Temática: Protección de datos

Los peligros de los certificados de vacunación digital, pases de movilidad y pasaportes de inmunidad

Si bien las devastadoras consecuencias económicas y sociales que ha traído para la población el extendido período de pandemia son el aliciente para que los gobiernos busquen en este tipo de instrumentos una herramienta para “premiar” el comportamiento de la ciudanía responsable que ha cumplido con su deber de inmunización, hay un problema severo en esta estrategia desde la perspectiva de la comunicación del riesgo primero, y luego respecto del ejercicio de derechos fundamentales.

A inicios de mayo, la prensa anunciaba que seis países de América Latina y el Caribe, entre ellos Chile, estaban desarrollando una iniciativa para impulsar proyectos que incentiven la transformación digital de la salud en la región y cuya primera iniciativa sería el desarrollo de un certificado de vacunación digital e interoperable para Covid-19. Se trataría de una iniciativa patrocinada por el Banco Interamericano de Desarrollo (BID), alineados con la Organización Mundial de la Salud (OMS) y la Organización Panamericana de la Salud (OPS)

La digitalización del expediente médico es un proceso en curso en muchos países de la región, entre ellos Chile. En los últimos años ha sido conducido de la mano de evaluaciones de cómo implementarse en una forma que proteja la seguridad y la privacidad de los datos de salud, y que no impacte negativamente el ejercicio de otros derechos fundamentales. La pregunta aún sin respuesta es si el anuncio sobre certificaciones digitales interoperables de vacunación en la región va a satisfacer tales estándares y cómo. Los riesgos de avanzar en certificaciones de vacunación e inmunidad digital o pases de movilidad se extienden a la inadecuada comunicación de riesgo y al impacto en el ejercicio de derechos.

Los certificados de vacunación tienen dos propósitos principales: generar un registro que facilite la continuación de las prestaciones de salud para la persona que ha recibido un tratamiento de inmunización, y entregar información acerca del tipo de inmunización recibida para hacer seguimiento a sus resultados o validez. A nivel mundial existe una larga historia de programas de inmunización que en el último siglo se han desarrollado sin problemas, entregando la información a sus beneficiarios en papel.

Todo evento de prestación de salud requiere del acceso a datos personales y datos sensibles que se configuran a partir de la prestación de salud recibida. Tales datos normalmente residen en la ficha médica, a la cual solo la paciente y sus prestadores de salud tienen acceso, y no son consignados en forma detallada en las certificaciones recibidas, que solo contemplan la información mínima para identificar a la paciente y su evento de inmunización. La digitalización de los certificados de vacunación va acompañada de un aumento de la cantidad de datos recogidos e incrementa la posibilidad de generar eventos de acceso no autorizado a esa información para propósitos que pueden ser completamente distintos a los originales, es decir, información de continuación de prestaciones de salud y prueba de inmunización. Creado el antecedente digital, y al forzar a la población a circular con esta información en sus dispositivos digitales, el riesgo de pérdida de control, derivado de usos no relacionados al tratamiento de salud, se extiende exponencialmente.

Los pases de movilidad proponen un caso de uso tanto más problemático, ya que intentan asociar a un episodio (o varios) de inmunización a un diferencial en cuanto a las posibilidad de ejercer la libertad de movimiento sin restricciones, en comparación de aquella limitada para las personas no inmunizadas. Los pases de movilidad se basan en una inferencia de riesgo menor de infección y contagio basado en el episodio de inmunización. Para que esa inferencia sea sólida, debe sostenerse en evidencia científica de cuál es el nivel de disminución de riesgo de contagio y de propagación del virus que la inmunización genera. En Chile, la Universidad de Chile ha indicado que ese riesgo se sitúa en el 56,5% como promedio para las vacunas en actual utilización en Chile. Mientras, el Ministerio de Salud declara que la vacuna SINOVAC (con la que mayoritariamente ha sido inmunizada la población nacional) tiene 67% de efectividad para prevenir Covid-19 sintomático. Es decir, incluso en la cifra más optimista, 3 de cada 10 personas vacunadas aún se encuentran en riesgo de contraer y transmitir COVID-19.

Avanzando en la trilogía, los pasaportes de inmunidad buscan generar un grado de certeza que permita la circulación de la población y la reactivación de las actividades económicas y sociales, incluso en el tránsito internacional. Su emisión depende de la existencia de métodos de medición de los grados de inmunidad desarrollada por la población frente a una enfermedad infectocontagiosa. Su objetivo es precisamente discriminar entre aquellos que cuentan con inmunidad y quienes carecen de ella, asignando consecuencias de movilidad y oportunidades de empleo a esa clasificación. Así, buscan imponer una restricción artificial sobre quién puede participar en actividades sociales y económicas, y quién no. Es por ello que las expertas llaman la atención acerca del riesgo de que los pasaportes de inmunidad creen un incentivo perverso para que las personas busquen infectarse, especialmente las más vulnerables, que no pueden permitirse un período de exclusión de la fuerza laboral, agravando las desigualdades sociales preexistentes. La OMS expresó en 2020 su preocupación por el desarrollo de pasaportes de inmunidad, advirtiendo la información insuficiente acerca del desarrollo de anticuerpos para el SARS-CoV-2, con los riesgos de errónea clasificación de los niveles de inmunidad de la población que ello podría implicar. En la actualización provista en mayo de 2021, la OMS vuelve a repetir que la evidencia sobre la respuesta inmune y su duración respecto de la infección de Covid-19 o su inmunización no se encuentra suficientemente comprendida a la fecha, con lo cual la correlación de su efecto de protección no puede ser aún establecida.

