Temática: Protección de datos

¿Cambridge Analytica? El próximo escándalo está a la vuelta de la esquina

Hace pocos días, el Guardian Observer y el New York Times, en una investigación conjunta, dieron a conocer una noticia que ha dado ya varias veces la vuelta al mundo: cincuenta millones de perfiles de Facebook habían sido explotados por Cambridge Analytica, la firma de análisis de datos que fue parte de las campañas previas a la elección de Donald Trump en los Estados Unidos y la votación para que el Reino Unido abandonara a la Unión Europea. Una enorme “fuga” de datos personales, que tiene hoy a la red social, una de las compañías más grandes del mundo, en una difícil posición ante la opinión pública.

La trama de las revelaciones (ya contada hasta el cansancio) involucra desde jóvenes investigadores hasta poderosos millonarios; desde interesantes postulados académicos aplicados al avisaje microdirigido (micro-targeting) de votantes hasta el escepticismo sobre el efecto real en los potenciales votos. También, la intervención de ex empleados tanto de Facebook como de Cambridge Analytica, que al modo de tardíos denunciantes (tratados hasta en la prensa como whistleblowers), han entregado detalles de la operación de Facebook sobre los datos personales al menos hasta 2014.

El escándalo es justificado: una firma privada, acumulando decenas de millones de perfiles, a partir de aplicaciones aparentemente inocentes y desarrolladas con fines académicos, montadas sobre Facebook. Una situación de abuso sobre datos personales, recordando el valor de nuestra información personal. No es más que la consecuencia lógica del continuo funcionamiento de la poderosa máquina de vigilancia que ha sido Facebook en los últimos años, alimentada por el legítimo interés por conectarse con familiares, amistades, colegas y más. Una máquina que funciona sobre perfiles construidos incluso sobre quienes no usan la plataforma.

Business as usual

Esta interesante historia es solo un ejemplo de los límites, cada vez más lejanos, a los que llega la industria de los datos. En el capitalismo de la vigilancia, no es del todo cierto que si no pagas por un servicio eres el producto. Aunque pagues, a menudo eres el producto. Aunque no tengas una cuenta, muy probablemente eres el producto. Y las conexiones personales recogidas por Cambridge Analytica dan cuenta de ello, pero están lejos de ser los únicos en tener tal clase de conexiones: Facebook está al centro de un ecosistema que involucra a muchos más actores, invisibles ante la opinión pública.

Los incentivos para operar son múltiples, y los costos ínfimos. Por una parte, las reglas sobre datos personales han sido lo suficientemente permisivas como para permitir instancias de dudosa entrega de consentimiento sobre los datos, bajo condiciones en que es imposible gozar de una opción sin entrega de datos para acceder a un servicio, o bien bajo la sujeción a términos de uso y políticas de privacidad ilegibles. La ausencia de suficiente conocimiento o educación sobre los derechos que existen, como consumidoras y como titulares de datos, hace aun más intensa la disparidad de poder entre compañías y usuarias.

Y todo ello se ha visto reflejado en la respuesta de Facebook: no se trataría de una “fuga” de datos personales, porque los datos recolectados fueron entregados voluntariamente por quienes usan Facebook. Claro, esto ignora a las decenas de millones de personas que no entregaron su información a los investigadores tras la app thisisyourlife; pero, más gravemente, transfiere la responsabilidad a las mismas personas, titulares de datos personales, por una pérdida masiva del manejo y control sobre los mismos. Aunque las condiciones que permitieron el abuso se remontan a 2014, y en teoría no existirían hoy, la respuesta importa: los marcos de funcionamiento ético, en la práctica, no parecen ser distintos de un apego al mínimo legal.

Democracia y control social

Una arista que ha recibido particular atención desde que Cambridge Analytica ganó notoriedad pública es su vocación para la operación en contextos electorales. Ayudada ante la imaginación pública, por cierto, por el éxito imprevisto de las campañas electorales de Donald Trump y de #VoteLeave. Este funcionamiento, basado tanto en el alcance de la red social como en el exitoso algoritmo, que mantienen a cientos de millones de personas pendientes de sus dispositivos, implicaría una capacidad de persuasión con efectos ya no sobre personas individuales, sino sobre grupos completos.

Aunque no sea del todo cierto que esa influencia es real y comprobable (o que esa sea la situación hoy), la noción de que movilizar y desmovilizar a las masas puede lograrse de forma más efectiva mediante herramientas tecnológicas, tiene un efecto significativo sobre los mercados de la información personal y el perfilamiento para las campañas políticas. Un marco atractivo para gobiernos que enfrentan sus propios, posiblemente adversos, contextos electorales. Como mostraban las -poco discretas- revelaciones de Channel 4 en el Reino Unido, la manipulación alcanzaba a varios niveles. Todo como demostración, ante la posibilidad de clientes futuros, del poder que pueden ejercer quienes tienen información personal a manos llenas. Cambridge Analytica aseguró así un jugoso contrato con el gobierno estadounidense.

