Temática: Protección de datos

Afganistán: cuando lo que compartes en internet te puede costar la vida

Una de las cosas más difíciles de tomar acciones para proteger nuestra información es convencernos de que estamos frente a un problema real, que se trata de algo cuyas probabilidades de afectarnos no son bajas y que no se trata de esas cosas que solo le pasan a los demás, nunca a nosotros. ¿A quién le puede interesar mi información? Es la típica pregunta de los escépticos, junto con el conocido “quien nada hace nada teme” o “no tengo nada que esconder”.

Pero no necesitamos ser personajes públicos para que nuestra información sea recolectada, almacenada, procesada y compartida por terceros. La tecnología actual permite el tratamiento automatizado de grandes volúmenes de datos, de manera que poco importa que los detalles de nuestra vida nos parezcan o no de interés. La información que pongamos a disposición de terceros será tratada, inevitablemente.

Todos tenemos algo que esconder, lo queramos o no. Es normal. Un placer culpable, alguna adicción, algo de lo que nos arrepintamos, aunque no sea ilegal; alguna mentira, compras irracionales, un pariente cercano que preferimos ocultar, un amante, una historia que no queremos contar, una opinión políticamente incorrecta, nuestras deudas o lo que buscamos en internet. Incluso puede ser algo que en un momento y contexto determinado era —personal y socialmente—aceptado, pero ya no.

Sin embargo, hoy, de diferentes maneras e incluso sin saberlo, compartimos nuestras vidas con internet y vamos dejando un que podría volverse en nuestra contra, con efectos que ni siquiera somos capaces de dimensionar. Esa es la situación de muchas personas en Afganistán, especialmente gente joven que nació y creció en un país ocupado por fuerzas militares estadounidenses y que, de la noche a la mañana, se vieron gobernados por un régimen que creían superado; y con ello, la necesidad de borrar todo rastro que pudiera hacerlos objeto de represalias por parte del régimen Talibán. Todo aquello que hicieron cuando las reglas eran otras.

No se trata aquí únicamente de disidentes políticos que serán perseguidos, sino de padres, madres, hijes y hermanes que serán castigados por haber apoyado a los gobiernos anteriores o incumplir reglas impuestas por fanáticos religiosos. Y aquí —cómo siempre— las mujeres son las que mayor riesgo corren, porque a ellas se les castiga simplemente por existir.

Por ello, la fundación Human Rights First ha puesto a disposición de la comunidad distintos documentos para que las personas puedan proteger su historial digital de abusos. Pero no es una tarea fácil: el trabajo de eliminación de historial implica revisar email, redes sociales, aplicaciones de mensajería, buscadores y muchas otras plataformas a las que probablemente ni siquiera recordemos haber accedido. Y en el caso de Afganistán, el solo hecho de haber creado una cuenta en una aplicación usada por organizaciones extranjeras podría ser considerado sospechoso.

Algunas de las recomendaciones

Algunas plataformas, como Google, permiten elevar solicitudes para la eliminación de información, pero debe tratarse de casos justificados relacionados con enlaces perjudiciales, por lo que no pareciera ser la medida más efectiva. En relación a las aplicaciones o páginas web cuyo uso no recordemos, una de las recomendaciones es revisar el listado de contraseñas guardadas en el navegador. Otra opción es buscar en el correo electrónico los emails recibidos al momento de registrarse en aplicaciones o páginas en internet.

Por su parte, Access Now ha puesto a disposición de las usuarias una guía para “autoidentificarse”, que sirve para hacer el camino que probablemente recorrería alguien que quisiera obtener información sobre una cuenta anónima.

Sin duda habrá quienes piensen que lo más fácil sería borrarlo todo y deshacerse del teléfono y el computador. Pero en la actualidad no tener tecnología ni vida digital resulta de por sí sospechoso. Por ello podría ser recomendable crear una vida digital paralela, para lo cual Human Rights First también dispone de un documento con recomendaciones. Aunque sin duda es algo que resulta complejo pues requiere tiempo y recursos con los que no todos cuentan en el marco de la emergencia.

Datos personales colectivos

Nuestra historia no solo se cuenta gracias a la información que nosotros damos a conocer. Cualquiera que haya sido etiquetado por Facebook en una foto subida por un desconocido sabe que su privacidad también depende de la información que comparten otras personas. Y así, por mucho que nos esforcemos por eliminar nuestro pasado digital, necesitamos de un esfuerzo colectivo. De ahí el llamado hecho en Twitter por la directora de Democracia y Tecnología de la organización National Democratic Institute, Moira Whelan, a los encargados de redes sociales del Gobierno de EEUU para conseguir permiso para purgar todas las cuentas y canales con imágenes y pies de foto de socios afganos.

El peligro existe también en aquella información que puede ser obtenida sin más intervención por nuestra parte que el hecho de salir a la calle. Tal es el caso de la tecnología de videovigilancia, la misma que en los últimos años hemos visto tomarse los espacios públicos en América Latina sin mayor resistencia, protegida por el discurso anti delincuencia. Pero esta tecnología no ataca a la delincuencia, solo invierte el principio de inocencia: todos somos sospechosos hasta que probemos lo contrario y por ello debemos aceptar ser vigilados

En el caso de Afganistán todo apunta a que los talibanes se han apoderado de los dispositivos biométricos de los militares estadounidenses y que están haciendo uso de los datos biométricos recolectados durante años para encontrar a quienes colaboraron con los gobiernos anteriores y las ONGs extranjeras. No son sospechas, son hechos: los talibanes ya comenzaron la búsqueda casa a casa de sus disidentes.

Por lo mismo, Human Rights First publicó un documento sobre cómo evitar ser reconocidos por sistemas de reconocimiento facial, aunque lograrlo es inmensamente complejo.

Todo suma

Sin duda, resulta desgastante intentar proteger nuestra información y la tentación de ceder por agotamiento está siempre latente. Resulta extenuante revisar las políticas de cookies cada vez que ingresamos a una página o discutir con desconocidos por no querer entregar nuestro número de identificación único, cuando no hay motivo para ello.

Pero eliminar información es mucho más difícil que evitar entregarla, porque aquello que compartimos con terceros suele ser compartido con otros, que a su vez la vuelven a compartir. Por eso, siempre más vale intentarlo. Aun si hasta ahora nos hemos descuidado, nunca es tarde para empezar a proteger nuestra información ni para exigir que nuestro derecho a la privacidad y a la protección de nuestros datos sean respetados.