Para evitar las críticas internacionales a que han sido sujetos los pasaportes de inmunización, como el renombrado pase verde de la Unión Europea, en Chile las autoridades han optado por la nomenclatura de “pase de movilidad” que como vimos más arriba se encuentra sujeto a las mismas incertidumbres en la comunicación de riesgo que los pasaportes de inmunidad: ambos hacen inferencia hasta ahora no asentadas en evidencia científica de nivel de riesgo de contraer y contagiar el SARS-CoV-2.

Problema con la comunicación de riesgo

Tal como lo ha destacado el European Data Protection Board (EDPB) al emitir su opinión sobre la propuesta de certificado verde para la Unión Europea, “parece haber poca evidencia científica que respalde el hecho de que haber recibido una vacuna COVID-19 (o haberse recuperado de COVID-19) otorga inmunidad y por cuánto tiempo dura. Por lo tanto, el Certificado Verde Digital debe entenderse simplemente como una prueba verificable de una solicitud o historial médico fáctico con sello de tiempo que facilitará la libre circulación de los ciudadanos de la UE debido a su formato común en todos los Estados miembros. Sin embargo, advertimos derivar conclusiones sobre inmunidad o contagio, ya que una opinión científica consolidada aún está pendiente”.

Por su parte, el Ada Lovelace Institut ha advertido que los pasaportes digitales no deben implementarse mientras se desconoce tanto sobre COVID-19, particularmente el efecto de diferentes vacunas (y regímenes de vacunación) sobre la transmisión, la duración de la protección y la generalización de esos efectos. En otras palabras, el pasaporte de vacunación se basa en la premisa de que el estado de “vacunada” dice algo sobre el riesgo que una persona representa para otros, no simplemente el riesgo que cada persona enfrenta de contagiarse. “En la actualidad, el estado de vacunación no ofrece evidencia clara o concluyente sobre el riesgo de un individuo para otros a través de la transmisión. El estado de vacunación nunca puede ofrecer evidencia absolutamente concluyente del riesgo de un individuo para otros (o su propio riesgo), ya que ninguna vacuna será 100% efectiva para el 100% de los receptores”.

La consecuencia más grave sobre este error en la comunicación de riesgo, el incremento en la circulación del virus y el aumento en el nivel de contagios consecuente, fue denunciada en Chile por el Colegio Médico y un número relevante de Asociaciones Médicas al realizarse el anuncio de despliegue del pase de movilidad por el gobierno de Chile. Dos semanas luego de su implementación, la evidencia del aumento de casos a nivel nacional, con alrededor de 50 mil casos activos, parece respaldar que un relajamiento de la movilidad no se justifica ni siquiera con un programa de vacunación exitoso.

No se trata de poner en cuestión la utilidad de las vacunas que indudablemente reducen el riesgo de contraer la enfermedad o de presentar sus síntomas más severos. El cuestionamiento a los pases de movilidad o certificaciones de inmunidad no tiene nada que ver con la defensa al “derecho a no vacunarse” que algunos individuos han intentado enarbolar, de lo que se trata es de entregar información adecuada a la población que evite el relajamiento de las medidas sanitarias de distanciamiento social, uso de mascarillas e higiene de manos que siguen siendo esenciales para contener la pandemia.

Tristemente, aquí nos encontramos no solo frente a un problema de oportunidad que ha sido el ángulo enfatizado desde la comunidad científica, sino que, junto a la falta de certeza científica acerca de la predicción de riesgo que acompaña a la inmunización, se sitúa un problema social relacionado con cómo los pases de movilidad, los certificados de vacunación digital o los certificados de inmunidad pueden terminar transformándose en instrumentos de discriminación en el ejercicio de derechos, cuyos impactos negativos se extiendan a los ya dolorosos efectos económicos y sociales que afectan a sectores más vulnerables.

Discriminación en el ejercicio de derechos

No es casualidad que al inicio de la pandemia la Comisión Interamericana de Derechos Humanos (CIDH), a través de su Resolución 1/20 “Pandemia y Derechos Humanos en las Américas”, recomendó a los Estados de la región “adoptar de manera inmediata e interseccional el enfoque de derechos humanos en toda estrategia, política o medida estatal dirigida a enfrentar la pandemia del COVID-19 y susconsecuencias, incluyendo los planes para la recuperación social y económica que se formulen. Estas deben estar apegadas al respeto irrestricto de los estándares interamericanos e internacionales en materia de derechos humanos, en el marco de su universalidad, interdependencia, indivisibilidad y transversalidad, particularmente de los DESCA”.

Desde un punto de vista individual, un pase de movilidad registra datos de salud privados, ¿cómo se protege esta información? ¿Cómo se previene el riesgo de fraude o falsificación? ¿Cómo se previenen violaciones de la privacidad? Desde un punto de vista social, la adopción de pases de movilidad tiene impactos concretos en el ejercicio de la libre circulación, el derecho a reunión e incluso sus impactos pueden extenderse al acceso a las oportunidades de empleo.  Estos pasaportes no deberían resultar en una herramienta de control social que restrinja la movilidad de la población en contextos de disidencia política o en una herramienta adicional para imponer restricciones abusivas a la migración, por nombrar solo algunos de los potenciales impactos negativos de estas implementaciones.

