Temática: Protección de datos

Mejorar la cooperación internacional también debería ser parte del debate sobre el cifrado

Las evidentes amenazas que hoy rodean al cifrado y que con razón acaparan titulares con la denominada batalla entre Apple y el FBI, han enturbiado otras discusiones. Es el caso de la reciente detención del vicepresidente de Facebook América Latina, el argentino Diego Dzodan. Para muchos este es otro ataque directo al cifrado y una presión inaceptable a Facebook. Lo cierto es que una mirada más calmada a los pocos hechos que se saben del asunto permite ver otras aristas importantes al momento de discutir sobre el cifrado.

Los hechos que se conocen son limitados porque el caso es confidencial. Lo que se sabe hasta ahora es que la justicia brasileña emitió una serie de órdenes judiciales que obligaban a Facebook, empresa dueña de WhatsApp, a entregar el contenido de una conversación en grupo en la aplicación de mensajería, así como otros datos, incluidos los de geolocalización. Esto, en el marco de un delito grave: según la justicia brasileña, serían pruebas que se utilizarán en una investigación sobre el crimen organizado y el tráfico de drogas. Hasta acá, todo conforme a lo que el marco legal permite (y que continuamente ocurre entre la justicia y estas empresas): bajo orden judicial y en la investigación de delitos graves, pedir la entrega de información privada de los usuarios.

Según Facebook, esta vez se excusaron de entregar esos mensajes porque simplemente no tenían la información: al estar las comunicaciones de WhatsApp cifradas de punto a punto, es imposible para la compañía acceder a los contenidos de los mensajes. Finalmente, la justicia brasileña, luego de cuatro meses de insistencia y multas que alcanzaron un millón de reales al día por incumplimiento de las órdenes judiciales, detuvo a Dzodan por una noche y luego fue liberado por un Habeas Corpus: un juez dictaminó que fue detenido indebidamente porque Dzodan no ha sido nombrado personalmente en los procesos judiciales. El proceso sigue bajo estricta confidencialidad.

Lo poco que se sabe bastó para un barullo mundial. Las reacciones fueron particularmente alarmantes en los medios estadounidenses, alentadas de seguro por todos los ataques del gobierno de EE.UU. contra el cifrado. Pero más allá de eso, una lectura general mostraba no solamente al Estado brasileño como “el malo de la película”, sino también se vislumbraba un apoyo no tan solapado y bastante ciego a las empresas de Silicon Valley en su actuar en el extranjero. Venture Beat llegó a decir:

«Aunque Dzodan solo pasó alrededor de 24 horas en la cárcel, su detención demuestra que los gobiernos extranjeros pueden tomar medidas que son mucho más directas –e inmediatas– que las perseguidas por el FBI en su esfuerzo de obligar a Apple a desbloquear un iPhone.» (traducción propia).

Antes de calificar buenos versus malos, hay que comprender que si bien esta discusión se trata sobre cifrado, es imposible entenderla en su fondo sin considerar la dimensión política que lo rodea. De hecho, tomar en cuenta estos factores puede aportar a una agenda política más ambiciosa y propositiva respecto a la necesaria defensa del cifrado.

Sí. Por lo que sabemos ahora, la decisión  del juez brasileño es una amenaza al cifrado, en tanto demuestra lo peligroso que es cuando las autoridades no comprendan en profundidad este mecanismo de comunicaciones seguras y, en este caso particular, que sea imposible para Facebook entregar los mensajes requeridos. Pero es una amenaza distinta, mucho menos grave de lo que ocurre hoy en Estados Unidos, donde el tribunal ordenó a Apple crear una nueva versión especial del sistema operativo iOS de Apple para pasar por encima de varias características de seguridad integradas en el sistema operativo de la compañía.