Las puertas traseras no protegen la privacidad

Para frenar la difusión de material de abuso sexual infantil (CSAM), Apple ha anunciado importantes cambios y nuevas funcionalidades en sus sistemas, incluyendo el análisis de las imágenes enviadas y recibidas por parte del software instalado en los dispositivos, un mecanismo de clasificación de imágenes con contenido sexual para el control parental en cuentas familiares y cambios en algunas funciones de Siri y Search para bloquear términos de búsqueda que tengan relación con el abuso sexual infantil. Estas funciones, que inicialmente regirán para usuarios en Estados Unidos de las versiones más recientes de iOS, iPadOS, watchOS y macOS, sientan un peligroso precedente para la privacidad y la seguridad de las personas en todo el mundo.

El uso de sistemas de identificación de contenidos por medio de inteligencia artificial para levantar alertas supone un tratamiento por lo menos opaco del problema. Por último, aunque sea legítima la búsqueda de soluciones frente a crímenes como el abuso sexual infantil, cualquier funcionalidad técnica que permita que terceros accedan a contenidos privados pone en riesgo a todas las personas que utilizan dichos sistemas. En este caso, a quienes utilizan cualquier dispositivo conectado a internet.  

Escaneo de imágenes en el dispositivo

Una de las funcionalidades presentadas consiste en la detección de imágenes que se capturan y comparten entre dispositivos Apple mediante un algoritmo hash, es decir, una cadena fija de caracteres que identifica de manera única cada imagen.

A partir de ahora los dispositivos analizarán todas las imágenes que pasen por ellos, generarán un hash para cada una y lo contrastarán con una base de datos dispuesta por el National Center for Missing and Exploited Children(NCMEC), organización estadounidense que colabora con la justicia en la persecución de delitos de abuso sexual infantil. Así, dentro de cada dispositivo el sistema se encargará de escanear y contrastar todas las imágenes con esa base de datos, para identificar cualquier coincidencia. Una vez las imágenes se suben a iCloud, se agregan los resultados del cotejo a través del hash. Si se supera un umbral predefinido en la cantidad de coincidencias, un humano dentro de la compañía revisará manualmente el caso, luego de descifrar el contenido. Vale decir que, hasta hoy, Apple ofrece cifrado e2e en todos los contenidos que se comparten en sus sistemas.

Esta implementación es problemática porque la base de datos de hash de imágenes preparada por el NCMEC no es auditable, y si es manipulada arbitrariamente no hay manera de detectar dicho cambio, por lo que podría utilizarse, por ejemplo, para fines de persecución política, cultural o de género. Una vez el sistema está diseñado para cumplir una función, los fines y medios para ejecutarla pueden fácilmente salirse de las manos de quienes la diseñaron.

Por otra parte, existe la probabilidad matemática de que dos imágenes totalmente distintas o lejanamente similares coincidan en el hash generado, provocando falsos positivos, que solamente serán verificados luego de la intervención humana de alguien afiliado a la compañía, y habiendo roto la promesa de cifrado e2e, esto es, la promesa de privacidad sobre la que sustenta su oferta de valor.

Aprendizaje automático para clasificación de imágenes

Otra funcionalidad es la implementación de un algoritmo de aprendizaje automático que se aplicará a las cuentas de iMessage para menores de 18 años y sus tutores, en el marco de una cuenta “Familiar”. El algoritmo clasificará las imágenes, enviadas o recibidas, en cuanto al contenido sexual explícito que puedan contener. El sistema enviará una alerta a las personas usuarias menores de 18 años sobre el tipo de contenido que están compartiendo. Si la persona es menor de 13 años, el sistema alertará también a sus tutores y la imagen quedará almacenada en el dispositivo del menor, sin posibilidad de remoción.

Como se ha demostrado muchas veces en el pasado, los algoritmos de aprendizaje automático, sin supervisión humana, presentan muchos problemas de funcionamiento en la clasificación de contenidos. Así, los tutores de niños, niñas y adolescentes que no estén compartiendo contenidos sexuales explícitos pueden recibir alertas y los menores pueden ser sujetos de vigilancia e intromisión a su privacidad. Además, frente a una definición vaga de “infancia” —como menores de 18 y 13 años—existe el riesgo de atentar contra la normal expresión sexual y corporal, así como al acceso a la información, por ejemplo, en el caso de personas LGBTQ+.

Además, tal como está planteado el funcionamiento del sistema podría ocurrir la siguiente paradoja: en caso de que un menor que no tiene una cuenta Familiar enviare una fotografía calificada por el sistema como “sexualmente explícita” a un menor de 13 años que sí es parte de un plan Familiar,  la fotografía del primer menor quedaría indeleblemente almacenada en el dispositivo del segundo menor y podría ser revisada por sus tutores, sin que el emisor original lo supiera. ¿En manos de quién queda definir la legitimidad de las imágenes compartidas en el marco de una comunicación que se garantiza como privada?

Finalmente, como hemos mencionado, el desarrollo de una tecnología con fines legítimos puede ser perfectamente aplicable a otros fines. Así, la modificación mínima de parámetros en el algoritmo de aprendizaje automático permitiría identificar, bloquear y perseguir, contenidos no solamente ilegales, sino que necesarios, con fines represivos.  

Algunas conclusiones

Bajo la premisa de su compromiso en la lucha contra la explotación sexual infantil, y aunque defiendan la idea de que sus soluciones técnicas respetan la privacidad y el principio de cifrado extremo a extremo, la verdad es que Apple está abriendo una brecha de seguridad importante, con el potencial de atentar contra el derecho a la intimidad de niños, niñas y adolescentes, así como generando un precedente que podría facilitar la persecución política y la vigilancia a todo tipo de grupos vulnerables y emisores de discursos incómodos.

Cabe recordar que uno de los principales ganchos publicitarios de Apple ha sido precisamente ofrecer los más altos estándares de privacidad y seguridad en las comunicaciones, lo que sin duda ha llevado a muchas personas a preferirles. Un ecosistema cerrado, no interoperable era lo que había que transar en favor de dicha protección. Sin embargo, hoy, cuando la continuidad de esa promesa está en entredicho, a aquellas personas que confiaron en la marca les será muy difíciles migrar a alternativas más respetuosas de su privacidad. Así, el monopolio de los sistemas operativos (OS, iOS, iPadOS) genera una dependencia directa que ata a las personas a las arbitrariedades del fabricante.

El padrón del mal: irregularidades, inconstitucionalidad y vigilancia estatal de los datos telefónicos

Cómo en las películas de terror, el pasado 18 de mayo revivió de forma inesperada y con urgencia inmediata decretada por el presidente un proyecto de ley que dormía en el Congreso desde su nacimiento, en agosto de 2018.

