Temática: Protección de datos

Neuroderechos para qué, maldita sea

El pasado 21 de abril, el Senado chileno aprobó de forma unánime el proyecto de reforma constitucional para la incorporación de los “neuroderechos”. Así, Chile está en posición de convertirse en el primer país del mundo en contar con una legislación específica que garantice el derecho a la “neuroprotección”.

Pero lo que a primera vista podría parecer una buena noticia es, en el mejor de los casos, un avance cuestionable, que poco contribuye a la consolidación del sistema universal de protección de los derechos humanos, que ha tomado 75 años construir, instalar y fortalecer.

Neuroderechos: ¿qué y para qué?

A nivel internacional, el mayor promotor de la necesidad de avanzar en la protección de los neuroderechos es Rafael Yuste, neurobiólogo español, cuya propuesta ha encontrado gran eco en Chile, particularmente en el Senador Guido Girardi, miembro de la comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado. Juntos presentaron en octubre de 2020 dos proyectos de ley: el primero, la reforma constitucional recientemente aprobada por el Senado. El segundo, un proyecto de ley “Sobre protección de los neuroderechos y la integridad mental, y el desarrollo de la investigación y las neurotecnologías”.

Pero, ¿qué son exactamente los neuroderechos y por qué requerirían protección especial? No es una pregunta fácil de responder. El proyecto original presentado por Guirardi junto a Carolina Goic, Francisco Chahuán, Alfonso de Urresti y Juan Antonio Coloma señala que la finalidad es proteger la “dignidad humana” frente al uso de nuevas tecnologías, particularmente aquellas que tienen por objeto el “cerebro humano”, que “no se agota sólo en una dimensión física, sino que más bien se expande hacia su dimensión de potencialidad mental que envuelve los misterios de la existencia humana”. En lo concreto, el proyecto alude al derecho a la privacidad de los “neurodatos”, a la identidad personal y la autodeterminación, a la igualdad frente al aumento de capacidad cerebral y al control de sesgos de los algoritmos. Dentro de las preocupaciones mencionadas como detonantes del proyecto, se señala “la posibilidad de leer la actividad neuronal” y los anuncios realizados por la empresa Neuralink de Elon Musk .

Si bien es cierto que las neurotecnologías han avanzado de forma importante durante los últimos años, particularmente en el ámbito de las interfaces cerebro-computadores, y que empresas como Neuralink han hecho una serie de anuncios rimbombantes sobre las posibilidades más inmediatas del desarrollo de sus productos, la verdad es que la tecnología se encuentra todavía en un estado embrionario y los miedos específicamente estipulados en el proyecto de ley están lejos de poder materializarse.

Pero incluso si aceptamos la posibilidad de que en el futuro la manipulación neuronal sea algo cotidiano, lo cierto es que el proyecto parte de la premisa errada de que se requiere una protección nueva y especial para los neuroderechos frente a “las nuevas amenazas que el avance científico y tecnológico envuelve”.

La Constitución Política de la República de Chile, en el número 1º de su artículo 19º, garantiza “El derecho a la vida y a la integridad física y psíquica de la persona”, redacción que incluye la protección de cualquier potencial “neurodato” y resguarda por si misma el concepto de los “neuroderechos”. Si existiera una genuina preocupación por la protección de los derechos de las personas en relación con su indemnidad física y psíquica, el texto constitucional actual ofrecía suficientes garantías.

Sin embargo, el proyecto original buscaba la modificación del articulado de la siguiente manera:

“La integridad física y psíquica permite a las personas gozar plenamente de su identidad individual y de su libertad. Ninguna autoridad o individuo podrá, por medio de cualquier mecanismo tecnológico, aumentar, disminuir o perturbar dicha integridad individual sin el debido consentimiento. Sólo la ley podrá establecer los requisitos para limitar este derecho y los que debe cumplir el consentimiento en estos casos.

El desarrollo científico y tecnológico estará al servicio de las personas y se llevará a cabo con respeto a la vida y a la integridad física y psíquica. La ley regulará los requisitos y condiciones para su utilización en las personas, debiendo propender especialmente al resguardo de la actividad cerebral, así como la información proveniente de ella”.

Así, mientras la Constitución chilena ofrece una garantía absoluta al “derecho a la vida y a la integridad física y psíquica”, la redacción propuesta debilitaba este derecho al incorporar dos excepciones: el consentimiento y la ley. Es decir, que el derecho a la indemnidad física y psíquica podría ser limitado en virtud de la voluntad del propio perjudicado o mediante una ley que estableciera los requisitos de tal limitación y del consentimiento de las personas.

Afortunadamente, gracias a la valiosa colaboración de expertos y expertas durante la discusión del proyecto, y a las indicaciones presentadas por distintos parlamentarios, el texto fue modificado. Sin embargo, se mantuvo el segundo párrafo que incorpora la noción de que “[l]a ley regulará los requisitos y condiciones para su utilización en las personas”. Por vía interpretativa, es posible argumentar que esta inclusión solo se justifica si entendemos que mediante la ley se podría limitar el derecho en cuestión. De lo contrario, bastaba con el texto actual.

Una cuestión parecida ocurre con el segundo proyecto ingresado por Guirardi, que en vez de proteger a las personas de ser objeto de intervenciones no consentidas mediante la —innecesaria— incorporación de un “nuevo” derecho, abre la discusión sobre la intervención forzosa, mediante la incorporación de una serie de excepciones.

Lejos de ser una cuestión anecdótica, los proyectos tienen un potencial de daño y erosión de los derechos fundamentales que requiere atención, así como la deficiente técnica legislativa empleada y la finalidad ambigua que persiguen. Más todavía cuando estamos ad-portas de escribir una nueva constitución; la sospecha de que se trataría de una manera de presionar por la instalación de esta discusión en la nueva Carta Magna no es injustificada.