[left]El debate del cifrado ha sido reconocidamente un debate de hombres blancos. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales.[/left]

Lo que acaba de ocurrir en Brasil es síntoma de un problema político general entre Silicon Valley y los países en vías de desarrollo. Como dice el interesante reportaje de Motherboard Brasil, a diferencia de lo que ocurre en Estados Unidos, donde hay una mayor cooperación entre las empresas y los servicios de inteligencia e investigación, las autoridades locales de otros países, especialmente en vías de desarrollo, tienen dificultades de base para que las compañías de Silicon Valley cumplan las leyes nacionales. Sin ir más lejos, WhatsApp, que tiene una administración diferente a Facebook, y con 100 millones de usuarios en Brasil, no tiene representación legal en el país. Este “detalle” es, como dice el reportaje, convenientemente omitido en los comunicados de la empresa en la detención de Dzodan.

Sin lugar a dudas, el cifrado está recibiendo certeros ataques por parte de muchas autoridades mundiales. Pero para proteger las comunicaciones seguras y, con eso, la privacidad y la misma integridad de internet, también es necesario plantear una agenda que avance en la cooperación internacional de forma amplia. En el marco de la investigación de crímenes, se debe avanzar en la cooperación internacional de pedido de datos de manera de hacerla más ágil y respetando el debido proceso. Pero también debe existir mejor cooperación de las empresas con los Estados: se debe avanzar decididamente en que las compañías de Silicon Valley comprendan, transparenten y faciliten su responsabilidad legal en los países en vías de desarrollo.

Asimismo, una agenda propositiva en la defensa del cifrado debe considerar cooperar con el entendimiento de nuestras autoridades judiciales sobre los alcances de este mecanismo: la importancia de un cifrado fuerte para los derechos de la población y de la integridad de internet, el porqué es imposible acceder a información fuertemente cifrada y  la necesidad de recurrir a otras formas de investigación que no dañen este tipo de comunicaciones seguras.

El debate del cifrado ha sido reconocidamente un debate de hombres blancos, tanto para sus defensores como para sus detractores. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales. Es justamente ese análisis el que puede ayudar a avanzar en una agenda política que de forma directa o indirecta proteja y fortalezca el cifrado.

La vulnerabilidad de nuestra información personal, ¿un mal incurable?

Hace pocos días, CIPER denunció públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de archivos médicos. Entre ellos, fichas de pacientes del sistema público de salud, incluyendo el nombre, el número de identificación o RUT, el domicilio, la descripción del caso médico y el medicamento entregado. CIPER, además, indicó que dicha información estuvo desprotegida y no cifrada durante meses desde la detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a quienes no tienen autorización a conocerla.

Si bien la Ministra de Salud chilena ya anunció medidas para enfrentar la peligrosa situación, los interesados en acceder a la información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea imposible asegurar la invulnerabilidad total de un sistema de tratamiento de información, buena parte de estos riesgos se podría haber prevenido mediante una política seria de seguridad de datos, como también de reglas efectivas de protección de información sensible de carácter médico.

Una parte del problema se relaciona con las pobres reglas de protección de datos personales. La actual ley chilena adolece de múltiples problemas, muchas veces denunciados. Como en varios países de la región, no existe en Chile una autoridad pública de control que vele por el cumplimiento de la ley de protección de datos y, por lo mismo, no existe institucionalidad suficiente para fiscalizar exigencias de seguridad.

Para los afectados, los costos de una reclamación judicial pueden ser muy altos y para obtener compensación se requiere probar el daño producido, el cual no siempre es evidente. Además, la ley no exige el registro de bases de datos privadas, pudiendo ser tratada dicha información por particulares sin que los afectados jamás se enteren; mientras tanto, en el caso de bases de datos de organismos públicos, tampoco hay reglas suficientes para asegurar condiciones de resguardo y reclamar ante la vulneración de la protección.

Por otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A la información abierta accede cualquiera, es por ello que Edward Snowden ha insistido en el deber que tienen los profesionales de proteger los datos de sus clientes no solo frente a delincuentes, curiosos y empresas privadas, sino también por agencias estatales de vigilancia.

