Temática: Protección de datos

A 5 años de su consagración: repensando el derecho al olvido

En mayo se cumplirán cinco años desde que el Tribunal Europeo de Justicia falló el polémico Caso Costeja, que estableció la responsabilidad de los motores de búsqueda sobre las bases de datos y dio pie a la posibilidad de cancelar la disponibilidad de ciertos resultados a solicitud de sus titulares: lo que hoy conocemos como “derecho al olvido”. Desde entonces, distintos países de Latinoamérica han propuesto incorporar esta figura a sus ordenamientos jurídicos, pero ¿es realmente necesaria su consagración en Chile? 

Jurídicamente, el derecho al olvido no es más que la decisión legislativa de declarar a los motores de búsqueda como responsable de bases de datos personales. La consecuencia de ello es que habilita a los titulares de datos personales a ejercer derechos ARCO (acceso, rectificación, cancelación u oposición) cuando estos datos resultan inexactos, falsos o dejan de ser relevantes. De esta forma, una persona puede pedir, por ejemplo, que una determinada URL no aparezca en los resultados de búsqueda cuando se busque su nombre; como sucedió en el Caso Costeja donde -a pesar de haber transcurrido más de 10 años- un anuncio de embargo aún aparecía en los resultados de búsqueda asociados a nombre en Google, afectando su derecho a la participación en la vida económica y su capacidad de hacer negocios luego de haber saldado sus deudas.  

Exigir a Google, Bing, Yahoo y compañía eliminar ciertos contenidos de los resultados de búsqueda también resulta problemático desde una perspectiva del derecho a la información, la libertad de expresión, el ejercicio del periodismo y la memoria histórica. Después de todo ¿de qué sirve que algo esté disponible en internet si cuando alguien intenta acceder a él no aparezca entre los resultados de búsqueda? 

Desde la academia, la sociedad civil y la jurisprudencia se ha hecho un importante esfuerzo para compatibilizar la consagración del derecho al olvido con otros derechos que se pueden ver afectados. Sin embargo, vale la pena preguntarse si nuestro ordenamiento jurídico ya cuenta con herramientas suficientes para enfrentar este fenómeno de una forma que permita ponderar de mejor manera los intereses en juego.  

¿Qué dice la evidencia?

De los seis buscadores con mayor presencia en internet, Google domina por sobre un 90% el mercado de motores de búsqueda, siendo el principal buscador utilizado por los usuarios globalmente, ejerciendo una actividad casi monopólica respecto del universo de motores de búsqueda que existen. 

A fin de hacerse una idea del impacto que ha tenido el derecho al olvido en Europa, fue necesario revisar las estadísticas de solicitudes de desindexación. De todos los motores de búsqueda solamente Google, Bing y Yahoo tienen a su disposición formularios para solicitar la desindexación de contenido a nivel europeo.  En cuanto a la transparencia de estas solicitudes y sus resultados, solo Google y Bing cuentan con estadísticas públicas relativas a las solicitudes recibidas y su aceptación o rechazo.

Partiendo de las estadísticas disponibles, es posible observar que de 785.027 solicitudes totales recibidas por Google (3.038.858 URL solicitadas) y Bing (78.781 URL solicitadas), un total de 1.020.404 URL solicitadas fueron aceptadas. Es decir, el buscador decidió que la solicitud tenía mérito suficiente y las URLs han dejado de aparecer en los resultados de búsqueda asociados a sus datos personales. Por otra parte, 1.305.256 URLs fueron rechazadas. De esta forma, la tasa de aceptación de solicitudes de desindexación es de aproximadamente un 43%. Una cifra bastante elevada que permite sospechar que el mecanismo de desindexación no está siendo utilizado en casos excepcionales en que la afectación justifique una medida de estas características. 

Además el hecho de que se utilice la legislación de protección de datos personales  como mecanismo procesal implica que el primer organismo en decidir la validez de la solicitud será el responsable de la base de datos, en este caso: las empresas privadas que las posean. Esto resulta problemático ya que decidir sobre la ponderación de distintos derechos fundamentales debería recaer únicamente en los tribunales de justicia, quienes cuentan con la independencia, imparcialidad y legitimidad constitucional para decidir materias que pueden afectar derechos humanos. 

Corremos el riesgo de establecer una especie de censura donde una empresa resolverá colisiones entre derechos fundamentales a partir de lo que le convenga, para evitarse conflictos judiciales y sanciones.

¿Es el derecho al olvido la vía adecuada?

