Temática: Protección de datos

Ley de datos personales: sin pausa, pero sin prisa y de cara a la sociedad

El Salvador es uno de los pocos países en la región que aún no cuenta con una legislación específica para la protección de los Datos Personales. A pesar de contar con algunas reglas dispersas, como un breve capítulo en la Ley de Acceso a la Información Pública (LAIP) y algunas normas en leyes sectoriales (Ley de Regulación de los Servicios de Información sobre el Historial de Créditos de las Personas, Ley de la Firma Electrónica, Ley de Partidos Políticos, por mencionar algunas), todavía no existe una ley general en la materia. El propio derecho de acceso a la información personal (Habeas Data) en el país constituye un destacado desarrollo de la jurisprudencia, formulado por la Sala de lo Constitucional de la Corte Suprema de Justicia.

Así las cosas, la necesidad de tener una legislación especializada y coherente con los estándares internacionales de derechos humanos, que abarque el ámbito público y privado, es primordial. No solamente por la necesidad de actualización frente al procesamiento manual de datos del pasado, sino por el crecimiento de la capacidad de procesamiento automatizado que atraviesa cada aspecto de la vida social, en el presente y el futuro, a nivel nacional y global. A pesar de la escasa protección en el ámbito preventivo, asistimos al uso cada vez más frecuente de herramientas tecnológicas, tanto en lo público como en lo privado, sobre las cuales pocas veces se reflexiona y sobre las que la ley tiene alcance limitado para proteger los derechos de las personas.

La ausencia de reglas expresas que permitan la protección de la información personal, tiene ejemplos concretos de riesgos, tanto de parte del Estado como de privados. Desde el año 2017 la Alcaldía del municipio de Santa Tecla ha desplegado cámaras con reconocimiento facial; en la misma línea, el gobierno central solicitó un préstamo para financiar su estrategia de combate a la delincuencia, en el que se incluía la compra de cámaras con tecnología de reconocimiento facial, la compra de drones para la Policía y para el Ejército, y la instalación de centros de monitoreo para ambas instituciones. La empresa privada no se queda atrás: en algunos centros comerciales, a raíz de la pandemia, se instalaron cámaras térmicas para medir la temperatura de los visitantes, sin que se sepa a ciencia cierta si están dotadas con tecnología para el reconocimiento facial o si se almacenan las imágenes captadas; todo sobre lo cual no se informa a los usuarios al ingresar.

En este contexto de uso de tecnologías susceptibles de almacenar datos personales como las descritas, se anunció la discusión en la Asamblea Legislativa de un proyecto de Ley de Protección de Datos Personales, lo que constituye en principio una excelente noticia. La propuesta se encuentra en discusión previa aprobación del articulado dentro de la Comisión de Economía donde, una vez obtenido dictamen favorable, el proyecto pasará a discusión en el Pleno Legislativo.

Si bien es cierto que tanto la información oficial como la de prensa dan cuenta de la participación de algunas instituciones de la sociedad civil en el proceso consultivo de las distintas propuestas de anteproyecto, no se tuvo una publicidad adecuada para que cualquier ciudadano pudiera expresar su opinión sobre la normativa y se produjera un debate más amplio en la sociedad acerca de aspectos que necesitan ser incorporados en esta regulación. Además, mucha de la discusión se dio en el marco de la emergencia por COVID-19, lo que distrajo naturalmente la atención de la ciudadanía. Sin embargo, por ser un tema de mucha importancia para el país, la discusión merece al menos una atención amplia, por lo determinante que resulta para el ejercicio de los derechos fundamentales de las y los salvadoreños. A continuación presentamos nuestra breves consideraciones geenerales sobre el Anteproyecto de Ley unificado, para contribuir a este debate, en la mira de involucrar a la ciudadanía con su atención a esta discusión.

Antecedentes sobre la protección de datos personales en El Salvador

La protección de datos personales en El Salvador tiene su mejor expresión no en la ley, sino en la jurisprudencia. Desde la sentencia de Amparo 934-2007, la Sala de lo Constitucional sostuvo que “… el derecho a la autodeterminación informativa tiene por objeto preservar la información de las personas que se encuentra contenida en registros públicos o privados frente a su utilización arbitraria —especialmente la almacenada a través de medios informáticos—, sin que necesariamente se deba tratar de datos íntimos”.

En la sentencia de Amparo 142-2012, la Sala desarrolló el contenido del derecho a la autodeterminación; señaló que la faceta material de este derecho permite a las personas definir la intensidad con que desea que se conozcan y circulen tanto su identidad como otras circunstancias y datos personales; combatir las inexactitudes o falsedades que las alteren; y defenderse de cualquier utilización abusiva, arbitraria, desleal o ilegal que pretenda hacerse de esos datos; que, para conseguir estos fines, se cuenta con la técnica de protección de datos, que se encuentra integrada por un conjunto de  derechos subjetivos, deberes, principios, procedimientos, instituciones y reglas objetivas. En esta sentencia se desarrollan los derechos de los usuarios, así como los principios de la protección de datos personales y algunas reglas para este fin.

Estas sentencias fueron el antecedente para la protección de datos personales. Algunas de estas consideraciones fueron incorporadas en la Ley de Acceso a la Información Pública (art. 31 a 39) y en los Lineamientos Generales para la Protección de Datos Personales en los Entes Obligados, emitidos por el Instituto de Acceso a la Información Pública (IAIP). Se trata de un reconocimiento todavía limitado, que el nuevo anteproyecto vendría a complementar.

