Temática: Privacidad

#CriptoAgosto: Nuevos ataques al cifrado

Mientras la sociedad civil brasileña celebra por segunda vez el #Criptoagosto, una invitación a defender y promover el uso de las tecnologías de cifrado, parece ser que las figuras del poder hacen un esfuerzo significativo por atacarlo.

¿De dónde nacen todas estas amenazas? Si revisamos noticias, vemos que la pugna ocurre paralelamente ante tribunales, en la discusión legislativa, en la pretensión de vigilancia y hasta en los planes comerciales globales de un fabricante de teléfonos a sobreprecio.

Hace un año comentábamos que se acercaba el fin de dos importantísimas causas judiciales críticas para la supervivencia de comunicaciones cifradas de punto a punto, pese a los discursos gubernamentales que lo asocian a la actividad criminal o exigen herramientas para desactivarlo. Existen todavía esfuerzos legislativos en Brasil, a nivel federal, que reflejan ese discurso a favor de la seguridad nacional o del orden público, a costa de la seguridad de las comunicaciones.

Al mismo tiempo, se mantenía una presión importante por desactivar las peores provisiones del proyecto de «Ley de fake news», que exigían la trazabilidad de las fuentes de los mensajes vitalizados en mensajería privada, aun tratándose de comunicaciones cifradas. Esta última amenaza no ha desaparecido: el artículo 10 de la propuesta aún significaría la exigencia de que los proveedores de aplicaciones de mensajería mantengan registros de «reenvíos masivos» de mensajes por tres meses, con el fin de trazar el origen de posibles fuentes de desinformación en redes de mensajes cifrados. Registros que incluirían no solo datos del mensaje, sino de quienes lo han reenviado con fecha y hora y número de receptoras.

Aunque el proyecto mantiene resguardos a favor del contenido de los mensajes y restricciones al acceso a los registros, sigue tratándose de un arma de vigilancia masiva en manos privadas: implica mantener un registro de los reenvíos al menos por 15 días en caso de que puedan convertirse en «reenvíos masivos» y, si lo son, cada mensaje registrado estará vinculado a cada usuaria que lo haya enviado o recibido. Con ese nivel de acceso a la información sobre la circulación del mensaje, el cifrado mismo se vuelve inútil.

Adicionalmente, encontramos el avance del Código de Procedimiento Penal, también objeto de atención de la sociedad civil para asegurar una mejor protección de los derechos fundamentales en la persecución criminal. La amenaza al cifrado se produjo mediante propuestas para incorporar mecanismos de intercepción de dispositivos y la explotación de vulnerabilidades, como medios para generar evidencia, lo que generó inmediato rechazo: la reforma amenazaba así con requerir la creación de puertas traseras y con legalizar la rotura del cifrado.

Aun cuando todo lo anterior estuviera restringido al debate jurídico y técnico, los intentos reales por comprometer la seguridad de los equipos también son parte de la historia reciente: hace algunos años el Citizen Lab identificó a Brasil como posible cliente de NSO Group; ahora un reporte señala que durante 2021 la empresa israelí participó de un proceso de licitación del Ministerio de Justicia y Seguridad Pública para la adquisición de Pegasus, para luego retirarse cuando se reportó que el hijo del presidente intervino en la negociación con la aparente intención de crear un aparato de inteligencia (y de vigilancia) paralelo a la institucionalidad de inteligencia actual.

Todo eso ocurre en momentos en que la búsqueda de alternativas —es decir, puertas traseras—para el acceso a comunicaciones y datos cifrados es defendida por las propias compañías fabricantes de equipos, con el objetivo loable de prevenir la circulación de material audiovisual de abuso sexual infantil. Pero las puertas traseras no sirven: comprometen la privacidad y la seguridad de todas las personas sin hacerse cargo del abuso real que ocurre más allá de pantallas y nubes de almacenamiento. Esta es la clase de medidas que abre aún más el apetito de los Estados por conocer el contenido de las comunicaciones de las personas, probablemente bajo los mismos discursos falaces sobre seguridad que se usan hasta para las peores conductas de vigilancia.

Con un panorama global tan complejo y tantas discusiones en curso dentro de Brasil, se hace más necesario que nunca que en los niveles local, regional y global exista mayor coordinación, no solamente de sociedad civil, sino de todas las partes interesadas en la promoción y la defensa del cifrado, la seguridad y la privacidad. Que el #CriptoAgosto brasileño sirva como motivación para avanzar en ello.

Las puertas traseras no protegen la privacidad

Para frenar la difusión de material de abuso sexual infantil (CSAM), Apple ha anunciado importantes cambios y nuevas funcionalidades en sus sistemas, incluyendo el análisis de las imágenes enviadas y recibidas por parte del software instalado en los dispositivos, un mecanismo de clasificación de imágenes con contenido sexual para el control parental en cuentas familiares y cambios en algunas funciones de Siri y Search para bloquear términos de búsqueda que tengan relación con el abuso sexual infantil. Estas funciones, que inicialmente regirán para usuarios en Estados Unidos de las versiones más recientes de iOS, iPadOS, watchOS y macOS, sientan un peligroso precedente para la privacidad y la seguridad de las personas en todo el mundo.

