Temática: Protección de datos

Registro público de evasores del Transantiago: más problemas que soluciones

A mediados de 2015, el Gobierno chileno  ingresó al Senado un proyecto para modificar la Ley de tránsito, con el fin de reducir la creciente evasión en el pago del transporte público, que amenaza con convertirse en un serio problema, no solo para la autoridad sino también para los usuarios, que deben enfrentar las sucesivas alzas en las tarifas por dicho motivo. Una de las medidas contenidas en el  proyecto es la creación de un registro público de evasores del Transantiago, a cargo del Ministerio de Transportes y Telecomunicaciones y al que tendrían acceso las personas naturales.

Se trata de una medida altamente controversial: más allá de los motivos que alguien pudiese esgrimir para evadir el pago del transporte, crear un registro público implica un tratamiento de datos personales altamente gravoso, cuyos potenciales efectos pueden ser muy nocivos. En un país como Chile, donde el estándar de protección de datos personales es reconocidamente débil, una medida de registro como esta puede ser utilizada para un amplio rango de discriminaciones, partiendo con el acceso al mercado laboral y financiero.

En ese sentido, ninguna medida que se implemente para proteger el registro de infractores y sus sanciones resulta suficiente para asegurar que no se creen, a partir de este, bases de datos paralelas. Es preciso tener en cuenta que mientras exista un registro de carácter público regido por la actual Ley de datos, será considerado una “fuente accesible al público”, un concepto legal que en Chile abre un flanco prácticamente incontrolable al uso de datos personales y que da la posibilidad a que cualquier interesado recolecte esa información, sin el consentimiento de su titular. Así, de aprobarse el proyecto, es claro que dichas bases paralelas van a surgir y serán difícilmente fiscalizadas, en perjuicio directo de los titulares de datos, quienes difícilmente podrán salir de todas ellas, aun cumpliendo las sanciones a las que han sido sometidos.

Por otra parte, sin profundizar en los aspectos socioeconómicos del transporte público, es importante señalar que el de la ciudad de Santiago es uno de los más caros de Latinoamérica y quienes más lo utilizan pertenecen a los sectores económicos de ingresos medios y bajos, en una ciudad que es muy populosa, pero también muy segregada y desigual. Esto supone que quienes reciben menos remuneración deben destinar una parte importante de sus ingresos para financiar su traslado por la capital, en un servicio cuya calidad ha sido controvertida desde los inicios del sistema.

En teoría, esta es una de las razones por las cuales la evasión sigue al alza. Y de ser ella efectiva, la implementación de un registro de evasores daría lugar a la creación de un verdadero y discriminatorio “Dicom de los pobres”, en alusión al boletín electrónico que da cuenta de la información comercial de los chilenos, de uso bastante extendido en nuestros días.

Finalmente, es necesario decir algo acerca de la manifiesta desproporcionalidad de esta medida, en relación con su objetivo. El valor de un pasaje en el transporte público, hoy en día, se acerca a los $700 pesos chilenos, equivalentes a algo más de un euro. Con esta medida, al evadir el pago de su pasaje de bus, las personas se someten a que sus datos sean registrados en una bases de datos pública, lo que a su vez puede tener efectos en las posibilidades de insertarse en el mercado laboral o en el acceso a créditos. Esto supone un círculo vicioso que no tiende a solucionar los problemas sino a aumentar cada vez más los costos de una infracción mínima.

Ciertamente, aunque es totalmente válido el interés por controlar la evasión en el pago del transporte público, ¿este fin justifica la utilización de cualquier medio? La respuesta es negativa. No puede aprobarse una medida cuyo resultado puede ser la estigmatización, cuando ni siquiera se ha realizado algún estudio sobre su potencial efectividad. Incluso en un mejor escenario para la protección de datos, es inaceptable que la autoridad impulse una medida discriminatoria de estas características.

El anonimato nos defiende

Defendamos el anonimato es una invitación a mirar de frente un derecho fundamental que muchas veces pasa desapercibido: la posibilidad de expresarnos, organizarnos y participar sin miedo. En un contexto de vigilancia masiva, discursos de odio y violencia digital, el anonimato se convierte en una herramienta vital para periodistas, activistas, personas LGBTIQA+, sobrevivientes de violencia y cualquiera que necesite un espacio seguro para alzar la voz.

En este sitio encontrarás por qué importa, quiénes lo necesitan y cómo protegerlo en tu vida cotidiana, además de materiales descargables con recomendaciones prácticas para resguardar tu identidad en línea. Porque defender el anonimato es también defender nuestras libertades y la diversidad de voces que hacen más fuerte la democracia.

Conoce el proyecto

Perú pagó USD $22 millones para espíar las comunicaciones de sus ciudadanos

En América Latina, la industria de la vigilancia vive un gran momento. Cada vez son más las empresas que venden software espía a los gobiernos de la región, sin que existan regulaciones o contrapesos adecuados para controlar su adquisición y uso. En teoría, el objetivo de sus productos es el “combate al delito y la delincuencia organizada”; en la práctica, se espían ilegalmente las comunicaciones privadas de miles de ciudadanos, amenazando los derechos a la privacidad, libertad de expresión y opinión.