En América Latina esa estrategia parece también haber tenido efectos. Un contrato en Brasil fue rescindido esta semana. También habría operado en el Perú. En Argentina se investiga si tuvo influencia. Habría tenido efecto en México, donde también cesó un contrato. Una empresa en Chile se jacta de servicios similares, pero niega operar como la firma británica.

Aun si no hay evidencia de una manipulación efectiva mediante el algoritmo, sí podemos vislumbrar que los mecanismos de administración de nuestra atención sí van ganando en complejidad y efectividad. Los contextos electorales, en que (según se nos permite) solamente es necesaria una línea sobre un papel cada cierto tiempo para mover ámbitos de poder, ponen estas herramientas en una atractiva vitrina para quienes quieren y pueden pagar por ellas. La gran afectada por esta operación masiva de vigilancia, minería y venta de datos e influencia es, finalmente, la democracia.

Retomando el control

Cuando por fin reaccionó Mark Zuckerberg, fundador y CEO de Facebook, la suspicacia ya estaba instalada. Se trataba de una instancia más en un largo historial de disculpas a nombre de la compañía por situaciones vergonzosas. Pero mientras los escándalos y las disculpas se acumulan, la empresa sigue creciendo, porque el negocio se mantiene vivo. El problema no es Cambridge Analytica, ni es tal empresa un villano corporativo único. El problema es una economía que permite e incentiva el tratamiento masivo y abusivo de datos personales, para vendernos productos y para vendernos como productos.

¿Qué hacer frente a estos escándalos? La propuesta de cerrar las cuentas de Facebook frente a este incidente puntual se muestra como una solución parcial; al menos, un pequeño alivio frente al potencial abuso para los (escasos) usuarios de internet que no tienen una cuenta abierta (pero que siguen siendo seguidos a través la red). No obstante, las posibilidades de interacción hacen que para muchos esa solución sea costosa; por lo demás, como usuarias sí debemos contar con la posibilidad de acceder a servicios sin que nuestros datos sean abusados por ello, sin que nuestras decisiones individuales o colectivas estén dirigidas por algoritmos o por intereses políticos. Existen algunas medidas de autocuidado que permiten limitar el alcance brutal de la recolección de información. Pero también podemos exigir más de las instituciones y empresas.

Por otra parte, es urgente contar con marcos legales que protejan suficientemente los datos personales, entregando herramientas a los titulares de datos para ejercer sus derechos de manera efectiva y sancionando los abusos. No parece haber disenso al respecto. Sin embargo, la lenta marcha de las reformas legales a nivel nacional, sumada a la ausencia de regulación en varios países, dejan a América Latina una vez más a merced de grandes empresas extranjeras, y a la espera de que la institucionalidad comercial y estatal de otros países adopte medidas efectivas. Por ello, frente a riesgos masivos, corresponde a su vez insistir en que se adopten reglas fuertes de protección de datos personales en cada uno de nuestros países, que faciliten el control por las personas.

La responsabilidad de las empresas en casos como el actual tampoco puede dejarse pasar. Ya hay anuncios de demandas civiles y de acciones de agencias administrativas tanto en el Reino Unido como en los Estados Unidos. A ello se suma lo que las propias empresas pueden adoptar como prácticas respetuosas de los derechos de sus usuarias. Que las propias redes sociales digitales reconozcan tales derechos es a la vez una muestra de respeto como una forma de mejorar su propia imagen corporativa. Que las condiciones en que operan los desarrolladores de apps que interactúan con los datos, permitan prevenir el riesgo de abusos. En fin, el involucramiento de personas al formar marcos de interacción, incluyendo a las usuarias, como también de las organizaciones de la sociedad civil que representan sus intereses, para desarrollar y hacer evolucionar conjuntamente las políticas que rigen aspectos fundamentales de las vidas de las personas, es también un paso necesario.

Finalmente, el escándalo adquiere dimensiones de relevancia que son consecuencia del enorme poder que tiene hoy Facebook, cuya base de usuarias (al menos, con cuentas abiertas) es tal que llega a los miles de millones de personas. Una empresa que opera a esa escala sobre la humanidad es evidentemente un foco de atención por la influencia que puede llegar a tener. Poder a esa escala es ejercido apenas por un puñado de compañías, y es necesario abordar alternativas para reducir el riesgo que implica, más allá de la urgencia por reglas sensatas de protección de datos personales. El próximo escándalo está a la vuelta de la esquina, y los riesgos son cada vez más grandes.