Los intentos por introducir nuevos conceptos nacidos de la euforia que producen las tecnologías de moda son nocivos por dos razones: en primer lugar, desvían energía y recursos que serían mejor aprovechados si los invirtiéramos en garantizar una mejor protección de los derechos hasta ahora reconocidos en nuevos contextos de desarrollo científico y tecnológico. En segundo lugar, nos empujan a una espiral inflacionaria en la que cada nuevo desarrollo tiene el potencial de cuestionar la vigencia de las protecciones ofrecidas por el sistema universal de los derechos humanos.

Así, la regulación de los neuroderechos palidece en urgencia si la comparamos, por ejemplo, con la paupérrima protección de los datos personales en nuestro país, y que hoy habilita el perfilamiento y la discriminación de personas.  La postergada modificación a la ley de datos personales podría ayudar a la protección no solo de los “neurodatos”, sino de los datos personales de cualquier tipo y, sin embargo, el proyecto acumula polvo en el Congreso desde 2017. Se trata de una necesidad que ha sido señalada en múltiples ocasiones por todas las expertas y expertos en la materia, y cuyos impactos no son potenciales como los de las neurotecnologías, sino tremendamente concretos.

Rafael Yuste propone que la protección de los “neuroderechos” debiese estar al nivel de los derechos humanos. Esta afirmación debería levantar escepticismo respecto a la comprensión que tiene Yuste de la problemática a nivel de derechos y cómo abordarla, pues evidencia ignorancia respecto a los desarrollos en torno a los conceptos de autonomía, dignidad humana y autodeterminación, que han forjado el centro del sistema universal de derechos humanos.

Puede ser que la propuesta nazca de una preocupación honesta y bienintencionada, pero cuando se aborda ignorando 75 años de desarrollo de la protección de derechos humanos —como en el caso chileno— lejos de ofrecer solución a problemas inexistentes, genera riesgos reales e innecesarios.

No podemos pretender reinventar la rueda a cada rato. No es cierto que cada nuevo desafío tecnológico ponga en entredicho derechos y principios que, por su esencia, son posibles de actualización y refinación permanente. Enfoquemos nuestros esfuerzos en los problemas que enfrenta la ciudadanía hoy, con soluciones efectivas y eficientes.

Artificios “inteligentes” y la falta de inclusión en América Latina

El pasado lunes 19 de abril, Derechos Digitales presentó públicamente la iniciativa Inteligencia Artificial e Inclusión en América Latina. El proyecto incluye estudios desarrollados por especialistas en cuatro países de la región sobre la implementación de sistemas tecnológicos con aspectos de automatización a partir del sector público.

Hasta el momento, las características de este tipo de despliegue tecnológico en la región han sido escasamente documentadas. Sin embargo, más rápido que cualquier análisis, la implementación de tecnologías digitales sigue avanzando silenciosamente, con pocos espacios de debate y participación ciudadana. Así lo evidencian los casos analizados en Brasil, Chile, Colombia y Uruguay.

Es preocupante observar cómo antes de enfrentar los desafíos relacionados a la digitalización y al establecimiento de procedimientos adecuados de gobernanza de datos, los gobiernos se empeén en automatizar procesos por medio de sistemas tecnológicos que agregan nuevas capas de complejidad y opacidad. Aún más cuando pueden afectar derechos fundamentales como a la asistencia social, el empleo, la justicia o la salud; o culminar en intervenciones discriminatorias en la vida de las personas por parte del Estado.

Un nuevo fetiche

A partir de los casos analizados, una de las primeras cuestiones que llama la atención es la adopción de tecnologías que, antes de su despliegue, carecían de cualquier evidencia sobre su necesidad o utilidad. Es decir, se desarrollan e implementan “soluciones” a problemas insuficientemente descritos, pues en general no existe un diagnóstico previo que las justifique.

Esta falta de diagnóstico resulta crítica en tres aspectos: 1) a qué finalidad sirve la solución tecnológica específica (incluido el análisis de su adecuación al problema),  2) la preparación en el aparato administrativo para su implementación y 3) la capacidad de la ciudadanía de comprender los efectos de la solución tecnológica. Como consecuencia, la implementación de sistemas tecnológicos complejos resulta por sí sola problemática frente a un contexto insuficientemente preparado para su despliegue e impotente frente a su funcionamiento.

En los cuatro países analizados, la manera en que implementadas las distintas iniciativas revela una importante discrecionalidad y ausencia de planificación sobre el uso de tecnologías a nivel gubernamental. Por cierto, esta condición refleja una tendencia a nivel regional más allá de los cuatro países inicialmente considerados en nuestra investigación.

La característica común parece ser una aproximación de «solucionismo tecnológico»: la expectativa de que la tecnología digital sea solución a complejos problemas políticos y sociales. En este sentido, la enorme promoción a nivel global de tecnologías de inteligencia artificial las convierte en objeto de deseo para servidores públicos dispuestos a poner en riesgo a la ciudadanía para satisfacer la imagen de un Estado fuerte y moderno, independientemente de sus reales capacidades “inteligentes”.

Los cimientos del sistema

Si bien la innovación a nivel estatal es bienvenida y puede ser útil para lidiar con problemas de la gestión pública, es inaceptable que iniciativas que puedan implicar el acceso y procesamiento de inmensas cantidades de datos personales no pasen por discusiones previas y sin contar con un marco de legalidad adecuado. Pese a la ausencia de una discusión específica sobre la implementación de sistemas automatizados, los marcos normativos para lidiar con la protección de datos en los países analizados son todavía muy desiguales.

