Temática: Privacidad

La NSA seguirá vigilándonos

Durante la última semana hemos visto, una vez más, que el Congreso de los Estados Unidos de América aprueba la extensión de tiempo de una de sus normas más controvertidas: la Sección 702 de la FISA Amendments Act, la ley que, en términos simples, es la base legal para el monitoreo de comunicaciones por las agencias de inteligencia estadounidenses.

En particular, la Sección 702 es la que permite recolectar llamadas, correos electrónicos, mensajes de texto y más, de personas no estadounidenses que son investigadas por tales agencias, y sin necesitar de una orden judicial. Es decir, es la ley que permitió, y permitirá por al menos seis años más, programas de espionaje como los develados por Edward Snowden en 2013.

La noticia es más que negativa. Cada ocasión que ha tenido el Congreso de EE. UU. de poner límites reales a la vigilancia, ha optado por modificar las reglas de forma tal que agencias como la NSA, la CIA o el FBI sigan operando, con bajísimos resguardos procedimentales y manteniendo un nivel importante de secretismo.

Más gravemente, se niega –otra vez– la privacidad de quienes se comunican con personas en los EE. UU., en nombre de la recolección de inteligencia. Colegas, amistades, familiares, compañeras de estudio y más, se vuelven así posibles focos de vigilancia. Y el constante tránsito de nuestras conversaciones, imágenes, videos y textos por servidores ubicados allí, los pone a disposición de esas agencias para ser leídos, estudiados y almacenados sin que lo sepamos. De paso, esto perjudica también a las personas dentro de los EE. UU., que por comunicarse hacia el extranjero pierden buena parte de sus garantías constitucionales mínimas, como una orden judicial.

Esto pudo haber cambiado, al menos en parte, en razón de la contingencia política: la impopularidad de Donald Trump parecía realinear las fuerzas políticas, en contra de posibles arbitrariedades de las agencias de inteligencia que forman parte del aparato gubernamental que dirige el presidente. Así fue como algunas reformas mínimas asomaron la cabeza en el Senado. No obstante, la votación para avanzar sin discutir reformas recibió apoyo de los supuestos opositores a Trump. La supuesta Resistencia no demostró ser tal al momento de resguardar los derechos de los ciudadanos estadounidenses; el resto del mundo, en tanto, sigue expuesto.

Cuatro años y medio después de las revelaciones de Snowden, y tras largos e intensos debates sobre los límites de la vigilancia estatal y las garantías mínimas que ella debe cumplir, parece ser que en las esferas de toma de decisiones sigue primando un concepto de seguridad que sacrifica derechos fundamentales, socavando aún más a la democracia y poniendo en entredicho el valor de sus instituciones. La intensa lucha de organizaciones de la sociedad civil en los EE. UU. se mantiene frente a una clase política inflexible y un complejo de instituciones de vigilancia que opera en casi total impunidad.

A pesar de lo lejano que parece este debate, que tanto nos afecta, quedan espacios de acción a nivel colectivo e individual. Las noticias de los debates políticos en los EE. UU. todavía dejan fuera el real alcance de la vigilancia a diario, una actividad velada, a menudo auxiliada por la infraestructura del capitalismo de la vigilancia. También queda fuera de nuestro conocimiento lo que las agencias de inteligencia hacen a diario dentro de nuestros países en sus actividades de vigilancia. Y es por ello que mantener la lucha a nivel local, exigiendo controles democráticos sobre las agencias de inteligencia y sobre la adquisición de tecnología de vigilancia, así como aprender a defenderse de esta, se vuelve hoy más importante que nunca.

WPA2 recomendaciones de siempre para nuevas vulnerabilidades

Hace unos días fue anunciada una vulnerabilidad que afecta a todas las redes Wi-Fi modernas que utilizan el protocolo WPA2 para proteger la señal con contraseña. El ataque, denominado «Key Reinstallation Attacks» (KRACKS), es el resultado de una investigación académica enviada a revisión a mediados de mayo y hecha pública hace un par de semanas. Utilizando esta vulnerabilidad, un atacante que esté dentro del rango de la señal Wi-Fi podría obtener el contenido de nuestra navegación: mensajes, imágenes y contraseñas entre otro tipo de datos privados que circulan en la red Wi-Fi mientras utilizamos Internet. Además, dependiendo de la configuración de la red, el atacante también podría engañarnos haciéndonos ingresar datos privados en versiones de sitios que no corresponden a los oficiales u obligándonos a descargar algún tipo de virus o aplicación que no deseamos en el dispositivo. ¿Qué se puede hacer frente a esto?

