Temática: Protección de datos

La protección social debe incluir a los datos personales

El pasado 22 de abril, se publicó en el Diario Oficial de Chile la Ley Nº 21.322, que crea un Sistema denominado “Red Integral de Protección Social”, el cual consiste en un modelo de gestión intersectorial, dependiente del Ministerio de Desarrollo Social y Familia, cuyo propósito es coordinar intersectorialmente la oferta programática relacionada a eventos adversos que podrían conducir a personas, grupos y/o familias a una situación de vulnerabilidad, entregar información clara, oportuna y personalizada para así simplificar su acceso.

Pero dentro de ese objetivo, la reforma entrega un poder muy peligroso: crea una habilitación legal muy amplia al Ministerio de Desarrollo Social y Familia para recolectar información en general, de fuentes públicas y privadas. Naturalmente, esto incluiría datos personales, posiblemente datos sensibles, sin requerir de la manifestación expresa de voluntad de sus titulares, sin expresar con precisión el tipo de datos ni su finalidad, y sin el resguardo de una nueva legislación de protección de datos robusta y rigurosa.

En medio de las consecuencias económicas y sociales que ha ocasionado la pandemia COVID-19, surge la necesidad de un Estado capaz de asignar eficientemente los recursos para la entrega de beneficios y ayudas directas a las familias. En este sentido, el objetivo del proyecto, tal como señala el mensaje de la iniciativa, es asegurar una orientación eficaz, una derivación oportuna hacia otros servicios especializados del Estado y un seguimiento de casos complejos, cuando sea necesario, con foco en las familias de clase media.

Sin embargo, pareciera ser que esta nueva normativa –en particular, el Título IV de la “Solicitud de Datos y su Uso y Tratamiento”– entrega al Ministerio de Desarrollo Social y Familia, facultades muy amplias y poco definidas para solicitar información a organismos privados y públicos y tratar los datos. Por ejemplo, puede requerir antecedentes contenidos en el Registro de Información Social (RIS), así como en la caracterización socioeconómica, sin mediar un consentimiento previo, expreso e informado, y sin mediar una habilitación legal de los titulares de dichos datos personales. En un momento en que el gobierno insiste en las ayudas focalizadas, esto significa concentrar mucha información sobre personas y familias, incluso sin que ellas se enteren.

Como si lo anterior no fuera grave, la publicación de esta ley es especialmente riesgosa, al menos, en los siguientes dos sentidos: primero, se realiza mientras se encuentra pendiente en el Senado la discusión de una nueva ley de datos personales. Existe la necesidad imperiosa que nuestro país fortalezca su nivel de protección y resguardo de la autonomía informativa de las personas, pues la actual Ley Nº 19.628 es insuficiente para hacer valer obligaciones de transparencia, seguridad, custodia y eliminación de datos personales. Por otra parte, no basta con reglas sustantivas: se requiere la creación de un organismo público especializado, una autoridad pública de control capaz de fiscalizar su cumplimiento. En consecuencia, no se explica la amplitud de las facultades otorgadas al ministerio, sin un marco normativo que resguarde una serie de aspectos que hoy se encuentran en una nebulosa, y que ordene la actuación de los servicios públicos en materia de intercambio de datos personales.

Mediante la administración del RIS, el Ministerio de Desarrollo Social consigna, almacena y procesa información de los atributos sociales, civiles y socioeconómicos de la población del país, susceptible de participar de la red de servicios y beneficios de la protección social. Con esto, el RIS contiene información de potenciales beneficiarios que quizás no han solicitado o no han declarado su intención de integrarlo, por ejemplo, pero que igualmente tendrían acceso a beneficios.  Así se plantean diversos conflictos que van más allá de la eficiencia del sistema. Por un lado, se diluyen los límites y los alcances que puedan tener el tratamiento de dichos datos personales, así como la proporcionalidad y legitimidad social del sistema. Sin ir más lejos, en el ámbito de las ayudas sociales, se vislumbran los mismos riesgos que los casos de Alerta Niñez en Chile y de Auxilio al Empleo en Brasil. Especialmente, con las problemáticas asociadas al uso de datos y algoritmos para perpetuar políticas publicas potencialmente discriminatorias o “focalizadas”.

Según el Ministerio de Desarrollo Social y Familia, Alerta Niñez es un instrumento preventivo que “identifica el conjunto de condiciones individuales, familiares, del entorno y de los pares de los niños y niñas y adolescentes, que tienden a presentarse cuando existe un riesgo de vulneración de derechos”. El sistema se basa en el procesamiento estadístico de grandes cantidades de datos provenientes de organismos públicos para calificar a la población menor de 18 años, ordenando a las personas según su probabilidad de sufrir vulneraciones. Nuevamente se trata de una iniciativa invasiva de recolección de datos sensibles, que conlleva el gran riesgo de profundizar situaciones de prejuicio e implican la transferencia de datos personales a terceros y la posibilidad de que esos datos sean usados para fines distintos a los que permitieron su recolección. Estos mismos peligros se profundizan mediante las facultades otorgadas al Ministerio de Desarrollo Social y Familia mediante la Ley Nº 21.322.

Cabe hacer presente que el Estado es el mayor recolector, almacenador y procesador de datos personales, no solo en términos de cantidad; también es el que maneja más datos de carácter sensible. Esto crea importantes desafíos de seguridad de la información. Aumenta así la posibilidad que por fallas de seguridad se vulneren los derechos de los titulares de los datos, o incluso que sean objetos de filtraciones o fugas. Son amenazas reales, ya que muchas veces el Estado ha sido muy negligente en el resguardo y manejo de esos datos.

En definitiva, una vez más estamos frente a un diseño de política pública que facilita la acción del Estado vigilante, comprometiendo el respeto de los derechos de las personas que se verán afectadas por la recolección y uso de su información personal, sin las suficientes garantías. Sí: necesitamos un Estado capaz de asignar bien las ayudas sociales, de manera rápida y oportuna. El problema que esta ley no incluye condiciones explícitas que restrinjan el acceso y la transferencia de datos a terceros, exponiendo a la población a nuevas formas de discriminación, en favor de un supuesto bien mayor. 