Como es sabido, el marco de protección de datos personales es demasiado limitado para regular sistemas de inteligencia artificial, pues apunta apenas a una arista de los mismos: la recolección y tratamiento de la información sobre personas naturales. No obstante, es ese ámbito del derecho donde, por su conexión con nuevas e intensas formas de procesamiento, se observan avances normativos, como garantías específicas para favorecer la “explicabilidad” de decisiones automatizadas o para integrar la revisión humana de esas decisiones. El intento brasileño de incorporar ambos aspectos en su normativa, detenido por veto presidencial, revela una importante falta de voluntad política por poner los intereses de la ciudadanía por encima de los imperativos de las industrias de tecnología, lo que seguramente no es exclusivo de un país.

Al mismo tiempo, la existencia de normas de protección de datos en los cuatro países analizados no han asegurado que los principios y reglas de la temática estuvieran en el centro de la atención estatal. Por el contrario, una característica común es la variación en la base legal para el tratamiento de datos, con el consentimiento como un factor a veces relevante, pero a menudo con bases de datos distintas y autorizaciones legales difusas para la inclusión de información desde diversas fuentes. Es decir, el aparato público extiende su función a partir de su legitimidad legal, sin tomar los debidos resguardos en obtener el consentimiento de las personas que se convierten en objeto de intervención estatal.

Esta es la clase de razones que explicitan la demanda no solo de una normativa para la fiscalización de los datos personales, sino de una autoridad pública de control, dedicada, especializada y con atribuciones para intervenir en la acción de otras agencias estatales si fuera necesario.

Pero como hemos dicho, la regulación de datos personales es apenas una arista. Parte importante de la acción estatal pasa por el estímulo a la inteligencia artificial, entendida como una vía de desarrollo industrial nacional. No obstante, esto tampoco es suficiente sin una visión completa sobre los distintos aspectos que confluyen en esta problemática. Si, por un lado, algunos gobiernos tratan de propagar sus principios o estrategias generales de inteligencia artificial, por otro, hay muy poca especificidad en cómo esos documentos guiarán la implementación de tecnologías desde el sector público. Por ejemplo, cuál será la importancia que darán a los derechos fundamentales y la transparencia.

Opacidad sin límites

Quizás uno de los problemas más relevantes que observamos cuando se trata de la adquisición estatal de tecnologías es la ausencia o insuficiencia de mecanismos para la integración directa de los intereses de la ciudadanía. En otras palabras: la falta de análisis conjunto con actores relevantes del sistema de forma previa a cada despliegue, la ausencia de mecanismos de control compartidos por intereses multisectoriales y la carencia de mecanismos de evaluación posterior.

Las falencias son múltiples: a la opacidad tradicionalmente asociada a sistemas de decisión automatizada, se suma la exclusión de la participación pública en el despliegue de los sistemas y la ausencia de mecanismos abiertos y transparentes de evaluación en la consecución de sus fines.

Los problemas que derivan de esa opacidad potenciada son también numerosos y conllevan, incluso, la insuficiencia de perspectivas diversas sobre los posibles impactos. La decisión pública sustentada únicamente en máquinas resulta una forma extrema de tecnocracia, que puede erosionar la legitimidad del aparato estatal y pone en discusión la real vinculación con los problemas que en teoría están destinados a abordar.

Hacia una agenda de gobernanza desde los gobernados

A partir de la recolección de datos empíricos sobre la implementación de sistemas automatizados o semi-automatizados es posible buscar factores comunes que faciliten, con base en el Sistema Interamericano de Derechos Humanos, una inminente discusión sobre el desarrollo de estándares regionales para su uso. Estos deberán orientar la producción de marcos normativos que hagan de la implementación de tecnologías, desde lo público, una expresión de las aspiraciones de la ciudadanía sobre el Estado, y no de las aspiraciones de una modernidad vacía.

Pero este es apenas un paso inicial y el desarrollo normativo está lejos de responder a los inmensos desafíos que se presentan. Derechos Digitales seguirá trabajando para generar evidencia y explorando nuevos espacios de diálogo sobre el desarrollo futuro de la tecnología en América Latina.

Revisa Inteligencia Artificial e inclusión aquí.

Desentrañando la vigilancia que llegó junto a la pandemia

En marzo de 2020, en un par de semanas, varios países de América Latina confirmaron sus primeros casos de Covid-19 y adoptaron medidas para evitar la propagación. Luego de que la Organización Mundial de la Salud (OMS) declaró la pandemia del virus, comenzaron los esfuerzos de confinamiento obligatorio en la región, y también en Chile.

En el marco de la iniciativa “Sonríe #estamosvigilando”, coordinada por el Centro por la Justicia y el Derecho Internacional (CEJIL), el pasado 18 de marzo presentamos solicitudes de acceso a la información pública para conocer los aspectos asociados a las tecnologías utilizadas por el gobierno, CoronApp y el sitio web Comisaría virtual (comisariavirtual.cl). El objetivo es identificar las prácticas que busquen garantizar la transparencia y la protección de los derechos humanos frente a la ejecución de tecnologías de gestión de la información durante este periodo, además de saber cuánto se dirige a fines sanitarios, y cuánto a crear nuevas formas y mecanismos de vigilancia.

A medida que la pandemia ha avanzado, los Estados y los actores privados se han apresurado en implementar soluciones tecnológicas que prometen identificar y rastrear el virus para contenerlo. Pero, al mismo tiempo, estas soluciones recogen información que es útil para vigilar y seguir a las personas mediante datos telefónicos, reconocimiento facial, cámaras, georreferenciación, control de la temperatura y otros. En este proceso, las aplicaciones conservan datos personales y sensibles sin las suficientes garantías para su protección o tratamiento. Por esto, a raíz de los riesgos que presentan para los derechos humanos, resulta necesario saber las condiciones de diseño e implementación.