Esta es una vulnerabilidad que existe en WPA2 como tecnología en sí misma, por lo tanto todos los dispositivos y sistemas operativos que utilizan WPA2 para conectarse a redes inalámbricas pueden verse afectados, incluyendo computadores con Windows, Linux o MacOS, celulares iPhone o Android e incluso radios, televisores o aspiradoras «inteligentes». Muchas de las empresas detrás de estos productos ya han publicado actualizaciones de seguridad que se hacen cargo de este problema, por lo tanto la recomendación principal (y permanente) es mantener actualizadas las aplicaciones y sistemas operativos de nuestros dispositivos para evitar de esta manera permanecer expuestos al ataque. En el caso de los dispositivos que ya no tengan soporte por parte del fabricante y que por tanto no puedan ser actualizados, no hay una recomendación clara: deben evaluar si el dispositivo puede conectarse a Internet de otra manera (cableado o por plan de datos de compañías de telefonía móvil), si es realmente necesario que el dispositivo esté conectado a Internet o, por último, utilizar el dispositivo asumiendo que el canal de comunicación (Wi-Fi en este caso) no es confiable y aplicar otras medidas de protección para el contenido, tales como VPN.

¿Cómo funciona el ataque?

Cuando un dispositivo intenta conectarse a una red inalámbrica se realiza un procedimiento llamado «4-way handshake», que es como un saludo doble entre el dispositivo y el punto de acceso o router con el objetivo de verificar que se posee la clave correcta para ingresar a la red y luego entregar una llave de cifrado que protege el contenido de potenciales observadores no deseados. Pues bien, los investigadores descubrieron una manera de engañar al punto de acceso y hacerle creer que el saludo doble nunca se completó, forzándolo a reenviar la llave de cifrado múltiples veces y eventualmente derivar ciertos aspectos criptográficos de la comunicación. Esto permite fácilmente llegar a descifrar el contenido y en algunos casos manipular información, permitiendo inyectar tráfico de red falso para la instalación forzada de ransomware u otro tipo de aplicaciones no deseadas. En sí, este método no permite obtener la clave con la que se accede a la red Wi-Fi, y requiere que el atacante esté dentro del rango que cubre el punto de acceso inalámbrico.

Posibles dudas que aún tengas:

¿Si navego por HTTPS, mi información sigue estando expuesta?

El protocolo HTTPS va a cifrar todo el contenido que se intercambie entre tu navegador y el servidor del sitio web que estás visitando. Lamentablemente esta vulnerabilidad permite que el atacante te fuerce a utilizar HTTP, la versión sin cifrado de HTTPS, dejando expuesto el contenido de tus comunicaciones nuevamente. Existen algunos sitios que solo permiten la navegación a través de HTTPS por lo que simplemente no funcionanrían si fueses victima de este ataque. Por último existe una extensión para Chrome, Firefox y Opera llamada HTTPS Everywhere que protege la navegación forzando el uso de HTTPS.

¿De qué manera me protege el uso de VPN?

Las VPN (Red privada virtual) son una manera de cifrar todo el contenido que viaja desde y hacia Internet en tu dispositivo. Funcionan estableciendo un canal cifrado entre la organización que te ofrece el servicio VPN y tu dispositivo, canal que funciona por encima de la conexión a Internet que estés usando, lo que previene que nadie en el medio pueda ver qué o con quién te estás comunicando, incluyendo a posible atacantes de esta vulnerabilidad pero también incluyendo al ISP que te da acceso a Internet, lo que permite brindar mayor privacidad a tus comunicaciones. Existen numerosas empresas que ofrecen este servicio por un pago mensual y algunas que lo ofrecen de manera gratuita limitando algunas características de uso. Si quieres saber más visita esta página de la EFF.

Poco y nada (o cuánto sabemos realmente sobre cómo nos vigilan)

Con gran pompa mediática, Carabineros de Chile anunció esta semana la detención de ocho comuneros mapuches en el marco de la denominada “Operación Huracán”, una acción de inteligencia policial con el fin de esclarecer responsabilidades en dos quemas de camiones forestales ocurridas durante agosto en La Araucanía.

Lo peculiar del anuncio es que la prueba incriminatoria para someter a proceso investigativo a los mapuches son mensajes intercambiados a través de aplicaciones de mensajería, como WhatsApp. Y aunque algunos de los mensajes supuestamente intercambiados por los detenidos han aparecido en la prensa, poco detalles se conocen sobre la operación; de ser reales las comunicaciones, ¿cómo accedieron a ellas?

Con la información actualmente disponible es imposible saberlo, y los escenarios potenciales son múltiples. Sabemos que los mensajes de WhatsApp están cifrados por defecto, por lo que ni los proveedores de servicio ni la misma compañía tienen acceso al contenido de las comunicaciones. ¿Qué fue entonces? ¿Un infiltrado? ¿Tuvo la policía acceso físico a los teléfonos? ¿Utilizaron alguno de los programas espía disponibles en el mercado?

Si bien la última opción es técnicamente compleja y sofisticada, no es descabellada: sabemos que la Policía de Investigaciones (PDI) compró el software Phantom de Hacking Team; sabemos también que el objetivo era usarlo para conseguir “información que no obtendrán a través de una orden judicial”. No sabemos mucho más; ni cuántas veces lo han usado, con qué objeto, en el marco de qué causas. Tampoco sabemos qué software utiliza Carabineros de Chile ni cualquier otra institución pública.