El anteproyecto de ley de datos personales

La propuesta de Ley declara su objetivo en su artículo 1: la protección de los datos personales de las personas naturales “… para garantizar el derecho a la intimidad y el derecho a la autodeterminación informativa de las personas naturales”. Resulta muy positivo que se considere el derecho a la autodeterminación informativa como un derecho autónomo del derecho a la intimidad. Sin embargo, aunque en su articulado hay una lógica de interconectar la autodeterminación informativa con otros derechos como la libertad de expresión y el acceso a la información, hubiera sido provechoso dejar en claro esta relación en los considerandos o de manera más explícita en las disposiciones normativas.

El anteproyecto apunta a la regulación del tratamiento de datos personales en general. Sin embargo, al fijar su propio ámbito de aplicación, la propuesta contempla excepciones con algunos elementos que levantan alertas. Por ejemplo, se excluye de la aplicación de la ley a los datos del historial crediticio, hoy regulados en una normativa específica, impidiendo así parámetros comunes para la protección de datos. Por otro lado, excluye la recolección para fines familiares, referidos a los que carezcan de “utilización comercial”, dejando amplio margen de interpretación para excluir de la aplicación de la ley. Finalmente, se excluye el uso de datos con fines de “seguridad pública” o “seguridad del Estado”, sin suficiente precisión sobre el alcance de tales conceptos que permita prevenir las injerencias estatales arbitrarias en la esfera de la autodeterminación informativa, sobre todo mediante tecnologías de vigilancia. Se trata de exclusiones amplias, que restan protección a la información personal en una vasta cantidad de posibles usos por empresas y por el Estado.

Las definiciones del anteproyecto también muestran falta de claridad o precisión. Por ejemplo, el proyecto señala que, por el principio de legalidad, los datos “…deben ser procesados de manera legal”, una expresión circular que no conduce a nada. Por el contrario, la definición debería considerar que, por este principio, la información debe ser procesada en una base jurídica clara, con un propósito claro, y de una manera justa y transparente. Por otra parte, la redacción del principio de privacidad es confusa, mientras que la referida al principio de licitud está poco desarrollada. Y hay aun más ejemplos que demuestran la necesidad de un debate más robusto que auxilie a la redacción de la ley.

También merece atención la protección a una de las categorías especiales de información: los datos personales de niños, niñas y adolescentes. No basta con mencionar únicamente el interés superior de las personas menores de 18 años o las leyes y tratados internacionales pertinentes para considerar que se está prestando la atención requerida a esta categoría de datos. El tratamiento de estos datos debe ser lo más restrictivo posible y no puede permitirse su tratamiento libre, aunque estos sean de naturaleza pública. Esta carencia debe ser subsanada por la ley.

La propuesta de normativa desarrolla los derechos de las personas sobre los datos de los que son titulares, consagrando así los denominados derechos ARCO (acceso, rectificación, cancelación y oposición), siguiendo la tradición y la práctica de muchos países en la materia (Art. 6). Sin embargo, tanto la definición de estos derechos como su operatividad resultan problemáticos. Por un lado, el legislador está equiparando el derecho de cancelación o eliminación de datos con el “olvido”, y al derecho de oposición lo denomina derechamente “derecho al olvido”. Podría pensarse que es una confusión o que se trata de meros sinónimos, pero al momento de señalar las excepciones al derecho de supresión (art. 10), se incluye la hipótesis de que los datos sean necesarios para ejercer la libertad de expresión y prensa, algo que no podría ser congruente si se estuviera legislando sobre el derecho al olvido.

Por otra parte, las excepciones a los derechos ARCO (Art. 18) contienen disposiciones de interpretación muy amplia. Por ejemplo, puede negarse el ejercicio de los derechos en caso de lesiones a los derechos de un tercero, sin más desarrollo que permita saber cómo se acredita esa lesión o por quién; se menciona también la resolución de una “autoridad competente” sin especificar de qué autoridad se trata; finalmente, autoriza la denegación de los derechos de manera genérica en “los demás casos establecidos en la presente ley u otras leyes aplicables”, sin exigir el cumplimiento de estándares de legalidad, necesidad y proporcionalidad en la afectación del ejercicio de derechos fundamentales.

El artículo 56 autoriza el tratamiento de datos para la elaboración de perfiles con fines promocionales, comerciales o publicitarios. Aunque se señala que estos datos deben haber sido obtenidos con el consentimiento de los usuarios, más parece una “solución” para aquellos casos en los que las empresas recolectan datos sin que los usuarios lo sepan, que una obligación para cumplir con este requisito de consentimiento informado. Por otro lado, no se hacen exigencias adicionales para el consentimiento expreso para transferir a terceros los datos que ha recopilado de esta forma y para estos fines.

La necesidad de una autoridad de control

Como es habitual en las discusiones modernas sobre protección de datos personales, se intenta regular teniendo en mente la existencia de una autoridad de control de datos personales, es decir, un órgano estatal encargado de la fiscalización y la observancia de la ley. Esta discusión no está del todo zanjada en el proyecto de ley de datos personales, y es un debate legislativo complejo y con distintas posiciones dentro del país.

En las discusiones sobre la autoridad que debería encargarse de la protección de los datos personales, se han barajado al menos tres opciones: 1. Que asuma ese rol el Instituto de Acceso a la Información Pública, el ente que actualmente tiene bajo su competencia velar por el acceso a la información pública y la protección de los datos personales en el Estado; 2. Que la Dirección de Protección al Consumidor (DPC) tenga esa competencia; y, 3. Que se dé origen a un nuevo ente público. Los argumentos a favor de cada una de ellas varían entre la disponibilidad inmediata de personal capacitado en el IAIP, la visión más comercial de incluir a la DPC y la ventaja de formar desde cero un nuevo ente, autónomo, independiente, con capacidad técnica y con presupuesto propio. A esas opciones se suma una cuarta alternativa: la competencia en esta materia podría recaer sobre una Autoridad Nacional Digital, regulada por una ley especial bajo el mismo nombre, que, además, tendría atribuciones sobre el acceso universal a internet, el comercio electrónico, la economía del conocimiento, la firma electrónica y la ciberseguridad.