El uso de sistemas de identificación de contenidos por medio de inteligencia artificial para levantar alertas supone un tratamiento por lo menos opaco del problema. Por último, aunque sea legítima la búsqueda de soluciones frente a crímenes como el abuso sexual infantil, cualquier funcionalidad técnica que permita que terceros accedan a contenidos privados pone en riesgo a todas las personas que utilizan dichos sistemas. En este caso, a quienes utilizan cualquier dispositivo conectado a internet.  

Escaneo de imágenes en el dispositivo

Una de las funcionalidades presentadas consiste en la detección de imágenes que se capturan y comparten entre dispositivos Apple mediante un algoritmo hash, es decir, una cadena fija de caracteres que identifica de manera única cada imagen.

A partir de ahora los dispositivos analizarán todas las imágenes que pasen por ellos, generarán un hash para cada una y lo contrastarán con una base de datos dispuesta por el National Center for Missing and Exploited Children(NCMEC), organización estadounidense que colabora con la justicia en la persecución de delitos de abuso sexual infantil. Así, dentro de cada dispositivo el sistema se encargará de escanear y contrastar todas las imágenes con esa base de datos, para identificar cualquier coincidencia. Una vez las imágenes se suben a iCloud, se agregan los resultados del cotejo a través del hash. Si se supera un umbral predefinido en la cantidad de coincidencias, un humano dentro de la compañía revisará manualmente el caso, luego de descifrar el contenido. Vale decir que, hasta hoy, Apple ofrece cifrado e2e en todos los contenidos que se comparten en sus sistemas.

Esta implementación es problemática porque la base de datos de hash de imágenes preparada por el NCMEC no es auditable, y si es manipulada arbitrariamente no hay manera de detectar dicho cambio, por lo que podría utilizarse, por ejemplo, para fines de persecución política, cultural o de género. Una vez el sistema está diseñado para cumplir una función, los fines y medios para ejecutarla pueden fácilmente salirse de las manos de quienes la diseñaron.

Por otra parte, existe la probabilidad matemática de que dos imágenes totalmente distintas o lejanamente similares coincidan en el hash generado, provocando falsos positivos, que solamente serán verificados luego de la intervención humana de alguien afiliado a la compañía, y habiendo roto la promesa de cifrado e2e, esto es, la promesa de privacidad sobre la que sustenta su oferta de valor.

Aprendizaje automático para clasificación de imágenes

Otra funcionalidad es la implementación de un algoritmo de aprendizaje automático que se aplicará a las cuentas de iMessage para menores de 18 años y sus tutores, en el marco de una cuenta “Familiar”. El algoritmo clasificará las imágenes, enviadas o recibidas, en cuanto al contenido sexual explícito que puedan contener. El sistema enviará una alerta a las personas usuarias menores de 18 años sobre el tipo de contenido que están compartiendo. Si la persona es menor de 13 años, el sistema alertará también a sus tutores y la imagen quedará almacenada en el dispositivo del menor, sin posibilidad de remoción.

Como se ha demostrado muchas veces en el pasado, los algoritmos de aprendizaje automático, sin supervisión humana, presentan muchos problemas de funcionamiento en la clasificación de contenidos. Así, los tutores de niños, niñas y adolescentes que no estén compartiendo contenidos sexuales explícitos pueden recibir alertas y los menores pueden ser sujetos de vigilancia e intromisión a su privacidad. Además, frente a una definición vaga de “infancia” —como menores de 18 y 13 años—existe el riesgo de atentar contra la normal expresión sexual y corporal, así como al acceso a la información, por ejemplo, en el caso de personas LGBTQ+.

Además, tal como está planteado el funcionamiento del sistema podría ocurrir la siguiente paradoja: en caso de que un menor que no tiene una cuenta Familiar enviare una fotografía calificada por el sistema como “sexualmente explícita” a un menor de 13 años que sí es parte de un plan Familiar,  la fotografía del primer menor quedaría indeleblemente almacenada en el dispositivo del segundo menor y podría ser revisada por sus tutores, sin que el emisor original lo supiera. ¿En manos de quién queda definir la legitimidad de las imágenes compartidas en el marco de una comunicación que se garantiza como privada?

Finalmente, como hemos mencionado, el desarrollo de una tecnología con fines legítimos puede ser perfectamente aplicable a otros fines. Así, la modificación mínima de parámetros en el algoritmo de aprendizaje automático permitiría identificar, bloquear y perseguir, contenidos no solamente ilegales, sino que necesarios, con fines represivos.  

Algunas conclusiones

Bajo la premisa de su compromiso en la lucha contra la explotación sexual infantil, y aunque defiendan la idea de que sus soluciones técnicas respetan la privacidad y el principio de cifrado extremo a extremo, la verdad es que Apple está abriendo una brecha de seguridad importante, con el potencial de atentar contra el derecho a la intimidad de niños, niñas y adolescentes, así como generando un precedente que podría facilitar la persecución política y la vigilancia a todo tipo de grupos vulnerables y emisores de discursos incómodos.

Cabe recordar que uno de los principales ganchos publicitarios de Apple ha sido precisamente ofrecer los más altos estándares de privacidad y seguridad en las comunicaciones, lo que sin duda ha llevado a muchas personas a preferirles. Un ecosistema cerrado, no interoperable era lo que había que transar en favor de dicha protección. Sin embargo, hoy, cuando la continuidad de esa promesa está en entredicho, a aquellas personas que confiaron en la marca les será muy difíciles migrar a alternativas más respetuosas de su privacidad. Así, el monopolio de los sistemas operativos (OS, iOS, iPadOS) genera una dependencia directa que ata a las personas a las arbitrariedades del fabricante.