Tanto CoronaApp como el sitio web Comisaría virtual proponen varias funcionalidades sin dar a conocer cuál es su utilización real y, como Derechos Digitales ha destacado desde su activación, parecieran ser problemáticas. De acuerdo a la legislación vigente en Chile, los datos necesarios para activar la aplicación o para obtener permisos y salvoconductos en comunas con restricciones de movilidad, cada vez que dan cuenta del estado de salud o hábitos personales del usuario se trata de datos personales o datos personales sensibles.

Esto genera dudas respecto al uso de información recabada mediante CoronaApp, en tanto se solicitan datos que permiten identificar a las personas como el nombre, DNI y edad. Lo mismo sucede con la Comisaría Virtual, pues al no existir claridad acerca de sus condiciones de procesamiento, es posible que la herramienta administrativa se convierta en un mecanismo de perfilamiento y vigilancia. Asimismo, las políticas de privacidad de dichas tecnologías no precisan las medidas de seguridad y confidencialidad según las que serán guardados estos datos, y solo abordan de manera genérica las condiciones de almacenamiento, acceso y uso de la información recolectada. Tampoco se establecen con claridad las condiciones y periodos de almacenamiento de la información, ni un procedimiento para que los titulares puedan ejercer su derecho de acceso, rectificación, cancelación u oposición de esos datos de acuerdo a la Ley Nº 19.628.

A falta de mejores resguardos normativos, la transparencia sobre las condiciones de tratamiento de datos personales se hace más relevante. Por consiguiente, hemos solicitado a los distintos organismos involucrados tanto en la implementación de dichas plataformas, como en la fiscalización y promoción de las garantías fundamentales que podrían verse afectadas por estos sistemas de recolección y uso de datos personales. Además de una serie de requerimientos de información pública sobre el uso y el impacto de estas tecnologías, para garantizar que la vigilancia no viole otros derechos fundamentales, como la privacidad, el acceso a la información, la integridad personal, o los derechos a la igualdad y a la salud.

La información sobre las políticas de privacidad existentes no es suficiente y, del mismo modo, la forma en que los datos han sido manejados a lo largo del primer año de la pandemia se torna preocupante. Entre otras cosas, solicitamos información respecto a especificaciones técnicas de las tecnologías, las finalidades específicas de la recolección y tratamiento de las distintas categorías de datos recolectados, los mecanismos y plazos de almacenamiento, los datos que son objeto de transferencia y bajo qué condiciones, así como antecedentes y evaluaciones jurídicas que den cuenta de una evaluación previa a la puesta en marcha de los sistemas.

Cuando se despliegan herramientas tecnológicas con propósitos de interés público, las medidas adoptadas deben ser transparentes, y deben ser evaluadas para determinar su eficacia e impacto en los derechos fundamentales. Esto es importante, sobre todo cuando estamos frente a un patrón de adquisición o producción de tecnologías digitales susceptibles a convertirse en factores útiles para la vigilancia como parte de las funciones estatales.

La implementación de estas herramientas no puede llevarse a cabo afectando los derechos fundamentales. Cualquier persona debería tener derecho a acceder a toda la información relevante sobre las tecnologías de vigilancia desplegadas, incluyendo el alcance, el objetivo de los datos recogidos y los resultados.

Ley de datos personales: sin pausa, pero sin prisa y de cara a la sociedad

El Salvador es uno de los pocos países en la región que aún no cuenta con una legislación específica para la protección de los Datos Personales. A pesar de contar con algunas reglas dispersas, como un breve capítulo en la Ley de Acceso a la Información Pública (LAIP) y algunas normas en leyes sectoriales (Ley de Regulación de los Servicios de Información sobre el Historial de Créditos de las Personas, Ley de la Firma Electrónica, Ley de Partidos Políticos, por mencionar algunas), todavía no existe una ley general en la materia. El propio derecho de acceso a la información personal (Habeas Data) en el país constituye un destacado desarrollo de la jurisprudencia, formulado por la Sala de lo Constitucional de la Corte Suprema de Justicia.

Así las cosas, la necesidad de tener una legislación especializada y coherente con los estándares internacionales de derechos humanos, que abarque el ámbito público y privado, es primordial. No solamente por la necesidad de actualización frente al procesamiento manual de datos del pasado, sino por el crecimiento de la capacidad de procesamiento automatizado que atraviesa cada aspecto de la vida social, en el presente y el futuro, a nivel nacional y global. A pesar de la escasa protección en el ámbito preventivo, asistimos al uso cada vez más frecuente de herramientas tecnológicas, tanto en lo público como en lo privado, sobre las cuales pocas veces se reflexiona y sobre las que la ley tiene alcance limitado para proteger los derechos de las personas.

La ausencia de reglas expresas que permitan la protección de la información personal, tiene ejemplos concretos de riesgos, tanto de parte del Estado como de privados. Desde el año 2017 la Alcaldía del municipio de Santa Tecla ha desplegado cámaras con reconocimiento facial; en la misma línea, el gobierno central solicitó un préstamo para financiar su estrategia de combate a la delincuencia, en el que se incluía la compra de cámaras con tecnología de reconocimiento facial, la compra de drones para la Policía y para el Ejército, y la instalación de centros de monitoreo para ambas instituciones. La empresa privada no se queda atrás: en algunos centros comerciales, a raíz de la pandemia, se instalaron cámaras térmicas para medir la temperatura de los visitantes, sin que se sepa a ciencia cierta si están dotadas con tecnología para el reconocimiento facial o si se almacenan las imágenes captadas; todo sobre lo cual no se informa a los usuarios al ingresar.