Pareciera ser incluso que sabemos más sobre los programas de vigilancia de la NSA estadounidense que de lo que ocurre en América Latina.

La falta de información disponible respecto a las capacidades técnicas y las prácticas de vigilancia de las policía es un problema importante. Dado que se trata de herramientas altamente intrusivas, es dudoso que su uso se apegue a las garantías del debido proceso establecidas en el Código Procesal Penal. Por otra parte, la adquisición de este tipo de herramientas muchas veces se ampara en el secreto que proveen las razones de seguridad nacional y es altamente complejo poder determinar si se han usado o no, incluso teniendo acceso al dispositivo que se sospecha pudiese haber sido infectado.

Se arma así un cuadro complejo, donde el abuso por parte de los cuerpos investigativos es una posibilidad real, escudado en el completo silencio con el cual es factible operar hoy. Frente a esto, la única respuesta posible en una sociedad democrática es mayor transparencia respecto a modos y técnicas, que permitan dar un mínimo de certezas básicas que funcionen como garantías del respeto por los derechos fundamentales.

Recientemente en México se ha comenzado a desenmarañar una extensa red de espionaje gubernamental dirigido a activistas, periodistas y opositores políticos. Se trata de un ejemplo claro y cercano de los graves peligros que permite la falta de controles y contrapesos.

Pero el caso mexicano es también un recordatorio del estado de penumbra en el que muchas veces se encuentran quienes tienen interés por averiguar qué está ocurriendo con la vigilancia estatal: las personas correctas dieron con la pista correcta en el momento correcto; de otra forma, es muy probable que ninguno de estos casos hubiese salido a la luz. Los esfuerzos por esclarecer el estado de la vigilancia estatal no pueden descansar en la buena suerte.

Al igual que en el caso del #DecretoEspía, lo que está en juego acá es el sistema de resguardos que garantizan que los derechos constitucionales están siendo respetados. Dado que Carabineros se ha mostrado tan abiertos y dispuesto a compartir los resultados de su investigación con los medios de comunicación, hay una oportunidad interesante para saber más sobre el modo en que proceden, en este y otros casos.

Es tarea de la prensa también plantear las preguntas correctas y no convertirse en pasivos transmisores de información incuestionable. Tal vez de esta manera podamos empezar a conseguir algunas respuestas.

México y Chile quieren trabajar por los Derechos Humanos vigilando a sus ciudadanos

El Consejo de Derechos Humanos (CDH) es un organismo de las Naciones Unidas encargado de la promoción y protección de los derechos humanos a nivel global. El CDH monitorea situaciones de violaciones de los derechos humanos y formula recomendaciones a los Estados; además trabaja en forma permanente en cuestiones temáticas y en situaciones de violación a los derechos humanos en países específicos. Está compuesto por 47 estados miembros de las Naciones Unidas que son elegidos por la Asamblea General de las Naciones Unidas.

Entre los países Latinoamericanos que se han presentado como candidatos al CDH este año están México y Chile. El lunes 11 de septiembre, por sexto año consecutivo Amnistía Internacional y el International Service for Human Rights (ISHR) organizaron dos reuniones (una en Ginebra y la otra en Nueva York) con el propósito de dar oportunidad a los candidatos de presentar sus visiones y compromisos concretos con la defensa de los derechos humanos. Esto porque no existe otra instancia formal para estos efectos, y porque este evento representa una oportunidad única para que actores de la sociedad civil interactúen directamente con los gobiernos y puedan interpelarlos acerca de su postura concreta respecto de temas específicos que afectan el ejercicio de los derechos humanos.

Junto con otras organizaciones de la sociedad civil, desde Derechos Digitales tomamos esta oportunidad hacer llegar a los representantes de México y Chile nuestras preocupaciones particulares, a través de Twitter utilizando el hashtag #HRCPledging. Les preguntamos sobre su compromiso con el ejercicio de derechos humanos en el entorno digital y en general, en relación con el uso de tecnologías. También les preguntamos sobre su su compromiso de trabajo respecto de dichos asuntos desde su eventual posición en el CDH.

Tal como fue destacado por uno de los moderadores al inicio del evento en Nueva York, por su misión, el CDH es probablemente el más noble de los cuerpos que integran el sistema de las Naciones Unidas, pero su legitimidad depende esencialmente de que sus estados miembros no ignoren o directamente vulneren los derechos humanos de sus propios ciudadanos. En las candidaturas de México y Chile, este principio está en riesgo.

En la región existen numerosos desafíos pendientes en materia de derechos humanos, tales como políticas públicas que se hagan cargo de formas históricas de discriminación como aquellas asociadas al género, la opción sexual y la pertenencia a pueblos originarios. Asimismo, la acción de los Estados en la región se ha mostrado insuficiente cuando se trata de asegurar la libertad de expresión y de participación democrática de la sociedad civil, especialmente en cuando se trata de garantizar la seguridad a periodistas, defensores de derechos humanos o comunidades que luchan por la integridad de sus territorios y por la protección del medio ambiente.

