Análisis comparado a partir de la encuesta Kids Online.
Temática: Protección de datos
En la OMC se negocia desconociendo nuestros derechos digitales
La más reciente ronda de negociación de la OMC estuvo marcada no solamente por el intento de incluir nuevas temáticas a la discusión sobre las reglas del comercio mundial. Estuvo además marcada por la exclusión de la sociedad civil del proceso, de forma incluso contraria a la historia del foro. Cerca de 60 individuos de más de 20 organizaciones, incluida Derechos Digitales, vieron cómo su acreditación fue revocada días antes del evento. El gobierno argentino emitió un comunicado esgrimiendo razones de seguridad, acusando a los grupos excluidos de ser disruptivos y violentos, lo que fue recibido con estupor por la comunidad internacional e incluso por las empresas. Lo cierto es que se marginó a estas organizaciones exclusivamente por tener una posición distinta a la del gobierno organizador del evento, lo que no se condice con una sociedad democrática.
Esta exclusión no solo se tradujo en la incapacidad de la sociedad civil para acreditarse, y por tanto participar del evento. El gobierno del presidente Macri llegó al extremo de retener en el aeropuerto de Ezeiza y deportar al activista Peter Tiland y la periodista Sally Burch. Otras organizaciones de la sociedad civil ni siquiera pudieron viajar a Buenos Aires, ya que el gobierno argentino rechazó sus solicitudes de visa sin expresión de causa. Incluso quienes pudieron acreditarse vieron con preocupación cómo el gobierno argentino organizó el evento de tal manera que la prensa y la sociedad civil estuvieran en un edificio, y las delegaciones de los países en otro, a varias cuadras de distancia, dificultando la capacidad de los dos primeros para contactar a los negociadores. Del mismo modo, el hecho de que la sociedad civil no pudiera participar de la ceremonia de apertura y clausura no tiene precedente en rondas pasadas de la OMC.
Todo lo anterior debe servir como un llamado de atención. Hasta hace poco tiempo se argumentaba, incluso desde la sociedad civil, que la inclusión de estos temas a nivel OMC podría ser positivo por el mayor nivel de apertura y participación al interior de este organismos internacional, especialmente en comparación con procesos plurilaterales como TPP, TiSA y NAFTA. Sin embargo, lo que ha sucedido en Buenos Aires ha dejado en evidencia que esta noción está muy lejos de la realidad.
Más allá del bochorno internacional
Una de las novedades de esta ronda de negociación fue el creciente interés de los países desarrollados, agrupados en “Friends of E-commerce for Development” por incluir el comercio electrónico en la agenda de temas que la OMC debe negociar en el futuro inmediato.
Esta propuesta aparentemente inocua debe ser vista con precaución. Por supuesto que nadie se opone a la promoción del comercio electrónico, pero el llamado de estos países a avanzar en la materia no es neutral. Una revisión de los non-papers propuestos basta para darse cuenta que muchas de las disposiciones más polémicas de TPP y TiSA están siendo propuestas como reglas que deben ser adoptadas a nivel global. Entre ellas, la obligación de permitir el flujo transfronterizo de datos, incluidos datos personales, además de reglas para impedir que se exija la revelación del código fuente como política pública, y la prohibición de que se exija a las empresas operar con servidores a nivel local.
Sin embargo, elementos esenciales para la promoción del comercio electrónico, como asegurar el acceso universal a internet y la consagración del principio de neutralidad de la red, brillaron por su ausencia. Todo indica que la promoción del comercio electrónico, al igual que en TPP y TiSA, se limita a aquellos aspectos que van en el interés de las grandes corporaciones.
Lo cierto es que todavía no sabemos cuál será el impacto económico, social e incluso en el carácter de nuestras democracias del hecho que Facebook y Google dominan hasta el 85 % del mercado de la publicidad en línea. Hoy internet se configura como un espacio de producción para el norte global y de consumo para el sur. Las reglas que se están discutiendo en la OMC tienden a mantener ese estado de cosas, y no desafiarlo.
¿Fin a la promesa del multilateralismo?
La falta de resultados de esta ronda de negociación parece haber mermado la confianza de muchos países en que se puede avanzar en materia de comercio en un modelo multilateral. La declaración del USTR, que nadie creería posible hace un par de años, habla de una “nueva era” en OMC, en donde se avanzará en los temas a través de acuerdos entre grupos de países que piensan parecido.