Consideramos que la multiplicidad de funciones puede generar controversias innecesarias cuando se trate, por ejemplo, de la protección de datos personales frente a injerencias de empresas que puedan ver esta protección como una limitante para el desarrollo de sus negocios en el ámbito del comercio electrónico. A la vez, la multiplicidad de funciones puede ser contraria a la especialidad técnica que la protección de datos personales requiere, en particular frente a los desafíos de la tecnología y a la creciente complejidad de los modelos de explotación de la información personal. La autoridad que proteja los datos personales debe estar disponible de manera especial para ese fin, con suficiente autonomía para garantizar una real independencia para aplicar la ley y velar por los intereses y derechos de los titulares de los datos personales, tanto a entes públicos como privados que colectan datos personales, con facultades fiscalizadoras y sancionatorias que hagan efectiva la protección.

Por cierto, no se trata de problemas insalvables. Pero creemos que partes relevantes de la capacidad operativa de la propia ley y el establecimiento de sus mecanismos de observancia no deberían ser dejados a una discusión posterior sobre la autoridad de control. Esta es la oportunidad de fijar no solamente los parámetros sustantivos para la protección de la autodeterminación informativa, sino también el marco para permitir su cumplimiento, tanto a petición de los titulares como por la intervención proactiva de una autoridad fuerte.

Próximos pasos hacia una ley de datos personales

Como Derechos Digitales, hemos acompañado varios procesos en la región para la discusión y desarrollo de normativa de protección de datos personales y nos ponemos a disposición de la discusión en El Salvador para poder aportar desde esa experiencia Latinoamericana. Sabemos que no es tarea fácil para los países que se ponen de cara a ese desafío, pero hemos visto cómo la participación de grupos amplios de sociedad civil con conocimiento técnico en la materia puede ser un aporte para perfeccionar la técnica legislativa, en una forma consciente de los desafíos y oportunidades de cada realidad nacional. Con los puntos aquí presentados buscamos llamar la atención sobre la necesidad de discutir en profundidad un tema que es de vital importancia para las y los salvadoreños: La recolección de datos se da en muchísimos ámbitos de nuestras vidas, desde acceder a un sitio web, caminar en una calle con cámaras de vigilancia, comprar en línea, usar aplicaciones bancarias, ingresar a centros comerciales, residenciales o sitios de entretenimiento. La tecnología avanza en la sociedad, y los derechos no pueden quedarse atrás. Esperamos que los legisladores salvadoreños asuman hoy la responsabilidad de modernizar la legislación de un modo sensible a las necesidades de protección de la ciudadanía sin pausa, pero sin prisa para un buen resultado de protección.

Política de inteligencia artificial: Ciudadanía al centro, no al margen

El pasado 27 de enero finalizó el plazo para participar de la consulta pública, que busca elaborar un borrador de la Política Nacional (chilena) de Inteligencia Artificial. El proceso comenzó en 2020, con una serie de encuentros que contaron la participación de diversas organizaciones públicas, académicas y de la sociedad civil, Derechos Digitales entre ellas. Habiendo tomado rol activo en el proceso, nos parece relevante establecer algunas consideraciones críticas al borrador de la política propuesta y al mecanismo elegido para llevar a cabo su discusión.

Uno de los componentes centrales para la aplicación exitosa de cualquier política pública es la legitimidad que la ciudadanía atribuye al actuar estatal. Desde ahí es posible articular una dinámica que expanda la acción estatal más allá del ámbito de la coacción y se oriente en favor de la configuración de un horizonte que movilice a diversos actores sociales hacia objetivos comunes. De este modo, tras cada política pública subyace una promesa de mejora o desarrollo. En esta línea, es esperable que exista también un diagnóstico que justifique la promesa que articula la política en cuestión. Tomando en consideración el horizonte normativo propuesto, lo razonable es que esta nueva reglamentación sea explícita respecto de los agentes, instituciones y articulaciones requeridas para conducirla en los plazos comprometidos.

En el caso de la Política de Inteligencia Artificial, no sería exagerado mencionar que gran parte de estos elementos no se pueden identificar de forma clara en el documento propuesto. Uno de los primeros problemas que se identificó contempla la dificultad para definir el propio concepto de “inteligencia artificial” (IA), así como anticipar sus eventuales ámbitos de aplicación.

Sobre la inteligencia artificial se manejan algunas cosas: que supondrá una nueva forma de establecer relaciones entre seres humanos y máquinas, entre ellas mismas y entre los propios humanos, gracias al desarrollo maquínico. Pero vaya que resulta costoso afincar el concepto en una definición funcional y que sea capaz de identificar los riesgos asociados al surgimiento de tal desarrollo tecnológico. Sabemos también que “inteligencia artificial” se asocia a eficiencia y rapidez, pero al mismo tiempo resuena en la reproducción de patrones de discriminación.

Resulta lamentable verificar que la política propuesta no descansa sobre un diagnóstico sistemático de las capacidades y articulaciones existentes en el país, además de aquellas brechas que podrían ser subsanadas mediante la aplicación de tecnologías de inteligencia artificial. La falta de un diagnóstico acucioso muestra una comprensión deficitaria de la economía política que subyace al desarrollo de estas tecnologías. En particular, respecto al desbalance existente entre el norte y el sur globales, y nuestra posición relativa como país en este contexto.