La educación digital en los países centroamericanos durante la pandemia

Más de un año después de declarada la pandemia Covid-19 por parte de la Organización Mundial de la Salud y de las medidas tomadas por los gobiernos para enfrentarla, es imposible ignorar su enorme impacto. Desde los primeros meses de la emergencia comenzamos a leer algunos estudios que evaluaban las repercusiones en los diversos ámbitos de desarrollo de las personas, en esta columna nos detendremos en la educación.

Como sabemos, una de las medidas que muchos gobiernos implementaron para intentar frenar la expansión de la enfermedad fue la suspensión de las clases presenciales, en todos los niveles, en el ámbito público y privado. Así ocurrió en los países que conforman el Sistema de la Integración Centroamericana (SICA), a excepción de Nicaragua, a medida que sus gobiernos iban declarando el estado de emergencia.

Para minimizar los efectos de la suspensión de clases y continuar con el proceso de enseñanza-aprendizaje, sobre todo en la niñez y adolescencia, los países del SICA implementaron alternativas, algunas de las cuales involucraron el uso de tecnologías, como son los casos de la educación en línea o a distancia.  

Las medidas incluyeron el uso de plataformas en internet para el aprendizaje, franjas con contenido curricular en televisoras y radios nacionales, así como el uso de guías impresas para estudiantes que no podían acceder a internet; en varios casos también se incluyó la dotación de equipos informáticos para estudiantes que no tenían acceso a estos aparatos, así como la entrega de paquetes de datos para quienes no poseían acceso a la red.

Tal como lo señala la CEPAL (2021), en la región, la salud, el empleo, la cobertura de protección social, el acceso a servicios básicos y el saneamiento ambiental como aspectos clave para enfrentar en mejores condiciones la crisis, sufrían serios déficits antes de la emergencia, debido a problemas estructurales no resueltos como la pobreza y la desigualdad, el estancamiento económico, la baja inversión en salud y educación, etc. Ante la llegada de la COVID-19, en el caso de la educación, los sistemas educativos tuvieron que enfrentarse a una situación para la que no estaban preparados.

En tal sentido, en esa intersección entre la educación y el mundo digital, vale la pena cuestionarse si, más allá de procurar paquetes de datos y equipamiento tecnológico como un esfuerzo aplaudible para no interrumpir el proceso de educativo el derecho de acceso a la educación en este contexto fue efectivamente garantizado.

No pretendemos contestar esta compleja cuestión en esta columna, pues para hacerlo necesitamos evidencia robusta que nos permita evaluar desde los diversos componentes de este derecho y la exhaustiva revisión de los indicadores en cada país, el grado de tutela efectiva. Sin embargo, sí podemos adelantar alguna cuestión como punto de partida.

En particular, nos referimos a las consideraciones hechas en el Informe del Relator Especial del derecho a la educación, de abril de 2016, quien recordó los componentes esenciales del derecho a la educación, como derecho fundamental, que deben ser considerados a la hora de implementar las tecnologías. Y, aunque dicho documento fue producido en los años previos a la pandemia, dichas consideraciones son perfectamente aplicables al escenario que vivimos actualmente.

En ese sentido, es válido apuntar que el acceso dispar al internet y a la tecnología digital, así como las limitaciones de infraestructura y los problemas de exclusión y marginación, presentes desde antes del inicio de la pandemia y evidenciados en las respuestas dadas a la emergencia, limitan el acceso universal a la educación y la igualdad de oportunidades, condiciones esenciales para un efectivo goce del derecho a la educación.

Con estos antecedentes, toda vez que se puedan cruzar los indicadores de la brecha digital con las categorías del derecho de acceso a la educación, podría estimarse con mayor certeza si los gobiernos fueron capaces de tutelar efectivamente este derecho o si solo se quedaron en dar a los estudiantes la posibilidad de acceder a cierto nivel de instrucción, condición insuficiente para afirmar una tutela amplia del derecho a la educación.

Los peligros de los certificados de vacunación digital, pases de movilidad y pasaportes de inmunidad

Si bien las devastadoras consecuencias económicas y sociales que ha traído para la población el extendido período de pandemia son el aliciente para que los gobiernos busquen en este tipo de instrumentos una herramienta para “premiar” el comportamiento de la ciudanía responsable que ha cumplido con su deber de inmunización, hay un problema severo en esta estrategia desde la perspectiva de la comunicación del riesgo primero, y luego respecto del ejercicio de derechos fundamentales.

A inicios de mayo, la prensa anunciaba que seis países de América Latina y el Caribe, entre ellos Chile, estaban desarrollando una iniciativa para impulsar proyectos que incentiven la transformación digital de la salud en la región y cuya primera iniciativa sería el desarrollo de un certificado de vacunación digital e interoperable para Covid-19. Se trataría de una iniciativa patrocinada por el Banco Interamericano de Desarrollo (BID), alineados con la Organización Mundial de la Salud (OMS) y la Organización Panamericana de la Salud (OPS)

La digitalización del expediente médico es un proceso en curso en muchos países de la región, entre ellos Chile. En los últimos años ha sido conducido de la mano de evaluaciones de cómo implementarse en una forma que proteja la seguridad y la privacidad de los datos de salud, y que no impacte negativamente el ejercicio de otros derechos fundamentales. La pregunta aún sin respuesta es si el anuncio sobre certificaciones digitales interoperables de vacunación en la región va a satisfacer tales estándares y cómo. Los riesgos de avanzar en certificaciones de vacunación e inmunidad digital o pases de movilidad se extienden a la inadecuada comunicación de riesgo y al impacto en el ejercicio de derechos.

Los certificados de vacunación tienen dos propósitos principales: generar un registro que facilite la continuación de las prestaciones de salud para la persona que ha recibido un tratamiento de inmunización, y entregar información acerca del tipo de inmunización recibida para hacer seguimiento a sus resultados o validez. A nivel mundial existe una larga historia de programas de inmunización que en el último siglo se han desarrollado sin problemas, entregando la información a sus beneficiarios en papel.