Este esquema no se condice con las reglas mismas de la OMC, constituye una noción peligrosa y que debe ser enfrentada. Luego de que no se lograra el consenso necesario para lograr un mandato de negociación en comercio electrónico, un grupo de 70 países, incluyendo varios latinoamericanos, publicaron una declaración conjunta manifestando que iniciarán trabajo exploratorio en miras a una futura negociación en la materia, y que este grupo estaría abierto a todo país que se quiera unir.
La legitimidad de esta estrategia es cuestionable. La OMC cuenta con órganos establecidos encargados del estudio, discusión y negociación de distintos temas. No le corresponde a un grupo de países declarar que trabajarán en cierta materia de forma paralela, pues les permite avanzar en la materia desde su perspectiva particular y constituye una presión indebida sobre el resto de los países que forman parte de un organismo internacional que opera por consenso.
Panorama a futuro
Esta vez no se alcanzó el consenso necesario para iniciar negociaciones en materia de comercio electrónico. Sin embargo, la declaración conjunta de países desarrollados muestra que es probable que la sociedad civil deba mantenerse alerta sobre cómo se aborda esta materia al interior de la OMC.
La capacidad de hacer escuchar nuestra voz en estos asuntos, que puede tener profundos y duraderos efectos en cómo nos desenvolvemos en línea, dependerá de que no se repita el autoritarismo con que Argentina abordó la organización de esta ronda de negociación. Es de esperar que la próxima ministerial incorpore criterios de transparencia y participación, y asegure que distintos actores críticos puedan ser tomados en consideración en esta instancia.
Mientras tanto, los esfuerzos de la sociedad civil deberán multiplicarse para mantenerse alerta de lo que se discute al interior de la OMC, al mismo tiempo que se opone activamente a las reglas que vulneran nuestros derechos en los procesos de TPP, TiSA y NAFTA.
Gobierno de Chile busca aumentar su capacidad de vigilancia, aunque sea inconstitucional
Esta semana, gracias a la labor del periodismo de investigación, la ciudadanía ha podido tener acceso al contenido del decreto que modifica el reglamento de interceptación de comunicaciones, que hasta el momento se había mantenido en secreto. Estas revelaciones son de la mayor gravedad y merecen la condena de toda la ciudadanía.
¿Qué dice el decreto?
La nueva normativa pretende modificar la obligación que tienen las compañías de retener los datos de las comunicaciones que se realizan en Chile, extendiendo el período de almacenaje de uno a dos años.
Igual de preocupante que la extensión del período de retención, resulta el hecho que el decreto pretenda aumentar -en tipo y número- los datos sobre las comunicaciones que son almacenadas por las compañías de telecomunicaciones, ampliando además este registro a todos los tipos de comunicaciones que se realizan en Chile, incluyendo:
- Datos de titular.
- Llamadas que realiza.
- Con quiénes se comunica.
- Los sitios que visita en internet.
- Tráfico de dato y voz de las comunicaciones.
- Datos de las comunicaciones a través de sistemas de mensajería, como WhatsApp.
- Ubicación georeferenciada de todos los clientes.
Se suele argumentar que todos los datos anteriormente mencionados no son sensibles, puesto que no dan cuenta del contenido de las comunicaciones, sino que son datos sobre las comunicaciones; solo son “metadatos”.
Sin embargo, existe abundante evidencia de que los metadatos pueden decir incluso más que el contenido de las comunicaciones, ya que permiten realizar un análisis de los patrones de comportamiento del afectados, sus hábitos e incluso predecir su comportamiento futuro. De ahí que sea discutible la legitimidad de las medidas que obliguen a establecer una retención general de metadatos (de todos los habitantes del país), más aún cuando esta práctica ha sido declarada ilegal en otras latitudes.
El decreto además cuenta con un artículo que prohíbe a las compañías de telecomunicaciones la implementación de cualquier tipo de tecnología que pudiese entorpecer la entrega de esta información, lo que puede implicar un obstáculo importante para la implementación del cifrado de las comunicaciones.
No solo eso: el decreto establece la posibilidad de exigir a cualquier persona, jurídica o natural, almacenar datos comunicacionales, mediante una orden judicial. Eso significa, por ejemplo, que se le podría pedir a un medio de comunicación que almacene los datos de las comunicaciones de sus periodistas con sus fuentes, lo mismo respecto a una universidad con sus estudiantes o una organización de activistas con sus miembros.
Como ha señalado el (ex) Relator Especial para la Libertad de Expresión de Naciones Unidas, Frank La Rue, «Las leyes nacionales de conservación de datos son invasivas y costosas, y atentan contra los derechos a la intimidad y la libre expresión (…) aumentando considerablemente el alcance de la vigilancia del Estado, y de este modo el alcance de las violaciones de los derechos humanos”.
