Avanza la tramitación de la ley de datos: lo bueno, lo malo y lo feo

El pasado 3 de julio, luego de muchísima expectación y múltiples extensiones de plazo, el ejecutivo ingresó sus indicaciones al proyecto de ley que regula la protección de datos personales que hoy se encuentra en tramitación en el Senado. Este hito es relevante, porque estas modificaciones perfilan la orientación que el ejecutivo buscará entregar a la tramitación del proyecto durante su mandato.

A continuación, nos proponemos analizar lo bueno, lo mano y lo feo de las modificaciones propuestas, con especial énfasis en la toma de partido respecto de la institucionalidad encargada de velar por el cumplimiento de la ley.

Lo bueno

Las indicaciones del ejecutivo recogen muchas de las inquietudes y propuestas manifestadas por distintos académicos, expertos, organizaciones de la sociedad civil y organismos públicos. En cuanto a disposiciones de fondo, es posible observar que las modificaciones propuestas reponen los hábitos personales como elemento mencionado en la enumeración de datos de carácter sensible. Esta mención es particularmente importante, ya que una parte importante del modelo de negocios de los servicios que utilizamos depende cada vez más de rastrear nuestros patrones, rutinas y hábitos de forma precisa.

Otra figura importante que se modifica es la excepción de fuente accesibles al público. La regla general es que, para tratar un dato personal, se requiere el consentimiento de su titular. Actualmente, el hecho de que un dato se encuentre en una fuente accesible al público se configura como excepción a este principio; una excepción tan amplia que termina transformando la desprotección en la regla general. De ahí la proliferación de sitios web que exponen nuestros datos o de empresas que los utilizan para entregar inteligencia de negocio a campañas políticas.

El proyecto original no subsanaba de forma satisfactoria esta situación. La indicación, por su parte, establece que la definición de qué se considera una fuente accesible al público no será amplia, sino taxativa. Esto quiere decir que un número limitado y establecido de fuentes de información tendrán esta categoría, y que ese listado será revisado anualmente por la entidad encargada de protección de datos. De esta forma se limita qué fuentes de información efectivamente pueden operar como excepción al principio del consentimiento, y se permite que este listado cuente con cierta flexibilidad.

Siguiendo con las excepciones, el proyecto original establecía como excepción al consentimiento del titular el hecho de que el interesado en tratar datos personales contara con un “interés legítimo” en su tratamiento. Esta figura fue tomada del Reglamento General de Protección de Datos de Europa, pero sin importar junto con ello todos los resguardos y limitaciones a su aplicación que en él se establecen. La indicación propone definir qué se entiende por interés legítimo, limitándolo a actividades particulares y excepcionales.

Por otro lado, se elimina la exigencia de que los titulares solo se puedan oponer al tratamiento automatizado de sus datos personales cuando estos los afecten de forma significativamente negativa o les produzcan efectos jurídicos adversos. De esta forma, el titular tendrá mayor libertad para oponerse a la toma de decisiones algorítmicas respecto de su persona y la elaboración de perfiles a partir de sus datos personales, sin entrar discutir su calificación.

Lo malo

Así como el proyecto avanza en las materias antes mencionadas, también retrocede o no subsana carencias de varias de sus disposiciones. Uno de los elementos en que el proyecto había retrocedido respecto de la actual Ley 19.628 es en la obligación de los organismos públicos de registrar las bases de datos que administren. Lo conducente hubiese sido que dicha obligación se extendiese también a las entidades privadas, sin embargo, el gobierno optó por reponer esta obligación exclusivamente a los organismos públicos a través de la creación del Registro Nacional de Bases de Datos.

Otro elemento negativo es que la definición de motor de búsqueda propuesta establece explícitamente que estos serán considerados como responsables de bases de datos. Esto implica que respecto de buscadores como Google, Bing o DuckDuck Go o Yahoo los titulares podrán hacer efectivo el derecho de cancelación y oposición, para lograr desindexación de su información, situación que ha sido denominada como “derecho al olvido”.

Como hemos dicho con anterioridad, si bien debe existir una solución para aquellas personas que se ven afectadas por la disponibilidad de información inexacta, desactualizada o que les impide su reinserción en la sociedad, dicha solución debe tener en consideración los otros intereses jurídicos involucrados, tales como la expresión, el derecho a obtener información, la memoria histórica y al ejercicio del periodismo de investigación.

Por último, el proyecto establecía que el consentimiento no se considerará una base jurídica suficiente para la validez del tratamiento de datos, cuando exista un desequilibrio ostensible entre la posición del titular y el responsable. Existen argumentos entendibles respecto de la falta de certeza jurídica que puede producir esta disposición. Sin embargo, la modificación propuesta no entrega una herramienta para hacerse cargo de la desigual condición en que se encuentra un usuario respecto de una empresa al momento de contratar. De esta forma, solo se exige que, si al momento de contratar el responsable pide la entrega de datos no relacionados con el contrato, esta situación se encuentre destacada, que no es un remedio suficiente a la situación de desequilibrio en juego.