Todos estos asuntos tienen un correlato en el uso de la tecnología y la presencia online de los actores sociales. Es por eso que el compromiso de los Estados con los derechos humanos debe extenderse a este espacio. En 2016, el mismo CDH, a través de su Resolución para la “Promoción, protección y disfrute de los derechos humanos en Internet” observó “la importancia de generar confianza en Internet, en particular en lo que respecta a la libertad de expresión, la privacidad y otros derechos humanos, para que Internet alcance su potencial”. Además reconoció que “la privacidad en línea es importante para materializar el derecho a la libertad de expresión y a no ser molestado por sus opiniones, sin injerencias, y el derecho a la libertad de reunión y de asociación pacíficas”, y terminó expresando su profunda preocupación por “todos los abusos y violaciones de los derechos humanos cometidos contra las personas por ejercer sus derechos humanos y libertades fundamentales en Internet, y por la impunidad con que se cometen”.

Tristemente, y lejos de lo que se esperaría de dos candidatos al CDH, durante 2017 tanto México como Chile han dado pasos precisamente en la dirección opuesta a la indicada en la Resolución sobre los derechos humanos en Internet.

México, decidió enfrentar la corrupción, las desapariciones forzadas y torturas de activistas, espiando a las organizaciones de la sociedad civil que denunciaban los excesos gubernamentales. A espaldas de la ciudadanía, el gobierno mexicano compró y usó un programa de espionaje llamado Pegasus para intimidar a activistas, periodistas y defensores de derechos humanos. Luego de organizaciones de la sociedad civil denunciaran estos hechos, hoy día permanecen en la total impunidad sin una investigación apropiada, sin sanciones para los responsables y sin respuestas ni compromisos de acción futura de parte del gobierno mexicano. Y este espionaje se suma a un panorama de censura devastador, ya que México es de los lugares más peligrosos para ser periodista, después de países en guerra como Afganistán, y estados fallidos como Somalia. Desde el 2000, 104 periodistas han muerto y 25 han desaparecido, pero el Estado no ha emprendido acciones concretas para enfrentar esta situación.

Por su parte, comenzando el año Chile dio señales potentísimas de sintonía con el respeto de los derechos humanos en internet: presentó la tan anhelada iniciativa de actualización del marco normativo de protección de los datos personales; además presentó su Política Nacional de Ciberseguridad, elaborada por un Comité Multiministerial con participación de representantes de la sociedad civil y en la cual se plasmaron compromisos explícitos de pleno respeto a la privacidad y a la libertad de expresión en el ciberespacio.

Tristemente, opacando estas iniciativas el año avanza con uno de los atentados más grandes a la privacidad y la inviolabilidad de las comunicaciones, a través de la introducción del Decreto 866 por parte del Ministerio del Interior, el cual busca extender las obligaciones legales sobre retención de datos de comunicaciones, en un sentido contrario a los estándares internacionales.

Interpelados por la sociedad civil durante la sesión del pasado 11 de septiembre, tanto el delegado mexicano como el chileno evitaron cualquier respuesta sobre sus posturas frente a los graves hechos aquí relatados, absteniéndose de efectuar compromisos específicos.

Si quieren ser dignos representantes de la región en el CDH, tanto México como Chile deben asumir un compromiso de trabajo por el respeto de los derechos humanos, tanto a nivel interno como en la región, que abarque su pleno ejercicio en el mundo físico, en el entorno en línea y en relación al uso de tecnología, de forma consistente con la democracia y la protección del ejercicio de las libertades públicas. Urgen un compromiso expreso y acciones concretas.

Gobierno de Chile busca aumentar su capacidad de vigilancia, aunque sea inconstitucional

Esta semana, gracias a la labor del periodismo de investigación, la ciudadanía ha podido tener acceso al contenido del decreto que modifica el reglamento de interceptación de comunicaciones, que hasta el momento se había mantenido en secreto. Estas revelaciones son de la mayor gravedad y merecen la condena de toda la ciudadanía.

¿Qué dice el decreto?

La nueva normativa pretende modificar la obligación que tienen las compañías de retener los datos de las comunicaciones que se realizan en Chile, extendiendo el período de almacenaje de uno a dos años.

Igual de preocupante que la extensión del período de retención, resulta el hecho que el decreto pretenda aumentar -en tipo y número- los datos sobre las comunicaciones que son almacenadas por las compañías de telecomunicaciones, ampliando además este registro a todos los tipos de comunicaciones que se realizan en Chile, incluyendo:

  • Datos de titular.
  • Llamadas que realiza.
  • Con quiénes se comunica.
  • Los sitios que visita en internet.
  • Tráfico de dato y voz de las comunicaciones.
  • Datos de las comunicaciones a través de sistemas de mensajería, como WhatsApp.
  • Ubicación georeferenciada de todos los clientes.