Ante la ausencia de una legislación específica, las personas afectadas por contenido en línea desactualizado, inexacto o que podría coartar sus derechos se han visto obligadas a echar mano al recurso de protección como mecanismo para evitar que cierto contenido en línea sea vinculado a su identidad. 

Uno de los primeros fallos sobre la materia (incluso previo al caso Costeja) fue el caso del exfiscal Abbot (2012). Alegando que el contenido de un blog resultaba atentatorio a su persona, la Corte decidió que Google debía “establecer los filtros necesarios para evitar publicaciones de carácter injurioso”, sin considerar la calidad de funcionario público del entonces fiscal regional. El año 2016 el caso del periódico El Mercurio se presentó cómo otro error de criterio de la Corte, la que ordenó no sólo la desindexación del contenido, sino su eliminación. En ambos casos se muestra la ausencia de una correcta ponderación entre la afectación de la honra del quienes exigen este recurso y el derecho de los medios de comunicación de cubrir legítimamente acontecimientos de interés público.

Sin embargo, en el último tiempo los criterios de las Cortes superiores de justicia han ido evolucionado, llegando al acuerdo respecto a que los recursos de desindexación deben operar únicamente de forma excepcional. En la sentencia más reciente de la Corte Suprema -relacionada a la publicación de una noticia por un delito al que finalmente la autora fue absuelta- el tribunal terminó por decidir que “no procede la eliminación de la noticia que en su día fue publicada lícitamente”,  estipulando que si existe un interés público, al ser ponderado con otros derechos fundamentales, este tendrá mayor relevancia sobre  la solicitud de eliminación del contenido. Del mismo modo, en este y en otros casos, la Corte ha optado por medidas que se alinean con el derecho al acceso a la información, solicitando la actualización del contenido objetado o la inclusión de notas respecto a la vigencia de su contenido en el mismo portal. 

En conclusión…

La implementación del derecho al olvido en Europa ha resultado problemática. Existen indicios de que la tasa de solicitudes aceptadas de desindexación es excesivamente alta, no asegurando que su aplicación se realice de forma excepcional. Del mismo modo, en la práctica esta vía ha significado entregar a una empresa privada el poder de decidir en primera instancia qué debe y qué no debe aparecer en internet. 

El ordenamiento jurídico chileno cuenta actualmente con mecanismos que, si bien pueden ser mejorados, hoy están sirviendo como vía para que los individuos afectados puedan hacer valer sus derechos. El recurso de protección -que a lo largo de estos 5 años ha ido afinando sus criterios- ha permitido generar una válvula de escape al problema social que el derecho al olvido busca enfrentar, al mismo tiempo que se asegura que la desindexación de contenido sea utilizada de manera excepcional y bajo la tutela de entidades imparciales, como los tribunales de justicia. 

Medidores inteligentes: la invasión “smart” que llega hasta los hogares

La atención pública que en Chile recibió la renovación de los medidores de consumo de energía eléctrica por otros aparatos “inteligentes”, a pesar de estar centrada en el probable aumento del precio del servicio, trajo también preocupación y alarma por otros impactos en las personas. En particular, sobre las capacidades de estos aparatos para generar información de las usuarias de energía eléctrica, vulnerando su intimidad.

No es un problema nuevo: en Europa y en los Estados Unidos ha habido resistencia a la instalación de estos medidores, especialmente fundada en los riesgos sobre la privacidad. El escenario ha sido distinto en América Latina, donde además de Chile, países como Argentina, Brasil, Colombia, México y Perú llevan años de programas piloto y de planificación e implementación progresiva de smart grids, con medidores inteligentes, sin similar oposición. Pero a pesar de parecer una muestra más de un futuro inevitable, las preocupaciones invitan a revisar hacia dónde estamos avanzando.

[left] Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad.[/left]

El resguardo de los datos

La oposición en países como Francia u Holanda tenía pleno sentido. Que un medidor siga el comportamiento a intervalos de 15 minutos en principio podría apenas dar información sobre un consumo que sube y baja, tal como observar un medidor analógico en tiempo real. Pero el acceso a información así de detallada podría permitir inferir la clase de aparatos eléctricos que se utilizan en un hogar, detectando patrones de conducta y formulando perfiles a partir de los mismos. Es decir, información personal se produce, almacena y envía a las empresas de energía, de una forma en que antes no ocurría. Por cierto, las empresas siguen ceñidas a las obligaciones asociadas a la protección de datos personales.