Se trata del Boletín n° 12.042-15 que modifica la ley N° 18.168, General de Telecomunicaciones, en materia de individualización y registro de datos de los usuarios de servicios de telefonía en la modalidad de prepago. La idea del proyecto es la creación de un padrón de usuarios para combatir la delincuencia, imitando un método que ha fracasado a nivel mundial y que en algunos casos incluso ha empeorado la situación: en México el primer padrón tuvo que ser eliminado en 2011, después de la vulneración y venta en el mercado negro de la base de datos, lo que vino acompañado del aumento de los delitos de extorsión y de secuestro (+40% y +8% respectivamente. Para más información sobre el nuevo padrón en México, revisar aquí).

Una tramitación acelerada y desequilibrada

Tan pronto resucitó, el proyecto se puso en tabla para su discusión parlamentaria. Una semana después la Comisión de obras públicas de la Cámara de Diputados estaba sesionando para su votación, aunque finalmente se haya acordado postergarla con el objeto de escuchar previamente algunas exposiciones.

En sesión del 15 de junio expuso la Policía de Investigaciones, el Ministerio Público y la Subsecretaría de Telecomunicaciones, y se acordó gestionar la postergación de la Urgencia de discusión inmediata para escuchar también a la Subsecretaría de Prevención del Delito y al OS9 de Carabineros de Chile.

Hasta aquí, ningún representante de la academia o de la sociedad civil había sido invitada a participar de la discusión. Y como en pedir no hay engaño, los partidarios del proyecto aprovecharon la oportunidad para hacer particulares requerimientos.

En su primera exposición ante la Comisión, el Jefe Nacional de Delitos Económicos y Medio Ambiente hizo tres requerimientos, para su incorporación al proyecto de ley en discusión:

  • Uso de un sistema de autentificación biométrico en línea, proponiendo para ello el uso de las bases de datos del Registro Civil.
  • Un padrón de celulares, mediante el registro de su número IMEI (International Mobile Equipment Identity).
  • Reducir el tiempo dispuesto en el proyecto para su entrada en vigencia, de 2 años a 6 meses.

En cuanto a las dificultades económicas asociadas a propuestas de este tipo, señaló que ello se resolvía mediante el traspaso de sus costos y en cuanto al problema que se suscitaría para la población migrante que no cuenta con documentos de identificación, valoró que ello obligaría a los inmigrantes a acreditar su situación migratoria. De los problemas de proporcionalidad e inconstitucionalidad de este tipo de padrones y tecnologías de vigilancia, ni una sola palabra.

Un acto de fe

El 29 de junio se llevó a cabo una nueva sesión, la que por fin contó con la participación de una voz crítica. Daniel Álvarez Valenzuela, académico de la Facultad de Derecho de la Universidad de Chile, fue el encargado de mostrar la otra cara del proyecto.

El académico e investigador expuso sobre los problemas de ciberseguridad, proporcionalidad e inconstitucionalidad de la medida y sobre la ausencia de un marco normativo adecuado para asegurar que el pretendido registro termine sirviendo a intereses distintos a los tenidos en vista por el legislador en su proyecto. Además, y en caso de que la Comisión quisiera seguir avanzando con el proyecto a pesar de estas advertencias, planteó la necesidad de incorporar un sistema de responsabilidades y fuertes sanciones que prevengan y castiguen el mal uso de este tipo de medidas.

La reacción de las policías no se hizo esperar: criticaron la desconfianza, desmintieron la necesidad de contar con este tipo de sanciones y llamaron a confiar en las instituciones. Pero en un país donde el ejército espía a periodistas por investigar casos de corrupción y las policías realizan montajes burdos y vigilan sindicatos, organizaciones sociales como la Red Chilena Contra la Violencia hacia la Mujer, e incluso a la Agrupación Nacional de Empleados Públicos (ANEF), lo que piden, más que un acto de confianza, es un acto de fe.

Test de Proporcionalidad

Pero más allá de la confianza que podamos tener o no en nuestras instituciones, el proyecto no cumple con ninguno de los tres criterios del test de proporcionalidad que, conforme estándares internacionales, debiese cumplir cualquier medida susceptible de afectar derechos o garantías fundamentales: idoneidad, necesidad y proporcionalidad.

La medida no es idónea para alcanzar los objetivos propuestos, por cuanto existen otras formas de cometer delitos en el anonimato y la experiencia comparada ha demostrado que iniciativas similares no han logrado disminuir el tipo de delitos que se propone combatir. Tampoco resulta necesaria, según reconoció la misma PDI al señalar, en sesión legislativa del 15 de junio, que existen otros medios para lograr identificar a los delincuentes, pero que la medida en cuestión lo haría “mucho más fácil”. Y en ningún caso resulta proporcional, al implicar el sacrificio del derecho al anonimato de todos los chilenos, con la única finalidad de poder identificar —en el mejor de los casos—a un grupo de personas que representa el 0,05% de la población.

Así, el registro de usuarios de telefonía móvil que se discute en el Congreso tiene serios vicios de constitucionalidad y no cumple con ninguno de los tres criterios del test de proporcionalidad. Por si lo anterior no fuera suficiente, en el último tiempo se han registrado suficientes casos de vigilancia estatal como para comprender el peligro que significa una medida de este tipo en un país cuya infraestructura y normativa no entregan siquiera garantías mínimas para su uso restringido, seguro y adecuado.

En síntesis, existen razones de sobra para sostener que un registro como el propuesto no debiese existir y mucho menos incorporar tecnologías que, lejos de protegernos, entrega al Estado capacidades que menoscaban nuestros derechos.

La protección social debe incluir a los datos personales

El pasado 22 de abril, se publicó en el Diario Oficial de Chile la Ley Nº 21.322, que crea un Sistema denominado “Red Integral de Protección Social”, el cual consiste en un modelo de gestión intersectorial, dependiente del Ministerio de Desarrollo Social y Familia, cuyo propósito es coordinar intersectorialmente la oferta programática relacionada a eventos adversos que podrían conducir a personas, grupos y/o familias a una situación de vulnerabilidad, entregar información clara, oportuna y personalizada para así simplificar su acceso.

Pero dentro de ese objetivo, la reforma entrega un poder muy peligroso: crea una habilitación legal muy amplia al Ministerio de Desarrollo Social y Familia para recolectar información en general, de fuentes públicas y privadas. Naturalmente, esto incluiría datos personales, posiblemente datos sensibles, sin requerir de la manifestación expresa de voluntad de sus titulares, sin expresar con precisión el tipo de datos ni su finalidad, y sin el resguardo de una nueva legislación de protección de datos robusta y rigurosa.