El decreto es inconstitucional
Actualmente, tanto el período como la naturaleza de los datos comunicacionales que las empresas deben almacenar se encuentran regulados en el artículo 222 del Código Procesal Penal. Ahí se establece, de forma expresa, que dicha retención se realizará por un período de un año y se limita únicamente a los números IP de las conexiones que realicen sus abonados. Mediante este decreto, el Gobierno pretende regular materias propias de ley, saltándose la discusión democrática que exigen aquellas materias que impactan el ejercicio de derechos fundamentales.
Nuestro ordenamiento jurídico reconoce que ciertos actos del gobierno pueden tener un impacto en el ejercicio de derechos fundamentales. Por lo mismo, nuestra Constitución limita las facultades del poder político, exigiendo que este tipo de medidas solo puedan ser reguladas por el legislador, una entidad independiente del Poder Ejecutivo y sujeta a control democrático.
De espaldas a la ciudadanía
Resulta preocupante que una medida tan sensible y con consecuencias tan graves se haya gestado sin consulta a expertos académicos, a la comunidad técnica ni a la sociedad civil. De hecho, a la “mesa técnica” de trabajo solo fueron convocadas las empresas de telecomunicaciones.
Por otro lado, el Gobierno parece borrar con el codo lo que escribe con la mano. A pesar de las declaraciones del subsecretario Mahmud Aleuy, resulta evidente que el contenido de este decreto es incompatible con los lineamientos de la recién estrenada Política Nacional de Ciberseguridad, que entre otras cosas, valora la implementación de tecnología de cifrado, establece la necesidad de asegurar el debido proceso y considera que la vigilancia masiva es una vulneración a los derechos fundamentales.
Igualmente contradictorio resulta que la presidenta Bachelet haya presentado hace algunos meses una nueva Ley de Protección de Datos Personales, puesto que obliga a las empresas almacenar una cantidad enorme de datos sensibles de sus clientes y mantenerlos a “disposición del Ministerio Público y de toda otra institución que se encuentre facultada por ley para requerirlos”, sin exigir expresamente que su entrega esté sujeta a la existencia de una orden judicial previa.
Pasos a seguir
Actualmente, el nuevo reglamento está firmado por la presidenta Michelle Bachelet y se encuentra en la Contraloría General a la espera de la respectiva toma de razón.
Que el gobierno busque aumentar su capacidad de vigilancia de forma inconstitucional reviste la mayor gravedad y significa un duro golpe al estado democrático de derecho. Ante esto, no queda más que la ciudadanía completa se una y exija el retiro del decreto.
Biometría: tecnosolucionismo a costa de nuestros derechos
El problema es cuando su adopción se transforma en una especie de mantra irreflexivo que, como hemos dicho con anterioridad, interfiriere con nuestra capacidad para mantener una saludable distancia crítica a la hora de pensar políticas públicas.
Este tecnosolucionismo es particularmente peligroso cuando se trata de la adopción de tecnología de control y vigilancia, que siempre requiere una ponderación con otros derechos por su naturaleza intrusiva y el efecto inhibitorio que puede producir en términos de privacidad y libertad de expresión.
Es por ello que resulta preocupante la liviandad y candidez con que las autoridades chilenas han propuesto la implementación de control biométrico para solucionar (o intentar solucionar) diversas temáticas. Las características físicas constituyen un dato sensible de acuerdo a nuestra legislación, y por tanto, su recolección, almacenamiento y tratamiento están sujetos al máximo nivel de protección; su utilización debería estar sujeta a casos excepcionales donde no exista una alternativa menos lesiva para alcanzar los los fines propuestos. Sin embargo, en lo que va del año, ya han sido tres iniciativas las que buscan implementar controles biométricos vulnerando los derechos fundamentales de las personas.
Cámaras biométricas para combatir delitos menores
El pasado 23 de junio la Municipalidad de Las Condes, la misma que ha implementado drones y globos de vigilancia, anunció que implementará un plan de cámaras de control biométrico para combatir el delito en esa comuna.
Esta medida sin precedente merece ser rechazada. Jurídicamente, las municipalidades no cuentan con las facultades legales para recolectar, almacenar, tratar o ser responsables de una base de datos sensibles como son los datos biométricos. Al tratarse de un dato sensible, debe existir una habilitación legal expresa por parte de la legislación para la creación de este tipo de bases, no bastando una mención genérica a que las municipalidades cuentan con facultades para implementar medidas para combatir el crimen.
