Temática: Protección de datos

La era dorada de la vigilancia

Hacking Team es una empresa italiana conocida por el desarrollo y venta de soluciones tecnológicas de vigilancia. Desde hace muchos años que sus prácticas comerciales siembran sospechas, dada su vinculación comercial con gobiernos dudosamente democráticos y fuertemente represivos. Así, desde 2012 que se documentaba la utilización del “Sistema de Control Remoto” (Remote Control System, conocido como Phantom o Galileo), software estrella de la compañía, para vigilar e intimidar a disidentes políticos en Egipto, Omán, Marruecos, entre otras regiones del mundo, siendo considerado uno de los “enemigos de internet” por parte de Reporteros sin Fronteras en 2012.

Phantom es un software que permite, a través de su intrusión en el equipo espiado (lo que se conoce como un malware), el registro y almacenamiento de correos electrónicos, mensajería instantánea, historial de navegación web, tomar control de la cámara y el micrófono de la víctima. Incluso permite inyectar archivos y evidencia en dispositivos electrónicos.

Paradójicamente, hace algunas semanas Hacking Team fue gravemente hackeado. Más de 400GB de información privada de la empresa italiana fueron publicados en internet, incluyendo correos electrónicos y documentos transparentando los secretos de la empresa, que confirman la venta de software a regímenes autoritarios y con embargo comercial.

La información además ratifica la vinculación de Hacking Team con gobiernos de América Latina. Chile, Colombia, Ecuador, Honduras, México y Panamá son algunos de los clientes de la empresa. En algunos casos, por parte de agencias de inteligencia, en otras, por la policía. En el caso chileno, se documentó la compra de licencias por parte de la Policía de Investigaciones (PDI).

[left]Hoy vivimos en la ‘era dorada’ de la vigilancia. Nunca antes en la historia las agencias de persecución criminal tuvieron mejores capacidades que en nuestros días.[/left]

La PDI sostuvo que la tecnología fue adquirida en el marco de un proceso de ‘modernización’ institucional y que solo es utilizada con autorización judicial. Pero la Policía de Investigaciones no necesita de estas tecnologías para cumplir la misión que la ley le adjudica. Y, aún necesitando cierta tecnología para conseguir pruebas en juicio, no cualquier tecnología es válida para cumplir dicho propósito. En este caso, estamos frente a un software con características que exceden con mucho sus facultades y que, además, son de dudosa legalidad: en juicio no podrían ser utilizadas como evidencia si han sido conseguidas sin cumplir con los estrictos estándares establecidos en los procesos criminales.

Hoy vivimos en la ‘era dorada’ de la vigilancia. Nunca antes en la historia las agencias de persecución criminal tuvieron mejores capacidades que en nuestros días. Nuestros teléfonos son, en la práctica, instrumentos de geolocalización en tiempo real; buena parte de nuestras vidas y relaciones sociales están almacenadas en algún tipo de ‘log’ o registro de nuestro uso de plataformas, correo electrónico o mensajes de texto, y existen cientos de bases de datos que contienen información respecto de nosotros, nuestras prácticas de consumo, fichas clínicas, de infracciones de tránsito y navegación de internet que, cuando se utilizan conjuntamente, dicen más de nosotros de lo que podríamos imaginar.

Como nunca antes, las agencias de persecución criminal tienen hoy mucha información para poder procesar y actuar preventivamente para combatir el delito. Les basta una orden judicial para poder acceder con prontitud a dichos registros.

No es suficiente ni aceptable la escueta declaración que hizo pública la Policía de Investigaciones respecto del caso. Desde hace más de quince años que cuenta con una brigada para investigar delitos cometidos vía internet, con recursos y personal especializado.

En un estado de derecho se deben explicaciones adicionales, que permitan entender mejor el gasto de recursos públicos en tecnologías altamente abusivas a los derechos de las personas y evaluar, así, si estas medidas son proporcionales y necesarias para los objetivos que se indican. A todas luces, en este caso, no son sino medidas intrusivas, ilegales y dudosamente necesarias.

¿Quién le puede decir que no a Google y Facebook?

El 22 de mayo recién pasado, la Administración Nacional de Educación Pública (ANEP) en Uruguay anunció un acuerdo para el uso “gratis” de aplicaciones de Google en el Plan Ceibal, este último, un famoso programa de inclusión tecnológica y social, inspirado en la ya finalizada iniciativa “One Laptop Per Child”, que entrega un computador con conexión inalámbrica a internet a cada estudiante y docente de la enseñanza pública en Uruguay.