Es cierto que el Ministerio responsable podría interponer acciones judiciales en contra de la empresa por el no cumplimiento de los estándares mínimos de seguridad del servicio prestado (contenidos, entre otros, en la Política General de Seguridad de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición a las personas cuya información se hizo pública, incluyendo datos como su tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora del día después”. Tampoco mejora los efectos que el acceso a esa información pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto de un mal tratamiento de datos personales no se resuelve con pugnas contractuales ni sanciones administrativas.

Tanto la protección legal de datos personales como el uso de mecanismos apropiados de seguridad son los modos que permiten proteger la privacidad de los usuarios y disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo de nuestra información personal para el funcionamiento de un servicio, el estándar mínimo que se debe exigir es que tales datos sean debidamente resguardados, que es lo que espera una persona cuando confía información de este tipo a un órgano estatal.

Lo que este caso demuestra es que cuando los sistemas son incapaces de proteger información, personas reales son afectadas. No se trata de simples problemas técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de información sensible, que conlleva riesgos para los derechos fundamentales de las personas. Para prevenir casos como este es que necesitamos mejores estándares de seguridad digital y de reglas adecuadas de protección de datos personales.

Cinco claves sobre el fallo que pone fin a los globos de vigilancia

La Corte de Apelaciones de Santiago, en un fallo unánime, acogió nuestro recurso de protección (en conjunto con Fundación Datos Protegidos y Corporación Fundamental) y ordenó el cese del uso de globos de vigilancia en Las Condes y Lo Barnechea. Así, la Segunda Sala del tribunal de alzada acogió acción cautelar y ordenó a municipios cesar de inmediato las actividades de captación, almacenamiento y procesamiento de las imágenes que se realizan por medio de los globos de vigilancia emplazados en dichas comunas. Acá te contamos qué dice el fallo concretamente:

UNO: Los globos afectan la vida privada

La Corte reconoce la afectación de los derechos a la vida privada y a la inviolabilidad del hogar hecha por los globos de vigilancia, acogiendo así nuestro argumento de que la vigilancia indiscriminada hecha por estos globos tiene un impacto negativo sobre los derechos fundamentales. Debido a que los globos cuentan con vasto poder para captar, grabar y almacenar imágenes en un amplio campo, abarcando tanto espacios públicos como privados, a la Corte no le quedó más que concluir que los derechos establecidos en los numerales 4 y 5 del artículo 19 de la Constitución, se ven vulnerados por el sistema de vigilancia.

DOS: Falta regulación expresa para la videovigilancia en Chile

La Corte reconoce la alta capacidad tecnológica de los globos, pero hace hincapié en la falta de regulación legal expresa para esta clase de videovigilancia en Chile. Por ello, debe aplicarse el principio de legalidad, especialmente por parte de órganos públicos. Así, que una atribución legal determinada que habilite a un organismo público como un municipio a realizar determinada actividad, no implica que la pueda realizar de cualquier modo, sino limitados por el respeto a derechos humanos.

TRES: La seguridad no es justificación para intromisión en la intimidad

Relacionado al punto anterior, la Corte establece que el fin de seguridad pública perseguido por las municipalidades, no permite justificar la intromisión ilegal en la intimidad que sufren los recurrentes. Para la Corte, “la única forma a través de la cual puede obtenerse un cabal resguardo de los mencionados derechos es el cese de la operación del sistema de vigilancia” operado por las municipalidades.

CUATRO: El funcionamiento de los globos es ilegal

Si bien los órganos estatales están habilitados por la Ley Nº 19.628 para realizar tratamiento de datos personales, deben hacerlo dentro de sus funciones, y de una forma que respete el pleno ejercicio de derechos fundamentales de sus titulares. Para la Corte, al dejar en manos de privados la operación de globos que transgreden normas legales y constitucionales, el sistema es ilegal.