La creación de un pase de movilidad genera una indudable tentación para las empresas de condicionar el acceso a oportunidades de empleo a la titularidad de estos, en el marco de una campaña de vacunación que aún no alcanza la universalidad y, repetimos, cuyas condiciones de duración de inmunidad no se encuentra científicamente determinada aún. Un uso de este tipo tendrá consecuencias indudables de discriminación, pero también desafíos logísticos en torno a cómo se realizan las verificaciones de los pases y cómo se vigila que continúe la adopción de otras prevenciones sanitarias como el distanciamiento social y uso de mascarillas. El pase de movilidad puede fomentar una falsa sensación de seguridad, ya sea en su titular o en otras personas (como su empleador) y aumentar, en lugar de disminuir, los comportamientos de riesgo. Existe vasta experiencia previa desde la normativa de protección de los derechos de los trabajadores acerca de los riesgos de permitir decisiones de empleo atendidas a condiciones de salud, o de riesgos de salud derivados de condiciones de trabajo inadecuadas. Y esa experiencia será útil para calibrar los derechos en juego.

Otra forma palpable de discriminación que presentan las certificaciones de vacunación e inmunidad o los pases de movilidad digital está precisamente asociada a su carácter digital. Nuevamente, sin condiciones de conectividad universal a internet aseguradas para la población general, habilidades digitales limitadas en algunos segmentos o baja disponibilidad de dispositivos inteligentes, grupos de la población con acceso limitado a la tecnología por cualquiera de estos factores quedarán excluidas de su uso.

Estos riesgos fueron claramente anotados además en una recomendación específica emitida el año pasado por la CIDH en su Resolución 4/20 sobre los “derechos humanos de las personas con Covid-19”: “los Estados deben abstenerse de utilizar los datos sobre el estado de salud de las personas con COVID-19 para expedir certificaciones de inmunización que generen una diferencia de trato injustificada en el disfrute y ejercicio de otros derechos”.

Entonces avanzando un paso más en el análisis de necesidad, proporcionalidad y legalidad que exigen los estándares interamericanos de derechos humanos, ¿cuál es el marco de legalidad que acompaña al pase de movilidad en Chile? Sin una ley de protección de datos personales actualizada, con pocas certezas de como se manejan los datos de comisaría virtual y la opaca implementación de CoronApp previamente criticada por Derechos Digitales, la política pública desplegada tampoco ha sido acompañada de ningún tipo de certeza acerca de cómo los datos que son recogidos para generar el certificado digital serán procesados, accedidos (y por quién) o cómo será limitado su uso para otros fines.

Por último, las certificaciones de vacunación e inmunidad digital o los pases de movilidad pueden ser una distracción tentadora. Su desarrollo implica costos de oportunidad importantes desde una perspectiva de recursos públicos, lo que implica dejar de usar esos mismos recursos en otras intervenciones. Sin embargo, su utilidad específica para la pandemia se encuentra temporalmente limitada, ya que es esperable que con los programas de vacunación y la circulación del virus se alcance más temprano que tarde la inmunidad de grupo. ¿Vale la pena sacrificar derechos y libertades si una vez que haya inmunidad colectiva estos instrumentos de discriminación no tendrán sentido sanitario? ¿Qué haremos entonces con estas infraestructuras de control puestas en marcha? ¿Serán ellas desmanteladas? ¿Cómo aseguramos que los datos por ellas recogidas no sean extendidos a otros usos secundarios de control social? 

¿Quién defiende tus datos? Cómo protegen la privacidad de sus clientes las compañías proveedoras de internet

En una sociedad hiperconectada, donde gran parte de nuestras vidas transcurre en línea (y más todavía en un contexto de pandemia y cuarentena), la manera en que las empresas de telecomunicaciones protegen nuestra privacidad es un condicionante para nuestro desarrollo, conforme a un sistema democrático y respetuoso de los derechos humanos.

En este contexto, ¿Quién defiende tus datos? cobra especial relevancia. Se trata de un estudio realizado por Derechos Digitales con apoyo de la Electronic Frontier Foundation, que analiza las prácticas de las principales compañías proveedoras de internet en Chile.

En la cuarta edición del reporte, el balance es positivo: nos alegra ver cómo ha subido el estándar de la industria, a pesar de que ello dependa en gran medida de su autorregulación. Este año mantuvimos los criterios de evaluación utilizados en la versión pasada del informe, optando por analizarlos desde un estándar más crítico, lo que por un lado nos permitía ver si las empresas que ya cumplían optaban por continuar mejorando, así como darles tiempo a las empresas más atrasadas para ponerse al día.

Afortunadamente, la tendencia general ha sido a la mejora de las prácticas de las compañías en comparación a años anteriores.  Por tercer año consecutivo, Claro Chile es la empresa mejor posicionada y es la que cuenta con el mejor informe de transparencia entre las empresas estudiadas. Le siguen WOM y Entel. El criterio más estricto de evaluación hizo que algunas empresas disminuyeran su puntaje a pesar de tener un grado de cumplimiento similar al del año anterior, como en el caso de WOM.

Resulta gratificante también ver la evolución de compañías como GTD Manquehue, que pasaron de no tener política de privacidad, informe de transparencia ni protocolos, a elaborar y hacer públicos dichos documentos. Situación similar a la de Movistar, que progresa de tener 1 estrella en la versión anterior a tener 3,25 este año, donde se destaca su transparencia, al ser la única que da a conocer públicamente las alianzas públicas y privadas que tiene en materia de investigación y los términos en que se desarrollan dichas iniciativas.

El caso de VTR nos parece preocupante, pues la compañía ha demostrado escaso interés por mejorar sus prácticas de transparencia y protección de derechos hacia sus clientes. VTR no ha hecho eco de cuestiones básicas como fechar su política de privacidad y es la única empresa que no cuenta con un informe de transparencia actualizado, además de otorgar los datos personales de los clientes para efectos de publicidad o comunicaciones comerciales.

