Temática: Protección de datos

Es tiempo que las ISPs chilenas se pongan del lado de sus usuarios

Chile vive tiempos convulsionados desde el inicio del estallido social en octubre del año pasado. El punto más álgido de la revuelta, sin duda se produjo con la quema de varias estaciones del metro de Santiago. Lo cierto es que a la fecha no sabemos quienes provocaron estos daños a la red subterránea y si se trató de un ataque coordinado. El gobierno -a pesar de no contar con ningún tipo de evidencia- ha puesto sobre la mesa la tesis de que se trata de un ataque motivado políticamente, organizado por grupos y gobiernos extranjeros.

En este contexto, el Ministerio Público ha echado mano a múltiples métodos investigativos y fuentes probatorias, desde peritajes respecto a los acelerantes utilizados a las grabaciones de cámaras apostadas en la cercanía de las estaciones. Sin embargo, la semana pasada los medios de comunicación dieron a conocer que la Fiscalía está buscando obtener pruebas a través de medios que no cumplen con la normativa vigente y que vulneran los derechos de los usuarios afectados.

El medio La Tercera dio a conocer que Fiscalía, a través de la Brigada de Investigaciones Policiales Especiales de la Policía de Investigaciones, solicitó a las distintas empresas de telefonía móvil del país la entrega de información relativa a la totalidad de números de telefonía móvil que se había conectado a ciertas antenas cercanas a la estaciones de metro afectadas, durante las horas en que ocurrieron los ataques. 

¿Y la orden judicial? 

Lo primero que llamó la atención e indignó a los usuarios, fue que parte de la información solicitada por Fiscalía fue entregada sin alguna orden judicial previa. Como consta en el relato de los medios, en primera instancia la Policía de Investigaciones solicitó a las compañías de telefonía la información sobre teléfonos conectados a las antenas presentando únicamente una instrucción del Fiscal a cargo de investigar la causa.

Ante ello, la mayoría de las empresas se negaron a entrega los antecedentes o los entregaron parcialmente, por tratarse de datos de carácter personal e información relativa a las comunicaciones privadas de sus clientes. Ante esta negativa, Fiscalía recurrió al 9no Juzgado de Garantía de Santiago y obtuvo una orden judicial autorizando la medida intrusiva. Una vez presentada la orden judicial, las empresas proveedoras de servicios de internet (ISP, por sus siglas en ingés) optaron por entregar la información solicitada. La única excepción fue WOM, que entregó los antecedentes solicitados sin requerir la presentación la orden judicial previa, es decir, únicamente con la instrucción del Fiscal de la causa.

Esto puede parecer una leguleyada, pero lo cierto es que es justamente en tiempos de crisis cuando el apegado al ordenamiento jurídico y las instituciones se pone realmente a prueba. Contar con una orden judicial previa es un requisito esencial e indispensable para poder autorizar diligencias de carácter intrusivo, que afecten, limiten o restrinjan el ejercicio del derecho a la protección de la vida privada y la inviolabilidad de las comunicaciones de los ciudadanos.

Estos requisitos, garantías y limitaciones no están establecidas en nuestro ordenamiento jurídico por mero capricho. Estas medidas buscan limitar la capacidad del poder político para entrometerse en la autonomía de los ciudadanos y evitar episodios de abuso de poder y vulneración de sus derechos, como vivimos recientemente en Chile con la llamada Operación Huracán.

Si bien este caso versa sobre información de las antenas telefónicas y los números conectados a ellas durante determinadas horas, es claro que esta información también entrega antecedentes respecto de la vida privada, las comunicaciones y el comportamiento de los clientes de las empresas telefónicas. De esta forma, el artículo 9 del Código Procesal Penal establece que “Toda actuación del procedimiento que privare al imputado o a un tercero del ejercicio de los derechos que la Constitución asegura, o lo restringiere o perturbare, requerirá de autorización judicial previa.

En este sentido, resulta sumamente preocupante que la empresa WOM haya decidido entregar los antecedentes sin exigir el cumplimiento de los requisitos establecidos en el ordenamiento jurídico. Esta preocupación se hace más patente si tenemos en consideración que WOM fue una de las empresas mejor evaluadas en la versión 2019 de Quién Defiende Tus Datos, un informe que justamente busca medir hasta qué punto las empresas de telefonía e internet protegen la privacidad y los datos personales de sus usuarios. Es de esperar que durante el 2020 la empresa revise en profundidad la relación entre lo que expresan sus términos y condiciones y lo que efectivamente sucede cuando la autoridad requiere información de sus usuarios sin cumplir con los requisitos establecidos por la ley. 

Incluso con orden judicial

La presentación de una orden judicial previa firmada por un Juez de Garantía es un requisito mínimo para entregar a la autoridad acceso a información relativa a las comunicaciones, la ubicación, conducta y los datos personales de los ciudadanos. Pero los jueces son seres humanos, susceptibles de equivocarse o dejarse presionar por las circunstancias políticas del momento.