CINCO: La sentencia se puede apelar

La decisión de la Corte ordena de forma unánime el cese de la operación de los globos, en un paso importante para resguardar la privacidad. Pero la decisión no es definitiva en tanto la sentencia es susceptible de apelación ante la Corte Suprema, siendo esta la última instancia.

Lee nuestro comunicado de prensa sobre el fallo acá.

Los debates sobre vigilancia en Europa que pueden influir en América Latina

En Latinoamérica no es extraño mirar al desarrollo en la Europa de la posguerra como un ejemplo digno de seguir en materia de reconocimiento de derechos humanos. Ello incluye al derecho fundamental a la privacidad, y de manera especial, a la protección de los datos personales. Por largo tiempo, gobiernos locales han aspirado a un reconocimiento del derecho a la autodeterminación informativa de forma análoga a la de los países del Viejo Continente. Pero las revelaciones de Snowden de vigilancia masiva y la amenaza terrorista están cambiando el escenario.

Coletazos del caso Snowden

La transferencia de datos personales desde la Unión Europea a organizaciones en Estados Unidos estaba autorizada dentro del marco regulatorio del “Safe Harbour” (puerto seguro), resolución de la Comisión Europea lograda tras un acuerdo con el Departamento de Comercio de EE. UU.

Esto cambió recientemente tras el reclamo del austríaco Max Schrems ante la autoridad de protección de datos personales de Irlanda (DPC), debido a la transferencia de datos mediante Facebook a EE. UU. La DPC se rehusó a investigar, por lo que Schrems acudió al Tribunal de Justicia de la Unión Europea (TJUE) para cuestionar esa negativa.

Y acá vino el gran golpe: el TJUE no solamente analizó si la DPC debía ceñirse a la decisión sobre “Safe Harbour”, sino que se pronunció sobre este último en sí mismo, declarando que no provee un nivel adecuado de protección de datos personales, por ser incapaz de prevenir el acceso masivo por parte de autoridades de inteligencia estadounidenses a datos personales transferidos desde Europa. Desde entonces, el “Safe Harbour” no es por sí solo suficiente para autorizar transferencias de datos.

El reclamo que llevó a la decisión trataba precisamente de encontrar respuestas sobre el uso de datos, fundado en las revelaciones de Snowden sobre la vigilancia masiva a mediados de 2013. La falta de protección a los datos por el régimen estadounidense, y en particular, por la vigilancia masiva de la NSA, incluía una falta de deber de compensación contraria a la Carta de Derechos Fundamentales de la Unión Europea.

Para mantener la tranquilidad y las relaciones comerciales, se anunció un nuevo acuerdo entre las autoridades de EE. UU. y Europa, con el rimbombante nombre de “Privacy Shield” (escudo de privacidad), del que se entregaron lineamientos generales y cuyos detalles se negocian. Sin embargo, ¿puede ese nuevo acuerdo proteger los datos de los ciudadanos de la UE frente a la maquinaria de vigilancia masiva de los EE. UU.?

La respuesta es que, mientras no existan reformas sustantivas a las reglas que autorizan la vigilancia dentro de los Estados Unidos, ningún país tiene asegurado el respeto a la privacidad de las comunicaciones de sus habitantes en internet.

Como destaca Schrems, el nuevo entendimiento se basa en compromisos débiles de EE. UU. de no incurrir en prácticas de vigilancia masiva, sin auténticas reformas normativas y sin limitantes al acceso a los datos de europeos. El mayor temor es que un nuevo acuerdo sea una jugada política para que, con una frágil promesa de cambio a la gran maquinaria de vigilancia masiva, todo el comercio basado en la transferencia de datos siga como si nada hubiera pasado. Business as usual.