En medio de las consecuencias económicas y sociales que ha ocasionado la pandemia COVID-19, surge la necesidad de un Estado capaz de asignar eficientemente los recursos para la entrega de beneficios y ayudas directas a las familias. En este sentido, el objetivo del proyecto, tal como señala el mensaje de la iniciativa, es asegurar una orientación eficaz, una derivación oportuna hacia otros servicios especializados del Estado y un seguimiento de casos complejos, cuando sea necesario, con foco en las familias de clase media.

Sin embargo, pareciera ser que esta nueva normativa –en particular, el Título IV de la “Solicitud de Datos y su Uso y Tratamiento”– entrega al Ministerio de Desarrollo Social y Familia, facultades muy amplias y poco definidas para solicitar información a organismos privados y públicos y tratar los datos. Por ejemplo, puede requerir antecedentes contenidos en el Registro de Información Social (RIS), así como en la caracterización socioeconómica, sin mediar un consentimiento previo, expreso e informado, y sin mediar una habilitación legal de los titulares de dichos datos personales. En un momento en que el gobierno insiste en las ayudas focalizadas, esto significa concentrar mucha información sobre personas y familias, incluso sin que ellas se enteren.

Como si lo anterior no fuera grave, la publicación de esta ley es especialmente riesgosa, al menos, en los siguientes dos sentidos: primero, se realiza mientras se encuentra pendiente en el Senado la discusión de una nueva ley de datos personales. Existe la necesidad imperiosa que nuestro país fortalezca su nivel de protección y resguardo de la autonomía informativa de las personas, pues la actual Ley Nº 19.628 es insuficiente para hacer valer obligaciones de transparencia, seguridad, custodia y eliminación de datos personales. Por otra parte, no basta con reglas sustantivas: se requiere la creación de un organismo público especializado, una autoridad pública de control capaz de fiscalizar su cumplimiento. En consecuencia, no se explica la amplitud de las facultades otorgadas al ministerio, sin un marco normativo que resguarde una serie de aspectos que hoy se encuentran en una nebulosa, y que ordene la actuación de los servicios públicos en materia de intercambio de datos personales.

Mediante la administración del RIS, el Ministerio de Desarrollo Social consigna, almacena y procesa información de los atributos sociales, civiles y socioeconómicos de la población del país, susceptible de participar de la red de servicios y beneficios de la protección social. Con esto, el RIS contiene información de potenciales beneficiarios que quizás no han solicitado o no han declarado su intención de integrarlo, por ejemplo, pero que igualmente tendrían acceso a beneficios.  Así se plantean diversos conflictos que van más allá de la eficiencia del sistema. Por un lado, se diluyen los límites y los alcances que puedan tener el tratamiento de dichos datos personales, así como la proporcionalidad y legitimidad social del sistema. Sin ir más lejos, en el ámbito de las ayudas sociales, se vislumbran los mismos riesgos que los casos de Alerta Niñez en Chile y de Auxilio al Empleo en Brasil. Especialmente, con las problemáticas asociadas al uso de datos y algoritmos para perpetuar políticas publicas potencialmente discriminatorias o “focalizadas”.

Según el Ministerio de Desarrollo Social y Familia, Alerta Niñez es un instrumento preventivo que “identifica el conjunto de condiciones individuales, familiares, del entorno y de los pares de los niños y niñas y adolescentes, que tienden a presentarse cuando existe un riesgo de vulneración de derechos”. El sistema se basa en el procesamiento estadístico de grandes cantidades de datos provenientes de organismos públicos para calificar a la población menor de 18 años, ordenando a las personas según su probabilidad de sufrir vulneraciones. Nuevamente se trata de una iniciativa invasiva de recolección de datos sensibles, que conlleva el gran riesgo de profundizar situaciones de prejuicio e implican la transferencia de datos personales a terceros y la posibilidad de que esos datos sean usados para fines distintos a los que permitieron su recolección. Estos mismos peligros se profundizan mediante las facultades otorgadas al Ministerio de Desarrollo Social y Familia mediante la Ley Nº 21.322.

Cabe hacer presente que el Estado es el mayor recolector, almacenador y procesador de datos personales, no solo en términos de cantidad; también es el que maneja más datos de carácter sensible. Esto crea importantes desafíos de seguridad de la información. Aumenta así la posibilidad que por fallas de seguridad se vulneren los derechos de los titulares de los datos, o incluso que sean objetos de filtraciones o fugas. Son amenazas reales, ya que muchas veces el Estado ha sido muy negligente en el resguardo y manejo de esos datos.

En definitiva, una vez más estamos frente a un diseño de política pública que facilita la acción del Estado vigilante, comprometiendo el respeto de los derechos de las personas que se verán afectadas por la recolección y uso de su información personal, sin las suficientes garantías. Sí: necesitamos un Estado capaz de asignar bien las ayudas sociales, de manera rápida y oportuna. El problema que esta ley no incluye condiciones explícitas que restrinjan el acceso y la transferencia de datos a terceros, exponiendo a la población a nuevas formas de discriminación, en favor de un supuesto bien mayor. 

La educación digital en los países centroamericanos durante la pandemia

Más de un año después de declarada la pandemia Covid-19 por parte de la Organización Mundial de la Salud y de las medidas tomadas por los gobiernos para enfrentarla, es imposible ignorar su enorme impacto. Desde los primeros meses de la emergencia comenzamos a leer algunos estudios que evaluaban las repercusiones en los diversos ámbitos de desarrollo de las personas, en esta columna nos detendremos en la educación.

Como sabemos, una de las medidas que muchos gobiernos implementaron para intentar frenar la expansión de la enfermedad fue la suspensión de las clases presenciales, en todos los niveles, en el ámbito público y privado. Así ocurrió en los países que conforman el Sistema de la Integración Centroamericana (SICA), a excepción de Nicaragua, a medida que sus gobiernos iban declarando el estado de emergencia.

Para minimizar los efectos de la suspensión de clases y continuar con el proceso de enseñanza-aprendizaje, sobre todo en la niñez y adolescencia, los países del SICA implementaron alternativas, algunas de las cuales involucraron el uso de tecnologías, como son los casos de la educación en línea o a distancia.  

Las medidas incluyeron el uso de plataformas en internet para el aprendizaje, franjas con contenido curricular en televisoras y radios nacionales, así como el uso de guías impresas para estudiantes que no podían acceder a internet; en varios casos también se incluyó la dotación de equipos informáticos para estudiantes que no tenían acceso a estos aparatos, así como la entrega de paquetes de datos para quienes no poseían acceso a la red.

