Temática: Protección de datos

Otra amenaza secreta a la democracia y a los derechos humanos

En la última década, la sociedad civil ha tenido que enfrentar una y otra vez los intentos por regular materias importantes a través de tratados de libre comercio o leyes de incalculable impacto sobre los derechos humanos en la red. Alguna vez fue ACTA, alguna vez fue la ley SOPA y todavía existe riesgo en el Pacífico con el TPP y en Europa con el anunciado TTIP.

Esas preocupaciones se mantienen con la reciente filtración del contenido de otro tratado: el Acuerdo en Comercio de Servicios o TISA (Trade in Services Agreement). Y aunque el foco pareciera estar en los “servicios” como una materia menos amplia que otros tratados, el impacto sobre la tecnología y sobre el manejo de datos personales significa riesgo para los derechos fundamentales. Esta vez, con más de 50 países de todo el orbe, incluyendo a Estados Unidos, la Unión Europea y Japón, pero también a Chile, Colombia, Costa Rica, México, Panamá, Paraguay y Uruguay.

Gracias a las filtraciones de su texto, sabemos que TISA conlleva una vez más amenazas concretas y profundas a la democracia y a los derechos fundamentales, con buena parte de Latinoamérica y el Caribe esta vez como protagonistas.

Otro tratado secreto

Buena parte del texto y de la negociación de TISA ha sido filtrada a través de Wikileaks hace unos días, complementando la filtración de hace casi un año, cuyo capítulo sobre servicios financieros mostraba algunas de las más peligrosas cláusulas negociadas. La filtración ha permitido algo que los gobiernos de decenas de países han impedido: que los posibles afectados sepan cuáles son los alcances del tratado.

Desde Derechos Digitales una solicitud de acceso a la información fue enviada a la Dirección de Relaciones Económicas Internacionales de Chile en 2014. Por supuesto, la respuesta fue negativa: la resolución que denegó el acceso, sin poder hacer referencia a acto alguno de compromiso de reserva, sí defendió la “expectativa razonable” de tratamiento de la información como confidencial, invocando resoluciones anteriores que han denegado el acceso al TPP. Al parecer, excluir al público sobre las materias que afectan sus derechos es esperable por quienes negocian a puertas cerradas.

De este modo, conocer el contenido de tratados como TISA requiere de actos de filtración, ante la negativa de los gobiernos. Para la mayoría de la población está descartado participar e incidir en el proceso.

Un tratado contrario a la privacidad

En varios pasajes del texto, las cláusulas sugieren que una parte no estará obligada a revelar información de los individuos, en aparente protección de sus datos personales. Sin embargo, el anexo de servicios financieros claramente proporciona a los proveedores de servicios financieros el poder para transferir datos personales y registros individuales a través de las fronteras. Aunque un país puede establecer restricciones, ello no puede ser en perjuicio de las disposiciones del acuerdo.

Con esto, TISA pone en peligro aquellas flexibilidades que permiten imponer ciertas restricciones al libre flujo de información, a efectos de proteger los derechos humanos (como normas sobre protección de datos personales sensibles) o bien por razones de interés público (como información relativa a seguridad nacional). En países con pobre protección de la privacidad y de los datos personales, como buena parte de Latinoamérica, provisiones como estas ponen al comercio por sobre los derechos de las personas.

Un tratado que compromete la tecnología

Como sorpresa aparece en el tratado la propuesta de prohibir que los países exijan el código fuente de programas computacionales comercializados a gran escala, sin especificar ese último concepto. Esto, en la práctica, impediría los mandatos legales sobre software libre o de código abierto, además de entorpecer la exigencia estatales para poder verificar estándares de seguridad. Es muy difícil ver cómo una propuesta así podría beneficiar a los Estados participantes, limitando más bien la capacidad de generar instancias de interoperabilidad o de seguridad de los programas que se usan o compran en un país.

La constante amenaza sobre los derechos fundamentales

A través de tratados que buscan liberalizar el comercio, vemos propuestas para regular materias internas en riesgo o en desmedro de los derechos de las personas. Y se trata de negociaciones a puertas cerradas, sin posibilidad de participación o incidencia pública, con contenidos que solamente llegan a ser conocidos gracias a filtraciones. Es algo que ocurre ya no de forma aislada, sino con frecuencia.

