales por parte de la Subsecretaría de Telecomunicaciones de Chile (Subtel), según ordenaba la misma ley. Esto cambió a fines de julio de 2020. Después de un largo período de consideración, consultas públicas y pandemia, la Subtel finalmente emitió el reglamento que regula al organismo técnico independiente (OTI) encargado del cumplimiento de la ley, y la norma técnica con las condiciones de operación.

Sin embargo, con la emisión de las nuevas reglas se busca consolidar un esquema donde, a cambio de medir las condiciones de conectividad, se pide a cambio información personal de las usuarias de internet.

La propuesta de mediciones de calidad de la red

Para medir el cumplimiento de la oferta de velocidad por parte de los proveedores de servicios de internet, las reglas fijan la necesidad de monitorear esa velocidad. Con ese fin, el reglamento y la norma técnica piden que el OTI registre distintos datos y, en algunos casos, autoriza a Subtel a acceder a esa información.  Pero el detalle de los datos que serán recolectados ha sido objeto de cuestionamiento.

Para la medición, el reglamento y la norma técnica definen tres elementos de monitoreo (art. 2 de la norma técnica):

  1. Los ISP deben permitir al OTI el “acceso a sus sistemas de medición de tráfico en línea, a las capacidades instaladas y a las relaciones de interconexión entre sus nodos de redes de acceso, agregación y core” (art 13 de la norma técnica).
  2. Realización de mediciones a través de sondas:
    • Desde una sonda hasta un servidor nacional en la red del mismo ISP.
    • Desde una sonda hasta un servidor nacional en la red de otro ISP.
    • Desde una sonda hasta un servidor ubicado fuera del territorio nacional.
    • Accesibilidad a sitios web nacionales e internacionales.
  3. Realización de mediciones a través de un aplicación en el equipo del usuario:
    • Desde la aplicación hasta un servidor nacional en la red del mismo ISP.
    • Desde la aplicación hasta un servidor nacional en la red de otro ISP.
    • Desde la aplicación hasta un servidor ubicado fuera del territorio nacional.
    • Accesibilidad a sitios web nacionales e internacionales.

Pero no solamente se establecen esos registros. Se establece además que el OTI tendrá acceso a una serie de datos del cliente que instale la aplicación (art. 12 de la norma técnica), que incluyen:

  • IMEI, número telefónico, número de IP, IMSI, SimCard del equipo del usuario.
  • Identificador del ISP y nombre del operador de red de ser el caso.
  • Marca y modelo de equipo del usuario.
  • Fecha y hora de la medición.
  • Identificador de nodo de acceso.
  • Coordenadas de ubicación geográficas del equipo del usuario.
  • Porcentaje de uso de CPU y memoria del equipo del usuario al momento de la medición.
  • Niveles de potencia de señal y relación señal a ruido.

Si bien se puede argumentar que estos datos son necesarios para que la OTI realice el monitoreo respectivo y verifique si el proveedor de internet está cumpliendo con la velocidad promedio comprometida, el artículo 24 de la norma técnica establece que la Subtel tendrá acceso a toda esta información de manera agregada, desagregada, en tiempo real y georreferenciada.

Esto es complejo, ya que —como hemos señalado en el pasado— datos tales como el número de teléfono constituyen datos personales, capaces de identificar a la titular. Por otro lado, se incluye en la lista información que da cuenta de las actividades y los hábitos personales del usuario, como también su geolocalización y dirección IP. Es decir, información sensible. Subtel exige acceso a esta información de manera nominada, es decir, siendo capaz de vincular la información con la identidad de cada usuario.

Estas exigencias de datos por la Subtel no solo carece de sentido operativo, sino que van abiertamente en contra de las garantías constitucionales y legales sobre la información personal. Además, se trata de información que no le corresponde obtener a una entidad gubernamental sin una justificación de la legitimidad del fin perseguido, y sin consentimiento explícito de las personas titulares de los datos.

Si la finalidad es la publicación de informes estadísticos, entonces no es necesario que Subtel acceda a esta información de manera nominada, por lo que la medida resulta desproporcionada. En caso contrario, con el el fin de monitorear la velocidad de la conexión a internet,  se está creando un riesgo innecesario de que la información sea mal utilizada, que se filtre o se abuse de ella.

Vinculado con lo anterior, y también preocupante, es el hecho de que no se establezca una finalidad específica y exclusiva para esta información recolectada. La norma técnica (art. 25) se limita a decir que esta información será utilizada con el objetivo de elaborar informes comparativos para difundir los resultados a las usuarias, “entre otros fines”. Con esta fórmula, el documento deja la puerta abierta para que estos datos sensibles sean utilizados para fines distintos, lo que contradice los principios de la legislación de protección de datos personales, dejando a los ciudadanos en una situación de indefensión frente al potencial de explotación no autorizada.

La recolección desproporcionada de datos, desde la perspectiva técnica

¿Es necesario hacer mediciones individuales de la velocidad de conexión a internet?

No. Si tomamos en cuenta que el OTI tendrá acceso a los sistemas de monitoreo y a las capacidades instaladas de todos los nodos (equipos de comunicación, ya sean routers o switches) de los ISP, asimismo tendrá la posibilidad de monitorear la saturación de tráfico por cada nodo, pudiendo de esta forma levantar la alerta o generar la notificación al ISP correspondiente. Este punto no es menor, pues al tener los datos de funcionamiento y calidad de red de cada nodo están accediendo al mismo nivel de información de quienes administran la red, a excepción de las configuraciones de los dispositivos. En otras palabras, este conglomerado de datos es bastante valioso para fiscalizar el correcto funcionamiento de las redes.

Cuando un ISP implementa un plan de internet a un cliente, básicamente, lo que hace es un Traffic Shaping (limitación de tráfico), lo que permite controlar la velocidad de transferencia máxima de la conexión contratada. En ese sentido, cabe la posibilidad de que el ISP, al ver que algún segmento de la red pueda llegar a la saturación, aplique un limitante de tráfico a los usuarios hasta una velocidad de transferencia máxima menor a lo contratado, para evitar la saturación de uno o más nodos. En este escenario, el OTI no podría evaluar la calidad del servicio a través de lo expresado en el párrafo anterior.