Vivir internet siendo queer: Autoexpresión, comunidad y problemáticas

En un grupo de Facebook cerrado alguien escribe para consultar por dudas legales. Cuenta que quiere cambiarse el nombre registral y que le gustaría acceder a una mastectomía. Comenta que se siente cómode con pronombres femeninos y masculinos, pero plantea lo siguiente: “¿Algune lo ha hecho siendo no binarie? ¿Cómo ha solucionado el tema con su nombre?”. Les participantes del grupo dan consejos amables.

Este tipo de situaciones se replica en otras redes, es un intercambio que ocurre en algunos barrios de TikTok cuando alguien muestra un binder –prenda de ropa interior usada para comprimir el pecho–, y en los comentarios se leen recomendaciones de cómo usarlos y dónde conseguirlos. A pesar de que internet es un espacio en que la comunidad LGBTQIA+ puede apoyarse para construir confianzas (a veces complejas de emular en el mundo físico), la estructura de los servicios web, es limitada porque no considera una diversidad más allá de lo binario y reproducen problemas de la vida offline. Tanto al llenar formularios de inscripción en las que se consideran género masculino o femenino únicamente, o al intentar editar tu nombre visible, entre otras. 

Antes de reconocerme como una persona queer, sentía miedo de ser aceptada. Primero por mi familia, entre mis amigues, en mi trabajo y de igual modo en internet. ¿He sentido miedo de exponer que me identifico como parte de las disidencias sexuales y de género en redes sociales? Sí. ¿He temido por mi seguridad en la vía pública por expresar mi orientación de género o por manifestar mi sexualidad de forma libre? Sí. Con el paso del tiempo, aprendí a desenvolverme con más confianza, porque existo todo el año (no solo en junio) y estoy orgullosa de amar y ser amada. 

Una vez que se toma conciencia de la interseccionalidad de las problemáticas que aquejan a la comunidad LGBTQIA+, es posible entender que el mundo online no está exento de una mirada heterocispatriacal, donde en términos género prima lo masculino y lo femenino, pero también la heteronorma obviando otras identidades. Lo vemos en las grandes compañías de servicios de internet, que acaparan la mayor cantidad de tráfico, como Facebook, Google y terminan dominando las interfaces y algoritmos de los dispositivos que excluyen otras experiencias.

Entonces, ¿qué podemos exigir a las tecnologías para visibilizar, incluir y proteger las experiencias de la comunidad LGBTQIA+? ¿qué problemáticas, riesgos, amenazas, existen? y ¿qué posibilidades ofrece internet para nuestras vivencias? Estas son algunas reflexiones.

Búsqueda de espacios seguros

Según un estudio de discriminación y violencia hacia personas LGBTQIA+ (2020) de la Dirección de Estudios Sociales (DESUC) para la Subsecretaria de Prevención del Delito de Chile, un 89% de les encuestades dijo haber sufrido algún tipo de discriminación en su vida. Más de un 38% de les encuestades ha sido víctima de algún “delito cibernético, como hostigamiento por redes sociales”, y más de un 22% declaró que este tipo de vulneraciones habría ocurrido en el último año. 

En un intento por averiguar la visión de mis seguidores en Instagram, hice una encuesta a través de historias para conversar acerca de la forma en que las personas queer habitamos internet. Spoiler: la vida online no difiere mucho de la vida offline. 

A pesar de las posibilidades de conectarnos y construir espacios seguros, hay quienes se enfrentan a violencias en el entorno digital, como acoso digital, doxing, la proliferación de discursos transodiantes, descalificaciones por lesbodio o biodio, cuestionamientos y ataques a la visibilidad a diario. En este contexto, es pertinente citar el estudio de la Agrupación Lésbica Rompiendo el Silencio, tras la agresión que sufrió Carolina Torres en Chile en 2019. En el caso de Estados Unidos, esta temática se advierte en el Índice de seguridad en redes sociales de la Alianza de Gays y Lesbianas contra la difamación (GLAAD). Es por eso que es relevante exigir la urgencia de la moderación de contenidos en las plataformas digitales, para combatir ejércitos de trolls, evitar que proliferen discursos odiantes, que se siembre la desinformación, o la viralización de mitos en torno a las disidencias. 

Al momento de configurar las biografías de Twitter, Instagram, aplicaciones de citas o plataformas, incluir o no el emoji de la banderita LGBTQIA+, compartir fotos o usar ciertos hashtags puede involucrar lidiar con ansiedades debido a la exposición. En ocasiones, es una forma de autoexpresión, una reafirmación y, así mismo, una forma de encontrarse, pero también un riesgo que muches no quieren correr. Si bien la visibilidad puede ser una opción, pero no una obligación como pretenden las plataformas web. Es necesario entender el derecho al anonimato como una forma de tener control sobre esa visibilidad. 

Entre los testimonios que recopilé (en su mayoría identidades lésbicas, no binarias  y bisexuales), hubo una lesbiana que dijo que tras googlear “lesbiana”, la llevaron a una psicóloga para que se rehabilitara. Según su relato, encontrar espacios en internet antes de 2008 era complicado, pero logró dar con un foro en el conoció a sus primeras parejas. Otra persona, cuyos pronombres son ella/elle, aseguró que cuando era niña todas las actividades las realizaba en soledad. Escuchaba programas de radios gays a escondidas, antes que existieran los podcasts. “Ahora se pueden hacer redes de una forma muy sencilla y bonita. Es fácil encontrar a alguien que esté pasando por lo que tú, nunca estás sola”, escribió. Alguien bisexual comentó que se siente fuera del closet con amigues, en su entorno laboral, pero que no así con su familia. Aunque cree que en los últimos años gracias a infografías en Instagram, ahora hay más bi-visibilidad.