Lo feo

Ya mencionamos que al momento de definir qué se entiende por interés legítimo, la modificación propuesta limitó las situaciones en que esta excepción puede ser utilizada. El articulado entrega un listado de situaciones que cumplen con esta definición, entre las que se encuentran actividades de prevención del fraude, seguridad informática, investigación con fines históricos, estadísticos, y científicos, entre otros. Sin embargo, en este listado de actividades que se considerarán un “fin legítimo” se incluyó el marketing directo, es decir, el envío de publicidad por parte de las empresas. En otras palabras, las empresas no requerirán el consentimiento de las personas para enviar publicidad dirigida. Esta inclusión es injustificada, arbitraria y solo puede entenderse en base al lobby de la industria en la materia.

Por último, las infracciones de tratamiento de datos inexactos y de denegar las peticiones de los titulares de datos sin causa justificada con las indicaciones pasaron de ser infracciones graves a infracciones leves.

Y ahora ¿Quién podrá defendernos?

Es esencial que la nueva legislación de protección de datos sea rigurosa, robusta y cuente con una aproximación de derechos fundamentales. Sin embargo, sin una institucionalidad que sea capaz de hacer efectiva esas obligaciones, la ley está destinada a convertirse en tinta sobre un papel.

Es por ello que la decisión de cuál será el organismo encargo de velar por el cumplimiento de la nueva ley se transformó desde el primer día en una de las principales definiciones de la modificación legislativa.

El proyecto original creaba una nueva institucionalidad, de carácter técnico y dependiente del Ministerio de Hacienda. Esta dependencia funcional generó resquemores respecto del nivel de autonomía e independencia de la entidad, especialmente al momento de fallar casos relacionados con organismos públicos.

La modificación propuesta por el ejecutivo hace un golpe de timón, y entrega al Consejo para la Transparencia la tarea de velar por el cumplimiento de la ley. Para ello establece que este organismo se deberá dividir en dos áreas (una para acceso a la información y otra para protección de datos personales), operar en dos salas (también divididas temáticamente) y aumenta su número de consejeros de cuatro a cinco. Del mismo modo, los consejeros pasan a tener dedicación exclusiva, se establecen incompatibilidades respecto de aquellos que puedan tener intereses en el sector privado y quienes hayan sido sancionados previamente por tratamiento indebido de datos personales.

Si bien el Consejo para la Transparencia cuenta con un nivel mayor de autonomía que la institucionalidad propuesta por el proyecto original, su carácter especializado y técnico requiere ser profundizado. La transparencia y la protección de datos personales no son disciplinas excluyentes, pero sin duda responden a principios distintos e incluso a una formación profesional particular.

En este sentido, sería positivo que durante la tramitación legislativa se aumente el número de consejeros a seis, y exigir que la mitad sea especialista en materia de protección de datos personales. Por último, resulta indispensable dotar a la nueva institucionalidad con las herramientas necesarias para fiscalizar de forma efectiva al sector privado, especialmente teniendo en consideración que el ejecutivo ha decidido correctamente aumentar el monto de las multas hasta un 4% del volumen de negocios anual de la institución infractora.

¿En qué consiste la Ley General de Protección de datos recientemente aprobada en Brasil?

La semana pasada, el Senado brasileño aprobó la Ley General de Protección de Datos, considerado el proyecto más completo entre los que se estaban discutiendo en el Congreso en materia de protección de datos personales. El proyecto fue apoyado por más de 60 organizaciones y entidades relacionadas con el comercio, las comunicaciones, los sectores de internet y las organizaciones de la sociedad civil.

Actualmente, Brasil tiene algunas leyes sectoriales, como el Marco de Civil para Internet, que deja varias lagunas y no entrega seguridad jurídica para la protección de la privacidad de los usuarios en otros sectores. Pero el retraso que presenta Brasil en la aprobación de una ley de protección de datos posibilitó el diseño de un texto avanzado, que apunta a garantizar el control de los usuarios sobre sus datos personales.

Al igual que el Reglamento General de Protección de Datos europeo (GDPR), el proyecto de ley brinda una definición amplia de datos personales, considerando que es aquel que refiere a una persona identificada o identificable, lo que incluye números de identificación, datos de ubicación o identificadores electrónicos.

La piedra angular del proyecto de ley es el requisito de requerir el consentimiento del titular para el tratamiento de sus datos, el cual debe ser libre e inequívoco. Por otro lado, la empresa que busque tratar la información debe informar expresamente no solo sobre la recopilación, sino también sobre los usos específicos de los datos recopilados, y no puede hacerlo en términos generales o vagos. Además, este consentimiento también debe ser revocable en cualquier momento.

Las nuevas reglas se aplicarán a todas las instituciones que manejan datos personales en sus operaciones o al ofrecer sus productos y servicios, tanto del sector público como del privado. Si el proyecto de ley es sancionado, las instituciones que tendrán 18 meses para adaptarse.

También se crea una Autoridad de Protección de Datos, una agencia gubernamental independiente vinculada al Ministerio de Justicia, con el objetivo de salvaguardar la vigilancia y la aplicación de sanciones, entre otras funciones. Aquellos que violan la nueva Ley están sujetos a una advertencia, multas de hasta el 2 por ciento de los ingresos (máximo de 50 millones de reales brasileños), suspensión parcial o total de la operación, entre otras sanciones. Las filtraciones de datos deberán ser informadas inmediatamente a la Autoridad de Protección de Datos.