En segundo lugar, esa información personal puede ser requerida por órganos de persecución criminal. A falta de regulación expresa en la materia, no es difícil pensar en requerimientos no sujetos a reglas de debido proceso; no obstante, la experiencia en los Estados Unidos da cuenta del resguardo constitucional, que en términos afines a los bloques constitucionales en buena parte de América Latina, haría exigible el control judicial ante el requerimiento de esa información.

En tercer lugar, esa información personal en principio sería conocida por las empresas de suministro de electricidad. Puesto que se envía información a distancia, es posible pensar en ataques maliciosos por parte de terceros, afectando la información que se transmite. En cuarto lugar, la capacidad remota de control sobre el suministro implica que tales ataques podrían dirigirse al suministro mismo.

Si bien en Chile el Anexo Técnico sujeto recientemente a consulta pública detallaba exigencias de seguridad que controlarían buena parte de los riesgos, el control de la correcta implementación de tales medidas constituye un nuevo ámbito de las funciones de la autoridad, vinculado a la seguridad digital, que requiere renovadas capacidades y recursos.

Smart metering para smart cities

El uso de medidores inteligentes no hace cambiar necesariamente el costo del servicio eléctrico. Lo que sí permite es un seguimiento, individual y agregado, de los momentos y días de mayor consumo, con el fin de controlar el consumo propio o de diseñar sistemas tarifarios diferenciados por horario, además de gestionar remotamente el suministro y su facturación, detectar hurtos de energía y hasta permitir la alimentación de la red (una vez convertida en smart grid) desde paneles solares. Junto con hacer más eficiente el sistema, permitiría un control sobre el consumo tendiente al ahorro energético.

En principio, suena moderno y flexible. Pero no precisamente como una necesidad para mejorar hábitos de consumo. Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad. Con ello, se apunta a la conversión del espacio urbano compartido en una smart city, con el consiguiente aumento de los riesgos de vigilancia, como de modelamiento del comportamiento, sin siquiera comenzar a abordar los serios problemas de desigualdad y de acceso a servicios que aquejan a ciudades que aspiran a ser “inteligentes”, como Santiago de Chile.

Modernización y derechos humanos

Aunque ni la modernización energética en general ni el recambio de medidores en particular son intrínsecamente negativos, no podemos ignorar los riesgos involucrados en procesos de modernización aislados de procesos más amplios de resguardo de los sistemas de información y comunicación, así como de protección de los intereses de las personas, consideradas tanto individual como colectivamente. Es siempre necesario contar con estudios del posible impacto sobre derechos humanos de los procesos de cambio tecnológico.

Lo que esperamos no es solamente un mejor sistema eléctrico, sino también un apropiado resguardo de los datos personales, de la ciberseguridad, e incluso del debido proceso cuando se requiera información de medidores. Del mismo modo, esperamos una regulación técnica acuciosa y una correcta implementación de la misma. Además, puesto que la seguridad de la información requiere atención continua, una fiscalización fuerte y un permanente reestudio de las condiciones de resguardo de la información almacenada y en tránsito. El costo de la modernización no puede ser el abandono de la seguridad de nuestra información.

¿Qué hay detrás de las recolecciones de datos y la vigilancia?

En el marco de la semana de la privacidad de datos, hacemos una reflexión a través del uso de tecnologías de vigilancia para recolectar masivamente datos biométricos. Estas aproximaciones a la tecnología como instrumento de control se han manifestado a través de distintos casos alrededor del mundo, sin embargo la búsqueda y sofisticación de herramientas que permiten a los gobiernos amedrentar, censurar y espiar a las personas es una constante que se manifiesta a pesar de las peculiaridades en los climas políticos de cada país.

Hace unos días, el diario norteamericano The Intercept publicó una nota sobre la conformación de bases de datos biométricas en las prisiones estadounidenses, mismas que están siendo alimentadas pasando sobre los derechos humanos de cientos de miles de convictos en las prisiones de Nueva York, Texas, Florida, Arkansas y Arizona; a quienes -de acuerdo al texto citado- se les ofrece “la opción” de participar en el robustecimiento del algoritmo de reconocimiento por voz o perder el acceso al uso del teléfono si decidían no hacerlo.