Recientemente, Associated Press (AP) publicó un reportaje que expone cómo el Gobierno de Perú pagó 22 millones de dólares a la empresa Verint por un software de vigilancia. La compañía israelí-estadounidense además está presente en Brasil, Colombia, Ecuador y México. Según los documentos publicados, “Proyecto Pisco” (el nombre del programa, que hace referencia al popular licor peruano) permite que los gobiernos intercepten llamadas telefónicas, mensajes de texto, correos electrónicos, chats e historial de internet de los usuarios; Puede rastrear hasta cinco mil personas y grabar hasta trescientas conversaciones simultáneas. Por si fuera poco, la Dirección Nacional de Inteligencia de Perú (DINI) también autorizó el pago de SkyLock: otro producto de Verint que permite ubicar y rastrear no solo cualquier teléfono dentro del país, sino en el mundo. Cuatro compañías telefónicas peruanas –Movistar, Claro, Entel y Viettel— firmaron un pacto con el Gobierno para cooperar con dicha geolocalización al interior del país, pero con su alcance, las posibilidades para el abuso se incrementan.

Es cierto que la ley peruana establece que las comunicaciones privadas solo pueden ser incautadas, interceptadas o intervenidas con orden judicial [Ley 29.733, artículo 13.4]. Sin embargo, este requisito no existe para la localización en tiempo real [Decreto Legislativo 1182]. Además, si el espionaje es por naturaleza secreto, ¿cómo podemos garantizar que no sea abusado por las instancias de gobierno? ¿De qué forma comprobar que es efectivo para combatir delitos? ¿Cómo saber que no se utiliza en contra de opositores políticos, periodistas o activistas?

Las dudas son razonables al mirar la historia reciente de Perú. Mecanismos del mismo estilo fueron usados anteriormente para vigilar a la exvicepresidenta distanciada del Gobierno, a policías y a periodistas. Sin medidas adecuadas que garanticen una mínima transparencia, mecanismos de notificación y rendición de cuentas, la violación a los derechos a la privacidad y libertad de expresión de los ciudadanos es latente.

Y como hemos dicho, no se trata de una primera incursión de la empresa. Verint se une a la creciente lista de empresas que venden software de espionaje en la región, como Hacking Team, Packrat y Fin Fisher. Desde 2006, en México esta compañía implementó una plataforma de vigilancia financiada por Estados Unidos que puede interceptar, analizar y retener todo tipo de información en cualquier sistema de telecomunicaciones. En Colombia, Verint, a través de su subsidiaria Curaçao, ha sido la empresa responsable del desarrollo de tecnología de vigilancia masiva. En la ciudad brasileña de Nitero, Verint vendió doscientas cámaras de seguridad y equipo para monitorear el audio y redes sociales de las personas. En el marco de las crecientes actividades de vigilancia por los Juegos Olímpicos, dicha iniciativa es preocupante. Mientras tanto, en la ciudad de Guayaquil en Ecuador, hay más de ochocientas cámaras que, según la propia empresa, pueden inclusive recoger datos biométricos.

El espionaje de comunicaciones realizado de forma masiva merece el más enérgico rechazo, como una conducta ilegal bajo el derecho internacional de los derechos humanos, por ser desproporcionada e innecesaria. Sin embargo, el marco normativo para regular la adquisición y el funcionamiento de estas tecnologías es claramente insuficiente. Con los marcos actuales, es muy poco lo que se puede hacer para garantizar que dicho equipo de seguridad o software para “combatir el crimen” no será efectivamente utilizado para violar derechos humanos y perseguir a disidentes.

Queda claro que los gobiernos de América Latina están dispuestos a desembolsar grandes cantidades de dólares para asegurar su capacidad de vigilancia. La impunidad y falta de regulación hacen que este lucrativo negocio crezca, a expensas de los ciudadanos, que como contribuyentes al erario público financian a la industria que facilita la denegación de sus derechos.

TiSA: un nuevo mega tratado económico que sigue el modus operandis del TPP

El Acuerdo en Comercio de Servicios, TiSA por sus siglas en inglés, es un tratado multilateral en vías de negociación entre 23 países, incluyendo a Estados Unidos y la Unión Europea.  En América Latina están participando Colombia, Costa Rica, México, Panamá, Perú, Paraguay y Chile. El objetivo del tratado es liberalizar el comercio de servicios, como banca, salud, comercio electrónico y transportes a nivel mundial. Las similitudes con el TPP son evidentes: ambos son grandes tratados multilaterales que buscan promover el comercio internacional yendo más allá de la mera disminución de aranceles, homogeneizando la regulación de áreas sensibles de los países involucrados.

El paralelo va más allá: ambos procesos responden a una frustración por parte de las naciones más desarrolladas por el estancamiento de los esfuerzos por avanzar en la liberalización del comercio al interior de la comunidad internacional. Como DIRECON, el órgano negociador de la Cancillería chilena,  explica en su sitio web, TiSA se presenta como una oportunidad para avanzar en mejores reglas y compromisos en el área de los servicios, ya que luego de una década desde el lanzamiento de la Ronda de Doha, esta agenda se encuentra estancada al interior de la OMC.

Este estancamiento se ha producido, en parte, por el aumento relativo de poder geopolítico de países en desarrollo como Brasil, Rusia, India, China y Sudáfrica (también conocidos como BRICS). Esto les ha permitido, en los últimos años, presentarse como un verdadero contrapeso a los países desarrollados como Estados Unidos y Europa en instancias internacionales, como la OMC. Los tratados multilaterales comerciales permiten disminuir el peso relativo de estos países y, a la vez, evitar los costos políticos que conlleva negociar estas materias en foros relativamente más transparentes, como los organismos internacionales.

Del mismo modo, TPP se presentó como una oportunidad para Estados Unidos y Japón para homogeneizar áreas regulatorias sensibles, como empresas públicas, propiedad intelectual y servicios financieros entre los países de la Cuenca del Pacífico, con la exclusión del único país capaz de presentarse como un contrapeso a esa agenda: China.

