Temática: Protección de datos

¿Bajo qué términos se protegerán los datos en Brasil?

La semana pasada, la larga novela sobre la protección de datos personales en Brasil agregó un nuevo capítulo a la saga: el presidente Jair Bolsonaro sancionó -con vetos- la ley que habilita la creación de una autoridad pública de control de datos personales, reduciendo algunas de las garantías previstas en la versión original de la Ley general de protección de datos, aprobada en 2018.

Inicialmente proyectado como un órgano independiente a cargo de la interpretación de la ley a través de la promulgación de normas administrativas complementarias, así como de garantizar y fiscalizar su cumplimiento, el primer ataque contra las facultades de la naciente Autoridad Nacional de Protección de Datos ocurrió durante el gobierno del ex presidente Michel Temer, quien vetó su creación en agosto de 2018.

El 27 de diciembre, a pocos días del término de su mandato, Temer presentó una “medida provisional” que creaba una autoridad en materia de datos personales dependiente de la Presidencia de la República. En el necesario paso por el Congreso para transformar la medida en ley, se determinó que la autoridad sería sometida a revisión dos años después de entrar en operaciones. Así, bajo este escenario, la solución de cualquier controversia u omisión quedará a cargo de un ente administrativo carente de recursos e independencia política del gobierno de turno.

Lamentablemente, esta no es la única modificación relevante a la Ley general de protección de datos. El nuevo texto amplía la posibilidad de usar datos sensibles con fines de lucro, como aquellos relativos a la salud. La obligación del sector público de notificar el uso y transferencia de datos fue retirada, al igual que la posibilidad de solicitar una revisión de las decisiones automatizadas por parte de una persona natural. Además, la versión actual del texto contempla normas diferenciales para pequeñas y microempresas, así como para las autoproclamadas startups o “empresas de innovación”, con obligaciones más blandas, sin importar el riesgo de sus actividades para el ejercicio del derecho a la privacidad y la protección de los datos personales.

Por su parte, las sanciones administrativas previstas para los casos de violaciones graves o reiteradas también fueron excluidas del texto final, tras los vetos de Bolsonaro. Estas sanciones permitían la suspensión -parcial o total- y la prohibición de las actividades de tratamiento de datos a las entidades infractoras, mecanismo similar al contemplado, por ejemplo, en el Reglamento general sobre protección de datos europeo. Este y otros vetos están pendientes de ser analizados por el Congreso.

Protección constitucional

Recientemente el Senado aprobó una norma que busca incluir la protección de datos como un derecho fundamental en la Constitución brasileña, con una mención explícita los medios digitales. La propuesta incluye una clausula que establece que solo el gobierno federal, la Unión, tendrá competencia para legislar sobre protección de datos. Pero, a pesar de estar alineada con las mejores prácticas internacionales, esta medida se enfrenta a innumerables propuestas de regulación en el ámbito municipal y estatal.

Aunque sea crucial que los gobiernos locales sigan los principios establecidos por la Ley general de protección de datos, es necesario fomentar el desarrollo de normas complementarias y más detalladas, que respondan a los desafíos locales específicos; un caso ejemplar es el de Seattle, en Estados Unidos, que desarrolló un programa propio de privacidad ante el despliegue de tecnologías invasivas en espacios públicos.

En un país de características continentales como Brasil, la restricción puede comprometer el derecho a la protección de datos de la ciudadanía, contrariando el espíritu principal de la propuesta que es justamente fortalecerlo.

Desarrollo económico: ¿a qué costo?

Que la economía más importante de América Latina actualice su normativa de datos personales es una aspiración que no solamente afecta a cientos de millones de personas en Brasil, sino que se extiende a toda la región. Sin embargo, se trata de un proceso que ha sido secuestrado por la incertidumbre de una clase política en crisis y la presión de industrias poderosas.

Gracias a una nueva composición del Congreso Federal, muchos intereses económicos encontraron apoyo en parlamentarios que desconocían el desarrollo histórico y los acuerdos que dieron forma a la Ley. Al presentar una serie de modificaciones al término de su gobierno, Temer permitió la introducción de ambigüedades en su interpretación, optando explícitamente por priorizar los modelos de negocio de las startups, las empresas de crédito y las financieras, por sobre la protección de sus ciudadanos y ciudadanas.

No queda duda de que hay aspectos positivos y avances concretos en la ley brasileña. Sin embargo, su efectividad va a depender en gran medida de la capacidad que tengan los actores preocupados por el interés público de presionar a los órganos de fiscalización y control para que hagan valer las protecciones previstas en la ley. La manera en que se harán efectivas sus garantías pondrá a prueba la fuerza de las instituciones democráticas del país. La participación de la sociedad civil en los debates y en la documentación de evidencias de violaciones, principalmente por medio de la Coalizão Direitos na Rede, ha sido y seguirá siendo central en el proceso.

La protección de datos en América Latina continúa sumando antecedentes que, más allá de evidenciar las falencias en materia de políticas públicas en la región, hacen visible la necesidad de generar nuevos referentes legales que actúen en función del contexto donde se desarrollan: protegiendo así los derechos humanos que también pasan por los entornos digitales.

Resultados del compromiso del Estado chileno con los Derechos Humanos: ¿Avanzamos?

El 4 de Julio se dieron a conocer los resultados del Examen Periódico Universal de Chile. Como hemos abordado en textos previos, esta evaluación no sólo abarcó los derechos humanos en sus aspectos más tradicionales, sino que también por primera vez organizaciones de la sociedad civil -coordinadas por Derechos Digitales- propusimos hacer una revisión más profunda del compromiso del Estado con el respeto de los derechos humanos en los entornos digitales, donde cotidianamente se encuentran inmersas las personas chilenas.

A través de dos reportes sombra -uno centrado en privacidad en el entorno digital y otro en los demás derechos-Derechos Digitales y otras organizaciones de la sociedad civil presentaron información para la evaluación del Estado chileno, con el fin de aportar información precisa sobre el estado de cumplimiento de sus obligaciones de derechos humanos en los entornos digitales en materias tales como: libertad de expresión y reunión pacífica, protección de datos personales, privacidad, violencia de género y el abuso de las tecnologías de vigilancia por parte de la fuerza pública.

Al ser publicada oficialmente las respuestas de Chile a las recomendaciones formuladas por diversos Estados,recibimos con satisfacción ver entre las recomendaciones aceptadas las siguientes, referidas al ejercicio de derechos en los entornos digitales:

  • 125.88 Garantizar y promover los derechos a la libertad de expresión, la libertad de asociación y de reunión pacífica y la protección de los periodistas y los defensores de los derechos humanos, también en Internet (Islandia); 
  • 125.92 Aplicar políticas que faciliten la igualdad de acceso a la tecnología de la información y las comunicaciones, en particular para los pueblos indígenas, las poblaciones rurales y las mujeres (México);
  • 125.108 Evaluar las tecnologías de vigilancia y recopilación de datos personales desde el punto de vista de los derechos humanos, en particular teniendo en cuenta el derecho a la intimidad y el principio de no discriminación (Perú); 
  • 125.109 Aprobar legislación concreta para proteger y promover los derechos humanos en el entorno digital, incluido el derecho a la intimidad (Brasil); 
  • 125.110 Reforzar su legislación para la protección de los datos de sus ciudadanos de conformidad con los principios del estado de derecho, la proporcionalidad y el respeto de la intimidad, en particular considerando la posibilidad de crear una autoridad de control independiente (Suiza);
  • 125.166 Velar por que las mujeres puedan vivir una vida libre de violencia, incluso en contextos digitales, mediante una legislación apropiada, medidas preventivas, educación y recursos adecuados, incluidos servicios para las supervivientes (Canadá); 
  • 125.175 Examinar y revisar las leyes, políticas y reglamentos para hacer frente a la violencia contra la mujer, inclusive en contextos digitales, de conformidad con sus obligaciones internacionales en materia de derechos humanos (Islandia); 

Lo anterior representa un gran logro, desde nuestra perspectiva, en el reconocimiento de compromisos pendientes en estas materias, de acuerdo a las obligaciones internacionales previamente asumidas por el Estado; esperamos que este reconocimiento se materialice en acciones concretas que se ejecuten y reflejen antes del próximo ciclo de revisión. Miraremos ávidos la materialización de los compromisos con las personas chilenas para un futuro digital donde se protejan sus derechos y su dignidad.