En este caso, no corresponde que un Juez de Garantía autorice a la Fiscalía solicitar a las empresas de telefonía información respecto a todos los números de teléfono que se conectaron a las antenas de cierta zona a determinada hora. Como hemos señalado en el pasado, las diligencias de vigilancia -y los objetivos de su ejecución- siempre deben cumplir con los principios de legalidad, necesidad, proporcionalidad y respeto a los derechos fundamentales.

De esta forma, las diligencias que buscan recolectar antecedentes sobre la ubicación, comportamiento y comunicaciones privadas de los ciudadanos siempre deben ser de carácter individual, no de carácter amplio, abstracto o colectivo. En otras palabras, el Juez de Garantía puede autorizar que en base a antecedentes concretos que acrediten una sospecha fundada sobre la participación de un individuo en la comisión de un delito grave y -en la medida que la diligencia sea imprescindible para la investigación- que se autorice una diligencia de estas características respecto de ese individuo en particular.

Lo que no corresponde es que una medida de estas características sea decretada de forma abstracta, afectando a cualquier persona que simplemente se encontraba en el lugar de los hechos o simplemente es un vecino del sector, respecto de los cuales no existen antecedentes concretos que justifiquen una intromisión de estas características.

Si bien las empresas de telecomunicaciones tienen un deber de cooperación hacia la autoridad en lo que respecta a investigaciones penales, también tienen un deber moral y legal hacia sus clientes, de mantener reserva de los datos sensibles y relativos a las comunicaciones que obren en su poder a propósito del servicio que prestan. 

Este fue justamente uno de los parámetros que la versión 2019 de Quien Defiende Tus Datos buscó medir: hasta qué punto las empresas de telecomunicaciones están dispuestas a recurrir a tribunales o instancias administrativas para objetar instrucciones de la autoridad que no se ajustan a derecho. Durante el 2019 varias empresas se destacaron por objetar una solicitud desproporcionada de datos de sus clientes realizada por SUBTEL. Las empresas chilenas retrocedieron en su compromiso con sus clientes al no objetar judicialmente la solicitud de información de todos sus clientes que estaban conectados a las antenas cercanas al metro, es de esperar que durante el 2020 enmienden el camino y ante en nuevo episodio similar vuelvan a ponerse del lado de sus usuarios.

21N en Colombia, defender el anonimato en la protesta

El pasado 21 de noviembre en Colombia se celebró un paro nacional de dimensiones extraordinarias. Diferentes sectores de la población salieron a las calles de varias ciudades del país para protestar contra las reformas laboral y pensional, así como para exigir que se cumpla el Acuerdo de Paz, se adelanten medidas anticorrupción y se detenga el asesinato masivo de líderes sociales, entre otras demandas. Sin precedentes en la historia reciente del país, este paro se ha extendido por ocho días consecutivos, y se ha caracterizado por no tener una sola vocería ni un actuar coordinado de manera centralizada. Las manifestaciones van desde cacerolazos y asambleas vecinales hasta expresiones artísticas masivas, y a medida que pasan los días, más sectores se han sumado a la movilización.

En días previos al 21N fue noticia la militarización de la capital, así como otras “medidas preventivas” por parte de las Fuerzas Armadas en todo el país, con ocasión del paro. También se conoció de los operativos de allanamiento a artistas, medios de comunicación independientes e integrantes de movimientos sociales, muchos de los cuales fueron luego declarados ilegales al no encontrarse elementos que relacionaran a las personas afectadas con actos vandálicos o criminales.

Además de los allanamientos, que buscaban “identificar e individualizar a los encapuchados que en protestas anteriores han generado hechos de vandalismo y terrorismo en la ciudad”, el día anterior al paro varios medios de comunicación reportaron que durante la jornada de protesta la Policía de Bogotá estrenaría un sistema de reconocimiento facial instalado en el helicóptero Halcón, que desde principios de 2017 sobrevuela la ciudad adecuado con cámaras de alta resolución para apoyar desde el aire en la persecución del crimen.

De acuerdo con los reportajes, esta nueva tecnología -que también sería utilizada en la ciudad de Medellín, con la única diferencia de que allí se instalaría en cámaras estáticas y no en una aeronave-, tendría la capacidad de identificar, en tiempo real, las facciones alrededor de ojos y nariz de las personas que tuvieran su rostro cubierto durante las manifestaciones, para articular dicha información con las bases de datos de la Dirección de Investigación Criminal e Interpol (Dijín)y la Registraduría Nacional.