Acá es donde entran en juego las mediciones a través de sondas. Se trata de una suerte de “prueba de caja gris” en la cual se ejecutan pruebas de tráfico desde una sonda y hacia un servidor o sitios web, ambos con ubicación conocida a través de sus direcciones IP. Esta prueba, si bien aporta información periódica del comportamiento de la red, resulta susceptible de “engaño” a través de una liberación de Traffic Shaping, o con una instrucción de prioridad al tráfico entre ambos dispositivos (sonda-servidor).

En este punto es donde se podría justificar la realización de mediciones a través de la aplicación propuesta, cuyo objetivo es generar pruebas desde los distintos dispositivos (teléfonos, tablets, computadores, etcétera) y hacia servidores en distintos puntos (nacionales e internacionales). En principio parece una buena idea, pero tal como vimos en el caso anterior) también es susceptible de “engaño”, dado que los equipos de comunicación pueden aplicar criterios de prioridad de tráfico hacia las ubicaciones de los servidores contra los que se harán las mediciones. El inconveniente que se genera a través de esta perspectiva de prueba es que en su afán de generar mayor certeza se requiere de información más detallada sobre quién, cuándo, dónde y desde qué dispositivo se realiza la prueba. Esto implica que dichos datos permitirían la identificación de sus actividades georreferenciadas o en redes digitales en el pasado y en el futuro.

Como corolario de lo anterior, está la posible necesidad del manejo de miles de (posibles) pruebas, y que cada una deba ser gestionada a través de reportes, para luego dar paso a rectificaciones, reparaciones o adecuación del plan, lo cual genera un esfuerzo logístico y humano innecesario.

Considerando lo anterior cabe hacerse la pregunta: ¿Existe otra perspectiva o acercamiento para poder verificar el correcto funcionamiento de la red o planes de internet que no conlleve la exposición de datos de los usuarios?

Lo primero que podemos ver es que, del listado de datos que definen como “datos ambientales” (art. 12), se podía prescindir de algunos datos de identificación para resguardar la privacidad del usuario. Por ejemplo, solo registrar el nodo de entrada desde el dispositivo que ejecutó la prueba, el plan contratado, el ISP correspondiente y, quizás, un par más de datos como intensidad de la señal. En este caso, la evidencia no permitiría un reclamo o reparación basada en un hallazgo individual, pero sí permitiría generar la solicitud de corrección del problema hacia el ISP en una zona en particular.

En otro sentido, también se podría generar un muestreo de tráfico por zonas que permitiera generar una estadística de uso y proyectar la demanda futura a modo de ir realizando los cambios necesarios en la red para que pueda soportar el aumento de tráfico en relación a la venta de planes. Para esto, es necesaria la estadística y que esta a su vez implique una política en la tasa de agregación, es decir, para una zona en particular con un comportamiento de tráfico específico y crecimiento estimado se debería generar una limitante a la tasa de agregación o, en palabras simples, a la cantidad de sobre-venta de un canal.

Banda Ancha: definición local para una red global

Uno de los encargos de la ley de velocidad mínima garantizada, era que la reglamentación describiera las características de lo que se ofrece como “banda ancha” por los ISP. La norma técnica fija una regla (art. 23) que es en parte flexible respecto de las velocidades de referencia, pero a la vez establece un parámetro de medición. Si bien es arbitrario el valor mínimo de la velocidad de bajada y la velocidad de subida para ser llamada “banda ancha”, lo importante es la relación entre ellos.

Se debe considerar como elemento técnico que las conexiones alámbricas e inalámbricas poseen un canal de comunicación cuya característica es que su ancho de banda es bidireccional o total. Es decir, un cable cuya velocidad de transferencia es de 100 Mbps puede transmitir 50 Mbps de subida y 50 de bajada o bien en relación 70/30, pero la suma de ambos tráficos no podrá superar la capacidad física del canal.

Al parecer, existe una definición comercial que diferencia a un usuario común de un usuario con requerimientos específicos, dado que las ofertas de varios ISPs corresponden a  planes de internet asimétricos bajo demanda, con una relación 5:1 o 20:7 en relación entre las velocidades de bajada y subida, y planes de internet dedicados y simétricos cuya velocidad transferencia de subida y bajada son iguales. Los segundos son más costosos pues aseguran la velocidad de transferencia en cualquier momento, aunque cabe la posibilidad de tener un canal simétrico no dedicado. Esta diferenciación tiene sentido para la oferta de servicios a empresas, en contraste con la oferta para internet en hogares.

En el caso de las conexiones asimétricas (como ocurre con cada conexión casera o común) se podría considerar que la tasa de agregación podría estar limitada en su sobre-venta, de tal manera que permita una relación más baja. Por ejemplo, que el tráfico de subida en una conexión casera o móvil sea al menos la mitad (50%) del tráfico de bajada. Desde un punto de vista comercial, parece tener sentido que los hogares,ya sea con una conexión fija o a través de un dispositivo móvil, tengan una conexión asimétrica donde la red se usa mayormente para recibir contenidos.

Pero esta visión de las necesidades hogareñas es altamente problemática: representa una noción limitada de la utilidad que se le da a la conectividad, no solo para “consumir” contenidos, sino también para producirlo y para comunicarse con otras personas de manera cada vez más sofisticada. Y ese aprovechamiento de las posibilidades de la red solamente aumenta en pandemia. En épocas de una creciente tendencia al teletrabajo, a la educación a distancia, a la telemedicina y a una sociedad obligada a interactar a distancia, es necesario considerar la importancia de que las conexiones permitan un tráfico bidireccional que asegure poder interactuar en la red de forma más igualitaria, donde la velocidad del tráfico de subida resulta tan importante como la de bajada.