Con todo, la mejora generalizada mostrada por el resto de las empresas de telecomunicaciones demuestra que  ¿Quién defiende tus datos? ha resultado ser una valiosa herramienta para incentivar a los proveedores de internet a perfeccionen sus estándares de protección y transparencia, además de ser una buena instancia para la discusión académica acerca de los desafíos en la autoregulación de estas empresas en la oferta de sus servicios, más allá del marco regulatorio que fija la línea de base en la materia.

Puedes revisar el reporte aquí. El video del lanzamiento se encuentra disponible acá.

¿Quién defiende tus datos? 2021

Descargar PDF

Cuarta edición del reporte ¿Quién defiende tus datos? evaluación periódica realizada por Derechos Digitales sobre el modo en que las compañías proveedoras de internet defienden la privacidad de sus clientes en Chile.

Contra el tratamiento abusivo y desleal (*) de nuestra información personal: Sociedad civil por una autoridad autónoma de protección de datos personales en Chile

Las organizaciones e individuos firmantes expresamos nuestro rechazo y preocupación por la postura del Consejo para la Transparencia (CPLT) pronunciada el pasado 30 de abril de 2021, mediante el oficio N°127, mediante el que se dio respuesta a un requerimiento de ATELMO (Asociación de Telefonía Móvil A.G.), marcando un precedente relevante y problemático.

ATELMO solicitó el pronunciamiento del organismo respecto de la legalidad de dos acciones que ha realizado Subtel: 

La primera acción tiene que ver con las disposiciones establecidas en el Reglamento y la Norma Técnica para la implementación de la ley sobre obligación de una velocidad mínima garantizada de acceso a internet (Ley Nº 21.046), mediante las que SUBTEL pretendía llevar a cabo un intensivo tratamiento de datos personales de suscriptores de empresas de telecomunicaciones. 

Respecto de ese requerimiento, el CPLT señaló que no existiría una base de legalidad que habilite a la SUBTEL para efectuar el tratamiento de datos personales y sensibles recolectados por el Organismo Técnico Independiente sin consentimiento de los titulares, pretendido mediante el Reglamento y la Norma Técnica de la Ley Nº 21.046 dictados por el mismo organismo público.

La otra acción está vinculada al requerimiento de ATELMO contra la entrega de datos personales por SUBTEL para la realización de encuestas de satisfacción. El CPLT manifestó que existiría base legal para que SUBTEL solicite a las empresas de telecomunicaciones que le entreguen datos personales de sus clientes con el objeto de llevar a cabo estas encuestas, y que procedería no solo pedir la entrega datos de 15 millones de suscriptores, sino entregarlos a las empresas encuestadoras. 

Frente a esta posición, las organizaciones de la sociedad civil firmantes consideramos que:

  1. Es preocupante que un organismo público como SUBTEL puede exigir a empresas privadas todos los números de teléfono asociados a sus clientes con el propósito de realizar encuestas de satisfacción y que ello sería conforme a la ley. Se trata de una autoridad pública autorizando un traspaso gigante de datos personales y sentando precedente para que ello pueda ser replicado por otros organismos públicos.
  2. Si bien la ejecución de encuestas de satisfacción podría enmarcarse en el ejercicio de las atribuciones que le confiere la ley a SUBTEL, ésta no es la única forma para lograr su cometido, existiendo medios menos invasivos y que deben ser preferidos para resguardar la privacidad y la protección de los datos personales de la población. No se necesita esa cantidad de información  para realizar encuestas.
  3. La Ley Nº 19.628 indica que el tratamiento de datos personales por parte de un organismo público solamente puede realizarse con autorización legal, respecto de materias de su competencia, y para ello no sería necesario el consentimiento de su titular (artículo 20). Sin embargo, ello no supone concluir que SUBTEL cuenta con una base de legalidad habilitante para requerir a las empresas de telecomunicaciones la cantidad de datos que pretende, ni menos aún entregar a un tercero su tratamiento. Al verse involucrados los derechos fundamentales de las personas titulares de estos datos, necesariamente su aplicación debe ser restrictiva (artículo 19 Nº 4 de la Constitución Política de la República).
  4. Si a lo anterior sumamos el hecho de que el CPLT tiene dentro de sus atribuciones velar por el adecuado cumplimiento de la ley de protección de los datos personales, por parte los organismos de la administración (Art. 33 lit. m, Ley Nº 20.285), la situación se torna insostenible, especialmente considerando que ello implica ignorar el amplio desarrollo de la protección de datos personales, en particular respecto  a los principios de finalidad, proporcionalidad y seguridad.
  5. Si aceptamos que la finalidad para las que las personas autorizan el tratamiento de sus datos personales —especialmente por entes privados— puede cambiar en virtud del tratamiento de datos pretendido por un organismos públicos, entonces ¿qué pasa con una de las características esenciales de este derecho a determinar para qué se usan sus datos o, al menos, saber para qué se están usando? No es acorde con el principio que la finalidad misma cambie al arbitrio de quien trata los datos.
  6. En relación con el principio de proporcionalidad, no es posible aplicarlo a las técnicas de investigación estadística en sentido estricto. Como es presentado en el oficio, el principio excusa al CPLT para no hacerse cargo de limitar el actuar abusivo de la SUBTEL. Como bien señala el voto de disidencia, en virtud de este principio, el volumen y naturaleza de los datos recolectados debe tener relación con el objetivo buscado, de manera que los datos solicitados por la SUBTEL debieron limitarse a los estrictamente necesarios para la realización de las encuestas de satisfacción. No creemos que dicho límite sea de aquellas cuestiones que solo puede ser llevada a cabo por organismos técnicos dedicados a la realización de encuestas.
  7. El oficio desconoce la necesidad de cumplir con medidas estrictas para cubrir el principio de seguridad, exponiendo una cantidad enorme de datos a riesgos de vulneración. Esto va más allá del quiebre de los deberes de confidencialidad, pues se trata de las personas que nos encontramos detrás de cada uno de esos datos personales, cuyo posterior tratamiento y transferencia a terceros quedan fuera de nuestro conocimiento y control.

