Temática: Protección de datos

Protección de datos personales: ¿compromiso real del Gobierno?

La semana pasada, el Senado de Chile aprobó la reforma constitucional que consagra el derecho a la protección de los datos personales.

La iniciativa, que pasará a la Cámara de Diputados para su segundo trámite constitucional, pretende modificar el artículo 19 de la Constitución, agregando dos incisos que establecen la protección de los datos personales, el derecho a acceder a ellos y a obtener su rectificación, complementación y cancelación; el tratamiento, circulación y traspaso de esos datos deberá realizarse en la forma y condiciones que fije la ley.

Senadores de todo el espectro político coincidieron en la necesidad de proteger constitucionalmente los datos personales, hoy consagrados en una legislación débil. De aprobarse en la Cámara de Diputados, la iniciativa permitirá que las personas utilicen el recurso de protección frente a cualquier amenaza, perturbación o vulneración de sus datos personales, lo que en la práctica significa una tramitación rápida, de bajo costo, donde no se necesita abogado

La reforma constitucional avanza con argumentos sólidos y consistentes, con un claro ánimo de entregar más derechos a las personas. Lamentablemente, los datos personales de los chilenos siguen bajo una ley deficiente, que no cumple con estándares internacionales, ni con una institucionalidad firme y que no protege debidamente a las personas.

El año recién pasado, el Ministerio de Economía preparó un anteproyecto de ley destinado a cambiar integralmente el régimen de protección de datos personales en Chile. El anteproyecto fue sometido a consulta y a discusión técnica en una mesa público-privada, donde participaron diversas empresas, organizaciones, gremios y académicos, incluyendo a Derechos Digitales.

El Ministerio fijó para octubre de 2014 el plazo de presentación del proyecto al Congreso. Sin embargo, durante meses no hemos tenido ninguna novedad sustantiva sobre el contenido del proyecto ni tampoco una nueva fecha de presentación.

Lo anterior es problemático: en la medida en que la protección legal de los datos personales siga siendo deficiente, el reconocimiento de su importancia en la Constitución pierde parte sustancial de su fuerza y propósito; disparidad que, de mantenerse, bien puede crear potenciales conflictos e incertezas legales.

El país requiere un fortalecimiento de los derechos de las personas sobre su información personal y para ello es fundamental el compromiso real del Gobierno, que no se quede solamente en el discurso y la intención.

El Congreso parece estar bien encaminado con la iniciativa de reforma constitucional, y esperamos que prontamente el Gobierno también se contagie con esta energía.

La retención de datos de usuarios de Internet es una medida desproporcionada

La lucha por el respeto a los derechos en la red vive una nueva batalla en Paraguay, donde un grupo de senadores presentó, en junio de 2014, un sucinto proyecto de ley que obliga a los proveedores de servicios de Internet a conservar los datos de tráfico de sus usuarios por doce meses, con el fin de poder ser accedidos por un juzgado competente.

El proyecto de ley, bautizado «Pyrawebs», parece perseguir un fin perfectamente legítimo en una sociedad democrática: prevenir y sancionar hechos criminales punibles que se cometen a través de Internet. Pero la legitimidad de la medida no se consume en la pregunta respecto de su fin, sino que debe analizarse la forma en la que este pretende cumplirse. En el caso del proyecto, que se refiere expresamente a hechos tipificados en el Código Penal Paraguayo además de «otras leyes penales especiales», no hay mención alguna a las garantías exigibles para evitar abusos y cuenta con escasos contrapesos.

El proyecto de ley parece explicitar que la norma de retención de datos se refiere solamente a los «metadatos» y no a los contenidos, específicamente a los datos de tráfico: dirección IP, origen y destino de la comunicación, hora y fecha de conexión y desconexión, itinerario, tamaño y duración de la comunicación. Pero esta distinción, promovida por buena parte de aquellos organismos de persecución criminal, en la práctica, es bastante más gris de lo que parece.

Nuestras agendas, que informan de nuestros contactos más recurrentes, las direcciones de email con quienes intercambiamos correos de manera frecuente e incluso nuestro historial de navegación, calificados como meros «metadatos», son suficientemente ilustrativos a la hora de identificar una persona o hacerla identificable. Como ejemplifica Ed Felten, si analizamos los metadatos de una llamada al ginecólogo realizada por una joven mujer que luego llama a su madre, luego a un hombre con quien se ha comunicado repetidamente en los últimos meses y luego a una clínica de abortos, probablemente podemos deducir bastante más que lo que podríamos conseguir de una conversación con ella. En resumen, no hay buenas razones para argumentar que los «metadatos» merecen una protección más débil que el contenido mismo de las comunicaciones.

