Temática: Privacidad

Biometría: tecnosolucionismo a costa de nuestros derechos

El problema es cuando su adopción se transforma en una especie de mantra irreflexivo que, como hemos dicho con anterioridad, interfiriere con nuestra capacidad para mantener una saludable distancia crítica a la hora de pensar políticas públicas.

Este tecnosolucionismo es particularmente peligroso cuando se trata de la adopción de tecnología de control y vigilancia, que siempre requiere una ponderación con otros derechos por su naturaleza intrusiva y el efecto inhibitorio que puede producir en términos de privacidad y libertad de expresión.

Es por ello que resulta preocupante la liviandad y candidez con que las autoridades chilenas han propuesto la implementación de control biométrico para solucionar (o intentar solucionar) diversas temáticas. Las características físicas constituyen un dato sensible de acuerdo a nuestra legislación, y por tanto, su recolección, almacenamiento y tratamiento están sujetos al máximo nivel de protección; su utilización debería estar sujeta a casos excepcionales donde no exista una alternativa menos lesiva para alcanzar los los fines propuestos. Sin embargo, en lo que va del año, ya han sido tres iniciativas las que buscan implementar controles biométricos vulnerando los derechos fundamentales de las personas.

Cámaras biométricas para combatir delitos menores

El pasado 23 de junio la Municipalidad de Las Condes, la misma que ha implementado drones y globos de vigilancia, anunció que implementará un plan de cámaras de control biométrico para combatir el delito en esa comuna.

Esta medida sin precedente merece ser rechazada. Jurídicamente, las municipalidades no cuentan con las facultades legales para recolectar, almacenar, tratar o ser responsables de una base de datos sensibles como son los datos biométricos. Al tratarse de un dato sensible, debe existir una habilitación legal expresa por parte de la legislación para la creación de este tipo de bases, no bastando una mención genérica a que las municipalidades cuentan con facultades para implementar medidas para combatir el crimen.

Por otro lado, surgen cuestionamientos respecto de cómo la Municipalidad pretende construir esta base de datos, a partir de la cual creará “listas negras” de personas que transitan por la comuna. Qué criterios se utilizarán, quienes tendrán acceso a esa base de datos, cuales serán los criterios de eliminación y de seguridad de la misma son todas preguntas que no han recibido respuesta. Estas consideraciones no son casuales, pues existe evidencia de que la biometría produce un porcentaje elevado de falsos positivos, y que eventualmente puede prestarse para agravar sesgos raciales.

Con esta medida, el alcalde Joaquín Lavín sigue liderando la preocupante tendencia de exigirle a los ciudadanos que sacrifiquen su derecho a la privacidad y la protección de sus datos personales a cambio de una vaga promesa de seguridad que no está basada en la evidencia, ni en una correcta ponderación con otros derechos fundamentales.

Fiscalización biométrica de la entrega de almuerzos infantiles

En la línea de este tecnosolucionismo, la Junta Nacional de Auxilio Escolar y Becas (JUNAEB) elaboró un proceso de licitación para el servicio de entrega de raciones alimenticias al interior de colegios. A fin de cumplir un dictamen de la Contraloría General de la República, que exigió criterios de certificación en la entrega de beneficios, la JUNAEB decidió establecer como requisito en la licitación, la implementación de un control biométrico a los estudiantes beneficiarios.

Esta medida es inaceptable por múltiples razones. En primer lugar, estamos ante un caso donde los datos recolectados son sensibles en un doble sentido, por ser datos biométricos y por tratarse de menores de edad. Como ha señalado recientemente la Corte Suprema, la recolección de dichos datos debe estar sujeta a la autorización expresa, informada y por escrito de los padres.

Por otro lado, la exigencia de la Contraloría hace referencia a la cantidad de raciones entregadas. Por lo mismo, no es necesario identificar a los estudiantes beneficiarios. En otras palabras, la JUNAEB está buscando someter a menores de edad a control biométrico para solucionar un problema que en realidad no requiere identificar a los menores.