Este caso visibiliza las limitaciones en las facultades y los recursos de la institucionalidad actual. Los esfuerzos del CPLT hasta la fecha no son suficientes y necesitamos con urgencia un órgano especializado en la protección de datos personales con facultades de fiscalización, recursos suficientes e independencia constitucionalmente garantizada. 

Actualmente, cuando  gran parte de la vida cotidiana de millones de personas en Chile depende de los servicios de telecomunicaciones y de las plataformas digitales de servicios, es preocupante que el proyecto de ley que viene a modernizar la actual ley sobre protección de datos personales se encuentre durmiendo en el Senado desde hace más de un año, sin ningún avance en la materia. Como organizaciones firmantes hacemos un llamado a poner suma urgencia a finalizar su tramitación. 

Chile tiene una oportunidad histórica de redactar hoy una Constitución para el siglo XXI y avanzar, al mismo tiempo, hacia una regulación acorde a los cambios tecnológicos, poniendo en primer lugar a las personas  y garantizando la efectiva protección de sus derechos fundamentales. Esperamos que el poder político aproveche esta oportunidad.

Si tu organización quisiera suscribir a esta carta, haz clic aquí. 

ORGANIZACIONES FIRMANTES 

Derechos Digitales

Fundación Datos Protegidos

Fundación Abriendo Datos

* El término desleal hace alusión al concepto “leal”, que en esta situación debe entenderse dentro de los principios de licitud, lealtad y transparencia.

Neuroderechos para qué, maldita sea

El pasado 21 de abril, el Senado chileno aprobó de forma unánime el proyecto de reforma constitucional para la incorporación de los “neuroderechos”. Así, Chile está en posición de convertirse en el primer país del mundo en contar con una legislación específica que garantice el derecho a la “neuroprotección”.

Pero lo que a primera vista podría parecer una buena noticia es, en el mejor de los casos, un avance cuestionable, que poco contribuye a la consolidación del sistema universal de protección de los derechos humanos, que ha tomado 75 años construir, instalar y fortalecer.

Neuroderechos: ¿qué y para qué?

A nivel internacional, el mayor promotor de la necesidad de avanzar en la protección de los neuroderechos es Rafael Yuste, neurobiólogo español, cuya propuesta ha encontrado gran eco en Chile, particularmente en el Senador Guido Girardi, miembro de la comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado. Juntos presentaron en octubre de 2020 dos proyectos de ley: el primero, la reforma constitucional recientemente aprobada por el Senado. El segundo, un proyecto de ley “Sobre protección de los neuroderechos y la integridad mental, y el desarrollo de la investigación y las neurotecnologías”.

Pero, ¿qué son exactamente los neuroderechos y por qué requerirían protección especial? No es una pregunta fácil de responder. El proyecto original presentado por Guirardi junto a Carolina Goic, Francisco Chahuán, Alfonso de Urresti y Juan Antonio Coloma señala que la finalidad es proteger la “dignidad humana” frente al uso de nuevas tecnologías, particularmente aquellas que tienen por objeto el “cerebro humano”, que “no se agota sólo en una dimensión física, sino que más bien se expande hacia su dimensión de potencialidad mental que envuelve los misterios de la existencia humana”. En lo concreto, el proyecto alude al derecho a la privacidad de los “neurodatos”, a la identidad personal y la autodeterminación, a la igualdad frente al aumento de capacidad cerebral y al control de sesgos de los algoritmos. Dentro de las preocupaciones mencionadas como detonantes del proyecto, se señala “la posibilidad de leer la actividad neuronal” y los anuncios realizados por la empresa Neuralink de Elon Musk .

Si bien es cierto que las neurotecnologías han avanzado de forma importante durante los últimos años, particularmente en el ámbito de las interfaces cerebro-computadores, y que empresas como Neuralink han hecho una serie de anuncios rimbombantes sobre las posibilidades más inmediatas del desarrollo de sus productos, la verdad es que la tecnología se encuentra todavía en un estado embrionario y los miedos específicamente estipulados en el proyecto de ley están lejos de poder materializarse.

Pero incluso si aceptamos la posibilidad de que en el futuro la manipulación neuronal sea algo cotidiano, lo cierto es que el proyecto parte de la premisa errada de que se requiere una protección nueva y especial para los neuroderechos frente a “las nuevas amenazas que el avance científico y tecnológico envuelve”.

La Constitución Política de la República de Chile, en el número 1º de su artículo 19º, garantiza “El derecho a la vida y a la integridad física y psíquica de la persona”, redacción que incluye la protección de cualquier potencial “neurodato” y resguarda por si misma el concepto de los “neuroderechos”. Si existiera una genuina preocupación por la protección de los derechos de las personas en relación con su indemnidad física y psíquica, el texto constitucional actual ofrecía suficientes garantías.

Sin embargo, el proyecto original buscaba la modificación del articulado de la siguiente manera:

“La integridad física y psíquica permite a las personas gozar plenamente de su identidad individual y de su libertad. Ninguna autoridad o individuo podrá, por medio de cualquier mecanismo tecnológico, aumentar, disminuir o perturbar dicha integridad individual sin el debido consentimiento. Sólo la ley podrá establecer los requisitos para limitar este derecho y los que debe cumplir el consentimiento en estos casos.