Desde Derechos Digitales celebramos que se abran espacios de diálogo y evaluación para mejorar la toma de decisiones y la producción de políticas públicas. Del mismo modo en que participamos en la propuesta de recomendaciones, seguiremos velando por la promoción de éstas para asegurar que en Chile se produzcan medidas para procurar la defensa de los derechos humanos a través de las tecnologías. Es importante recalcar que estas recomendaciones no tienen valor si no se ven reflejadas en acciones concretas por parte del Estado chileno para implementarlas y que éstas tengan un impacto que permita mejorar la calidad de vida de las personas en Chile.

En particular, celebramos que se tomen en cuenta recomendaciones que plantean mejorar las medidas para asegurar que las mujeres vivan libres de violencia en los entornos digitales, y esperamos ello pueda traducirse en acciones concretas de introducción de esta temática en las políticas públicas de la especie, así como en la formación de los operadores del sistema de justicia -policía, fiscales y jueces- para una adecuada respuesta a esta restricción de derechos que sufren las víctimas de violencia de género en línea. Del mismo modo, esperamos que se redoblen los esfuerzos para adecuar la protección de datos los datos personales; en forma consistente a estas recomendaciones y a la reciente reforma constitucional al respecto. 

Ahora, las malas noticias: para nuestra sorpresa, entre las recomendaciones rechazadas se encuentra la realizada por el Estado Plurinacional de Bolivia para «Promover normas que cumplan con los principios de legalidad, necesidad y proporcionalidad en el uso de las comunicaciones y la tecnología, a fin de evitar la criminalización de las protestas sociales indígenas» (125.91).

Ante evidencia reciente del actuar del Estado chileno de forma ilegal en tristemente célebres casos como el denominado «Operación Huracán», al no ajustarse a los principios de proporcionalidad y pasar por encima del derechos fundamental a la privacidad, nos preocupa sobremanera que el Estado rechace una recomendación que precisamente se encamina a adoptar las previsiones legales y operativas que permitan evitar que los hechos documentados se repitan en el futuro. Se pierde una oportunidad clara para que el Estado impulse una evaluación interna crítica de su proceder, tanto desde una perspectiva de controles legales, como desde una perspectiva de compromiso político con el respeto a la libertad de expresión, la privacidad y la seguridad de las personas del pueblo Mapuche.

Sin embargo es de destacar que, a pesar de que la recomendación anteriormente señalada fue rechazada, se aprobó la recomendación 125.88 -hecha por Islandia- que justamente habla de la protección al derecho de libertad de expresión de periodistas y personas defensoras de derechos humanos en Internet. Con ello, esperamos el Estado implemente medidas concretas de control de su fuerza pública para evitar que la tecnología sea usada como medida de represión frente al flujo de información y defensa de derechos que proporcionan los comunicadores sociales y defensores de derechos humanos, incluyendo aquellos que trabajan de cerca por la protección y respeto de los pueblos indígenas.

En suma, la aceptación de estas recomendaciones, en conjunto, nos permite abrigar la esperanza de que el Estado se comprometa a tomar medidas que habiliten la puesta en marcha de políticas públicas que se alineen con la protección de la libertad de expresión, el derecho a la privacidad, la protección de datos y la promoción de entornos digitales libres de violencia hacia las mujeres. 

¿Avanzamos? Sí, aunque no todo lo que quisiéramos. Ahora el Estado tiene cuatro años para demostrar su compromiso con el respeto de los derechos humanos en forma equivalente tanto on line como off line. Derechos Digitales continuará su trabajo de colaboración y observación de las políticas públicas para mantener este recordatorio constante: para que las personas chilenas puedan disfrutar de los beneficios de las tecnologías en sus vidas y no vean restringidos sus derechos por ellas.

Chile necesita una regulación de protección de datos con dientes

La tierra no es plana, las vacunas funcionan y Chile necesita actualizar su legislación de protección de datos. En materia de políticas públicas digitales, son pocos los temas que generan un consenso tan transversal como la necesidad imperiosa de que nuestro país fortalezca su nivel de protección y resguardo de la autonomía informativa de las personas. 

Así lo refleja un informe del año 2016, publicado por el Departamento de evaluación de la ley 19.628 de la Cámara de Diputados. El documento muestra cómo los representantes de la industria, sociedad civil, academia y distintos organismos públicos no solo creen que es importante modificar nuestra regulación, sino que también consideran urgente la creación de un organismo administrativo que sea capaz de fiscalizar el cumplimiento de la ley y sancionar a quienes infringen sus disposiciones. 

En la actualidad -y más allá de las falencias de la ley 19.628– el principal obstáculo que las personas enfrentan al momento de hacer efectivo su derecho a acceder, rectificar, oponerse o cancelar el tratamiento de sus datos personales es de carácter operativo. La ley establece un procedimiento denominado habeas data, que obliga a los titulares a recurrir a los tribunales civiles ordinarios de justicia. Para una persona común y corriente, esto implica contratar un abogado, invertir recursos y esperar un par de años para obtener ojalá una decisión favorable, con tribunales civiles sobrecargados que además no manejan la especialidad que requiere la protección de datos personales. Incluso, luego de haber superado esta ordalía, las sanciones establecidas por la ley son irrisorias, llegando a un tope de más o menos 3.600 dólares. Para empresas y para el Estado, los más frecuentes infractores, la suma es una sanción insignificante ya que las multas podrían ser fácilmente incorporadas como costos de operación. 

Por lo mismo, nadie se puede extrañar de que este procedimiento haya sido utilizado muy pocas veces, dando pie a la impunidad sobre el tratamiento ilegítimo de los datos personales de las personas chilenas; no porque la privacidad no importe, sino que se ha transformado en un privilegio defenderla. 

Aunque existe consenso en que nuestro país debe contar con una Agencia de Protección de Datos, actualmente existen distintos esquemas institucionales que se pueden implementar; cada uno con sus particularidades, partidarios y detractores.

Qué nos gustaría 

En Derechos Digitales hemos participado del proceso legislativo en distintas iniciativas para reformar la actual ley de datos personales; desde el proyecto presentado por el primer gobierno de Bachelet, la iniciativa que tuvo lugar en el primero gobierno de Piñera y el Boletín 11144-07 presentado en marzo de 2017, durante el segundo gobierno de Bachelet y actualmente en tramitación. 

Sí, es frustrante cuantas veces hemos tenido que empezar desde cero. 

Sobre la institucionalidad de control, nuestra posición siempre ha sido la misma: Chile merece contar con una Agencia de Protección de Datos de carácter administrativa, independiente, especializada y con patrimonio propio. En otras palabras, un modelo normativo similar al que dio origen a la Agencia Española de Protección de Datos, que cuente con independencia de otros organismos públicos para poder ejercer su labor de fiscalización sin presiones políticas externas y cuyas decisiones respondan a estándares profesionales. 

Para cumplir su labor a cabalidad, una agencia de estas características también debe contar con los recursos y atribuciones necesarias. No basta con que la entidad pueda fiscalizar el cumplimiento de la ley por parte de organismos públicos y privados, ni que pueda sancionarlos con multa. También es necesario que cuente con facultades para realizar campañas educativas, mantener registro de las bases de datos existentes, inspeccionar a los responsables de bases de datos, establecer medidas cautelares y coordinar cooperación internacional en el área. Por último, la agencia requiere facultades normativas, para generar jurisprudencia administrativa sobre los alcances e interpretación de la ley; a través dictámenes o resoluciones, ya sea de carácter general o pronunciamientos específicos. 

Originalmente el proyecto de ley creaba un organismo encargado de la protección de los datos personales, dependiente del Ministerio de Hacienda. Pero la creación de un nuevo organismo -independiente, especializado y con patrimonio propio- requiere de una inversión económica importante, que por razones políticas no se encuentra hoy disponible. Así, en julio de 2018 el ejecutivo ingresó una indicación sustitutiva, entregando esta tarea al Consejo para la Transparencia (CPLT), entidad que actualmente tiene la poco específica atribución de “velar” por el cumplimiento de la Ley 19.628 respecto de los organismos públicos, pero ninguna herramienta para hacer efectivo este control.

El problema concreto es que la creación de un nuevo organismo -independiente, especializado y con patrimonio propio- requiere de una inversión económica importante, que por razones políticas no se encuentra hoy disponible.