Por último, cabe preguntarse cómo responderá la entidad cuando los padres de los menores razonablemente se nieguen a entregar la autorización para que sus hijos sean objeto de este control intrusivo, desproporcionado e innecesario. Negar un beneficio social a estudiantes vulnerables cuyos padres no estén dispuestos a entregar información personal sensible de sus hijos sería a todas luces un apremio ilegítimo.

Por lo anterior, la JUNAEB debe tomar la sentencia de la Corte Suprema como oportunidad para reestudiar su programa y eliminar los criterios de control biométrico de la licitación de entrega de raciones a estudiantes menores de edad.

Control biométrico en el transporte público

El Ministerio de Transportes, el mismo que ha empujado el DICOM del Transantiago y que busca tener la facultad administrativa para bloquear el DNS de plataformas tecnológicas, ha anunciado que se encuentra estudiando implementar reconocimiento facial en el proceso de fiscalización del pago del transporte público.

Lo anterior significa nada menos que someter a los cinco millones de habitantes de Santiago a un sistema de vigilancia constante, permanente y desproporcionado, que no solo almacenaría las imágenes de todos los usuarios del transporte público, sino que analizaría sus rasgos faciales para compararlos con una base de datos cuyos criterios de elaboración son poco o nada claros.

Al igual que en el caso de la Municipalidad de Las Condes, el Ministerio de Transportes no cuenta con las facultades legales para administrar una base de datos de esta naturaleza, y la implementación de un sistema de control biométrico de esas características constituiría una vulneración inaceptable de los derechos fundamentales de los usuarios del transporte público.

Conclusión

Tanto la academia como la sociedad civil internacional han levantado la voz para advertir el efecto que el control biométrico puede significar para el ejercicio de los derechos fundamentales de las personas. Sin embargo, el gobierno ha decidido hacer caso omiso de estas consideraciones y optado por implementar políticas vistosas, que no han demostrado su eficacia y que ponen en riesgo los derechos de las personas.

Es momento que el gobierno y las autoridades concentren sus esfuerzos en implementar políticas basadas en evidencia, que cuenten con una correcta ponderación de los derechos en juego y cuyo beneficiario no sea la emergente industria de la vigilancia, sino la calidad de vida de la ciudadanía.

Globos de vigilancia en Buenos Aires: las malas ideas también se exportan

El gobierno de la ciudad de Buenos Aires presentó la semana pasada un nuevo sistema de globos aerostáticos de vigilancia que será implementado en el marco de un “Sistema Integral de Seguridad”. Los globos complementarán la iniciativa “Anillo Digital” que consiste en un cinturón ubicado en las entradas y salidas de la ciudad, a lo largo de las autopistas La Plata-Buenos Aires y General Paz, donde hoy se encuentran puestos que monitorean la entrada y salida de vehículos a través de pórticos con cámaras lectoras de patentes que permiten identificar cuántos autos entran y salen, quiénes son sus propietarios y si tienen orden de captura o patentes apócrifas.

A 30 metros de altura, en los globos aerostáticos se instalarán cámaras con capacidad de grabar en 360° y que contarán con visión diurna y nocturna, energía propia y transmisión de video en tiempo real. Además, tendrán la capacidad de identificar y seguir objetivos en distancias mayores a dos kilómetros y de realizar reconocimiento en un radio de hasta 4 km.

Las autoridades de vigilancia anunciaron que utilizarán este sistema para “monitorear todas las entradas y salidas de la ciudad a lo largo del Riachuelo [y también] en eventos masivos, cuando haya una manifestación grande, una maratón, algo que haya que cubrir en una amplia área”. Respecto a la manera como este tipo de sistemas de vigilancia pueden afectar el derecho a la privacidad, de acuerdo con un medio local las autoridades consideran que los “globos filman en espacios públicos, no se meten en las casas, salvo que haya un proceso de flagrancia”, ante lo cual no podemos más que estar en desacuerdo respecto a los límites del derecho a la privacidad.