Sin lugar dónde esconderse: retención de datos de telefonía en Venezuela

A finales de octubre de 2017 entró en vigencia la providencia administrativa Nº 171 de la Comisión Nacional de Telecomunicaciones de Venezuela, una regulación que, escondiéndose tras el traje de una norma técnica, reviste las características de una ley de retención de datos personales sin haber pasado por los controles legislativos necesarios en la regulación de un derecho humano básico como la privacidad. Durante los doce años anteriores, la retención de datos de telefonía en Venezuela se rigió por la brevísima Providencia Nº 572 del 21 de marzo de 2005, la norma en la que CONATEL estableció la información a requerir en el acto de la contratación de una línea telefónica, creando así un sistema de registro obligatorio de tarjetas SIM, tan normalizado que nadie en el país cuestiona que esta práctica pudiera llevarse a cabo de otro modo. Durante la última década, en Venezuela ha sido obligatorio consignar el documento de identidad, la firma, la impresión dactilar, el nombre completo y el domicilio del contratante para poder acceder a una línea telefónica, móvil o fija, sin haberse establecido jamás parámetros mínimos de protección con respecto a la captación, almacenamiento y manipulación de estos datos.

La providencia administrativa 171 aumenta esta larga lista de datos, los draconianos requisitos del Registro Único de Información Fiscal del contratante, su dirección de correo electrónico y una foto digital de su rostro, tamaño carnet, que debe ser tomada en el sitio de la transacción. Para que un extranjero no residente pueda contratar una línea telefónica debe proporcionar, además de la copia de su pasaporte, su correo electrónico, su firma, huella digital y fotografía, y una factura a su nombre que refleje la dirección en que se hospeda en Venezuela. Además de aumentar la cantidad de datos recabados, incrementa también los plazos de retención de estos datos: de los dos años desde la fecha de obtención (en físico) y tres meses luego de la extinción del contrato (en digital) que establecía la providencia 572, al absurdo y desproporcionado plazo de cinco años después de la finalización del contrato. Esta norma sitúa a Venezuela -junto a Colombia- entre los países con períodos de retención de datos más largos en Latinoamérica. Cabe recordar, por ejemplo, que la ley Nº 25.873 de Argentina, que establecía un plazo de retención de diez años -el mayor en existir jamás en la región- fue declarada inconstitucional justamente por violar los principios de legalidad, necesidad y proporcionalidad. Si bien el período de retención no es, ni remotamente, el único problema de la providencia administrativa 171, es necesario destacar cuán excesivos son los tiempos fijados, siendo que, además, se incide en una falla que es extensiva a la región, en lo que se refiere a la fijación de plazos mínimos para la retención de los datos, pero no de plazos máximos, lo que, en la práctica, genera toda clase de abusos tanto por parte de las autoridades como de las empresas de telecomunicaciones.

Más captahuellas, más datos

Añadiendo al texto apenas un par de palabras, la providencia 171 cambia radicalmente la naturaleza de las bases de datos de usuarios de telefonía en Venezuela: la inmensa cantidad de información que acumulan las operadoras telefónicas ahora debe estar digitalizada, y sus huellas dactilares serán tomadas “mediante un dispositivo analizador o lector biométrico”, generando así bases de datos biométricos redundantes que vienen a sumarse a las bases de datos de los sistemas electorales y alimentarios. En cuanto respecta a las condiciones mínimas de seguridad en el almacenamiento y tratamiento de estos datos, la providencia solo señala que estas condiciones deberán ser definidas por los operadores del servicio y los órganos de seguridad del Estado, despojando así a los usuarios de toda protección a la privacidad de sus datos personales.

Igualmente, la norma crea un registro de números IMEI e IMSI, bajo la denominación de “registro de los abonados”, que en efecto son tres registros que se intersectan: el de los usuarios, el de los números IMEI y el de los números IMSI, cuya combinación permitirá, por ejemplo, cumplir con el requisito de la existencia de un registro histórico sobre la titularidad de una determinada línea telefónica, donde se comprenda el registro de ventas y traspasos.

El código IMEI identifica a un dispositivo en concreto, y en aquellos países donde existe un registro obligatorio, quienes lo impulsan suelen justificar su necesidad bajo la excusa de poder rastrear la red para identificar a la persona que está usando un determinado dispositivo, y bloquear el acceso del usuario al sistema. Por su parte, el número de IMSI (international mobile subscriber identity) identifica a la línea telefónica y es utilizado para determinar la red a la que pertenece el número y en consecuencia, para enrutar las llamadas. El IMSI no está atado a la tarjeta SIM, sino a la línea telefónica. La combinación de ambos, el IMSI y el IMEI, permite a las operadoras de telefonía identificar y localizar con rapidez a un determinado usuario, dispositivo y línea telefónica, que en este caso se encuentra asociado a un conjunto de datos personales del usuario (desde su dirección hasta su rostro).

Así, en la práctica, esta norma crea un sistema de “lista blanca” de registro de IMEI, es decir, los clientes solo podrán usar dispositivos que hayan sido registrados ante la compañía de telecomunicaciones. La providencia establece una serie de plazos para adecuar los sistemas al cumplimiento de estos requisitos: 120 días para adecuar los dispositivos de captación de datos (entiéndase, para implementar lectores biométricos y dispositivos de digitalización de firmas), 120 días más para adecuar las bases de datos correspondientes, y un último plazo de 120 días, tras el cual deberán suspender el servicio a los abonados que no hayan actualizado sus datos.