Gracias al acuerdo, los beneficiarios del Plan Ceibal pueden usar de forma “gratuita” y sin publicidad todas las aplicaciones de “Apps For Education”, que incluyen sistemas de comunicación y almacenamiento como correo electrónico y Google Drive.

Meses antes de que se anunciara el acuerdo, el encargado de desarrollos de Google for Education para Latinoamérica, James Ballentine, declaró en una visita a Uruguay: «No se trata de reemplazar el cuaderno y el lápiz por una laptop o tableta y que uno tome apuntes de la misma manera. Se trata de que el proceso educativo se tecnologice profundamente».

Creada la necesidad de tecnologías digitales, creado también el negocio. Para ayudar a los gobiernos para que su educación se “tecnologice”, está Google for Education, así como para brindar internet gratis a los más pobres del mundo está Facebook y su Internet.org.

¿Qué gobierno en vías de desarrollo puede negarse a que una reconocida empresa tecnológica regale un servicio de estándar mundial? ¿Cómo la privacidad o la neutralidad tecnológica pueden competir en tamaño negocio?

Uno de los problemas de que gobiernos le digan sí a grandes empresas como Google o Facebook en programas como Ceibal o Internet.org, es que su llegada tiene una moneda de cambio que las autoridades parecen ignorar. Detrás de esa “gratuidad” de sus servicios, está la condición de obtener y manipular tus datos personales, hacer perfilamientos de tus hábitos, cambiar las condiciones de su servicio cuando les dé la gana y, al parecer, hasta compartir tu información sin necesariamente respetar el debido proceso cuando se trata de gobiernos como el de Estados Unidos. Y en el particular caso de Internet.org, ni siquiera se garantiza el uso de protocolos de seguridad mínimos como el https para evitar intercepciones de información.

En el caso del Plan Ceibal, activistas, docentes y organizaciones han denunciado además la falta de transparencia en la firma del acuerdo, las violaciones a la neutralidad y soberanía tecnológica, así como las nulas garantías del resguardo de los datos personales de las personas envueltas en el programa. Además, ven con preocupación la posibilidad que Google sea también el proveedor de computadores portátiles con sus Chromebooks, que le daría control completo del programa a una sola empresa.

Con todo, la noticia de Google en Plan Ceibal refuerza lo que ya parece ser una tendencia preocupante entre las grandes compañías de servicios tecnológicos: disfrazar sus modelos de negocio en planes filantrópicos, enfocarse en países en desarrollo y negociar directamente con los gobiernos. Se tratan de intervenciones inaceptables en las políticas públicas tecnológicas de países en vías de desarrollo, dado que se hacen sin participación y con dudosos estándares de transparencia, y que justificadamente levantan inquietud en la sociedad civil y la academia.

Cambiar esa realidad implica gobiernos que dominan las discusiones de interés público alrededor de las tecnologías digitales y la gobernanza de internet, dispuestos a evaluar los costos de estas decisiones más allá de lo meramente económico, exigiendo estándares de protección a los derechos humanos a través de estos servicios.

Otra amenaza secreta a la democracia y a los derechos humanos

En la última década, la sociedad civil ha tenido que enfrentar una y otra vez los intentos por regular materias importantes a través de tratados de libre comercio o leyes de incalculable impacto sobre los derechos humanos en la red. Alguna vez fue ACTA, alguna vez fue la ley SOPA y todavía existe riesgo en el Pacífico con el TPP y en Europa con el anunciado TTIP.

Esas preocupaciones se mantienen con la reciente filtración del contenido de otro tratado: el Acuerdo en Comercio de Servicios o TISA (Trade in Services Agreement). Y aunque el foco pareciera estar en los “servicios” como una materia menos amplia que otros tratados, el impacto sobre la tecnología y sobre el manejo de datos personales significa riesgo para los derechos fundamentales. Esta vez, con más de 50 países de todo el orbe, incluyendo a Estados Unidos, la Unión Europea y Japón, pero también a Chile, Colombia, Costa Rica, México, Panamá, Paraguay y Uruguay.