Esta idea no es nueva en nuestra región. El 16 de agosto de 2015 dos municipios de la región metropolitana de Santiago de Chile implementaron el uso de globos de vigilancia con similares características, los cuales han operado desde entonces las 24 horas del día, registrando toda clase de sucesos en un radio de filmación que alcanza 2 km. En los dos municipios, la instalación de estos globos se justifica en la necesidad de nuevas tecnologías para apoyar en el resguardo de la seguridad pública.

En su momento, desde Derechos Digitales y junto con vecinos de dichos municipios, participamos del litigio en contra del uso de los globos de vigilancia por atentar contra los derechos a la privacidad, a la libertad de expresión y a la libre reunión. En esa ocasión los tribunales chilenos, si bien terminaron por admitir el funcionamiento de los globos bajo estricto cumplimiento de una serie de condiciones que permitieran mitigar las afectaciones a la privacidad, reconocieron que:

“… atendidas las particularidades del sistema de televigilancia que ha sido instalado en zonas preeminentemente residenciales, no cabe sino aceptar que quienes habitan en su radio de acción puedan sentirse observados y controlados, induciéndolos a cambiar ciertos hábitos o de inhibirse de determinados comportamientos dentro de un ámbito de privacidad como es la vida doméstica”.

La privacidad incluye tanto el derecho a no ser molestado, como el derecho de una persona a controlar la información disponible sobre ella. La protección de la vida privada se trata de sujetos y no de espacios, como erróneamente se ha afirmado en Chile y ahora se repite en Argentina, a través de las declaraciones de las autoridades que señalan que los globos “filmarán solo espacios públicos”.

El derecho a la privacidad existe y puede ser ejercido tanto en espacios privados como en espacios públicos, donde muchas veces se desarrollan actividades íntimamente conectadas con la dignidad de las personas, respecto de las cuales sí existe expectativa de privacidad: conversaciones, encuentros, visitas a diferentes lugares, entre otros. Aunque se desarrollen en espacios públicos, las personas no tienen por qué esperar que dichas actividades sean observadas y registradas por parte de instituciones o particulares, pues podrían develar sus más íntimas conductas.

Desde hace podo menos de dos años, en Chile los globos de video vigilancia están registrando 24×7 todo lo que cae en el radio de la cámara, cuyo alcance abarca necesariamente espacios privados como patios y terrazas, además de los púbicos como ya hemos dicho. A través de estos globos se vigila sin orden judicial de por medio y sin la existencia de la más mínima sospecha sobre la comisión de un delito. Se vigilan todos los eventos, todas las personas, día y noche, y no sabemos qué pasar luego con el material recopilado.

Por último, el sistema de globos de video vigilancia en Chile no ha resultado en mayor seguridad pública para los municipios donde ha sido implementado. Su uso no compensa en forma alguna el extremo nivel de afectación de la privacidad de las personas que habitan o visitan estos lugares y en cambio, de acuerdo con información proporcionada por los mismos municipios, no existe a la fecha ninguna causa judicial iniciada con base en las imágenes capturadas por los globos.

Protección de datos en América Latina, urgente y necesaria

Hace pocos días concluyó en Santiago de Chile el XV encuentro de la Red Iberoamericana de Protección de Datos (RIPD), grupo de trabajo que desde su creación en 2003 reúne a representantes de agencias gubernamentales iberoamericanas, con el objetivo de avanzar en la creación de marcos normativos para la protección de datos personales.

Durante la reunión se debatieron temas relacionados con el ejercicio efectivo de la privacidad, tales como el derecho a la desindexación, el uso de tecnologías de vigilancia, las implicancias de la internet de las cosas y el uso de big data. Además, la RIPD aprobó y presentó oficialmente los denominados “Estándares de Protección de Datos de los Estados Iberoamericanos”, directrices que servirán de referencia para futuras regulaciones o para la revisión de las ya vigentes en países Iberoamericanos.

Y es que en nuestra región, la protección efectiva de datos personales no es una realidad todavía. Muchos países carecen totalmente de un marco regulatorio general en la materia; varios han reconocido el habeas data en sus Constituciones; otros han regulado el acceso a la información pública o han otorgado algún grado mínimo de protección a través de normativas sectoriales como derecho del consumo, normativa financiera o de salud, entre otros. Países como Brasil y Panamá discuten por estos días las que serán sus primeras normativas generales de protección de datos personales; otros como Argentina y Chile inician importantes reformas a sus estándares desactualizados de protección.