No conforme con esto, la norma establece la obligación por parte de los operadores de telefonía de llevar registros sobre los servicios de datos (con las direcciones IP de emisión y recepción, la fecha y hora de conexión y las coordenadas geográficas de la misma), de recarga de saldo (a través de tarjetas prepagadas, plataformas bancarias o portales web) y de llamadas y mensajes de texto (fecha, hora y duración de la comunicación, números telefónicos que originan y reciben la comunicación, coordenadas geográficas). En todos los casos se obliga a los operadores a tener esta información “a disposición” de los órganos de seguridad del Estado, sin establecer ningún tipo de control previo o requisito de orden judicial para acceder a ellos, e incluso sin identificar con precisión qué entes o instituciones se encuentran dentro de la categoría de “órganos de seguridad”.

En ocasiones anteriores hemos alertado sobre los peligros de la creciente capacidad de los gobiernos para acumular y manejar datos sobre las comunicaciones de sus ciudadanos, con la excusa de proporcionar una mayor seguridad, y bajo el argumento falaz de que los datos sobre las comunicaciones son menos sensibles que la comunicación misma. Lo cierto es que la suma de datos personalísimos y de metadatos comprendidos en esta serie de registros puede permitir a las autoridades y a los operadores saber más sobre el comportamiento de un usuario que una comunicación aislada, puesto que permite determinar patrones en sus hábitos, e identificarlo sin sombra de duda. Este factor, sumado a la carencia absoluta de protecciones legislativas o técnicas que protejan al usuario de manejos inadecuados de su información personal por parte del personal de las operadoras telefónicas, o por los propios órganos de seguridad del Estado, deja a la población en un estado de precariedad absoluto frente a la tutela de su derecho básico a la privacidad, y por ende de su libertad de expresión, comunicación y asociación.

Metadatos (2017)

Descargar PDF

El #DecretoEspía ordena la recopilación masiva de datos comunicaciones por un periodo mayor a dos años. Aquí te explicamos por qué eso es un atentado a nuestra privacidad.

En la OMC se negocia desconociendo nuestros derechos digitales

La más reciente ronda de negociación de la OMC estuvo marcada no solamente por el intento de incluir nuevas temáticas a la discusión sobre las reglas del comercio mundial. Estuvo además marcada por la exclusión de la sociedad civil del proceso, de forma incluso contraria a la historia del foro. Cerca de 60 individuos de más de 20 organizaciones, incluida Derechos Digitales, vieron cómo su acreditación fue revocada días antes del evento. El gobierno argentino emitió un comunicado esgrimiendo razones de seguridad, acusando a los grupos excluidos de ser disruptivos y violentos, lo que fue recibido con estupor por la comunidad internacional e incluso por las empresas. Lo cierto es que se marginó a estas organizaciones exclusivamente por tener una posición distinta a la del gobierno organizador del evento, lo que no se condice con una sociedad democrática.

Esta exclusión no solo se tradujo en la incapacidad de la sociedad civil para acreditarse, y por tanto participar del evento. El gobierno del presidente Macri llegó al extremo de retener en el aeropuerto de Ezeiza y deportar al activista Peter Tiland y la periodista Sally Burch. Otras organizaciones de la sociedad civil ni siquiera pudieron viajar a Buenos Aires, ya que el gobierno argentino rechazó sus solicitudes de visa sin expresión de causa. Incluso quienes pudieron acreditarse vieron con preocupación cómo el gobierno argentino organizó el evento de tal manera que la prensa y la sociedad civil estuvieran en un edificio, y las delegaciones de los países en otro, a varias cuadras de distancia, dificultando la capacidad de los dos primeros para contactar a los negociadores. Del mismo modo, el hecho de que la sociedad civil no pudiera participar de la ceremonia de apertura y clausura no tiene precedente en rondas pasadas de la OMC.

Todo lo anterior debe servir como un llamado de atención. Hasta hace poco tiempo se argumentaba, incluso desde la sociedad civil, que la inclusión de estos temas a nivel OMC podría ser positivo por el mayor nivel de apertura y participación al interior de este organismos internacional, especialmente en comparación con procesos plurilaterales como TPP, TiSA y NAFTA. Sin embargo, lo que ha sucedido en Buenos Aires ha dejado en evidencia que esta noción está muy lejos de la realidad.

Más allá del bochorno internacional

Una de las novedades de esta ronda de negociación fue el creciente interés de los países desarrollados, agrupados en “Friends of E-commerce for Development” por incluir el comercio electrónico en la agenda de temas que la OMC debe negociar en el futuro inmediato.