Al momento de que estas acciones fueron cuestionadas públicamente, la respuesta por parte de las autoridades de las prisiones versó sobre el impacto “positivo” que el uso de estas tecnologías produce para mejorar la seguridad y evitar fraudes, señalando que estos despliegues de tecnologías de reconocimiento para generar “voice prints” -o huellas de voz- han sido financiados en parte por un apoyo económico de 50 millones de dólares otorgado por el Departamento de Defensa para identificar las comunicaciones hechas por terroristas y presuntos criminales; sin embargo no hubo reparo ante las implicaciones en cuanto a los derechos humanos de las personas presidiarias que son sometidas a “participar voluntariamente” en la implementación de estas medidas.

Y este caso hace eco a incidentes anteriores en los que el consentimiento de las personas para recabar sus datos biométricos ha sido completamente borrado, apelando a un discurso que somete a las personas a ser constantemente vigiladas bajo el yugo de “el bien común” aludiendo a la seguridad como el fin último y convirtiendo a la privacidad en privilegio: arrebatándole la cualidad de derecho fundamental que la constituye.

Fuera del contexto del norte, podemos ubicar casos puntuales en América Latina donde: bases de datos personales han sido expuestas, se han reportado casos de espionaje gubernamental a activistas, se ha comprobado la vigilancia e interceptación de comunicaciones de personas disidentes, se han hecho despliegues de tecnologías de vigilancia en lugares públicos, se ha buscado obtener datos de menores de edad a través de programas de beneficio social y se controla el acceso a ciertas páginas de internet a través de bloqueos en la red.

Muchos de estos casos han sido abordados para exigir rendición de cuentas y denunciar abusos de poder a través de iniciativas de diversas organizaciones, logrando conseguir espacios en medios de alta difusión. A pesar del fuerte eco que parecen tener estas denuncias, estos casos se miran desde una distancia que aparenta no interferir en el día a día de quienes vivimos cada vez más rodeadas de mecanismos tecnológicos configurados para estar siempre atentos a las peticiones que hacemos al aire -cual genios de lámpara mágica- y nuestra necesidad de estar constantemente frente a pantallas que se desbloquean automáticamente al reconocer nuestros rostros o huellas.

De vuelta a las prisiones norteamericanas, algunos registros de voz son hechos sin el consetimiento de las personas presidiarias cuando éstas se comunican con sus familias, además estos registros permanecen en el poder del sistema penitenciario aún cuando sus condenas llegan a término… Y lo que más impacta es que en el indiscrimado uso de estas tecnologías para recabar datos, son también registradas las personas con las que han tenido contacto vía telefónica: sin ser notificadas, sin saber para qué fines son registrados sus datos, sin ser si quiera sujetos de sospecha e incluso cabría el caso de que algunas de esas personas registradas “por proximidad” sean menores de edad; como sucedió en el caso del hijo de la periodista Carmen Aristegui en México, quien se encontraba entre los objetivos del caso #GobiernoEspía.

Ante estas situaciones, cabe cuestionarnos y promover ejercicios de reflexión en torno a cómo tratamos nuestros datos y llevar esto un paso más allá: pensando cómo colectivamente facilitamos la creación de perfiles precisos de nosotros y quienes nos rodean, a partir de nuestra relación con los dispositivos que usamos a diario.

Una de las mejores formas de hacer frente a estos “despliegues de inteligencia” por parte de los Estados es justamente promover estrategias inteligentes para dotar a las personas de herramientas que les permitan proteger sus derechos y autonomía, fomentando la participación activa de las personas en discusiones y toma de decisiones en torno al tratamiento de datos personales, la vigilancia de comunicaciones y la protección de los derechos humanos.

En Derechos Digitales hemos creado diversos recursos para promover herramientas de anonimato, hemos realizado materiales y eventos de difusión en torno a la protección de datos en distintos países de América Latina y además promovemos la creación de políticas públicas que controlen las iniciativas estatales y protejan los derechos humanos en entornos digitales (entre ellos la protección de la privacidad y los datos personales).

Vivimos en un mundo en el que las posibilidades de la tecnología han avanzado más rápido que nuestra capacidad colectiva para diseñar políticas que impidan usos abusivos o prevengan todos los intereses que se hallan en usar la capacidad tecnológica en detrimento de los derechos fundamentales, sin embargo -a cierta distancia de las personas de las prisiones estadounidenses- aún podemos elegir usar diversas tecnologías sin pagar con nuestra privacidad o la integridad de nuestros datos: es tiempo de actuar, el futuro es ahora ¡Hagámoslo juntas!