Se especula que el presidente Michel Temer quizás vetará los artículos que mencionan la Autoridad de Protección de Datos. El Ministerio de Finanzas cuestiona la necesidad de crear otra agencia reguladora debido a la necesidad de reducir los costos del gobierno

Los parlamentarios señalaron que la inclusión de la APD en el proyecto de ley era una forma de presionar al gobierno para que creara esta agencia reguladora. Si estos artículos son vetados, será un revés importante, ya que las funciones de APD serán fundamentales para la aplicación de la ley de protección de datos.

Cuando el proyecto de ley entre en vigencia, aún habrá desafíos para su implementación. Después de años de negligencia sobre la importancia de proteger la privacidad, la aplicación de la ley no es suficiente. También debe haber un cambio de cultura, con la expansión de las políticas públicas para proteger la privacidad de los usuarios.

Internet está jugando con tus sentimientos

De forma asertiva, la organización Coding Rights ha bautizado este fenómeno como el Chupadatos, un monstruo incansable que vive detrás de cada aplicación, cada búsqueda en internet, cada comentario en redes sociales y cada aparato inteligente. Su labor es engullir, cuantificar y subastar nuestros datos al mejor postor. Y para que eso sea posible, no solo se necesita de una robusta infraestructura, sino de una cultura alrededor del uso de internet.

En Tenemos que hablar, internet está jugando con tus sentimientos, Belén Roca aborda el modo en que nuestros afectos son explotados por el mercado de los datos. El miedo, la ansiedad, la soledad, la precariedad y la vanidad son emociones reales, tan reales que se proyectan en el uso que hacemos de los servicios en línea. Son cinco historias de ocurren en Chile pero podrían ocurrir en cualquier otro lugar de América Latina o el mundo, ¿te identificas con alguna de ellas?

Retomando las historias del Chupadatos, continuamos con la descripción y la reflexión alrededor de los mecanismos de persuación y de control que se utilizan en internet para garantizar que sea una economía próspera, ¿estamos siendo abusados emocionalmente allí? Estemos alerta y conscientes de qué es exactamente lo que le estamos dando a la red.

¿Me protege mi huella digital o debo yo protegerla a ella?

En días pasados, con motivo del proceso electoral mexicano, se advirtió a través de redes sociales y medios de comunicación sobre los riesgos de compartir fotos de nuestros dedos manchados de tinta, en un contexto donde nuestra información biométrica es usada constantemente con fines de autenticación. Como principio general de seguridad, sabemos que es una buena práctica no compartir información personal que constituya o pueda formar parte de mecanismos de autenticación o verificación, como -evidentemente- nuestras contraseñas. Sin embargo, ¿qué sucede cuando nuestro cuerpo -nuestras huellas digitales, nuestra voz o nuestro rostro- se han convertido en nuestras contraseñas? ¿Es factible y está en nuestro poder proteger esta información?

En 2014, hackers del gobierno chino ingresaron en los sistemas de computación del gobierno norteamericano, logrando extraer los datos personales de 22 millones de ciudadanos estadounidenses, incluyendo los datos de la huella digital de 5.6 millones de personas. Aunque hasta el presente no existen evidencias de que estos datos hayan sido comerciados en el mercado negro, resulta abismante el riesgo que pueden representar en caso de ser vendidos. En 2016, investigadores de la Universidad Estatal de Michigan fueron capaces de convertir reproducciones de huellas digitales en versiones 3D de las mismas, capaces de engañar a los lectores de huella digital de los teléfonos inteligentes, todo esto con equipamiento por un valor inferior a los 500 dólares. Igualmente, los investigadores del Instituto Nacional de Informática de Tokio afirman que son capaces de reconstruir una huella digital a partir de la fotografía de una persona haciendo el signo de la paz con su dedo índice y medio, tomada a tres metros de distancia. Esta última noticia levantó alertas en diversos sitios de noticias, que señalaron que los avances paralelos en las tecnologías fotográficas y de autenticación por huella digital, aunados al uso continuo de redes sociales para compartir información, convergen en un punto de riesgo incrementado en lo que respecta a la accesibilidad y facilidad para obtener y recrear las huellas digitales de las personas.

Los datos del rostro también son vulnerables: hoy en día, crear una base de datos a partir de fotografías de los rostros de las personas puede ser tan fácil como descargarla de Facebook o LinkedIn, y la tecnología se encuentra fácilmente disponible, no solo para procesar estas imágenes a través de algoritmos de reconocimiento facial, sino incluso para crear modelos en 3D a partir de ellas. De hecho, en el Chaos Communication Congress de 2014, un investigador de seguridad reprodujo un modelo funcional de la huella digital del ministro de Defensa alemán, partiendo de una fotografia en alta resolución de su mano.