Por otro lado, surgen cuestionamientos respecto de cómo la Municipalidad pretende construir esta base de datos, a partir de la cual creará “listas negras” de personas que transitan por la comuna. Qué criterios se utilizarán, quienes tendrán acceso a esa base de datos, cuales serán los criterios de eliminación y de seguridad de la misma son todas preguntas que no han recibido respuesta. Estas consideraciones no son casuales, pues existe evidencia de que la biometría produce un porcentaje elevado de falsos positivos, y que eventualmente puede prestarse para agravar sesgos raciales.
Con esta medida, el alcalde Joaquín Lavín sigue liderando la preocupante tendencia de exigirle a los ciudadanos que sacrifiquen su derecho a la privacidad y la protección de sus datos personales a cambio de una vaga promesa de seguridad que no está basada en la evidencia, ni en una correcta ponderación con otros derechos fundamentales.
Fiscalización biométrica de la entrega de almuerzos infantiles
En la línea de este tecnosolucionismo, la Junta Nacional de Auxilio Escolar y Becas (JUNAEB) elaboró un proceso de licitación para el servicio de entrega de raciones alimenticias al interior de colegios. A fin de cumplir un dictamen de la Contraloría General de la República, que exigió criterios de certificación en la entrega de beneficios, la JUNAEB decidió establecer como requisito en la licitación, la implementación de un control biométrico a los estudiantes beneficiarios.
Esta medida es inaceptable por múltiples razones. En primer lugar, estamos ante un caso donde los datos recolectados son sensibles en un doble sentido, por ser datos biométricos y por tratarse de menores de edad. Como ha señalado recientemente la Corte Suprema, la recolección de dichos datos debe estar sujeta a la autorización expresa, informada y por escrito de los padres.
Por otro lado, la exigencia de la Contraloría hace referencia a la cantidad de raciones entregadas. Por lo mismo, no es necesario identificar a los estudiantes beneficiarios. En otras palabras, la JUNAEB está buscando someter a menores de edad a control biométrico para solucionar un problema que en realidad no requiere identificar a los menores.
Por último, cabe preguntarse cómo responderá la entidad cuando los padres de los menores razonablemente se nieguen a entregar la autorización para que sus hijos sean objeto de este control intrusivo, desproporcionado e innecesario. Negar un beneficio social a estudiantes vulnerables cuyos padres no estén dispuestos a entregar información personal sensible de sus hijos sería a todas luces un apremio ilegítimo.
Por lo anterior, la JUNAEB debe tomar la sentencia de la Corte Suprema como oportunidad para reestudiar su programa y eliminar los criterios de control biométrico de la licitación de entrega de raciones a estudiantes menores de edad.
Control biométrico en el transporte público
El Ministerio de Transportes, el mismo que ha empujado el DICOM del Transantiago y que busca tener la facultad administrativa para bloquear el DNS de plataformas tecnológicas, ha anunciado que se encuentra estudiando implementar reconocimiento facial en el proceso de fiscalización del pago del transporte público.
Lo anterior significa nada menos que someter a los cinco millones de habitantes de Santiago a un sistema de vigilancia constante, permanente y desproporcionado, que no solo almacenaría las imágenes de todos los usuarios del transporte público, sino que analizaría sus rasgos faciales para compararlos con una base de datos cuyos criterios de elaboración son poco o nada claros.
Al igual que en el caso de la Municipalidad de Las Condes, el Ministerio de Transportes no cuenta con las facultades legales para administrar una base de datos de esta naturaleza, y la implementación de un sistema de control biométrico de esas características constituiría una vulneración inaceptable de los derechos fundamentales de los usuarios del transporte público.
Conclusión
Tanto la academia como la sociedad civil internacional han levantado la voz para advertir el efecto que el control biométrico puede significar para el ejercicio de los derechos fundamentales de las personas. Sin embargo, el gobierno ha decidido hacer caso omiso de estas consideraciones y optado por implementar políticas vistosas, que no han demostrado su eficacia y que ponen en riesgo los derechos de las personas.
Es momento que el gobierno y las autoridades concentren sus esfuerzos en implementar políticas basadas en evidencia, que cuenten con una correcta ponderación de los derechos en juego y cuyo beneficiario no sea la emergente industria de la vigilancia, sino la calidad de vida de la ciudadanía.
Protección de datos en América Latina, urgente y necesaria
Hace pocos días concluyó en Santiago de Chile el XV encuentro de la Red Iberoamericana de Protección de Datos (RIPD), grupo de trabajo que desde su creación en 2003 reúne a representantes de agencias gubernamentales iberoamericanas, con el objetivo de avanzar en la creación de marcos normativos para la protección de datos personales.