Chile bajo Examen Periódico Universal de obligaciones de DDHH: El futuro es ahora

El próximo 22 de enero, Chile se someterá al Examen Periódico Universal (EPU) de Naciones Unidas, uno de los instrumentos más importantes para medir el compromiso efectivo de los Estados con los derechos fundamentales. El proceso consiste en un examen de la situación de derechos humanos en el país y, en ese sentido, es una excelente oportunidad para visibilizar las situaciones de vulneración que puedan existir, al igual que revisar y hacer efectiva la vigencia de los tratados internacionales suscritos por el país, así como proponer soluciones de mejora a través de la posibilidad que tienen los 193 países miembros de la ONU para hacer recomendaciones.

La sesión de revisión tendrá lugar en enero y, como preparación,  entre el 10 y 21 de diciembre se desarrollaron las pre-sesiones del Período 32 del EPU en Naciones Unidas, donde distintas organizaciones de la sociedad civil plantearon a los representantes de los Estados miembros sus recomendaciones. En el caso de Derechos Digitales, estas fueron formuladas en dos reportes alternativos presentados en julio pasado, en colaboración con Ciudadano Inteligente, Fundación Pro Acceso, Privacy International y la Asociación para el Progreso de las Comunicaciones (APC).  En la pre-sesión de Chile, Derechos Digitales fue invitada como una de las oradoras de la jornada, lo que representó una oportunidad única para poner en conocimiento de la comunidad internacional la situación crítica de derechos humanos que vive Chile en relación al uso de la tecnología.

Además, durante estas dos semanas Derechos Digitales sostuvo más de 30 reuniones bilaterales, dando a conocer a representantes de diversos países la forma en que los derechos humanos están siendo impactados por la tecnología en Chile, exponiendo a sus habitantes a situaciones de desprotección y vulneración.

Con estupor los representantes de los Estados mienbro nos escucharon describir la operación Huracán y cómo en Chile se restringen ilegítimamente los derechos civiles y políticos del pueblo Mapuche, al intentar interceptar comunicaciones privadas de sus representantes, vulnerando no solo su derecho a la privacidad, sino además ejerciendo nuevas formas de violencia institucional a través del uso de la tecnología, intentando criminalizarlos a través de la implantación de pruebas falsas en sus teléfonos celulares. También compartimos con los representantes de diversos Estados la preocupante acción de agentes de la policía y de servicios de inteligencia que han vigilado y monitoreado a activistas políticos, periodistas y medios de comunicaciones, tanto en espacios físicos como digitales, restringiendo la libertad de expresión y su habilidad de organizarse políticamente.  

En ese sentido, Derechos Digitales ha propuesto que los Estados recomienden a Chile mejorar los estándares legales que rigen a las fuerzas de inteligencia y policía, exigiéndoles mayores niveles de responsabilidad y control en el ejercicio de sus facultades. Del mismo modo, hemos instado para que los países recomienden garantizar el respeto de la privacidad, la libertad de expresión y de asociación, tanto en espacios físicos y digitales, como lo han repetido insistentemente los órganos y procedimientos especiales de Naciones Unidas.

Otro de los puntos relevantes a la que quisimos llevar la atención de los representantes de los Estados miembros de la ONU se relaciona con el uso creciente de diferentes tecnologías de vigilancia – tanto de parte de los privados, como por el Estado – y la  vulneración de derechos que se produce, por ejemplo, en la implementación de sistemas de identificación biométricos en Malls de la capital (cámaras de reconocimiento facial) y en las medidas de efienciencia implementadas por JUNAEB (enrolamiento de huellas digitales de menores de edad beneficiarios de alimentación). Hemos puesto en conocimiento de la comunidad internacional que el Estado chileno ha decidido enfrentar la seguridad pública mediante una vigilancia distópica, propia de países autoritarios como China, así como enfrentar sus problemas de eficacia en la entrega de alimentos con sistemas que no tenemos idea ni cómo funcionan, ni qué estándares de seguridad tienen, ni cómo pueden utilizar en el futuro o poner en riesgo los datos biométricos de los niños, niñas y adolescentes más vulnerables de la población. Así, hemos hecho un llamado a los representantes de distintos Estados a formular recomendaciones para la implementación de procesos de evaluación de impacto que puedan prevenir la desproporción en la afectación de derechos que este tecnosolucionismo genera.

Además hemos solicitado a los representante de Estado que recomienden incorporar el uso responsable de tecnologías por parte de compañías privadas al Plan de Acción Nacional de Derechos Humanos y Empresas de Chile, y que el Estado de Chile limite su colección de datos personales para la implementación de políticas públicas, siguiendo los estándares de legalidad, necesidad y proporcionalidad, e incorporando además mecanismos participativos de la comunidad afectada por tales políticas.