Esa fragmentación total en los niveles de protección de datos personales nos presenta una tarea urgente de armonización para dotar a los habitantes de nuestra región con estándares de protección adecuados al ejercicio de sus derechos y al respeto de su dignidad. Por eso resulta tan valiosa una iniciativa como esta, en la que se promueve una discusión multisectorial (público, privado y social) sobre el nivel adecuado de protección de datos personales en un contexto democrático y global.

Su valor radica, además, en la posibilidad de invitar a la ciudadanía a tomar un rol activo en la defensa de su derecho a la privacidad, en un contexto donde la tecnología ha avanzado más rápido que los marcos jurídicos encargados de orientar su uso con respeto a los derechos fundamentales. Finalmente, permiten reclamar a los estados reconocer y acatar sus compromisos internacionales en materia de derechos humanos relativos a la protección de datos personales.

Ante este favorable panorama, sin embargo, vale la pena hacer un llamado de cautela a los países latinoamericanos, frente a nuestra particular realidad política, económica, social e histórica, la cual no debe resultar indiferente a la hora de diseñar y adoptar una regulación de protección de datos personales.

La influencia de la regulación europea en materia de diseño del marco normativo para la protección de datos personales en América Latina no es una novedad, ya que desde el inicio tal inclinación se ha dejado sentir, en parte motivado por la afinidad de tradiciones legales, en parte porque Europa se ha encontrado a lo largo del tiempo consistentemente a la vanguardia de la protección de los datos personales. Pero también motivado por necesidades de orden económico, específicamente para mantener la posibilidad de prestar servicios a empresas europeas.

La normativa europea pareciera un modelo a seguir para América Latina. Una importante consecuencia de lo anterior es el impacto que para nuestra región puede llegar a tener la más reciente actualización de la normativa europea que resulta en un nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigencia en mayo de 2018. A este respecto debe considerarse que el RGPD fue fruto de una negociación política de más de 4 años en la Unión Europea, y que sus particularidades no escapan a las complejidades de una Unión de países de las más diversas tradiciones jurídicas, así como realidades políticas, económicas y sociales. Esto es clave a la hora de analizar las consecuencias que para América Latina tendría el hecho de buscar su armonización regulatoria en una réplica de la regulación europea.

No quiero poner en duda que mucho de la regulación europea puede servir de materia prima a la discusión en la región, pero en ningún caso sería saludable importar el modelo. La urgencia en la implementación o actualización de la normativa de protección de datos personales en América Latina debe ser compatible con la protección adecuada de la libertad de expresión y el acceso a la información en nuestros países.

Lo que sí debe resultar inspirador del modelo europeo es la posibilidad la armonización normativa para la garantía del pleno ejercicio de los derechos y el florecimiento de la actividad económica en un contexto de reglas claras y protectoras de las personas que habitan una región. Esto cobra particular relevancia en una economía digital globalizada donde los servicios tecnológicos ofrecidos a través de Internet -y en el mundo físico- obedecen a estrategias globalizadas de compañías que operan sin límites nacionales en su oferta de productos y servicios.

Mientras América Latina carezca de estándares adecuados para la protección de datos personales estaremos renunciando tanto al pleno ejercicio de nuestros derechos, como a obtener una participación justa de los beneficios económicos que se derivan de la economía digital, condenándonos a la adhesión a modelos de consumo y ejercicio de derechos impuestos desde otras latitudes.

Por la libertad del acceso, la privacidad y el anonimato

El pasado 6 de Abril Dmitry Bogatov fue detenido en Moscú tras ser acusado de publicar mensajes extremistas en un sitio web ruso bajo los cargos de “incitar actividades terroristas o justificar terrorismo a través de Internet”. De acuerdo al dictamen, Bogatov debía permanecer en prisión al menos hasta el 8 de Junio a la espera del juicio en su contra. Hace un par de días se extendió dicho plazo hasta el 30 de Junio, rechazando la opción de cumplir arresto domiciliario. De ser encontrado culpable, Bogatov podría ser condenado a siete años de cárcel.