Todas estas acciones “preventivas” han sido fuertemente criticadas por generar un ambiente de tensión previo a la jornada de movilización nacional. En ese marco, vale la pena mencionar lo problemático que resulta el uso masivo de tecnologías biométricas, y específicamente de reconocimiento facial, para la vigilancia masiva y la persecución de delitos en un contexto de movilización social. Las tecnologías biométricas consisten en la recopilación, almacenamiento y procesamiento de datos derivados del cuerpo y sus movimientos. Un uso desproporcionado de este tipo de tecnologías atenta directamente contra los derechos a la privacidad, la integridad y la autonomía de las personas, y además puede tener consecuencias negativas como la discriminación de ciertos grupos sociales, debido a los sesgos de diseño e implementación, o la restricción de las libertades -de expresión, locomoción, asociación- de las personas en general, mediante un efecto silencioso de autocensura.

En el caso de la persecución de delitos, se trata de un atentado contra el derecho a la intimidad y a la presunción de inocencia, pues se alimentan bases de datos donde todas las personas vigiladas son consideradas sospechosas; en el caso de su uso en el marco de protestas con el fin de identificar a quienes tienen cubiertos sus rostros, como ocurrió el pasado 21N y posiblemente en los días siguientes, se trata además de un atentado contra el derecho al anonimato, directamente relacionado con la libertad de expresión y asociación. Sobre este punto, es importante señalar que en su guía práctica de bolsillo para salir a protestar Dejusticia advierte que si bien llevar el cuerpo cubierto o descubierto a una manifestación es una conducta protegida constitucionalmente, “muchos jueces o agentes policiales podrían tener opiniones distintas”.

Es preocupante, además, teniendo en cuenta que en el Congreso de la República se radicó recientemente un proyecto de ley que tipifica como conducta penal el vandalismo “que, valiéndose de una protesta, manifestación o movilización pública, dañe, atente o destruya los bienes públicos o privados [o] atente contra la integridad física de los miembros de la fuerza pública”, agravando la pena si la persona está ocultando total o parcialmente su rostro. Preocupante porque, aunque el Proyecto se justifique en la garantía del derecho a la protesta pacífica, en esta y otras jornadas de movilización se ha evidenciado cómo los abusos por parte de la fuerza pública superan con creces las expresiones de violencia por parte de la ciudadanía.

Por otra parte, como ha documentado en el pasado la Fundación Karisma, las millonarias inversiones en tecnología para la seguridad en Bogotá han carecido de estudios previos que garanticen la viabilidad de su implementación (por ejemplo porque no hay acceso a las bases de datos necesarias para que la tecnología de reconocimiento facial funcione efectivamente), así como de transparencia respecto a su adquisición e implementación. En cambio, han gozado de amplia promoción en medios de comunicación, con narrativas que lejos de proponer una perspectiva crítica sobre las implicaciones sociales o legales de su uso, alimentan discursos tecnosolucionistas.

Recientemente en América Latina se han comenzado a implementar sistemas de reconocimiento facial para distintos fines, sin un análisis profundo, ni político ni técnico, sobre los riesgos asociados a su uso. En los contextos de protesta que en los últimos meses se han vivido en distintos países de la región, donde se ha evidenciado una enorme participación ciudadana al tiempo que un uso desmedido de la fuerza y múltiples violaciones a los derechos humanos por parte de los gobiernos, es necesario alertar sobre el uso tecnologías de reconocimiento facial para vigilar la protesta social, y rechazarlo enfáticamente, así como las iniciativas de criminalizar y perseguir el uso de capuchas durante las manifestaciones, como se está intentando al menos en Chile y Hong-Kong. La protesta es un derecho, el anonimato también.

Declaración sobre la represión de la protesta social en América Latina a través de la violencia y el uso de la tecnología

Las firmantes, como organizaciones latinoamericanas trabajando en la intersección entre tecnología y derechos humanos, vemos con preocupación y horror la respuesta de nuestros gobiernos a las masivas protestas sociales que se están desarrollando en Colombia, Bolivia, Chile y Ecuador.

En particular, rechazamos el modo en que los gobiernos están utilizando distintas tecnologías digitales en favor de la represión, criminalización y persecución de las y los manifestantes y su legítimo derecho a reunirse y expresarse pacíficamente, de una manera que solamente puede ser definida como antidemocrática y contraria a los derechos fundamentales.

En Ecuador, la evidencia demuestra afectaciones e interrupciones temporales de determinadas redes sociales, comunicaciones móviles, sitios web y conexión a internet durante la protesta, interfiriendo sustancialmente con el derecho de las personas a organizarse, comunicarse e informarse. Si bien no existen pruebas concluyentes respecto a que el errático comportamiento de la red fuese producto de un ejercicio estatal de represión, esa posibilidad tampoco ha sido descartada.

En Colombia, el Gobierno ha realizado una agresiva campaña comunicacional de desincentivo a la protesta, utilizando todas las cuentas de redes sociales de las instituciones del estado con ese fin. Además, en la antesala de la fecha convocada para el paro, se enviaron mensajes que disuadían la participación a través de SMS a los abonados al servicio de telefonía celular. Adicionalmente se han desplegado prácticas abusivas por la policía como incluir en las requisas a manifestantes la exigencia de mostrar sus redes sociales y contactos en los celulares.