Pese a coquetear con la comprensión de la inteligencia artificial como una articulación socio-técnica, esta aproximación no articula la estructura del borrador. Así lo anticipaba la investigadora Carolina Gainza en octubre pasado, pues hasta ahora no se tiene en cuenta las implicancias de tales desarrollos, ni cuál es el rol de las humanidades y las ciencias sociales en esta discusión.

Antes bien, el borrador propuesto se plantea como una declaración bastante optimista sobre los desarrollos en inteligencia artificial y asume la permanente ampliación del ámbito de aplicación de estas tecnologías. No solo carece de una visión crítica respecto de para qué promover tales tecnologías, la mayoría de las veces menciona una perspectiva en torno a la gestión de las tecnologías desde una lógica de intervención vertical que omite futuros cambios en la estructura del Estado (cuestión que resulta relevante ante el proceso de discusión constitucional en la que se encuentra Chile).

Otro problema serio se presenta en la configuración de la estructura del documento, ordenado en torno a tres ejes: (1) factores habilitantes, (2) desarrollo y adopción y (3) ética, aspectos legales y regulatorios e impactos socioeconómicos.

El aspecto más complejo se encuentra en el tercer punto y es de articulación lógica: en el mismo eje se consideran los elementos normativos —orientaciones éticas y ordenamiento legal—, junto a los impactos previstos de la aplicación de tecnologías de inteligencia artificial. Es fundamental distinguir ambos elementos. Mientras el primero señala el marco desde el cual se desarrollarán las innovaciones tecnológicas, el segundo se refiere a sus consecuencias e incluye la variable de género. A nuestro juicio, esta mención debería ser un elemento primordial en la estructura del planteamiento de la política, así como la comprensión de estas tecnologías más allá de su estricta dimensión tecnológica.

En este sentido, cabe preguntarse, ¿qué es el orden normativo sino uno de los propios factores habilitantes para el desarrollo de cualquier tipo de empresa?

Cabe destacar que las orientaciones éticas ­—por sí solas— no serán capaces de ordenar el despliegue de este tipo de dispositivos. Es necesario contar con un marco normativo explícito, vinculante, que establezca los límites para la acción estatal y privada ante los riesgos de su implementación. Este marco normativo no parte de una hoja en blanco, si no por el contrario, es necesario tomar en cuenta las obligaciones vigentes para Chile en la promoción y protección de derechos humanos, que están igualmente vigentes con respecto a las tecnologías que el Estado y las empresas implementen.

Los riesgos no son pocos, pues hablamos de potenciales usos inadecuados de datos personales, que incluso pueden llevar a la exclusión en el acceso a bienes públicos o a discriminaciones arbitrarias en las relaciones entre privados.

La semana pasada se conmemoró el Día internacional de la protección de datos personales, una efeméride que enmarca la discusión sobre inteligencia artificial, pues los datos personales son una condición para el despliegue de la mentada inteligencia. ¡Y vaya que tenemos mucho por avanzar en esta tarea! Sobre todo, antes de abrazar el despliegue de la próxima tecnología de moda sin mediar mayor crítica.

Es por esto que es necesario revisar el mecanismo mediante el cual se ejercerá la participación pública del documento en cuestión. Así, un espacio de comentarios de tan solo 1.500 caracteres es a todas luces insuficiente, por tanto se requiere un formulario que evalúe el nivel de acuerdo con los objetivos y principios propuestos. No se está midiendo qué tan de acuerdo se puede estar entre afirmaciones polares, como si fuese una encuesta de opinión; lo que se busca es analizar de manera crítica una propuesta de política pública. Así, las potenciales bondades de la participación ciudadana se diluyen en un mecanismo de consulta mezquino, que además justifica la existencia de esta columna y los comentarios ampliados que Derechos Digitales ha enviado esta semana al Ministerio de Ciencia y Tecnología.

De todas formas, es rescatable la existencia del procedimiento de consulta pública, ya que da pie al enriquecimiento de la discusión por parte de la ciudadanía.

Es de esperar que la reflexión de la comunidad de investigadoras e investigadores —así como de activistas de distintos sectores de la sociedad civil y personas naturales—, nos permita contar con una mejor Política Nacional de Inteligencia Artificial. Una política capaz de identificar con claridad los riesgos, ámbitos de desarrollo, las instituciones y agencias responsables; las normas necesarias para su gobernanza, y los plazos de cumplimiento, habilitando el seguimiento, participación y ejecución de estas acciones por parte de la ciudadanía y con ella al centro, no al margen.

Llorar sobre la leche derramada: El problema cultural del manejo de los datos personales

Hace pocos días se hizo público que los exámenes médicos y la información de salud de miles de personas habían sido expuestos debido a fallas de seguridad de los prestadores chilenos de servicios médicos RedSalud y Bupa. Sin embargo, el manejo de la noticia vino dado con un enfoque de peso en los datos de salud de diputados, senadores y otras autoridades, como si esta información sensible fuera la que originara la gravedad del fallo. 

A principios de la pandemia mundial por COVID-19 se publicó la información georreferenciada de personas que habían dado positivo al test de diagnóstico de la enfermedad; el medio responsable señaló que no los había publicado con detalle “para evitar peleas entre vecinos o actos de discriminación”. 

Este nivel de indolencia y lassez-faire en el manejo de la información privada es endémica: basta prestar atención por cinco segundos para notar cómo en América Latina nuestros números de identificación personal (llámese cédula, RUT, carnet o como prefieran) están esparcidos por las bases de datos más diversas, públicas, privadas, gubernamentales, bancarias y de retail, que se los intercambian como fichas de bingo. En Venezuela, a más inri del sistema de vigilancia omnipresente, el propio gobierno ha inventado mecanismos de phishing para obtener datos sobre la conducta política de sus ciudadanos.