Todo evento de prestación de salud requiere del acceso a datos personales y datos sensibles que se configuran a partir de la prestación de salud recibida. Tales datos normalmente residen en la ficha médica, a la cual solo la paciente y sus prestadores de salud tienen acceso, y no son consignados en forma detallada en las certificaciones recibidas, que solo contemplan la información mínima para identificar a la paciente y su evento de inmunización. La digitalización de los certificados de vacunación va acompañada de un aumento de la cantidad de datos recogidos e incrementa la posibilidad de generar eventos de acceso no autorizado a esa información para propósitos que pueden ser completamente distintos a los originales, es decir, información de continuación de prestaciones de salud y prueba de inmunización. Creado el antecedente digital, y al forzar a la población a circular con esta información en sus dispositivos digitales, el riesgo de pérdida de control, derivado de usos no relacionados al tratamiento de salud, se extiende exponencialmente.

Los pases de movilidad proponen un caso de uso tanto más problemático, ya que intentan asociar a un episodio (o varios) de inmunización a un diferencial en cuanto a las posibilidad de ejercer la libertad de movimiento sin restricciones, en comparación de aquella limitada para las personas no inmunizadas. Los pases de movilidad se basan en una inferencia de riesgo menor de infección y contagio basado en el episodio de inmunización. Para que esa inferencia sea sólida, debe sostenerse en evidencia científica de cuál es el nivel de disminución de riesgo de contagio y de propagación del virus que la inmunización genera. En Chile, la Universidad de Chile ha indicado que ese riesgo se sitúa en el 56,5% como promedio para las vacunas en actual utilización en Chile. Mientras, el Ministerio de Salud declara que la vacuna SINOVAC (con la que mayoritariamente ha sido inmunizada la población nacional) tiene 67% de efectividad para prevenir Covid-19 sintomático. Es decir, incluso en la cifra más optimista, 3 de cada 10 personas vacunadas aún se encuentran en riesgo de contraer y transmitir COVID-19.

Avanzando en la trilogía, los pasaportes de inmunidad buscan generar un grado de certeza que permita la circulación de la población y la reactivación de las actividades económicas y sociales, incluso en el tránsito internacional. Su emisión depende de la existencia de métodos de medición de los grados de inmunidad desarrollada por la población frente a una enfermedad infectocontagiosa. Su objetivo es precisamente discriminar entre aquellos que cuentan con inmunidad y quienes carecen de ella, asignando consecuencias de movilidad y oportunidades de empleo a esa clasificación. Así, buscan imponer una restricción artificial sobre quién puede participar en actividades sociales y económicas, y quién no. Es por ello que las expertas llaman la atención acerca del riesgo de que los pasaportes de inmunidad creen un incentivo perverso para que las personas busquen infectarse, especialmente las más vulnerables, que no pueden permitirse un período de exclusión de la fuerza laboral, agravando las desigualdades sociales preexistentes. La OMS expresó en 2020 su preocupación por el desarrollo de pasaportes de inmunidad, advirtiendo la información insuficiente acerca del desarrollo de anticuerpos para el SARS-CoV-2, con los riesgos de errónea clasificación de los niveles de inmunidad de la población que ello podría implicar. En la actualización provista en mayo de 2021, la OMS vuelve a repetir que la evidencia sobre la respuesta inmune y su duración respecto de la infección de Covid-19 o su inmunización no se encuentra suficientemente comprendida a la fecha, con lo cual la correlación de su efecto de protección no puede ser aún establecida.

Para evitar las críticas internacionales a que han sido sujetos los pasaportes de inmunización, como el renombrado pase verde de la Unión Europea, en Chile las autoridades han optado por la nomenclatura de “pase de movilidad” que como vimos más arriba se encuentra sujeto a las mismas incertidumbres en la comunicación de riesgo que los pasaportes de inmunidad: ambos hacen inferencia hasta ahora no asentadas en evidencia científica de nivel de riesgo de contraer y contagiar el SARS-CoV-2.

Problema con la comunicación de riesgo

Tal como lo ha destacado el European Data Protection Board (EDPB) al emitir su opinión sobre la propuesta de certificado verde para la Unión Europea, “parece haber poca evidencia científica que respalde el hecho de que haber recibido una vacuna COVID-19 (o haberse recuperado de COVID-19) otorga inmunidad y por cuánto tiempo dura. Por lo tanto, el Certificado Verde Digital debe entenderse simplemente como una prueba verificable de una solicitud o historial médico fáctico con sello de tiempo que facilitará la libre circulación de los ciudadanos de la UE debido a su formato común en todos los Estados miembros. Sin embargo, advertimos derivar conclusiones sobre inmunidad o contagio, ya que una opinión científica consolidada aún está pendiente”.

Por su parte, el Ada Lovelace Institut ha advertido que los pasaportes digitales no deben implementarse mientras se desconoce tanto sobre COVID-19, particularmente el efecto de diferentes vacunas (y regímenes de vacunación) sobre la transmisión, la duración de la protección y la generalización de esos efectos. En otras palabras, el pasaporte de vacunación se basa en la premisa de que el estado de “vacunada” dice algo sobre el riesgo que una persona representa para otros, no simplemente el riesgo que cada persona enfrenta de contagiarse. “En la actualidad, el estado de vacunación no ofrece evidencia clara o concluyente sobre el riesgo de un individuo para otros a través de la transmisión. El estado de vacunación nunca puede ofrecer evidencia absolutamente concluyente del riesgo de un individuo para otros (o su propio riesgo), ya que ninguna vacuna será 100% efectiva para el 100% de los receptores”.

La consecuencia más grave sobre este error en la comunicación de riesgo, el incremento en la circulación del virus y el aumento en el nivel de contagios consecuente, fue denunciada en Chile por el Colegio Médico y un número relevante de Asociaciones Médicas al realizarse el anuncio de despliegue del pase de movilidad por el gobierno de Chile. Dos semanas luego de su implementación, la evidencia del aumento de casos a nivel nacional, con alrededor de 50 mil casos activos, parece respaldar que un relajamiento de la movilidad no se justifica ni siquiera con un programa de vacunación exitoso.

No se trata de poner en cuestión la utilidad de las vacunas que indudablemente reducen el riesgo de contraer la enfermedad o de presentar sus síntomas más severos. El cuestionamiento a los pases de movilidad o certificaciones de inmunidad no tiene nada que ver con la defensa al “derecho a no vacunarse” que algunos individuos han intentado enarbolar, de lo que se trata es de entregar información adecuada a la población que evite el relajamiento de las medidas sanitarias de distanciamiento social, uso de mascarillas e higiene de manos que siguen siendo esenciales para contener la pandemia.