Por último, y no menos importante, hemos solicitado a los representantes de Estados que transmitan a través de sus recomendaciones la necesidad de que el Estado chileno se haga cargo en forma integral de la violencia contra las mujeres en su expresión digital, incorporando la temática en sus programas y políticas de prevención, y capacitando a los operadores del sistema judicial (policía, ministerio público y jueces) en el manejo adecuado de los casos para dar una atención oportuna a los reclamos de las víctimas, y proveer a su reparación y reestablecimiento de derechos.

Esperemos que el 22 de enero del 2019, cuando los Estados recomienden a Chile qué medidas adoptar, Chile reconozca la necesidad de hacerse cargo del impacto del uso de las tecnologías en el ejercicio de los derechos humanos en la era digital. La tecnología es ya parte integral de cada aspecto de nuestra vida, y el Estado chileno tiene la obligación de que su uso sea consistente con la garantía y promoción de los derechos humanos de sus habitantes.

No hay tiempo que perder, la tecnología está aquí y llegó para quedarse; el Estado chileno tiene en sus manos la decisión crítica de alinear su uso con un mayor respeto por los derechos humanos. No podemos esperar 4 años más para hacernos cargo de este desafío. El momento de las decisiones y de un compromiso efectivo con la vigencia de los derechos humanos hacia el futuro es ahora.

Ciberseguridad: ¿En qué debe poner atención el gobierno de Andrés Manuel López Obrador?

En el sexenio de Enrique Peña Nieto se implementó el Plan Nacional de Desarrollo 2013-2018, en este programa se propuso la creación de una Estrategia Nacional de Ciberseguridad  (ENCS) que tiene como objetivo mejorar las capacidades nacionales de seguridad cibernética en el país. Para lograr esto se realizaron mesas de trabajo en donde se incorporó a diferentes actores como lo son la sociedad civil y derechos humanos; la comunidad técnica y académica; el gobierno; el sector financiero y la industria privada.

Con ayuda técnica de la Organización de los Estados Americanos (OEA) se realizaron durante los meses de abril a julio de 2017 mesas de trabajo donde se dieron una serie de recomendaciones por parte de estos múltiples actores para crear una estrategia que incluyera  principios rectores basados en una perspectiva de derechos humanos, un enfoque de riesgos y la colaboración de múltiples actores en todas las fases.

Durante y posterior a estas mesas de trabajo la OEA dió recomendaciones específicas al gobierno en materia de derechos humanos, desarrollo e investigación académica, marco jurídico, terminologías y un modelo de gobernanza para que en la propuesta final se reflejará  una inclusión y preservación de los derechos humanos.

Se recomendó que la  contribución a la estrategia se amplíe a un enfoque de toda la sociedad y no en un grupo pequeño, asimismo se recalcó la importancia de  incorporar otras disciplinas como las humanidades y la ingeniería tradicional.

Para la construcción de la ENCS era importante incorporar una responsabilidad compartida por parte del gobierno y la población; generar campañas de sensibilización para públicos específicos, -incluidos los grupos marginados-, hablar de las amenazas que pueden existir en internet pero también de las oportunidades que este espacio representa.

Se planteó la incorporación de la niñez temas de protección de datos y privacidad a través de los planes de estudio.  La privacidad y la protección de datos deben formar parte de la currícula nacional básica; asimismo plantearon que la reforma educativa era una buena oportunidad para este cambio.

La mesa de sociedad civil recomendó la  posibilidad de ratificar el Convenio sobre Ciberdelincuencia o mejor conocido como Convenio Budapest que tiene como objetivo establecer herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos  debido a que el delito cibernético no es un problema exclusivo del país sino que se está dando a nivel mundial. Sin embargo, en México existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos. La incorporación de herramientas penales  puede resultar contraproducente en un país con altos niveles de corrupción e  impunidad porque pueden usados para la vigilacia sistemática “legal” por parte del Estado.

En materia de violencia de género en línea México tiene un gran trabajo qué hacer. Según el informe La violencia en línea contra las mujeres en México al menos 9 millones de mujeres han sufrido alguna forma de ciberacoso y no existe una estadística oficial que le de seguimiento a este tipo de agresiones. 

Es importante recalcar que a las mujeres se les agrede de formas diferentes, a los hombres no se les sextorsiona, o se les amenaza con difundir imágenes íntimas sin su consentimiento, las campañas de desprestigio orquestadas en redes sociales contra mujeres -casi siempre- tienen connotaciones sexuales.