Esta propuesta aparentemente inocua debe ser vista con precaución. Por supuesto que nadie se opone a la promoción del comercio electrónico, pero el llamado de estos países a avanzar en la materia no es neutral. Una revisión de los non-papers propuestos basta para darse cuenta que muchas de las disposiciones más polémicas de TPP y TiSA están siendo propuestas como reglas que deben ser adoptadas a nivel global. Entre ellas, la obligación de permitir el flujo transfronterizo de datos, incluidos datos personales, además de reglas para impedir que se exija la revelación del código fuente como política pública, y la prohibición de que se exija a las empresas operar con servidores a nivel local.

Sin embargo, elementos esenciales para la promoción del comercio electrónico, como asegurar el acceso universal a internet y la consagración del principio de neutralidad de la red, brillaron por su ausencia. Todo indica que la promoción del comercio electrónico, al igual que en TPP y TiSA, se limita a aquellos aspectos que van en el interés de las grandes corporaciones.

Lo cierto es que todavía no sabemos cuál será el impacto económico, social e incluso en el carácter de nuestras democracias del hecho que Facebook y Google dominan hasta el 85 % del mercado de la publicidad en línea. Hoy internet se configura como un espacio de producción para el norte global y de consumo para el sur. Las reglas que se están discutiendo en la OMC tienden a mantener ese estado de cosas, y no desafiarlo.

¿Fin a la promesa del multilateralismo?

La falta de resultados de esta ronda de negociación parece haber mermado la confianza de muchos países en que se puede avanzar en materia de comercio en un modelo multilateral. La declaración del USTR, que nadie creería posible hace un par de años, habla de una “nueva era” en OMC, en donde se avanzará en los temas a través de acuerdos entre grupos de países que piensan parecido.

Este esquema no se condice con las reglas mismas de la OMC, constituye una noción peligrosa y que debe ser enfrentada. Luego de que no se lograra el consenso necesario para lograr un mandato de negociación en comercio electrónico, un grupo de 70 países, incluyendo varios latinoamericanos, publicaron una declaración conjunta manifestando que iniciarán trabajo exploratorio en miras a una futura negociación en la materia, y que este grupo estaría abierto a todo país que se quiera unir.

La legitimidad de esta estrategia es cuestionable. La OMC cuenta con órganos establecidos encargados del estudio, discusión y negociación de distintos temas. No le corresponde a un grupo de países declarar que trabajarán en cierta materia de forma paralela, pues les permite avanzar en la materia desde su perspectiva particular y constituye una presión indebida sobre el resto de los países que forman parte de un organismo internacional que opera por consenso.

Panorama a futuro

Esta vez no se alcanzó el consenso necesario para iniciar negociaciones en materia de comercio electrónico. Sin embargo, la declaración conjunta de países desarrollados muestra que es probable que la sociedad civil deba mantenerse alerta sobre cómo se aborda esta materia al interior de la OMC.

La capacidad de hacer escuchar nuestra voz en estos asuntos, que puede tener profundos y duraderos efectos en cómo nos desenvolvemos en línea, dependerá de que no se repita el autoritarismo con que Argentina abordó la organización de esta ronda de negociación. Es de esperar que la próxima ministerial incorpore criterios de transparencia y participación, y asegure que distintos actores críticos puedan ser tomados en consideración en esta instancia.

Mientras tanto, los esfuerzos de la sociedad civil deberán multiplicarse para mantenerse alerta de lo que se discute al interior de la OMC, al mismo tiempo que se opone activamente a las reglas que vulneran nuestros derechos en los procesos de TPP, TiSA y NAFTA.

Gobierno de Chile busca aumentar su capacidad de vigilancia, aunque sea inconstitucional

Esta semana, gracias a la labor del periodismo de investigación, la ciudadanía ha podido tener acceso al contenido del decreto que modifica el reglamento de interceptación de comunicaciones, que hasta el momento se había mantenido en secreto. Estas revelaciones son de la mayor gravedad y merecen la condena de toda la ciudadanía.

¿Qué dice el decreto?

La nueva normativa pretende modificar la obligación que tienen las compañías de retener los datos de las comunicaciones que se realizan en Chile, extendiendo el período de almacenaje de uno a dos años.

Igual de preocupante que la extensión del período de retención, resulta el hecho que el decreto pretenda aumentar -en tipo y número- los datos sobre las comunicaciones que son almacenadas por las compañías de telecomunicaciones, ampliando además este registro a todos los tipos de comunicaciones que se realizan en Chile, incluyendo:

  • Datos de titular.
  • Llamadas que realiza.
  • Con quiénes se comunica.
  • Los sitios que visita en internet.
  • Tráfico de dato y voz de las comunicaciones.
  • Datos de las comunicaciones a través de sistemas de mensajería, como WhatsApp.
  • Ubicación georeferenciada de todos los clientes.

Se suele argumentar que todos los datos anteriormente mencionados no son sensibles, puesto que no dan cuenta del contenido de las comunicaciones, sino que son datos sobre las comunicaciones; solo son “metadatos”.