Las definiciones de velocidad también resultan problemáticas por lo que implican en relación con la conectividad a nivel global. Por definición, internet representa acceso a contenidos digitales en cualquier parte del mundo y, debido a ello, es que en la mayoría de los países no existe una diferenciación entre tráfico nacional e internacional para la medición. Es decir, la correcta aplicación del término “Banda Ancha” debería aplicarse directamente al tráfico internacional, sin desmedro de que pueda declararse la velocidad de tráfico en territorio nacional. Si bien existen limitaciones técnicas que impiden que pueda asegurarse igual velocidad respecto de conexiones con terminales de distintos lugares del mundo, es importante que existan suficientes condiciones de transparencia que permitan manejar las expectativas de las personas que se conectan a la red. Aun cuando la norma técnica identifica las diferencias entre tráfico nacional e internacional, la oferta comercial de “banda ancha” debe hacerse cargo transparentemente de esa diferencia.

Estas definiciones no son solamente una cuestión comercial o técnica, sino que inciden en la capacidad de crecimiento y de inversión en conectividad. A la vez, su mayor uso no es consecuencia solamente de un contexto global específico, sino que está en juego la forma en que se desarrolla la sociedad en torno a la conectividad digital. Es decir se trata de un servicio estratégico para el desarrollo tecnológico, laboral, económico, educativo y cultural.

La norma técnica en disputa política

La elaboración de la norma técnica por parte de la Subtel ha sido objeto de controversia por las exigencias de datos personales. En contra de la resolución, tanto la industria como la sociedad civil, la autoridad de acceso a información pública y hasta un senador de la República, han reaccionado en oposición a la que ya es una resolución vigente. La actual discusión de una nueva ley de datos personales podría razonablemente limitar riesgos de abuso y permitir la fiscalización del tratamiento no autorizado.

La expectativa desde el interés público es que esas condiciones cambien, pues como hemos dicho, la recolección intensiva de datos resulta desproporcionada frente al propósito de la ley que motiva estas reglas. Pero a la vez, la necesidad de corrección de esas condiciones plantea la oportunidad de mejorar la forma en que se define una internet de velocidad mínima de cara a una sociedad que requiere mejor conectividad.

El futuro del cifrado se define en Brasil

En medio de una pandemia global que releva como nunca antes la importancia de las comunicaciones seguras por medios digitales, el Supremo Tribunal Federal de Brasil (STF) está por decidir dos acciones judiciales sobre los bloqueos de WhatsApp que conmocionaron a usuarias de internet en todo el mundo hace algunos años. Al centro de esa discusión está el debate en torno al valor del cifrado, piedra angular de la seguridad en las tecnologías digitales.

Ese valor, no obstante, es puesto en tela de juicio frente a los requerimientos de los Estados por acceder a comunicaciones e información privadas. Y en esa contraposición de narrativas sobre la tecnología, sobre la seguridad de personas o instituciones, sobre el poder, y sobre derechos fundamentales, la decisión en Brasil puede significar una nueva etapa en la discusión del cifrado en América Latina y el sur global.

Del uso de aplicaciones al derecho al cifrado

La situación de Brasil se remonta a sucesos conocidos en el mundo entero. Entre 2015 y 2016, cuatro órdenes judiciales de distintos juzgados dieron lugar a tres bloqueos de WhatsApp en Brasil. En todos esos casos, el bloqueo era adoptado como una sanción por el incumplimiento de órdenes judiciales relativas a la entrega de información por parte de WhatsApp, información que a su vez no era provista por WhatsApp, por estar cifrada. En todos esos casos, los bloqueos eran mundialmente rechazados como actos contrarios a la libertad de expresión y contrarios al uso de herramientas de comunicación más protectoras de la privacidad.

Dos acciones judiciales ante el STF mantienen viva la discusión en Brasil. La primera es una acción directa de inconstitucionalidad, ADI 5527, que sostiene que el Marco Civil de Internet contiene disposiciones inconstitucionales, en atención al uso de las mismas para el bloqueo de aplicaciones completas, con consecuencias desproporcionadas. Los jueces, al ordenar el bloqueo de aplicaciones (no solamente WhatsApp), estarían dando una interpretación equivocada al Marco Civil de Internet, al ampararse en su articulado para bloquear aplicaciones, basados en causales que no correspondían según la ley. Es decir, una sanción que es parte de las reglas sobre privacidad y protección de datos, usada a propósito del incumplimiento de reglas procesales. A su vez, el impacto del bloqueo se extendió desproporcionadamente a personas dentro y fuera del país, a personas no involucradas en el proceso judicial, en el ejercicio de sus derechos a la libertad de expresión y comunicación.

La segunda acción, la alegación de incumplimiento de precepto fundamental, ADPF 403, apunta asimismo a la defensa de los derechos fundamentales, con el bloqueo judicial de WhatsApp como el acto cuestionado por infringir derechos de libertad de comunicación, libertad de expresión y privacidad. A diferencia de la ADI 5527, que alega la inconstitucionalidad de las disposiciones que autorizan bloqueos en general, la ADPF 403 apunta a los bloqueos de WhatsApp como las medidas infractoras de derechos.

Con ocasión de los bloqueos, se suscitó una enorme preocupación mundial sobre el impacto de decisiones judiciales que impiden la comunicación privada, y la libre elección de las formas en las que se produce, especialmente tratándose de aplicaciones que a la vez son populares y ofrecen mayor seguridad. Pero a nivel judicial, los debates centraban especial atención en los motivos detrás de los bloqueos, como la necesidad de acceder a información como condición para el éxito de investigaciones criminales. Es decir, las disputas entre las narrativas sobre criptografía se movieron también desde el debate político al ámbito jurisdiccional. Y en ese debate, los ministros del STF discuten directamente sobre el valor del cifrado.