Tristemente, aquí nos encontramos no solo frente a un problema de oportunidad que ha sido el ángulo enfatizado desde la comunidad científica, sino que, junto a la falta de certeza científica acerca de la predicción de riesgo que acompaña a la inmunización, se sitúa un problema social relacionado con cómo los pases de movilidad, los certificados de vacunación digital o los certificados de inmunidad pueden terminar transformándose en instrumentos de discriminación en el ejercicio de derechos, cuyos impactos negativos se extiendan a los ya dolorosos efectos económicos y sociales que afectan a sectores más vulnerables.

Discriminación en el ejercicio de derechos

No es casualidad que al inicio de la pandemia la Comisión Interamericana de Derechos Humanos (CIDH), a través de su Resolución 1/20 “Pandemia y Derechos Humanos en las Américas”, recomendó a los Estados de la región “adoptar de manera inmediata e interseccional el enfoque de derechos humanos en toda estrategia, política o medida estatal dirigida a enfrentar la pandemia del COVID-19 y susconsecuencias, incluyendo los planes para la recuperación social y económica que se formulen. Estas deben estar apegadas al respeto irrestricto de los estándares interamericanos e internacionales en materia de derechos humanos, en el marco de su universalidad, interdependencia, indivisibilidad y transversalidad, particularmente de los DESCA”.

Desde un punto de vista individual, un pase de movilidad registra datos de salud privados, ¿cómo se protege esta información? ¿Cómo se previene el riesgo de fraude o falsificación? ¿Cómo se previenen violaciones de la privacidad? Desde un punto de vista social, la adopción de pases de movilidad tiene impactos concretos en el ejercicio de la libre circulación, el derecho a reunión e incluso sus impactos pueden extenderse al acceso a las oportunidades de empleo.  Estos pasaportes no deberían resultar en una herramienta de control social que restrinja la movilidad de la población en contextos de disidencia política o en una herramienta adicional para imponer restricciones abusivas a la migración, por nombrar solo algunos de los potenciales impactos negativos de estas implementaciones.

La creación de un pase de movilidad genera una indudable tentación para las empresas de condicionar el acceso a oportunidades de empleo a la titularidad de estos, en el marco de una campaña de vacunación que aún no alcanza la universalidad y, repetimos, cuyas condiciones de duración de inmunidad no se encuentra científicamente determinada aún. Un uso de este tipo tendrá consecuencias indudables de discriminación, pero también desafíos logísticos en torno a cómo se realizan las verificaciones de los pases y cómo se vigila que continúe la adopción de otras prevenciones sanitarias como el distanciamiento social y uso de mascarillas. El pase de movilidad puede fomentar una falsa sensación de seguridad, ya sea en su titular o en otras personas (como su empleador) y aumentar, en lugar de disminuir, los comportamientos de riesgo. Existe vasta experiencia previa desde la normativa de protección de los derechos de los trabajadores acerca de los riesgos de permitir decisiones de empleo atendidas a condiciones de salud, o de riesgos de salud derivados de condiciones de trabajo inadecuadas. Y esa experiencia será útil para calibrar los derechos en juego.

Otra forma palpable de discriminación que presentan las certificaciones de vacunación e inmunidad o los pases de movilidad digital está precisamente asociada a su carácter digital. Nuevamente, sin condiciones de conectividad universal a internet aseguradas para la población general, habilidades digitales limitadas en algunos segmentos o baja disponibilidad de dispositivos inteligentes, grupos de la población con acceso limitado a la tecnología por cualquiera de estos factores quedarán excluidas de su uso.

Estos riesgos fueron claramente anotados además en una recomendación específica emitida el año pasado por la CIDH en su Resolución 4/20 sobre los “derechos humanos de las personas con Covid-19”: “los Estados deben abstenerse de utilizar los datos sobre el estado de salud de las personas con COVID-19 para expedir certificaciones de inmunización que generen una diferencia de trato injustificada en el disfrute y ejercicio de otros derechos”.

Entonces avanzando un paso más en el análisis de necesidad, proporcionalidad y legalidad que exigen los estándares interamericanos de derechos humanos, ¿cuál es el marco de legalidad que acompaña al pase de movilidad en Chile? Sin una ley de protección de datos personales actualizada, con pocas certezas de como se manejan los datos de comisaría virtual y la opaca implementación de CoronApp previamente criticada por Derechos Digitales, la política pública desplegada tampoco ha sido acompañada de ningún tipo de certeza acerca de cómo los datos que son recogidos para generar el certificado digital serán procesados, accedidos (y por quién) o cómo será limitado su uso para otros fines.

Por último, las certificaciones de vacunación e inmunidad digital o los pases de movilidad pueden ser una distracción tentadora. Su desarrollo implica costos de oportunidad importantes desde una perspectiva de recursos públicos, lo que implica dejar de usar esos mismos recursos en otras intervenciones. Sin embargo, su utilidad específica para la pandemia se encuentra temporalmente limitada, ya que es esperable que con los programas de vacunación y la circulación del virus se alcance más temprano que tarde la inmunidad de grupo. ¿Vale la pena sacrificar derechos y libertades si una vez que haya inmunidad colectiva estos instrumentos de discriminación no tendrán sentido sanitario? ¿Qué haremos entonces con estas infraestructuras de control puestas en marcha? ¿Serán ellas desmanteladas? ¿Cómo aseguramos que los datos por ellas recogidas no sean extendidos a otros usos secundarios de control social? 

¿Quién defiende tus datos? Cómo protegen la privacidad de sus clientes las compañías proveedoras de internet

En una sociedad hiperconectada, donde gran parte de nuestras vidas transcurre en línea (y más todavía en un contexto de pandemia y cuarentena), la manera en que las empresas de telecomunicaciones protegen nuestra privacidad es un condicionante para nuestro desarrollo, conforme a un sistema democrático y respetuoso de los derechos humanos.

En este contexto, ¿Quién defiende tus datos? cobra especial relevancia. Se trata de un estudio realizado por Derechos Digitales con apoyo de la Electronic Frontier Foundation, que analiza las prácticas de las principales compañías proveedoras de internet en Chile.