La excusa del terrorismo

Varios países en Europa han tenido en este siglo ataques terroristas dentro de sus territorios que siguen teniendo fuertes repercusiones en las políticas sobre seguridad y vigilancia. A esto se suma que la profunda crisis de refugiados que huyen desde la violencia en el Medio Oriente, sirve para alimentar algunos temores sobre las amenazas extranjeras, especialmente del radicalismo que usa a la religión como excusa. La respuesta política a los ataques y a los grupos de refugiados en Europa ha puesto a la seguridad como objetivo y llevado a la adopción de legislación de emergencia, quitando peso a importantes salvaguardas sobre derechos fundamentales.

Así ocurre, por ejemplo, con el Reino Unido. Firme aliado de EE. UU. en materias internacionales (y comerciales), el gobierno actual introdujo un proyecto de reforma a sus reglas sobre investigación criminal y recolección de inteligencia, después de varios años de intentos de reforma y polémica por los excesos de su aparataje de seguridad nacional. El proyecto de ley sobre poderes de investigación (Investigatory Powers Bill, o IPBill), cuyo borrador fue publicado en noviembre de 2015, intenta así entregar amplias facultades a los órganos de investigación y persecución. Así, considera, entre otros, obligar a la retención de metadatos, realizar recolecciones masivas de información de comunicaciones, intervenir equipos a distancia, y posiblemente exigir el descifrado de comunicaciones seguras. A pesar de los comentarios críticos formulados por empresas e instituciones, y los cuestionamientos sustantivos de tres comités distintos dentro del parlamento británico, persiste la presión por establecer un marco de intervención de comunicaciones durante 2016.

El caso de Francia es especialmente dramático. Poco después del ataque a Charlie Hebdo, una nueva ley antiterrorista fue aprobada entregando vastos poderes de vigilancia al Estado, permitiendo la intervención de correos y teléfonos sin autorización judicial (aumentando facultades ya existentes desde 2013). Pero los múltiples ataques de París en noviembre de 2015 demostraron la inutilidad de la vigilancia de comunicaciones. La terrible sucesión de hechos llevó rápidamente a culpar a Snowden (!) e impulsar nuevas medidas de seguridad. Hasta mayo de 2016 se ha extendido el estado de emergencia en toda Francia, con fuertes restricciones a libertades individuales que han resultado en abusos. Es más, el gobierno pretende introducir nuevas modificaciones constitucionales y legales para aumentar las facultades estatales relacionadas con la seguridad (incluida la vigilancia), convirtiendo así al estado de excepción y restricción de garantías fundamentales en “el nuevo normal”.

Seguir o ser guía

Lo que ocurre en Europa no es indiferente para el resto del mundo, y menos para Latinoamérica. Como muestra de ello, hace pocos años la sociedad civil regional dio su parecer sobre la relevancia de la nueva reglamentación europea sobre datos personales, con miras a la fijación de estándares globales sobre esa protección y, con ello, sobre derechos fundamentales afectados como la privacidad.

Sin embargo, cuando encontramos que los mismos países que nos sirven de guía incurren en prácticas que ponen en riesgo los datos de sus ciudadanos, o los someten a la vigilancia masiva, privilegiando relaciones comerciales o cediendo a la narrativa de la seguridad nacional, perdemos parte de la esperanza en que las políticas de los gobiernos locales sean más sensibles a los derechos fundamentales.

Por tal motivo, es importante que a nivel local y regional se continúe construyendo narrativas propias de defensa de los derechos digitales, así como también se debe seguir con atención -y muchas veces con apoyo concreto- las luchas que activistas europeos tienen para defender los derechos humanos de los ataques que, lamentablemente, cada día se hacen más comunes en el contexto digital.

 

 

Los desafíos del Big Data

Descargar PDF

Infografía que explica el concepto de Big Data e ilustra los principales desafíos que presenta desde el punto de vista del derecho a la privacidad y su protección legal.