Lo cierto es que los mensajes en cuestión fueron publicados bajo un seudónimo a través de Tor. Como contexto, la red Tor está compuesta por miles de servidores distribuidos alrededor del mundo, y es mantenida principalmente por voluntarias y voluntarios que abogan por la privacidad, el anonimato y la evasión de la censura en línea. Al utilizar Tor para navegar, el tráfico pasa por tres nodos de la red antes de llegar a su destino, lo que permite ocultar la ubicación de origen de la usuaria. Estos nodos son elegidos de manera aleatoria y cada uno tiene un rol: entrada, intermedio y salida. El nodo de salida es el último punto en el circuito y está a cargo de acceder a internet como intermediario entre la red Tor y el sitio web de destino. Es decir, es un nodo puente entre la red Tor e internet.

Dada la naturaleza de Tor, quien mantiene un nodo de salida no posee control ni responsabilidad del contenido que pasa a través del mismo (aunque no se recomienda realizarlo desde casa). Probablemente cientos o miles de personas usaron el nodo de Bogatov para permanecer anónimas y anónimos, o para evadir la censura en sus países. En este caso, a Bogatov no se le está exigiendo responsabilidad como intermediario (y, de hecho, no la tiene); peor aún, se le atribuye autoría del contenido que pasó a través de su nodo de salida. Esto refleja un malentendido grotesco sobre cómo funciona la red Tor. Si también se considera que existen grabaciones de cámaras de seguridad confirmando que Bogatov no estaba en su hogar cuando los mensajes fueron publicados, y que la cuenta anónima continuó publicando mensajes después que Bogatov fuera detenido, se tiene un caso sin pies ni cabeza. Así y todo las autoridades decidieron que Dmitry debía permanecer tras las rejas por casi dos meses, como mínimo.

Esto presenta un grave atentado en contra de quienes luchan por el derecho a la privacidad y el anonimato en Internet. El caso de Bogatov sin duda puede producir efectos negativos sobre la percepción de la red Tor y amedrentar a quienes en defensa del acceso al conocimiento y el derecho a la privacidad y el anonimato en línea deciden contribuir con su tiempo, ancho de banda y hardware para mantener nodos de salida. Si bien son una excepción, existen casos de individuos que en el pasado se han visto en problemas por mantener un nodo de salida, pero nunca ha involucrado tiempo en prisión como en este caso. El proyecto Tor y otras organizaciones como Torservers, Debian, Access Now y la Electronic Frontier Foundation se han pronunciado al respecto y han condenado el hecho, pero sin duda es necesario un mayor esfuerzo y acciones por parte de la comunidad para revertir este tipo de situaciones, de lo contrario las voluntarias y voluntarios que mantienen nodos de salida podrían no encontrar el respaldo suficiente para seguir colaborando en pos de una Internet libre.

En Derechos Digitales creemos que no solo es importante denunciar este tipo de persecuciones sino que también abogamos por potenciar las herramientas que ayudan a proteger la privacidad y anonimato en línea. En este sentido nos parece de suma importancia masificar herramientas como Tor, ya sea fomentando el uso de Tor Browser entre las usuarias y usuarios que necesitan navegar de manera anónima, o aportando al crecimiento de la red con la instalación de más nodos de salida Tor en instituciones públicas, bibliotecas, universidades, colectivos u otro tipo de organizaciones que tengan los recursos para ello. Es por esto que en colaboración con organizaciones de la región buscamos promover el aumento de nodos de salida en América Latina como una manera más de expresar compromiso y aporte técnico a la defensa de los derechos humanos en Internet y como una forma de proporcionar diversidad e infraestructura desde el Sur. Desde principios de 2017 aportamos nuestro pequeño grano de arena a la red, y esperamos en breve comenzar con la documentación para reflexionar y compartir lo aprendido, con la esperanza de sumar a más organizaciones en la región y juntos generar conciencia en la comunidad y en las autoridades, sobre las implicaciones legales y técnicas asociadas a la mantención de nodos Tor, y sobre cómo el apoyo a esta red significa también un apoyo a los principios fundamentales de una Internet libre.