Otras problemáticas

Cuando hablamos de internet, las brechas de acceso y conectividad son una clara barrera. De acuerdo a cifras de la Alliance for Affordable Internet, a nivel mundial cerca de 4 mil millones de personas no cuentan con conexión. La dificultad para mantenerse conectade en algunas latitudes se suma a bloqueos de internet, a censura y respuestas desde violencias a multas por difusión de contenido LGBTQIA+ .

Así como hablamos de identidad y representación, también vale la pena mencionar otros obstáculos que tienden a la exclusión, relacionados al abordaje de políticas públicas. Así se documenta en “Sistemas de identificación y protección social en Venezuela y Bolivia: Impactos de género y otras formas de discriminación”. Este reporte de Derechos Digitales, plantea cómo los sistemas biométricos afectan de forma directa a mujeres y población LGBTQIA+, familias homoparentales y en mayor medida a personas transgénero. No solo en cuanto a derechos a la identidad, a la privacidad de datos, si no también afecta directamente el acceso a ítems de desarrollo social como el acceso a la alimentación, la salud, la integridad y la dignidad, entre otros. 

No es un secreto que en lo que respecta al uso de tecnologías de reconocimiento facial, las que se vuelven más cada vez más cotidianas, solemos tenerlas a mano, pero también se utilizan a nivel de gobiernos e incluso en aeropuertos. El principal problema es que se construyen en base a sesgos de diseño, que discriminan a la población no hegemónica y entran en conflicto aspectos como género y raza, según reportes de Coding Rights en Latinoamérica. 

En un mundo en que cada vez más la tecnología determina cómo se organiza la sociedad, los sesgos en los sistemas como tecnologías automatizadas, inteligencia artificial, o en base a algoritmos, moldean y disciplinan las identidades a partir de los cuerpos. Esto determina qué corporalidades están permitidas, y cuáles no, dejando fuera a personas trans, o no binarias. Así, la forma de subvertir las estructuras vigentes, es cambiarlo todo, o en palabras de Audre Lorde: “las herramientas del amo nunca desmantelarán la casa del amo”. Desde ahí, la concepción del diseño es la clave para abolir las desigualdades entre grupos excluidos, con el objetivo de co-crear herramientas y prácticas de transformación social, tal como explica Sasha Costanza-Chock en Design Justice.

Ante las diversas problemáticas vigentes, el escenario se vuelve complejo y desesperanzador. Pero a pesar de los obstáculos, decido creer en un futuro más auspicioso, que se construirá únicamente de la mano de una perspectiva feminista interseccional, que busque hackear los parámetros que limitan las posibilidades de ser de las personas. 

Para ello, es vital construir espacios seguros, en el mundo online y en el offline, que nos permitan aprender y encontrarnos. Identificando problemas, documentando violencias, visibilizando nuestras vivencias y liderando conversaciones, a fin de descolonizar el impacto de las estructuras que han sido gestadas desde la mirada del hombre blanco y heterocis. 

¿Quién defiende tus datos? Cómo protegen la privacidad de sus clientes las compañías proveedoras de internet

En una sociedad hiperconectada, donde gran parte de nuestras vidas transcurre en línea (y más todavía en un contexto de pandemia y cuarentena), la manera en que las empresas de telecomunicaciones protegen nuestra privacidad es un condicionante para nuestro desarrollo, conforme a un sistema democrático y respetuoso de los derechos humanos.

En este contexto, ¿Quién defiende tus datos? cobra especial relevancia. Se trata de un estudio realizado por Derechos Digitales con apoyo de la Electronic Frontier Foundation, que analiza las prácticas de las principales compañías proveedoras de internet en Chile.

En la cuarta edición del reporte, el balance es positivo: nos alegra ver cómo ha subido el estándar de la industria, a pesar de que ello dependa en gran medida de su autorregulación. Este año mantuvimos los criterios de evaluación utilizados en la versión pasada del informe, optando por analizarlos desde un estándar más crítico, lo que por un lado nos permitía ver si las empresas que ya cumplían optaban por continuar mejorando, así como darles tiempo a las empresas más atrasadas para ponerse al día.

Afortunadamente, la tendencia general ha sido a la mejora de las prácticas de las compañías en comparación a años anteriores.  Por tercer año consecutivo, Claro Chile es la empresa mejor posicionada y es la que cuenta con el mejor informe de transparencia entre las empresas estudiadas. Le siguen WOM y Entel. El criterio más estricto de evaluación hizo que algunas empresas disminuyeran su puntaje a pesar de tener un grado de cumplimiento similar al del año anterior, como en el caso de WOM.

Resulta gratificante también ver la evolución de compañías como GTD Manquehue, que pasaron de no tener política de privacidad, informe de transparencia ni protocolos, a elaborar y hacer públicos dichos documentos. Situación similar a la de Movistar, que progresa de tener 1 estrella en la versión anterior a tener 3,25 este año, donde se destaca su transparencia, al ser la única que da a conocer públicamente las alianzas públicas y privadas que tiene en materia de investigación y los términos en que se desarrollan dichas iniciativas.