El desarrollo científico y tecnológico estará al servicio de las personas y se llevará a cabo con respeto a la vida y a la integridad física y psíquica. La ley regulará los requisitos y condiciones para su utilización en las personas, debiendo propender especialmente al resguardo de la actividad cerebral, así como la información proveniente de ella”.

Así, mientras la Constitución chilena ofrece una garantía absoluta al “derecho a la vida y a la integridad física y psíquica”, la redacción propuesta debilitaba este derecho al incorporar dos excepciones: el consentimiento y la ley. Es decir, que el derecho a la indemnidad física y psíquica podría ser limitado en virtud de la voluntad del propio perjudicado o mediante una ley que estableciera los requisitos de tal limitación y del consentimiento de las personas.

Afortunadamente, gracias a la valiosa colaboración de expertos y expertas durante la discusión del proyecto, y a las indicaciones presentadas por distintos parlamentarios, el texto fue modificado. Sin embargo, se mantuvo el segundo párrafo que incorpora la noción de que “[l]a ley regulará los requisitos y condiciones para su utilización en las personas”. Por vía interpretativa, es posible argumentar que esta inclusión solo se justifica si entendemos que mediante la ley se podría limitar el derecho en cuestión. De lo contrario, bastaba con el texto actual.

Una cuestión parecida ocurre con el segundo proyecto ingresado por Guirardi, que en vez de proteger a las personas de ser objeto de intervenciones no consentidas mediante la —innecesaria— incorporación de un “nuevo” derecho, abre la discusión sobre la intervención forzosa, mediante la incorporación de una serie de excepciones.

Lejos de ser una cuestión anecdótica, los proyectos tienen un potencial de daño y erosión de los derechos fundamentales que requiere atención, así como la deficiente técnica legislativa empleada y la finalidad ambigua que persiguen. Más todavía cuando estamos ad-portas de escribir una nueva constitución; la sospecha de que se trataría de una manera de presionar por la instalación de esta discusión en la nueva Carta Magna no es injustificada.

Los intentos por introducir nuevos conceptos nacidos de la euforia que producen las tecnologías de moda son nocivos por dos razones: en primer lugar, desvían energía y recursos que serían mejor aprovechados si los invirtiéramos en garantizar una mejor protección de los derechos hasta ahora reconocidos en nuevos contextos de desarrollo científico y tecnológico. En segundo lugar, nos empujan a una espiral inflacionaria en la que cada nuevo desarrollo tiene el potencial de cuestionar la vigencia de las protecciones ofrecidas por el sistema universal de los derechos humanos.

Así, la regulación de los neuroderechos palidece en urgencia si la comparamos, por ejemplo, con la paupérrima protección de los datos personales en nuestro país, y que hoy habilita el perfilamiento y la discriminación de personas.  La postergada modificación a la ley de datos personales podría ayudar a la protección no solo de los “neurodatos”, sino de los datos personales de cualquier tipo y, sin embargo, el proyecto acumula polvo en el Congreso desde 2017. Se trata de una necesidad que ha sido señalada en múltiples ocasiones por todas las expertas y expertos en la materia, y cuyos impactos no son potenciales como los de las neurotecnologías, sino tremendamente concretos.

Rafael Yuste propone que la protección de los “neuroderechos” debiese estar al nivel de los derechos humanos. Esta afirmación debería levantar escepticismo respecto a la comprensión que tiene Yuste de la problemática a nivel de derechos y cómo abordarla, pues evidencia ignorancia respecto a los desarrollos en torno a los conceptos de autonomía, dignidad humana y autodeterminación, que han forjado el centro del sistema universal de derechos humanos.

Puede ser que la propuesta nazca de una preocupación honesta y bienintencionada, pero cuando se aborda ignorando 75 años de desarrollo de la protección de derechos humanos —como en el caso chileno— lejos de ofrecer solución a problemas inexistentes, genera riesgos reales e innecesarios.

No podemos pretender reinventar la rueda a cada rato. No es cierto que cada nuevo desafío tecnológico ponga en entredicho derechos y principios que, por su esencia, son posibles de actualización y refinación permanente. Enfoquemos nuestros esfuerzos en los problemas que enfrenta la ciudadanía hoy, con soluciones efectivas y eficientes.

Artificios “inteligentes” y la falta de inclusión en América Latina

El pasado lunes 19 de abril, Derechos Digitales presentó públicamente la iniciativa Inteligencia Artificial e Inclusión en América Latina. El proyecto incluye estudios desarrollados por especialistas en cuatro países de la región sobre la implementación de sistemas tecnológicos con aspectos de automatización a partir del sector público.

Hasta el momento, las características de este tipo de despliegue tecnológico en la región han sido escasamente documentadas. Sin embargo, más rápido que cualquier análisis, la implementación de tecnologías digitales sigue avanzando silenciosamente, con pocos espacios de debate y participación ciudadana. Así lo evidencian los casos analizados en Brasil, Chile, Colombia y Uruguay.

Es preocupante observar cómo antes de enfrentar los desafíos relacionados a la digitalización y al establecimiento de procedimientos adecuados de gobernanza de datos, los gobiernos se empeén en automatizar procesos por medio de sistemas tecnológicos que agregan nuevas capas de complejidad y opacidad. Aún más cuando pueden afectar derechos fundamentales como a la asistencia social, el empleo, la justicia o la salud; o culminar en intervenciones discriminatorias en la vida de las personas por parte del Estado.