En este contexto de uso de tecnologías susceptibles de almacenar datos personales como las descritas, se anunció la discusión en la Asamblea Legislativa de un proyecto de Ley de Protección de Datos Personales, lo que constituye en principio una excelente noticia. La propuesta se encuentra en discusión previa aprobación del articulado dentro de la Comisión de Economía donde, una vez obtenido dictamen favorable, el proyecto pasará a discusión en el Pleno Legislativo.

Si bien es cierto que tanto la información oficial como la de prensa dan cuenta de la participación de algunas instituciones de la sociedad civil en el proceso consultivo de las distintas propuestas de anteproyecto, no se tuvo una publicidad adecuada para que cualquier ciudadano pudiera expresar su opinión sobre la normativa y se produjera un debate más amplio en la sociedad acerca de aspectos que necesitan ser incorporados en esta regulación. Además, mucha de la discusión se dio en el marco de la emergencia por COVID-19, lo que distrajo naturalmente la atención de la ciudadanía. Sin embargo, por ser un tema de mucha importancia para el país, la discusión merece al menos una atención amplia, por lo determinante que resulta para el ejercicio de los derechos fundamentales de las y los salvadoreños. A continuación presentamos nuestra breves consideraciones geenerales sobre el Anteproyecto de Ley unificado, para contribuir a este debate, en la mira de involucrar a la ciudadanía con su atención a esta discusión.

Antecedentes sobre la protección de datos personales en El Salvador

La protección de datos personales en El Salvador tiene su mejor expresión no en la ley, sino en la jurisprudencia. Desde la sentencia de Amparo 934-2007, la Sala de lo Constitucional sostuvo que “… el derecho a la autodeterminación informativa tiene por objeto preservar la información de las personas que se encuentra contenida en registros públicos o privados frente a su utilización arbitraria —especialmente la almacenada a través de medios informáticos—, sin que necesariamente se deba tratar de datos íntimos”.

En la sentencia de Amparo 142-2012, la Sala desarrolló el contenido del derecho a la autodeterminación; señaló que la faceta material de este derecho permite a las personas definir la intensidad con que desea que se conozcan y circulen tanto su identidad como otras circunstancias y datos personales; combatir las inexactitudes o falsedades que las alteren; y defenderse de cualquier utilización abusiva, arbitraria, desleal o ilegal que pretenda hacerse de esos datos; que, para conseguir estos fines, se cuenta con la técnica de protección de datos, que se encuentra integrada por un conjunto de  derechos subjetivos, deberes, principios, procedimientos, instituciones y reglas objetivas. En esta sentencia se desarrollan los derechos de los usuarios, así como los principios de la protección de datos personales y algunas reglas para este fin.

Estas sentencias fueron el antecedente para la protección de datos personales. Algunas de estas consideraciones fueron incorporadas en la Ley de Acceso a la Información Pública (art. 31 a 39) y en los Lineamientos Generales para la Protección de Datos Personales en los Entes Obligados, emitidos por el Instituto de Acceso a la Información Pública (IAIP). Se trata de un reconocimiento todavía limitado, que el nuevo anteproyecto vendría a complementar.

El anteproyecto de ley de datos personales

La propuesta de Ley declara su objetivo en su artículo 1: la protección de los datos personales de las personas naturales “… para garantizar el derecho a la intimidad y el derecho a la autodeterminación informativa de las personas naturales”. Resulta muy positivo que se considere el derecho a la autodeterminación informativa como un derecho autónomo del derecho a la intimidad. Sin embargo, aunque en su articulado hay una lógica de interconectar la autodeterminación informativa con otros derechos como la libertad de expresión y el acceso a la información, hubiera sido provechoso dejar en claro esta relación en los considerandos o de manera más explícita en las disposiciones normativas.

El anteproyecto apunta a la regulación del tratamiento de datos personales en general. Sin embargo, al fijar su propio ámbito de aplicación, la propuesta contempla excepciones con algunos elementos que levantan alertas. Por ejemplo, se excluye de la aplicación de la ley a los datos del historial crediticio, hoy regulados en una normativa específica, impidiendo así parámetros comunes para la protección de datos. Por otro lado, excluye la recolección para fines familiares, referidos a los que carezcan de “utilización comercial”, dejando amplio margen de interpretación para excluir de la aplicación de la ley. Finalmente, se excluye el uso de datos con fines de “seguridad pública” o “seguridad del Estado”, sin suficiente precisión sobre el alcance de tales conceptos que permita prevenir las injerencias estatales arbitrarias en la esfera de la autodeterminación informativa, sobre todo mediante tecnologías de vigilancia. Se trata de exclusiones amplias, que restan protección a la información personal en una vasta cantidad de posibles usos por empresas y por el Estado.

Las definiciones del anteproyecto también muestran falta de claridad o precisión. Por ejemplo, el proyecto señala que, por el principio de legalidad, los datos “…deben ser procesados de manera legal”, una expresión circular que no conduce a nada. Por el contrario, la definición debería considerar que, por este principio, la información debe ser procesada en una base jurídica clara, con un propósito claro, y de una manera justa y transparente. Por otra parte, la redacción del principio de privacidad es confusa, mientras que la referida al principio de licitud está poco desarrollada. Y hay aun más ejemplos que demuestran la necesidad de un debate más robusto que auxilie a la redacción de la ley.