El caso europeo

Cuando el  Tribunal de Justicia Europeo analizó la legalidad de la Directiva de Retención de Datos de 2006, que obligaba a conservar datos por hasta dos años, sostuvo que simplemente no era compatible con el principio de proporcionalidad. Esto es importante: El Tribunal reconoce que la conservación de datos persigue un interés general legítimo, pero es una norma desmedida con el objetivo perseguido y constituye una «injerencia desproporcionada» al derecho a la vida privada de los usuarios. Cabe preguntarse entonces por qué aquello que ha sido declarado inválido en el contexto europeo resulta tremendamente seductor para legisladores latinoamericanos.

Esto es especialmente peligroso cuando se une a la compulsión por regular aquello que, para muchos – tanto desde la ignorancia como desde la conveniencia política – no es sino un espacio agreste y ajeno a la legislación y al Estado de Derecho. Paraguay no tiene hoy una regulación sofisticada y robusta de protección de datos personales que garantice derechos en internet.

Quizás sea hora de que, en lugar de adaptar prácticas de dudosa constitucionalidad, deslegitimadas en el derecho comparado, miremos las carencias existentes en materia de protección de derechos en Latinoamérica y exijamos un cambio sustantivo.

¿Te parece una medida inapropiada? Ayuda a los paraguayos contra la ley de retención de datos en internet: ¡FIRMA! http://chn.ge/1A1CCAn

 

Fallo de IFAI, ¿olvido o censura en Internet?

Hace algunos días atrás, el Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI) resolvió que Google México es responsable del tratamiento de datos personales  y está obligado a remover de los resultados de su buscador los enlaces que vinculaban a un ciudadano con acusaciones de fraude, tráfico de influencias y posibles actos de corrupción, argumentando que atentaban contra su honor, sus relaciones comerciales, su seguridad personal e integridad física.

El interesado habría acudido primero a Google México, que rechazó la remoción de la información. Frente a la negativa, IFAI ejerció su facultad de mediador en el conflicto, determinando que la empresa debe cumplir con la Ley Federal de Protección de Datos Personales, y por tanto responder frente al derecho a oposición y cancelación solicitado (no necesariamente equivalentes al derecho al olvido), arriesgando una millonaria multa en caso de incumplimiento.

Con este fallo, IFAI abre la puerta a que cualquiera en México solicite la desindexación de páginas web, sentando un precedente del mal llamado “derecho al olvido”. Pero aunque se utilizó como antecedente un fallo similar del Tribunal de Justicia de la Unión Europea, a diferencia de este, no existe aquí ninguna consideración al interés público sobre la información que deja de enlazarse.

Por el contrario, al sindicar al buscador como responsable de los enlaces, se abre una vía para censurar contenidos en internet, atentando contra la libertad de expresión y privando a la sociedad de información relevante para el espacio público, bajo el pretexto de proteger datos personales, eliminando notas históricas, el periodismo crítico y creando lagunas de información.

Evidentemente, ni la libertad de expresión ni la protección de los datos personales son derechos absolutos, sino que admiten limitaciones que son necesarias para el adecuado equilibrio en su ejercicio. Y aunque el fallo de IFAI hace una mención (sucinta y al paso) a este hecho, no desarrolla ninguna excepción que permita ponderar o justificar su decisión.

Por otro lado, se abre una gran interrogante respecto a quién es el encargado de decidir qué información debe o no ser desindexada, posibilitando que el arbitraje caiga en manos privadas, encargadas de definir los límites a la libertad de expresión, con los incontables riesgos que esto podría desencadenar.

El derecho a acceder a la información es necesario para el libre debate de las ideas y el desarrollo de cualquier sociedad. Desafortunadamente la decisión del IFAI apunta en la dirección contraria.

¿Política pública o modelo de negocio?

«Internet.org» no es Internet», afirma -y con razón- Carolina Botero de la Fundación Karisma, a propósito de  la llegada con bombos y platillos a Colombia del proyecto estrella de Mark Zukerberg, cabeza de Facebook. La iniciativa ha anunciado pronto arribo a México y durante el año recién pasado ya desarrolló un programa piloto en Paraguay.