Durante la reunión se debatieron temas relacionados con el ejercicio efectivo de la privacidad, tales como el derecho a la desindexación, el uso de tecnologías de vigilancia, las implicancias de la internet de las cosas y el uso de big data. Además, la RIPD aprobó y presentó oficialmente los denominados “Estándares de Protección de Datos de los Estados Iberoamericanos”, directrices que servirán de referencia para futuras regulaciones o para la revisión de las ya vigentes en países Iberoamericanos.
Y es que en nuestra región, la protección efectiva de datos personales no es una realidad todavía. Muchos países carecen totalmente de un marco regulatorio general en la materia; varios han reconocido el habeas data en sus Constituciones; otros han regulado el acceso a la información pública o han otorgado algún grado mínimo de protección a través de normativas sectoriales como derecho del consumo, normativa financiera o de salud, entre otros. Países como Brasil y Panamá discuten por estos días las que serán sus primeras normativas generales de protección de datos personales; otros como Argentina y Chile inician importantes reformas a sus estándares desactualizados de protección.
Esa fragmentación total en los niveles de protección de datos personales nos presenta una tarea urgente de armonización para dotar a los habitantes de nuestra región con estándares de protección adecuados al ejercicio de sus derechos y al respeto de su dignidad. Por eso resulta tan valiosa una iniciativa como esta, en la que se promueve una discusión multisectorial (público, privado y social) sobre el nivel adecuado de protección de datos personales en un contexto democrático y global.
Su valor radica, además, en la posibilidad de invitar a la ciudadanía a tomar un rol activo en la defensa de su derecho a la privacidad, en un contexto donde la tecnología ha avanzado más rápido que los marcos jurídicos encargados de orientar su uso con respeto a los derechos fundamentales. Finalmente, permiten reclamar a los estados reconocer y acatar sus compromisos internacionales en materia de derechos humanos relativos a la protección de datos personales.
Ante este favorable panorama, sin embargo, vale la pena hacer un llamado de cautela a los países latinoamericanos, frente a nuestra particular realidad política, económica, social e histórica, la cual no debe resultar indiferente a la hora de diseñar y adoptar una regulación de protección de datos personales.
La influencia de la regulación europea en materia de diseño del marco normativo para la protección de datos personales en América Latina no es una novedad, ya que desde el inicio tal inclinación se ha dejado sentir, en parte motivado por la afinidad de tradiciones legales, en parte porque Europa se ha encontrado a lo largo del tiempo consistentemente a la vanguardia de la protección de los datos personales. Pero también motivado por necesidades de orden económico, específicamente para mantener la posibilidad de prestar servicios a empresas europeas.
La normativa europea pareciera un modelo a seguir para América Latina. Una importante consecuencia de lo anterior es el impacto que para nuestra región puede llegar a tener la más reciente actualización de la normativa europea que resulta en un nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigencia en mayo de 2018. A este respecto debe considerarse que el RGPD fue fruto de una negociación política de más de 4 años en la Unión Europea, y que sus particularidades no escapan a las complejidades de una Unión de países de las más diversas tradiciones jurídicas, así como realidades políticas, económicas y sociales. Esto es clave a la hora de analizar las consecuencias que para América Latina tendría el hecho de buscar su armonización regulatoria en una réplica de la regulación europea.
No quiero poner en duda que mucho de la regulación europea puede servir de materia prima a la discusión en la región, pero en ningún caso sería saludable importar el modelo. La urgencia en la implementación o actualización de la normativa de protección de datos personales en América Latina debe ser compatible con la protección adecuada de la libertad de expresión y el acceso a la información en nuestros países.
Lo que sí debe resultar inspirador del modelo europeo es la posibilidad la armonización normativa para la garantía del pleno ejercicio de los derechos y el florecimiento de la actividad económica en un contexto de reglas claras y protectoras de las personas que habitan una región. Esto cobra particular relevancia en una economía digital globalizada donde los servicios tecnológicos ofrecidos a través de Internet -y en el mundo físico- obedecen a estrategias globalizadas de compañías que operan sin límites nacionales en su oferta de productos y servicios.
Mientras América Latina carezca de estándares adecuados para la protección de datos personales estaremos renunciando tanto al pleno ejercicio de nuestros derechos, como a obtener una participación justa de los beneficios económicos que se derivan de la economía digital, condenándonos a la adhesión a modelos de consumo y ejercicio de derechos impuestos desde otras latitudes.