A través de una reciente declaración pública, expertos de la Organización de Naciones Unidas han explicado el riesgo que conllevan los procesos secretos para  los derechos humanos y la democracia. Los expertos piden transparencia, consultas públicas, participación pública, publicación de los textos negociados y análisis de impacto sobre derechos humanos, además de reconsiderar los tratados que hoy se negocian y que tantas atribuciones entregan a las multinacionales. Pero se trata de propuestas que no encuentran eco en los gobiernos de los países que negocian TISA y que mantienen a sus ciudadanos desprovistos de voz y voto en la defensa de sus derechos.

Privacidad, libertad de expresión y defensa del anonimato en América Latina

Olvidemos Europa, Canadá y Estados Unidos. ¿Qué ocurre con la persecución del anonimato, las prácticas de vigilancias o el uso de tecnologías de cifrado en regiones lejanas a los países desarrollados?

Lamentablemente, la respuesta no es tan fácil ni tan profunda como quisiéramos.

Y es que desde las impactantes revelaciones de Snowden sobre la vigilancia masiva conducida por países como el reino Unido o Estados Unidos, la discusión sobre la protección de la privacidad y la lucha contra el espionaje ha estado radicada fuertemente en los países desarrollados. Entendible, si consideramos el impacto mundial al saber que las “grandes democracias del Occidente” llevaban a cabo prácticas de represión que, tantas veces acusaron, eran propias de regímenes autocráticos ajenos a la democracia representativa.

El panorama fuera de esos países es distinto, lo que es particularmente interesante en América Latina. Y no es porque los gobiernos u otros grupos de poder acá sean más respetuosos con los datos personales de sus ciudadanos, sino más bien porque en la región todavía hay desconocimiento de cómo las prácticas de vigilancia se desarrollan, a pesar de que hay amplia evidencia de su existencia.

Aquello se puede apreciar en distintos niveles: encontramos países con agencias de inteligencia descontroladas, como por ejemplo el dramático caso colombiano; sofisticados sistemas biométricos de identificación de ciudadanos como el SIBIOS argentino; o una extendida persecución del anonimato en la región.

El reporte “Freedom of expression, encryption and anonymity. Civil Society and Private Sector perceptions”, justamente brinda pistas de cómo la libertad de expresión puede ser amenazada con la persecución del anonimato y el cifrado en los países del sur global, donde por cierto tiene cabida América Latina.

Hecho en colaboración por la World Wide Web Foundation, el Centre for Internet and Human Rights de la European University Viadrina, la Oficina Antivigilância de Brasil y Derechos Digitales, el reporte se centra en casos de una muestra general de países de este lado del mundo, enviados por defensores de derechos humanos locales. El panorama deja muchos cuestionamientos.

¿Hay evidencia real para seguir adoptando políticas de vigilancia como respuesta para problemas sociales? ¿Cómo se garantizan derechos como la privacidad de las personas con las tecnologías de la vigilancia? ¿Cuál es la industria detrás de la producción de tecnologías de vigilancia y cuál es su relación con nuestros gobiernos? ¿Por qué el anonimato, piedra fundamental de la libertad de expresión, es perseguido aún por gobiernos democráticos?

La falta de respuestas claras es un reto urgente para investigadores y activistas, no solo para tener un cuerpo teórico que permita dar respuestas desde el sur a problemas del sur, sino fundamentalmente porque las políticas de vigilancia (que incluyen la aplicación de tecnología y la persecución legal del anonimato en detrimento de la privacidad) se han naturalizado velozmente en América Latina y se necesita evidencia  contundente para alimentar el trabajo de organizaciones de derechos humanos y revertir esa tendencia.

Descarga “Freedom of expression, encryption and anonymity. Civil Society and Private Sector perceptions”.

 

Protección de datos personales: ¿compromiso real del Gobierno?

La semana pasada, el Senado de Chile aprobó la reforma constitucional que consagra el derecho a la protección de los datos personales.

La iniciativa, que pasará a la Cámara de Diputados para su segundo trámite constitucional, pretende modificar el artículo 19 de la Constitución, agregando dos incisos que establecen la protección de los datos personales, el derecho a acceder a ellos y a obtener su rectificación, complementación y cancelación; el tratamiento, circulación y traspaso de esos datos deberá realizarse en la forma y condiciones que fije la ley.

Senadores de todo el espectro político coincidieron en la necesidad de proteger constitucionalmente los datos personales, hoy consagrados en una legislación débil. De aprobarse en la Cámara de Diputados, la iniciativa permitirá que las personas utilicen el recurso de protección frente a cualquier amenaza, perturbación o vulneración de sus datos personales, lo que en la práctica significa una tramitación rápida, de bajo costo, donde no se necesita abogado

La reforma constitucional avanza con argumentos sólidos y consistentes, con un claro ánimo de entregar más derechos a las personas. Lamentablemente, los datos personales de los chilenos siguen bajo una ley deficiente, que no cumple con estándares internacionales, ni con una institucionalidad firme y que no protege debidamente a las personas.