Por otro lado, la similitud más importante entre los dos tratados es, sin duda, el secreto en que se han desarrollado sus procesos de negociación. Lejos de los estándares que deberían acompañar la toma de decisiones en una democracia del siglo XXI, tanto la negociación del TPP como la de TiSA se ha desarrollado entre cuatro paredes y de espalda a la sociedad. De mantenerse el secreto sobre la negociación del TiSA (ya es muy tarde para el proceso de TPP), se sentará un peligroso precedente; uno en donde la forma en que los países tomarán decisiones claves en áreas sensibles, propias de ley interna, será a través de tratados de carácter corporativo, en que el interés primordial es el de las grandes empresas de lobby, en desmedro de la capacidad que tiene la población, la sociedad civil y la academia de participar en la gestación de sus propias leyes.

TiSA e Internet ¿Qué sabemos hasta ahora?

En lo relativo a derechos en el entorno digital, las disposiciones más problemáticas están concentradas en el anexo de Comercio Electrónico, el cual que fue filtrado el mes pasado por Wikileaks. En lo sustantivo, la mayoría de las disposiciones son similares a las contenidas en el TPP, incluyendo el requisito de que cualquier política pública que resguarde el interés general no se pueda interpretar como un “obstáculo encubierto al gobierno”, supeditándose, en la práctica, los derechos fundamentales a los dictámenes del comercio internacional.

En lo relativo al derecho a la privacidad de las personas, el tratado no contiene un compromiso sustantivo y obligaciones robustas relativas a la protección y transferencia transfronteriza de datos personales. Solo se remite a que los países propendan a entregar un nivel similar de protección a los datos personales, en comparación al que gozan en su país de origen.

En neutralidad de la red, es observable un texto igual de descafeinado que el de TPP. No solo eso, la inclusión de la palabra “no discriminatorio” para describir la forma en que debe tratarse el tráfico en internet es resistido por Estados Unidos y la Unión Europea.

Finalmente, la sección sobre Acceso al Código Fuente también da razones de preocupación. Al igual que en TPP, el TiSA pretende prohibir que los países exijan la liberación del código fuente como requisito para la importación y comercialización de software comercial. Esta disposición evidentemente no beneficia el licenciamiento bajo código abierto de software y puede, eventualmente, entorpecer políticas públicas futuras relativas al mismo.

En TiSA todavía no se encuentran consolidadas las excepciones contenidas en TPP, el cual garantiza que lo contenido en dicho artículo no impedirá que los países exijan la apertura del código fuente de los programas para cumplir con regulaciones internas o que la liberación del código sea objeto de las cláusulas contractuales entre privados.

Por otro lado, el gobierno de Chile ha propuesto una nota al pie que busca que nada en lo contenido en el artículo mencionado se pueda interpretar como contrario a la utilización de licencias abiertas de software libre. Si bien esto parece muy positivo, y sería un avance se reflejarse en el texto final, lo cierto es que hasta el momento Chile es el único país en respaldar esta nota.

Los derechos de los usuarios: el gran ausente

Como han señalado otras organizaciones de la sociedad civil, lo que brilla por su ausencia en TiSA son disposiciones robustas que busquen resguardar los derechos de los usuarios en temas como protección de datos personales, libertad de expresión y neutralidad en la red. Esta ausencia no nos debería sorprender, ya que la forma en que se están negociando estos tratados, que tienen alto impacto en temas relacionados con derechos humanos, está diseñada para empujar los intereses corporativos de las empresas de lobby, en desmedro de los intereses del público.

Es momento de que los gobiernos caiga en cuenta que negociar tratados de libre comercio de regulan áreas que afectan el ejercicio de derechos fundamentales no puede seguir realizándose en foros opacos, poco transparentes y antidemocráticos. Una democracia del siglo XXI exige que la discusión de estos temas se haga de forma abierta y transparente.

TiSA en Chile: El cuarto adjunto que no es cuarto adjunto

En Chile, el “cuarto adjunto” de TiSA, al igual que el de TPP, ha sido presentado por el Gobierno como un espacio de participación cuyo objetivo despejar las dudas y resquemores que ha producido el hecho de que este tratado también se negocie en secreto.

Sin embargo, no ha existido un cambio cualitativo entre este cuarto adjunto y el anterior; simplemente se busca repetir la receta, esta vez para TiSA. Por lo mismo, las mismas críticas que realizamos al cuarto adjunto de TPP son aplicables al cuarto adjunto de TiSA.

En efecto, lo que el Gobierno presenta como “cuarto adjunto” no es verdadero cuarto adjunto. El término proviene de, literalmente, el cuarto adyacente a donde se está produciendo la negociación. De tal forma, los negociadores pueden salir del lugar donde se está produciendo la negociación y recibir retroalimentación de las partes interesadas. Un verdadero cuarto adjunto es, por definición, una instancia de incidencia.

En contraposición, el cuarto adjunto del Gobierno es una instancia de mera información. En donde los negociadores se limitan a informar sobre lo ocurrido en la negociación pasada, pero no existe una real voluntad de que los participantes sean parte de la posición que Chile llevará a las futuras rondas de negociación.

Lo que la Corte Suprema no comprende sobre los globos de televigilancia

Paula Jaramillo & Pablo Viollier

La Corte Suprema de Chile finalmente rechazó la acción de protección para terminar con la práctica de vigilancia masiva mediante globos-cámara en las comunas de Las Condes y Lo Barnechea. Al mismo tiempo, la sentencia establece varios requisitos que resultan muy interesantes de estudiar. Desde ya, reconoce que estas cámaras son capaces de atentar contra los derechos a la privacidad y a la inviolabilidad del hogar, estableciendo algunas medidas destinadas a contener, en parte, esta invasiva tecnología.