El principal problema de seguridad planteado por el uso de tecnologías biométricas para la autenticación es que los datos biométricos no pueden ser reemplazados. Una vez que el patrón de nuestras huellas digitales se ve comprometido, solo tenemos un número limitado de posibilidades de reemplazarla, en caso de que se requiera solo una. Así, como señala nuestro reciente informe, “El cuerpo como dato”:

Dado que los datos biométricos son únicos e irremplazables, la posibilidad de pérdida o robo de estos significa que la identidad legal del individuo se ve comprometida sin posibilidad de que se le provea de una nueva identidad, creando un contexto en el cual, de no existir salvaguardas legales, una persona podría verse privada de su identidad sin recursos para recuperarla ni indemnización a los daños.

En el caso de que, por ejemplo, la huella digital sea la puerta de entrada hacia otra información personal, como los servicios de mensajería o el correo electrónico, el robo de los patrones biométricos no es el único peligro. El riesgo, por ejemplo, de que los cuerpos policiales puedan sortear el cifrado de un dispositivo a través de copias de la huella digital -o simplemente forzando al ciudadano físicamente- es, de suyo, alto, no solo en el contexto latinoamericano, donde el abuso policial es una práctica frecuente. Esto puede suceder incluso cuando se siguen procedimientos judiciales: en Los Ángeles, un juez emitió una orden para forzar el dedo de una mujer en el lector de huella de un teléfono incautado con el fin de desbloquearlo en el contexto de un proceso por robo de identidad.

Más que el riesgo de perder el control sobre nuestros datos biométricos, el verdadero riesgo se encuentra en el hecho de que nunca tuvimos control sobre ellos en primer lugar. La propia naturaleza de nuestro cuerpo implica que este se encuentra en constante contacto e intercambio de información con el mundo que nos rodea: nuestro rostro descubierto es captado por cámaras de vigilancia urbanas, por los teléfonos de las personas en la calle y a través de nuestras cuentas de redes sociales; nuestras huellas digitales entran en contacto un millón de veces al día con objetos cotidianos a partir de los cuales pueden ser reconstruidas; nuestra voz, nuestros ojos o nuestra manera de caminar no son datos que podamos ocultar del mundo sin limitar severamente nuestras rutinas. El cuerpo, por su naturaleza comunicacional, emite constantemente información que es captada por diversos dispositivos, incluyendo datos como nuestra presión sanguínea, nuestro pulso o la cantidad de pasos que damos al día. Las tecnologías modernas, y no solo las biométricas, recaban y transmiten una cantidad de información gigantesca de manera coditiana, no solo para verificar nuestra identidad, sino para determinar factores como el género, edad, estado de salud o nivel de ingresos de una persona determinada.

Lo que deriva de esto no es solo que debamos tener un mayor cuidado al momento de comunicar o entregar nuestros datos personales, especialmente nuestros datos biométricos, sino que todo cuidado será insuficiente si no logramos crear regulaciones y políticas públicas que permitan un manejo mucho más cuidadoso de estos datos por parte de gobiernos y empresas privadas. Por otra parte, la tecnología sigue avanzando, por lo general con mucha más rápidez que la regulación y sin esperar por ella. En 2013, un equipo de investigadores en Berkeley creó un sistema de autenticación biométrica basado en ondas cerebrales, llamado “passthoughts”. Esta técnica combina tres factores de verificación: algo que sabes (un pensamiento), algo que eres (tus ondas cerebrales) y algo que tienes (el sensor para medirlas). Para autenticar tu identidad, debes pensar en tu clave secreta mientras usas el sensor, que transmite una representación matemática de las señales que hace tu cerebro cuando piensas en la clave. En teoría, es imposible falsificar un passthought, dado que cada persona piensa el mismo pensamiento de manera distinta. La única manera de sortear este tipo de seguridad sería forzar a la persona a pensar su clave, capturar la respuesta y luego reproducirla. Sin embargo, un passthought, al igual que cualquier contraseña, puede ser cambiado.

Esto es solo un ejemplo de maneras en las cuales la tecnología de autenticación biométrica puede cambiar en el futuro próximo. Entretanto, en la mayor parte del mundo seguimos debatiendo sobre cuál es el paradigma correcto para enfrentar desde el punto de vista jurídico a una tecnología cuyo avance no se detendrá a esperar por nosotros.

El cuerpo como dato (2018)

Descargar PDF

¿Cuál es la naturaleza del dato biométrico en relación a la identidad del individuo? El acelerado crecimiento en el uso de tecnologías biométricas para la identificación en América Latina plantea una serie de cuestionamientos relativos no solo al impacto de estas tecnologías sobre la libertad de expresión y de acción en espacios públicos, sino a la autonomía y a la identidad del individuo.

¿Quién defiende nuestros datos?

Las empresas

Cuando lanzamos la primera versión de este informe hace un año, la principal conclusión fue que a la industria de las telecomunicaciones le preocupaba poco o muy poco la protección de datos y la privacidad de los usuarios. Nuestra segunda conclusión fue que las empresas controladas por capitales extranjeros fueron levemente mejor evaluadas que sus pares, probablemente por cumplir con estándares fijados por su casa matriz.