También merece atención la protección a una de las categorías especiales de información: los datos personales de niños, niñas y adolescentes. No basta con mencionar únicamente el interés superior de las personas menores de 18 años o las leyes y tratados internacionales pertinentes para considerar que se está prestando la atención requerida a esta categoría de datos. El tratamiento de estos datos debe ser lo más restrictivo posible y no puede permitirse su tratamiento libre, aunque estos sean de naturaleza pública. Esta carencia debe ser subsanada por la ley.

La propuesta de normativa desarrolla los derechos de las personas sobre los datos de los que son titulares, consagrando así los denominados derechos ARCO (acceso, rectificación, cancelación y oposición), siguiendo la tradición y la práctica de muchos países en la materia (Art. 6). Sin embargo, tanto la definición de estos derechos como su operatividad resultan problemáticos. Por un lado, el legislador está equiparando el derecho de cancelación o eliminación de datos con el “olvido”, y al derecho de oposición lo denomina derechamente “derecho al olvido”. Podría pensarse que es una confusión o que se trata de meros sinónimos, pero al momento de señalar las excepciones al derecho de supresión (art. 10), se incluye la hipótesis de que los datos sean necesarios para ejercer la libertad de expresión y prensa, algo que no podría ser congruente si se estuviera legislando sobre el derecho al olvido.

Por otra parte, las excepciones a los derechos ARCO (Art. 18) contienen disposiciones de interpretación muy amplia. Por ejemplo, puede negarse el ejercicio de los derechos en caso de lesiones a los derechos de un tercero, sin más desarrollo que permita saber cómo se acredita esa lesión o por quién; se menciona también la resolución de una “autoridad competente” sin especificar de qué autoridad se trata; finalmente, autoriza la denegación de los derechos de manera genérica en “los demás casos establecidos en la presente ley u otras leyes aplicables”, sin exigir el cumplimiento de estándares de legalidad, necesidad y proporcionalidad en la afectación del ejercicio de derechos fundamentales.

El artículo 56 autoriza el tratamiento de datos para la elaboración de perfiles con fines promocionales, comerciales o publicitarios. Aunque se señala que estos datos deben haber sido obtenidos con el consentimiento de los usuarios, más parece una “solución” para aquellos casos en los que las empresas recolectan datos sin que los usuarios lo sepan, que una obligación para cumplir con este requisito de consentimiento informado. Por otro lado, no se hacen exigencias adicionales para el consentimiento expreso para transferir a terceros los datos que ha recopilado de esta forma y para estos fines.

La necesidad de una autoridad de control

Como es habitual en las discusiones modernas sobre protección de datos personales, se intenta regular teniendo en mente la existencia de una autoridad de control de datos personales, es decir, un órgano estatal encargado de la fiscalización y la observancia de la ley. Esta discusión no está del todo zanjada en el proyecto de ley de datos personales, y es un debate legislativo complejo y con distintas posiciones dentro del país.

En las discusiones sobre la autoridad que debería encargarse de la protección de los datos personales, se han barajado al menos tres opciones: 1. Que asuma ese rol el Instituto de Acceso a la Información Pública, el ente que actualmente tiene bajo su competencia velar por el acceso a la información pública y la protección de los datos personales en el Estado; 2. Que la Dirección de Protección al Consumidor (DPC) tenga esa competencia; y, 3. Que se dé origen a un nuevo ente público. Los argumentos a favor de cada una de ellas varían entre la disponibilidad inmediata de personal capacitado en el IAIP, la visión más comercial de incluir a la DPC y la ventaja de formar desde cero un nuevo ente, autónomo, independiente, con capacidad técnica y con presupuesto propio. A esas opciones se suma una cuarta alternativa: la competencia en esta materia podría recaer sobre una Autoridad Nacional Digital, regulada por una ley especial bajo el mismo nombre, que, además, tendría atribuciones sobre el acceso universal a internet, el comercio electrónico, la economía del conocimiento, la firma electrónica y la ciberseguridad.

Consideramos que la multiplicidad de funciones puede generar controversias innecesarias cuando se trate, por ejemplo, de la protección de datos personales frente a injerencias de empresas que puedan ver esta protección como una limitante para el desarrollo de sus negocios en el ámbito del comercio electrónico. A la vez, la multiplicidad de funciones puede ser contraria a la especialidad técnica que la protección de datos personales requiere, en particular frente a los desafíos de la tecnología y a la creciente complejidad de los modelos de explotación de la información personal. La autoridad que proteja los datos personales debe estar disponible de manera especial para ese fin, con suficiente autonomía para garantizar una real independencia para aplicar la ley y velar por los intereses y derechos de los titulares de los datos personales, tanto a entes públicos como privados que colectan datos personales, con facultades fiscalizadoras y sancionatorias que hagan efectiva la protección.

Por cierto, no se trata de problemas insalvables. Pero creemos que partes relevantes de la capacidad operativa de la propia ley y el establecimiento de sus mecanismos de observancia no deberían ser dejados a una discusión posterior sobre la autoridad de control. Esta es la oportunidad de fijar no solamente los parámetros sustantivos para la protección de la autodeterminación informativa, sino también el marco para permitir su cumplimiento, tanto a petición de los titulares como por la intervención proactiva de una autoridad fuerte.