Lo perfecto es enemigo de lo bueno

En los últimos meses, la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado ha votado la mayoría de los artículos del proyecto relativos a temas de fondo –con algunos resultados no del todo satisfactorios desde nuestro punto de vista. Es posible que en las próximas semanas se revise lo relativo a la Agencia de Protección de Datos Personales: su institucionalidad, atribuciones y recursos. 

Al tratarse de la creación de un nuevo organismo público, este aspecto de la ley solo puede modificarse por iniciativa del Presidente de la República. Sin embargo, al no existir consenso respecto a qué organismo público debe convertirse en la nueva Agencia de Protección de Datos, es probable que se genere un intenso debate.  

Las alternativas parecen ser dos: un nuevo organismo público especializado en protección de datos personales que dependa de un ministerio, o entregarle esta atribución al CPLT. Como todo en la vida, ambas opciones tienen cosas a favor y en contra. 

La creación de un organismo nuevo tiene la fortaleza de que esta nueva institución tendría un carácter especializado, compuesto exclusivamente por expertos en materia de protección de datos personales. En este sentido, se podría asegurar que las decisiones estarían fundamentadas bajo criterios técnicos y serían tomadas por profesionales del área. 

Sin embargo, en cuanto al nivel de autonomía del organismo, este solo contaría con un nivel de “independencia funcional”, similar a la que cuenta la Fiscalía Nacional Económica respecto del Ministerio de Economía. Es posible argumentar que este nivel de independencia es suficiente; después de todo, la Fiscalía Nacional Económica ha funcionado bastante bien. Sin embargo, hay una diferencia fundamental entre ambos organismos: a la Agencia de Protección de Datos Personales le corresponderá conocer, decidir y sancionar casos concretos donde haya una contienda respecto al cumplimiento de la ley de datos personales por parte de un responsable de bases de datos. En este sentido, tiene sentido que dicha agencia tenga un nivel de autonomía más similar al Tribunal de Defensa de la Libre Competencia que el de la Fiscalía Nacional Económica. 

Esto es particularmente relevante si tenemos en consideración que el mayor recolector, almacenador y procesador de datos personales es el Estado. No solo en términos de cantidad de datos, sino que también es el que maneja más datos de carácter sensible y muchas veces ha sido el más negligente en el resguardo y manejo de esos datos. Por lo mismo, se vuelve esencial que la labor de la agencia este exenta de eventuales presiones políticas externas. Si el día de mañana un importante organismo público sufre una filtración de datos personales que le signifique una multa millonaria, necesitaremos un organismo de control que sea inmune al telefonazo de su superior jerárquico. 

Optar por el CPLT implica enfrentar el problema contrario. El Consejo cuenta con altos niveles de independencia y autonomía, y una legitimidad asentada frente a la ciudadanía y el poder político, pero desde su creación su labor ha estado enfocada en materializar los principios de acceso a la información pública y la transparencia en la actuación del Estado. Si bien es cierto que el acceso a la información pública y la protección de datos personales no son materias necesariamente excluyentes, se trata de áreas del derecho que tienen sus propios principios y particularidades. Los expertos que han sido formados profesionalmente en una de ellas pueden contar con un sesgo profesional. 

Creemos que esto puede evidenciarse en algunas decisiones del Consejo en las que no concordamos con la ponderación entre el resguardo de los datos personales de los titulares y el derecho de los ciudadanos de acceder a la información pública. Algunos casos de lo anterior han sido: la entrega de información estadística por parte del INE, el acceso a los correos electrónicos de funcionarios públicos y la entrega del listado de nombres de dominios administrado por NIC Chile.

Frente a las condiciones actuales, la mejora en la protección de los datos personales en Chile necesariamente pasa por priorizar la evaluación independiente acompañada de un reforzamiento sobre la especialidad; asegurar que la futura autoridad de Protección de Datos Personales pueda operar con autonomía y exenta de presiones en sus pronunciamientos es crucial. Un criterio similar puede encontrarse en el Reglamento General de Protección de Datos, el que al momento de determinar si un país cuenta con un “nivel adecuado de protección” se da prioridad a que cuente con una agencia independiente.  

Para ello el mecanismo de conformación de la institucionalidad requiere ser modificado con el fin de adecuarse a sus nuevas atribuciones. En este sentido sería positivo que el número de consejeros se aumentara a seis, a fin de que se convocara a tres expertos en protección de datos personales y tres expertos en acceso a la información pública.

De esta forma, el Consejo podría operar con dos salas especializadas de funcionamiento permanente. Para poder mantener un criterio unificado al momento de ponderar privacidad y transparencia, cada sala podría integrarse por tres consejeros: dos de ellos de la competencia de la especialidad de la sala y un tercero de la especialidad de la otra sala que podría ir rotando. De esta forma se puede fortalecer el criterio técnico en la disciplina respectiva, favoreciendo la uniformidad en la aplicación e interpretación de la ley. Además, para evitar que consejeros que provengan del mundo privado queden implicados por conflictos de interés en materia de fiscalización de empresas que tratan datos personales, también es necesario un régimen de inhabilidades como el contemplado en el proyecto de ley.

Por otro lado, siempre existe la posibilidad de transformar los desafíos en una oportunidad. Tener una misma institución encargada de velar por el acceso a información pública y la protección de datos personales -como sucede en Inglaterra- permitiría contar con un criterio unificado en esta materia. Por el contrario, contar con dos instituciones separadas podría generar el riesgo de decisiones contradictorias

No cabe duda de que será un desafío importante que el CPLT alcance un equilibrio al presentarse casos que enfrenten la protección de los datos personales de los ciudadanos con el derecho a acceder a la información pública. Sin embargo, es un objetivo que se puede alcanzar con el tiempo y con los reforzamientos en presupuesto y capacidades para el CPLT que hemos enfatizado a lo largo del texto. Por otro lado, una institucionalidad que no cuente con independencia y autonomía desde su concepción no podrá sacudirse nunca esta falencia y por tanto no podrá proveer a la ciudadanía mejor protección que la que gozan actualmente sus datos personales. 

¿Chile está a la altura de la tarea? Los derechos humanos en el entorno digital, examinados

El 22 de enero pasado, el Consejo de Derechos Humanos de las Naciones Unidas examinó el historial de derechos humanos de Chile en el contexto del proceso del Examen Periódico Universal (EPU). Este proceso permite rastrear el progreso que ha tenido Chile en sus obligaciones de promover y proteger los derechos humanos.

Como señalamos en un texto anterior, este EPU ha registrado la primera vez que se generó conciencia sobre la necesidad de abordar el impacto de las tecnologías digitales en el ejercicio y la promoción de los derechos humanos: desde el respeto del derecho a la privacidad, la libertad de expresión. , la reunión y asociación pacífica, el ejercicio de los derechos económicos, sociales y culturales, y el impacto de una amplia gama de tecnologías que están afectando cada aspecto de la vida de los chilenos.

El Estado chileno debe ajustarse a las normas internacionales sobre el disfrute de los derechos humanos en internet, el derecho a la privacidad en la era digital y otros instrumentos que combaten la discriminación y la violencia en sus manifestaciones digitales.

Las recomendaciones recibidas por Chile en este último EPU son cruciales para reconocer el compromiso deficiente del Estado con respecto al fomento del ejercicio de los derechos humanos en el entorno digital.

En un artículo anterior advertimos sobre cómo el estado y el sector privado han utilizado algunas tecnologías para realizar la vigilancia de los chilenos, afirmando que era por «su propia seguridad» y «el uso efectivo de los recursos públicos». A continuación echamos un vistazo a las principales áreas de preocupación que se expresaron en el EPU, que también percibimos como desafíos compartidos en varios países de América Latina.

Chile necesita mejores leyes de derechos digitales y autoridades independientes de protección de datos

La delegación brasileña recomendó que Chile «adopte una legislación específica para proteger y promover los derechos humanos en entornos digitales, incluido el derecho a la privacidad». Esta recomendación señaló que Chile se quedó corto en la implementación de políticas concretas y directas sobre la materia.

Perú recomendó que Chile debería trabajar en «la evaluación de las tecnologías de vigilancia y recolección de datos personales desde una perspectiva de derechos humanos, con respecto al derecho a la privacidad y considerando el principio de no discriminación».