Un año después, la versión 2018 pinta un panorama un poco más auspicioso. Un sector de la industria (en particular Claro y WOM) parece haber reaccionado ante los cuestionamientos del informe y avanzó sustantivamente en sus condiciones de privacidad y prácticas en pos de la defensa de los usuarios. Por otra parte, VTR y Movistar parecen haberse dormido en los laureles de su evaluación relativamente positiva del año pasado, y no avanzaron sustantivamente. Por último, Entel y Manquehue se mantienen al fondo de la tabla, no habiendo mostrado mayor interés en mejorar.

Una de las principales mejoras, y que resulta particularmente positiva a la luz de la polémica por la aprobación del llamado Decreto Espía, es que un número importante de empresas anunció públicamente que exige orden judicial previa, no solo cuando la autoridad solicita interceptar comunicaciones, sino para entregar acceso a los metadatos del usuario.

También resulta llamativo que las dos empresas que más avanzaron (Claro y WOM), son justamente las empresas más presentes en el segmento móvil del mercado, que hoy presenta mayores niveles de competencia. Esto puede indicar que el bajo nivel de competencia que enfrentan las empresas más afianzadas en el mercado entrega pocos incentivos para que estas ofrezcan mejoras en las condiciones de privacidad de sus usuarios.

La sociedad civil

Cuando nos preguntamos quienes recolectan, tratan y abusan de nuestros datos, los dardos generalmente apuntan al Estado y las empresas. Sin embargo, muchas organizaciones de la sociedad civil, como ONGs, partidos políticos, sindicatos y otros cuerpos intermedios también manejan grandes bases de datos personales, los que por un interés activo o por negligencia pueden ser mal utilizados.

Por su volumen, las bases de datos que los partidos políticos manejan al momento de desplegar sus campañas electorales son de particular importancia. Este año, nos enteramos que el mal uso de nuestros datos personales por parte de los partidos políticos va más allá de la compra de bases de datos y de mensajes de texto no solicitados.

En un extenso reportaje, CIPER dio a conocer que distintos partidos políticos han contratado los servicios de la empresa Instagis. A través de su software, la empresa permitiría identificar el RUT, domicilio y preferencia política de una persona, y de esta forma entregar publicidad personalizada durante las campañas políticas. Cabe recordar que las preferencias políticas de una persona constituyen un dato personal sensible, y por tanto su tratamiento no puede ampararse en haberse obtenido los datos de una fuente accesible al público. En otras palabras, estos partidos políticos están haciendo campaña a través de una herramienta que abusa de nuestros datos personales y está al margen de la legalidad.

Aun así, al igual que en el caso de las empresas de telecomunicaciones, hay un sector de los partidos políticos que ha decidido avanzar en la materia. Recientemente, el Frente Amplio ha buscado asesoría entre distintos expertos, con el fin de que su plataforma de participación no solo cumpla con la legislación, sino que entregue términos de privacidad que promuevan los derechos de sus participantes.

El Estado

Lamentablemente, y como hemos expresado en el pasado, los organismos público no solo no están cumpliendo con su deber de proteger los datos personales de los ciudadanos, sino que muchas de las iniciativas del gobierno activamente los exponen innecesariamente, o incluso como una forma de castigo.

De esta forma, la Ley Electoral todavía mandata que nuestros datos personales estén públicamente disponibles en el sitio web del SERVEL. Por otro lado, el próximo 5 de junio entrará a regir el denominado “DICOM del Transantiago”, una iniciativa que busca combatir la evasión del transporte público a través de un registro abierto cuyo objetivo es que los datos personales de los infractores sean expuestos, y así se vean discriminados en su acceso al trabajo, crédito y otros beneficios estatales.

¿El camino a seguir?

Si bien muchas de las mejoras antes descritas pueden resultar loables, lo cierto es que no bastan las iniciativas individuales. Necesitamos de una nueva legislación que impulse una cultura de la protección de datos a nivel transversal en nuestra sociedad.

El proyecto que hoy se encuentra actuamente en tramitación en el Senado se presenta como una oportunidad necesaria para mejorar nuestro estándar de protección y poder contar con una legislación cuyo objetivo sea proteger a las personas y no solo legitimar el tráfico de datos personales.

Sin embargo, para ello el proyecto debe modificar sustancialmente varias de sus disposiciones. Como hoy está contemplada, la futura Agencia de Protección de Datos Personales no cuenta con la autonomía e independencia necesaria del gobierno de turno para asegurar que sus decisiones sean de carácter exclusivamente técnico. Del mismo modo, resulta imperioso volver a incorporar los hábitos de las personas en la definición de dato personal sensible y restringir sustantivamente la figura del “interés legítimo” como causal para el tratamiento de datos personales sin el consentimiento del titular. Por último, es necesario aumentar el monto de las multas en casos graves o reincidentes, de forma tal que resulte un real desincentivo para las empresas de mayor tamaño. Tal vez emular la fórmula adoptada por la nueva versión Reglamento General de Protección de Datos, pronto a publicarse este mes, y que las multas asciendan hasta un 4% de los ingresos anuales de la empresa infractora resulte una buena idea a emular.