Tal como lo señala la CEPAL (2021), en la región, la salud, el empleo, la cobertura de protección social, el acceso a servicios básicos y el saneamiento ambiental como aspectos clave para enfrentar en mejores condiciones la crisis, sufrían serios déficits antes de la emergencia, debido a problemas estructurales no resueltos como la pobreza y la desigualdad, el estancamiento económico, la baja inversión en salud y educación, etc. Ante la llegada de la COVID-19, en el caso de la educación, los sistemas educativos tuvieron que enfrentarse a una situación para la que no estaban preparados.

En tal sentido, en esa intersección entre la educación y el mundo digital, vale la pena cuestionarse si, más allá de procurar paquetes de datos y equipamiento tecnológico como un esfuerzo aplaudible para no interrumpir el proceso de educativo el derecho de acceso a la educación en este contexto fue efectivamente garantizado.

No pretendemos contestar esta compleja cuestión en esta columna, pues para hacerlo necesitamos evidencia robusta que nos permita evaluar desde los diversos componentes de este derecho y la exhaustiva revisión de los indicadores en cada país, el grado de tutela efectiva. Sin embargo, sí podemos adelantar alguna cuestión como punto de partida.

En particular, nos referimos a las consideraciones hechas en el Informe del Relator Especial del derecho a la educación, de abril de 2016, quien recordó los componentes esenciales del derecho a la educación, como derecho fundamental, que deben ser considerados a la hora de implementar las tecnologías. Y, aunque dicho documento fue producido en los años previos a la pandemia, dichas consideraciones son perfectamente aplicables al escenario que vivimos actualmente.

En ese sentido, es válido apuntar que el acceso dispar al internet y a la tecnología digital, así como las limitaciones de infraestructura y los problemas de exclusión y marginación, presentes desde antes del inicio de la pandemia y evidenciados en las respuestas dadas a la emergencia, limitan el acceso universal a la educación y la igualdad de oportunidades, condiciones esenciales para un efectivo goce del derecho a la educación.

Con estos antecedentes, toda vez que se puedan cruzar los indicadores de la brecha digital con las categorías del derecho de acceso a la educación, podría estimarse con mayor certeza si los gobiernos fueron capaces de tutelar efectivamente este derecho o si solo se quedaron en dar a los estudiantes la posibilidad de acceder a cierto nivel de instrucción, condición insuficiente para afirmar una tutela amplia del derecho a la educación.

Los peligros de los certificados de vacunación digital, pases de movilidad y pasaportes de inmunidad

Si bien las devastadoras consecuencias económicas y sociales que ha traído para la población el extendido período de pandemia son el aliciente para que los gobiernos busquen en este tipo de instrumentos una herramienta para “premiar” el comportamiento de la ciudanía responsable que ha cumplido con su deber de inmunización, hay un problema severo en esta estrategia desde la perspectiva de la comunicación del riesgo primero, y luego respecto del ejercicio de derechos fundamentales.

A inicios de mayo, la prensa anunciaba que seis países de América Latina y el Caribe, entre ellos Chile, estaban desarrollando una iniciativa para impulsar proyectos que incentiven la transformación digital de la salud en la región y cuya primera iniciativa sería el desarrollo de un certificado de vacunación digital e interoperable para Covid-19. Se trataría de una iniciativa patrocinada por el Banco Interamericano de Desarrollo (BID), alineados con la Organización Mundial de la Salud (OMS) y la Organización Panamericana de la Salud (OPS)

La digitalización del expediente médico es un proceso en curso en muchos países de la región, entre ellos Chile. En los últimos años ha sido conducido de la mano de evaluaciones de cómo implementarse en una forma que proteja la seguridad y la privacidad de los datos de salud, y que no impacte negativamente el ejercicio de otros derechos fundamentales. La pregunta aún sin respuesta es si el anuncio sobre certificaciones digitales interoperables de vacunación en la región va a satisfacer tales estándares y cómo. Los riesgos de avanzar en certificaciones de vacunación e inmunidad digital o pases de movilidad se extienden a la inadecuada comunicación de riesgo y al impacto en el ejercicio de derechos.

Los certificados de vacunación tienen dos propósitos principales: generar un registro que facilite la continuación de las prestaciones de salud para la persona que ha recibido un tratamiento de inmunización, y entregar información acerca del tipo de inmunización recibida para hacer seguimiento a sus resultados o validez. A nivel mundial existe una larga historia de programas de inmunización que en el último siglo se han desarrollado sin problemas, entregando la información a sus beneficiarios en papel.

Todo evento de prestación de salud requiere del acceso a datos personales y datos sensibles que se configuran a partir de la prestación de salud recibida. Tales datos normalmente residen en la ficha médica, a la cual solo la paciente y sus prestadores de salud tienen acceso, y no son consignados en forma detallada en las certificaciones recibidas, que solo contemplan la información mínima para identificar a la paciente y su evento de inmunización. La digitalización de los certificados de vacunación va acompañada de un aumento de la cantidad de datos recogidos e incrementa la posibilidad de generar eventos de acceso no autorizado a esa información para propósitos que pueden ser completamente distintos a los originales, es decir, información de continuación de prestaciones de salud y prueba de inmunización. Creado el antecedente digital, y al forzar a la población a circular con esta información en sus dispositivos digitales, el riesgo de pérdida de control, derivado de usos no relacionados al tratamiento de salud, se extiende exponencialmente.

Los pases de movilidad proponen un caso de uso tanto más problemático, ya que intentan asociar a un episodio (o varios) de inmunización a un diferencial en cuanto a las posibilidad de ejercer la libertad de movimiento sin restricciones, en comparación de aquella limitada para las personas no inmunizadas. Los pases de movilidad se basan en una inferencia de riesgo menor de infección y contagio basado en el episodio de inmunización. Para que esa inferencia sea sólida, debe sostenerse en evidencia científica de cuál es el nivel de disminución de riesgo de contagio y de propagación del virus que la inmunización genera. En Chile, la Universidad de Chile ha indicado que ese riesgo se sitúa en el 56,5% como promedio para las vacunas en actual utilización en Chile. Mientras, el Ministerio de Salud declara que la vacuna SINOVAC (con la que mayoritariamente ha sido inmunizada la población nacional) tiene 67% de efectividad para prevenir Covid-19 sintomático. Es decir, incluso en la cifra más optimista, 3 de cada 10 personas vacunadas aún se encuentran en riesgo de contraer y transmitir COVID-19.