Gracias a las filtraciones de su texto, sabemos que TISA conlleva una vez más amenazas concretas y profundas a la democracia y a los derechos fundamentales, con buena parte de Latinoamérica y el Caribe esta vez como protagonistas.

Otro tratado secreto

Buena parte del texto y de la negociación de TISA ha sido filtrada a través de Wikileaks hace unos días, complementando la filtración de hace casi un año, cuyo capítulo sobre servicios financieros mostraba algunas de las más peligrosas cláusulas negociadas. La filtración ha permitido algo que los gobiernos de decenas de países han impedido: que los posibles afectados sepan cuáles son los alcances del tratado.

Desde Derechos Digitales una solicitud de acceso a la información fue enviada a la Dirección de Relaciones Económicas Internacionales de Chile en 2014. Por supuesto, la respuesta fue negativa: la resolución que denegó el acceso, sin poder hacer referencia a acto alguno de compromiso de reserva, sí defendió la “expectativa razonable” de tratamiento de la información como confidencial, invocando resoluciones anteriores que han denegado el acceso al TPP. Al parecer, excluir al público sobre las materias que afectan sus derechos es esperable por quienes negocian a puertas cerradas.

De este modo, conocer el contenido de tratados como TISA requiere de actos de filtración, ante la negativa de los gobiernos. Para la mayoría de la población está descartado participar e incidir en el proceso.

Un tratado contrario a la privacidad

En varios pasajes del texto, las cláusulas sugieren que una parte no estará obligada a revelar información de los individuos, en aparente protección de sus datos personales. Sin embargo, el anexo de servicios financieros claramente proporciona a los proveedores de servicios financieros el poder para transferir datos personales y registros individuales a través de las fronteras. Aunque un país puede establecer restricciones, ello no puede ser en perjuicio de las disposiciones del acuerdo.

Con esto, TISA pone en peligro aquellas flexibilidades que permiten imponer ciertas restricciones al libre flujo de información, a efectos de proteger los derechos humanos (como normas sobre protección de datos personales sensibles) o bien por razones de interés público (como información relativa a seguridad nacional). En países con pobre protección de la privacidad y de los datos personales, como buena parte de Latinoamérica, provisiones como estas ponen al comercio por sobre los derechos de las personas.

Un tratado que compromete la tecnología

Como sorpresa aparece en el tratado la propuesta de prohibir que los países exijan el código fuente de programas computacionales comercializados a gran escala, sin especificar ese último concepto. Esto, en la práctica, impediría los mandatos legales sobre software libre o de código abierto, además de entorpecer la exigencia estatales para poder verificar estándares de seguridad. Es muy difícil ver cómo una propuesta así podría beneficiar a los Estados participantes, limitando más bien la capacidad de generar instancias de interoperabilidad o de seguridad de los programas que se usan o compran en un país.

La constante amenaza sobre los derechos fundamentales

A través de tratados que buscan liberalizar el comercio, vemos propuestas para regular materias internas en riesgo o en desmedro de los derechos de las personas. Y se trata de negociaciones a puertas cerradas, sin posibilidad de participación o incidencia pública, con contenidos que solamente llegan a ser conocidos gracias a filtraciones. Es algo que ocurre ya no de forma aislada, sino con frecuencia.

A través de una reciente declaración pública, expertos de la Organización de Naciones Unidas han explicado el riesgo que conllevan los procesos secretos para  los derechos humanos y la democracia. Los expertos piden transparencia, consultas públicas, participación pública, publicación de los textos negociados y análisis de impacto sobre derechos humanos, además de reconsiderar los tratados que hoy se negocian y que tantas atribuciones entregan a las multinacionales. Pero se trata de propuestas que no encuentran eco en los gobiernos de los países que negocian TISA y que mantienen a sus ciudadanos desprovistos de voz y voto en la defensa de sus derechos.

Privacidad, libertad de expresión y defensa del anonimato en América Latina

Olvidemos Europa, Canadá y Estados Unidos. ¿Qué ocurre con la persecución del anonimato, las prácticas de vigilancias o el uso de tecnologías de cifrado en regiones lejanas a los países desarrollados?

Lamentablemente, la respuesta no es tan fácil ni tan profunda como quisiéramos.