En Chile, se han reportado denuncias de investigaciones y acciones de amedrentamiento iniciadas por la policía, usando como base información obtenida producto del monitoreo de redes sociales en busca de dichos críticos del gobierno y de la policía, y en favor de la protesta. Al mismo tiempo, la Intendencia Metropolitana ha anunciado el incremento de número de cámaras de vigilancia operativas en la ciudad de Santiago y la implementación de un sistema de reconocimiento facial, lo que además coincide con una preocupante propuesta de ley que califica como un agravante el legítimo derecho de cubrirse el rostro durante una manifestación.

En Bolivia, se ha reportado que algunas prominentes cuentas de redes sociales dedicadas a la difusión de información relevante respecto a la protesta han visto su actividad restringida; al mismo tiempo,  se han denunciado acciones coordinadas con el fin de censurar contenidos relevantes y un significativo incremento de la violencia en contra comunicadores y comunicadoras, que incluyen agresiones, amenazas físicas y acciones de exposición de información privada y acoso en línea. Por otra parte, las fuerzas de seguridad han intentado limitar el registro de sus actividades durante las protestas, por medio de la confiscación de equipos, el uso indiscriminado de gas lacrimógeno y la amenaza de arresto contra quienes fotografían y graban el actuar policial. También se han denunciado casos en que la policía ha requisado dispositivos con el objetivo de recolectar información privada.

La protesta es un derecho consagrado por la Declaración Universal de los Derechos Humanos y por la Convención Americana de Derechos Humanos, y es uno de los fundamentos de toda sociedad realmente democrática, por lo que debe ser garantizado, asegurado y promovido por los gobiernos de la región. Condenamos enérgicamente la represión de la protesta, la inusitada violencia que se está desplegando y  la utilización de tecnología para exacerbarla.

Exigimos a nuestros gobiernos dar soluciones políticas a los profundos problemas expresados por la ciudadanía, en un marco de respeto y compromiso con los valores democráticos y los derechos fundamentales.

Firman:

  • Asociación por los Derechos Civiles (ADC)
  • Asociación para el Progreso de las Comunicaciones (APC)
  • Coding Rights
  • Derechos Digitales
  • Fundación Ciudadanía Inteligente
  • Fundación Internet Bolivia
  • Fundación Karisma
  • Intervozes
  • TEDIC
  • Sursiendo
  • IPYS Venezuela
  • Comité por la Libre Expresión (Honduras)
  • Cooperativa Tierra Común
  • C-Libre
  • Fundación Datos Protegidos
  • Access Now
  • Creative Commons Uruguay
  • Espacio Público (Venezuela)
  • Colectiva de Feminista para el Desarrollo Local
  • Article 19
  • Fundación Vía Libre
  • Usuarios Digitales
  • Electronic Frontier Foundation

Las apariencias engañan: falencias del reconocimiento facial y sesgo algorítmico

Según el antiguo cliché, el rostro es el espejo del alma. Algo por el estilo deben haber estado pensando los responsables en Unilever y otras compañías con sede en el Reino Unido, que han comenzado a utilizar un sistema de análisis de expresiones faciales en los procesos de selección de personal

The Telegraph explica que el sistema compara los videos de las entrevistas de los postulantes con una base de datos que contiene información facial y lingüística de aquellos empleados que se desenvuelven bien en el trabajo. Según Nathan Mondragon – psicólogo jefe de Hirevue, la empresa estadounidense que provee el servicio – «Las expresiones faciales indican ciertas emociones, comportamientos y rasgos de personalidad». 

Pero, ¿lo hacen realmente? La Association for Psychological Science quiso poner esta hipótesis a prueba y reunió a cinco expertos para intentar determinar cuánto de cierto había una idea arraigada en el sentido común, que la emoción puede determinarse de manera confiable mediante movimientos faciales externos. El resultado fue concluyente: no existe evidencia científica que respalde la noción de que el estado emocional de una persona se puede inferir fácilmente del modo en que mueve su rostro. 

Esto, por una serie de razones: las mismas emociones no se expresan siempre de la misma manera, las mismas expresiones faciales pueden indicar distintas emociones y las características culturales y contextuales influyen en el modo en que las emociones son expresadas. Las emociones son complejas y no necesariamente obvias de comprender, incluso para quién las experimenta, mucho menos para un observador externo.  

“Preferiría tener mi primera entrevista con un algoritmo que me trate justamente y no tener que depender de qué tan cansado esté el reclutador ese día”, argumenta Loren Larsen, director de tecnología de Hirevue, haciendo eco de aquella vieja idea de que las máquinas están libres de sesgos y, por tanto, son preferibles a los seres humanos. Pero como replica para el Telegraph Anna Cox, profesora de interacción humano-computadora en UCL, el sistema «va a favorecer a las personas que son buenas para hacer entrevistas en video y cualquier conjunto de datos tendrá prejuicios que excluirán a las personas que realmente habrían sido excelentes en el trabajo», eso sin mencionar sesgos de género, raza o etnicidad.