Además de eso la vigilancia por parte del Estado a comunicadoras, periodistas y defensoras tuvieron componente de género.  Ejemplo de esto fue la agresión a la periodista Carmen Aristegui; el software pegasus también infectó el dispositivo de su hijo, Emilio Aristegui, tuvieron acceso a la cámara del celular, microfono,  mensajes de texto y lista de contactos del hijo de la comunicadora.

Para la creación de la ENCS el gobierno tiene un trabajo muy importante al incorporar  a las mujeres y niñas en temas de derechos humanos. Es importante que se les informe sobre sus derechos humanos en línea y offline para que puedan aprenderlos y hacerlos valer, solo de esta manera las mujeres tendrán más oportunidades en  mejorar su pleno desarrollo, su derecho a la información, a la educación y tener una vida digna.

No obstante a todas estas recomendaciones y casos que surgieron durante la administración de Enrique Peña Nieto la ENCS se construyó bajo un enfoque empresarial, económico y gubernamental.  En el cuerpo del texto de la propuesta de la estrategia no mencionaron de qué forma se trabajaría la perspectiva de derechos humanos de la que hablan, ni cómo sería el diálogo con la sociedad civil. Lo que sí recalcan es cómo promoverán buenas prácticas en el uso de TICs por parte de la población y cómo combatirán los ataques cibernéticos a empresas y organismos gubernamentales, este enfoque puede traer como consecuencia un  incremento a la vigilancia y pérdida de derechos fundamentales como son la privacidad, libre expresión y participación política.

Estos planteamientos demostraron que minimizaron los ataques a individuos/ sociedad civil, ya que dejaron de lado la violencia contra las mujeres, el acoso contra comunicadores, periodistas y activistas en derechos humanos pero sí priorizan el “cuidado”  en los ataques económicos, gubernamentales y empresariales.

El gobierno de Andrés Manuel López Obrador tiene el reto de continuar con la propuesta de la Estrategia pero con un enfoque que integre a toda la  población  civil y no solo a los pequeños grupos élite. También tiene el reto de esclarecer y nombrar a los responsables que han ejercido vigilancia contra todos estos sectores de la población.

Nosotros nos cuestionamos: ¿Para la cuarta transformación será prioridad preservar los derechos humanos de la población en materia de seguridad digital?

Sobre la ilegalidad de la implementación de un sistema de reconocimiento facial en Mall Plaza

A pesar de toda la mala prensa que tiene últimamente, Twitter sigue siendo un espacio capaz de generar risas, aunque a veces sea necesario un grado de cinismo importante como para reír en vez de explotar de furia. Parece extraño, pero son recurrentes las situaciones en que ambas reacciones me parecen igual de sensatas. La última vez que me enfrenté a esta disyuntiva fue el pasado martes 13 de noviembre, gracias a la mediación de mi colega y ávido tuitero, Pablo Viollier. Esta fue la causa:

Ahora, si no entiendes por qué este tuit genera reacciones tan pasionales, quizás un poco de contexto ayude:

  1. Este tuit fue publicado desde la cuenta de Mall Plaza.
  2. La semana pasada Mall Plaza anunció la implementación de un sistema de reconocimiento facial en el centro comercial de Los Domínicos.
  3. El modo en que Mall Plaza ha procedido en la implementación del sistema es ilegal.

De esa forma, el tuit es similar a sorprender a alguien robando, acusarlo de robo y que su respuesta sea “mira, sí, estoy abierto al debate y estoy escuchando a todas las opiniones para que lleguemos a un consenso respecto a la definición de la figura del robo y cómo proceder en estos casos”.

 – Pero Vladimir, la empresa ha dicho que el sistema será operado por personal policial.

Sí, leí ese comunicado. No importa. Sigue siendo ilegal.

Las razones son dos:

  1. La implementación del sistema de reconocimiento facial constituye “tratamiento de datos personales” y está expresamente prohibido en la ley si no hay consentimiento expreso de sus titulares.
  2. Lo mismo vale para las policías, que tampoco están autorizadas a realizar este tipo de procesamiento, sin previa autorización expresa de los titulares de los datos biométricos.

Cuando hablamos de consentimiento expreso significa que debe haber un documento -a través de medios físicos, electrónicos u otro – en que se comunique a cada persona que entra al mall los propósitos de la recolección de datos y esta persona manifieste en forma inequívoca que lo autoriza.