Se suele argumentar que todos los datos anteriormente mencionados no son sensibles, puesto que no dan cuenta del contenido de las comunicaciones, sino que son datos sobre las comunicaciones; solo son “metadatos”.

Sin embargo, existe abundante evidencia de que los metadatos pueden decir incluso más que el contenido de las comunicaciones, ya que permiten realizar un análisis de los patrones de comportamiento del afectados, sus hábitos e incluso predecir su comportamiento futuro. De ahí que sea discutible la legitimidad de las medidas que obliguen a establecer una retención general de metadatos (de todos los habitantes del país), más aún cuando esta práctica ha sido declarada ilegal en otras latitudes.

El decreto además cuenta con un artículo que prohíbe a las compañías de telecomunicaciones la implementación de cualquier tipo de tecnología que pudiese entorpecer la entrega de esta información, lo que puede implicar un obstáculo importante para la implementación del cifrado de las comunicaciones.

No solo eso: el decreto establece la posibilidad de exigir a cualquier persona, jurídica o natural, almacenar datos comunicacionales, mediante una orden judicial. Eso significa, por ejemplo, que se le podría pedir a un medio de comunicación que almacene los datos de las comunicaciones de sus periodistas con sus fuentes, lo mismo respecto a una universidad con sus estudiantes o una organización de activistas con sus miembros.

Como ha señalado el (ex) Relator Especial para la Libertad de Expresión de Naciones Unidas, Frank La Rue, «Las leyes nacionales de conservación de datos son invasivas y costosas, y atentan contra los derechos a la intimidad y la libre expresión (…) aumentando considerablemente el alcance de la vigilancia del Estado, y de este modo el alcance de las violaciones de los derechos humanos”.

El decreto es inconstitucional

Actualmente, tanto el período como la naturaleza de los datos comunicacionales que las empresas deben almacenar se encuentran regulados en el artículo 222 del Código Procesal Penal. Ahí se establece, de forma expresa, que dicha retención se realizará por un período de un año y se limita únicamente a los números IP de las conexiones que realicen sus abonados. Mediante este decreto, el Gobierno pretende regular materias propias de ley, saltándose la discusión democrática que exigen aquellas materias que impactan el ejercicio de derechos fundamentales.

Nuestro ordenamiento jurídico reconoce que ciertos actos del gobierno pueden tener un impacto en el ejercicio de derechos fundamentales. Por lo mismo, nuestra Constitución limita las facultades del poder político, exigiendo que este tipo de medidas solo puedan ser reguladas por el legislador, una entidad independiente del Poder Ejecutivo y sujeta a control democrático.

De espaldas a la ciudadanía

Resulta preocupante que una medida tan sensible y con consecuencias tan graves se haya gestado sin consulta a expertos académicos, a la comunidad técnica ni a la sociedad civil. De hecho, a la “mesa técnica” de trabajo solo fueron convocadas las empresas de telecomunicaciones.

Por otro lado, el Gobierno parece borrar con el codo lo que escribe con la mano. A pesar de las declaraciones del subsecretario Mahmud Aleuy, resulta evidente que el contenido de este decreto es incompatible con los lineamientos de la recién estrenada Política Nacional de Ciberseguridad, que entre otras cosas, valora la implementación de tecnología de cifrado, establece la necesidad de asegurar el debido proceso y considera que la vigilancia masiva es una vulneración a los derechos fundamentales.

Igualmente contradictorio resulta que la presidenta Bachelet haya presentado hace algunos meses una nueva Ley de Protección de Datos Personales, puesto que obliga a las empresas almacenar una cantidad enorme de datos sensibles de sus clientes y mantenerlos a “disposición del Ministerio Público y de toda otra institución que se encuentre facultada por ley para requerirlos”, sin exigir expresamente que su entrega esté sujeta a la existencia de una orden judicial previa.

Pasos a seguir

Actualmente, el nuevo reglamento está firmado por la presidenta Michelle Bachelet y se encuentra en la Contraloría General a la espera de la respectiva toma de razón.

Que el gobierno busque aumentar su capacidad de vigilancia de forma inconstitucional reviste la mayor gravedad y significa un duro golpe al estado democrático de derecho. Ante esto, no queda más que la ciudadanía completa se una y exija el retiro del decreto.

Biometría: tecnosolucionismo a costa de nuestros derechos

El problema es cuando su adopción se transforma en una especie de mantra irreflexivo que, como hemos dicho con anterioridad, interfiriere con nuestra capacidad para mantener una saludable distancia crítica a la hora de pensar políticas públicas.

Este tecnosolucionismo es particularmente peligroso cuando se trata de la adopción de tecnología de control y vigilancia, que siempre requiere una ponderación con otros derechos por su naturaleza intrusiva y el efecto inhibitorio que puede producir en términos de privacidad y libertad de expresión.