Lo primero es que, lo resuelto por el máximo tribunal parece representar un casi nulo avance respecto del estado inicial en que se encontraba el asunto. Ello porque los globos siguen en el lugar en que estaban ubicados, alterando la vida diaria de cientos de personas que deben vivir bajo la mirada de un ojo electrónico de alto alcance, desconociendo quién está al otro lado de la cámara grabando y qué se está haciendo exactamente con esas imágenes.

Globos vs. cámaras de control de tránsito

En el análisis de las consideraciones que llevaron a la Corte a decidir, destaca el razonamiento sobre la importancia de la seguridad ciudadana y cómo las cámaras de vigilancia serían una herramienta idónea para ese fin.

Lamentablemente el fallo no distinguió –tal como sí lo hicimos reiteradamente en nuestras presentaciones y alegatos– que las cámaras instaladas a unos cuantos metros del suelo no resultan en absoluto comparables con las de control de tránsito. Para los globos, la altura cercana a los 150 metros le dan una capacidad de visión sin igual, con un nivel de detalle inédito aportado por la resolución de los dispositivos de grabación, que exceden con creces a las de las cámaras de control de tránsito o aquellas dispuestas en las calles y establecimientos comerciales para seguridad. Además, ni siquiera se menciona que en estos últimos dos casos existen al menos unas escuetas normas que buscan resguardar, aunque mínimamente, la privacidad de las personas que pudieren verse afectadas.

En este respecto, la Corte parece haberse apoyado más en una situación de hecho –que Santiago ya está plagado de cámaras de otra naturaleza y que ilegalizar unas supondría prohibir otras– que en las normas jurídicas que las regulan. Una defensa del estado de los hechos, más que del estado de derecho.

Privacidad en el espacio público: reconocida, pero no defendida

En el caso de las cámaras adosadas a los globos, y a diferencia de las cámaras de tránsito, hoy en día no existe regulación alguna que vele por la privacidad de las personas sujetas a vigilancia, salvo unas escuetas cláusulas contractuales a las que se encontrarían sujetos los empleados privados que operan el sistema, tal como ya lo había señalado expresamente, y con preocupación, la Corte de Apelaciones.

Sin embargo, el fallo opta por reunir todos los sistemas de videovigilancia situados en espacios públicos bajo un paraguas común, para indicar que allí “no puede pretenderse una mayor expectativa de privacidad” (considerando octavo). Dicha conclusión, a nuestro juicio, aporta muy poco a la discusión actual respecto del alcance de a defensa de nuestra privacidad: parte de la esencia de dicho derecho supone que cuando nos sentimos observados, cambiamos nuestro comportamiento. Si supiéramos que nuestras conversaciones en la calle pueden ser accedidas por terceros habría temas que no tocaríamos y detalles que seguramente no revelaríamos. Más aún cuando no hay certeza de quién es el observador y cuáles son su responsabilidades y límites en el ejercicio de tal actividad.

A eso apunta la razonable expectativa de privacidad en el espacio público: no se trata de no ser jamás grabado (lo que claramente parece un imposible en la actualidad), sino de no ser vigilado bajo condiciones que no otorguen garantías mínimas al sujeto observado.

Más adelante, al referirse a la privacidad, el mismo fallo reconoce que la capacidad o alcance de la tecnología utilizada podría ser lesiva de ese derecho, reconociendo expresamente que “… no existe suficiente información de cómo se controlan los datos que registran las cámaras de seguridad” (considerando undécimo) y “[q]ue la actividad de video-vigilancia implementada por la Municipalidad de Las Condes y la Municipalidad de Lo Barnechea no presenta limitaciones que restrinjan los mecanismos que permitan captar, grabar y almacenar imágenes, por lo que el elemento espacial, esto es, el lugar que será grabado, que podrá ser un espacio público o privado dada la ubicación de las cámaras y su capacidad de monitoreo en 360 grados, adquiere suma importancia” (considerando duodécimo).

Para concluir, así de tajante, en el considerando décimo cuarto que “… atendidas las particularidades del sistema de televigilancia que ha sido instalado en zonas preeminentemente residenciales, no cabe sino aceptar que quienes habitan en su radio de acción puedan sentirse observados y controlados, induciéndolos a cambiar ciertos hábitos o de inhibirse de determinados comportamientos dentro de un ámbito de privacidad como es la vida doméstica.

Como vemos, la Corte reconoce claramente y sin rodeos las excesivas capacidades de la tecnología militar desplegada en dos comunas de la capital, e incluso acierta al señalar que ello tiene efectos tangibles sobre la vida privada diaria de cientos de personas. Sin embargo, tan poderoso razonamiento, por motivos que desconocemos, no la lleva a concluir que el sistema deba ser dado de baja por ser excesivo en relación al objetivo perseguido que, aún cuando el resguardo de la seguridad ciudadana es un objetivo legítimo, resulta del todo desproporcionado.

El régimen de funcionamiento para los globos de vigilancia

A pesar de que la Corte reconoce este patente atentado contra la privacidad, dispone que el funcionamiento de estas cámaras es posible bajo ciertas condiciones, medidas a las que ha llamado “régimen de autorización”.