A principios de 2014 Zuckerberg presentó en Zambia el proyecto, que tiene como finalidad conectar a Internet al 60% de la población mundial que actualmente no cuenta con acceso, a través de un acuerdo entre Facebook, un operador de internet local y su gobierno. Así, los usuarios con teléfonos de gama baja pueden obtener “gratis” la aplicación Internet.org, y tener acceso a limitados servicios de la red, como Facebook, Google, Wikipedia o AccuWeather, entre otros.

Un modelo de cooperación público-privada que, dicen, solo trae beneficios: Facebook, el operador local y las aplicaciones seleccionadas para estar en Internet.org tendrán un enorme y nuevo mercado que explorar, los gobiernos solucionarán sus problemas de conectividad y, claro, una enorme cantidad de personas podrán, al fin, acceder a los beneficios de internet.

Pero ¿se trata de una situación de ganar o ganar? Bajo la idea altruista de lograr por fin acabar con las barreras de acceso a internet, es necesario analizar sobre todo el rol de los Estados al adoptar Internet.org como una política pública.

 

¿Modelo de negocio o política pública?

Uno de los grandes problemas de este proyecto es su nombre. Dice que lo que se ofrece es internet, pero la verdad es que solo es una ventana que muestra algunos servicios. Este punto es fundamental. Si la red es un océano, Internet.org es un vaso de agua.

Internet.org, tal como los otros servicios “zero rating”, discrimina los contenidos de internet -y como se ha dicho profusamente, viola el principio de neutralidad de la red- porque justamente en eso se basa su modelo económico: abrir nuevos mercados -los usuarios largamente excluidos- y ofrecerles servicios de internet previamente acordados con Facebook.

En esta lógica, detrás del popularísimo eslogan de  “dar acceso gratis a algunas aplicaciones de internet” a la población, nos encontramos más bien con un lucrativo modelo de negocio privado y, por ende, con un problema de política pública más complejo, que debería ser seriamente analizado por nuestros Estados cuando Zuckerberg les toque la puerta.

La pregunta más urgente apunta a saber quién decide finalmente sobre qué aplicaciones quedan en Internet.org en cada país. Según el vicepresidente de Facebook, la decisión la toman entre ellos, el Gobierno de turno y el operador (Tigo, en el caso colombiano). ¿Cómo se garantiza el interés público en esa decisión? ¿Cuáles son los estándares de transparencia que aplican a la misma?

También es necesario preguntarse cómo los Estados pretenden resolver el evidente problema de libre competencia que están provocando al adoptar Internet.org. ¿Cómo justifican, por ejemplo, que WhatsApp puede tener prioridad por arriba de cualquier otro servicio de mensajería online que, por lo demás, pueda ofrecer mejores medidas de seguridad a sus usuarios?

El problema se hace más interesante cuando muchos de los Estados que hoy ven con buenos ojos Internet.org, tienen sendas planificaciones de hacer versiones locales de “Silicon Valley” que puedan desarrollar la industria nacional de internet. ¿Tendrán las aplicaciones locales un lugar en ese “nuevo mercado” que indudablemente abre “Internet.org”?

Las dudas no terminan ahí. También hay implicancias en derechos humanos fundamentales, como la privacidad de los usuarios de Internet.org, considerando que el modelo de negocio sobre el que se basa Facebook descansa esencialmente en la venta de publicidad. Mientras más sabe Facebook de sus clientes, mejor puede segmentar la publicidad de la plataforma.

Y es que en esto hay que ser muy claros: afirmar que Internet.org es un servicio gratuito es una mentira. Los usuarios de Internet.org pagarán con la entrega de sus datos personales a las empresas e instituciones envueltas en esta iniciativa; sí, tal como nosotros, los que tenemos acceso a internet, lo hacemos todo los días, pero con una diferencia fundamental: nosotros tenemos la posibilidad de optar por otros servicios que nos ofrezcan soluciones respetuosas con nuestros datos y su seguridad. En Internet.org no hay libre elección posible.