Agenda Digital 2020: una vaga lista de deseos

Desde el mandato del Presidente Eduardo Frei Ruiz-Tagle (1994-2000), cada gobierno presenta una nueva Agenda Digital, un plan de desarrollo para el país respecto a las “tecnologías de la información”, con una serie de hitos y propuestas de modernización. Lamentablemente, en lugar de ser un indicador del interés por establecer políticas públicas a largo plazo, las agendas digitales no han sido más que un cúmulo de medidas más o menos ambiciosas, con consecuencias inmediatas y sin una política pública propiamente tal que las oriente. La agenda de la presidenta Bachelet, presentada recién a fines de noviembre, no es diferente e instala nuevas preguntas.

La Agenda Digital 2020 se presenta ambiciosamente como una hoja de ruta con 60 medidas concretas, pero el documento no presenta una estructura ejecutiva adecuada para la gestión de dichas medidas, ni tampoco una guía de principios que explique por qué se priorizan algunas y no otras: las medidas propuestas no tienen responsables, plazos ni mecanismos de evaluación.

Ignorando las peticiones de la sociedad civil y el sector privado por una visión común y a largo plazo, la Agenda Digital 2020, al igual que sus predecesoras, hace borrón y cuenta nueva: ¿Qué medidas concretas de la Agenda Digital del Presidente Piñera se han mantenido? ¿Cuáles se han descartado? ¿Por qué razones? ¿Cómo se evaluó el proceso de confección de la agenda anterior y las medidas que en base a ella se materializaron? Todas son preguntas que la Agenda actual elude y que debieran ser el punto de partida para un plan de futuro. Al mismo tiempo, la Agenda incluye medidas que ya están en ejecución y que, curiosamente, no necesitan de ella para tener éxito.

Pese a tener un capítulo completo dedicado a “Derechos para el entorno digital”, la Agenda Digital 2020 no incluye referencia alguna a aspectos vinculados a neutralidad de la red, libertad de expresión en el entorno en línea o medidas para enfrentar la vigilancia privada en internet. ¿Qué hay en ese capítulo entonces? problemáticas que poco tienen que ver con el ejercicio de derechos, tales como el impulso a la firma electrónica, aranceles o tributos digitales.

Por otro lado, hay una mención expresa a la esperada nueva Ley de Datos Personales, que anuncia será enviado “próximamente” al Congreso, pese a ser parte de la Agenda de Probidad desde mayo de 2015, sin que a la fecha exista claridad sobre el plazo de presentación ni de las autoridades responsables.

Chile ha sido pionero en temas regulatorios y digitales en el pasado: fue el primer país en el mundo en tener una ley de neutralidad de la red, que ha servido como referente en otras regiones del mundo; ejemplar es también nuestro modelo de responsabilidad de intermediarios en materia de derechos de autor, que resguarda la libertad de expresión y los derechos autorales al exigir orden judicial para la remoción de contenidos eventualmente ilícitos. Pero al revisar la Agenda Digital 2020, no hay indicios de una política pública que permita que el país mantenga su posición de liderazgo regional en materia de tecnología y desarrollo.

Pese a tener una oportunidad única, el gobierno de la Presidenta Bachelet muestra con esta agenda mucha tibieza y falta de compromiso para avanzar hacia una política pública digital abierta, inclusiva y protectora de derechos.

Esperamos que aún estemos a tiempo para encaminar un plan de desarrollo digital que no responda solo a problemáticas propias de fines de los noventa en Chile, sino que mire hacia el futuro e incluya una agenda de derechos robusta. El punto de partida para ello es tener una política pública que de no existir, inserta un razonable manto de dudas respecto de la idoneidad y alcance de las medidas anunciadas en esta hoja de ruta.

Free Basics Expands in Latin America, Cause for Concern or Potential Opportunity?