En la misma dirección, el Estado suizo señaló «la necesidad de fortalecer la legislación sobre la protección de datos personales» y el establecimiento de políticas públicas «de acuerdo con el estado de derecho, la proporcionalidad y la privacidad». Para que esto suceda, según el Estado suizo, es necesario que Chile «considere la creación de una autoridad de control independiente» que proteja los datos personales.

Actualmente se están discutiendo algunas mejoras en la actualización de la ley chilena de protección de datos; no obstante, estas recomendaciones obligan al Estado chileno a cumplir con las obligaciones internacionales de derechos humanos previamente adoptadas por Chile.

Chile necesita enfrentar la violencia contra las mujeres en entornos digitales

Las recomendaciones de Islandia abordaron otros temas apremiantes, instando al Estado de Chile a «revisar las leyes, políticas y regulaciones que abordan la violencia contra las mujeres, incluida la violencia en entornos digitales». Esta recomendación fue secundada por Canadá, quien recomendó una orden de legislación que permitiría a las mujeres «vivir libres de violencia, incluido el contexto digital».

Si bien Chile ha mejorado considerablemente la implementación de políticas para combatir la violencia contra las mujeres y los jóvenes, no hay políticas específicas para enfrentar este problema en el campo digital: el acoso sexual en las redes sociales y la difusión de material íntimo sin consentimiento son una realidad que requiere un esfuerzo práctico para superar las estructuras patriarcales en espacios fuera de línea y en línea, a fin de garantizar la capacidad de las mujeres para crear, habitar y constuir sus propias narrativas en el espacio digital.

También es necesario señalar que estas recomendaciones son adicionales a los esfuerzos anteriores desarrollados por el Estado, por eso insistimos a las instancias calificadas que tomen en cuenta las recomendaciones para promover su plena integración en los programas futuros y la agenda legislativa; garantizando espacios libres de violencia para el desarrollo de las mujeres a partir de hoy.

Chile necesita dejar de usar la tecnología para violar los derechos humanos

Las recomendaciones bolivianas abordan uno de los temas más apremiantes y escandalosos de Chile en los últimos tiempos: el uso de la tecnología como herramienta de represión. En una declaración contundente, Bolivia recomendó que Chile “promueva estándares que sigan los principios de legalidad, necesidad y proporcionalidad. Así como el uso de las comunicaciones y las tecnologías como una forma de poner fin a la criminalización de las protestas de los indígenas».

La delegación boliviana instó a Chile a evitar la repetición de episodios escandalosos como el «Caso Huracán«, donde se utilizó la tecnología para enmarcar a los líderes indígenas en actos terroristas. En muchos casos, el estado ha utilizado la tecnología para espiar a los líderes, periodistas y medios de comunicación indígenas en un intento por criminalizar sus reclamos legítimos.

Todas esas acciones violan las normas internacionales de derechos humanos al restringir el derecho a la privacidad, evitando la inviolabilidad de las comunicaciones y limitando la libertad de expresión y la reunión pacífica. Estas son algunas de las razones por las que esperamos que las recomendaciones se tengan en cuenta y se canalicen a través de reformas legales e institucionales dentro de los servicios de inteligencia y la aplicación de la ley del país, para evitar que las violaciones a los derechos humanos de las personas chilenas vuelvan a suceder.

¿Qué sigue?

Los Estados que participaron en el EPU de Chile hicieron llamados claros y firmes al Estado de Chile para promover, proteger y respetar plenamente los derechos humanos en el contexto digital. Esperamos que el Estado chileno esté a la altura de la tarea de aceptar esas recomendaciones, avanzar hacia la implementación completa de un enfoque integral de los derechos humanos en el país y, por lo tanto, considere los espacios digitales como entornos protegidos para el ejercicio de los derechos humanos.

Derechos Digitales -con sus socios y simpatizantes- mantendrá la atención en la adopción de las recomendaciones de Chile y estará disponible para colaborar en esta tarea. Como hemos señalado anteriormente: es momento de tomar decisiones y compromisos para garantizar la capacidad de ejercer plenamente los derechos humanos para el futuro, que es ahora. No hay tiempo que perder.

* Estos esfuerzos fueron coordinados por Derechos Digitales y respaldados por IFEX, en colaboración con Privacy International, APC, Ciudadanía Inteligente y Fundación Pro Acceso.

¿Quién defiende tus datos? La problemática acción de Subtel

El 16 de junio de 2018 se publicó, y entró en vigencia, la reforma constitucional que concede reconocimiento y protección a los datos personales como derecho fundamental autónomo en el numeral 4 del artículo 19 de la Constitución de la República Chile.

Tristemente un número de casos recientes –desde la instalación programas masivos de vigilancia en espacios públicos, hasta la vulneración del secreto estadístico al obligar al Instituto Nacional de Estadísticas (INE) la entrega de un dato aislado de la Encuesta de Presupuestos Familiares (EPF)– dan cuenta de que algunos órganos del Estado que parecen no encontrarse suficientemente informados de que la protección constitucional garantizada a los datos personales implica obligaciones concretas para su proceder, y una aplicación más estricta en su quehacer de la Ley Nº19.628, que regula desde hace 20 años la materia.

Uno de estos casos que parece haber pasado bajo el radar de la opinión pública se refiere a la orden emitida por la Subsecretaría de Telecomunicaciones (Subtel) a las concesionarias de servicios telefónicos, en el mes de mayo de 2018, para que éstas proporcionaran información respecto de su base de clientes para ser entregada a la empresa CADEM en el marco de un estudio de satisfacción de los usuarios que la repartición pública buscaba desarrollar. En concreto, Subtel solicitó a las empresas la siguiente información respecto de toda su base de datos de clientes: a) Número telefónico móvil; b) Tipo de plan de pre o post pago; c) Comuna y región del suscriptor; d) Si registra o no tráfico de dato y/o voz durante los últimos 30 días; y, e) Si se trata de un cliente que cuenta con multiservicio. 

Varias de las empresas concesionarias si bien cuestionaron la solicitud, atendieron al requerimiento de la autoridad bajo el temor de resultar multadas de no hacerlo, sin embargo la empresa ENTEL reclamó de la solicitud invocando la normativa legal y constitucional de protección de datos que le impide proporcionar la información de sus clientes sin el consentimiento de éstos. Incluso a  pesar de su reclamo, la empresa proporcionó a Subtel una base con todos los números móviles de sus clientes, pero sin otra información solicitada que permitiese su identificación.

Subtel muestra en este caso una preocupante ignorancia y confusión como servicio público a la hora de determinar si la información solicitada se trata de datos personales o no. Falla en reconocer que el conjunto de información solicitada permitiría la identificación de usuarios con poco esfuerzo durante el ejercicio de la encuesta para la cual se argumenta que los datos han sido solicitados. 

Cabe recordar que la definición de dato personal abarca mucho más que el nombre o el apellido de una persona -como parece defender la autoridad en los cargos que formula a la empresa-, y se extienden a cualquier información concerniente a personas identificadas o identificables. La base de datos solicitada por la autoridad permitiría a ésta -o al tercero al que se le encomendará la realización de la encuesta de satisfacción- la identidad de quienes son titulares de los números informados a través de un simple llamado, además de poder perfilarlos por nivel socioeconómico, mediante análisis de sus gastos y comuna de residencia, así como obtener información de sus hábitos a través de la utilización de servicios, todo lo cual califica como dato personal conforme a la definición de la ley. 

Por lo demás, así ha sido reconocido por el Consejo para la Transparencia en la causa c-611-2010 en la cual señaló que: “(…) desde el punto de vista de la protección de los datos personales, en tanto el número telefónico se encuentre asociado o sea susceptible de asociarse al nombre de una persona natural, dicha información constituye un dato personal, por lo que quienes trabajen en su tratamiento están obligados a guardar secreto sobre los mismos, cuando estos provengan o hayan sido recolectados de fuente no accesibles al público”.

No se trata en este caso de una fuente accesible al público, no existe en este caso consentimiento que haya sido recabado de parte de los titulares de los datos, ni una autorización legal a Subtel para requerir esta información, que excede con creces la información estadística que puede resultar útil con fines de política pública, como es invocado para fundar sus facultades. 