Es fácil en este punto culpar a los ciudadanos por la facilidad con la que estamos dispuestos a entregar nuestros datos a cambio de un poco de comodidad, a dar nuestro número de identificación para obtener un descuento o a iniciar sesión con nuestra cuenta de Google para evitar crear una nueva contraseña.

Lo cierto es que estamos jugando con cartas marcadas: pretender que sea el ciudadano el que cargue con el peso de la desigualdad económica y social que implica proteger sus datos. Perderse ese descuento que puede, hacer una diferencia a fin de mes; o tener el tiempo y el conocimiento necesario para comprender cuál es el trasfondo de usar una red social en lugar de otra menos privada. Eso es trasladar responsabilidades a quien menos debería acarrear con ellas.

Si nuestros propios gobiernos no son capaces de enfrentar el problema de la protección de los datos personales con la seriedad que merece, si manejan bases de datos centralizadas e inseguras que son vulnerables ante cualquier ataque y tampoco toman las medidas necesarias para sancionar a las empresas privadas que llevan a cabo las mismas prácticas, entonces de nada vale que nos pongamos el sombrero de papel aluminio y nos alejemos de la vida en sociedad. 

¿Tendrá sentido que —de aquí a una década o quizás antes— tengamos que inventar nuevos mecanismos de verificación porque los patrones de nuestras huellas digitales se han perdido en una tras otra filtración de datos y ahora se requieren para hacer trámites bancarios, para comprar cosas, para entrar a nuestra casa o para desbloquear nuestro teléfono?

¿Valdrá la pena llorar sobre la leche derramada una vez que nuestra privacidad haya sido vulnerada hasta el punto de no retorno? ¿O quienes no tienen “nada que ocultar” publicarán finalmente la contraseña de su cuenta bancaria? 

Hasta que no comprendamos la gravedad de un problema que nos afecta a todos y todas, no solo a diputados y ministros, nuestros datos personales seguirán siendo fichas de intercambio en un juego en el que la casa siempre gana.

Protección de datos personales en Ecuador: El momento es ahora

A mediados de septiembre de 2019, la prensa internacional reportaba “la mayor filtración en línea de información personal en la historia de Ecuador”, con los datos de la casi totalidad de la ciudadanía expuestos. Se trataba de 18 GB de datos distribuidos en múltiples archivos, que incluían nombres, información financiera y otra información personal de 20 millones de personas.

Al comienzo de la pandemia, la declaración de Estado de Emergencia en Ecuador dispuso que “[p]ara el cumplimiento de las restricciones del presente Decreto se podrán utilizar plataformas satelitales y de telefonía móvil para monitorear la ubicación de personas en estado de cuarentena sanitaria y/o aislamiento obligatorio, que incumplan las restricciones dispuestas, a fin de ponerlas a disposición de las autoridades judiciales y administrativas competentes”. La sociedad civil de la región reaccionó con preocupación a este anuncio, planteando que esta medida revistía gravedad en un contexto en que, a pesar de la garantía de la privacidad consagrada en la Constitución, el Ecuador carece de una normativa legal y de una autoridad técnica e independiente que permita una adecuada protección de datos personales conforme a estándares internacionales de derechos humanos.

Como vemos, Ecuador sufre de una paradoja: reconoce la protección de datos personales como derecho fundamental, basado en su Constitución, así como en tratados internacionales de derechos humanos que protegen la privacidad, pero carece de una estructura legal interna para garantizar dicha protección, lo que deja a ecuatorianas y ecuatorianos en la práctica en la indefensión, ante situaciones y medidas como las descritas.

En efecto, Ecuador es uno de los pocos países de América Latina que no cuenta con una Ley de Protección de Datos Personales, mientras otros países de la región lo hacen desde más de 20 años, o la han aprobado recientemente. Para remediarlo, el 19 de septiembre de 2019 el presidente de la República presentó ante la Asamblea Nacional el Proyecto de Ley Orgánica de Protección de Datos Personales.

La iniciativa ha concluido su primera revisión por la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral, la cual ha presentado un texto consolidado a consideración del pleno de la Asamblea Nacional.

El proyecto está actualmente en tabla para su discusión y es crucial que las ecuatorianas y ecuatorianos se mantengan atentos a este desarrollo legislativo y movilicen a sus representantes de todo el espectro político para asegurar que esta ley —esencial para la efectividad del ejercicio de los derechos fundamentales de la ciudadanía en el siglo XXI— sea aprobada.

Para entender la relevancia de esta moción para el Ecuador hoy, y por qué no puede seguir siendo postergada su discusión, es necesario comprender la transversalidad del objeto regulado por la ley de protección de datos personales. Este derecho no solo garantiza la autodeterminación informativa y la privacidad, si no que posibilita el libre ejercicio de otros derechos como la libertad de expresión, la no discriminación, la participación ciudadana, el derecho a reunión pacífica, el acceso al empleo, la salud, la educación, entre otros.

El objetivo de la ley general de protección de datos personales es establecer reglas para el desarrollo de actividades que involucren la recolección y procesamiento de datos, por parte de agentes públicos y privados. Así como prevenir injerencias arbitrarias en el normal desarrollo de la vida de los ciudadanos y ciudadanas, de donde sea que tales injerencias vengan.

En un mundo cada vez más tecnologizado, la protección de los datos personales es indispensable, en especial para grupos vulnerables o históricamente marginalizados, para prever que la utilización de tecnología basada en el uso de esos datos pueda amplificar y replicar la dicriminación tradicionalmente sufrida. Esto aplica a la hora de postular a un crédito bancario comercial, recibir beneficios sociales del Estado o entrar en relación con una aseguradora de salud.