Hasta el momento, cuando no hay aún sentencias, los ministros relatores han emitido sus opiniones en ambas causas, con el propósito de informar la posterior votación del STF como cuerpo colegiado. Respecto de la ADPF 403, para la ministra relatora Rosa Weber, no se justifica el uso de Marco Civil de Internet para el bloqueo de WhatsApp, lo que no implica su inconstitucionalidad sino una aplicación errada de la ley. Pero a la vez, agregó expresamente que “sería inadmisible, y a la vez un retroceso, volver ilegal o limitar de ese modo [mediante el bloqueo] el uso de criptografía”. En cuanto a la ADI 5527, el ministro relator Edson Fachin estima que es inconstitucional prohibir a las personas utilizar criptografía de punto a punto, y menciona expresamente el impacto desproporcionado sobre las personas más vulnerables. Para el ministro, el cifrado es “un medio de asegurar la protección de derechos que, en una sociedad democrática, son esenciales para la vida pública”. Lo que la sociedad civil global ha sostenido continuamente, encuentra reconocimiento expreso en las voces de los ministros.

Vacilaciones regionales

La discusión de la temática, tanto en Brasil como en el resto de la región, es también consecuencia de regulaciones mayormente anticuadas o altamente  problemáticas. En Colombia, una ley de 1997 con amplísimo lenguaje pone en duda la licitud del cifrado en redes celulares. Leyes de telecomunicaciones en Ecuador (Art. 77) y El Salvador (Art. 42-D) hablan explícitamente de descifrado por empresas en cooperación con investigaciones estatales. Un decreto en Cuba, hoy derogado, mencionaba la encriptación con el propósito de exigir aprobación previa para su uso en redes digitales privadas. Una investigación fraudulenta en Chile esgrimía la supuesta interceptación de comunicaciones cifradas sin ofrecer información fidedigna sobre el modo de obtención.

En todos estos casos, nociones variadas de seguridad defendida por el Estado justifican una visión a menudo anticuada y en todos los casos adversa a la seguridad de las comunicaciones privadas. En otros países, la ausencia de regulación específica en torno a la investigación es parte de características generales de vacíos en la delimitación de los poderes estatales. De este modo, la inteligencia estatal parece depender de su capacidad de infringir la privacidad, aun sin reglas suficientes para asegurar su ajuste a reglas constitucionales vigentes.

La influencia de un fallo en Brasil no se limita a las cuestiones relativas a la presencia o ausencia de cifrado, sino que se inserta en un contexto más amplio de uso de potestades estatales para la investigación, y de los intentos de forzar a una empresa privada a cooperar con las autoridades públicas, además de seguir un patrón de intento de control sobre aplicaciones disruptivas. Es decir, aun cuando pueda haber un buen precedente a seguir tanto en Brasil como en el extranjero en un aspecto de estas herramientas, queda todavía camino por recorrer, especialmente en la legislación, pero también en la discusión pública, en la interacción con las empresas, y a nivel de cooperación entre estados.

La forma en que el debate político se ha producido globalmente en torno a la criptografía a nivel mundial, pone en entredicho la real probabilidad de prevalecer de los derechos individuales y colectivos por sobre los intereses de vigilancia total de los Estados. Sin perjuicio de las decisiones de la judicatura, los ejemplos latinoamericanos demuestran que todavía es el poder político el que tiene la capacidad de regular las potestades estatales de manera contraria a los derechos fundamentales, como demuestra el caso australiano en torno al cifrado, o más ampliamente en torno a la privacidad de comunicaciones en el propio caso brasileño del proyecto de ley de “fake news”.

El futuro de la criptografía

A pesar de la esperanza que otorgan los informes de los ministros relatores del STF, particularmente en la expresa defensa del ejercicio de derechos fundamentales por medio del uso de cifrado de comunicaciones, tampoco existe certeza de que los resultados finales sean favorables. Pero observar de manera más concreta y cercana debates que tan frecuentemente observábamos a distancia entre poderosos gobiernos del norte global y poderosas empresas del norte global, traen a nuestro lado del mundo la posibilidad de discutir cambios necesarios en torno a las formas en que los intereses de seguridad inciden en nuestros derechos fundamentales, y las formas en que los Estados asumen su responsabilidad en ese equilibrio.

La inminente decisión del STF brasileño sirve así como aliciente a seguir persiguiendo un objetivo crucial para el ejercicio de derechos a través de las herramientas tecnológicas: que las tareas investigativas y de inteligencia sean reguladas y ejercidas sin tratar de forzar la mano de la tecnología, sin buscar la expansión del estado vigilante, y sin alterar significativamente la vida privada de las personas. Mientras intentamos reconducir este debate a soluciones democráticas, basadas en evidencia y análisis de riesgos, y respetuosas de los derechos fundamentales, esperamos que el Supremo Tribunal Federal reafirme lo que indicó el ministro Fachin: que los derechos digitales son derechos fundamentales.

Que se muerdan la lengua: los discursos implícitos en las narrativas gubernamentales contra el cifrado

Los servicios de comunicación, el comercio en línea, el suministro de energía para las ciudades, la infraestructura de la red. Prácticamente toda la información que transita por las múltiples fronteras de los sistemas conectados dependen de la seguridad que ofrece el cifrado. Y no solo eso, el cifrado es también una pieza fundamental para el ejercicio de derechos: la defensa de la libertad de expresión y de prensa, de expresar y asumir posturas políticas, incluso la supervivencia de grupos políticos disidentes en regiones antidemocráticas dependen de la seguridad y la privacidad que solo el cifrado tiene el potencial de ofrecer. Por eso, los ciudadanos y ciudadanas – usuarias de la red – hoy pueden brindarle mayor protección y privacidad a su información, de forma más fácil.

Este empoderamiento ha frenado el acceso de agentes del Estado a las comunicaciones privadas, cuestión antes rutinaria. Durante décadas, este acceso posibilitó programas de vigilancia masiva e incontables escuchas ilegales y, con ello, el debilitamiento de los derechos constitucionales, como el debido proceso y la presunción de inocencia. Igualmente, el cifrado ha frenado interceptaciones clandestinas de parte de agentes privados. El cifrado, por lo tanto, ha posibilitado que las personas reconquisten sus libertades y su autonomía informativa.