Free Basics, Facebook’s platform to expand its reach in the developing world, has provoked varied and impassioned responses from the digital rights community. Forty regional civil society organizations, led by Derechos Digitales, recently issued a statement of concern regarding the arrival of Free Basics in Latin America. At the 2015 Internet Governance Forum (IGF), held a couple of weeks ago in Joao Pessoa, Brazil, silent protesters tried, unsuccessfully, to unfurl a banner reading “Free Basics = Free of Basic Rights.” Even a lengthy piece on Facebook’s ambitions in the December 2014 edition of Time magazine, while largely positive, acknowledged that some view Free Basics as “an act of self-serving techno-colonialism.”* However, much of the criticism aimed at Facebook has been misdirected. Widespread, unfiltered access to the entirety of the internet is a laudable goal on which there can and should be broad consensus, but it is governments, not private enterprises, that have an obligation to facilitate this.

Facebook, in conjunction with its six founding partners (Ericsson, MediaTek, Nokia, Opera, Qualcomm and Samsung), launched internet.org (now known as Free Basics) in Zambia in July 2014, and has since expanded to 30 countries worldwide. By its own estimation, the platform is responsible for bringing 15 million additional people online to date. Free Basics offers a free, scaled-down version of Facebook along with a handful of other basic applications, such as those containing news, weather and health information.

To achieve this, Facebook partners with a local mobile phone carrier to carry Free Basics in each market it enters, and as tends to be the case with how most zero-rating services are marketed, the carrier selected usually has a share of total mobile customers that lags significantly behind that of the market leader. Thus, though the mobile carriers don’t receive payment from Facebook to offer Free Basics, the partnership can still be an attractive proposition as it can help them gain market share and build their customer base.

But what does Facebook gain from this arrangement? Critics have contended that while Free Basics may be free for customers from a monetary perspective, customers still “pay” with their privacy and data. In response, Facebook says that navigation data is only collected at the aggregate level to determine which services on the platform are being used, and that no personally identifying information is stored beyond 90 days, though this assertion has done little to appease critics.

But the greatest possibility for Facebook to profit from Free Basics lies in the extent to which the platform can be a catalyst for people to access the broader internet. As Facebook will presumably continue to feature heavily in the online activity of these crossover subscribers (who will switch over to the “full” version), the company’s potential to profit off of their usage (through advertising and other marketing strategies) increases dramatically. This helps to explain why at the recent IGF, Facebook representatives never missed an opportunity to tell their audiences that their data shows that 50% of those who use Free Basics opt for the paid internet with 30 days of coming online for the first time. Publicizing this fact serves two purposes that are both in the company’s interest: it sends a positive signal to investors, and also helps thwart criticism that Facebook wants to keep users of Free Basics in a “walled garden” of content. However, it should also be noted that the only quantitative data available thus far on Free Basics adoption and usage comes from Facebook itself, and that civil society should continue to put pressure on the company to release this data in a complete and transparent way. This is part of the responsibility that Facebook incurs by assuming the role of providing internet access.

Another oft-heard criticism is that many users of Facebook in the developing world do not realize that Facebook is only a subset of the broader internet, and that Free Basics helps to perpetuate this perception. One study found that in Indonesia, for example, 11% of those surveyed that said they used Facebook also said that they did not use the internet.   How the next billion users come online will help shape the direction of the internet, and thus this conflation of Facebook and the internet poses very legitimate concerns.

Facebook, by originally selecting “internet.org” for the name the project now known as Free Basics, as well as by presenting the service as a way to bring “the internet” to the unconnected masses, is certainly culpable for contributing to this misperception, as are the media, which have repeated many of Facebook’s talking points. But while this can be attributed to either overly aggressive marketing by a for-profit company or to lazy journalism, governments too easily drawn under Facebook’s spell ought to be more sharply criticized.