El ransomware que paralizó al mundo

El pasado viernes 12 de mayo, más de 200 mil computadoras en 150 países alrededor del mundo fueron afectadas por una agresiva campaña de ransomware llamada WannaCry, WannaCrypt0r o WCry. Se le llama «ransomware» porque cifra los documentos de una computadora y exige el pago de una suma de dinero para devolver los archivos a su estado original. Es decir, los archivos quedan inaccesibles hasta que se paga el rescate. Lo que ha hecho famoso al ransomware WannaCry es la capacidad y métodos utilizados para propagarse: fue demasiado rápido, desatando una crisis cibernética. Cuando empresas como Deutsche Bhan, Telefónica España y el Sistema Nacional de Salud (NHS) de Inglaterra recibieron el virus, los trenes se detuvieron, las líneas telefónicas dejaron de funcionar y los hospitales no pudieron tomar rayos X.

¿Qué pasó? ¿Se podía prevenir? ¿Y qué rol juega Estados Unidos en esta crisis?

Como contexto, el año pasado un grupo llamado “Shadow Brokers” hackeó a la National Security Agency (NSA) e hizo públicas todas sus “ciberarmas”. Se les dice “armas” porque, mediante ellas, la agencia más poderosa de espionaje del gobierno estadounidense explota vulnerabilidades y errores en plataformas comerciales de Apple, Microsoft o Android -comúnmente utilizados- para saber todo lo que sucede en sus sistemas. No es necesario dar clic: es un defecto de fábrica que nadie conoce, y que permite a la NSA entrar a teléfonos o computadoras.

WannaCry aprovechó una de las vulnerabilidades hechas pública por Shadow Brokers para atacar Windows. Técnicamente, se trataba de un fallo en SMBv1, que se utiliza para acceder de manera remota a un computador e intenta infectar a más computadores, generando una cantidad de direcciones IP públicas aleatorias y escaneando los computadores vulnerables de la red local en que se encuentra (de la oficina o de la casa donde está conectado el computador infectado).

En su momento, las preguntas más importantes fueron: ¿se puede prevenir infección? ¿conviene pagar para recuperar la información?  Sin embargo, lo primero era corregir las vulnerabilidades. En Marzo de 2017 Microsoft hizo pública una actualización que corrige la vulnerabilidad utilizada por WannaCry para infectar nuevos computadores, por lo que la medida básica para prevenir cualquier infección del ransomware es mantener actualizado Windows. Esta es una responsabilidad que tenemos los usuarios y usuarias en el mundo: es importante actualizar.

Otras medidas para prevenir el ataque son deshabilitar SMBv1, y aplicar reglas de firewall para bloquear el acceso por defecto al puerto 445, pero si el computador ya está infectado con el ransomware, lo más importante es revisar si existen respaldos de la información. En general, WannaCry infectó redes institucionales o corporativas que debiesen tener respaldos de la información de las estaciones de trabajo, en cuyo caso los encargados deben volver a instalar el sistema operativo y restaurar los respaldos previos a la infección. De cualquier manera, no era recomendable pagar, dado que de ningún modo garantizaba la devolución de la información en su estado original.

Es importante resaltar que la NSA jugó un rol crucial en esta crisis. Como agencia de inteligencia no solo se ha encontrado con estos fallos sino que los ha buscado activamente para obtener ventajas competitivas ante conflictos que se desarrollan en el espacio virtual, además de utilizarlos en contra de los usuarios. Es decir, que además de violar la privacidad, ha dispuesto dichas vulnerabilidades para su uso arbitrario e indiscriminado. Si la NSA hubiera hecho públicas las vulnerabilidades en lugar de intentar tener una ventaja a partir de ellas, la crisis de WannaCry nunca se hubiera desatado. Su deber como organismo estatal es proteger y respetar derechos humanos, pero en este caso lograron todo lo contrario.