Frente a esa situación, las agencias de investigación – cuyo interés responde a la demanda por mayor “velocidad” en la solución de procesos criminales y la expansión de los mecanismos para acceder a círculos de información privada de la ciudadanía, comprometiendo los derechos humanos y la seguridad en la red – por años han desarrollado  narrativas que buscan resignificar la importancia del cifrado. Sin embargo, tales artificios retóricos son muy reveladores y forman parte de un conjunto de acciones sistémicas que buscan estigmatizar la tecnología (en este caso, el cifrado) por medio de su criminalización, con el objetivo de hacer susceptibles a los congresistas a este mensaje de modo que aprueben políticas orientadas a debilitarla.

Fabricando distopías

Las crisis suelen desencadenar grandes cambios, sean sociales, económicos o tecnológicos. Por eso, en escenarios de crisis, para las políticas anticifrado la apuesta se hace desde el lenguaje utilizado para referirnos a la técnica. Mientras existe un consenso entre el sector técnico, académico y social sobre cómo el cifrado “fuerte”, “seguro” o “robusto” es un recurso del cual depende la seguridad de la información, para el FBI y el Departamento de Justicia de los Estados Unidos (DOJ) este sería a prueba de órdenes judiciales y establecería zonas fuera del alcance de la ley. La imagen que quieren proyectar es la de un espacio barbárico, un ejercicio de doblepensar utilizado por regímenes de gobierno como el imaginado por George Orwell.

Los avances en las técnicas de seguridad de la información, arquitecturas que permiten establecer canales de confianza entre usuarios y servicios, así como garantizar la integridad de los intercambios informacionales críticos al funcionamiento de la administración y los servicios públicos, son deliberadamente ignorados por las narrativas de los sectores encargados de investigar los delitos y aplicar la ley. El cifrado es asociado con “espacios sin ley creados por los dueños de grandes empresas” “motivados por el lucro”. Se olvidan de que, antes de relacionarse con un modelo de negocio, se trata de un elemento clave para la resiliencia de la red, y proponer cualquier excepción es lo mismo que defender la abolición de la ciberseguridad.

Como apunta el seminal estudio “Keys under doormats”, crear brechas en los sistemas cifrados va mucho más allá de posibilitar un “acceso excepcional” al contenido protegido. Agregar un nuevo atributo (como un backdoor) en tales mecanismos, haciéndolos más complejos, genera una serie de nuevas interacciones con los demás recursos del sistema de seguridad y, con ello, vulnerabilidades imprevisibles. “La complejidad es enemiga de la seguridad”, afirman las expertas. Las entidades responsables de resguardar, por ejemplo, las claves de acceso a los sistemas cifrados serían víctimas de ataques maliciosos. Además, es igualmente posible cuestionar la misma idea de “excepcionalidad”, cuando son ampliamente conocidos los innumerables episodios de interceptación ilegal de las comunicaciones privadas, por parte de agencias estatales, sin orden judicial.

Este tipo de propuesta parece ignorar la integridad física de las personas, las protecciones a la actividad periodística o la vida de las minorías que dependen directamente del secreto de sus comunicaciones. A modo de ejemplo, hace poco se supo que la recientemente aprobada “Ley anticifrado” australiana está siendo utilizada para violar las protecciones a periodistas en el país. Igualmente, no se considera el impacto que políticas que debilitan el cifrado pueden tener a nivel internacional en otras jurisdicciones, sobretodo en países donde disidentes políticos son perseguidos por el Estado, minorías étnicas son monitoreadas o comunidades LGBTQI+ son criminalizadas por gobiernos fundamentalistas. Aún así, para el DOJ, el negocio de las empresas que ofrecen el cifrado es “vender productos para ganar dinero […] mientras nuestro negocio es prevenir crímenes y salvar vidas”.

El cifrado se basa en posibilidades matemáticas. Aún así, las narrativas gubernamentales apuestan a un solucionismo tecnológico que supera los límites matemáticos para conciliar, por un lado, las demandas de acceso a los datos y a las comunicaciones cifradas y, por el otro, la seguridad e integridad de la red. Las palabras de un representante del Ministerio Público Federal de Brasil son ilustrativas: “estos instrumentos fueron creados por hombres y, si fueron creados por hombres, pueden ser diseñados de una manera distinta”. Cuando era director del FBI, Christopher Wray  afirmaba que creía posible conciliar ambas cosas: “si podemos desarrollar autos autónomos que dan independencia para que los ciegos y personas discapacitadas se transporten; si podemos establecer mundos virtuales totalmente generados por computadoras para elevarnos al próximo nivel del entretenimiento y la educación de manera segura […], seguramente debemos ser capaces de fabricar dispositivos que, a la vez, ofrezcan seguridad y permitan accesos”. Como afirma Corey Doctorow, el FBI cree en una matemática imaginaria y que los desarrolladores no están siendo suficientemente “nerds” para solucionar esta imposibilidad técnica.

El miedo a la oscuridad es también un artificio importante en estas narrativas: “el cifrado nos amenaza con llevar a todos a la oscuridad”; “el FBI trabaja en una sala. El rincón de esta sala ha estado oscuro en los últimos veinte años […]. Este rincón ha empezado a ocupar todo el espacio”. La expresión “going dark” es un resultado directo de esa estrategia. 

Como señala Phillip Rogaway, las narrativas gubernamentales son producidas de forma que garanticen el direccionamiento del discurso exactamente hacia donde las autoridades desean que camine, en un movimiento que apuesta al miedo: el miedo al crimen, el miedo de los padres de no lograr proteger a sus hijos e, incluso, el miedo a la oscuridad. La metáfora del oscurecimiento ejercita el “branding” (la repetición del “going dark”) intentando plasmar un modo de pensar y, con eso, reconfigurar el mismo significado del cifrado.

Las imágenes e imaginarios sobre casos sensibles, como la explotación sexual de menores de edad, las amenazas de atentados terroristas o las redes de tráfico de drogas también han sido históricamente  explotadas en los discursos anticifrado. El DOJ, por ejemplo, pone el cifrado ofrecido por WhatsApp en el centro narrativo de los casos de exterminio de policías por carteles mexicanos. Por su parte, el ex-director del FBI, James Comey, ha apostado a crear escenarios distópicos de futuro: “si [el cifrado fuerte] se vuelve regla […] los homicidios se volverán comunes, los sospechosos caminarán libremente por las calles y los violadores de niños no podrán ser identificados o procesados judicialmente”.