La primera de ellas busca delimitar los espacios físicos que pueden ser grabados. En resumen, la regla sería espacios públicos y, excepcionalmente, los espacios privados abiertos (como el patio de tu casa, la terraza de tu departamento o la piscina en la que te estés bañando), siempre que se esté haciendo el seguimiento de un posible delito.

A primera vista, la medida parece razonable. Pero ¿cómo cerciorarse que ello ocurra de esa manera? ¿Cómo hacer para que una cámara digital distinga espacios privados de los que no? Esta medida no es sino la manifestación de una curiosa propuesta de las propias municipalidades recurridas, que se refirieron a la necesidad de que la Corte adoptara medidas proporcionales, es decir, permitir el funcionamiento de las cámaras siempre que se grabaran solamente espacios públicos. Aseguraron que ya se hacía de ese modo, de hecho. Pero la lógica misma indica lo contrario. Una imagen de esta naturaleza es esencialmente indivisible: la cámara no tiene por sí misma la posibilidad de distinguir un espacio público de uno privado. Cuando se tiene una cámara ubicada a gran altura, que facilita acceder a una panorámica enorme en 360 grados, por definición grabará tanto espacios públicos como privados que se encuentren dentro de su rango de alcance. La posibilidad de distinguir entre unos y otros no es tecnológica, sino esencialmente humana.

Quizás una condición más adecuada hubiera sido limitar técnicamente el espacio geográfico que la cámara puede o no grabar, de tal forma que el operario no pueda grabar espacios privados, aun cuando se lo proponga. Este tipo de mecanismos se ha implementado en otros países, como Canadá. En este sentido, el fallo impone una medida de resguardo de privacidad que la tecnología de los globos vuelve incapaz de implementar.

Segunda medida: que un inspector o delegado municipal certifique, “al menos una vez al mes, que no se hayan captado imágenes desde espacios de naturaleza privada como el interior de viviendas, de establecimientos comerciales o de servicios, jardines, patios o balcones.” Esta medida tampoco significa una verdadera garantía para los vecinos. ¿Quién va a fiscalizar que esto realmente suceda? La respuesta más lógica parece ser que las propias municipalidades recurridas, pero si estos organismos fueran capaces de tal capacidad de autorregulación, y hubieran velado por la privacidad como verdaderos paladines de la misma desde un principio, probablemente nunca habríamos tenido en funcionamiento globos de vigilancia masiva sobre calles y hogares.

Esta medida apunta a contener una discusión que surgió en la Corte de Apelaciones de Santiago, en que la municipalidades destacaron que nos oponíamos a que ellos delegaran funciones tan delicadas como la vigilancia en una empresa privada, y que eso era una sinsentido considerando que esta forma de operar es muy común para llevar a cabo diferentes labores de esos organismos, entre las que típicamente se mencionan las labores de aseo y ornato. Pues bien, la protección de la seguridad ciudadana a costa de la privacidad es un asunto bastante distinto, complejo y distante del aseo de las calles, por muy importante que esto último sea. Luego, a lo que apuntó nuestra disquisición era a lo cuestionable que es que personas sin facultades legales, sin mayores obligaciones de salvaguardar la privacidad de los ciudadanos y que no arriesgan sanciones, estuvieran vigilando a los ciudadanos.

Tercera medida: la destrucción de las grabaciones innecesarias, fijando un plazo de 30 días para ello. Esta medida presenta matices muy interesantes. Durante la tramitación de nuestro recurso dejamos en evidencia una patente inconsistencia de las municipalidades: le aseguraban a la Corte que se destruía el material grabado innecesario, mientras que en paralelo ofrecían grabaciones para demostrar la forma en que funcionaban los globos. Aparentemente alguien no estaba diciendo realmente la verdad y los jueces acusaron recibo de ello. Se necesita garantizar que el material que no sirve al fin de la seguridad ciudadana no sea innecesariamente conservado y se elimine después de 30 días. Sin duda una buena idea, pero nuevamente: ¿quién y cómo se certificará que eso realmente se cumpla? Recordemos que estamos en presencia de una actividad que carece de regulaciones específicas, por lo que queda todo entregado a las bases de licitación de cada comuna, el criterio de algún funcionario municipal y el de los trabajadores de una empresa externa que desarrolla efectivamente la vigilancia. Se vigila sin orden judicial de por medio, y sin siquiera la existencia de la más mínima sospecha de la comisión de un delito. Se vigila a todo evento, a todo los vecinos, día y noche, y después no sabemos lo que pueda pasar con el material recopilado.

Cuarta medida:Todo ciudadano tendrá derecho de acceso a las grabaciones”, estableciéndose un pequeño procedimiento de habeas data para este material, especialmente difícil de ejercer, ya que la solicitud se dirige al funcionario municipal designado para ello y se debe indicar el día en que se fue presumiblemente grabado, pero, ¿cómo saberlo con meridiano grado de certeza, si se graba día y noche, toda la semana? Además queda entregado a las municipalidades establecer un procedimiento para lo anteriormente descrito con los mismos problemas indicados anteriormente.

Esta medida es tanto o más difícil de ejecutar que las anteriores, por los requisitos que se exigen a ciudadanos comunes y corrientes, ante una municipalidad sobrecargada de diversas labores administrativas ¿Qué grado de efectividad real tendrá esta medida? Y aún más, ¿es aquí peor el remedio que la enfermedad? No olvidemos que la medida dice que “todo ciudadano” tiene este derecho, ni siquiera lo circunscribe a todo ciudadano afectado o que se sienta afectado, tan solo la redacción posterior pareciera discurrir en ese sentido. ¿Podría alguien acceder así a grabaciones de terceros?, por ejemplo un novio celoso que quiera saber dónde y con quién estuvo su pareja en determinada fecha o quién se estacionó y visitó su casa.