Y es que desde las impactantes revelaciones de Snowden sobre la vigilancia masiva conducida por países como el reino Unido o Estados Unidos, la discusión sobre la protección de la privacidad y la lucha contra el espionaje ha estado radicada fuertemente en los países desarrollados. Entendible, si consideramos el impacto mundial al saber que las “grandes democracias del Occidente” llevaban a cabo prácticas de represión que, tantas veces acusaron, eran propias de regímenes autocráticos ajenos a la democracia representativa.

El panorama fuera de esos países es distinto, lo que es particularmente interesante en América Latina. Y no es porque los gobiernos u otros grupos de poder acá sean más respetuosos con los datos personales de sus ciudadanos, sino más bien porque en la región todavía hay desconocimiento de cómo las prácticas de vigilancia se desarrollan, a pesar de que hay amplia evidencia de su existencia.

Aquello se puede apreciar en distintos niveles: encontramos países con agencias de inteligencia descontroladas, como por ejemplo el dramático caso colombiano; sofisticados sistemas biométricos de identificación de ciudadanos como el SIBIOS argentino; o una extendida persecución del anonimato en la región.

El reporte “Freedom of expression, encryption and anonymity. Civil Society and Private Sector perceptions”, justamente brinda pistas de cómo la libertad de expresión puede ser amenazada con la persecución del anonimato y el cifrado en los países del sur global, donde por cierto tiene cabida América Latina.

Hecho en colaboración por la World Wide Web Foundation, el Centre for Internet and Human Rights de la European University Viadrina, la Oficina Antivigilância de Brasil y Derechos Digitales, el reporte se centra en casos de una muestra general de países de este lado del mundo, enviados por defensores de derechos humanos locales. El panorama deja muchos cuestionamientos.

¿Hay evidencia real para seguir adoptando políticas de vigilancia como respuesta para problemas sociales? ¿Cómo se garantizan derechos como la privacidad de las personas con las tecnologías de la vigilancia? ¿Cuál es la industria detrás de la producción de tecnologías de vigilancia y cuál es su relación con nuestros gobiernos? ¿Por qué el anonimato, piedra fundamental de la libertad de expresión, es perseguido aún por gobiernos democráticos?

La falta de respuestas claras es un reto urgente para investigadores y activistas, no solo para tener un cuerpo teórico que permita dar respuestas desde el sur a problemas del sur, sino fundamentalmente porque las políticas de vigilancia (que incluyen la aplicación de tecnología y la persecución legal del anonimato en detrimento de la privacidad) se han naturalizado velozmente en América Latina y se necesita evidencia  contundente para alimentar el trabajo de organizaciones de derechos humanos y revertir esa tendencia.

Descarga “Freedom of expression, encryption and anonymity. Civil Society and Private Sector perceptions”.

 

Protección de datos personales: ¿compromiso real del Gobierno?

La semana pasada, el Senado de Chile aprobó la reforma constitucional que consagra el derecho a la protección de los datos personales.

La iniciativa, que pasará a la Cámara de Diputados para su segundo trámite constitucional, pretende modificar el artículo 19 de la Constitución, agregando dos incisos que establecen la protección de los datos personales, el derecho a acceder a ellos y a obtener su rectificación, complementación y cancelación; el tratamiento, circulación y traspaso de esos datos deberá realizarse en la forma y condiciones que fije la ley.

Senadores de todo el espectro político coincidieron en la necesidad de proteger constitucionalmente los datos personales, hoy consagrados en una legislación débil. De aprobarse en la Cámara de Diputados, la iniciativa permitirá que las personas utilicen el recurso de protección frente a cualquier amenaza, perturbación o vulneración de sus datos personales, lo que en la práctica significa una tramitación rápida, de bajo costo, donde no se necesita abogado

La reforma constitucional avanza con argumentos sólidos y consistentes, con un claro ánimo de entregar más derechos a las personas. Lamentablemente, los datos personales de los chilenos siguen bajo una ley deficiente, que no cumple con estándares internacionales, ni con una institucionalidad firme y que no protege debidamente a las personas.

El año recién pasado, el Ministerio de Economía preparó un anteproyecto de ley destinado a cambiar integralmente el régimen de protección de datos personales en Chile. El anteproyecto fue sometido a consulta y a discusión técnica en una mesa público-privada, donde participaron diversas empresas, organizaciones, gremios y académicos, incluyendo a Derechos Digitales.