Las expertas presentan datos más convincentes. Por ejemplo, la sola existencia del cifrado por defecto en los dispositivos desincentiva los intentos de agentes maliciosos por apoderarse de ellos, dada la imposibilidad de acceder a los datos que almacenan – una de las principales motivaciones económicas de este tipo de ataques.  Una señal de eso sería la caída en el número de hurtos de celulares desde que Apple implementó el cifrado por defecto en sus dispositivos.

Contrario a la idea del fin de la seguridad pública imaginada por las narrativas gubernamentales, el cifrado democratiza los recursos de seguridad al desencentralizarlos y hacerlos disponibles por defecto. Y al contrario de lo que supone la “sala oscura” del FBI, nunca hubo tantos medios disponibles para la recolección de datos para fines del proceso penal. Esto incluye sensores y objetos conectados a internet en los espacios públicos y domésticos, las redes sociales e, incluso, el hackeo liderado por agencias gubernamentales. La sala oscura, en realidad, se encuentra eclipsada por una era de oro de la vigilancia.

Según las narrativas de las fuerzas policiales, los “abogados de la privacidad absoluta” estarían sufriendo de un “radicalismo post-Snowden”. La sugerencia de ese tipo de afirmación es que hay radicalismo, donde lo que existe es la defensa de derechos individuales. Pasa que, al final del día, una “privacidad a medias” es un derecho frágil y fácilmente vulnerable. Además, siempre hubo privacidad absoluta. Pensar algo distinto sería lo mismo que prohibir que un mensaje escrito en papel sea después quemado. O prohibir que existan conversaciones privadas en lugares remotos. Si todos los espacios se hacen pasibles de interceptación o acceso estatal, la misma esencia de la privacidad se compromete, y las relaciones y comunicaciones de las personas se inhiben. 

En conclusión

Las narrativas anticifrado sugieren una reacción conservadora que busca desarmar, a partir del lenguaje (y, en consecuencia, del lobby legislativo), avances de orden tecnológico y social. Lo hacen simulando futuros caóticos, estados de excepción y escenarios de crisis, invocando figuras conocidas e imágenes perturbadoras, típicamente utilizadas contra las libertades en internet.

En realidad ese conservadurismo policial intenta, incansablemente, rescatar la facilidad que una vez tuvo para invadir espacios y comunicaciones privadas. Que los defensores de la “vigilancia absoluta” se muerdan su propia lengua: sus palabras no son más que ecos del pasado.

Propuesta de regulación de desinformación puede aumentar brechas y exponer las comunicaciones de millones de personas en Brasil

Actualización: Ayer, jueves 25 de junio, se presentó una nueva versión del proyecto de ley. En consecuencia, la votación se aplazo al 30 de junio. En Derechos Digitales estamos estudiando el detalle la propuesta actualizada.

En Brasil, el proyecto de ley conocido como “Ley de Fake News” (PL 2630/2020), destinado en un principio a limitar la circulación de desinformación en internet, se ha transformado en una propuesta de regulación que cede a grupos interesados mayor control sobre la información disponible en línea. ¿Lo peor? El proyecto lo hace en un régimen de urgencia y mientras el Congreso opera de manera remota, con limitadas posibilidades de participación de la sociedad.

Nuevas brechas en contexto ya desigual

Las versiones anteriores de la propuesta ya eran preocupantes, pues ampliaban las obligaciones de retención de datos personales de las usuarias de internet y autorizaban el bloqueo de aplicaciones. Sin embargo, la última versión impone el registro y la identificación de las usuarias de plataformas en línea, por medio de un documento de identidad y de un número de teléfono celular válido. Esta exigencia podría impedir que millones de personas puedan acceder a información y servicios que, en contexto de cuarentena, son más esenciales que nunca. Por ejemplo, una medida de este tipo podría significar que niñas y adolescentes — especialmente de los grupos más marginados de la población— no podrían acceder a aquellas plataformas que hoy son fundamentales para el acceso a la educación.

En un país donde gran parte de la población utiliza internet exclusivamente desde dispositivos móviles y por medio de planes de conexión limitados, las redes sociales y las aplicaciones de mensajería se han tornado esenciales para la comunicación, el acceso a la información y a los servicios esenciales. Durante la pandemia del COVID-19, estos servicios se han utilizado para satisfacer diversas necesidades, como la coordinación de desde redes de apoyo solidario para la distribución de insumos básicos y  la denuncia de abusos y violencia doméstica.

La imposición de este registro conlleva la recolección desproporcionada de datos por agentes privados, violando tanto los principios internacionales de derechos humanos como la normativa nacional de protección de datos, y exponiendo a las usuarias de internet a la explotación indebida de su información personal con fines comerciales.

Así también, la obligación de los proveedores de servicios en internet de chequear y suspender aquellas cuentas registradas con números de celular deshabilitados por las compañías telefónicas implica un intercambio innecesario de datos personales entre empresas, afectando también la libertad de expresión, al impedir repentinamente el acceso de las usuarias a toda su red de comunicaciones y contenidos compartidos.

Exponiendo a las más vulnerables

Igualmente preocupante es la imposición de nuevas exigencias a las aplicaciones de mensajería, que se verían obligadas a limitar el número de veces en que un mensaje puede ser reenviado y a almacenar los datos de todas las personas que lo han compartido.

Esta medida busca restringir la capacidad de acción de grupos maliciosos organizados. Sin embargo, junto con ello, pone trabas y límites a la circulación y distribución de contenidos verdaderos y de interés público a través de internet.

La obligación de retención de datos sobre el reenvío de mensajes implica además la asociación directa entre contenidos de una comunicación y las personas involucradas en ella, resultando en una violación al secreto de todas las comunicaciones, y que es fundamental para todas aquellas comunicaciones legítimas que demandan confidencialidad.  Si a eso sumamos la ya comentada obligación de registrar a todas las personas que utilizan servicios de redes sociales o mensajería privada, el resultado es un esquema masivo de vigilancia sobre la identidad de las personas y su actividad en redes digitales.