Esto no es ciencia ficción, ni el producto de maquinaciones trasnochadas, ha sucedido en otros países. Recordemos aquí que el mismo alcalde de Lo Barnechea reconoció abiertamente en los medios que había reclutado solo a mujeres para efectuar la vigilancia tras las cámaras, a fin de prevenir conductas impropias que él atribuía solo a los hombres. Estas mismas conductas inadecuadas podrían estar tras una solicitud de acceso a grabaciones.

Un mal precedente

Todas estas disquisiciones no hacen más que hacernos pensar que, en este caso, la Corte Suprema ha impuesto medidas que se alejan de la realidad cotidiana y que perpetúan la indefensión de los derechos fundamentales de los ciudadanos. Un acto que deja de manifiesto la falta de comprensión acerca de cómo funcionan realmente estos mecanismos de vigilancia masivos y altamente intrusivos, en que el arbitrio de sus operadores no solo es inherentemente riesgoso para el resguardo de los derechos de los afectados, sino que es inadecuado para lidiar con una tecnología de esta naturaleza. Por estos motivos se estudia la factibilidad de presentar el caso ante los organismos internacionales competentes.

A nuestro juicio, este fallo constituye un hito lamentable, en que se ha hecho parecer que quienes quieren tener seguridad deben pagar necesariamente con la moneda de la privacidad.

Una filtración que pone en peligro la democracia mexicana

Los datos de 93.4 millones de votantes mexicanos se filtraron y publicaron en el servidor de Amazon Cloud. Se trata de identificaciones básicas, fotografías y direcciones del 75% de la población mexicana. El investigador Chris Vickery dio con la información. No estaba protegida por contraseñas, no estaba en venta y cualquiera la podía bajar. Hizo lo posible por retirarla cuanto antes. Denunció ante Amazon, alertó al Departamento de Estado de Estados Unidos y previno a la Embajada de México en Estados Unidos. Le hicieron poco caso.

Se trata de una grave vulneración de normas básicas de protección de la información personal: una enorme cantidad de datos personales disponible en un servidor extranjero, sin medidas de protección, por largo tiempo. La base de datos estuvo en línea durante ocho días hasta que el Instituto Nacional Electoral (INE) se dio cuenta y pudo eliminarla. Según declaraciones del presidente del INE, no es que alguien hubiera hackeado o infiltrado la información, sino que existió un manejo negligente por parte de uno de los estamentos más cuestionados del sistema mexicano: los partidos políticos.

Los datos que aparecieron en internet coinciden con la lista de electores que había sido entregada en febrero de 2015. Según la ley, un mes antes de las elecciones se entrega a los partidos políticos la lista final de las personas que obtuvieron su credencial para votar, para que puedan vigilar y revisar la información. Por si fuera poco, a cada partido se le entregan casi 64 millones de pesos (1.100 millones de dólares) para llevar a cabo estas tareas.

Durante el tiempo que la información estuvo en línea, cualquier persona la pudo descargar. En un país con altos índices de secuestro y extorsión, el crimen organizado podría ser el primero en beneficiarse. Basta un nombre y apellido para saber dónde vive la persona, cuántos años tiene y cómo se llaman sus padres. En términos de acoso por razones de género también es complicado: de las redes al mundo real, cualquiera podría seguirnos y acosarnos en nuestro hogar. El caso de la periodista Andrea Noel es ejemplar: fue acosada en la calle, lo denunció por internet y en una ocasión la siguieron hasta su casa para amenazarla y apuntarle con un láser en la frente.

Fue posible deducir que el origen de la filtración fue un partido debido a que la llave USB en que el INE entregó la información tiene una “huella digital. Estos datos son estrictamente confidenciales y no pueden comunicarse o darse a conocer. Por lo mismo ya hay un procedimiento ante la Fiscalía Especial de Delitos Electorales. La sanción para la persona que lo haya filtrado, según el Código Penal, va de uno a cinco años de cárcel, además de la suspensión de su cargo.

Sin embargo, aunque exista una reacción penal, estamos frente a un caso de negligencia inexcusable. No es solo un atentado a la privacidad, a la seguridad y un riesgo a las personas sino que compromete el sistema democrático mexicano.

El actuar irresponsable de los partidos políticos amerita no sólo una sanción, sino que además se debe notificar y reparar el daño a todos los ciudadanos afectados. Pero más importante es que filtraciones como esta no deberían ocurrir. Todos los países de la región necesitamos mejores leyes y mecanismos para asegurar una protección óptima de la información personal. En el contexto de la discusión de la Ley General de Datos Personales en Posesión de Sujetos Obligados, esto debe tomarse en cuenta.

El auge del software de vigilancia en América Latina

Creciente es el interés en el espionaje digital por parte de los gobiernos de América Latina. Esta es una de las conclusiones de “Hacking Team: malware de espionaje en América Latina”, un nuevo informe realizado por Derechos Digitales y que revela que la gran mayoría de los países de la región estuvieron involucrados con Hacking Team, la cuestionada empresa italiana creadora de Remote Control System (RCS), un software espía que se vende a organizaciones gubernamentales alrededor del mundo.

Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá compraron licencias para el uso de Galileo o DaVinci, los nombres comerciales de RCS. Argentina, Guatemala, Paraguay, Perú, Uruguay y Venezuela contactaron a la empresa y negociaron precios, pero no hay información respecto a si las ventas fueron concretadas.