Los senadores tienen plazo hasta el 7 de junio para ingresar indicaciones al proyecto de ley, esperamos que las mejoras antes descritas puedan ser incorporadas a la discusión y debatidas, y de esta forma que sea la protección de los derechos de las personas el principal objetivo de nuestra legislación. Solo de esta forma podremos asegurar que la protección de los datos personales se transforme en la regla general en Chile, y no esté sujeta simplemente a la buena voluntad de los distintos actores involucrados.

¿Quién defiende tus datos? (2018)

Descargar PDF

Evaluación sobre las políticas de privacidad y protección de datos de las empresas que proveen servicios de internet en Chile.

Lejos de proteger nuestros datos en América Latina

Estamos a pocas semanas de que el Reglamento General de Protección de Datos (RGPD) entre en plena vigencia en la Unión Europea, y los efectos comienzan a notarse. La reglamentación contempla un entramado de normas que facilita el resguardo de los datos personales, incluyendo el tránsito de información personal que ocurre en el uso de tecnología digital. Varias empresas ya están luciendo nuevas políticas de manejo de datos, y haciendo saber a sus usuarias que han cambiado sus términos y condiciones de uso. Todo ello, para evitar las fuertes sanciones que imponen las nuevas reglas.

Ese cambio de conducta es significativo. No se trata solamente de una cuestión de cumplimiento legal, sino que se vincula directamente con el modelo de negocios de muchas de las empresas más grandes del mundo y que operan en internet. La monetarización basada en la recolección y el procesamiento de los datos personales enfrenta, al menos en la Unión Europea, algo más que un reproche ético y político, sumando ahora la necesidad de respetar una serie de reglas que devuelven un poco de control sobre los datos propios.

El nuevo estándar

El RGPD, aprobado en 2016, representa una evolución de la normativa de la Unión Europea para la protección de datos personales, pensada en el impacto de las tecnologías de información, y las condiciones actuales de recolección y procesamiento de datos personales. Entre otras cosas, el RGPD exige que la recolección de datos sea hecha mediando consentimiento previo, explícito, informado, libre y verificable; permite la portabilidad de los datos desde un controlador a otro; incorpora y regula el derecho a la supresión (u “olvido” desde índices); limita el uso de datos obtenidos de terceras personas a aquel obtenido bajo las condiciones propias del Reglamento; establece principios como el de privacidad por diseño y por defecto; regula más estrictamente la recolección y uso de la información de menores de edad, y más.

De forma quizás más relevante para los gigantes de internet, el RGPD los somete a un sistema de observancia particularmente duro. Además de la obligación de notificar en casos de fugas de datos o quiebres de seguridad, y de variar en las reglas sobre responsabilidad, las sanciones pueden elevarse hasta un 4% de los ingresos globales de la entidad infractora (o 20 millones de euros, según lo que sea mayor). Y ese nivel de impacto monetario es un serio desincentivo: los ingresos de Facebook no fueron seriamente mermados cuando en 2016 fueron multados por € 110 millones por proveer información incompleta tras la adquisición de WhatsApp. La sanción por infringir el RGPD podría ser muchísimo mayor. La pregunta que cabe, entonces, es si ese riesgo es suficiente para cambiar prácticas de uso de información personal y con ello los modelos de negocios a nivel global.

¿Nuevo estándar global?

La aplicación directa del RGPD en la Unión Europea se condice con la estrategia del bloque para agilizar el comercio, manteniendo un mismo nivel de protección en todos los países de la UE. Las transferencias internacionales quedan también sujetas a la existencia de certificación del nivel adecuado de protección de datos personales en los países con los que exista ese flujo de datos, o bien a la existencia de garantías adecuadas.

Por cierto, rigen tales reglas dentro del territorio de la Unión y para sus ciudadanos donde se encuentren, sin que para ello importe la ubicación comercial formal de las empresas, quedando estas obligadas por el hecho de operar allí o alcanzar con sus servicios a ciudadanos de la Unión. Esto es una obligación para quienes deseen continuar prestando servicios a una audiencia europea, sin embargo, ello no significa necesariamente que todos los cambios vayan a ser aplicables alrededor del mundo donde tales empresas también prestan sus servicios. Después de la audiencia de su CEO ante miembros del Senado estadounidense, Facebook tuvo que salir a aclarar que aplicará iguales condiciones de protección para la UE que para el resto del mundo, y no solamente los “controles” a los que obliga el RGPD; no obstante, subsiste la duda sobre si fuera de la UE esta y otras empresas abandonarán sus prácticas de recolección de datos masiva y su modelo de negocios basado en servicios a terceros a partir de los datos recolectados, o si adoptará por fin la privacidad por diseño.

Entonces, ¿se aplicarán estas reglas de protección allí donde el servicio alcanza igualmente a usuarios europeos y latinoamericanos? En parte, podríamos esperar que sí. Pero eso no es en absoluto suficiente para asegurar el pleno respeto de los derechos de las internautas en América Latina. Los cambios introducidos por el RGPD sirven como una demostración adicional del relativo abandono en que buena parte de la región mantiene sus reglas de protección de datos personales. Porque no existen, porque llevan años de tramitación como en Brasil y Chile, o porque sus alcances operativos son limitados.