En la cuarta edición del reporte, el balance es positivo: nos alegra ver cómo ha subido el estándar de la industria, a pesar de que ello dependa en gran medida de su autorregulación. Este año mantuvimos los criterios de evaluación utilizados en la versión pasada del informe, optando por analizarlos desde un estándar más crítico, lo que por un lado nos permitía ver si las empresas que ya cumplían optaban por continuar mejorando, así como darles tiempo a las empresas más atrasadas para ponerse al día.

Afortunadamente, la tendencia general ha sido a la mejora de las prácticas de las compañías en comparación a años anteriores.  Por tercer año consecutivo, Claro Chile es la empresa mejor posicionada y es la que cuenta con el mejor informe de transparencia entre las empresas estudiadas. Le siguen WOM y Entel. El criterio más estricto de evaluación hizo que algunas empresas disminuyeran su puntaje a pesar de tener un grado de cumplimiento similar al del año anterior, como en el caso de WOM.

Resulta gratificante también ver la evolución de compañías como GTD Manquehue, que pasaron de no tener política de privacidad, informe de transparencia ni protocolos, a elaborar y hacer públicos dichos documentos. Situación similar a la de Movistar, que progresa de tener 1 estrella en la versión anterior a tener 3,25 este año, donde se destaca su transparencia, al ser la única que da a conocer públicamente las alianzas públicas y privadas que tiene en materia de investigación y los términos en que se desarrollan dichas iniciativas.

El caso de VTR nos parece preocupante, pues la compañía ha demostrado escaso interés por mejorar sus prácticas de transparencia y protección de derechos hacia sus clientes. VTR no ha hecho eco de cuestiones básicas como fechar su política de privacidad y es la única empresa que no cuenta con un informe de transparencia actualizado, además de otorgar los datos personales de los clientes para efectos de publicidad o comunicaciones comerciales.

Con todo, la mejora generalizada mostrada por el resto de las empresas de telecomunicaciones demuestra que  ¿Quién defiende tus datos? ha resultado ser una valiosa herramienta para incentivar a los proveedores de internet a perfeccionen sus estándares de protección y transparencia, además de ser una buena instancia para la discusión académica acerca de los desafíos en la autoregulación de estas empresas en la oferta de sus servicios, más allá del marco regulatorio que fija la línea de base en la materia.

Puedes revisar el reporte aquí. El video del lanzamiento se encuentra disponible acá.

¿Quién defiende tus datos? 2021

Descargar PDF

Cuarta edición del reporte ¿Quién defiende tus datos? evaluación periódica realizada por Derechos Digitales sobre el modo en que las compañías proveedoras de internet defienden la privacidad de sus clientes en Chile.

Contra el tratamiento abusivo y desleal (*) de nuestra información personal: Sociedad civil por una autoridad autónoma de protección de datos personales en Chile

Las organizaciones e individuos firmantes expresamos nuestro rechazo y preocupación por la postura del Consejo para la Transparencia (CPLT) pronunciada el pasado 30 de abril de 2021, mediante el oficio N°127, mediante el que se dio respuesta a un requerimiento de ATELMO (Asociación de Telefonía Móvil A.G.), marcando un precedente relevante y problemático.

ATELMO solicitó el pronunciamiento del organismo respecto de la legalidad de dos acciones que ha realizado Subtel: 

La primera acción tiene que ver con las disposiciones establecidas en el Reglamento y la Norma Técnica para la implementación de la ley sobre obligación de una velocidad mínima garantizada de acceso a internet (Ley Nº 21.046), mediante las que SUBTEL pretendía llevar a cabo un intensivo tratamiento de datos personales de suscriptores de empresas de telecomunicaciones. 

Respecto de ese requerimiento, el CPLT señaló que no existiría una base de legalidad que habilite a la SUBTEL para efectuar el tratamiento de datos personales y sensibles recolectados por el Organismo Técnico Independiente sin consentimiento de los titulares, pretendido mediante el Reglamento y la Norma Técnica de la Ley Nº 21.046 dictados por el mismo organismo público.

La otra acción está vinculada al requerimiento de ATELMO contra la entrega de datos personales por SUBTEL para la realización de encuestas de satisfacción. El CPLT manifestó que existiría base legal para que SUBTEL solicite a las empresas de telecomunicaciones que le entreguen datos personales de sus clientes con el objeto de llevar a cabo estas encuestas, y que procedería no solo pedir la entrega datos de 15 millones de suscriptores, sino entregarlos a las empresas encuestadoras. 

Frente a esta posición, las organizaciones de la sociedad civil firmantes consideramos que:

  1. Es preocupante que un organismo público como SUBTEL puede exigir a empresas privadas todos los números de teléfono asociados a sus clientes con el propósito de realizar encuestas de satisfacción y que ello sería conforme a la ley. Se trata de una autoridad pública autorizando un traspaso gigante de datos personales y sentando precedente para que ello pueda ser replicado por otros organismos públicos.
  2. Si bien la ejecución de encuestas de satisfacción podría enmarcarse en el ejercicio de las atribuciones que le confiere la ley a SUBTEL, ésta no es la única forma para lograr su cometido, existiendo medios menos invasivos y que deben ser preferidos para resguardar la privacidad y la protección de los datos personales de la población. No se necesita esa cantidad de información  para realizar encuestas.
  3. La Ley Nº 19.628 indica que el tratamiento de datos personales por parte de un organismo público solamente puede realizarse con autorización legal, respecto de materias de su competencia, y para ello no sería necesario el consentimiento de su titular (artículo 20). Sin embargo, ello no supone concluir que SUBTEL cuenta con una base de legalidad habilitante para requerir a las empresas de telecomunicaciones la cantidad de datos que pretende, ni menos aún entregar a un tercero su tratamiento. Al verse involucrados los derechos fundamentales de las personas titulares de estos datos, necesariamente su aplicación debe ser restrictiva (artículo 19 Nº 4 de la Constitución Política de la República).
  4. Si a lo anterior sumamos el hecho de que el CPLT tiene dentro de sus atribuciones velar por el adecuado cumplimiento de la ley de protección de los datos personales, por parte los organismos de la administración (Art. 33 lit. m, Ley Nº 20.285), la situación se torna insostenible, especialmente considerando que ello implica ignorar el amplio desarrollo de la protección de datos personales, en particular respecto  a los principios de finalidad, proporcionalidad y seguridad.
  5. Si aceptamos que la finalidad para las que las personas autorizan el tratamiento de sus datos personales —especialmente por entes privados— puede cambiar en virtud del tratamiento de datos pretendido por un organismos públicos, entonces ¿qué pasa con una de las características esenciales de este derecho a determinar para qué se usan sus datos o, al menos, saber para qué se están usando? No es acorde con el principio que la finalidad misma cambie al arbitrio de quien trata los datos.
  6. En relación con el principio de proporcionalidad, no es posible aplicarlo a las técnicas de investigación estadística en sentido estricto. Como es presentado en el oficio, el principio excusa al CPLT para no hacerse cargo de limitar el actuar abusivo de la SUBTEL. Como bien señala el voto de disidencia, en virtud de este principio, el volumen y naturaleza de los datos recolectados debe tener relación con el objetivo buscado, de manera que los datos solicitados por la SUBTEL debieron limitarse a los estrictamente necesarios para la realización de las encuestas de satisfacción. No creemos que dicho límite sea de aquellas cuestiones que solo puede ser llevada a cabo por organismos técnicos dedicados a la realización de encuestas.
  7. El oficio desconoce la necesidad de cumplir con medidas estrictas para cubrir el principio de seguridad, exponiendo una cantidad enorme de datos a riesgos de vulneración. Esto va más allá del quiebre de los deberes de confidencialidad, pues se trata de las personas que nos encontramos detrás de cada uno de esos datos personales, cuyo posterior tratamiento y transferencia a terceros quedan fuera de nuestro conocimiento y control.

Este caso visibiliza las limitaciones en las facultades y los recursos de la institucionalidad actual. Los esfuerzos del CPLT hasta la fecha no son suficientes y necesitamos con urgencia un órgano especializado en la protección de datos personales con facultades de fiscalización, recursos suficientes e independencia constitucionalmente garantizada. 

Actualmente, cuando  gran parte de la vida cotidiana de millones de personas en Chile depende de los servicios de telecomunicaciones y de las plataformas digitales de servicios, es preocupante que el proyecto de ley que viene a modernizar la actual ley sobre protección de datos personales se encuentre durmiendo en el Senado desde hace más de un año, sin ningún avance en la materia. Como organizaciones firmantes hacemos un llamado a poner suma urgencia a finalizar su tramitación. 

Chile tiene una oportunidad histórica de redactar hoy una Constitución para el siglo XXI y avanzar, al mismo tiempo, hacia una regulación acorde a los cambios tecnológicos, poniendo en primer lugar a las personas  y garantizando la efectiva protección de sus derechos fundamentales. Esperamos que el poder político aproveche esta oportunidad.

Si tu organización quisiera suscribir a esta carta, haz clic aquí. 

ORGANIZACIONES FIRMANTES 

Derechos Digitales

Fundación Datos Protegidos

Fundación Abriendo Datos

* El término desleal hace alusión al concepto “leal”, que en esta situación debe entenderse dentro de los principios de licitud, lealtad y transparencia.

Neuroderechos para qué, maldita sea

El pasado 21 de abril, el Senado chileno aprobó de forma unánime el proyecto de reforma constitucional para la incorporación de los “neuroderechos”. Así, Chile está en posición de convertirse en el primer país del mundo en contar con una legislación específica que garantice el derecho a la “neuroprotección”.

Pero lo que a primera vista podría parecer una buena noticia es, en el mejor de los casos, un avance cuestionable, que poco contribuye a la consolidación del sistema universal de protección de los derechos humanos, que ha tomado 75 años construir, instalar y fortalecer.

Neuroderechos: ¿qué y para qué?

A nivel internacional, el mayor promotor de la necesidad de avanzar en la protección de los neuroderechos es Rafael Yuste, neurobiólogo español, cuya propuesta ha encontrado gran eco en Chile, particularmente en el Senador Guido Girardi, miembro de la comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado. Juntos presentaron en octubre de 2020 dos proyectos de ley: el primero, la reforma constitucional recientemente aprobada por el Senado. El segundo, un proyecto de ley “Sobre protección de los neuroderechos y la integridad mental, y el desarrollo de la investigación y las neurotecnologías”.

Pero, ¿qué son exactamente los neuroderechos y por qué requerirían protección especial? No es una pregunta fácil de responder. El proyecto original presentado por Guirardi junto a Carolina Goic, Francisco Chahuán, Alfonso de Urresti y Juan Antonio Coloma señala que la finalidad es proteger la “dignidad humana” frente al uso de nuevas tecnologías, particularmente aquellas que tienen por objeto el “cerebro humano”, que “no se agota sólo en una dimensión física, sino que más bien se expande hacia su dimensión de potencialidad mental que envuelve los misterios de la existencia humana”. En lo concreto, el proyecto alude al derecho a la privacidad de los “neurodatos”, a la identidad personal y la autodeterminación, a la igualdad frente al aumento de capacidad cerebral y al control de sesgos de los algoritmos. Dentro de las preocupaciones mencionadas como detonantes del proyecto, se señala “la posibilidad de leer la actividad neuronal” y los anuncios realizados por la empresa Neuralink de Elon Musk .

Si bien es cierto que las neurotecnologías han avanzado de forma importante durante los últimos años, particularmente en el ámbito de las interfaces cerebro-computadores, y que empresas como Neuralink han hecho una serie de anuncios rimbombantes sobre las posibilidades más inmediatas del desarrollo de sus productos, la verdad es que la tecnología se encuentra todavía en un estado embrionario y los miedos específicamente estipulados en el proyecto de ley están lejos de poder materializarse.

Pero incluso si aceptamos la posibilidad de que en el futuro la manipulación neuronal sea algo cotidiano, lo cierto es que el proyecto parte de la premisa errada de que se requiere una protección nueva y especial para los neuroderechos frente a “las nuevas amenazas que el avance científico y tecnológico envuelve”.