El caso de VTR nos parece preocupante, pues la compañía ha demostrado escaso interés por mejorar sus prácticas de transparencia y protección de derechos hacia sus clientes. VTR no ha hecho eco de cuestiones básicas como fechar su política de privacidad y es la única empresa que no cuenta con un informe de transparencia actualizado, además de otorgar los datos personales de los clientes para efectos de publicidad o comunicaciones comerciales.

Con todo, la mejora generalizada mostrada por el resto de las empresas de telecomunicaciones demuestra que  ¿Quién defiende tus datos? ha resultado ser una valiosa herramienta para incentivar a los proveedores de internet a perfeccionen sus estándares de protección y transparencia, además de ser una buena instancia para la discusión académica acerca de los desafíos en la autoregulación de estas empresas en la oferta de sus servicios, más allá del marco regulatorio que fija la línea de base en la materia.

Puedes revisar el reporte aquí. El video del lanzamiento se encuentra disponible acá.

¿Quién defiende tus datos? 2021

Descargar PDF

Cuarta edición del reporte ¿Quién defiende tus datos? evaluación periódica realizada por Derechos Digitales sobre el modo en que las compañías proveedoras de internet defienden la privacidad de sus clientes en Chile.

Contra el tratamiento abusivo y desleal (*) de nuestra información personal: Sociedad civil por una autoridad autónoma de protección de datos personales en Chile

Las organizaciones e individuos firmantes expresamos nuestro rechazo y preocupación por la postura del Consejo para la Transparencia (CPLT) pronunciada el pasado 30 de abril de 2021, mediante el oficio N°127, mediante el que se dio respuesta a un requerimiento de ATELMO (Asociación de Telefonía Móvil A.G.), marcando un precedente relevante y problemático.

ATELMO solicitó el pronunciamiento del organismo respecto de la legalidad de dos acciones que ha realizado Subtel: 

La primera acción tiene que ver con las disposiciones establecidas en el Reglamento y la Norma Técnica para la implementación de la ley sobre obligación de una velocidad mínima garantizada de acceso a internet (Ley Nº 21.046), mediante las que SUBTEL pretendía llevar a cabo un intensivo tratamiento de datos personales de suscriptores de empresas de telecomunicaciones. 

Respecto de ese requerimiento, el CPLT señaló que no existiría una base de legalidad que habilite a la SUBTEL para efectuar el tratamiento de datos personales y sensibles recolectados por el Organismo Técnico Independiente sin consentimiento de los titulares, pretendido mediante el Reglamento y la Norma Técnica de la Ley Nº 21.046 dictados por el mismo organismo público.

La otra acción está vinculada al requerimiento de ATELMO contra la entrega de datos personales por SUBTEL para la realización de encuestas de satisfacción. El CPLT manifestó que existiría base legal para que SUBTEL solicite a las empresas de telecomunicaciones que le entreguen datos personales de sus clientes con el objeto de llevar a cabo estas encuestas, y que procedería no solo pedir la entrega datos de 15 millones de suscriptores, sino entregarlos a las empresas encuestadoras. 

Frente a esta posición, las organizaciones de la sociedad civil firmantes consideramos que:

  1. Es preocupante que un organismo público como SUBTEL puede exigir a empresas privadas todos los números de teléfono asociados a sus clientes con el propósito de realizar encuestas de satisfacción y que ello sería conforme a la ley. Se trata de una autoridad pública autorizando un traspaso gigante de datos personales y sentando precedente para que ello pueda ser replicado por otros organismos públicos.
  2. Si bien la ejecución de encuestas de satisfacción podría enmarcarse en el ejercicio de las atribuciones que le confiere la ley a SUBTEL, ésta no es la única forma para lograr su cometido, existiendo medios menos invasivos y que deben ser preferidos para resguardar la privacidad y la protección de los datos personales de la población. No se necesita esa cantidad de información  para realizar encuestas.
  3. La Ley Nº 19.628 indica que el tratamiento de datos personales por parte de un organismo público solamente puede realizarse con autorización legal, respecto de materias de su competencia, y para ello no sería necesario el consentimiento de su titular (artículo 20). Sin embargo, ello no supone concluir que SUBTEL cuenta con una base de legalidad habilitante para requerir a las empresas de telecomunicaciones la cantidad de datos que pretende, ni menos aún entregar a un tercero su tratamiento. Al verse involucrados los derechos fundamentales de las personas titulares de estos datos, necesariamente su aplicación debe ser restrictiva (artículo 19 Nº 4 de la Constitución Política de la República).
  4. Si a lo anterior sumamos el hecho de que el CPLT tiene dentro de sus atribuciones velar por el adecuado cumplimiento de la ley de protección de los datos personales, por parte los organismos de la administración (Art. 33 lit. m, Ley Nº 20.285), la situación se torna insostenible, especialmente considerando que ello implica ignorar el amplio desarrollo de la protección de datos personales, en particular respecto  a los principios de finalidad, proporcionalidad y seguridad.
  5. Si aceptamos que la finalidad para las que las personas autorizan el tratamiento de sus datos personales —especialmente por entes privados— puede cambiar en virtud del tratamiento de datos pretendido por un organismos públicos, entonces ¿qué pasa con una de las características esenciales de este derecho a determinar para qué se usan sus datos o, al menos, saber para qué se están usando? No es acorde con el principio que la finalidad misma cambie al arbitrio de quien trata los datos.
  6. En relación con el principio de proporcionalidad, no es posible aplicarlo a las técnicas de investigación estadística en sentido estricto. Como es presentado en el oficio, el principio excusa al CPLT para no hacerse cargo de limitar el actuar abusivo de la SUBTEL. Como bien señala el voto de disidencia, en virtud de este principio, el volumen y naturaleza de los datos recolectados debe tener relación con el objetivo buscado, de manera que los datos solicitados por la SUBTEL debieron limitarse a los estrictamente necesarios para la realización de las encuestas de satisfacción. No creemos que dicho límite sea de aquellas cuestiones que solo puede ser llevada a cabo por organismos técnicos dedicados a la realización de encuestas.
  7. El oficio desconoce la necesidad de cumplir con medidas estrictas para cubrir el principio de seguridad, exponiendo una cantidad enorme de datos a riesgos de vulneración. Esto va más allá del quiebre de los deberes de confidencialidad, pues se trata de las personas que nos encontramos detrás de cada uno de esos datos personales, cuyo posterior tratamiento y transferencia a terceros quedan fuera de nuestro conocimiento y control.