Hoy, los datos personales —cualquier información referida a una persona identificada o identificable— se entregan en todas las interacciones sociales, ya sea con el aparato público o entes privados que operan en todos los ámbitos de la economía, el quehacer social y cultural.

Sin embargo, por esa misma frecuencia y cotidianidad con que los datos personales se tranzan, muchas veces se pierde de vista que son una puerta a nuestra vida y nuestra posibilidad de interacción social. Una regulación de protección de datos personales permite que como ciudadanas y ciudadanos podamos contar con herramientas concretas para exigir límites en el uso de la información. Ese control es esencial para garantizar nuestra libertad, autonomía y dignidad como personas, frente al Estado y las empresas, donde las desproporciones de poder y potenciales impactos en ejercicio de derechos resultan más evidentes.

Actividades tales como tomar una cita médica, comprar alimentos, visitar sitios web, realizar búsquedas en internet, monitorear nuestros hábitos de sueño con dispositivos inteligentes, entregar información para acceder de una wifi pública y caminar por calles que cuentan con cámaras de seguridad, se traducen en un rastro de datos personales que puede ser recolectado en forma constante y que permite analizar nuestros hábitos, nuestras relaciones personales, nuestros gustos y necesidades, nuestras preferencias personales o políticas. Conocer esa información otorga un poder único para tomar decisiones sobre nuestra vida: ya sea ocupar un determinado puesto de trabajo, acceder a una oportunidad de educación, ser atendido preferentemente o no en la sala de urgencias, obtener un crédito bancario, recibir un beneficio social, ser cuestionado o no por participar en una manifestación pública, etc.

Una ley de protección de datos personales es precisamente el instrumento a través del cual las sociedades democráticas, comprometidas con la protección y promoción de los derechos humanos, establecen un marco que permite delimitar aquello que puede ser legítimamente conocido, analizado y utilizado para tomar decisiones a través nuestro.

La digitalización y automatización del tratamiento de datos personales propia del siglo XXI solo vuelve más evidente el problema y la necesidad urgente de su regulación, por la mayor capacidad técnica de recoger, almacenar y analizar datos personales. Pero una ley de protección de datos personales permite proteger a las personas de todo tipo de uso de sus datos —automatizados, o no, digitales o físicos— y de donde sea que provengan las amenazas entes públicos o privados.

Es indispensable que la ley de protección de datos personales que actualmente se discute en el Ecuador contemple los derechos que componen el núcleo esencial del derecho a la autodeterminación informativa, de lo contrario tal protección será ilusoria. Para eso la ley debe referirse a qué información personal puede recogerse, cómo se autoriza esa recogida, para qué puede usarse, por cuánto tiempo, cómo se resguarda, etc. En materia de protección de datos personales estas preguntas se traducen en determinados derechos que componen el núcleo esencial del derecho a la autodeterminación informativa, los famosos derechos ARCO: acceso, rectificación, cancelación y oposición. También, en principios tales como el de juridicidad, lealtad, transparencia, finalidad, pertinencia y minimización de datos personales, proporcionalidad del tratamiento, confidencialidad, calidad y exactitud, conservación, seguridad de datos personales, responsabilidad proactiva y demostrada, aplicación favorable al titular, e independencia del control.

Aquellas personas interesadas en proteger la habilidad de empresas o del Estado de tener control sobre la vida de las y los ciudadanos, intentarán decirles que este debate excede la sofisticación tecnológica, o la realidad económica y social del Ecuador. Algunos de esos puntos fueron levantados durante el debate registrado en algunas de las mesas de trabajo abiertas por la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral.

Sin embargo, afirmaciones de ese tipo no se avienen a la realidad, en la cual las y los ecuatorianos a diario experimentan los impactos del uso de sus datos personales (Sí, estamos pensando en ese llamado que recibiste el otro día de una empresa que ni conocías, ni eres cliente, pero que de forma misteriosa sabía lo que necesitabas).

Aquí no se trata de copiar modelos foráneos o adoptar instituciones que son de naturaleza controversial en el sistema interamericano de derechos humanos —como puede ser el derecho al olvido—. Se trata de no perder la oportunidad de dotar al Ecuador de una regulación moderna, para que se actualice en cuanto a las necesidades de una economía digital al servicio de la ciudadanía y, de paso, acorte su rezago respecto de otras naciones de la región que cuentan con este tipo de regulación hace dos décadas. Como compartió la Unidad de Flujos Internacionales y Protección de Datos de la Comisión Europea en sus contribuciones durante la tramitación de la Ley Orgánica de Protección de Datos, esta debe ser concebida “para establecer un sistema moderno de protección con características propias de un régimen moderno de protección de datos”.

Al inicio del debate legislativo de Ley Orgánica de Protección de Datos, en conjunto con la Asociación para el Progreso de las Comunicaciones presentamos a la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral un documento que ahonda en aspectos que consideramos indispensables para una buena política de protección de datos personales en el Ecuador. No se trata de estándares inalcanzables, ni de quedar entrampados en tecnicismos. Ecuador necesita definiciones claras respecto a lo que constituye un dato personal y un dato sensible (de manera no taxativa) y establecer niveles de protección acorde; principios vinculantes que hagan eco de la experiencia internacional —porque está demostrado que funcionan— y permitan orientar el régimen de protección de datos personales; una lista de derechos vinculantes de los titulares de los datos para garantizar que tengan control sobre su información personal; establecer obligaciones de los responsables de bases de datos, señalando con precisión a los sujetos obligados y los estándares de cumplimiento, en particular la seguridad; establecer un régimen sancionatorio de multas que sean disuasivas. Además, la creación de una autoridad de control que tenga la independencia necesaria y los mecanismos apropiados para garantizar la aplicación de la ley a todo ente público o privado.