Un nuevo fetiche

A partir de los casos analizados, una de las primeras cuestiones que llama la atención es la adopción de tecnologías que, antes de su despliegue, carecían de cualquier evidencia sobre su necesidad o utilidad. Es decir, se desarrollan e implementan “soluciones” a problemas insuficientemente descritos, pues en general no existe un diagnóstico previo que las justifique.

Esta falta de diagnóstico resulta crítica en tres aspectos: 1) a qué finalidad sirve la solución tecnológica específica (incluido el análisis de su adecuación al problema),  2) la preparación en el aparato administrativo para su implementación y 3) la capacidad de la ciudadanía de comprender los efectos de la solución tecnológica. Como consecuencia, la implementación de sistemas tecnológicos complejos resulta por sí sola problemática frente a un contexto insuficientemente preparado para su despliegue e impotente frente a su funcionamiento.

En los cuatro países analizados, la manera en que implementadas las distintas iniciativas revela una importante discrecionalidad y ausencia de planificación sobre el uso de tecnologías a nivel gubernamental. Por cierto, esta condición refleja una tendencia a nivel regional más allá de los cuatro países inicialmente considerados en nuestra investigación.

La característica común parece ser una aproximación de «solucionismo tecnológico»: la expectativa de que la tecnología digital sea solución a complejos problemas políticos y sociales. En este sentido, la enorme promoción a nivel global de tecnologías de inteligencia artificial las convierte en objeto de deseo para servidores públicos dispuestos a poner en riesgo a la ciudadanía para satisfacer la imagen de un Estado fuerte y moderno, independientemente de sus reales capacidades “inteligentes”.

Los cimientos del sistema

Si bien la innovación a nivel estatal es bienvenida y puede ser útil para lidiar con problemas de la gestión pública, es inaceptable que iniciativas que puedan implicar el acceso y procesamiento de inmensas cantidades de datos personales no pasen por discusiones previas y sin contar con un marco de legalidad adecuado. Pese a la ausencia de una discusión específica sobre la implementación de sistemas automatizados, los marcos normativos para lidiar con la protección de datos en los países analizados son todavía muy desiguales.

Como es sabido, el marco de protección de datos personales es demasiado limitado para regular sistemas de inteligencia artificial, pues apunta apenas a una arista de los mismos: la recolección y tratamiento de la información sobre personas naturales. No obstante, es ese ámbito del derecho donde, por su conexión con nuevas e intensas formas de procesamiento, se observan avances normativos, como garantías específicas para favorecer la “explicabilidad” de decisiones automatizadas o para integrar la revisión humana de esas decisiones. El intento brasileño de incorporar ambos aspectos en su normativa, detenido por veto presidencial, revela una importante falta de voluntad política por poner los intereses de la ciudadanía por encima de los imperativos de las industrias de tecnología, lo que seguramente no es exclusivo de un país.

Al mismo tiempo, la existencia de normas de protección de datos en los cuatro países analizados no han asegurado que los principios y reglas de la temática estuvieran en el centro de la atención estatal. Por el contrario, una característica común es la variación en la base legal para el tratamiento de datos, con el consentimiento como un factor a veces relevante, pero a menudo con bases de datos distintas y autorizaciones legales difusas para la inclusión de información desde diversas fuentes. Es decir, el aparato público extiende su función a partir de su legitimidad legal, sin tomar los debidos resguardos en obtener el consentimiento de las personas que se convierten en objeto de intervención estatal.

Esta es la clase de razones que explicitan la demanda no solo de una normativa para la fiscalización de los datos personales, sino de una autoridad pública de control, dedicada, especializada y con atribuciones para intervenir en la acción de otras agencias estatales si fuera necesario.

Pero como hemos dicho, la regulación de datos personales es apenas una arista. Parte importante de la acción estatal pasa por el estímulo a la inteligencia artificial, entendida como una vía de desarrollo industrial nacional. No obstante, esto tampoco es suficiente sin una visión completa sobre los distintos aspectos que confluyen en esta problemática. Si, por un lado, algunos gobiernos tratan de propagar sus principios o estrategias generales de inteligencia artificial, por otro, hay muy poca especificidad en cómo esos documentos guiarán la implementación de tecnologías desde el sector público. Por ejemplo, cuál será la importancia que darán a los derechos fundamentales y la transparencia.

Opacidad sin límites

Quizás uno de los problemas más relevantes que observamos cuando se trata de la adquisición estatal de tecnologías es la ausencia o insuficiencia de mecanismos para la integración directa de los intereses de la ciudadanía. En otras palabras: la falta de análisis conjunto con actores relevantes del sistema de forma previa a cada despliegue, la ausencia de mecanismos de control compartidos por intereses multisectoriales y la carencia de mecanismos de evaluación posterior.

Las falencias son múltiples: a la opacidad tradicionalmente asociada a sistemas de decisión automatizada, se suma la exclusión de la participación pública en el despliegue de los sistemas y la ausencia de mecanismos abiertos y transparentes de evaluación en la consecución de sus fines.

Los problemas que derivan de esa opacidad potenciada son también numerosos y conllevan, incluso, la insuficiencia de perspectivas diversas sobre los posibles impactos. La decisión pública sustentada únicamente en máquinas resulta una forma extrema de tecnocracia, que puede erosionar la legitimidad del aparato estatal y pone en discusión la real vinculación con los problemas que en teoría están destinados a abordar.