Subtel insistió en la solicitud indicando que “la información sólo será utilizada para fines propios del servicio”. Tal afirmación vulnera el principio de finalidad establecido en el art. 9 de la Ley Nº 19.628, conforme al cual “los datos personales deben utilizarse sólo para los fines para los cuales hubieren sido recolectados, salvo que provengan o se hayan recolectado de fuentes accesibles al público”. Los datos recogidos por una empresa de sus usuarios con la finalidad de prestarle el servicio, deben regirse por el principio de finalidad en su tratamiento y no pueden ser entregados a terceros sin el consentimiento de sus titulares o mediando otra autorización legal. 

Adicionalmente, los datos que Subtel solicitó a las concesionarias, no fueron recogidos por Subtel, por tanto no puede ampararse su solicitud en el art. 20 de la Ley 19.628, que autoriza el tratamiento de datos personales sin consentimiento del titular por parte de un organismo público “respecto de las materias de su competencia”. 

La vulneración del principio de finalidad no es siquiera disimulada por la autoridad, que reconoce directamente en el oficio en que solicita los datos personales que éstos serán proporcionados a la empresa CADEM, sin que provea certeza de ningún tipo de las medidas técnico administrativas que se adoptarán para la seguridad de tales datos, y para cautelar el cumplimiento del principio de finalidad, en un contexto en que la citada empresa realiza estudios de distinta índole, incluyendo las encuestas de tendencias políticas y categorización socioeconómica de la población. 

No compete a las empresas concesionarias asumir frente a sus clientes que les han confiado sus datos personales en el marco de una relación contractual el riesgo sobre una eventual falta de reserva de la autoridad en la custodia de los datos, es la autoridad la que debe acreditar que satisface los requisitos legales para acceder a los datos personales de los usuarios y adoptará las medidas adecuadas para su protección, lo cual es difícil de creer que se hará si de entrada la autoridad niega la categoría de datos personales de la información que solicita. 

No se atiende tampoco en este caso por la autoridad al principio de proporcionalidad en la recogida de datos, que mira a la necesidad de minimizar la recogida de datos a aquello que resulta estrictamente necesario para la finalidad legítima que se persigue con su recogida, por cuanto la encuesta de satisfacción no se realizará a la totalidad de la base sino sólo a una muestra, y sin embargo se exige la base completa, con el consiguiente riesgo que ello representa para los titulares de tales datos.

Desde 2017, Derechos Digitales ha desarrollado el reporte ¿Quién Defiende Tus Datos? en el cual evaluamos el comportamiento de las empresas de Telecomunicaciones en la cautela de la información de sus usuarios frente a requerimientos de la autoridad que no satisfacen las exigencias legales, así como la transparencia y claridad en las condiciones de privacidad que ellas ofrecen a sus usuarios. Ad portas de una nueva entrega de nuestro informe que se realizará el próximo 23 de julio, celebramos la defensa legal que Entel está realizando hoy ante la Corte Suprema de los datos personales de sus usuarios al reclamar de la multa que le fue impuesta por su negativa a entregarlos. 

Este episodio nos llama a poner las cosas en perspectiva: es deber del Estado defender los derechos fundamentales de los ciudadanos, hasta que los organismos públicos no se tomen en serio este mandato en materia de protección de datos personales, la reforma constitucional no se materializará en más que tinta sobre un papel. 

Contra la vigilancia masiva en los espacios públicos del «Sistema de televigilancia móvil»

Las organizaciones e individuos firmantes expresamos nuestra preocupación y rechazo por las medidas de vigilancia pública anunciadas por el gobierno de Chile.

El martes 18 de marzo de 2019, el presidente Sebastián Piñera puso en marcha el «Sistema de televigilancia móvil» en la Región Metropolitana, enmarcado en el plan “Calle Segura” y que mediante aeronaves no tripuladas (también conocidas como drones) vigilará el espacio público con el fin de combatir la delincuencia. Se trata de ocho drones dotados de cámaras de alta definición, con tecnología de reconocimiento facial y capacidad de grabar y transmitir las imágenes en tiempo real. El monitoreo se hará desde las oficinas de la Intendencia y se planea su extensión a todo el país en 2020.

[left]Este sistema viola derechos fundamentales y representa un retroceso significativo del Estado chileno en materia de derechos humanos.[/left]

Esta nueva política nacional instaura una tecnología de vigilancia masiva en el espacio público, con un nivel de intrusión y movilidad nunca antes vista en Chile, y es la expresión de un Estado que busca un mayor control social, vulnerando el principio de inocencia de nuestro sistema penal al someter a la población a la constante mirada vigilante y omnipresente de la policía, facilitada por la tecnología. Este sistema viola derechos fundamentales en una sociedad libre y democrática, y representa un retroceso significativo del Estado chileno en materia de derechos humanos.

Al respecto, nos parece importante señalar que:

  • El sistema es ilegal. No existe una habilitación legal expresa que autorice el reconocimiento de personas con fines de vigilancia[2] y tampoco existen anuncios de un proyecto de ley que lo habilite. Si para poner en funcionamiento los controles de identidad preventivos, el ejecutivo entiende que se requiere una habilitación legal expresa, por la limitación del ejercicio de garantías constitucionales que implican, del mismo modo debió prever que el desarrollo de una política basada en el despliegue de tecnologías de vigilancia altamente intrusiva necesita de un debate democrático previo en el Congreso, orientado a balancear la protección de los derechos fundamentales en juego. La falta de una legislación adecuada para la protección de datos personales y para la prevención de los abusos policiales -como los ocurridos en casos como Operación Huracán- agravan esta situación de ilegalidad y falta de mecanismos de control.
  • El sistema es inconstitucional. Al mantener a la sociedad vigilada en el espacio público, sujeta al escrutinio y registro constante, el sistema amenaza los derechos a la vida privada y a la protección de datos personales (Art. 19 nº 4), a la inviolabilidad del hogar (Art. 19 nº 5), a la libertad de movimiento (Art. 19 nº 7), a la libertad de reunión pacífica (Art. 19 nº 13) y a la igual protección de la ley en el ejercicio de derechos (Art. 19 nº 3). Al no existir autorización constitucional ni legal expresa, ni control judicial alguno, se afecta inconstitucionalmente la esencia de tales derechos, contraviniendo lo prescrito en el Art. 19 nº 26.
  • El sistema es ineficaz, ineficiente y propenso a errores. Incontables estudios, incluyendo la experiencia reciente en Chile,[4] dan cuenta de que el reconocimiento facial es altamente falible. Del mismo modo, no existe una correlación significativa entre el descenso de la criminalidad y la presencia de estos aparatos. Ni el sector oriente de Santiago ni la región de Antofagasta -donde, desde diciembre de 2018, ha operado el piloto de este programa- han mostrado cambios significativos en las tendencias de criminalidad.
  • El sistema facilita abusos de la autoridad. Los sistemas de reconocimiento facial han facilitado la institucionalización de sesgos asociados a la clase social y el color de la piel[6], y refuerzan prejuicios sociales, manteniendo sistemas de persecución criminal discriminatorios y basados en la sospecha del otro. El plan inicial cubre comunas de nivel socioeconómico predominantemente medio y bajo, con lo que amenaza reforzar discriminaciones existentes sobre la población menos privilegiada y su estigmatización.
  • El sistema carece de legitimidad. No existen estudios que avalen la necesidad ni la proporcionalidad de las medidas anunciadas. Tampoco existen estudios de impacto sobre derechos humanos que avalen las medidas, ni han existido mecanismos de participación pública en su formulación. La ausencia de autorización legal en la materia requiere de un debate democrático en el Congreso previo a la implementación de esta tecnología.
  • El sistema carece de mecanismos de transparencia y rendición de cuentas. La autoridad no ha informado qué tecnología se usa para el reconocimiento facial, cuáles pruebas de errores se han realizado y cuáles han sido sus resultados, ni cómo se hará esa evaluación en el futuro. Tampoco ha anunciado qué medidas técnicas y organizativas se adoptarán para resguardar la seguridad de la información recogida por las aeronaves, ni qué resguardos existen en caso de abuso por quienes operen la tecnología. Un ejercicio de función pública sin transparencia y rendición de cuentas es inaceptable.