Próximos pasos hacia una ley de datos personales

Como Derechos Digitales, hemos acompañado varios procesos en la región para la discusión y desarrollo de normativa de protección de datos personales y nos ponemos a disposición de la discusión en El Salvador para poder aportar desde esa experiencia Latinoamericana. Sabemos que no es tarea fácil para los países que se ponen de cara a ese desafío, pero hemos visto cómo la participación de grupos amplios de sociedad civil con conocimiento técnico en la materia puede ser un aporte para perfeccionar la técnica legislativa, en una forma consciente de los desafíos y oportunidades de cada realidad nacional. Con los puntos aquí presentados buscamos llamar la atención sobre la necesidad de discutir en profundidad un tema que es de vital importancia para las y los salvadoreños: La recolección de datos se da en muchísimos ámbitos de nuestras vidas, desde acceder a un sitio web, caminar en una calle con cámaras de vigilancia, comprar en línea, usar aplicaciones bancarias, ingresar a centros comerciales, residenciales o sitios de entretenimiento. La tecnología avanza en la sociedad, y los derechos no pueden quedarse atrás. Esperamos que los legisladores salvadoreños asuman hoy la responsabilidad de modernizar la legislación de un modo sensible a las necesidades de protección de la ciudadanía sin pausa, pero sin prisa para un buen resultado de protección.

Política de inteligencia artificial: Ciudadanía al centro, no al margen

El pasado 27 de enero finalizó el plazo para participar de la consulta pública, que busca elaborar un borrador de la Política Nacional (chilena) de Inteligencia Artificial. El proceso comenzó en 2020, con una serie de encuentros que contaron la participación de diversas organizaciones públicas, académicas y de la sociedad civil, Derechos Digitales entre ellas. Habiendo tomado rol activo en el proceso, nos parece relevante establecer algunas consideraciones críticas al borrador de la política propuesta y al mecanismo elegido para llevar a cabo su discusión.

Uno de los componentes centrales para la aplicación exitosa de cualquier política pública es la legitimidad que la ciudadanía atribuye al actuar estatal. Desde ahí es posible articular una dinámica que expanda la acción estatal más allá del ámbito de la coacción y se oriente en favor de la configuración de un horizonte que movilice a diversos actores sociales hacia objetivos comunes. De este modo, tras cada política pública subyace una promesa de mejora o desarrollo. En esta línea, es esperable que exista también un diagnóstico que justifique la promesa que articula la política en cuestión. Tomando en consideración el horizonte normativo propuesto, lo razonable es que esta nueva reglamentación sea explícita respecto de los agentes, instituciones y articulaciones requeridas para conducirla en los plazos comprometidos.

En el caso de la Política de Inteligencia Artificial, no sería exagerado mencionar que gran parte de estos elementos no se pueden identificar de forma clara en el documento propuesto. Uno de los primeros problemas que se identificó contempla la dificultad para definir el propio concepto de “inteligencia artificial” (IA), así como anticipar sus eventuales ámbitos de aplicación.

Sobre la inteligencia artificial se manejan algunas cosas: que supondrá una nueva forma de establecer relaciones entre seres humanos y máquinas, entre ellas mismas y entre los propios humanos, gracias al desarrollo maquínico. Pero vaya que resulta costoso afincar el concepto en una definición funcional y que sea capaz de identificar los riesgos asociados al surgimiento de tal desarrollo tecnológico. Sabemos también que “inteligencia artificial” se asocia a eficiencia y rapidez, pero al mismo tiempo resuena en la reproducción de patrones de discriminación.

Resulta lamentable verificar que la política propuesta no descansa sobre un diagnóstico sistemático de las capacidades y articulaciones existentes en el país, además de aquellas brechas que podrían ser subsanadas mediante la aplicación de tecnologías de inteligencia artificial. La falta de un diagnóstico acucioso muestra una comprensión deficitaria de la economía política que subyace al desarrollo de estas tecnologías. En particular, respecto al desbalance existente entre el norte y el sur globales, y nuestra posición relativa como país en este contexto.

Pese a coquetear con la comprensión de la inteligencia artificial como una articulación socio-técnica, esta aproximación no articula la estructura del borrador. Así lo anticipaba la investigadora Carolina Gainza en octubre pasado, pues hasta ahora no se tiene en cuenta las implicancias de tales desarrollos, ni cuál es el rol de las humanidades y las ciencias sociales en esta discusión.

Antes bien, el borrador propuesto se plantea como una declaración bastante optimista sobre los desarrollos en inteligencia artificial y asume la permanente ampliación del ámbito de aplicación de estas tecnologías. No solo carece de una visión crítica respecto de para qué promover tales tecnologías, la mayoría de las veces menciona una perspectiva en torno a la gestión de las tecnologías desde una lógica de intervención vertical que omite futuros cambios en la estructura del Estado (cuestión que resulta relevante ante el proceso de discusión constitucional en la que se encuentra Chile).

Otro problema serio se presenta en la configuración de la estructura del documento, ordenado en torno a tres ejes: (1) factores habilitantes, (2) desarrollo y adopción y (3) ética, aspectos legales y regulatorios e impactos socioeconómicos.

El aspecto más complejo se encuentra en el tercer punto y es de articulación lógica: en el mismo eje se consideran los elementos normativos —orientaciones éticas y ordenamiento legal—, junto a los impactos previstos de la aplicación de tecnologías de inteligencia artificial. Es fundamental distinguir ambos elementos. Mientras el primero señala el marco desde el cual se desarrollarán las innovaciones tecnológicas, el segundo se refiere a sus consecuencias e incluye la variable de género. A nuestro juicio, esta mención debería ser un elemento primordial en la estructura del planteamiento de la política, así como la comprensión de estas tecnologías más allá de su estricta dimensión tecnológica.

En este sentido, cabe preguntarse, ¿qué es el orden normativo sino uno de los propios factores habilitantes para el desarrollo de cualquier tipo de empresa?