Hacia una agenda de gobernanza desde los gobernados

A partir de la recolección de datos empíricos sobre la implementación de sistemas automatizados o semi-automatizados es posible buscar factores comunes que faciliten, con base en el Sistema Interamericano de Derechos Humanos, una inminente discusión sobre el desarrollo de estándares regionales para su uso. Estos deberán orientar la producción de marcos normativos que hagan de la implementación de tecnologías, desde lo público, una expresión de las aspiraciones de la ciudadanía sobre el Estado, y no de las aspiraciones de una modernidad vacía.

Pero este es apenas un paso inicial y el desarrollo normativo está lejos de responder a los inmensos desafíos que se presentan. Derechos Digitales seguirá trabajando para generar evidencia y explorando nuevos espacios de diálogo sobre el desarrollo futuro de la tecnología en América Latina.

Revisa Inteligencia Artificial e inclusión aquí.

Desentrañando la vigilancia que llegó junto a la pandemia

En marzo de 2020, en un par de semanas, varios países de América Latina confirmaron sus primeros casos de Covid-19 y adoptaron medidas para evitar la propagación. Luego de que la Organización Mundial de la Salud (OMS) declaró la pandemia del virus, comenzaron los esfuerzos de confinamiento obligatorio en la región, y también en Chile.

En el marco de la iniciativa “Sonríe #estamosvigilando”, coordinada por el Centro por la Justicia y el Derecho Internacional (CEJIL), el pasado 18 de marzo presentamos solicitudes de acceso a la información pública para conocer los aspectos asociados a las tecnologías utilizadas por el gobierno, CoronApp y el sitio web Comisaría virtual (comisariavirtual.cl). El objetivo es identificar las prácticas que busquen garantizar la transparencia y la protección de los derechos humanos frente a la ejecución de tecnologías de gestión de la información durante este periodo, además de saber cuánto se dirige a fines sanitarios, y cuánto a crear nuevas formas y mecanismos de vigilancia.

A medida que la pandemia ha avanzado, los Estados y los actores privados se han apresurado en implementar soluciones tecnológicas que prometen identificar y rastrear el virus para contenerlo. Pero, al mismo tiempo, estas soluciones recogen información que es útil para vigilar y seguir a las personas mediante datos telefónicos, reconocimiento facial, cámaras, georreferenciación, control de la temperatura y otros. En este proceso, las aplicaciones conservan datos personales y sensibles sin las suficientes garantías para su protección o tratamiento. Por esto, a raíz de los riesgos que presentan para los derechos humanos, resulta necesario saber las condiciones de diseño e implementación.

Tanto CoronaApp como el sitio web Comisaría virtual proponen varias funcionalidades sin dar a conocer cuál es su utilización real y, como Derechos Digitales ha destacado desde su activación, parecieran ser problemáticas. De acuerdo a la legislación vigente en Chile, los datos necesarios para activar la aplicación o para obtener permisos y salvoconductos en comunas con restricciones de movilidad, cada vez que dan cuenta del estado de salud o hábitos personales del usuario se trata de datos personales o datos personales sensibles.

Esto genera dudas respecto al uso de información recabada mediante CoronaApp, en tanto se solicitan datos que permiten identificar a las personas como el nombre, DNI y edad. Lo mismo sucede con la Comisaría Virtual, pues al no existir claridad acerca de sus condiciones de procesamiento, es posible que la herramienta administrativa se convierta en un mecanismo de perfilamiento y vigilancia. Asimismo, las políticas de privacidad de dichas tecnologías no precisan las medidas de seguridad y confidencialidad según las que serán guardados estos datos, y solo abordan de manera genérica las condiciones de almacenamiento, acceso y uso de la información recolectada. Tampoco se establecen con claridad las condiciones y periodos de almacenamiento de la información, ni un procedimiento para que los titulares puedan ejercer su derecho de acceso, rectificación, cancelación u oposición de esos datos de acuerdo a la Ley Nº 19.628.

A falta de mejores resguardos normativos, la transparencia sobre las condiciones de tratamiento de datos personales se hace más relevante. Por consiguiente, hemos solicitado a los distintos organismos involucrados tanto en la implementación de dichas plataformas, como en la fiscalización y promoción de las garantías fundamentales que podrían verse afectadas por estos sistemas de recolección y uso de datos personales. Además de una serie de requerimientos de información pública sobre el uso y el impacto de estas tecnologías, para garantizar que la vigilancia no viole otros derechos fundamentales, como la privacidad, el acceso a la información, la integridad personal, o los derechos a la igualdad y a la salud.

La información sobre las políticas de privacidad existentes no es suficiente y, del mismo modo, la forma en que los datos han sido manejados a lo largo del primer año de la pandemia se torna preocupante. Entre otras cosas, solicitamos información respecto a especificaciones técnicas de las tecnologías, las finalidades específicas de la recolección y tratamiento de las distintas categorías de datos recolectados, los mecanismos y plazos de almacenamiento, los datos que son objeto de transferencia y bajo qué condiciones, así como antecedentes y evaluaciones jurídicas que den cuenta de una evaluación previa a la puesta en marcha de los sistemas.

Cuando se despliegan herramientas tecnológicas con propósitos de interés público, las medidas adoptadas deben ser transparentes, y deben ser evaluadas para determinar su eficacia e impacto en los derechos fundamentales. Esto es importante, sobre todo cuando estamos frente a un patrón de adquisición o producción de tecnologías digitales susceptibles a convertirse en factores útiles para la vigilancia como parte de las funciones estatales.

La implementación de estas herramientas no puede llevarse a cabo afectando los derechos fundamentales. Cualquier persona debería tener derecho a acceder a toda la información relevante sobre las tecnologías de vigilancia desplegadas, incluyendo el alcance, el objetivo de los datos recogidos y los resultados.