Sin embargo, existe abundante evidencia de que los metadatos pueden decir incluso más que el contenido de las comunicaciones, ya que permiten realizar un análisis de los patrones de comportamiento del afectados, sus hábitos e incluso predecir su comportamiento futuro. De ahí que sea discutible la legitimidad de las medidas que obliguen a establecer una retención general de metadatos (de todos los habitantes del país), más aún cuando esta práctica ha sido declarada ilegal en otras latitudes.

El decreto además cuenta con un artículo que prohíbe a las compañías de telecomunicaciones la implementación de cualquier tipo de tecnología que pudiese entorpecer la entrega de esta información, lo que puede implicar un obstáculo importante para la implementación del cifrado de las comunicaciones.

No solo eso: el decreto establece la posibilidad de exigir a cualquier persona, jurídica o natural, almacenar datos comunicacionales, mediante una orden judicial. Eso significa, por ejemplo, que se le podría pedir a un medio de comunicación que almacene los datos de las comunicaciones de sus periodistas con sus fuentes, lo mismo respecto a una universidad con sus estudiantes o una organización de activistas con sus miembros.

Como ha señalado el (ex) Relator Especial para la Libertad de Expresión de Naciones Unidas, Frank La Rue, «Las leyes nacionales de conservación de datos son invasivas y costosas, y atentan contra los derechos a la intimidad y la libre expresión (…) aumentando considerablemente el alcance de la vigilancia del Estado, y de este modo el alcance de las violaciones de los derechos humanos”.

El decreto es inconstitucional

Actualmente, tanto el período como la naturaleza de los datos comunicacionales que las empresas deben almacenar se encuentran regulados en el artículo 222 del Código Procesal Penal. Ahí se establece, de forma expresa, que dicha retención se realizará por un período de un año y se limita únicamente a los números IP de las conexiones que realicen sus abonados. Mediante este decreto, el Gobierno pretende regular materias propias de ley, saltándose la discusión democrática que exigen aquellas materias que impactan el ejercicio de derechos fundamentales.

Nuestro ordenamiento jurídico reconoce que ciertos actos del gobierno pueden tener un impacto en el ejercicio de derechos fundamentales. Por lo mismo, nuestra Constitución limita las facultades del poder político, exigiendo que este tipo de medidas solo puedan ser reguladas por el legislador, una entidad independiente del Poder Ejecutivo y sujeta a control democrático.

De espaldas a la ciudadanía

Resulta preocupante que una medida tan sensible y con consecuencias tan graves se haya gestado sin consulta a expertos académicos, a la comunidad técnica ni a la sociedad civil. De hecho, a la “mesa técnica” de trabajo solo fueron convocadas las empresas de telecomunicaciones.

Por otro lado, el Gobierno parece borrar con el codo lo que escribe con la mano. A pesar de las declaraciones del subsecretario Mahmud Aleuy, resulta evidente que el contenido de este decreto es incompatible con los lineamientos de la recién estrenada Política Nacional de Ciberseguridad, que entre otras cosas, valora la implementación de tecnología de cifrado, establece la necesidad de asegurar el debido proceso y considera que la vigilancia masiva es una vulneración a los derechos fundamentales.

Igualmente contradictorio resulta que la presidenta Bachelet haya presentado hace algunos meses una nueva Ley de Protección de Datos Personales, puesto que obliga a las empresas almacenar una cantidad enorme de datos sensibles de sus clientes y mantenerlos a “disposición del Ministerio Público y de toda otra institución que se encuentre facultada por ley para requerirlos”, sin exigir expresamente que su entrega esté sujeta a la existencia de una orden judicial previa.

Pasos a seguir

Actualmente, el nuevo reglamento está firmado por la presidenta Michelle Bachelet y se encuentra en la Contraloría General a la espera de la respectiva toma de razón.

Que el gobierno busque aumentar su capacidad de vigilancia de forma inconstitucional reviste la mayor gravedad y significa un duro golpe al estado democrático de derecho. Ante esto, no queda más que la ciudadanía completa se una y exija el retiro del decreto.

Biometría: tecnosolucionismo a costa de nuestros derechos

El problema es cuando su adopción se transforma en una especie de mantra irreflexivo que, como hemos dicho con anterioridad, interfiriere con nuestra capacidad para mantener una saludable distancia crítica a la hora de pensar políticas públicas.

Este tecnosolucionismo es particularmente peligroso cuando se trata de la adopción de tecnología de control y vigilancia, que siempre requiere una ponderación con otros derechos por su naturaleza intrusiva y el efecto inhibitorio que puede producir en términos de privacidad y libertad de expresión.

Es por ello que resulta preocupante la liviandad y candidez con que las autoridades chilenas han propuesto la implementación de control biométrico para solucionar (o intentar solucionar) diversas temáticas. Las características físicas constituyen un dato sensible de acuerdo a nuestra legislación, y por tanto, su recolección, almacenamiento y tratamiento están sujetos al máximo nivel de protección; su utilización debería estar sujeta a casos excepcionales donde no exista una alternativa menos lesiva para alcanzar los los fines propuestos. Sin embargo, en lo que va del año, ya han sido tres iniciativas las que buscan implementar controles biométricos vulnerando los derechos fundamentales de las personas.