Las compras y negociaciones se hicieron través de empresas intermediarias. Las más recurrentes fueron Robotec, en Colombia, Ecuador y Panamá, y NICE Systems, en Colombia, Honduras y Guatemala.

Las negociaciones se realizaron en secreto, hasta que el 5 de julio de 2015 se expusieron públicamente 400 GB de información de la empresa, incluyendo correos electrónicos, facturas, documentación interna y parte del código de Hacking Team.

RCS es un software capaz de acceder a cualquier tipo de información contenida en una computadora o teléfono celular: contraseñas, mensajes y correos electrónicos, contactos, llamadas y audios de teléfono, micrófono y webcam, información de herramientas como Skype y otras plataformas de chat, posición geográfica en tiempo real, información almacenada en el disco duro, cada una de las teclas apretadas y clics del mouse, capturas de pantalla y sitios de internet visitados, y más. En otras palabras, prácticamente todo lo que transcurre en un equipo personal.

Del análisis de las normas vigentes en cada uno de los países que se relacionaron con Hacking Team, así como de las notas de prensa que surgieron en la región a tras las revelaciones, el informe concluye que el software de Hacking Team es contrario a los estándares legales de cada país, y además violatorio de los derechos a la privacidad, a la libertad de expresión y al debido proceso. Considerando la relación cercana que nuestra región tiene con el autoritarismo, es especialmente preocupante que las autoridades cuenten con herramientas de este tipo.

En Ecuador se utilizó tecnología de Hacking Team para vigilar a Carlos Figueroa, opositor del gobierno de Rafael Correa. En México, un país que vive una seria crisis de derechos humanos, ocho de las diez autoridades que compraron RCS no están facultadas para ejercer actividades de vigilancia; El Centro de Investigación y Seguridad Nacional (CISEN), un organismo de inteligencia, realizó 2,074 órdenes judiciales para poder utilizar el software; hasta la fecha, no se sabe si su uso es justificado.

La filtración también reveló que de la información de Hacking Team permitió saber que la Drug Enforcement Agency (DEA) de Estados Unidos intercepta todas las comunicaciones de todos los ciudadanos colombianos. Así mismo, se sospecha del uso de herramientas de este tipo contra Vicky Dávila, periodista que investiga una red de prostitución masculina al interior de la policía.

En Panamá, el ex presidente Ricardo Martinelli estuvo personalmente al tanto de las negociaciones con Hacking Team. En Chile, en cambio, la Policía de Investigaciones dijo en un comunicado que la vigilancia se hacía con fines estrictamente legales y bajo orden judicial. Sin embargo, las órdenes judiciales en este caso no son suficientes para garantizar el uso legítimo del software de espionaje.

En términos legales, este tipo de software no está regulado explícitamente en ningún país. En México y Colombia existen disposiciones amplias al respecto, pero con lenguaje vago e impreciso. La ausencia de regulación deja al arbitrio de las autoridades, muchas veces corruptos, el uso, aplicación y objetivos de RCS.

Si bien la interceptación de comunicaciones bajo orden judicial está regulada en todos los países, con mayores o menores salvaguardas, esta no es suficiente pues el software de Hacking Team es mucho más invasivo que una mera interceptación: abarca el acceso a documentos, webcam, disco duro, teclado y geolocalización de los equipos afectados. Como esto no es parte de la legislación, dudosamente es parte del orden judicial, por lo que el derecho al debido proceso también se ve vulnerado.

Cabe resaltar que en casi todos los países analizados existen sanciones penales contra quien invada o intervenga los sistemas informáticos o las comunicaciones privadas de una persona fuera de la legalidad de una investigación. Sin embargo, sólo Panamá ha abierto procesos al respecto.

El problema del espionaje indebido va mucho más allá de Hacking Team, implica a un mercado global que abusa de la tecnología de vigilancia en manos de gobiernos alrededor del mundo. En este sentido debe existir mayor transparencia en el uso y adquisición de estas herramienta, una discusión abierta sobre los estándares que deben regir esta tecnología y además sanciones penales en los casos que lo ameriten.

Las implicancias de la decisión de WhatsApp de cifrar sus comunicaciones

Cuando el servicio de mensajería WhatsApp actualizó sus distintas aplicaciones para celulares, llegó con una de las noticias más importantes con respecto a la privacidad y seguridad en la red durante años: todas las comunicaciones entre usuarios de WhatsApp están cifradas por defecto, haciendo imposible que incluso la misma compañía pudiese ver el contenido de los mensajes.

Si bien hay varias aplicaciones para celulares que logran –o al menos prometen– lo mismo, hay dos características que diferencian esta noticia del resto. La primera es que WhatsApp tiene la no despreciable suma de un billón de usuarios, lo que significa que los millones de chats, llamadas y transferencias de archivos del sistema de mensajería más importante del planeta se vuelven imposibles de espiar por sistemas de vigilancia masiva.

La segunda es que no es un sistema de cifrado cualquiera. WhatsApp implementa el protocolo Signal, desarrollado por Trevon Perrin y Moxie Marlinspike. Anteriormente conocido como Axolotl, tiene un fuerte consenso en la comunidad de criptografía sobre su seguridad, pues este protocolo cifra todo el contenido desde teléfono a teléfono y toma distintas precauciones para impedir que cualquier clase de error humano comprometa la seguridad de las comunicaciones. Este sistema ya se encontraba previamente disponible en la aplicación de mensajería Signal de OpenWhisperSystems (de los mismos Perrin y Marlinspike), sin embargo esta aplicación no posee la misma masividad y popularidad que cuenta WhatsApp.