En síntesis, el sistema de videovigilancia es contrario a los derechos humanos. Además de ser contrario a la ley y a la Constitución, el sistema desconoce las obligaciones adquiridas por el Estado chileno en el Pacto Internacional de Derechos Civiles y Políticos y la Convención Americana sobre Derechos Humanos. Ignora las recomendaciones de los Relatores Especiales para la Libertad de Expresión y para la Privacidad de la Organización de las Naciones Unidas, como también las de la Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos y las del Grupo de Trabajo de Protección de Datos de la Unión Europea (G29, Dictamen 3/2012) [7]. Incumple con principios de alto nivel y omite la opinión especializada sobre la materia.[8]

Recomendaciones

Las organizaciones e individuos firmantes instamos al gobierno de Chile a:

  1. Detener el proceso de implementación de videovigilancia aérea mediante drones y poner fin al programa «Calle Segura» mientras no existan evaluaciones transparentes y abiertas, como también discusión pública sobre la necesidad, conveniencia y licitud de las medidas propuestas.
  2. Ordenar la realización de análisis previos de impacto en derechos humanos de las propuestas sobre tecnología de vigilancia y seguridad pública, y evaluación periódica de sus resultados, en procedimientos transparentes, visados por expertos independientes.
  3. Impulsar con urgencia la reforma a la normativa sobre protección de datos personales, incluyendo la formación de una autoridad pública de control, autónoma y con facultades amplias de fiscalización, intervención, interpretación y sanción, desde una perspectiva de protección de los derechos fundamentales. Del mismo modo, impulsar una reforma profunda a las instituciones policiales, que permitan un control democrático y la prevención de los múltiples abusos en el uso de tecnologías de vigilancia, para ceñirlas a los principios de legalidad, necesidad y proporcionalidad.

Suscriben:

  • Derechos Digitales · América Latina
  • Fundación Datos Protegidos
  • Amnistía Internacional – Chile
  • Centro de Derechos Humanos de la Universidad Diego Portales
  • Ciudadanía Inteligente
  • Observatorio Ciudadano
  • Corporación Fundamental
  • Centro de Investigación y Defensa Sur (CIDSUR)
  • Libertades Públicas
  • Fundación ProAcceso
  • Fundación Todo Mejora
  • Corporación Humanas
  • Acoso.Online
  • Fundación Multitudes
  • Presidencia FECh
  • Coordinadora Feminista 8M
  • Colectivo Disonancia
  • Observatorio de Género y Equidad
  • Frente Feminista Región Metropolitana de RD
  • Colectiva Hartas Mujeres
  • Mujeres en el Medio
  • Foro Ciudadano
  • Vaginas Ilustradas
  • Stgoverde
  • Brigada de Propaganda Feminista
  • Fundación CIAPE Educación y tecnologías
  • Programa Libertad de Expresión del Instituto de la Comunicación e Imagen de la Universidad de Chile
  • ONG Amaranta
  • Domingo Lovera, abogado y académico UDP.
  • Patricia Peña, académica, Coordinadora Diplomado en Comunicación Digital ICEI Universidad de Chile.
  • Paz Becerra, abogada.
  • Pablo Ortega Manosalva, abogado.
  • Sebastián Saavedra Cea, abogado.
  • Karina Riquelme Viveros, abogada.
  • Natividad LLanquileo Pilquiman, abogada.
  • Pamela Nahuelcheo Queupucura, abogada.
  • Marlenne Becker Marín, trabajadora social.
  • Cristopher Corvalán Rivera, abogado.
  • Eduardo Painevilo Maldonado, abogado.
  • Carolina Contreras Rivera, abogada.
  • Luis Cordero, abogado y profesor de derecho administrativo – Universidad de Chile.
  • María Jaraquemada, abogada.
  • Mauricio Duce, abogado y académico UDP.
  • Pedro Anguita, abogado.
  • Tomás Jordán Díaz, abogado y académico Universidad Alberto Hurtado.
  • Verónica Encina, abogada.
  • Carolina Barrera, abogada.
  • Victoria Ortega Escudero, abogada.
  • Bárbara Orellana Baltra, abogada.
  • Ricardo Cadet Herrera, abogado.
  • Iván Vidal Tamayo, abogado.
  • Humberto Lemarie Silva, abogado.
  • Francisco Vera Hott, abogado.
  • Iván Vidal Tamayo, abogado .
  • Lorerna B. Valderrama, académica Universidad Alberto Hurtado.
  • Carolina Gainza C., académica Universidad Diego Portales.
  • Helder Binimelis Espinoza, académico Universidad Católica de y miembro del Observatorio de Transparencia Regional de la Araucanía.
  • Juan Contreras Bustos, activista de derechos humanos.
  • Daniel Piña Rivera, analista programador.
  • Ignacio Astorga, animador digital.
  • Tamara Daniela Lazcano Domange,  artista visual.
  • Mauricio Vargas Peralta, capitán Partido Pirata de Chile.
  • Ricardo Noerr, consultor informático.
  • Mauricio Yanchapaxi Jacho, consultor organizacional y de emprendimiento.
  • Roberto Muñoz, Director de innovación Ciencia360.
  • Sebastian Rodriguez,  diseñador industrial.
  • Daniel Sanchez Urrutia, diseñador web.
  • Bastián Lisboa, estudiante
  • Vicente aguilar, estudiante
  • Juan Ignacio Ferrari, estudiante
  • Manuel Lainez.
  • Erwin Gonzalez, informático
  • Enrique Herrera Noya, informático
  • Freeman Sánchez, ingeniero en sistemas computacionales.
  • Luis Alfredo,   ingeniero.
  • Francisco Ibáñez, ingeniero.
  • Claudio C, ingeniero.
  • Joshua Provoste, investigador de seguridad Informática.
  • Pamela Moragrega Vilches, periodista.  
  • Daniel Jeria, periodista.
  • Marcela Ortiz Buijuy, periodista.
  • Facundo Ferreirós, profesor.
  • Matías Tapia Wende, profesor.
  • Diego Esteban Loyola Maureira, profesor.
  • Evelyn Acevedo Parra, profesora.
  • Pamela Zárate Martel, UX Strategist.
  • Carlos Oliva.
  • Alex Martinez .
  • Diego Melendez García.
  • Juan Claudio Ramirez Gomez.
  • Camila Hidalgo.
  • Simonne loyola.
  • Yañez Juan.
  • Oscar Fernández.
  • Alan Arellano.
  • Juan Correa Poblete.
  • Viviana Alvarez.

¿Quieres adherir a la declaración? Firma acá.

[1] «Presidente Piñera lanzó sistema de vigilancia con drones en la Región Metropolitana», https://www.gob.cl/noticias/presidente-pinera-lanzo-sistema-de-vigilancia-con-drones-en-la-region-metropolitana/

[2] Cordero Vega, L. (2015). Videovigilancia e intervervención administrativa: las cuestiones de legitimidad. Revista de Derecho Público, (70), pp. 359-376.

[3] Ley Nº 19.628 sobre protección de la vida privada, Art. 10.

[4] «[A]demás la PDI informó que entre mayo y junio pasado se realizaron pruebas al sistema, que concluyeron que el 90% de las identificaciones de rostro fueron falsos positivos (identificación de persona errónea)». «¿Dónde quedan las imágenes de reconocimiento facial de los malls?», Las Últimas Noticias, 14 de marzo de 2019, p. 10.

[5] «Subsecretaría de Prevención del Delito e Intendencia de Antofagasta implementan drones de vigilancia en la región»,  http://www.seguridadpublica.gov.cl/noticias/2018/12/14/subsecretaria-de-prevencion-del-delito-e-intendencia-de-antofagasta-implementan-drones-de-vigilancia-en-la-region/

[6] Propublica (2016). Machine Bias. https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing

[7] Opinion 3/2012 on developments in biometric technologies, Article 29 Data Protection Working  Party https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf

[8] «Propuesta de estándares legales para la vigilancia en Chile», https://www.derechosdigitales.org/wp-content/uploads/propuesta-estandares-legales-vigilancia-chile.pdf

A 5 años de su consagración: repensando el derecho al olvido

En mayo se cumplirán cinco años desde que el Tribunal Europeo de Justicia falló el polémico Caso Costeja, que estableció la responsabilidad de los motores de búsqueda sobre las bases de datos y dio pie a la posibilidad de cancelar la disponibilidad de ciertos resultados a solicitud de sus titulares: lo que hoy conocemos como “derecho al olvido”. Desde entonces, distintos países de Latinoamérica han propuesto incorporar esta figura a sus ordenamientos jurídicos, pero ¿es realmente necesaria su consagración en Chile? 