Este caso visibiliza las limitaciones en las facultades y los recursos de la institucionalidad actual. Los esfuerzos del CPLT hasta la fecha no son suficientes y necesitamos con urgencia un órgano especializado en la protección de datos personales con facultades de fiscalización, recursos suficientes e independencia constitucionalmente garantizada. 

Actualmente, cuando  gran parte de la vida cotidiana de millones de personas en Chile depende de los servicios de telecomunicaciones y de las plataformas digitales de servicios, es preocupante que el proyecto de ley que viene a modernizar la actual ley sobre protección de datos personales se encuentre durmiendo en el Senado desde hace más de un año, sin ningún avance en la materia. Como organizaciones firmantes hacemos un llamado a poner suma urgencia a finalizar su tramitación. 

Chile tiene una oportunidad histórica de redactar hoy una Constitución para el siglo XXI y avanzar, al mismo tiempo, hacia una regulación acorde a los cambios tecnológicos, poniendo en primer lugar a las personas  y garantizando la efectiva protección de sus derechos fundamentales. Esperamos que el poder político aproveche esta oportunidad.

Si tu organización quisiera suscribir a esta carta, haz clic aquí. 

ORGANIZACIONES FIRMANTES 

Derechos Digitales

Fundación Datos Protegidos

Fundación Abriendo Datos

* El término desleal hace alusión al concepto “leal”, que en esta situación debe entenderse dentro de los principios de licitud, lealtad y transparencia.

Neuroderechos para qué, maldita sea

El pasado 21 de abril, el Senado chileno aprobó de forma unánime el proyecto de reforma constitucional para la incorporación de los “neuroderechos”. Así, Chile está en posición de convertirse en el primer país del mundo en contar con una legislación específica que garantice el derecho a la “neuroprotección”.

Pero lo que a primera vista podría parecer una buena noticia es, en el mejor de los casos, un avance cuestionable, que poco contribuye a la consolidación del sistema universal de protección de los derechos humanos, que ha tomado 75 años construir, instalar y fortalecer.

Neuroderechos: ¿qué y para qué?

A nivel internacional, el mayor promotor de la necesidad de avanzar en la protección de los neuroderechos es Rafael Yuste, neurobiólogo español, cuya propuesta ha encontrado gran eco en Chile, particularmente en el Senador Guido Girardi, miembro de la comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado. Juntos presentaron en octubre de 2020 dos proyectos de ley: el primero, la reforma constitucional recientemente aprobada por el Senado. El segundo, un proyecto de ley “Sobre protección de los neuroderechos y la integridad mental, y el desarrollo de la investigación y las neurotecnologías”.

Pero, ¿qué son exactamente los neuroderechos y por qué requerirían protección especial? No es una pregunta fácil de responder. El proyecto original presentado por Guirardi junto a Carolina Goic, Francisco Chahuán, Alfonso de Urresti y Juan Antonio Coloma señala que la finalidad es proteger la “dignidad humana” frente al uso de nuevas tecnologías, particularmente aquellas que tienen por objeto el “cerebro humano”, que “no se agota sólo en una dimensión física, sino que más bien se expande hacia su dimensión de potencialidad mental que envuelve los misterios de la existencia humana”. En lo concreto, el proyecto alude al derecho a la privacidad de los “neurodatos”, a la identidad personal y la autodeterminación, a la igualdad frente al aumento de capacidad cerebral y al control de sesgos de los algoritmos. Dentro de las preocupaciones mencionadas como detonantes del proyecto, se señala “la posibilidad de leer la actividad neuronal” y los anuncios realizados por la empresa Neuralink de Elon Musk .

Si bien es cierto que las neurotecnologías han avanzado de forma importante durante los últimos años, particularmente en el ámbito de las interfaces cerebro-computadores, y que empresas como Neuralink han hecho una serie de anuncios rimbombantes sobre las posibilidades más inmediatas del desarrollo de sus productos, la verdad es que la tecnología se encuentra todavía en un estado embrionario y los miedos específicamente estipulados en el proyecto de ley están lejos de poder materializarse.