Avanzando en la trilogía, los pasaportes de inmunidad buscan generar un grado de certeza que permita la circulación de la población y la reactivación de las actividades económicas y sociales, incluso en el tránsito internacional. Su emisión depende de la existencia de métodos de medición de los grados de inmunidad desarrollada por la población frente a una enfermedad infectocontagiosa. Su objetivo es precisamente discriminar entre aquellos que cuentan con inmunidad y quienes carecen de ella, asignando consecuencias de movilidad y oportunidades de empleo a esa clasificación. Así, buscan imponer una restricción artificial sobre quién puede participar en actividades sociales y económicas, y quién no. Es por ello que las expertas llaman la atención acerca del riesgo de que los pasaportes de inmunidad creen un incentivo perverso para que las personas busquen infectarse, especialmente las más vulnerables, que no pueden permitirse un período de exclusión de la fuerza laboral, agravando las desigualdades sociales preexistentes. La OMS expresó en 2020 su preocupación por el desarrollo de pasaportes de inmunidad, advirtiendo la información insuficiente acerca del desarrollo de anticuerpos para el SARS-CoV-2, con los riesgos de errónea clasificación de los niveles de inmunidad de la población que ello podría implicar. En la actualización provista en mayo de 2021, la OMS vuelve a repetir que la evidencia sobre la respuesta inmune y su duración respecto de la infección de Covid-19 o su inmunización no se encuentra suficientemente comprendida a la fecha, con lo cual la correlación de su efecto de protección no puede ser aún establecida.

Para evitar las críticas internacionales a que han sido sujetos los pasaportes de inmunización, como el renombrado pase verde de la Unión Europea, en Chile las autoridades han optado por la nomenclatura de “pase de movilidad” que como vimos más arriba se encuentra sujeto a las mismas incertidumbres en la comunicación de riesgo que los pasaportes de inmunidad: ambos hacen inferencia hasta ahora no asentadas en evidencia científica de nivel de riesgo de contraer y contagiar el SARS-CoV-2.

Problema con la comunicación de riesgo

Tal como lo ha destacado el European Data Protection Board (EDPB) al emitir su opinión sobre la propuesta de certificado verde para la Unión Europea, “parece haber poca evidencia científica que respalde el hecho de que haber recibido una vacuna COVID-19 (o haberse recuperado de COVID-19) otorga inmunidad y por cuánto tiempo dura. Por lo tanto, el Certificado Verde Digital debe entenderse simplemente como una prueba verificable de una solicitud o historial médico fáctico con sello de tiempo que facilitará la libre circulación de los ciudadanos de la UE debido a su formato común en todos los Estados miembros. Sin embargo, advertimos derivar conclusiones sobre inmunidad o contagio, ya que una opinión científica consolidada aún está pendiente”.

Por su parte, el Ada Lovelace Institut ha advertido que los pasaportes digitales no deben implementarse mientras se desconoce tanto sobre COVID-19, particularmente el efecto de diferentes vacunas (y regímenes de vacunación) sobre la transmisión, la duración de la protección y la generalización de esos efectos. En otras palabras, el pasaporte de vacunación se basa en la premisa de que el estado de “vacunada” dice algo sobre el riesgo que una persona representa para otros, no simplemente el riesgo que cada persona enfrenta de contagiarse. “En la actualidad, el estado de vacunación no ofrece evidencia clara o concluyente sobre el riesgo de un individuo para otros a través de la transmisión. El estado de vacunación nunca puede ofrecer evidencia absolutamente concluyente del riesgo de un individuo para otros (o su propio riesgo), ya que ninguna vacuna será 100% efectiva para el 100% de los receptores”.

La consecuencia más grave sobre este error en la comunicación de riesgo, el incremento en la circulación del virus y el aumento en el nivel de contagios consecuente, fue denunciada en Chile por el Colegio Médico y un número relevante de Asociaciones Médicas al realizarse el anuncio de despliegue del pase de movilidad por el gobierno de Chile. Dos semanas luego de su implementación, la evidencia del aumento de casos a nivel nacional, con alrededor de 50 mil casos activos, parece respaldar que un relajamiento de la movilidad no se justifica ni siquiera con un programa de vacunación exitoso.

No se trata de poner en cuestión la utilidad de las vacunas que indudablemente reducen el riesgo de contraer la enfermedad o de presentar sus síntomas más severos. El cuestionamiento a los pases de movilidad o certificaciones de inmunidad no tiene nada que ver con la defensa al “derecho a no vacunarse” que algunos individuos han intentado enarbolar, de lo que se trata es de entregar información adecuada a la población que evite el relajamiento de las medidas sanitarias de distanciamiento social, uso de mascarillas e higiene de manos que siguen siendo esenciales para contener la pandemia.

Tristemente, aquí nos encontramos no solo frente a un problema de oportunidad que ha sido el ángulo enfatizado desde la comunidad científica, sino que, junto a la falta de certeza científica acerca de la predicción de riesgo que acompaña a la inmunización, se sitúa un problema social relacionado con cómo los pases de movilidad, los certificados de vacunación digital o los certificados de inmunidad pueden terminar transformándose en instrumentos de discriminación en el ejercicio de derechos, cuyos impactos negativos se extiendan a los ya dolorosos efectos económicos y sociales que afectan a sectores más vulnerables.

Discriminación en el ejercicio de derechos

No es casualidad que al inicio de la pandemia la Comisión Interamericana de Derechos Humanos (CIDH), a través de su Resolución 1/20 “Pandemia y Derechos Humanos en las Américas”, recomendó a los Estados de la región “adoptar de manera inmediata e interseccional el enfoque de derechos humanos en toda estrategia, política o medida estatal dirigida a enfrentar la pandemia del COVID-19 y susconsecuencias, incluyendo los planes para la recuperación social y económica que se formulen. Estas deben estar apegadas al respeto irrestricto de los estándares interamericanos e internacionales en materia de derechos humanos, en el marco de su universalidad, interdependencia, indivisibilidad y transversalidad, particularmente de los DESCA”.

Desde un punto de vista individual, un pase de movilidad registra datos de salud privados, ¿cómo se protege esta información? ¿Cómo se previene el riesgo de fraude o falsificación? ¿Cómo se previenen violaciones de la privacidad? Desde un punto de vista social, la adopción de pases de movilidad tiene impactos concretos en el ejercicio de la libre circulación, el derecho a reunión e incluso sus impactos pueden extenderse al acceso a las oportunidades de empleo.  Estos pasaportes no deberían resultar en una herramienta de control social que restrinja la movilidad de la población en contextos de disidencia política o en una herramienta adicional para imponer restricciones abusivas a la migración, por nombrar solo algunos de los potenciales impactos negativos de estas implementaciones.