Cámaras biométricas para combatir delitos menores

El pasado 23 de junio la Municipalidad de Las Condes, la misma que ha implementado drones y globos de vigilancia, anunció que implementará un plan de cámaras de control biométrico para combatir el delito en esa comuna.

Esta medida sin precedente merece ser rechazada. Jurídicamente, las municipalidades no cuentan con las facultades legales para recolectar, almacenar, tratar o ser responsables de una base de datos sensibles como son los datos biométricos. Al tratarse de un dato sensible, debe existir una habilitación legal expresa por parte de la legislación para la creación de este tipo de bases, no bastando una mención genérica a que las municipalidades cuentan con facultades para implementar medidas para combatir el crimen.

Por otro lado, surgen cuestionamientos respecto de cómo la Municipalidad pretende construir esta base de datos, a partir de la cual creará “listas negras” de personas que transitan por la comuna. Qué criterios se utilizarán, quienes tendrán acceso a esa base de datos, cuales serán los criterios de eliminación y de seguridad de la misma son todas preguntas que no han recibido respuesta. Estas consideraciones no son casuales, pues existe evidencia de que la biometría produce un porcentaje elevado de falsos positivos, y que eventualmente puede prestarse para agravar sesgos raciales.

Con esta medida, el alcalde Joaquín Lavín sigue liderando la preocupante tendencia de exigirle a los ciudadanos que sacrifiquen su derecho a la privacidad y la protección de sus datos personales a cambio de una vaga promesa de seguridad que no está basada en la evidencia, ni en una correcta ponderación con otros derechos fundamentales.

Fiscalización biométrica de la entrega de almuerzos infantiles

En la línea de este tecnosolucionismo, la Junta Nacional de Auxilio Escolar y Becas (JUNAEB) elaboró un proceso de licitación para el servicio de entrega de raciones alimenticias al interior de colegios. A fin de cumplir un dictamen de la Contraloría General de la República, que exigió criterios de certificación en la entrega de beneficios, la JUNAEB decidió establecer como requisito en la licitación, la implementación de un control biométrico a los estudiantes beneficiarios.

Esta medida es inaceptable por múltiples razones. En primer lugar, estamos ante un caso donde los datos recolectados son sensibles en un doble sentido, por ser datos biométricos y por tratarse de menores de edad. Como ha señalado recientemente la Corte Suprema, la recolección de dichos datos debe estar sujeta a la autorización expresa, informada y por escrito de los padres.

Por otro lado, la exigencia de la Contraloría hace referencia a la cantidad de raciones entregadas. Por lo mismo, no es necesario identificar a los estudiantes beneficiarios. En otras palabras, la JUNAEB está buscando someter a menores de edad a control biométrico para solucionar un problema que en realidad no requiere identificar a los menores.

Por último, cabe preguntarse cómo responderá la entidad cuando los padres de los menores razonablemente se nieguen a entregar la autorización para que sus hijos sean objeto de este control intrusivo, desproporcionado e innecesario. Negar un beneficio social a estudiantes vulnerables cuyos padres no estén dispuestos a entregar información personal sensible de sus hijos sería a todas luces un apremio ilegítimo.

Por lo anterior, la JUNAEB debe tomar la sentencia de la Corte Suprema como oportunidad para reestudiar su programa y eliminar los criterios de control biométrico de la licitación de entrega de raciones a estudiantes menores de edad.

Control biométrico en el transporte público

El Ministerio de Transportes, el mismo que ha empujado el DICOM del Transantiago y que busca tener la facultad administrativa para bloquear el DNS de plataformas tecnológicas, ha anunciado que se encuentra estudiando implementar reconocimiento facial en el proceso de fiscalización del pago del transporte público.

Lo anterior significa nada menos que someter a los cinco millones de habitantes de Santiago a un sistema de vigilancia constante, permanente y desproporcionado, que no solo almacenaría las imágenes de todos los usuarios del transporte público, sino que analizaría sus rasgos faciales para compararlos con una base de datos cuyos criterios de elaboración son poco o nada claros.

Al igual que en el caso de la Municipalidad de Las Condes, el Ministerio de Transportes no cuenta con las facultades legales para administrar una base de datos de esta naturaleza, y la implementación de un sistema de control biométrico de esas características constituiría una vulneración inaceptable de los derechos fundamentales de los usuarios del transporte público.

Conclusión

Tanto la academia como la sociedad civil internacional han levantado la voz para advertir el efecto que el control biométrico puede significar para el ejercicio de los derechos fundamentales de las personas. Sin embargo, el gobierno ha decidido hacer caso omiso de estas consideraciones y optado por implementar políticas vistosas, que no han demostrado su eficacia y que ponen en riesgo los derechos de las personas.