Cabe destacar que las orientaciones éticas ­—por sí solas— no serán capaces de ordenar el despliegue de este tipo de dispositivos. Es necesario contar con un marco normativo explícito, vinculante, que establezca los límites para la acción estatal y privada ante los riesgos de su implementación. Este marco normativo no parte de una hoja en blanco, si no por el contrario, es necesario tomar en cuenta las obligaciones vigentes para Chile en la promoción y protección de derechos humanos, que están igualmente vigentes con respecto a las tecnologías que el Estado y las empresas implementen.

Los riesgos no son pocos, pues hablamos de potenciales usos inadecuados de datos personales, que incluso pueden llevar a la exclusión en el acceso a bienes públicos o a discriminaciones arbitrarias en las relaciones entre privados.

La semana pasada se conmemoró el Día internacional de la protección de datos personales, una efeméride que enmarca la discusión sobre inteligencia artificial, pues los datos personales son una condición para el despliegue de la mentada inteligencia. ¡Y vaya que tenemos mucho por avanzar en esta tarea! Sobre todo, antes de abrazar el despliegue de la próxima tecnología de moda sin mediar mayor crítica.

Es por esto que es necesario revisar el mecanismo mediante el cual se ejercerá la participación pública del documento en cuestión. Así, un espacio de comentarios de tan solo 1.500 caracteres es a todas luces insuficiente, por tanto se requiere un formulario que evalúe el nivel de acuerdo con los objetivos y principios propuestos. No se está midiendo qué tan de acuerdo se puede estar entre afirmaciones polares, como si fuese una encuesta de opinión; lo que se busca es analizar de manera crítica una propuesta de política pública. Así, las potenciales bondades de la participación ciudadana se diluyen en un mecanismo de consulta mezquino, que además justifica la existencia de esta columna y los comentarios ampliados que Derechos Digitales ha enviado esta semana al Ministerio de Ciencia y Tecnología.

De todas formas, es rescatable la existencia del procedimiento de consulta pública, ya que da pie al enriquecimiento de la discusión por parte de la ciudadanía.

Es de esperar que la reflexión de la comunidad de investigadoras e investigadores —así como de activistas de distintos sectores de la sociedad civil y personas naturales—, nos permita contar con una mejor Política Nacional de Inteligencia Artificial. Una política capaz de identificar con claridad los riesgos, ámbitos de desarrollo, las instituciones y agencias responsables; las normas necesarias para su gobernanza, y los plazos de cumplimiento, habilitando el seguimiento, participación y ejecución de estas acciones por parte de la ciudadanía y con ella al centro, no al margen.

Llorar sobre la leche derramada: El problema cultural del manejo de los datos personales

Hace pocos días se hizo público que los exámenes médicos y la información de salud de miles de personas habían sido expuestos debido a fallas de seguridad de los prestadores chilenos de servicios médicos RedSalud y Bupa. Sin embargo, el manejo de la noticia vino dado con un enfoque de peso en los datos de salud de diputados, senadores y otras autoridades, como si esta información sensible fuera la que originara la gravedad del fallo. 

A principios de la pandemia mundial por COVID-19 se publicó la información georreferenciada de personas que habían dado positivo al test de diagnóstico de la enfermedad; el medio responsable señaló que no los había publicado con detalle “para evitar peleas entre vecinos o actos de discriminación”. 

Este nivel de indolencia y lassez-faire en el manejo de la información privada es endémica: basta prestar atención por cinco segundos para notar cómo en América Latina nuestros números de identificación personal (llámese cédula, RUT, carnet o como prefieran) están esparcidos por las bases de datos más diversas, públicas, privadas, gubernamentales, bancarias y de retail, que se los intercambian como fichas de bingo. En Venezuela, a más inri del sistema de vigilancia omnipresente, el propio gobierno ha inventado mecanismos de phishing para obtener datos sobre la conducta política de sus ciudadanos.

Es fácil en este punto culpar a los ciudadanos por la facilidad con la que estamos dispuestos a entregar nuestros datos a cambio de un poco de comodidad, a dar nuestro número de identificación para obtener un descuento o a iniciar sesión con nuestra cuenta de Google para evitar crear una nueva contraseña.

Lo cierto es que estamos jugando con cartas marcadas: pretender que sea el ciudadano el que cargue con el peso de la desigualdad económica y social que implica proteger sus datos. Perderse ese descuento que puede, hacer una diferencia a fin de mes; o tener el tiempo y el conocimiento necesario para comprender cuál es el trasfondo de usar una red social en lugar de otra menos privada. Eso es trasladar responsabilidades a quien menos debería acarrear con ellas.

Si nuestros propios gobiernos no son capaces de enfrentar el problema de la protección de los datos personales con la seriedad que merece, si manejan bases de datos centralizadas e inseguras que son vulnerables ante cualquier ataque y tampoco toman las medidas necesarias para sancionar a las empresas privadas que llevan a cabo las mismas prácticas, entonces de nada vale que nos pongamos el sombrero de papel aluminio y nos alejemos de la vida en sociedad. 

¿Tendrá sentido que —de aquí a una década o quizás antes— tengamos que inventar nuevos mecanismos de verificación porque los patrones de nuestras huellas digitales se han perdido en una tras otra filtración de datos y ahora se requieren para hacer trámites bancarios, para comprar cosas, para entrar a nuestra casa o para desbloquear nuestro teléfono?

¿Valdrá la pena llorar sobre la leche derramada una vez que nuestra privacidad haya sido vulnerada hasta el punto de no retorno? ¿O quienes no tienen “nada que ocultar” publicarán finalmente la contraseña de su cuenta bancaria? 

Hasta que no comprendamos la gravedad de un problema que nos afecta a todos y todas, no solo a diputados y ministros, nuestros datos personales seguirán siendo fichas de intercambio en un juego en el que la casa siempre gana.