La autorregulación, a estas alturas, es deseable pero insuficiente. En el espacio que brinda la ausencia de reglas protectoras, han nacido prácticas con décadas de asentamiento, como la recolección de huellas dactilares o números de identidad para condicionar la entrega de servicios, la formación de bases de datos opacas, fugas de datos sin compensación alguna, y un constante desdén por la idea del consentimiento y la finalidad. Si las reglas del RGPD contribuyen al establecimiento de un nuevo estándar global, es exigible a los gobiernos de América Latina que contemplen ese estándar como la guía para la protección de sus propias ciudadanías. No es una cuestión de mera información o transparencia, sino de igualdad, libertad, autonomía y dignidad.

Exigimos mayor transparencia cuando negocien sobre nuestros datos

Bajo los estándares actuales de protección de derechos humanos, la vigilancia de las comunicaciones y actividades en línea requiere ciertas precondiciones, una de las cuales es la existencia de una orden judicial. Sin embargo, de acuerdo con la normativa que se discute actualmente en Europa y en Estados Unidos, muchas cosas estarían por cambiar, en especial la garantía de que nuestros datos personales no terminen en manos de otros gobiernos sin que las leyes de protección de datos personales de nuestro país nos protejan.

Así, la llamada Ley CLOUD en Estados Unidos expande las posibilidades de las agencias policiales para acceder a los datos de personas que están fuera de sus límites territoriales, al permitir a las autoridades estadounidenses acceder a los contenidos de una comunicación y a sus metadatos sin importar dónde vivan o dónde se encuentre almacenada esa información. Además de esto, de ser aprobada, la ley permitiría a los Estados Unidos formar acuerdos ejecutivos con otros países que permitirían a ambos gobiernos acceder a estos datos de manera bilateral, independientemente de las leyes locales.

Simultáneamente, el Comité sobre Cibercrimen del Consejo de Europa negocia el segundo protocolo adicional al Convenio de Budapest sobre cibercrimen, que trata específicamente sobre el acceso transfronterizo a datos. A principios de abril, una larga lista de organizaciones no gubernamentales de todo el mundo, entre las que se incluye Derechos Digitales, suscribieron una carta al Consejo de Europa exigiendo una mayor transparencia en el proceso de estas negociaciones, dado que la sociedad civil en conjunto no ha tenido acceso al texto actual que contiene el inventario de las medidas que se están preparando.

Para Latinoamérica, esto significa -como ha significado hasta ahora en cuanto a otros instrumentos legales de carácter internacional, como al propia Convención de Budapest- enfrentar las consecuencias del desbalance de poder geopolítico de la región y de los países de manera individual. Cuando un país como Chile o Colombia entra a discutir su adhesión a un convenio internacional negociado por Europa, o a un pacto bilateral con los Estados Unidos, no entra en una relación de igualdad que le permita ejercer un contrapeso suficiente a las posibles ventajas a las que accede su contraparte. Así, por ejemplo, la adhesión de países latinoamericanos a la Convención de Budapest ha significado adaptar las legislaciones nacionales en materia de cibercrimen a un instrumento normativo en cuya discusión participaron únicamente los países de la Unión Europea, y que por tanto constituye un acuerdo de “tómalo o déjalo” donde poco cabe negociar, incluso en casos en que el país se acoge al tratado con reservas, como en el caso chileno o el costarricense.

Por otra parte, dada la influencia de los Estados Unidos con respecto a gran parte del tráfico mundial de datos de internet a causa de la localización de la mayor parte de las grandes compañías tecnológicas, cuando otro país ingresa en uno de estos acuerdos, esto le permitiría acceder a los datos de prácticamente cualquier persona localizada en cualquier país, independientemente de que el lugar donde esta persona se encuentra haya participado o no de estos acuerdos, una circunstancia que constituye una grave amenaza a la privacidad de las comunicaciones en todo el mundo. Esto, claro, con la excepción de los ciudadanos estadounidenses, los únicos que quedarían -relativamente- a salvo al estar protegidos por las leyes locales sobre privacidad.

Lamentablemente, en la mayor parte de los países latinoamericanos, los legisladores y creadores de políticas públicas entienden poco y nada sobre la materia que regulan cuando se trata de internet y tecnología. Esta brecha puede significar un enorme obstáculo al momento de suscribir esta clase de tratados y acuerdos, no permitiéndoles comprender los detalles relativos a la implementación efectiva de la norma y cómo podría afectar protecciones preexistentes en las leyes internas y en tratados internacionales sobre derechos humanos previamente suscritos. Tal como señala la carta de la sociedad civil, esto hace más indispensable aún que este tipo de procesos legislativos se hagan con participación abierta de todas las partes interesadas, lo que incluye no solo al sector no gubernamental, sino a los sectores técnicos, académicos y empresariales, cada uno de los cuales cuenta con intereses afectados y conocimientos específicos que deben incidir en la creación de este tipo de normas.

Entre tanto, la discusión de estos acuerdos internacionales -que afectarán a Latinoamérica independientemente de que ésta participe con peso específico en las negociaciones o no- sigue adelante, incrementando cada vez más las capacidades de los gobiernos del mundo para vigilarnos más y mejor.

¿Nuestra privacidad en manos del mercado?