Las vulnerabilidades en sistemas operativos y programas siempre van a existir, y quien las explote tiene una ventaja competitiva en términos de poder de coacción sobre otros [así como tener una pistola o una bomba nuclear] o de inteligencia [recolección de información]. Los países no renuncian nunca a tener ese poder, por eso es urgente y necesario regularlo mediante políticas de control de «armas digitales» para que los gobiernos más poderosos estén obligados a hacerlas públicas, en vez de usarlas en contra de las personas. Además, las políticas de prevención y mitigación de ataques a infraestructura «básica» (estaciones de trabajo de instituciones públicas, sistemas de manejo y control de información, sistemas financieros o de salud, etc) son vitales.

Con respecto a las empresas, es obvio que deben «parchar» o «arreglar» las vulnerabilidades de sus productos. Sin embargo, parte del problema en este caso fue la dificultad para actualizar los sistemas, ya sea porque no son originales, porque no se les da la importancia necesaria o simplemente por falta de personal capacitado. En última instancia, los y las usuarias también jugamos un papel importante en la prevención y respuesta ante situaciones como esta. En el caso de América Latina -como ocurre en muchas otras regiones del mundo-, el uso extendido de software privativo sin licencia resulta, más que un problema de legalidad, una barrera en el acceso a una internet segura. Ante casos como estos, vale la pena invitar una vez mas a la reflexión sobre la importancia de utilizar sistemas libres, que permitan la actualización periódica, a la vez que son sistemas auditables.

La crisis de WannaCry deja algo claro: a medida en que la tecnología permea nuestra vida un problema similar se puede volver a presentar en cualquier momento. Lo importante es que existan políticas y medidas para prevenir el daño que puedan causar, además de presionar para que los estados se hagan responsables por las «armas digitales» que desarrollan: no pueden invadir nuestra privacidad arbitrariamente, y no pueden desatar crisis en infraestructura básica para la sociedad.

¿Quién defiende tus datos? (2017)

Descargar PDF

Evaluación del modo en que las compañías que proveen servicios de internet en Chile defienden la privacidad de sus clientes, al momento de responder las solicitudes de la autoridad para acceder a su información personal.

Protección de datos: una buena noticia a medias, en un Chile a medias

El anuncio sobre el ingreso de un proyecto para reemplazar la normativa de datos personales en Chile ha sido recibida con entusiasmo por parte de la industria, la sociedad civil y los organismos públicos. Se trata de un anuncio que los distintos actores llevan años esperando, y que organismos como la OCDE han exigido al gobierno con insistencia.

Si bien el articulado de la iniciativa legal requiere de un estudio más acabado y profundo, vale la pena comenzar reflexionando sobre el proceso que ha desembocado en la presentación de este proyecto y sobre su ingreso al Congreso en el último año del actual gobierno. Es necesario preguntarse qué espacio real tiene este proyecto en la agenda legislativa del Ejecutivo y si este se condice con otros proyectos empujados por el mismo gobierno en su último año.

El proceso

El proceso de elaboración del proyecto de ley de datos personales, con participación de distintos actores, ha sido complejo y contradictorio. En su inicio, el Ministerio de Economía estrenó el anteproyecto mediante la apertura de una consulta pública para recabar la participación y aportes de los distintos actores. A ello se sumó la formación de un Consejo de la Sociedad Civil de Protección de Datos Personales, con participación de distintos especialistas, representantes de la industria y de la sociedad civil. Pero paralelamente, un proceso distinto fue iniciado liderado por el Ministerio de Hacienda, para la elaboración del proyecto del gobierno, esta vez a puerta cerrada y sin oportunidades de participación abiertas y transparentes para la sociedad civil y otros actores relevantes.

El resultado es el proyecto que hoy conocemos, que dista en varios aspectos del sometido a consulta pública. Así, la propuesta presentada no recoge los resultados del proceso participativo y avanza en un sentido contrario a la tendencia mundial de acoger la participación multisectorial en regulaciones de esta naturaleza.

¿Compromiso real del gobierno?