Jurídicamente, el derecho al olvido no es más que la decisión legislativa de declarar a los motores de búsqueda como responsable de bases de datos personales. La consecuencia de ello es que habilita a los titulares de datos personales a ejercer derechos ARCO (acceso, rectificación, cancelación u oposición) cuando estos datos resultan inexactos, falsos o dejan de ser relevantes. De esta forma, una persona puede pedir, por ejemplo, que una determinada URL no aparezca en los resultados de búsqueda cuando se busque su nombre; como sucedió en el Caso Costeja donde -a pesar de haber transcurrido más de 10 años- un anuncio de embargo aún aparecía en los resultados de búsqueda asociados a nombre en Google, afectando su derecho a la participación en la vida económica y su capacidad de hacer negocios luego de haber saldado sus deudas.  

Exigir a Google, Bing, Yahoo y compañía eliminar ciertos contenidos de los resultados de búsqueda también resulta problemático desde una perspectiva del derecho a la información, la libertad de expresión, el ejercicio del periodismo y la memoria histórica. Después de todo ¿de qué sirve que algo esté disponible en internet si cuando alguien intenta acceder a él no aparezca entre los resultados de búsqueda? 

Desde la academia, la sociedad civil y la jurisprudencia se ha hecho un importante esfuerzo para compatibilizar la consagración del derecho al olvido con otros derechos que se pueden ver afectados. Sin embargo, vale la pena preguntarse si nuestro ordenamiento jurídico ya cuenta con herramientas suficientes para enfrentar este fenómeno de una forma que permita ponderar de mejor manera los intereses en juego.  

¿Qué dice la evidencia?

De los seis buscadores con mayor presencia en internet, Google domina por sobre un 90% el mercado de motores de búsqueda, siendo el principal buscador utilizado por los usuarios globalmente, ejerciendo una actividad casi monopólica respecto del universo de motores de búsqueda que existen. 

A fin de hacerse una idea del impacto que ha tenido el derecho al olvido en Europa, fue necesario revisar las estadísticas de solicitudes de desindexación. De todos los motores de búsqueda solamente Google, Bing y Yahoo tienen a su disposición formularios para solicitar la desindexación de contenido a nivel europeo.  En cuanto a la transparencia de estas solicitudes y sus resultados, solo Google y Bing cuentan con estadísticas públicas relativas a las solicitudes recibidas y su aceptación o rechazo.

Partiendo de las estadísticas disponibles, es posible observar que de 785.027 solicitudes totales recibidas por Google (3.038.858 URL solicitadas) y Bing (78.781 URL solicitadas), un total de 1.020.404 URL solicitadas fueron aceptadas. Es decir, el buscador decidió que la solicitud tenía mérito suficiente y las URLs han dejado de aparecer en los resultados de búsqueda asociados a sus datos personales. Por otra parte, 1.305.256 URLs fueron rechazadas. De esta forma, la tasa de aceptación de solicitudes de desindexación es de aproximadamente un 43%. Una cifra bastante elevada que permite sospechar que el mecanismo de desindexación no está siendo utilizado en casos excepcionales en que la afectación justifique una medida de estas características. 

Además el hecho de que se utilice la legislación de protección de datos personales  como mecanismo procesal implica que el primer organismo en decidir la validez de la solicitud será el responsable de la base de datos, en este caso: las empresas privadas que las posean. Esto resulta problemático ya que decidir sobre la ponderación de distintos derechos fundamentales debería recaer únicamente en los tribunales de justicia, quienes cuentan con la independencia, imparcialidad y legitimidad constitucional para decidir materias que pueden afectar derechos humanos. 

Corremos el riesgo de establecer una especie de censura donde una empresa resolverá colisiones entre derechos fundamentales a partir de lo que le convenga, para evitarse conflictos judiciales y sanciones.

¿Es el derecho al olvido la vía adecuada?

Ante la ausencia de una legislación específica, las personas afectadas por contenido en línea desactualizado, inexacto o que podría coartar sus derechos se han visto obligadas a echar mano al recurso de protección como mecanismo para evitar que cierto contenido en línea sea vinculado a su identidad. 

Uno de los primeros fallos sobre la materia (incluso previo al caso Costeja) fue el caso del exfiscal Abbot (2012). Alegando que el contenido de un blog resultaba atentatorio a su persona, la Corte decidió que Google debía “establecer los filtros necesarios para evitar publicaciones de carácter injurioso”, sin considerar la calidad de funcionario público del entonces fiscal regional. El año 2016 el caso del periódico El Mercurio se presentó cómo otro error de criterio de la Corte, la que ordenó no sólo la desindexación del contenido, sino su eliminación. En ambos casos se muestra la ausencia de una correcta ponderación entre la afectación de la honra del quienes exigen este recurso y el derecho de los medios de comunicación de cubrir legítimamente acontecimientos de interés público.

Sin embargo, en el último tiempo los criterios de las Cortes superiores de justicia han ido evolucionado, llegando al acuerdo respecto a que los recursos de desindexación deben operar únicamente de forma excepcional. En la sentencia más reciente de la Corte Suprema -relacionada a la publicación de una noticia por un delito al que finalmente la autora fue absuelta- el tribunal terminó por decidir que “no procede la eliminación de la noticia que en su día fue publicada lícitamente”,  estipulando que si existe un interés público, al ser ponderado con otros derechos fundamentales, este tendrá mayor relevancia sobre  la solicitud de eliminación del contenido. Del mismo modo, en este y en otros casos, la Corte ha optado por medidas que se alinean con el derecho al acceso a la información, solicitando la actualización del contenido objetado o la inclusión de notas respecto a la vigencia de su contenido en el mismo portal. 

En conclusión…

La implementación del derecho al olvido en Europa ha resultado problemática. Existen indicios de que la tasa de solicitudes aceptadas de desindexación es excesivamente alta, no asegurando que su aplicación se realice de forma excepcional. Del mismo modo, en la práctica esta vía ha significado entregar a una empresa privada el poder de decidir en primera instancia qué debe y qué no debe aparecer en internet. 

El ordenamiento jurídico chileno cuenta actualmente con mecanismos que, si bien pueden ser mejorados, hoy están sirviendo como vía para que los individuos afectados puedan hacer valer sus derechos. El recurso de protección -que a lo largo de estos 5 años ha ido afinando sus criterios- ha permitido generar una válvula de escape al problema social que el derecho al olvido busca enfrentar, al mismo tiempo que se asegura que la desindexación de contenido sea utilizada de manera excepcional y bajo la tutela de entidades imparciales, como los tribunales de justicia. 

Medidores inteligentes: la invasión “smart” que llega hasta los hogares

La atención pública que en Chile recibió la renovación de los medidores de consumo de energía eléctrica por otros aparatos “inteligentes”, a pesar de estar centrada en el probable aumento del precio del servicio, trajo también preocupación y alarma por otros impactos en las personas. En particular, sobre las capacidades de estos aparatos para generar información de las usuarias de energía eléctrica, vulnerando su intimidad.

No es un problema nuevo: en Europa y en los Estados Unidos ha habido resistencia a la instalación de estos medidores, especialmente fundada en los riesgos sobre la privacidad. El escenario ha sido distinto en América Latina, donde además de Chile, países como Argentina, Brasil, Colombia, México y Perú llevan años de programas piloto y de planificación e implementación progresiva de smart grids, con medidores inteligentes, sin similar oposición. Pero a pesar de parecer una muestra más de un futuro inevitable, las preocupaciones invitan a revisar hacia dónde estamos avanzando.

[left] Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad.[/left]

El resguardo de los datos

La oposición en países como Francia u Holanda tenía pleno sentido. Que un medidor siga el comportamiento a intervalos de 15 minutos en principio podría apenas dar información sobre un consumo que sube y baja, tal como observar un medidor analógico en tiempo real. Pero el acceso a información así de detallada podría permitir inferir la clase de aparatos eléctricos que se utilizan en un hogar, detectando patrones de conducta y formulando perfiles a partir de los mismos. Es decir, información personal se produce, almacena y envía a las empresas de energía, de una forma en que antes no ocurría. Por cierto, las empresas siguen ceñidas a las obligaciones asociadas a la protección de datos personales.

En segundo lugar, esa información personal puede ser requerida por órganos de persecución criminal. A falta de regulación expresa en la materia, no es difícil pensar en requerimientos no sujetos a reglas de debido proceso; no obstante, la experiencia en los Estados Unidos da cuenta del resguardo constitucional, que en términos afines a los bloques constitucionales en buena parte de América Latina, haría exigible el control judicial ante el requerimiento de esa información.