Retención de datos y registro de teléfonos móviles: Chile en el contexto Latinoamericano (2017)
Revisión comparada a la manera en que las legislaciones de México, Brasil, Colombia, Perú, Argentina y Chile abordan la retención de datos y el registro de teléfonos móviles
¿Quién defiende tus datos? (2017)
Evaluación del modo en que las compañías que proveen servicios de internet en Chile defienden la privacidad de sus clientes, al momento de responder las solicitudes de la autoridad para acceder a su información personal.
No estoy en contra de la tecnología, pero
“No estamos en contra de la tecnología”. Fuera de contexto, es una oración difícil de comprender. Dado que el concepto de tecnología abarca desde una piedra tallada para cazar hasta lo que sea que la NASA esté diseñando para mandar gente a Marte, presentarse a uno mismo como “contrario a la tecnología” parece ser una postura difícil de sostener. Probablemente existan entusiastas de ciertas formas radicales de primitivismo, pero dudo que alguna de las personas a las que iba dirigida la aclaración tuviese en mente una acusación de este tipo. Y, sin embargo, la aclaración se hizo.
“No estamos en contra de la tecnología, pero” fue una frase que se repitió varias veces en el marco de una discusión celebrada algunas semanas atrás en Santiago de Chile, ante la posibilidad de que una alcaldía comience a utilizar drones para vigilar los espacios públicos.
¿De dónde nace la necesidad de aclarar que no se es tecnofóbico a la hora de dar un argumento contra un uso particular de una tecnología particular en un contexto particular? Básicamente, para no quedar como loco. Lo que se desprende de esa frase es que la imposición por mantener una fe ciega en el progreso tecnológico ha calado tan hondo, que interfiere con nuestra capacidad para mantener una saludable distancia crítica, a riesgo de ser tildados de demente o extremista.
A nivel de políticas públicas, esto es particularmente delicado. “La tecnología es capaz de resolver cualquier problema, incluso aquellos que ella misma genera” parece ser el axioma. Aunque lejos de la verdad, es un discurso potenciado por autoridades que buscan soluciones vistosas a cambio de prensa fácil y por compañías ansiosas de hacer negociosos vendiendo soluciones, sin importar lo propicio que sean, ni los impactos negativos que podrían tener.
Los peligros del tecnoptimismo
“Ponen a prueba nueva versión de la TNE con reconocimiento facial” anuncia un portal de noticias; “Concepción es el lugar elegido para poner a prueba una nueva tecnología que otorgaría a la Tarjeta Nacional Estudiantil mejores medidas de seguridad” agrega.
¿Mayores medidas de seguridad? ¿La seguridad de quién exactamente? ¿Qué problema están tratando de resolver que requiere la creación de una base de datos biométricos del rostro de los estudiantes beneficiados con la rebaja del pasaje en el transporte público?
“Nos permite controlar que se presten las tarjetas entre los estudiantes, que se presten las tarjetas entre amigos, que haya tarjetas falsas” explica Mauro Moreira, administrador de una línea de buses penquista. A juzgar por esa explicación, el problema no es de seguridad, sino incrementar los mecanismos de control sobre los usuarios.
Por el contrario, la creación de una base de datos de ese tipo no solamente parece ser desproporcionada y contraria al concepto de minimización de datos, sino que genera potenciales riesgos adicionales a los usuarios del sistema de transporte.
Existen al menos dos problemas prácticos que probablemente no se están analizando debidamente:
El primero de ellos es que el sistema que administra los datos contenidos en las tarjetas de transporte estudiantil ha demostrado ser inefectivo protegiéndolos. Una investigación realizada por Derechos Digitales durante 2016 demostró que era posible acceder a todo el historial de movilización de cualquier estudiante chileno tan solo conociendo su nombre. Este no es un caso aislado y se suma a una lista de situaciones en las que las autoridades chilenas no han sido capaces de proteger la información que manejan: le ocurrió al Registro Civil, al Registro Electoral y también al Ministerio de Salud. Muchos de esos datos hoy circulan libremente a través de internet y pueden ser accedidos por cualquier persona.
En segundo lugar, esto es problemático además porque no hay manera de asegurarle a los estudiantes de qué maneras se están usando los datos, con qué otros datos se cruzan y con qué fines, como se tranza esa información. Tampoco hay mucho que decir respecto a eventuales soluciones o sanciones frente a un uso indebido de la información, porque la ley actual es increíblemente permisiva al respecto. Recordemos además que muchos de estos datos corresponden a menores de edad.
Pero lo que subyace acá es una postura política: no solamente se trata de pasar por alto las consideraciones de proporcionalidad y riesgos potenciales, se está partiendo del supuesto (casi hegemónico) de que la tecnología es siempre deseable e ideológicamente neutra.