La Constitución Política de la República de Chile, en el número 1º de su artículo 19º, garantiza “El derecho a la vida y a la integridad física y psíquica de la persona”, redacción que incluye la protección de cualquier potencial “neurodato” y resguarda por si misma el concepto de los “neuroderechos”. Si existiera una genuina preocupación por la protección de los derechos de las personas en relación con su indemnidad física y psíquica, el texto constitucional actual ofrecía suficientes garantías.

Sin embargo, el proyecto original buscaba la modificación del articulado de la siguiente manera:

“La integridad física y psíquica permite a las personas gozar plenamente de su identidad individual y de su libertad. Ninguna autoridad o individuo podrá, por medio de cualquier mecanismo tecnológico, aumentar, disminuir o perturbar dicha integridad individual sin el debido consentimiento. Sólo la ley podrá establecer los requisitos para limitar este derecho y los que debe cumplir el consentimiento en estos casos.

El desarrollo científico y tecnológico estará al servicio de las personas y se llevará a cabo con respeto a la vida y a la integridad física y psíquica. La ley regulará los requisitos y condiciones para su utilización en las personas, debiendo propender especialmente al resguardo de la actividad cerebral, así como la información proveniente de ella”.

Así, mientras la Constitución chilena ofrece una garantía absoluta al “derecho a la vida y a la integridad física y psíquica”, la redacción propuesta debilitaba este derecho al incorporar dos excepciones: el consentimiento y la ley. Es decir, que el derecho a la indemnidad física y psíquica podría ser limitado en virtud de la voluntad del propio perjudicado o mediante una ley que estableciera los requisitos de tal limitación y del consentimiento de las personas.

Afortunadamente, gracias a la valiosa colaboración de expertos y expertas durante la discusión del proyecto, y a las indicaciones presentadas por distintos parlamentarios, el texto fue modificado. Sin embargo, se mantuvo el segundo párrafo que incorpora la noción de que “[l]a ley regulará los requisitos y condiciones para su utilización en las personas”. Por vía interpretativa, es posible argumentar que esta inclusión solo se justifica si entendemos que mediante la ley se podría limitar el derecho en cuestión. De lo contrario, bastaba con el texto actual.

Una cuestión parecida ocurre con el segundo proyecto ingresado por Guirardi, que en vez de proteger a las personas de ser objeto de intervenciones no consentidas mediante la —innecesaria— incorporación de un “nuevo” derecho, abre la discusión sobre la intervención forzosa, mediante la incorporación de una serie de excepciones.

Lejos de ser una cuestión anecdótica, los proyectos tienen un potencial de daño y erosión de los derechos fundamentales que requiere atención, así como la deficiente técnica legislativa empleada y la finalidad ambigua que persiguen. Más todavía cuando estamos ad-portas de escribir una nueva constitución; la sospecha de que se trataría de una manera de presionar por la instalación de esta discusión en la nueva Carta Magna no es injustificada.

Los intentos por introducir nuevos conceptos nacidos de la euforia que producen las tecnologías de moda son nocivos por dos razones: en primer lugar, desvían energía y recursos que serían mejor aprovechados si los invirtiéramos en garantizar una mejor protección de los derechos hasta ahora reconocidos en nuevos contextos de desarrollo científico y tecnológico. En segundo lugar, nos empujan a una espiral inflacionaria en la que cada nuevo desarrollo tiene el potencial de cuestionar la vigencia de las protecciones ofrecidas por el sistema universal de los derechos humanos.

Así, la regulación de los neuroderechos palidece en urgencia si la comparamos, por ejemplo, con la paupérrima protección de los datos personales en nuestro país, y que hoy habilita el perfilamiento y la discriminación de personas.  La postergada modificación a la ley de datos personales podría ayudar a la protección no solo de los “neurodatos”, sino de los datos personales de cualquier tipo y, sin embargo, el proyecto acumula polvo en el Congreso desde 2017. Se trata de una necesidad que ha sido señalada en múltiples ocasiones por todas las expertas y expertos en la materia, y cuyos impactos no son potenciales como los de las neurotecnologías, sino tremendamente concretos.

Rafael Yuste propone que la protección de los “neuroderechos” debiese estar al nivel de los derechos humanos. Esta afirmación debería levantar escepticismo respecto a la comprensión que tiene Yuste de la problemática a nivel de derechos y cómo abordarla, pues evidencia ignorancia respecto a los desarrollos en torno a los conceptos de autonomía, dignidad humana y autodeterminación, que han forjado el centro del sistema universal de derechos humanos.

Puede ser que la propuesta nazca de una preocupación honesta y bienintencionada, pero cuando se aborda ignorando 75 años de desarrollo de la protección de derechos humanos —como en el caso chileno— lejos de ofrecer solución a problemas inexistentes, genera riesgos reales e innecesarios.

No podemos pretender reinventar la rueda a cada rato. No es cierto que cada nuevo desafío tecnológico ponga en entredicho derechos y principios que, por su esencia, son posibles de actualización y refinación permanente. Enfoquemos nuestros esfuerzos en los problemas que enfrenta la ciudadanía hoy, con soluciones efectivas y eficientes.

Artificios “inteligentes” y la falta de inclusión en América Latina

El pasado lunes 19 de abril, Derechos Digitales presentó públicamente la iniciativa Inteligencia Artificial e Inclusión en América Latina. El proyecto incluye estudios desarrollados por especialistas en cuatro países de la región sobre la implementación de sistemas tecnológicos con aspectos de automatización a partir del sector público.

Hasta el momento, las características de este tipo de despliegue tecnológico en la región han sido escasamente documentadas. Sin embargo, más rápido que cualquier análisis, la implementación de tecnologías digitales sigue avanzando silenciosamente, con pocos espacios de debate y participación ciudadana. Así lo evidencian los casos analizados en Brasil, Chile, Colombia y Uruguay.

Es preocupante observar cómo antes de enfrentar los desafíos relacionados a la digitalización y al establecimiento de procedimientos adecuados de gobernanza de datos, los gobiernos se empeén en automatizar procesos por medio de sistemas tecnológicos que agregan nuevas capas de complejidad y opacidad. Aún más cuando pueden afectar derechos fundamentales como a la asistencia social, el empleo, la justicia o la salud; o culminar en intervenciones discriminatorias en la vida de las personas por parte del Estado.