Al respecto, no hay que dejar de reconocer la importancia fundamental que ha tenido la industria del software libre en los avances en la protección de la privacidad de nuestras comunicaciones. La opción de WhatsApp así lo confirma y debiese ser también leído como un espaldarazo a esta industria.

Si bien WhatsApp ha dejado clara su posición con respecto a la protección de sus usuarios, volviendo inviolable el derecho a la privacidad de sus comunicaciones, aún quedan algunos problemas por resolver con respecto a su seguridad. Preocupa que al no ser WhatsApp una aplicación de código abierto, es imposible tener un 100% de certeza de que realmente hace lo que dice. Se suma también que por un defecto propio de cómo se distribuyen todas las aplicaciones, es todavía posible enviar una actualización maliciosa a WhatsApp.

Otro aspecto importante a considerar es que los metadatos almacenados en los servidores de WhatsApp no se encuentran bajo la misma protección. La empresa guarda voluntariamente datos como la fecha exacta asociada a una conversación, incluyendo los números de teléfono involucrados, y lo hace sin estándares de cifrado que aseguren su inviolabilidad. Y si bien esto es una práctica común en este tipo de aplicaciones, una mirada comparativa muestra, por ejemplo, que WhatsApp almacena con menos seguridad mucha más información que Signal.

A todo lo anterior se suma que el dueño de WhatsApp es Facebook, una empresa que en el caso de su red social más popular, sigue cultivando un modelo de negocio en base a la venta de publicidad dirigida, beneficiándose enormemente de la explotación masiva de datos, fotografías, relaciones y comunicaciones de todos sus usuarios.

No obstante lo anterior, en un contexto de fuertes amenazas al cifrado en el mundo y, por ende, a la privacidad de nuestras comunicaciones (Estados Unidos y Brasil son solo los más recientes ejemplos), la decisión de WhatsApp es uno de los pasos más importantes que se han dado para una internet más segura para todos y todas, marcando un precedente que debiese ser imitado por el resto de los servicios de la red.

La “guerra sucia” en redes sociales

El 24 febrero de 2016, el pueblo boliviano votó contra el referendo que permitiría una reforma constitucional para que el presidente del país, Evo Morales, pudiera reelegirse por tercera vez. El presidente atribuyó la derrota a la campaña vertida en redes sociales, que apuntaba a denunciar el tráfico de influencias entre la ex pareja del presidente y una empresa China.

Morales se dijo víctima de una «guerra sucia» llevada a cabo en internet mediante opiniones anónimas que son capaces de “tumbar gobiernos” y que comparó con “recolectores de basura.” En una rueda de prensa en La Paz, Morales además dijo que “quienes usan las redes sociales con mentiras están haciendo perder valores a las nuevas generaciones.” Ese mismo día el vicepresidente de la Cámara de Diputados, Víctor Borda, anunció que presentaría un proyecto de ley para regular las redes sociales.

El resultado es la represión de la libertad de expresión en redes sociales por la vía política y legal. Por un lado, el lenguaje del presidente boliviano contra las redes sociales es preocupante: demonizar el discurso público vertido en internet es una amenaza política a la libertad de expresión. Al restarle valor a estas expresiones, el presidente desconoce la legitimidad del discurso ajeno y rompe el principio democrático inherente a este derecho. De manera paralela -y aunque el proyecto de ley aún no es público- de las declaraciones del diputado Borda se desprenden ciertas preocupaciones para los derechos digitales de los ciudadanos de Bolivia.

Según reporta Global Voices, en esta iniciativa se proponen tres tipos penales. Primero, castigar con cárcel a quienes “diseñen, desarrollen, trafiquen, vendan, ejecuten, programen o envíen una página electrónica, enlaces o páginas emergentes con el fin de contactar y obtener datos”. Bajo objetivos que podrían ser loables y normas muy amplias, podrían usarse estas figuras para perseguir opiniones disidentes. Segundo, se sancionaría “la violación de datos personales”, la cual se define como algo que ocurriría cuando el usuario “sustraiga, intercambie, envíe, divulgue o modifique información personal con datos hallados en espacios como redes sociales y medios similares”. No se especifica en qué condiciones un usuario puede utilizar datos personales, lo cual también podría tener consecuencias adversas para otros usuarios.

Tercero, se sancionaría cualquier expresión que afecte “la honra de una persona individual, colectiva, pública o privada”. Este delito es similar al de calumnia, considerado como contrario a la libertad de expresión por la Relatoría Especial de la Comisión Interamericana de Derechos Humanos. Lo que crea es un efecto silenciador sobre la crítica, pues a riesgo de equivocarse se optaría por el silencio.

Adicionalmente, Javier Pallero de Access Now nota que se buscaría establecer un consejo nacional que tendría la potestad de “controlar” las redes sociales, prohibiendo también el anonimato: un derecho sin el cual los ciudadanos podrían abstenerse de expresar sus opiniones políticas por temor a represalias.

En la región, este impulso de regulación de redes sociales no es nuevo. De Chile a México, Ecuador y Argentina hemos visto cómo los gobiernos y legisladores entienden internet como un espacio caótico, donde no es el “Estado de Derecho” quien reina, sino la sátira, la crítica sin fundamentos, la difamación y el insulto anónimo. En el fondo, es miedo a la crítica y los procesos descentralizados que la internet implica.

Bolivia no es la excepción: en lugar de dejar florecer las expresiones en línea con un ánimo democrático, se buscará coartarlas en lo político y lo legal. Esperemos que en esta etapa de discusión pública, el gobierno rectifique su posición.