Es por ello que resulta preocupante la liviandad y candidez con que las autoridades chilenas han propuesto la implementación de control biométrico para solucionar (o intentar solucionar) diversas temáticas. Las características físicas constituyen un dato sensible de acuerdo a nuestra legislación, y por tanto, su recolección, almacenamiento y tratamiento están sujetos al máximo nivel de protección; su utilización debería estar sujeta a casos excepcionales donde no exista una alternativa menos lesiva para alcanzar los los fines propuestos. Sin embargo, en lo que va del año, ya han sido tres iniciativas las que buscan implementar controles biométricos vulnerando los derechos fundamentales de las personas.

Cámaras biométricas para combatir delitos menores

El pasado 23 de junio la Municipalidad de Las Condes, la misma que ha implementado drones y globos de vigilancia, anunció que implementará un plan de cámaras de control biométrico para combatir el delito en esa comuna.

Esta medida sin precedente merece ser rechazada. Jurídicamente, las municipalidades no cuentan con las facultades legales para recolectar, almacenar, tratar o ser responsables de una base de datos sensibles como son los datos biométricos. Al tratarse de un dato sensible, debe existir una habilitación legal expresa por parte de la legislación para la creación de este tipo de bases, no bastando una mención genérica a que las municipalidades cuentan con facultades para implementar medidas para combatir el crimen.

Por otro lado, surgen cuestionamientos respecto de cómo la Municipalidad pretende construir esta base de datos, a partir de la cual creará “listas negras” de personas que transitan por la comuna. Qué criterios se utilizarán, quienes tendrán acceso a esa base de datos, cuales serán los criterios de eliminación y de seguridad de la misma son todas preguntas que no han recibido respuesta. Estas consideraciones no son casuales, pues existe evidencia de que la biometría produce un porcentaje elevado de falsos positivos, y que eventualmente puede prestarse para agravar sesgos raciales.

Con esta medida, el alcalde Joaquín Lavín sigue liderando la preocupante tendencia de exigirle a los ciudadanos que sacrifiquen su derecho a la privacidad y la protección de sus datos personales a cambio de una vaga promesa de seguridad que no está basada en la evidencia, ni en una correcta ponderación con otros derechos fundamentales.

Fiscalización biométrica de la entrega de almuerzos infantiles

En la línea de este tecnosolucionismo, la Junta Nacional de Auxilio Escolar y Becas (JUNAEB) elaboró un proceso de licitación para el servicio de entrega de raciones alimenticias al interior de colegios. A fin de cumplir un dictamen de la Contraloría General de la República, que exigió criterios de certificación en la entrega de beneficios, la JUNAEB decidió establecer como requisito en la licitación, la implementación de un control biométrico a los estudiantes beneficiarios.

Esta medida es inaceptable por múltiples razones. En primer lugar, estamos ante un caso donde los datos recolectados son sensibles en un doble sentido, por ser datos biométricos y por tratarse de menores de edad. Como ha señalado recientemente la Corte Suprema, la recolección de dichos datos debe estar sujeta a la autorización expresa, informada y por escrito de los padres.

Por otro lado, la exigencia de la Contraloría hace referencia a la cantidad de raciones entregadas. Por lo mismo, no es necesario identificar a los estudiantes beneficiarios. En otras palabras, la JUNAEB está buscando someter a menores de edad a control biométrico para solucionar un problema que en realidad no requiere identificar a los menores.

Por último, cabe preguntarse cómo responderá la entidad cuando los padres de los menores razonablemente se nieguen a entregar la autorización para que sus hijos sean objeto de este control intrusivo, desproporcionado e innecesario. Negar un beneficio social a estudiantes vulnerables cuyos padres no estén dispuestos a entregar información personal sensible de sus hijos sería a todas luces un apremio ilegítimo.

Por lo anterior, la JUNAEB debe tomar la sentencia de la Corte Suprema como oportunidad para reestudiar su programa y eliminar los criterios de control biométrico de la licitación de entrega de raciones a estudiantes menores de edad.

Control biométrico en el transporte público

El Ministerio de Transportes, el mismo que ha empujado el DICOM del Transantiago y que busca tener la facultad administrativa para bloquear el DNS de plataformas tecnológicas, ha anunciado que se encuentra estudiando implementar reconocimiento facial en el proceso de fiscalización del pago del transporte público.

Lo anterior significa nada menos que someter a los cinco millones de habitantes de Santiago a un sistema de vigilancia constante, permanente y desproporcionado, que no solo almacenaría las imágenes de todos los usuarios del transporte público, sino que analizaría sus rasgos faciales para compararlos con una base de datos cuyos criterios de elaboración son poco o nada claros.

Al igual que en el caso de la Municipalidad de Las Condes, el Ministerio de Transportes no cuenta con las facultades legales para administrar una base de datos de esta naturaleza, y la implementación de un sistema de control biométrico de esas características constituiría una vulneración inaceptable de los derechos fundamentales de los usuarios del transporte público.

Conclusión

Tanto la academia como la sociedad civil internacional han levantado la voz para advertir el efecto que el control biométrico puede significar para el ejercicio de los derechos fundamentales de las personas. Sin embargo, el gobierno ha decidido hacer caso omiso de estas consideraciones y optado por implementar políticas vistosas, que no han demostrado su eficacia y que ponen en riesgo los derechos de las personas.