Es momento que el gobierno y las autoridades concentren sus esfuerzos en implementar políticas basadas en evidencia, que cuenten con una correcta ponderación de los derechos en juego y cuyo beneficiario no sea la emergente industria de la vigilancia, sino la calidad de vida de la ciudadanía.

Protección de datos en América Latina, urgente y necesaria

Hace pocos días concluyó en Santiago de Chile el XV encuentro de la Red Iberoamericana de Protección de Datos (RIPD), grupo de trabajo que desde su creación en 2003 reúne a representantes de agencias gubernamentales iberoamericanas, con el objetivo de avanzar en la creación de marcos normativos para la protección de datos personales.

Durante la reunión se debatieron temas relacionados con el ejercicio efectivo de la privacidad, tales como el derecho a la desindexación, el uso de tecnologías de vigilancia, las implicancias de la internet de las cosas y el uso de big data. Además, la RIPD aprobó y presentó oficialmente los denominados “Estándares de Protección de Datos de los Estados Iberoamericanos”, directrices que servirán de referencia para futuras regulaciones o para la revisión de las ya vigentes en países Iberoamericanos.

Y es que en nuestra región, la protección efectiva de datos personales no es una realidad todavía. Muchos países carecen totalmente de un marco regulatorio general en la materia; varios han reconocido el habeas data en sus Constituciones; otros han regulado el acceso a la información pública o han otorgado algún grado mínimo de protección a través de normativas sectoriales como derecho del consumo, normativa financiera o de salud, entre otros. Países como Brasil y Panamá discuten por estos días las que serán sus primeras normativas generales de protección de datos personales; otros como Argentina y Chile inician importantes reformas a sus estándares desactualizados de protección.

Esa fragmentación total en los niveles de protección de datos personales nos presenta una tarea urgente de armonización para dotar a los habitantes de nuestra región con estándares de protección adecuados al ejercicio de sus derechos y al respeto de su dignidad. Por eso resulta tan valiosa una iniciativa como esta, en la que se promueve una discusión multisectorial (público, privado y social) sobre el nivel adecuado de protección de datos personales en un contexto democrático y global.

Su valor radica, además, en la posibilidad de invitar a la ciudadanía a tomar un rol activo en la defensa de su derecho a la privacidad, en un contexto donde la tecnología ha avanzado más rápido que los marcos jurídicos encargados de orientar su uso con respeto a los derechos fundamentales. Finalmente, permiten reclamar a los estados reconocer y acatar sus compromisos internacionales en materia de derechos humanos relativos a la protección de datos personales.

Ante este favorable panorama, sin embargo, vale la pena hacer un llamado de cautela a los países latinoamericanos, frente a nuestra particular realidad política, económica, social e histórica, la cual no debe resultar indiferente a la hora de diseñar y adoptar una regulación de protección de datos personales.

La influencia de la regulación europea en materia de diseño del marco normativo para la protección de datos personales en América Latina no es una novedad, ya que desde el inicio tal inclinación se ha dejado sentir, en parte motivado por la afinidad de tradiciones legales, en parte porque Europa se ha encontrado a lo largo del tiempo consistentemente a la vanguardia de la protección de los datos personales. Pero también motivado por necesidades de orden económico, específicamente para mantener la posibilidad de prestar servicios a empresas europeas.

La normativa europea pareciera un modelo a seguir para América Latina. Una importante consecuencia de lo anterior es el impacto que para nuestra región puede llegar a tener la más reciente actualización de la normativa europea que resulta en un nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigencia en mayo de 2018. A este respecto debe considerarse que el RGPD fue fruto de una negociación política de más de 4 años en la Unión Europea, y que sus particularidades no escapan a las complejidades de una Unión de países de las más diversas tradiciones jurídicas, así como realidades políticas, económicas y sociales. Esto es clave a la hora de analizar las consecuencias que para América Latina tendría el hecho de buscar su armonización regulatoria en una réplica de la regulación europea.

No quiero poner en duda que mucho de la regulación europea puede servir de materia prima a la discusión en la región, pero en ningún caso sería saludable importar el modelo. La urgencia en la implementación o actualización de la normativa de protección de datos personales en América Latina debe ser compatible con la protección adecuada de la libertad de expresión y el acceso a la información en nuestros países.

Lo que sí debe resultar inspirador del modelo europeo es la posibilidad la armonización normativa para la garantía del pleno ejercicio de los derechos y el florecimiento de la actividad económica en un contexto de reglas claras y protectoras de las personas que habitan una región. Esto cobra particular relevancia en una economía digital globalizada donde los servicios tecnológicos ofrecidos a través de Internet -y en el mundo físico- obedecen a estrategias globalizadas de compañías que operan sin límites nacionales en su oferta de productos y servicios.

Mientras América Latina carezca de estándares adecuados para la protección de datos personales estaremos renunciando tanto al pleno ejercicio de nuestros derechos, como a obtener una participación justa de los beneficios económicos que se derivan de la economía digital, condenándonos a la adhesión a modelos de consumo y ejercicio de derechos impuestos desde otras latitudes.