La búsqueda por una técnica que provea a la humanidad de un acceso directo a representar la realidad de forma objetiva es de larga data, e incluye la invención de la perspectiva en el renacimiento y la fotografía. Las técnicas algorítmicas y las “máquinas que ven” son la última adición a una lista larga. Y, sin embargo, se revelan tan dadas a los sesgos como cualquier otra. 

Un ejercicio interesante al respecto lo realizaron hace pocos días Kate Crawford y Trevor Paglen, responsables de la exhibición “Training Humans”. Como parte de la muestra, pusieron en internet ImageNet Roulette, un sitio web temporal (y ya no disponible en línea) que ponía a disposición de cualquiera con una conexión a internet un algoritmo entrenado con la base de datos ImageNet, uno de los sets de entrenamiento más utilizados para el aprendizaje de máquinas: para enseñarle a un computador qué es un perro, se le muestran miles de imágenes de perros, hasta que aprende distinguirlos de aquello que no es un perro. Las imágenes son etiquetadas a mano por personas que imprimen sus propios sesgos al hacer la tarea. Esto no es particularmente problemático cuando estamos hablando de perros, pero sumamente complicado cuando se trata de personas, también incluidas en la base de datos.

Como pudieron comprobar quienes visitaron ImageNet Roulette, el modo en que sus selfies eran clasificadas incluía términos como “terrorista”, “mujerzuela” o “nonentity”, definido como “una persona sin poder”. Todo esto, simplemente a partir de sus rostros. «El proyecto busca llamar la atención sobre los daños reales que los sistemas de aprendizaje automático pueden perpetuar», explica Paglen.

América Latina

En nuestra región, los usos de sistema de reconocimiento facial han comenzado a expandirse rápidamente, principalmente para la vigilancia del espacio público asociada a actividades de seguridad. En Paraguay, un sistema de reconocimiento facial está funcionando desde julio de 2018 en Montevideo, envuelto en un manto de secretismo total: a pesar de los esfuerzos de Tedic por obtener información respecto a la ubicación y los usos del sistema, poco se sabe respecto al funcionamiento de este. 

Cuestión similar ocurre en Buenos Aires, Argentina, que cuenta con un sistema de vigilancia por reconocimiento facial desde marzo de 2019. Se sabe que existen cerca de 200 cámaras equipadas con un sistema de reconocimiento facial en algunas estaciones de Subte y en la zona de trenes. Pero pese a los esfuerzos de ADC por conocer la ubicación de los dispositivos, la información ha sido negada por el Gobierno de la Ciudad, aduciendo razones de seguridad. 

En México, los sistemas de reconocimiento facial son cada vez más comunes. Solo en 2019, el Gobierno del Estado de Coahuila ha instalado 1282 cámaras de vigilancia pública equipadas con tecnología de reconocimiento facial en las calles de diversas ciudades. Ya en 2018 se reportó el uso de esta tecnología en los accesos a la Feria Ganadera de Sinaloa y, recientemente, unidades de patrulla en la Ciudad de México se han equipado con tecnología de reconocimiento facial.  En Brasil, Bolivia, Ecuador y Chile existen sistemas de reconocimiento facial o planes para su próxima instalación. 

En general, el planteamiento es poder agilizar la búsqueda de prófugos de la justicia y poder identificar rápidamente a los delincuentes. Pero los resultados distan de ser los esperados. Recientemente, un hombre estuvo seis días preso por error en Buenos Aires, gracias al sistema de reconocimiento facial. En Chile, las pruebas realizadas por la policía a un sistema de reconocimiento facial implementado por una cadena de centros comerciales arrojaron una taza de error que ronda el 90 %. 
Así, pareciera ser que las tecnologías de reconocimiento facial producen más problemas que los que son capaces de resolver, a la vez que las bases teóricas que sustentan sus supuestos beneficios se desmoronan ante la evidencia.  En Estados Unidos, varias ciudades han prohibido completamente el uso de estas tecnologías. Quizás sea el momento de seguir su ejemplo.

¿Hacia dónde va el primer tratado sobe economía digital?

El pasado 17 de mayo, los representantes de Chile, Singapur y Nueva Zelanda anunciaron la negociación de un nuevo tratado de comercio internacional: el Acuerdo de Asociación sobre Economía Digital (Digital Economy Partnership Agreement, DEPA). La novedad es que este será el primer tratado comercial dedicado exclusivamente a abordar los desafíos de la economía digital, especialmente luego del estancamiento de las negociaciones en la materia a nivel de la Organización Mundial del Comercio (OMC).