Información proporcionada recientemente al Congreso estadounidense señala que el software de reconocimiento facial utilizado por el FBI falla el 15% de las veces y tiende a reconocer erróneamente a personas negras con mayor frecuencia que a personas blancas. Un software de etiquetamiento automático desarrollado por Google clasificó como gorilas a una pareja de afroamericanos. Estos no son los únicos casos conocidos de racismo en torno a esta tecnología; tampoco se trata de un simple error de programación, sino una demostración de cómo los prejuicios de los programadores se traslada al código del software, posiblemente de forma inconsciente incluso. Un recordatorio de que la tecnología es producida por personas que impregnan en ella sus ideas y defectos.
Bases de datos y poder
Por su parte, parece ser que la discusión sobre las bases de datos necesita un contexto mayor desde el cual ser abordado, porque tal como señalan las investigadoras Anja Kovacs y Nayantara Ranganathan sobre su proyecto de investigación “Gendering Surveillance”, las bases de datos son una forma en la cuál un grupo puede ejercer poder sobre otro; en palabras de Kovacs “las relaciones de poder deben ser examinadas para evaluar el valor de cualquier tecnología”.
En relación al uso de tecnologías de reconocimiento facial en el transporte público, particularmente de estudiantes que acceden al beneficio de tarifa rebajada, hay que comprender que no solamente se trata de los datos que se colectan, sino sobre la posibilidad de someter a un grupo social a un control de estas características. ¿Quiénes quedan libres? Los sectores más acomodados, que no usan el transporte público o no acceden a la tarifa rebajada.
Hay que constatar además que esta relación asimétrica no termina necesariamente cuando la persona deja de ser estudiante, de recibir el beneficio o de usar el transporte público: una vez dentro de la base de datos, no hay nada que impida estar ahí para siempre ni nada que asegure que el dato podría haber sido removido o que no ha sido copiado.
¿Es justo estar obligado a estar en una base de datos solamente por ser estudiante y pobre? ¿Qué va a pasar cuando la policía quiera acceder a esta base de datos para identificar a los asistentes a una marcha estudiantil? ¿Y si la gente deja de ir a las marchas por temor a quedar en un registro policial? ¿Qué pasará cuando el sistema no reconozca el rostro de una persona que está haciendo un uso legítimo del beneficio? ¿Y qué pasa si eso ocurre con mayor frecuencia con gente de ascendencia mapuche? ¿Qué va a pasar cuando el contenido se filtre, las fotografías se asocien al RUT y se ponga a disposición de cualquiera en internet? ¿Y cuando las quiera comprar una empresa privada? ¿Y cuando las quiera comprar una entidad de cobranza de deudas por concepto de estudios?
Que el temor a parecer tecnofóbicos no le impida a los tomadores de decisiones plantearse estas y otras preguntas pertinentes.
Protección de datos: una buena noticia a medias, en un Chile a medias
El anuncio sobre el ingreso de un proyecto para reemplazar la normativa de datos personales en Chile ha sido recibida con entusiasmo por parte de la industria, la sociedad civil y los organismos públicos. Se trata de un anuncio que los distintos actores llevan años esperando, y que organismos como la OCDE han exigido al gobierno con insistencia.
Si bien el articulado de la iniciativa legal requiere de un estudio más acabado y profundo, vale la pena comenzar reflexionando sobre el proceso que ha desembocado en la presentación de este proyecto y sobre su ingreso al Congreso en el último año del actual gobierno. Es necesario preguntarse qué espacio real tiene este proyecto en la agenda legislativa del Ejecutivo y si este se condice con otros proyectos empujados por el mismo gobierno en su último año.
El proceso
El proceso de elaboración del proyecto de ley de datos personales, con participación de distintos actores, ha sido complejo y contradictorio. En su inicio, el Ministerio de Economía estrenó el anteproyecto mediante la apertura de una consulta pública para recabar la participación y aportes de los distintos actores. A ello se sumó la formación de un Consejo de la Sociedad Civil de Protección de Datos Personales, con participación de distintos especialistas, representantes de la industria y de la sociedad civil. Pero paralelamente, un proceso distinto fue iniciado liderado por el Ministerio de Hacienda, para la elaboración del proyecto del gobierno, esta vez a puerta cerrada y sin oportunidades de participación abiertas y transparentes para la sociedad civil y otros actores relevantes.
El resultado es el proyecto que hoy conocemos, que dista en varios aspectos del sometido a consulta pública. Así, la propuesta presentada no recoge los resultados del proceso participativo y avanza en un sentido contrario a la tendencia mundial de acoger la participación multisectorial en regulaciones de esta naturaleza.