Las excepciones al ámbito de aplicación de la ley y al consentimiento deben ser limitadas a casos excepcionales y establecidos con claridad. Para fortalecer las oportunidades de comercio del Ecuador con el exterior, la ley debe considerar la protección a los flujos transfronterizos de los datos, mediante mecanismos sometidos a una supervisión estricta y transparente, e incluir medidas de reparación para garantizar que los derechos de los usuarios viajen junto con sus datos. Los aspectos descritos en estos últimos dos párrafos son esenciales si se quiere garantizar la protección de los datos personales y, con ello, cumplir el estándar exigido por la Unión Europea para declarar a Ecuador un país adecuado en materia de protección de datos personales, cuya protección se ha transformado en el estándar global y cuyo cumplimiento es cuestión indispensable para el comercio digital.

Limitar la aplicación de la ley al flujo transfronterizo de datos o solo al contexto de relaciones comerciales y de consumo, o flexibilizar las normas sobre intercambio de datos personales bajo la excusa de que una ley proteccionista de los derechos de las personas significaría una traba para el desarrollo comercial del país, son falsos dilemas con los que algunos participantes del debate legislativo han intentado convencer a la Asamblea Nacional. Sin embargo, retrasar la discusión no deja ni los intereses económicos del Ecuador, ni el ejercicio de los derechos de su ciudadanía en mejor posición: solo mantiene en el rezago de alcanzar los beneficios de hacer exigibles sus derechos.

La atención de la ciudadanía al debate de la Ley Orgánica de Protección de Datos que se estará produciendo en la Asamblea Nacional en las próximas semanas es esencial para que sus representantes entiendan la necesidad de que se apruebe una legislación adecuada, que permita la plena protección de los derechos de las y los ecuatorianos: el momento es ahora.

La invasión de los dispositivos usurpadores de cuerpos

Tu smartphone sabe cuántas horas duermes, en qué plataformas de redes sociales pierdes tu tiempo y qué sitios visitas. Hay refrigeradores que no solo saben qué contienen, sino que son capaces de hacer la lista de compra por ti. Si tomas clases o exámenes a distancia debido a la pandemia, puede que la plataforma que tu escuela o universidad ha decidido usar quiera saber cuántas veces mueves los ojos y si los tienes fijos en la pantalla durante toda la clase. La nueva pulsera de Amazon no solo registra tu ejercicio o tus horas de sueño, sino que también tiene opiniones sobre tu voz, tu cuerpo y tu estilo de vida.

Parece que hace ya largo rato que, como sociedad, decidimos dar por superada la falsa dicotomía entre privacidad: hemos decidido que, mientras más datos tengan los dispositivos, aplicaciones y plataformas sobre nosotros, más fácil nos será hacer las compras, sincronizar todas las cosas y tomar la menor cantidad de decisiones posible.

Esta característica —que se denomina “function creep” y describe el hecho de que un determinado sistema sea usado para una finalidad distinta a aquella para la cual fue diseñado originalmente— es típica de las tecnologías modernas, que al “poder” llevar a cabo ciertas funciones o recoger ciertos datos (como la ubicación de una persona, su velocidad de movimiento o incluso, en el caso del Halo, su temperatura) terminan buscando posteriormente qué nuevas funciones pueden ofrecerse con los datos recabados, y no a la inversa.

Lo más importante es que estos datos son recolectados por empresas como Amazon con el objetivo primario de “ajustar sus recomendaciones”, es decir, de venderte más cosas, puesto que su negocio se basa en la pretención de querer conocer al usuario incluso más de lo que el usuario se conoce a sí mismo.

¿No reviste gravedad acaso el hecho de que, como usuarios, no tengamos la agencia necesaria para ejercer resistencia al enfrentarnos con la implementación de tecnologías como el reconocimiento facial y el rastreo de la mirada en el sector educativo? ¿No es grave que hayamos normalizado el hecho de que una aplicación “de salud” o “de menstruación” posea información íntima sobre nuestros cuerpos y pueda venderla con fines publicitarios? La pandemia, como toda crisis, ha sido el caldo de cultivo ideal para facilitar que la sociedad acepte más rápidamente medidas de vigilancia que se le ofrecen como tablas de salvación, como las coronapps, propiciando que se instalen soluciones que hacen retroceder la línea limítrofe de la privacidad de un modo que luego será sumamente difícil restaurar.

Se hace no solo necesario, sino urgente, replantearnos el orden de prioridades que, como sociedad, hemos asignado a nuestra privacidad y a los datos que existen sobre nuestro cuerpo y nuestra actividad en línea. En la era de lo público, en la que más que nunca parecemos estar viviendo conectados a una cámara, no es cierto que la privacidad sea una cosa del pasado a la que debemos renunciar: muy por el contrario, es cada vez más indispensable que rescatemos lo privado, el espacio donde nuestra humanidad, y por ende nuestra democracia y nuestra cultura cívica, pueden florecer de manera más libre.

La opacidad afecta la confianza en las agendas digitales

En enero de 2020, el gobierno salvadoreño presentó su Agenda Digital de País 2020-2030, en un contexto de enfrentamiento entre el presidente Nayib Bukele y la Asamblea Legislativa, a raíz de la solicitud del Ejecutivo de la aprobación de un préstamo por $109 millones para financiar la segunda etapa del denominado “Plan Control Territorial”.

La Agenda Digital de País 2020-2030 propone utilizar las tecnologías para implementar lo que denomina una “nueva gobernanza”. Esta agenda contiene 4 ejes programáticos, que básicamente se resumen en: 1. Identidad Digital; 2. Innovación, Educación y Competitividad; 3. Modernización del Estado; y 4. Gobernanza Digital.