Adicionalmente, considerando las preocupantes revelaciones de Snowden, Carolina Botero agrega la preocupación por la seguridad de nuestra privacidad: “Como internet es descentralizado, aunque es posible espiar masivamente, no es tan fácil hacerlo; en cambio para los usuarios de Internet.org será más fácil porque se trata de una oferta de servicios centralizados. ¿Se están tomando medidas para evitarlo?”.

Internet.org genera muchas dudas, la mayoría debido a que en el proceso de su llegada a nuestros países se ha excluido completamente el diálogo con la sociedad civil y la academia: ha sido un acuerdo entre Gobierno, Facebook y el operador local. Aquello no solo hace sospechar de Facebook, que toma el molesto rol de la empresa del mundo desarrollado que nos viene a decir cómo tenemos que solucionar nuestros problemas locales sin considerar nuestra opinión, sino fundamentalmente de nuestros Estados, los que aún no comprenden que internet y su gobernanza, al ser un asunto de interés público, debe ser una instancia de participación y diversidad.

 

Día de la protección de datos personales, ¿hay algo que celebrar?

En el año 2006, el Comité de Ministros del Consejo de Europa determinó marcar el 28 de enero de cada año, con el propósito de difundir los derechos que tiene toda persona sobre el uso que se da a sus datos personales y las responsabilidades que conlleva un manejo adecuado de estos. Se eligió ese día para coincidir con la fecha en que se dispuso la firma del Convenio Nº 108 para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, en 1981.

Mucho ha cambiado el mundo desde entonces y una parte importante de nuestra vida actual tiene lugar en la red, donde vamos dejando un rastro de información sobre todo lo que hacemos, dónde y con quién. Datos valiosos para aquellos dedicados a la vigilancia estatal y privada. Es por ello que creemos necesario dedicarle un segundo a revisar el estado de los objetivos trazados en la sede europea, a la luz de los cambios introducidos por la masificación de Internet.

En los últimos años hemos visto cómo se ha incrementado la presión sobre una adecuada protección a los datos personales y el legítimo derecho a la privacidad. Un área en la que esto se manifiesta de forma más patente es la persecución penal, más específicamente en las llamadas “medidas intrusivas”, aquellas que permiten romper el ámbito de protección legal a la vida privada en el marco de una investigación criminal.

Derechos Digitales ha estado investigando en esta línea, tanto en Chile como en el resto de Latinoamérica, a fin de determinar si estas medidas existen en un marco legal de afectación de derechos equilibrado, y particularmente en relación al uso de Internet y las nuevas tecnologías.

De nuestros primeros informes en la materia, hemos concluido que si bien nuestros sistemas procesales contemplan protección para la privacidad (y en algunos casos también para los datos personales de forma expresa) desgraciadamente no están suficientemente preparados para enfrentar los complejos desafíos que plantea el avance de las tecnologías digitales, muchas veces haciendo extensivas las reglas del mundo analógico, pero sin considerar sus particularidades.

Así, en el caso de Chile, los correos electrónicos han sido asimilados al correo postal tradicional para efectos de su incautación, generando distorsiones preocupantes, como que dicha medida sea aplicada sobre los servidores o los equipos completos, bajo escasos resguardos procedimentales o en desproporción respecto de la demás información contenida en ellos.

En ocasiones, este método implica no sólo afectar la privacidad y los datos personales del sujeto investigado, sino las libertades que ostentan otros individuos distintos a él y, de paso, vulnerar el principio del debido proceso y la presunción de inocencia. Así ocurre en el caso de la recolección de metadatos.

Desgraciadamente la tendencia legislativa en Chile y la región parece ir exactamente en la dirección contraria al interés de sus ciudadanos: dotar al Estado de más herramientas de control y vigilancia, en desmedro de la protección de los derechos humanos, también ejercidos en Internet.

En el caso chileno disponemos de una norma en el marco del proceso penal que permite la retención de datos tanto sobre comunicaciones telefónicas como electrónicas (direcciones IP), y existe también un anteproyecto de modificación a la ley de datos personales, cuyo texto definitivo aún no ha sido ingresado a tramitación parlamentaria, por lo que urge seguirlo atentamente, para determinar cómo podría afectar la privacidad.

Pareciera ser que aún falta bastante por hacer para poder celebrar el Día Internacional de la Protección de Datos Personales como es debido. Por ahora solo nos queda esperar que el trabajo arduo que se está desarrollando en esta área fortalezca el ejercicio de este derecho en un futuro próximo.