¿Compromiso real del gobierno?
En otras ocasiones manifestamos nuestras dudas sobre el nivel de compromiso del gobierno para avanzar en una agenda sobre protección de datos personales. Si bien la presentación del proyecto de ley debiera disipar estas dudas, lo cierto es que el momento en que ha sido ingresado al parlamento, acompañado con el historial de tramitación de proyectos anteriores, nos invita a guardar cautela con el entusiasmo inicial.
El último año de cada administración no suele caracterizarse por grandes reformas legislativas, dada la falta tiempo y espacio para empujarlas adecuadamente, y para desarrollar la discusión seria y profunda que requiere una materia compleja, como es la protección de datos personales. Es de esperarse que, durante 2017, gran parte de la agenda pública se concentre en las elecciones presidenciales y parlamentarias que se aproximan. En este sentido, que el presente proyecto se haya presentado ahora hace temer que falle el empuje para lograr la aprobación de la iniciativa antes del fin de esta administración.
Nuestras aprensiones se fundan por lo demás en que, tanto el primer gobierno de Michelle Bachelet como el de Sebastián Piñera presentaron iniciativas legales para modernizar la legislación de protección de datos personales, pero a pesar de su necesidad urgente, ambos proyectos quedaron en completo abandono al momento de asumir la administración posterior.
Otras iniciativas legislativas del gobierno
Además, llama la atención que esta iniciativa contradiga algunas de las iniciativas que el gobierno ha presentado públicamente como de alta prioridad para su último año. Este es un proyecto cuyo objetivo es proteger a las personas del tratamiento de sus datos personales por parte de entidades privadas y públicas, y se centra en el respeto a los derechos fundamentales y la dignidad de la ciudadanía. Exactamente en una vereda opuesta se encuentran iniciativas como el proyecto de crear un registro abierto de evasores del Transantiago. Que dicho registro sea público quiere decir que cualquier persona podrá realizar un tratamiento de esos datos personales, incluso generando bases de datos paralelas, que seguirán existiendo luego de que el infractor pague su multa y sea eliminado del registro. Más grave aun resulta que representantes del Ministerio de Transportes hayan reconocido públicamente que el objetivo de este registro es que los infractores sean discriminados al momento de postular a fuentes de trabajo. Por otro lado, esta misma iniciativa deja abierta la puerta para vincular la tarjeta BIP con los datos personales de la persona que la adquiere. Esto resulta problemático porque, como mostramos en un informe reciente, la tarjeta BIP no cuenta con elementos mínimos de seguridad, y permite a cualquiera acceder al historial de navegación de la persona que la utiliza, a través de su página web.
Otro ejemplo es el proyecto que busca regular plataformas tecnológicas como Uber, en el cual se establece la obligación de las plataformas de compartir la información sobre kilómetros recorridos, vehículos, conductores, lugares de recogida y bajada de pasajeros, hora y duración de los viajes, hora de reserva, precio cobrado y evaluación del viaje con ciertos organismos públicos, sin consideración de un régimen de consentimiento de los titulares de los datos ni el adecuado establecimiento de derechos para ells y obligaciones para los titulares de tales bases, como contrapartida. Si bien esta información puede resultar útil para el Ministerio a la hora de elaborar políticas públicas, debieran resguardarse los derechos fundamentales de los titulares de los datos, estableciendo que la información sea entregada en términos estadísticos, cumpliendo con criterios de anonimización, y bajo ninguna circunstancia de forma nominativa.
Espacio para enmendar el rumbo
Recibimos la presentación del nuevo proyecto de ley de protección de datos con un cauteloso optimismo, en cuanto representa una oportunidad importante para enmendar el rumbo en materia de protección de derechos fundamentales. Estamos ansiosos por ver que el debate legislativo considere y recoja la participación de la sociedad civil y otros actores relevantes, lo cual en su correcta ejecución podría mitigar la falta de participación previa. Una señal imprescindible del compromiso del gobierno no solo con su agenda de probidad y transparencia, sino con hacer realidad los derechos fundamentales de la ciudadanía, es que se conceda a este proyecto de ley la urgencia necesaria para su tramitación expedita, para corregir la desidia y el abandono del pasado.
Vigilancia y control sobre nuestros cuerpos (2017)
Las aplicaciones para controlar el ciclo menstrual, hoy tan populares, no son ideológicamente neutras. ¿Qué tal si les hacemos algunas preguntas sobre nuestra privacidad y libertad?