Desde su lanzamiento, algunas dudas surgieron sobre la viabilidad de este ambicioso plan. En particular, aquellas referidas a los contrapesos y regulaciones necesarias para minimizar las afectaciones a los derechos y libertades que el uso de las tecnologías puede representar en una sociedad como la salvadoreña, en la que la conciencia de los derechos digitales y su ejercicio aún dista de ser ideal; en un país que aún no cuenta con una ley especializada en protección de datos personales y que tampoco cuenta con una política pública de ciberseguridad, entre otros riesgos.

En ese sentido, no era descabellado dudar sobre la protección y regulación en el uso de los datos que serán colectados para alimentar las soluciones tecnológicas que propondrá el gobierno, sobre quién tendrá acceso a ellos, qué destino tendrán esos datos, qué medidas de ciberseguridad se usarán para proteger los sistemas informáticos y la tecnología a implementar, cómo se evitará que las tecnologías implementadas y los datos colectados sean usados para la vigilancia indiscriminada, para la violación de los derechos o para favorecer intereses privados.

No obstante, era natural esperar que estas incertidumbres encontraran solución a medida que la actuación gubernamental pudiera ser evaluada. De ahí que el actual contexto de la pandemia de COVID-19 y la respuesta del Ejecutivo a la misma, haya servido para hacer una breve reflexión sobre estos temores.

Los temores se incrementan

En el marco de las acciones para enfrentar la pandemia de la COVID-19, el Ejecutivo salvadoreño tuvo a su disposición más de 3 mil millones de dólares, según informó el ex presidente del Banco Central de Reserva a la Comisión Especial de la Asamblea Legislativa, que investiga los gastos realizados por el gobierno de Bukele en este contexto.

Durante este mismo periodo, numerosos artículos periodísticos han revelado indicios de corrupción en los gastos realizados por el gobierno, como compras a empresas de familiares de funcionarios gubernamentales, compras a sobreprecios, compras de insumos médicos a empresas sin relación con el rubro, etc.

Ante estas revelaciones, lejos de corregir la opacidad en la rendición de cuentas, el gobierno de Bukele ha optado por obstaculizar el acceso a la información, al hacer un uso abusivo de las declaraciones de reserva contempladas en la Ley de Acceso a la Información Pública (Art. 19), sin cumplir con una adecuada fundamentación (Art. 21) para tal declaratoria.

Así, por ejemplo, el Ministerio de Agricultura y Ganadería puso en reserva la información relativa a la confección de paquetes alimenticios para ser entregados a personas en situación de vulnerabilidad, afectadas por la COVID-19, que esa cartera de Estado lideró. También, el Ministerio de Salud, uno de los que más señalamientos de compras anómalas ha recibido, declaró reservada la información contenida en memorándums y correspondencia producidos por el Laboratorio Nacional que realiza las pruebas COVID-19, así como los documentos relativos a la transición que el Centro Internacional de Ferias y Convenciones experimentó, para convertirse en el Hospital El Salvador. En ambos casos, las declaraciones de reserva fueron realizadas bajo una interpretación antojadiza de los preceptos legales que facultan esta declaratoria.

Aunque esta artimaña no es nueva, pues ya había sido utilizada para evitar rendir cuentas sobre gastos antes de la pandemia, su implementación recurrente en estas últimas semanas parece ser una pieza más de una estrategia del Ejecutivo de escapar, tanto del control de las instancias que constitucionalmente deben auditarlo, como del escrutinio de la sociedad. A esto se suma el interés del Ejecutivo por minar la independencia del Instituto de Acceso a la Información Pública –ente encargado de garantizar el acceso a la información pública y la protección de los datos personales– mediante el nombramiento de funcionarios afines a sus intereses políticos. Ese mismo interés se expresa en la flagrante desobediencia de los titulares de los ministerios señalados por indicios de corrupción a atender las demandas de explicación exigidas por la Asamblea Legislativa, y la negativa de la Policía Nacional Civil a cumplir su obligación constitucional cuando se ha requerido el apremio de los funcionarios que han ignorado estas solicitudes de la Asamblea.

Este esmero en optar por  la opacidad en la gestión del erario público, así como el proceso de desmantelamiento de la institucionalidad del Estado, reafirmado el 9 de febrero del presente año con la invasión de la Fuerza Armada al recinto Legislativo, y recrudecido con la desobediencia a las resoluciones del Órgano Judicial (incluyendo las de la Sala de lo Constitucional de la Corte Suprema de Justicia), son suficientes señales para incrementar los temores iniciales sobre la implementación de una Agenda Digital por parte del actual gobierno.

Y es que, con estos antecedentes, no puede confiarse la protección de los datos personales, de la privacidad, la libertad de expresión y la seguridad, a gobiernos capaces de ocultar sistemáticamente la información pública, de huir de la rendición de cuentas y de instrumentalizar a las fuerzas de seguridad del Estado con fines políticos. No podemos obviar el temor a que gobiernos opacos, que blanden el uso de las tecnologías como estandarte de modernidad, sientan el deseo de utilizarlas para la persecución política, la censura y el control de nuestros datos

En tal sentido, un estado de vigilancia permanente por parte de la sociedad civil nacional e internacional se vuelve necesario para prevenir el uso malicioso de las tecnologías desde el Estado, y para combatir agendas que busquen aumentar el control gubernamental sobre el despliegue de esas tecnologías. Considerando la muy probable victoria del oficialismo en las próximas elecciones de diputados, una nueva configuración del poder político podría darle un poder peligrosamente enorme a Bukele, lo cual vuelve urgente la contraloría social en el país. Esta actitud vigilante, claro está, aplica frente a cualquier mandatario o poder estatal, presente o futuro.