Es previsible que las personas más afectadas por estas medidas serán las defensoras de derechos humanos, ambientalistas, periodistas, participantes en movimientos sociales y activistas en general, principalmente si sus opciones para comunicarse son limitadas. Estas son personas que de manera recurrente sufren amenazas y abusos debido a su trabajo, tanto por parte de agentes del Estado como de los privados, y, por lo tanto, tienen una especial necesidad de comunicarse de manera segura. A la vez, la información que producen a menudo es valiosa, capaz de desafiar a las fuentes de información oficial, asumiendo muchas veces un riesgo a la seguridad personal, por lo que una medida de este tipo puede tener un efecto inhibitorio y conducir a la disminución de la circulación de información.

Fortaleciendo la censura privada

Por medio de una redacción confusa, la propuesta parece obligar la remoción de contenido y cuentas de redes sociales que violen los términos de uso de las aplicaciones de redes sociales, por medio de la apertura de un procedimiento de moderación que incluya el derecho a la defensa. A pesar de que la garantía de debido proceso en la aplicación de normativas privadas respecto a la moderación de contenidos apunta en la dirección correcta, es preocupante que el texto no solo legitime la remoción de contenido, sino que la vuelva obligatoria, sin miramientos por atender adecuadamente estándares internacionales de derechos humanos.

La confusión entre los contenidos que deben ser removidos por violar normas nacionales y aquellos que pueden ser eventualmente removidos por las plataformas —de acuerdo a los estándares establecidos en los Principios Rectores de Empresas y Derechos Humanos de las Naciones Unidas— puede devenir en un ambiente de efectiva censura privada, dado que las plataformas definen sus políticas según intereses comerciales propios.

 Un ejemplo de la aplicación desproporcionada de políticas internas es la prohibición de publicar imágenes de personas desnudas en Facebook, que llevó a la remoción de contenidos oficiales del patrimonio cultural brasileño en 2015.  En aquella ocasión la imagen fue restituida, pero quizás eso no habría sido legalmente posible si hubiese habido una obligación de remoción como la prevista en el proyecto en discusión. La existencia de un mecanismo de moderación de ningún modo garantiza que este tipo de situaciones dejará de ocurrir, si es que efectivamente existe una limitación a este tipo de contenido en la política de la plataforma.

En el extremo opuesto, la obligatoriedad de moderación podría generar retrasos que comprometan gravemente los derechos de las usuarias que tengan dificultades para acceder a la Justicia, o en aquellos casos en que esta no pueda responder de manera ágil. Ejemplos de este tipo son las amenazas en redes sociales o la exposición de información personal en internet, cuyas víctimas son principalmente mujeres y personas LGBTTTIQ+.

Un debate apresurado

Si bien es fundamental pensar en la implementación de medidas en un marco de responsabilidades, rendición de cuentas y transparencia de las empresas de internet, con el objetivo de mitigar los daños a los derechos humanos que resulten de su actuación, el texto propuesto puede acentuar tales daños, al aumentar su poder de regulación privada en las plataformas de redes sociales. Las problemáticas señaladas en el proyecto de ley reflejan una discusión apresurada sobre el combate a la desinformación, desarrollada en el medio de una grave crisis política y de salud.

El proyecto de ley evidencia un desconocimiento de las recomendaciones internacionales en la materia y una falta de madurez en el debate. La normativa propuesta es desproporcionada para los fines que persigue y va en sentido opuesto a la histórica demanda por universalizar el acceso a internet en Brasil, y disminuir las múltiples brechas digitales que agudizan el problema de la desinformación.

Ni el contexto de pandemia ni la persecución de la desinformación justifican la vulneración de los compromisos asumidos por Brasil con la protección de derechos humanos.

Junto a más de 40 organizaciones internacionales exigimos que el Congreso brasileño rechace la llamada “Ley de Fake News” y convoque un diálogo amplio para discutir cómo responder a los desafíos de la desinformación en línea, acorde a los compromisos del Estado brasileño con el respeto a los derechos humanos.

Proyecto de ley de desinformación brasileño amenaza la libertad de expresión y la privacidad en línea

Un proyecto de ley sobre desinformación será votado el próximo jueves (25) en Brasil. La propuesta fue presentada en abril, en plena pandemia del Covid-19, y estuvo sujeta a diversas modificaciones. El texto final que será analizado por el Congreso es todavía incierto. La falta de transparencia es solo una arista más de un proceso marcado por las restricciones a la participación de múltiples partes interesantes y propuestas legislativas mal formuladas, que pueden implicar serios riesgos a la libertad de expresión y privacidad.

Versiones anteriores y posiciones públicas de legisladores sobre el tema dan cuenta de abusos en la criminalización de prácticas comunes, definiciones amplias y extensivas, y requisitos de identificación que amenazan la privacidad y la libertad de expresión, y generan nuevas formas de discriminación. En su versión más reciente – que debe ser presentada formalmente al Congreso – el proyecto de ley crea una Internet altamente controlada y pone a todas las usuarias bajo sospecha de desarrollar actividades consideradas ilícitas. Todavía más: la obligación de identificación por medio de documentos de identidad y un número único de teléfono celular puede excluir a millones de personas del acceso a información y servicios básicos en línea. Tal situación es particularmente dañina en un momento en que tal acceso se vuelve crucial para la participación en la vida política y el ejercicio de derechos sociales, económicos y culturales.

El proyecto de ley amplía también las obligaciones de retención de datos preexistentes para permitir el monitoreo del reenvío de información en aplicaciones de mensajería. La medida no solo va directamente en contra de los estándares internacionales de derechos humanos en el derecho a la privacidad, sino que además pone las comunicaciones y la vida de defensoras de derechos humanos, periodistas y activistas en riesgo constante. Otras preocupaciones respecto a la última versión del proyecto incluyen la posibilidad de bloquear las actividades de empresas de Internet en el país; la obligación de mantener bases de datos con información de usuarias brasileñas dentro del territorio nacional; el aumento de penas criminales para calumnia, injuria o difamación (incompatible con los estándares internacionales de derechos humanos); y el refuerzo de obligaciones preexistentes de registro de tarjetas de celular, como ha sido señalado por una amplia coalición de organizaciones brasileñas.