En otras ocasiones manifestamos nuestras dudas sobre el nivel de compromiso del gobierno para avanzar en una agenda sobre protección de datos personales. Si bien la presentación del proyecto de ley debiera disipar estas dudas, lo cierto es que el momento en que ha sido ingresado al parlamento, acompañado con el historial de tramitación de proyectos anteriores, nos invita a guardar cautela con el entusiasmo inicial.

El último año de cada administración no suele caracterizarse por grandes reformas legislativas, dada la falta tiempo y espacio para empujarlas adecuadamente, y para desarrollar la discusión seria y profunda que requiere una materia compleja, como es la protección de datos personales. Es de esperarse que, durante 2017, gran parte de la agenda pública se concentre en las elecciones presidenciales y parlamentarias que se aproximan. En este sentido, que el presente proyecto se haya presentado ahora hace temer que falle el empuje para lograr la aprobación de la iniciativa antes del fin de esta administración.

Nuestras aprensiones se fundan por lo demás en que, tanto el primer gobierno de Michelle Bachelet como el de Sebastián Piñera presentaron iniciativas legales para modernizar la legislación de protección de datos personales, pero a pesar de su necesidad urgente, ambos proyectos quedaron en completo abandono al momento de asumir la administración posterior.

Otras iniciativas legislativas del gobierno

Además, llama la atención que esta iniciativa contradiga algunas de las iniciativas que el gobierno ha presentado públicamente como de alta prioridad para su último año. Este es un proyecto cuyo objetivo es proteger a las personas del tratamiento de sus datos personales por parte de entidades privadas y públicas, y se centra en el respeto a los derechos fundamentales y la dignidad de la ciudadanía. Exactamente en una vereda opuesta se encuentran iniciativas como el proyecto de crear un registro abierto de evasores del Transantiago. Que dicho registro sea público quiere decir que cualquier persona podrá realizar un tratamiento de esos datos personales, incluso generando bases de datos paralelas, que seguirán existiendo luego de que el infractor pague su multa y sea eliminado del registro. Más grave aun resulta que representantes del Ministerio de Transportes hayan reconocido públicamente que el objetivo de este registro es que los infractores sean discriminados al momento de postular a fuentes de trabajo. Por otro lado, esta misma iniciativa deja abierta la puerta para vincular la tarjeta BIP con los datos personales de la persona que la adquiere. Esto resulta problemático porque, como mostramos en un informe reciente, la tarjeta BIP no cuenta con elementos mínimos de seguridad, y permite a cualquiera acceder al historial de navegación de la persona que la utiliza, a través de su página web.

Otro ejemplo es el proyecto que busca regular plataformas tecnológicas como Uber, en el cual se establece la obligación de las plataformas de compartir la información sobre kilómetros recorridos, vehículos, conductores, lugares de recogida y bajada de pasajeros, hora y duración de los viajes, hora de reserva, precio cobrado y evaluación del viaje con ciertos organismos públicos, sin consideración de un régimen de consentimiento de los titulares de los datos ni el adecuado establecimiento de derechos para ells y obligaciones para los titulares de tales bases, como contrapartida. Si bien esta información puede resultar útil para el Ministerio a la hora de elaborar políticas públicas, debieran resguardarse los derechos fundamentales de los titulares de los datos, estableciendo que la información sea entregada en términos estadísticos, cumpliendo con criterios de anonimización, y bajo ninguna circunstancia de forma nominativa.

Espacio para enmendar el rumbo

Recibimos la presentación del nuevo proyecto de ley de protección de datos con un cauteloso optimismo, en cuanto representa una oportunidad importante para enmendar el rumbo en materia de protección de derechos fundamentales. Estamos ansiosos por ver que el debate legislativo considere y recoja la participación de la sociedad civil y otros actores relevantes, lo cual en su correcta ejecución podría mitigar la falta de participación previa. Una señal imprescindible del compromiso del gobierno no solo con su agenda de probidad y transparencia, sino con hacer realidad los derechos fundamentales de la ciudadanía, es que se conceda a este proyecto de ley la urgencia necesaria para su tramitación expedita, para corregir la desidia y el abandono del pasado.