Un nuevo fetiche

A partir de los casos analizados, una de las primeras cuestiones que llama la atención es la adopción de tecnologías que, antes de su despliegue, carecían de cualquier evidencia sobre su necesidad o utilidad. Es decir, se desarrollan e implementan “soluciones” a problemas insuficientemente descritos, pues en general no existe un diagnóstico previo que las justifique.

Esta falta de diagnóstico resulta crítica en tres aspectos: 1) a qué finalidad sirve la solución tecnológica específica (incluido el análisis de su adecuación al problema),  2) la preparación en el aparato administrativo para su implementación y 3) la capacidad de la ciudadanía de comprender los efectos de la solución tecnológica. Como consecuencia, la implementación de sistemas tecnológicos complejos resulta por sí sola problemática frente a un contexto insuficientemente preparado para su despliegue e impotente frente a su funcionamiento.

En los cuatro países analizados, la manera en que implementadas las distintas iniciativas revela una importante discrecionalidad y ausencia de planificación sobre el uso de tecnologías a nivel gubernamental. Por cierto, esta condición refleja una tendencia a nivel regional más allá de los cuatro países inicialmente considerados en nuestra investigación.

La característica común parece ser una aproximación de «solucionismo tecnológico»: la expectativa de que la tecnología digital sea solución a complejos problemas políticos y sociales. En este sentido, la enorme promoción a nivel global de tecnologías de inteligencia artificial las convierte en objeto de deseo para servidores públicos dispuestos a poner en riesgo a la ciudadanía para satisfacer la imagen de un Estado fuerte y moderno, independientemente de sus reales capacidades “inteligentes”.

Los cimientos del sistema

Si bien la innovación a nivel estatal es bienvenida y puede ser útil para lidiar con problemas de la gestión pública, es inaceptable que iniciativas que puedan implicar el acceso y procesamiento de inmensas cantidades de datos personales no pasen por discusiones previas y sin contar con un marco de legalidad adecuado. Pese a la ausencia de una discusión específica sobre la implementación de sistemas automatizados, los marcos normativos para lidiar con la protección de datos en los países analizados son todavía muy desiguales.

Como es sabido, el marco de protección de datos personales es demasiado limitado para regular sistemas de inteligencia artificial, pues apunta apenas a una arista de los mismos: la recolección y tratamiento de la información sobre personas naturales. No obstante, es ese ámbito del derecho donde, por su conexión con nuevas e intensas formas de procesamiento, se observan avances normativos, como garantías específicas para favorecer la “explicabilidad” de decisiones automatizadas o para integrar la revisión humana de esas decisiones. El intento brasileño de incorporar ambos aspectos en su normativa, detenido por veto presidencial, revela una importante falta de voluntad política por poner los intereses de la ciudadanía por encima de los imperativos de las industrias de tecnología, lo que seguramente no es exclusivo de un país.

Al mismo tiempo, la existencia de normas de protección de datos en los cuatro países analizados no han asegurado que los principios y reglas de la temática estuvieran en el centro de la atención estatal. Por el contrario, una característica común es la variación en la base legal para el tratamiento de datos, con el consentimiento como un factor a veces relevante, pero a menudo con bases de datos distintas y autorizaciones legales difusas para la inclusión de información desde diversas fuentes. Es decir, el aparato público extiende su función a partir de su legitimidad legal, sin tomar los debidos resguardos en obtener el consentimiento de las personas que se convierten en objeto de intervención estatal.

Esta es la clase de razones que explicitan la demanda no solo de una normativa para la fiscalización de los datos personales, sino de una autoridad pública de control, dedicada, especializada y con atribuciones para intervenir en la acción de otras agencias estatales si fuera necesario.

Pero como hemos dicho, la regulación de datos personales es apenas una arista. Parte importante de la acción estatal pasa por el estímulo a la inteligencia artificial, entendida como una vía de desarrollo industrial nacional. No obstante, esto tampoco es suficiente sin una visión completa sobre los distintos aspectos que confluyen en esta problemática. Si, por un lado, algunos gobiernos tratan de propagar sus principios o estrategias generales de inteligencia artificial, por otro, hay muy poca especificidad en cómo esos documentos guiarán la implementación de tecnologías desde el sector público. Por ejemplo, cuál será la importancia que darán a los derechos fundamentales y la transparencia.

Opacidad sin límites

Quizás uno de los problemas más relevantes que observamos cuando se trata de la adquisición estatal de tecnologías es la ausencia o insuficiencia de mecanismos para la integración directa de los intereses de la ciudadanía. En otras palabras: la falta de análisis conjunto con actores relevantes del sistema de forma previa a cada despliegue, la ausencia de mecanismos de control compartidos por intereses multisectoriales y la carencia de mecanismos de evaluación posterior.

Las falencias son múltiples: a la opacidad tradicionalmente asociada a sistemas de decisión automatizada, se suma la exclusión de la participación pública en el despliegue de los sistemas y la ausencia de mecanismos abiertos y transparentes de evaluación en la consecución de sus fines.

Los problemas que derivan de esa opacidad potenciada son también numerosos y conllevan, incluso, la insuficiencia de perspectivas diversas sobre los posibles impactos. La decisión pública sustentada únicamente en máquinas resulta una forma extrema de tecnocracia, que puede erosionar la legitimidad del aparato estatal y pone en discusión la real vinculación con los problemas que en teoría están destinados a abordar.

Hacia una agenda de gobernanza desde los gobernados

A partir de la recolección de datos empíricos sobre la implementación de sistemas automatizados o semi-automatizados es posible buscar factores comunes que faciliten, con base en el Sistema Interamericano de Derechos Humanos, una inminente discusión sobre el desarrollo de estándares regionales para su uso. Estos deberán orientar la producción de marcos normativos que hagan de la implementación de tecnologías, desde lo público, una expresión de las aspiraciones de la ciudadanía sobre el Estado, y no de las aspiraciones de una modernidad vacía.

Pero este es apenas un paso inicial y el desarrollo normativo está lejos de responder a los inmensos desafíos que se presentan. Derechos Digitales seguirá trabajando para generar evidencia y explorando nuevos espacios de diálogo sobre el desarrollo futuro de la tecnología en América Latina.

Revisa Inteligencia Artificial e inclusión aquí.