La última versión del texto es incapaz de cumplir con el supuesto objetivo de combatir la desinformación, al estimular la concentración en el ámbito digital – por medio de obligaciones desproporcionadas a las empresas proveedoras de servicios en Internet – y la autocensura, estimulada por la excesiva vigilancia y la amplia criminalización de discursos. Al hacerlo, el proyecto de ley va en directa oposición a lo señalado por expertos internacionales de derechos humanos sobre el tema, quienes recuerdan que “los Estados tienen la obligación positiva de promover un entorno de comunicaciones libre, independiente y diverso, incluida la diversidad de medios, que constituye un medio clave para abordar la desinformación y la propaganda”, y que “las prohibiciones generales de difusión de información basadas en conceptos imprecisos y ambiguos, incluidos «noticias falsas» («fake news») o «información no objetiva», son incompatibles con los estándares internacionales sobre restricciones a la libertad de expresión, conforme se indica en el párrafo 1(a), y deberían ser derogadas”.

De ser aprobado, este proyecto de ley sentará un precedente preocupante para otros países que actualmente discuten regulaciones para restringir la desinformación. Se trata de un debate complejo, que no puede ser adelantado por mecanismos de tramitación de urgencia o la desconsideración de sus significativos impactos en los derechos humanos y las garantías procesales.

La desinformación puede tener impactos negativos en la democracia, la libertad de expresión, el periodismo y los espacios cívicos, al igual que los intentos inapropiados de regularla. Los Estados deben abstenerse de adoptar marcos normativos que no estén basados en evidencia y sean el resultado de un debate público amplio, con participación de los diferentes sectores de la sociedad. Como han señalado expertos internacionales de derechos humanos en sus recomendaciones sobre cómo responder al fenómeno de la desinformación, “los Estados únicamente podrán establecer restricciones al derecho de libertad de expresión de conformidad con el test previsto en el derecho internacional para tales restricciones, que exige que estén estipuladas en la ley, alcancen uno de los intereses legítimos reconocidos por el derecho internacional y resulten necesarias y proporcionadas para proteger ese interés”.

Una amplia discusión de múltiples partes interesadas y la adopción de reglas para garantizar más transparencia y rendición de cuentas por parte de las empresas de Internet, así como mecanismos para el debido proceso en la moderación de contenidos, son más que bienvenidos. Tal discusión debe considerar los estándares de derechos humanos que ya reconocen el control concentrado de las comunicaciones digitales como una amenaza a la libertad de expresión. Sin embargo, el texto en discusión falla en atender tales principios y no debería ser adoptado sin el debido debate público.

Por las razones expresadas, las organizaciones firmantes urgen a los legisladores brasileños que rechacen inmediatamente la última versión del texto, posponga la votación de la llamada “Ley de Fake News” (PL 2630/2020), remueva su tramitación en régimen de urgencia y convoque un diálogo de múltiples partes interesadas para discutir cómo responder a los desafíos de la desinformación en línea acorde a los compromisos del Estado Brasileño con el respeto al derecho internacional de los derechos humanos y los estándares existentes en la materia.

Firmas:

  • Access Now, Global
  • Amnesty International Brasil
  • ARTICLE 19, Global
  • Asociación Mundial de Radios Comunitarias (AMARC), América Latina y el Caribe
  • Asociación Nacional de la Prensa (ANP), Bolivia
  • Asociación por los Derechos Civiles (ADC), Argentina
  • Asociación TEDIC, Paraguay
  • Associação Brasileira de Jornalismo Investigativo (ABRAJI), Brasil
  • Association for Progressive Communications (APC), Global
  • Autres Brésils, Francia
  • Center for Democracy & Technology, US/EU
  • Centro de Archivos y Acceso a la Información Pública (CAinfo), Uruguay
  • Centro Nacional de Comunicacion Social AC, México
  • Chaos Compuer Club, Alemania
  • Ciberfeministas GT, Guatemala
  • Damian Loreti, Argentina
  • Derechos Digitales, América Latina
  • Digital Empowerment Foundation, India
  • Digitale Gesellschaft, Alemania
  • Electronic Frontier Foundation (EFF), Global
  • Espacio Público, Venezuela
  • Freedom House, Estados Unidos
  • Fundación Datos Protegidos, Chile
  • Fundación Escuela Latinoamericana de Redes (EsLaRed), Venezuela
  • Fundación Karisma, Colombia
  • Fundación para la Libertad de Prensa (FLIP), Colombia
  • Fundamedios, América Latina
  • Future of Privacy Forum, Global
  • Hiperderecho, Perú
  • Human Rights Watch, Global
  • IFEX – América Latina y el Caribe (IFEX-ALC)
  • Index on Censorship, Global
  • Instituto de Prensa y Libertad de Expresión (IPLEX), Costa Rica
  • Instituto de Tecnologia e Sociedade do Rio (ITS Rio), Brasil
  • Instituto Prensa y Sociedad, Perú
  • Instituto Prensa y Sociedad, Venezuela
  • Internet Without Borders, Global
  • IPANDETEC, América Central
  • ISOC Brasil (capítulo brasileño de Internet Society)
  • Martín Becerra, Argentina
  • OBSERVACOM, América Latina
  • Observatorio Latinoamericano para la Libertad de Expresión (OLA), América Latina
  • Open Knowledge Brasil
  • Paradigm Initiative (PIN), África
  • PEN America, Estados Unidos
  • R3D: Red en Defensa de los Derechos Digitales, México
  • Reporters Without Borders (RSF), Global
  • Software Freedom Law Centre (SFLC.in), India
  • Sulá Batsú, Costa Rica
  • Sursiendo, Comunicación y Cultura Digital, México
  • Tor Project, Global
  • Usuarios Digitales, Ecuador