La semana pasada, la Subsecretaría de Relaciones Económicas Internacionales de Chile (ex DIRECON) convocó la primera reunión oficial, permitiendo a los miembros de la industria, la academia y la sociedad civil chilenas conocer más detalles sobre la iniciativa. Los primeros acercamientos se produjeron en diciembre de 2018 y hasta el momento se han celebrado tres rondas de negociación. La negociación será cerrada entre los tres países hasta su conclusión, pero luego se permitirá la adhesión de cualquier país que pertenezca a la OMC. 

En cuanto a las materias que se van a incorporar en el tratado, estas van desde las más tradicionalmente vinculadas al comercio electrónico (pagos electrónicos, no aplicación de tarifas aduaneras a servicios digitales, firma electrónica, etcétera) a temas nunca incluidos en un tratado internacional, como la regulación de la inteligencia artificial y la tecnología de cadenas de bloques (blockchain). Vamos por partes.

Nobleza obliga

Entre los temas que se han propuesto en la negociación, hay dos que son particularmente positivos (ambos propuestos por Chile). El primero, es la inclusión explícita de normas que promueven la utilización del cifrado. Esto es relevante porque la tecnología de cifrado de comunicaciones (especialmente de punto a punto) se ha transformado en una herramienta indispensable para mejorar los estándares de ciberseguridad de las industrias y los distintos servicios digitales. En este sentido, el cifrado no solo asegura que las personas puedan ejercer su derecho a la inviolabilidad de las comunicaciones, sino que promueve la confianza de los usuarios en la seguridad de los servicios y plataformas que operan en el ciberespacio. Esto tiene un efecto económico tangible, ya que estudios indican que el 33 % de los consumidores expresa haberse abstenido de adquirir productos y servicios en línea debido a consideraciones de seguridad y privacidad.

Su inclusión también resulta positiva a la luz de la iniciativa de distintos países para debilitar el cifrado, exigiendo a los desarrolladores incorporar “puertas traseras” en sus servicios, para “descifrar” el contenido encriptado. Estas puertas traseras son verdaderas vulnerabilidades informáticas, que no solo pueden ser aprovechadas por los gobiernos que las exigen, sino que también por delincuentes informáticos, como ya ha sucedido. Si bien todavía no se han dado a conocer los textos para cada propuesta, la inclusión de una norma que impida a los países exigir la inclusión de puertas traseras en programas informáticos sería un gran paso en la promoción de la ciberseguridad y el comercio electrónico.

Entre los temas propuestos también se encuentra la inclusión de normas que consagren el principio de neutralidad de la red. Este principio busca asegurar que los operadores de internet traten todo el tráfico que pasa por sus redes de la misma forma, impidiendo que puedan bloquear, interferir o priorizar cierto tipo de tráfico por sobre otro. Este principio básico de internet no solo promueve la competencia y la innovación al impedir que los operadores de internet puedan llegar a acuerdos privados con proveedores de contenido, sino que también promueve la existencia de un internet libre y abierta, al impedir que los proveedores puedan decidir qué contenido debe obtener un trato preferencial. 

Lo que puede mejorar

Derechos Digitales ha sido crítico de las disposiciones sobre comercio electrónico que han sido incluidas en tratados internacionales anteriores, como CPTPP o TiSA. Una de nuestras críticas es que las normas sobre flujo transfronterizo de datos personales establecen un mismo criterio para los “datos” (así, en general) que para los datos personales. 

Internet funciona por capas. En un modelo simplificado, existe una capa de infraestructura (cables, servidores, etcétera), una capa de protocolo (estándares y código) y una capa de contenido (interacciones entre seres humanos). Nadie discute que la arquitectura de internet exige que exista un libre flujo de información. En otras palabras, en la capa de infraestructura no debe existir una discriminación de hacia dónde o cómo viaja la información (los unos y los ceros). Sin embargo, los datos personales no se regulan en la capa de infraestructura, sino que en la capa de contenido. Al ser datos que se vinculan a personas naturales, su recolección y procesamiento tiene que cumplir con la regulación de cada país y respetar los derechos fundamentales de las personas. Así, el Reglamento General de Protección de Datos Personales de la Unión Europea permite que los datos personales de sus ciudadanos solo puedan transmitirse a aquellos países que tengan un nivel “adecuado” de protección. 

La negociación de DEPA se presenta como una oportunidad para enmendar el camino y redactar una norma sobre flujo transfronterizo de datos personales que haga las distinciones que hacen falta. Consagrando el valor del libre flujo de datos en la capa de infraestructura, pero estableciendo que (en la capa de contenidos) los datos personales solo podrán ser transmitidos cuando cumplan con la respectiva legislación de datos personales, o a lo menos, con una protección normativa efectiva a favor de sus titulares.

Aspectos preocupantes

Lamentablemente, la negociación del DEPA también incluye materias que resultan sumamente problemáticas y que deberían ser abandonadas de plano. Así, la negociación incluye normas para promover la adopción de políticas públicas sobre “identidad digital” similares al sistema National Digital Identity de Singapur.