En tercer lugar, esa información personal en principio sería conocida por las empresas de suministro de electricidad. Puesto que se envía información a distancia, es posible pensar en ataques maliciosos por parte de terceros, afectando la información que se transmite. En cuarto lugar, la capacidad remota de control sobre el suministro implica que tales ataques podrían dirigirse al suministro mismo.

Si bien en Chile el Anexo Técnico sujeto recientemente a consulta pública detallaba exigencias de seguridad que controlarían buena parte de los riesgos, el control de la correcta implementación de tales medidas constituye un nuevo ámbito de las funciones de la autoridad, vinculado a la seguridad digital, que requiere renovadas capacidades y recursos.

Smart metering para smart cities

El uso de medidores inteligentes no hace cambiar necesariamente el costo del servicio eléctrico. Lo que sí permite es un seguimiento, individual y agregado, de los momentos y días de mayor consumo, con el fin de controlar el consumo propio o de diseñar sistemas tarifarios diferenciados por horario, además de gestionar remotamente el suministro y su facturación, detectar hurtos de energía y hasta permitir la alimentación de la red (una vez convertida en smart grid) desde paneles solares. Junto con hacer más eficiente el sistema, permitiría un control sobre el consumo tendiente al ahorro energético.

En principio, suena moderno y flexible. Pero no precisamente como una necesidad para mejorar hábitos de consumo. Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad. Con ello, se apunta a la conversión del espacio urbano compartido en una smart city, con el consiguiente aumento de los riesgos de vigilancia, como de modelamiento del comportamiento, sin siquiera comenzar a abordar los serios problemas de desigualdad y de acceso a servicios que aquejan a ciudades que aspiran a ser “inteligentes”, como Santiago de Chile.

Modernización y derechos humanos

Aunque ni la modernización energética en general ni el recambio de medidores en particular son intrínsecamente negativos, no podemos ignorar los riesgos involucrados en procesos de modernización aislados de procesos más amplios de resguardo de los sistemas de información y comunicación, así como de protección de los intereses de las personas, consideradas tanto individual como colectivamente. Es siempre necesario contar con estudios del posible impacto sobre derechos humanos de los procesos de cambio tecnológico.

Lo que esperamos no es solamente un mejor sistema eléctrico, sino también un apropiado resguardo de los datos personales, de la ciberseguridad, e incluso del debido proceso cuando se requiera información de medidores. Del mismo modo, esperamos una regulación técnica acuciosa y una correcta implementación de la misma. Además, puesto que la seguridad de la información requiere atención continua, una fiscalización fuerte y un permanente reestudio de las condiciones de resguardo de la información almacenada y en tránsito. El costo de la modernización no puede ser el abandono de la seguridad de nuestra información.

¿Qué hay detrás de las recolecciones de datos y la vigilancia?

En el marco de la semana de la privacidad de datos, hacemos una reflexión a través del uso de tecnologías de vigilancia para recolectar masivamente datos biométricos. Estas aproximaciones a la tecnología como instrumento de control se han manifestado a través de distintos casos alrededor del mundo, sin embargo la búsqueda y sofisticación de herramientas que permiten a los gobiernos amedrentar, censurar y espiar a las personas es una constante que se manifiesta a pesar de las peculiaridades en los climas políticos de cada país.

Hace unos días, el diario norteamericano The Intercept publicó una nota sobre la conformación de bases de datos biométricas en las prisiones estadounidenses, mismas que están siendo alimentadas pasando sobre los derechos humanos de cientos de miles de convictos en las prisiones de Nueva York, Texas, Florida, Arkansas y Arizona; a quienes -de acuerdo al texto citado- se les ofrece “la opción” de participar en el robustecimiento del algoritmo de reconocimiento por voz o perder el acceso al uso del teléfono si decidían no hacerlo.

Al momento de que estas acciones fueron cuestionadas públicamente, la respuesta por parte de las autoridades de las prisiones versó sobre el impacto “positivo” que el uso de estas tecnologías produce para mejorar la seguridad y evitar fraudes, señalando que estos despliegues de tecnologías de reconocimiento para generar “voice prints” -o huellas de voz- han sido financiados en parte por un apoyo económico de 50 millones de dólares otorgado por el Departamento de Defensa para identificar las comunicaciones hechas por terroristas y presuntos criminales; sin embargo no hubo reparo ante las implicaciones en cuanto a los derechos humanos de las personas presidiarias que son sometidas a “participar voluntariamente” en la implementación de estas medidas.

Y este caso hace eco a incidentes anteriores en los que el consentimiento de las personas para recabar sus datos biométricos ha sido completamente borrado, apelando a un discurso que somete a las personas a ser constantemente vigiladas bajo el yugo de “el bien común” aludiendo a la seguridad como el fin último y convirtiendo a la privacidad en privilegio: arrebatándole la cualidad de derecho fundamental que la constituye.

Fuera del contexto del norte, podemos ubicar casos puntuales en América Latina donde: bases de datos personales han sido expuestas, se han reportado casos de espionaje gubernamental a activistas, se ha comprobado la vigilancia e interceptación de comunicaciones de personas disidentes, se han hecho despliegues de tecnologías de vigilancia en lugares públicos, se ha buscado obtener datos de menores de edad a través de programas de beneficio social y se controla el acceso a ciertas páginas de internet a través de bloqueos en la red.

Muchos de estos casos han sido abordados para exigir rendición de cuentas y denunciar abusos de poder a través de iniciativas de diversas organizaciones, logrando conseguir espacios en medios de alta difusión. A pesar del fuerte eco que parecen tener estas denuncias, estos casos se miran desde una distancia que aparenta no interferir en el día a día de quienes vivimos cada vez más rodeadas de mecanismos tecnológicos configurados para estar siempre atentos a las peticiones que hacemos al aire -cual genios de lámpara mágica- y nuestra necesidad de estar constantemente frente a pantallas que se desbloquean automáticamente al reconocer nuestros rostros o huellas.

De vuelta a las prisiones norteamericanas, algunos registros de voz son hechos sin el consetimiento de las personas presidiarias cuando éstas se comunican con sus familias, además estos registros permanecen en el poder del sistema penitenciario aún cuando sus condenas llegan a término… Y lo que más impacta es que en el indiscrimado uso de estas tecnologías para recabar datos, son también registradas las personas con las que han tenido contacto vía telefónica: sin ser notificadas, sin saber para qué fines son registrados sus datos, sin ser si quiera sujetos de sospecha e incluso cabría el caso de que algunas de esas personas registradas “por proximidad” sean menores de edad; como sucedió en el caso del hijo de la periodista Carmen Aristegui en México, quien se encontraba entre los objetivos del caso #GobiernoEspía.

Ante estas situaciones, cabe cuestionarnos y promover ejercicios de reflexión en torno a cómo tratamos nuestros datos y llevar esto un paso más allá: pensando cómo colectivamente facilitamos la creación de perfiles precisos de nosotros y quienes nos rodean, a partir de nuestra relación con los dispositivos que usamos a diario.

Una de las mejores formas de hacer frente a estos “despliegues de inteligencia” por parte de los Estados es justamente promover estrategias inteligentes para dotar a las personas de herramientas que les permitan proteger sus derechos y autonomía, fomentando la participación activa de las personas en discusiones y toma de decisiones en torno al tratamiento de datos personales, la vigilancia de comunicaciones y la protección de los derechos humanos.

En Derechos Digitales hemos creado diversos recursos para promover herramientas de anonimato, hemos realizado materiales y eventos de difusión en torno a la protección de datos en distintos países de América Latina y además promovemos la creación de políticas públicas que controlen las iniciativas estatales y protejan los derechos humanos en entornos digitales (entre ellos la protección de la privacidad y los datos personales).

Vivimos en un mundo en el que las posibilidades de la tecnología han avanzado más rápido que nuestra capacidad colectiva para diseñar políticas que impidan usos abusivos o prevengan todos los intereses que se hallan en usar la capacidad tecnológica en detrimento de los derechos fundamentales, sin embargo -a cierta distancia de las personas de las prisiones estadounidenses- aún podemos elegir usar diversas tecnologías sin pagar con nuestra privacidad o la integridad de nuestros datos: es tiempo de actuar, el futuro es ahora ¡Hagámoslo juntas!