The Free Basics initiative becomes most problematic when governments use the arrival of the platform in their countries as a substitute for real public policies that would expand full internet access for their citizens. The existence of Free Basics does not absolve them of a responsibility to facilitate this unfiltered access. If anything, it should make them think more creatively about how to achieve this goal, rather than defer exclusively to Facebook. With this in mind, the key critics of Free Basics would see their objectives better served by stepping up efforts to encourage their elected officials to enact and enforce more inclusive digital rights policies.

The voices of potential first-time internet users who might actually use Free Basics tend to be excluded from the debate surrounding it, and most opponents criticize from a perch of privilege, in that they are already internet users. In light of this, it’s not worth it to throw out the baby with the bathwater for the sake of ideological purity. The best way that governments can respond to criticism that Free Basics violates net neutrality principles is by themselves working not just towards greater access, but towards more neutral access, where first-time users have varied options to choose from. Governments in Latin America can rise to the potential challenges that Free Basics poses by going to greater lengths to demonstrate their commitment to digital inclusion and support for development.

*Of course, this is a complicated issue, and a variety of approaches, not all of which are necessarily aligned, exist within the Derechos Digitales team.

¿Necesitamos más vigilancia?

Casi inmediatamente después de producidos los ataques del pasado 13 de noviembre en París, aparecieron voces solicitando mayores facultades para vigilar las comunicaciones en línea, con la esperanza de que con ello sea posible evitar que se comentan actos tan atroces.

Particularmente se culpa al cifrado, señalando que así los terroristas habrían logrado comunicarse y coordinar los ataques sin lograr ser interceptados y detenidos a tiempo.

Sin embargo no es correcto concluir que el cifrado ha hecho más difícil prevenir el terrorismo, haciendo nuestras sociedades más inseguras. La confusión probablemente nace de la forma en que comúnmente se concibe dicho cifrado, asociándolo inmediatamente con el ocultamiento de información necesariamente negativa, lo que sumado a la convicción de que quien no hace nada malo nada tiene que ocultar, dan pie a la ya clásica tensión entre privacidad y seguridad.

En primer lugar, no hay pruebas de que los terroristas utilizasen servicios de mensajería cifrada para comunicarse. Por otra parte, es lógico que quienes realizan este tipo de crímenes procuren buscar los medios de comunicación que sean más eficientes y más seguros para sus fines, aunque no sean de última tecnología.

Por otro lado, todo parece indicar que algunos de los miembros del grupo que ejecutó los ataques ya estaban siendo objeto de algún tipo de vigilancia por parte de las autoridades, sin que ello fuera suficiente para lograr evitar la tragedia.

Hay que considerar que actualmente los sistemas vigilancia permiten recolectar gran cantidad de metadatos o registros de actividad a relativamente bajo costo, revelando información acerca de quien se comunica con quién y con qué frecuencia; esto permite levantar alertas que conduzcan a otras investigaciones cuando se presuma algún riesgo para la seguridad de un Estado. Si esos metadatos están cifrados, lo que se hace más difícil es el acceso al contenido de la comunicación, pero no es cierto que las policías estén completamente a oscuras en sus actividades de vigilancia.

En palabras de Edward Snowden “como analista, yo preferiría ver metadatos que contenido, porque es más rápido, es más fácil y no miente. Si estuviera escuchando tus llamadas telefónicas, tú podrías intentar disfrazar la conversación o hablar en código. Pero si estoy mirando metadatos, sé qué número llamó a qué número”.

Finalmente, cabe entonces preguntarse ¿qué falló en el caso de Paris? Las facultades para vigilar ya existían antes de los atentados y, aparentemente, ya se habían activados las alarmas de los servicios de inteligencia. Si algo falló, claramente no tuvo relación tanto con la cantidad de información que podía ser recolectada, sino más bien con su análisis.

Es por ello que no debemos dejar que se utilice este tipo de actos terroristas como una excusa para elevar los niveles de vigilancia de actividades en línea, haciéndonos creer que ello no tiene impacto sobre nuestros derechos y, en particular, sobre nuestra privacidad.