Pero incluso si aceptamos la posibilidad de que en el futuro la manipulación neuronal sea algo cotidiano, lo cierto es que el proyecto parte de la premisa errada de que se requiere una protección nueva y especial para los neuroderechos frente a “las nuevas amenazas que el avance científico y tecnológico envuelve”.

La Constitución Política de la República de Chile, en el número 1º de su artículo 19º, garantiza “El derecho a la vida y a la integridad física y psíquica de la persona”, redacción que incluye la protección de cualquier potencial “neurodato” y resguarda por si misma el concepto de los “neuroderechos”. Si existiera una genuina preocupación por la protección de los derechos de las personas en relación con su indemnidad física y psíquica, el texto constitucional actual ofrecía suficientes garantías.

Sin embargo, el proyecto original buscaba la modificación del articulado de la siguiente manera:

“La integridad física y psíquica permite a las personas gozar plenamente de su identidad individual y de su libertad. Ninguna autoridad o individuo podrá, por medio de cualquier mecanismo tecnológico, aumentar, disminuir o perturbar dicha integridad individual sin el debido consentimiento. Sólo la ley podrá establecer los requisitos para limitar este derecho y los que debe cumplir el consentimiento en estos casos.

El desarrollo científico y tecnológico estará al servicio de las personas y se llevará a cabo con respeto a la vida y a la integridad física y psíquica. La ley regulará los requisitos y condiciones para su utilización en las personas, debiendo propender especialmente al resguardo de la actividad cerebral, así como la información proveniente de ella”.

Así, mientras la Constitución chilena ofrece una garantía absoluta al “derecho a la vida y a la integridad física y psíquica”, la redacción propuesta debilitaba este derecho al incorporar dos excepciones: el consentimiento y la ley. Es decir, que el derecho a la indemnidad física y psíquica podría ser limitado en virtud de la voluntad del propio perjudicado o mediante una ley que estableciera los requisitos de tal limitación y del consentimiento de las personas.

Afortunadamente, gracias a la valiosa colaboración de expertos y expertas durante la discusión del proyecto, y a las indicaciones presentadas por distintos parlamentarios, el texto fue modificado. Sin embargo, se mantuvo el segundo párrafo que incorpora la noción de que “[l]a ley regulará los requisitos y condiciones para su utilización en las personas”. Por vía interpretativa, es posible argumentar que esta inclusión solo se justifica si entendemos que mediante la ley se podría limitar el derecho en cuestión. De lo contrario, bastaba con el texto actual.

Una cuestión parecida ocurre con el segundo proyecto ingresado por Guirardi, que en vez de proteger a las personas de ser objeto de intervenciones no consentidas mediante la —innecesaria— incorporación de un “nuevo” derecho, abre la discusión sobre la intervención forzosa, mediante la incorporación de una serie de excepciones.

Lejos de ser una cuestión anecdótica, los proyectos tienen un potencial de daño y erosión de los derechos fundamentales que requiere atención, así como la deficiente técnica legislativa empleada y la finalidad ambigua que persiguen. Más todavía cuando estamos ad-portas de escribir una nueva constitución; la sospecha de que se trataría de una manera de presionar por la instalación de esta discusión en la nueva Carta Magna no es injustificada.

Los intentos por introducir nuevos conceptos nacidos de la euforia que producen las tecnologías de moda son nocivos por dos razones: en primer lugar, desvían energía y recursos que serían mejor aprovechados si los invirtiéramos en garantizar una mejor protección de los derechos hasta ahora reconocidos en nuevos contextos de desarrollo científico y tecnológico. En segundo lugar, nos empujan a una espiral inflacionaria en la que cada nuevo desarrollo tiene el potencial de cuestionar la vigencia de las protecciones ofrecidas por el sistema universal de los derechos humanos.

Así, la regulación de los neuroderechos palidece en urgencia si la comparamos, por ejemplo, con la paupérrima protección de los datos personales en nuestro país, y que hoy habilita el perfilamiento y la discriminación de personas.  La postergada modificación a la ley de datos personales podría ayudar a la protección no solo de los “neurodatos”, sino de los datos personales de cualquier tipo y, sin embargo, el proyecto acumula polvo en el Congreso desde 2017. Se trata de una necesidad que ha sido señalada en múltiples ocasiones por todas las expertas y expertos en la materia, y cuyos impactos no son potenciales como los de las neurotecnologías, sino tremendamente concretos.

Rafael Yuste propone que la protección de los “neuroderechos” debiese estar al nivel de los derechos humanos. Esta afirmación debería levantar escepticismo respecto a la comprensión que tiene Yuste de la problemática a nivel de derechos y cómo abordarla, pues evidencia ignorancia respecto a los desarrollos en torno a los conceptos de autonomía, dignidad humana y autodeterminación, que han forjado el centro del sistema universal de derechos humanos.

Puede ser que la propuesta nazca de una preocupación honesta y bienintencionada, pero cuando se aborda ignorando 75 años de desarrollo de la protección de derechos humanos —como en el caso chileno— lejos de ofrecer solución a problemas inexistentes, genera riesgos reales e innecesarios.

No podemos pretender reinventar la rueda a cada rato. No es cierto que cada nuevo desafío tecnológico ponga en entredicho derechos y principios que, por su esencia, son posibles de actualización y refinación permanente. Enfoquemos nuestros esfuerzos en los problemas que enfrenta la ciudadanía hoy, con soluciones efectivas y eficientes.