La creación de un pase de movilidad genera una indudable tentación para las empresas de condicionar el acceso a oportunidades de empleo a la titularidad de estos, en el marco de una campaña de vacunación que aún no alcanza la universalidad y, repetimos, cuyas condiciones de duración de inmunidad no se encuentra científicamente determinada aún. Un uso de este tipo tendrá consecuencias indudables de discriminación, pero también desafíos logísticos en torno a cómo se realizan las verificaciones de los pases y cómo se vigila que continúe la adopción de otras prevenciones sanitarias como el distanciamiento social y uso de mascarillas. El pase de movilidad puede fomentar una falsa sensación de seguridad, ya sea en su titular o en otras personas (como su empleador) y aumentar, en lugar de disminuir, los comportamientos de riesgo. Existe vasta experiencia previa desde la normativa de protección de los derechos de los trabajadores acerca de los riesgos de permitir decisiones de empleo atendidas a condiciones de salud, o de riesgos de salud derivados de condiciones de trabajo inadecuadas. Y esa experiencia será útil para calibrar los derechos en juego.

Otra forma palpable de discriminación que presentan las certificaciones de vacunación e inmunidad o los pases de movilidad digital está precisamente asociada a su carácter digital. Nuevamente, sin condiciones de conectividad universal a internet aseguradas para la población general, habilidades digitales limitadas en algunos segmentos o baja disponibilidad de dispositivos inteligentes, grupos de la población con acceso limitado a la tecnología por cualquiera de estos factores quedarán excluidas de su uso.

Estos riesgos fueron claramente anotados además en una recomendación específica emitida el año pasado por la CIDH en su Resolución 4/20 sobre los “derechos humanos de las personas con Covid-19”: “los Estados deben abstenerse de utilizar los datos sobre el estado de salud de las personas con COVID-19 para expedir certificaciones de inmunización que generen una diferencia de trato injustificada en el disfrute y ejercicio de otros derechos”.

Entonces avanzando un paso más en el análisis de necesidad, proporcionalidad y legalidad que exigen los estándares interamericanos de derechos humanos, ¿cuál es el marco de legalidad que acompaña al pase de movilidad en Chile? Sin una ley de protección de datos personales actualizada, con pocas certezas de como se manejan los datos de comisaría virtual y la opaca implementación de CoronApp previamente criticada por Derechos Digitales, la política pública desplegada tampoco ha sido acompañada de ningún tipo de certeza acerca de cómo los datos que son recogidos para generar el certificado digital serán procesados, accedidos (y por quién) o cómo será limitado su uso para otros fines.

Por último, las certificaciones de vacunación e inmunidad digital o los pases de movilidad pueden ser una distracción tentadora. Su desarrollo implica costos de oportunidad importantes desde una perspectiva de recursos públicos, lo que implica dejar de usar esos mismos recursos en otras intervenciones. Sin embargo, su utilidad específica para la pandemia se encuentra temporalmente limitada, ya que es esperable que con los programas de vacunación y la circulación del virus se alcance más temprano que tarde la inmunidad de grupo. ¿Vale la pena sacrificar derechos y libertades si una vez que haya inmunidad colectiva estos instrumentos de discriminación no tendrán sentido sanitario? ¿Qué haremos entonces con estas infraestructuras de control puestas en marcha? ¿Serán ellas desmanteladas? ¿Cómo aseguramos que los datos por ellas recogidas no sean extendidos a otros usos secundarios de control social? 

¿Quién defiende tus datos? Cómo protegen la privacidad de sus clientes las compañías proveedoras de internet

En una sociedad hiperconectada, donde gran parte de nuestras vidas transcurre en línea (y más todavía en un contexto de pandemia y cuarentena), la manera en que las empresas de telecomunicaciones protegen nuestra privacidad es un condicionante para nuestro desarrollo, conforme a un sistema democrático y respetuoso de los derechos humanos.

En este contexto, ¿Quién defiende tus datos? cobra especial relevancia. Se trata de un estudio realizado por Derechos Digitales con apoyo de la Electronic Frontier Foundation, que analiza las prácticas de las principales compañías proveedoras de internet en Chile.

En la cuarta edición del reporte, el balance es positivo: nos alegra ver cómo ha subido el estándar de la industria, a pesar de que ello dependa en gran medida de su autorregulación. Este año mantuvimos los criterios de evaluación utilizados en la versión pasada del informe, optando por analizarlos desde un estándar más crítico, lo que por un lado nos permitía ver si las empresas que ya cumplían optaban por continuar mejorando, así como darles tiempo a las empresas más atrasadas para ponerse al día.

Afortunadamente, la tendencia general ha sido a la mejora de las prácticas de las compañías en comparación a años anteriores.  Por tercer año consecutivo, Claro Chile es la empresa mejor posicionada y es la que cuenta con el mejor informe de transparencia entre las empresas estudiadas. Le siguen WOM y Entel. El criterio más estricto de evaluación hizo que algunas empresas disminuyeran su puntaje a pesar de tener un grado de cumplimiento similar al del año anterior, como en el caso de WOM.

Resulta gratificante también ver la evolución de compañías como GTD Manquehue, que pasaron de no tener política de privacidad, informe de transparencia ni protocolos, a elaborar y hacer públicos dichos documentos. Situación similar a la de Movistar, que progresa de tener 1 estrella en la versión anterior a tener 3,25 este año, donde se destaca su transparencia, al ser la única que da a conocer públicamente las alianzas públicas y privadas que tiene en materia de investigación y los términos en que se desarrollan dichas iniciativas.

El caso de VTR nos parece preocupante, pues la compañía ha demostrado escaso interés por mejorar sus prácticas de transparencia y protección de derechos hacia sus clientes. VTR no ha hecho eco de cuestiones básicas como fechar su política de privacidad y es la única empresa que no cuenta con un informe de transparencia actualizado, además de otorgar los datos personales de los clientes para efectos de publicidad o comunicaciones comerciales.

Con todo, la mejora generalizada mostrada por el resto de las empresas de telecomunicaciones demuestra que  ¿Quién defiende tus datos? ha resultado ser una valiosa herramienta para incentivar a los proveedores de internet a perfeccionen sus estándares de protección y transparencia, además de ser una buena instancia para la discusión académica acerca de los desafíos en la autoregulación de estas empresas en la oferta de sus servicios, más allá del marco regulatorio que fija la línea de base en la materia.

Puedes revisar el reporte aquí. El video del lanzamiento se encuentra disponible acá.

¿Quién defiende tus datos? 2021

Descargar PDF

Cuarta edición del reporte ¿Quién defiende tus datos? evaluación periódica realizada por Derechos Digitales sobre el modo en que las compañías proveedoras de internet defienden la privacidad de sus clientes en Chile.