Estas políticas no solo son problemáticas en términos de ciberseguridad, ya que implican concentrar el manejo de todos los datos personales de los ciudadanos en una base de datos centralizada , sino que muchas veces van acompañadas de la utilización de tecnologías de control biométrico. Esto hace que cualquier tipo de filtración, vulneración o mal utilización de la información genere una afectación mucho más grave al derecho a la autodeterminación de las personas. 

Si nuestros datos se filtran, siempre podemos cambiar nuestro correo electrónico, teléfono, domicilio e incluso nuestros nombres, pero es imposible cambiar nuestra iris o huella digital. En este sentido, la biometría es como una caja de pandora: una vez abierta las personas se ven imposibilitadas de recuperar el control sobre sus datos. ¿Qué pasará el día que un gobierno sufra la filtración o robo de todos los datos biométricos de sus ciudadanos? Además, las políticas de identidad digital promueven el uso de un método único de identificación frente a organismos públicos, pero también ante el mundo privado como forma de facilitar las transacciones económicas. Esto implica aumentar la capacidad de perfilamiento y vigilancia sobre los ciudadanos, tanto de los gobiernos como de las empresas, con las consecuencias democráticas que ello conlleva. 

Por otro lado, DEPA propone incluir normas sobre regulación de plataformas que buscan combatir el terrorismo y el discurso de odio en línea. Si bien estos son objetivos completamente loables, la responsabilidad de los intermediarios y la regulación del contenido en las plataformas es hoy un tema sumamente polémico, por las profundas consecuencias que puede tener en materia de libertad de expresión. 

Hacer responsables directamente a los intermediarios del contenido que suben sus usuarios obliga a las plataformas a monitorear permanentemente lo que circula en sus servicios y bajar “preventivamente” y sin un debido proceso cualquier material que pueda ser infractor. A eso se suma el uso de algoritmos e inteligencia artificial pero, dado que ninguna máquina tiene la capacidad de comprender las complejidades del lenguaje humano, estos mecanismos han demostrado no ser confiables a la hora de moderar contenido.

Además, tales sistemas terminan bajando más contenido legítimo, mientras que el contenido que se busca combatir se mantiene disponible. También resulta problemático que sean empresas privadas las que terminan decidiendo sobre actos de expresión (muchas veces de forma muy deficiente) sin una ponderación entre derechos fundamentales. Por lo mismo, a pesar de las buenas intenciones, consagrar reglas sobre esta materia en un tratado internacional podría generar profundos efectos perjudiciales a futuro.

Por último, DEPA se propone reconocer la importancia y crear marcos para una implementación progresiva, confiable y segura de tecnologías emergentes como la inteligencia artificial y las cadenas de bloques. Más allá de los peligros que la implementación de la inteligencia artificial puede implicar en materia de sesgos algorítmicos, y que al parecer las cadenas de bloques no serán implementadas en la escala que alguna vez se especuló, no resulta recomendable que un tratado internacional se refiera a tecnologías particulares, que no necesariamente van a resistir el paso del tiempo. Una aproximación que involucre criterios de neutralidad tecnológica resultaría más aconsejable en esta materia.

En definitiva, la negociación de DEPA se presenta como una gran oportunidad para incluir temas que promuevan la ciberseguridad y la neutralidad de la red, al mismo tiempo que se mejora la forma en que se abordan materias que han sido tratadas de forma deficiente en el pasado. La promoción de la ciberseguridad, la certeza jurídica y una aproximación de derechos humanos en el tratamiento de datos personales es un elemento que sin duda favorecerá la confianza en el ciberespacio y el comercio electrónico. Sin embargo, esta oportunidad puede verse opacada por la inclusión de materias sensibles y que pueden ser incompatibles con el ejercicio de los derechos fundamentales de las personas. Por suerte la negociación todavía se encuentra en su etapa inicial y todavía hay tiempo para enmendar el rumbo en los temas problemáticos y profundizar en aquellos que son positivos.

La oportunidad perdida del ‘gran hackeo’

  1. Big-data, algoritmos e “inteligencia artificial” se han convertido en muletillas que se arrojan al aire con la delicadeza con la que se descarga el equipaje facturado en un avión.

  2. Hoy en absolutamente todos los campos del saber humano hay alguien intentando compilar datos que serán analizados por un sistema de inteligencia artificial, construido a partir de complejos algoritmos, y así innovar de forma disruptiva, crear valor, generar experiencias inmersivas y, en última instancia, hacer del mundo un mejor lugar.

  3. Pero existía una compañía que no quería hacer del mundo un mejor lugar y estaba mucho más interesada en hacer dinero, a pesar de que ello convirtiera al mundo en un lugar peor. Esa compañía se llamaba Cambridge Analytica y utilizó big-data, algoritmos e inteliencia artificial para ganar unas elecciones en Estados Unidos y el Reino Unido. Básicamente de eso va The Great Hack, el documental de Netflix estrenado hace un par de semanas en latinoamérica bajo el inexplicable título de Nada es privado.