 – ¿Y si ponen un aviso en la puerta que diga que al entrar al centro comercial uno acepta la recolección de los datos biométricos?

No. Eso sería consentimiento presunto, no expreso. Y tampoco es informado, entonces no cumple el principio de finalidad.  Tampoco vale disponer de la instancia para autorizar el tratamiento de datos sensibles y asumir que aquellas personas que eligen no hacer el trámite y entrar al mall están consintiendo la recolección de sus datos. De nuevo, el consentimiento debe ser explícito.

– ¿Y qué pasaría con los menores de edad?

Tendrían que conseguir una autorización de sus representantes legales para poder ir al mall. De la misma forma, los trabajadores del mall, quienes le provean servicios y, en general, cualquier persona que pisa el centro comercial debe autorizar expresamente la recolección y procesamiento de sus datos personales.

Ahora, si estos argumentos te son un tanto esquivos, quizás sea necesario repasar algunos conceptos e ideas necesarias que pueden ayudar a su comprensión.

Datos biométricos y sensibles

Primero, ¿qué es eso de tratamiento de datos personales? La ley lo define como “cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma”.

En ese sentido, instalar una infraestructura para la recolección, almacenamiento, grabación y organización de datos personales constituye tratamiento de datos. No importa si es que Mall Plaza no realiza el análisis de los datos que recolecta, el solo hecho de contar con la tecnología instalada y funcionando constituye tratamiento de datos personales. Dicho eso, lo siguiente es analizar el tipo de dato que constituye el rostro de una persona, con el fin de determinar las condiciones que la ley impone a su tratamiento.

En el artículo 2º numeral g, la ley define datos sensibles como “aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”.

Como señala Sebastián Becker y Romina Garrido en su artículo sobre la biometría en Chile, “desde una interpretación literal de la norma podemos desprender que los datos biométricos serían datos de carácter sensible en la medida que se refieren a «características físicas de las personas», esto es rostro, iris, retina, huellas dactilares, etcétera”.

En ese sentido, cabe decir que los datos biométricos son particularmente sensibles, pues a diferencia de otros datos, no pueden ser cambiados: la dirección, el número de teléfono incluso el nombre son datos que pueden ser modificados, pero no el iris, el rostro o las huellas digitales.

Así, el artículo 10 de la ley dice: “No pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares”.

Así, por no existir ni consentimiento de los titulares ni una ley que autorice a Mall Plaza a tratar datos datos sensibles ni tampoco ofrecen un beneficio de salud, entonces la implementación de un sistema de reconocimiento facial en el centro comercial es ilegal. No importa que no sea personal del mall el que haga el procesamiento de los datos. Es ilegal. ILEGAL.

– Pero Vladimir, el artículo 20 de la ley establece que el tratamiento de datos personales por parte de un organismo público sólo podrá efectuarse respecto de las materias de su competencia y con sujeción a las reglas precedentes. En esas condiciones, no necesitará el consentimiento del titular. ¿Cómo es que la policía no está facultada?

Buena pregunta. Precisamente porque no existe una autorización legal que explicite las reglas precedentes que permitan explicar el modo en que las policías podrían proceder en este caso y cuáles son sus limites es que podemos decir que no están facultados.

Y, nuevamente, la implementación de un sistema de identificación masiva implica una vulneración de derechos tan desproporcionada a ciudadanos inocentes, que no es adecuada la invocación de dicho artículo para una actuación de este tipo.

¿Y quién fiscaliza?

Y, aunque la ley es clara respecto a todos estos puntos, lamentablemente no existe ninguna institución estatal que vele por la protección de los datos personales. Esa figura está contenida en el proyecto de ley que pretende reemplazar a nuestra pobre normativa en la materia, al mismo tiempo que se hace cargo específicamente de los datos biométricos, en el marco de poder generar un cuerpo legal capaz de proteger efectivamente a las personas, su privacidad y sus datos. Es decir, precisamente en el sentido contrario al que apunta una medida como la de Mall Plaza.

La discusión sobre los datos biométricos se está dando donde corresponde, en el Congreso Nacional y no necesitamos ninguna iniciativa de una empresa – Mall Plaza o la que sea – para poder generar ese debate.

En ese sentido, a diferencia de lo que plantea el Consejo para la Transparencia, no hago un llamado a las personas, sino a la autoridad a exigir el cumplimiento de la ley y defender los derechos que esta concede, por modestos que sean en su forma actual.