Los impactos de la vigilancia más allá de la privacidad

Mientras a nivel internacional avanza la demanda por prohibir el uso de las tecnologías de vigilancia hasta alcanzar estándares rigurosos en materia de derechos humanos, en América Latina observamos una nueva y silenciosa tendencia a adquirir y usar dichos sistemas para controlar el acceso a la protección social, es decir, a las políticas desarrolladas para disminuir la pobreza, la vulnerabilidad social y la exclusión.

Nuestra región —la más desigual del mundo— durante las últimas décadas se ha convertido en ejemplo internacional en la puesta en marcha de programas de protección social. Sin embargo, el aumento de las condiciones impuestas para acceder efectivamente a los beneficios, tanto explícitas como implícitas, atenta contra la finalidad de proteger y garantizar derechos básicos. Si sumamos la mediación tecnológica a través de sistemas biométricos, como el reconocimiento facial, la recolección de huella dactilar, aplicaciones web o registros digitales unificados, se corre el riesgo de profundizar las desigualdades que se intentan erradicar.

El relator especial de Naciones Unidas sobre la extrema pobreza y los derechos humanos ha identificado algunos usos de tecnologías en los sistemas de bienestar alrededor del mundo. El listado incluye la verificación de identidad, la evaluación de criterios para recibir ayudas, el cálculo y pago de prestaciones sociales, la prevención y detección del fraude, la clasificación de riesgo y necesidades, así como la comunicación entre autoridades y las personas destinatarias de las políticas de protección social.

Varios de los usos señalados ya existen en América Latina. En Venezuela, se han implementado sistemas biométricos para controlar la adquisición de productos de primera necesidad, lo que resultó en varias denuncias de discriminación hacia personas extranjeras y, especialmente, personas transgénero. Sumado a las discriminaciones prexistentes contra poblaciones históricamente vulneradas, este tipo de iniciativa implica el ejercicio de una vigilancia diferenciada, que agrava la desprotección de las personas en situación de mayor vulnerabilidad y que, por lo tanto, más dependen del apoyo del estado.

Medidas similares se han implementado en otros países de la región e incluyen el uso de reconocimiento facial para controlar el acceso de beneficios especiales en los sistemas de transporte de distintas ciudades de Brasil o, incluso, el ingreso a instituciones educativas; propuestas similares han sido presentadas en el marco del retorno a clases presenciales en Chile. En el contexto de la pandemia mundial por COVID-19, en El Salvador y Perú se han utilizado sistemas de reconocimiento facial para controlar potenciales fraudes en exámenes educativos realizados de manera remota, situación particularmente delicada al tratarse de personas menores de edad. 

En el caso de Bolivia, observamos como la digitalización, presentada muchas veces bajo la promesa de mayor eficiencia en la gestión pública, no solo es insuficiente para solucionar problemas estructurales de acceso a servicios básicos del Estado, si no que además abre espacios para nuevas formas de discriminación. Un análisis exploratorio sobre el rol de las tecnologías en la entrega de ayudas económicas a la población en el marco de la pandemia de COVID-19 evidencia las diversas capas de complejidad que implica tal uso.

Brasil y su programa de auxilio de emergencia es otro claro ejemplo. La decisión de utilizar aplicaciones móviles para que las personas puedan solicitar la ayuda tuvo como consecuencia un incremento en las dificultades de acceso a los beneficios. Quienes más necesitan apoyo no siempre disponen de un dispositivo con conexión a internet, un número de teléfono o incluso (y más grave aún) un documento de identificación. El sistema propuesto no consideró las necesidades de las destinatarias. En este sentido, organizaciones brasileñas presentaron preocupaciones en relación a la transparencia y garantías de seguridad ofrecidas por la aplicación respecto a los datos recolectados.

Además, la implementación de tecnologías agrega nuevas capas y agentes al procesamiento de datos personales, e implica un aumento de vulnerabilidades en términos de seguridad y protección contra usos abusivos. Lo mismo es válido para las propuestas de integración e interoperabilidad de bases de datos, identidad única, automatización y predicción. En nuestra región estas prácticas abundan, sea en formato piloto o en propuestas de acción, impulsadas muchas veces por entidades financieras internacionales.

La publicación “Sistemas de identificación y protección social en Venezuela y Bolivia. Impactos de género y otros tipos de discriminación” aborda algunos de estos temas a partir de análisis de casos en ambos países, donde se alerta sobre las implicancias de la mediación tecnológica en relaciones entre estado y ciudadanía. Además, propone una reflexión sobre los impactos que las tecnologías de vigilancia pueden tener en el acceso a derechos sociales y económicos, y en cómo la digitalización puede profundizar la desigualdad, en especial, cuando implica el acceso a datos por parte de agentes privados o la mediación algorítmica por medio de sistemas de clasificación.

Consideramos que estos son puntos centrales que deben ser discutidos. Más todavía cuando la pandemia no muestra señales de detenerse en la región, y la pobreza y extrema pobreza alcanzan niveles inéditos.

“Sistemas de identificación y protección social en Venezuela y Bolivia. Impactos de género y otros tipos de discriminación” será lanzada el próximo miércoles 14 de abril, junto a un grupo muy especial de expertas y expertos que comentarán los  casos presentados y aportarán sus propias perspectivas a la discusión. El evento se transmitirá en vivo. Si te interesa participar, toda la información la encuentras aquí.