El Ministerio fijó para octubre de 2014 el plazo de presentación del proyecto al Congreso. Sin embargo, durante meses no hemos tenido ninguna novedad sustantiva sobre el contenido del proyecto ni tampoco una nueva fecha de presentación.

Lo anterior es problemático: en la medida en que la protección legal de los datos personales siga siendo deficiente, el reconocimiento de su importancia en la Constitución pierde parte sustancial de su fuerza y propósito; disparidad que, de mantenerse, bien puede crear potenciales conflictos e incertezas legales.

El país requiere un fortalecimiento de los derechos de las personas sobre su información personal y para ello es fundamental el compromiso real del Gobierno, que no se quede solamente en el discurso y la intención.

El Congreso parece estar bien encaminado con la iniciativa de reforma constitucional, y esperamos que prontamente el Gobierno también se contagie con esta energía.

La retención de datos de usuarios de Internet es una medida desproporcionada

La lucha por el respeto a los derechos en la red vive una nueva batalla en Paraguay, donde un grupo de senadores presentó, en junio de 2014, un sucinto proyecto de ley que obliga a los proveedores de servicios de Internet a conservar los datos de tráfico de sus usuarios por doce meses, con el fin de poder ser accedidos por un juzgado competente.

El proyecto de ley, bautizado «Pyrawebs», parece perseguir un fin perfectamente legítimo en una sociedad democrática: prevenir y sancionar hechos criminales punibles que se cometen a través de Internet. Pero la legitimidad de la medida no se consume en la pregunta respecto de su fin, sino que debe analizarse la forma en la que este pretende cumplirse. En el caso del proyecto, que se refiere expresamente a hechos tipificados en el Código Penal Paraguayo además de «otras leyes penales especiales», no hay mención alguna a las garantías exigibles para evitar abusos y cuenta con escasos contrapesos.

El proyecto de ley parece explicitar que la norma de retención de datos se refiere solamente a los «metadatos» y no a los contenidos, específicamente a los datos de tráfico: dirección IP, origen y destino de la comunicación, hora y fecha de conexión y desconexión, itinerario, tamaño y duración de la comunicación. Pero esta distinción, promovida por buena parte de aquellos organismos de persecución criminal, en la práctica, es bastante más gris de lo que parece.

Nuestras agendas, que informan de nuestros contactos más recurrentes, las direcciones de email con quienes intercambiamos correos de manera frecuente e incluso nuestro historial de navegación, calificados como meros «metadatos», son suficientemente ilustrativos a la hora de identificar una persona o hacerla identificable. Como ejemplifica Ed Felten, si analizamos los metadatos de una llamada al ginecólogo realizada por una joven mujer que luego llama a su madre, luego a un hombre con quien se ha comunicado repetidamente en los últimos meses y luego a una clínica de abortos, probablemente podemos deducir bastante más que lo que podríamos conseguir de una conversación con ella. En resumen, no hay buenas razones para argumentar que los «metadatos» merecen una protección más débil que el contenido mismo de las comunicaciones.

El caso europeo

Cuando el  Tribunal de Justicia Europeo analizó la legalidad de la Directiva de Retención de Datos de 2006, que obligaba a conservar datos por hasta dos años, sostuvo que simplemente no era compatible con el principio de proporcionalidad. Esto es importante: El Tribunal reconoce que la conservación de datos persigue un interés general legítimo, pero es una norma desmedida con el objetivo perseguido y constituye una «injerencia desproporcionada» al derecho a la vida privada de los usuarios. Cabe preguntarse entonces por qué aquello que ha sido declarado inválido en el contexto europeo resulta tremendamente seductor para legisladores latinoamericanos.

Esto es especialmente peligroso cuando se une a la compulsión por regular aquello que, para muchos – tanto desde la ignorancia como desde la conveniencia política – no es sino un espacio agreste y ajeno a la legislación y al Estado de Derecho. Paraguay no tiene hoy una regulación sofisticada y robusta de protección de datos personales que garantice derechos en internet.

Quizás sea hora de que, en lugar de adaptar prácticas de dudosa constitucionalidad, deslegitimadas en el derecho comparado, miremos las carencias existentes en materia de protección de derechos en Latinoamérica y exijamos un cambio sustantivo.

¿Te parece una medida inapropiada? Ayuda a los paraguayos contra la ley de retención de datos en internet: ¡FIRMA! http://chn.ge/1A1CCAn