Contra el tratamiento abusivo y desleal (*) de nuestra información personal: Sociedad civil por una autoridad autónoma de protección de datos personales en Chile

Las organizaciones e individuos firmantes expresamos nuestro rechazo y preocupación por la postura del Consejo para la Transparencia (CPLT) pronunciada el pasado 30 de abril de 2021, mediante el oficio N°127, mediante el que se dio respuesta a un requerimiento de ATELMO (Asociación de Telefonía Móvil A.G.), marcando un precedente relevante y problemático.

ATELMO solicitó el pronunciamiento del organismo respecto de la legalidad de dos acciones que ha realizado Subtel: 

La primera acción tiene que ver con las disposiciones establecidas en el Reglamento y la Norma Técnica para la implementación de la ley sobre obligación de una velocidad mínima garantizada de acceso a internet (Ley Nº 21.046), mediante las que SUBTEL pretendía llevar a cabo un intensivo tratamiento de datos personales de suscriptores de empresas de telecomunicaciones. 

Respecto de ese requerimiento, el CPLT señaló que no existiría una base de legalidad que habilite a la SUBTEL para efectuar el tratamiento de datos personales y sensibles recolectados por el Organismo Técnico Independiente sin consentimiento de los titulares, pretendido mediante el Reglamento y la Norma Técnica de la Ley Nº 21.046 dictados por el mismo organismo público.

La otra acción está vinculada al requerimiento de ATELMO contra la entrega de datos personales por SUBTEL para la realización de encuestas de satisfacción. El CPLT manifestó que existiría base legal para que SUBTEL solicite a las empresas de telecomunicaciones que le entreguen datos personales de sus clientes con el objeto de llevar a cabo estas encuestas, y que procedería no solo pedir la entrega datos de 15 millones de suscriptores, sino entregarlos a las empresas encuestadoras. 

Frente a esta posición, las organizaciones de la sociedad civil firmantes consideramos que:

  1. Es preocupante que un organismo público como SUBTEL puede exigir a empresas privadas todos los números de teléfono asociados a sus clientes con el propósito de realizar encuestas de satisfacción y que ello sería conforme a la ley. Se trata de una autoridad pública autorizando un traspaso gigante de datos personales y sentando precedente para que ello pueda ser replicado por otros organismos públicos.
  2. Si bien la ejecución de encuestas de satisfacción podría enmarcarse en el ejercicio de las atribuciones que le confiere la ley a SUBTEL, ésta no es la única forma para lograr su cometido, existiendo medios menos invasivos y que deben ser preferidos para resguardar la privacidad y la protección de los datos personales de la población. No se necesita esa cantidad de información  para realizar encuestas.
  3. La Ley Nº 19.628 indica que el tratamiento de datos personales por parte de un organismo público solamente puede realizarse con autorización legal, respecto de materias de su competencia, y para ello no sería necesario el consentimiento de su titular (artículo 20). Sin embargo, ello no supone concluir que SUBTEL cuenta con una base de legalidad habilitante para requerir a las empresas de telecomunicaciones la cantidad de datos que pretende, ni menos aún entregar a un tercero su tratamiento. Al verse involucrados los derechos fundamentales de las personas titulares de estos datos, necesariamente su aplicación debe ser restrictiva (artículo 19 Nº 4 de la Constitución Política de la República).
  4. Si a lo anterior sumamos el hecho de que el CPLT tiene dentro de sus atribuciones velar por el adecuado cumplimiento de la ley de protección de los datos personales, por parte los organismos de la administración (Art. 33 lit. m, Ley Nº 20.285), la situación se torna insostenible, especialmente considerando que ello implica ignorar el amplio desarrollo de la protección de datos personales, en particular respecto  a los principios de finalidad, proporcionalidad y seguridad.
  5. Si aceptamos que la finalidad para las que las personas autorizan el tratamiento de sus datos personales —especialmente por entes privados— puede cambiar en virtud del tratamiento de datos pretendido por un organismos públicos, entonces ¿qué pasa con una de las características esenciales de este derecho a determinar para qué se usan sus datos o, al menos, saber para qué se están usando? No es acorde con el principio que la finalidad misma cambie al arbitrio de quien trata los datos.
  6. En relación con el principio de proporcionalidad, no es posible aplicarlo a las técnicas de investigación estadística en sentido estricto. Como es presentado en el oficio, el principio excusa al CPLT para no hacerse cargo de limitar el actuar abusivo de la SUBTEL. Como bien señala el voto de disidencia, en virtud de este principio, el volumen y naturaleza de los datos recolectados debe tener relación con el objetivo buscado, de manera que los datos solicitados por la SUBTEL debieron limitarse a los estrictamente necesarios para la realización de las encuestas de satisfacción. No creemos que dicho límite sea de aquellas cuestiones que solo puede ser llevada a cabo por organismos técnicos dedicados a la realización de encuestas.
  7. El oficio desconoce la necesidad de cumplir con medidas estrictas para cubrir el principio de seguridad, exponiendo una cantidad enorme de datos a riesgos de vulneración. Esto va más allá del quiebre de los deberes de confidencialidad, pues se trata de las personas que nos encontramos detrás de cada uno de esos datos personales, cuyo posterior tratamiento y transferencia a terceros quedan fuera de nuestro conocimiento y control.

Este caso visibiliza las limitaciones en las facultades y los recursos de la institucionalidad actual. Los esfuerzos del CPLT hasta la fecha no son suficientes y necesitamos con urgencia un órgano especializado en la protección de datos personales con facultades de fiscalización, recursos suficientes e independencia constitucionalmente garantizada. 

Actualmente, cuando  gran parte de la vida cotidiana de millones de personas en Chile depende de los servicios de telecomunicaciones y de las plataformas digitales de servicios, es preocupante que el proyecto de ley que viene a modernizar la actual ley sobre protección de datos personales se encuentre durmiendo en el Senado desde hace más de un año, sin ningún avance en la materia. Como organizaciones firmantes hacemos un llamado a poner suma urgencia a finalizar su tramitación. 

Chile tiene una oportunidad histórica de redactar hoy una Constitución para el siglo XXI y avanzar, al mismo tiempo, hacia una regulación acorde a los cambios tecnológicos, poniendo en primer lugar a las personas  y garantizando la efectiva protección de sus derechos fundamentales. Esperamos que el poder político aproveche esta oportunidad.

Si tu organización quisiera suscribir a esta carta, haz clic aquí. 

ORGANIZACIONES FIRMANTES 

Derechos Digitales

Fundación Datos Protegidos

Fundación Abriendo Datos

* El término desleal hace alusión al concepto “leal”, que en esta situación debe entenderse dentro de los principios de licitud, lealtad y transparencia.