Más allá del vendaval de memes que generó la audiencia, la pregunta por la privacidad de los usuarios en el contexto de Cambridge Analytics sigue abierta. Sin embargo, las extenuantes horas de audiencia dejaron varias cuestiones en claro.

Primero, que pese a las disculpas ofrecidas por Zuckerberg el modelo de negocios de la compañía seguirá afirmándose en los datos que sus usuarios generan. La diferencia sería, esta vez, que habría mayores recaudos respecto al acceso de tal información por parte de terceros. Pero, tal como dijo Zuckerberg, Facebook no vende datos, vende publicidad, así que vender los datos generados por sus usuarios sería enajenar su principal capital a la hora de segmentar audiencias. Pero la decisión de Facebook de no vender nuestros datos no es altruista, se trata de resguardar su modelo de negocios. Sobre la marcha, al ser preguntado por una senadora respecto a la posibilidad de cambiar el modelo de negocios para resguardar la privacidad de los usuarios, Zuckerberg respondió que no sabía a qué se refería.

Segundo, que la compañía está tomando el camino equivocado a la hora de asumir responsabilidad en sus acciones, al tiempo que Zuckerber repite, como mantra, que Facebook es una comunidad. A efectos prácticos, las y los usuarios no cuentan con mayor control de los datos que entregan a la red social; vaya comunidad aquella donde sus miembros no pueden discutir los fundamentos de su vínculo. Peor aún, al ser inquirido por asuntos como el discurso de odio en la plataforma, Zuckerberg apuntó al desarrollo y uso de herramientas de Inteligencia Artificial, como si estas fueran suficientes y sin cuestionar sus implicaciones políticas.

Este tipo de discursos, centrados en la potencial eficacia de los desarrollos tecnológicos -que autores como Morozov han catalogado de tecnosolucionismo- desplaza la pregunta sustantiva (¿qué constituye un discurso de odio?) hacia una pregunta formal (¿está adecuadamente programada la máquina que determina tal categoría?). Tales posiciones sitúan a desarrollos como la Inteligencia Artificial en el fundamento de las certezas, naturalizando su actuar. Como señaló Ryan Calo, Profesor de Derecho de la Universidad de Washington, “‘La inteligencia artificial solucionará esto’, es el nuevo ‘lo solucionará el mercado’».

Tercero, que necesitamos, con urgencia, un mayor desarrollo institucional para abordar problemáticas como las que surgieron tras el escándalo de Cambridge Analytica. No se trata solo de la existencia de agencias estatales dedicadas al resguardo de los datos personales; tampoco a la necesidad de una legislación que reconozca el cambio en los modos de registro de la vida cotidiana. Además es importante puntualizar la necesidad de que las y los representantes democráticamente elegidos desarrollen un juicio crítico sobre las implicaciones asociadas a las nuevas tecnologías. Bajo ese rasero las preguntas de las y los congresistas norteamericanos dejaron bastante que desear. Como contrapunto, la imagen de una situación semejante en el contexto latinoamericano llega a ser pavorosa. Basta recordar que una de las congresistas acabó discutiendo con Zuckerberg cuán bueno sería que Facebook desarrollase proyectos de fibra óptica en su distrito.

A la luz de lo anterior es necesario que repensemos la pregunta en torno a la privacidad. Durante siglos resultó habitual considerar que la publicidad, considerada la contra cara de la privacidad en tanto capacidad de alcanzar a otros con nuestro mensaje, suponía un esfuerzo activo. Actualmente, por el contrario, pareciera que estamos situados en un contexto donde, como señaló Danah Boyd, lo público se asume por defecto, lo privado por necesidad. Si la privacidad es una necesidad, ha de ser también reconocida como una construcción, como algo por ser resuelto. No significa que tengamos que renunciar a ella, en lo absoluto, sino que debemos hacer esfuerzos conscientes a nivel individual y colectivo por construirla.

Esto se traduce en las “nuevas” preocupaciones que, por ejemplo, deben enfrentar madres y padres al verificar que sus hijas e hijos “conocen” personas a través de redes sociales. Tales preocupaciones suponen un esfuerzo activo por señalar a las y los niños cómo pueden construir su privacidad. Lo mismo que hacemos día a día, a través de las distintas redes sociales, al determinar a quién permitimos acceder a los contenidos que generamos. A nivel colectivo, sin embargo, esto supone un esfuerzo mayor. Toda vez que hemos de reconocer que la construcción de la privacidad será uno de los grandes desafíos de una era que, como nunca en la historia, ha generado mecanismo de registro pasivo de nuestras acciones cotidianas. Me refiero con esto, a cuestiones como el hecho de que nuestros teléfonos saben cuántos pasos hemos dado día a día, sin nosotros tener -las más de las veces- noticia de ello.

Finalmente, es importante no caer en la tentación de situar a Facebook como el chivo expiatorio de las tensiones que generan las nuevas tecnologías. En este sentido, Facebook no es sino, literalmente la punta del iceberg de un problema mayor: el comercio de datos sobre el que se cimenta la nueva economía de internet. Es imperioso que comprendamos que nuestros datos son valiosos, aunque no sean tangibles, aunque no sepamos que se están generando.