Es momento que el gobierno y las autoridades concentren sus esfuerzos en implementar políticas basadas en evidencia, que cuenten con una correcta ponderación de los derechos en juego y cuyo beneficiario no sea la emergente industria de la vigilancia, sino la calidad de vida de la ciudadanía.

Globos de vigilancia en Buenos Aires: las malas ideas también se exportan

El gobierno de la ciudad de Buenos Aires presentó la semana pasada un nuevo sistema de globos aerostáticos de vigilancia que será implementado en el marco de un “Sistema Integral de Seguridad”. Los globos complementarán la iniciativa “Anillo Digital” que consiste en un cinturón ubicado en las entradas y salidas de la ciudad, a lo largo de las autopistas La Plata-Buenos Aires y General Paz, donde hoy se encuentran puestos que monitorean la entrada y salida de vehículos a través de pórticos con cámaras lectoras de patentes que permiten identificar cuántos autos entran y salen, quiénes son sus propietarios y si tienen orden de captura o patentes apócrifas.

A 30 metros de altura, en los globos aerostáticos se instalarán cámaras con capacidad de grabar en 360° y que contarán con visión diurna y nocturna, energía propia y transmisión de video en tiempo real. Además, tendrán la capacidad de identificar y seguir objetivos en distancias mayores a dos kilómetros y de realizar reconocimiento en un radio de hasta 4 km.

Las autoridades de vigilancia anunciaron que utilizarán este sistema para “monitorear todas las entradas y salidas de la ciudad a lo largo del Riachuelo [y también] en eventos masivos, cuando haya una manifestación grande, una maratón, algo que haya que cubrir en una amplia área”. Respecto a la manera como este tipo de sistemas de vigilancia pueden afectar el derecho a la privacidad, de acuerdo con un medio local las autoridades consideran que los “globos filman en espacios públicos, no se meten en las casas, salvo que haya un proceso de flagrancia”, ante lo cual no podemos más que estar en desacuerdo respecto a los límites del derecho a la privacidad.

Esta idea no es nueva en nuestra región. El 16 de agosto de 2015 dos municipios de la región metropolitana de Santiago de Chile implementaron el uso de globos de vigilancia con similares características, los cuales han operado desde entonces las 24 horas del día, registrando toda clase de sucesos en un radio de filmación que alcanza 2 km. En los dos municipios, la instalación de estos globos se justifica en la necesidad de nuevas tecnologías para apoyar en el resguardo de la seguridad pública.

En su momento, desde Derechos Digitales y junto con vecinos de dichos municipios, participamos del litigio en contra del uso de los globos de vigilancia por atentar contra los derechos a la privacidad, a la libertad de expresión y a la libre reunión. En esa ocasión los tribunales chilenos, si bien terminaron por admitir el funcionamiento de los globos bajo estricto cumplimiento de una serie de condiciones que permitieran mitigar las afectaciones a la privacidad, reconocieron que:

“… atendidas las particularidades del sistema de televigilancia que ha sido instalado en zonas preeminentemente residenciales, no cabe sino aceptar que quienes habitan en su radio de acción puedan sentirse observados y controlados, induciéndolos a cambiar ciertos hábitos o de inhibirse de determinados comportamientos dentro de un ámbito de privacidad como es la vida doméstica”.

La privacidad incluye tanto el derecho a no ser molestado, como el derecho de una persona a controlar la información disponible sobre ella. La protección de la vida privada se trata de sujetos y no de espacios, como erróneamente se ha afirmado en Chile y ahora se repite en Argentina, a través de las declaraciones de las autoridades que señalan que los globos “filmarán solo espacios públicos”.

El derecho a la privacidad existe y puede ser ejercido tanto en espacios privados como en espacios públicos, donde muchas veces se desarrollan actividades íntimamente conectadas con la dignidad de las personas, respecto de las cuales sí existe expectativa de privacidad: conversaciones, encuentros, visitas a diferentes lugares, entre otros. Aunque se desarrollen en espacios públicos, las personas no tienen por qué esperar que dichas actividades sean observadas y registradas por parte de instituciones o particulares, pues podrían develar sus más íntimas conductas.

Desde hace podo menos de dos años, en Chile los globos de video vigilancia están registrando 24×7 todo lo que cae en el radio de la cámara, cuyo alcance abarca necesariamente espacios privados como patios y terrazas, además de los púbicos como ya hemos dicho. A través de estos globos se vigila sin orden judicial de por medio y sin la existencia de la más mínima sospecha sobre la comisión de un delito. Se vigilan todos los eventos, todas las personas, día y noche, y no sabemos qué pasar luego con el material recopilado.

Por último, el sistema de globos de video vigilancia en Chile no ha resultado en mayor seguridad pública para los municipios donde ha sido implementado. Su uso no compensa en forma alguna el extremo nivel de afectación de la privacidad de las personas que habitan o visitan estos lugares y en cambio, de acuerdo con información proporcionada por los mismos municipios, no existe a la fecha ninguna causa judicial iniciada con base en las imágenes capturadas por los globos.