  4. En la superficie, The Great Hack es una moraleja respecto a los peligros que el extractivismo de datos plantea a la democracia y los derechos fundamentales de los individuos. Estos peligros son reales y necesitan ser abordados seriamente (que es lo que tratamos de hacer en Derechos Digitales).

  5. Al mismo tiempo, la película mitologiza las capacidades de la industria que critica; una industria que siempre se ha sentido más cómoda trabajando desde las sombras, esquivando las preguntas relevantes y creando mitos.

  6. The Great Hack mitologiza las capacidades de la industria datoextractivista dejando que sean los (ex) empleados de Cambridge Analytica los que expliquen cómo funcionaba el negocio, sin cuestionar su relato en ningún momento. Los documentalistas les dan todo el espacio necesario para pavonear sus capacidades, su inteligencia, su influencia y su poder.

  7. Por su puesto, no todo es culpa de los documentalistas. La verdad es que no sabemos mucho respecto a cómo funciona la industria del extractivismo de datos, cuáles son realmente sus capacidades y menos cuáles son sus limitaciones. Es posible que incluso quienes trabajan para empresas como Cambridge Analytica o Facebook tampoco lo sepan. Y tras ver The Great Hack es poco lo que podemos sacar en claro.

  8. Mucho se discute en The Great Hack respecto a la capacidad de Cambridge Analytica para acumular datos: la empresa se ufana de tener 5000 datos de cada uno de los votantes estadounidenses. Muchos de esos datos se obtuvieron a través de Facebook, por medio de cuestionarios sobre cuestiones triviales que permitían crear perfiles de votantes.

  9. Poco se discute en The Great Hack respecto a la capacidad real de Cambdrige Analytica para procesar esos trillones de datos que acumula: ¿Qué tan efectivo es realmente un test para establecer mi compatibilidad con las princesas de Disney como herramienta para crear perfiles de votantes? No estoy diciendo que esto no se pueda hacer, sino al contrario: ante una premisa así de fascinante es una lástima que los documentalistas no hayan hincado el diente en este tipo de detalles, que son precisamente los que desconocemos.

  10. Pero son precisamente esas omisiones las que obligan a mirar The Great Hack con cierta distancia ahí donde los datos se convierten en un fetiche. Esa creencia de que con suficientes datos no hay nada que no se pueda saber y anticipar. La acumulación de datos como condición de la omnipotencia.

  11. En ese sentido, The Great Hack decide concentrarse mucho más en los efectos: la elección de Donnald Trump en Estados Unidos y la salida del Reino Unido de la Unión Europea. Lo que la película sugiere es que estos resultados solo fueron posibles debido a la intromisión de Cambdrige Analytica: el Big-data, los algoritmos y la “inteligencia artificial” ganaron esas elección.

  12. Así, la película hace eco de cierta retórica negacioncista de algunos sectores que consideran mucho más reconfortante pensar que la derrota de Hillary Clinton y el resultado del referéndum sobre el Brexit solo pueden ser explicados gracias a algún tipo de hackeo al sistema democrático; que el actual panorama político es un error en la Matrix.

  13. ¿Cuánta injerencia tuvo realmente Cambridge Analytica en esos resultados? Es difícil saber. Quizás mucha, quizás no tanto. Hasta puede ser que incluso no haya tenido ninguna. ¿Cómo saber realmente?

  14. Probablemente los únicos que podrían tener respuestas son los miembros de la industria. Pero son precisamente estas personas las que tienen más incentivos para no dar respuestas verídicas. Porque como alguien afirma en The Great Hack, esta es una industria que mueve trillones y se sustenta en la premisa de que los datos pueden decirnos todo lo que necesitamos saber.

  15. El riesgo radica en que el Big-data, los algoritmos y la “inteligencia artificial” se utilizan para tomar decisiones cada vez más relevantes en los distintos campos del saber humano, sin que necesariamente exista una comprensión acabada respecto a cómo cada set de datos, cada algoritmo y cada sistema de inteligencia artificial funciona ni cuál es la lógica detrás de los resultados que emite. Y si no comprendemos estas lógicas, se vuelve mucho más difícil estimar cuándo los resultados son correctos y cuándo no.

  16. Esta incapacidad para comprender la tecnología y sus limitaciones, la imposibilidad de detectar sus errores y sesgos, puede dar pie a una peligrosa cualidad performática, donde las instituciones sociales actúan acorde a a la información entregada por el algoritmo, a pesar de que esta pueda ser errada. Caldo de cultivo para todo tipo de arbitrariedades, discriminaciones e injusticias.

  17. La única vía para evitar esto es exigir mayor transparencia respecto a las reales capacidades de la tecnología, que nos permitan entender realmente qué es lo que pueden y no pueden hacer.

  18. En ese sentido, The Great Hack es una oportunidad perdida.