Protección de datos en América Latina, urgente y necesaria

Hace pocos días concluyó en Santiago de Chile el XV encuentro de la Red Iberoamericana de Protección de Datos (RIPD), grupo de trabajo que desde su creación en 2003 reúne a representantes de agencias gubernamentales iberoamericanas, con el objetivo de avanzar en la creación de marcos normativos para la protección de datos personales.

Durante la reunión se debatieron temas relacionados con el ejercicio efectivo de la privacidad, tales como el derecho a la desindexación, el uso de tecnologías de vigilancia, las implicancias de la internet de las cosas y el uso de big data. Además, la RIPD aprobó y presentó oficialmente los denominados “Estándares de Protección de Datos de los Estados Iberoamericanos”, directrices que servirán de referencia para futuras regulaciones o para la revisión de las ya vigentes en países Iberoamericanos.

Y es que en nuestra región, la protección efectiva de datos personales no es una realidad todavía. Muchos países carecen totalmente de un marco regulatorio general en la materia; varios han reconocido el habeas data en sus Constituciones; otros han regulado el acceso a la información pública o han otorgado algún grado mínimo de protección a través de normativas sectoriales como derecho del consumo, normativa financiera o de salud, entre otros. Países como Brasil y Panamá discuten por estos días las que serán sus primeras normativas generales de protección de datos personales; otros como Argentina y Chile inician importantes reformas a sus estándares desactualizados de protección.

Esa fragmentación total en los niveles de protección de datos personales nos presenta una tarea urgente de armonización para dotar a los habitantes de nuestra región con estándares de protección adecuados al ejercicio de sus derechos y al respeto de su dignidad. Por eso resulta tan valiosa una iniciativa como esta, en la que se promueve una discusión multisectorial (público, privado y social) sobre el nivel adecuado de protección de datos personales en un contexto democrático y global.

Su valor radica, además, en la posibilidad de invitar a la ciudadanía a tomar un rol activo en la defensa de su derecho a la privacidad, en un contexto donde la tecnología ha avanzado más rápido que los marcos jurídicos encargados de orientar su uso con respeto a los derechos fundamentales. Finalmente, permiten reclamar a los estados reconocer y acatar sus compromisos internacionales en materia de derechos humanos relativos a la protección de datos personales.

Ante este favorable panorama, sin embargo, vale la pena hacer un llamado de cautela a los países latinoamericanos, frente a nuestra particular realidad política, económica, social e histórica, la cual no debe resultar indiferente a la hora de diseñar y adoptar una regulación de protección de datos personales.

La influencia de la regulación europea en materia de diseño del marco normativo para la protección de datos personales en América Latina no es una novedad, ya que desde el inicio tal inclinación se ha dejado sentir, en parte motivado por la afinidad de tradiciones legales, en parte porque Europa se ha encontrado a lo largo del tiempo consistentemente a la vanguardia de la protección de los datos personales. Pero también motivado por necesidades de orden económico, específicamente para mantener la posibilidad de prestar servicios a empresas europeas.

La normativa europea pareciera un modelo a seguir para América Latina. Una importante consecuencia de lo anterior es el impacto que para nuestra región puede llegar a tener la más reciente actualización de la normativa europea que resulta en un nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigencia en mayo de 2018. A este respecto debe considerarse que el RGPD fue fruto de una negociación política de más de 4 años en la Unión Europea, y que sus particularidades no escapan a las complejidades de una Unión de países de las más diversas tradiciones jurídicas, así como realidades políticas, económicas y sociales. Esto es clave a la hora de analizar las consecuencias que para América Latina tendría el hecho de buscar su armonización regulatoria en una réplica de la regulación europea.

No quiero poner en duda que mucho de la regulación europea puede servir de materia prima a la discusión en la región, pero en ningún caso sería saludable importar el modelo. La urgencia en la implementación o actualización de la normativa de protección de datos personales en América Latina debe ser compatible con la protección adecuada de la libertad de expresión y el acceso a la información en nuestros países.

Lo que sí debe resultar inspirador del modelo europeo es la posibilidad la armonización normativa para la garantía del pleno ejercicio de los derechos y el florecimiento de la actividad económica en un contexto de reglas claras y protectoras de las personas que habitan una región. Esto cobra particular relevancia en una economía digital globalizada donde los servicios tecnológicos ofrecidos a través de Internet -y en el mundo físico- obedecen a estrategias globalizadas de compañías que operan sin límites nacionales en su oferta de productos y servicios.

Mientras América Latina carezca de estándares adecuados para la protección de datos personales estaremos renunciando tanto al pleno ejercicio de nuestros derechos, como a obtener una participación justa de los beneficios económicos que se derivan de la economía digital, condenándonos a la adhesión a modelos de consumo y ejercicio de derechos impuestos desde otras latitudes.