El año recién pasado, el Ministerio de Economía preparó un anteproyecto de ley destinado a cambiar integralmente el régimen de protección de datos personales en Chile. El anteproyecto fue sometido a consulta y a discusión técnica en una mesa público-privada, donde participaron diversas empresas, organizaciones, gremios y académicos, incluyendo a Derechos Digitales.

El Ministerio fijó para octubre de 2014 el plazo de presentación del proyecto al Congreso. Sin embargo, durante meses no hemos tenido ninguna novedad sustantiva sobre el contenido del proyecto ni tampoco una nueva fecha de presentación.

Lo anterior es problemático: en la medida en que la protección legal de los datos personales siga siendo deficiente, el reconocimiento de su importancia en la Constitución pierde parte sustancial de su fuerza y propósito; disparidad que, de mantenerse, bien puede crear potenciales conflictos e incertezas legales.

El país requiere un fortalecimiento de los derechos de las personas sobre su información personal y para ello es fundamental el compromiso real del Gobierno, que no se quede solamente en el discurso y la intención.

El Congreso parece estar bien encaminado con la iniciativa de reforma constitucional, y esperamos que prontamente el Gobierno también se contagie con esta energía.

La retención de datos de usuarios de Internet es una medida desproporcionada

La lucha por el respeto a los derechos en la red vive una nueva batalla en Paraguay, donde un grupo de senadores presentó, en junio de 2014, un sucinto proyecto de ley que obliga a los proveedores de servicios de Internet a conservar los datos de tráfico de sus usuarios por doce meses, con el fin de poder ser accedidos por un juzgado competente.

El proyecto de ley, bautizado «Pyrawebs», parece perseguir un fin perfectamente legítimo en una sociedad democrática: prevenir y sancionar hechos criminales punibles que se cometen a través de Internet. Pero la legitimidad de la medida no se consume en la pregunta respecto de su fin, sino que debe analizarse la forma en la que este pretende cumplirse. En el caso del proyecto, que se refiere expresamente a hechos tipificados en el Código Penal Paraguayo además de «otras leyes penales especiales», no hay mención alguna a las garantías exigibles para evitar abusos y cuenta con escasos contrapesos.

El proyecto de ley parece explicitar que la norma de retención de datos se refiere solamente a los «metadatos» y no a los contenidos, específicamente a los datos de tráfico: dirección IP, origen y destino de la comunicación, hora y fecha de conexión y desconexión, itinerario, tamaño y duración de la comunicación. Pero esta distinción, promovida por buena parte de aquellos organismos de persecución criminal, en la práctica, es bastante más gris de lo que parece.

Nuestras agendas, que informan de nuestros contactos más recurrentes, las direcciones de email con quienes intercambiamos correos de manera frecuente e incluso nuestro historial de navegación, calificados como meros «metadatos», son suficientemente ilustrativos a la hora de identificar una persona o hacerla identificable. Como ejemplifica Ed Felten, si analizamos los metadatos de una llamada al ginecólogo realizada por una joven mujer que luego llama a su madre, luego a un hombre con quien se ha comunicado repetidamente en los últimos meses y luego a una clínica de abortos, probablemente podemos deducir bastante más que lo que podríamos conseguir de una conversación con ella. En resumen, no hay buenas razones para argumentar que los «metadatos» merecen una protección más débil que el contenido mismo de las comunicaciones.

El caso europeo

Cuando el  Tribunal de Justicia Europeo analizó la legalidad de la Directiva de Retención de Datos de 2006, que obligaba a conservar datos por hasta dos años, sostuvo que simplemente no era compatible con el principio de proporcionalidad. Esto es importante: El Tribunal reconoce que la conservación de datos persigue un interés general legítimo, pero es una norma desmedida con el objetivo perseguido y constituye una «injerencia desproporcionada» al derecho a la vida privada de los usuarios. Cabe preguntarse entonces por qué aquello que ha sido declarado inválido en el contexto europeo resulta tremendamente seductor para legisladores latinoamericanos.

Esto es especialmente peligroso cuando se une a la compulsión por regular aquello que, para muchos – tanto desde la ignorancia como desde la conveniencia política – no es sino un espacio agreste y ajeno a la legislación y al Estado de Derecho. Paraguay no tiene hoy una regulación sofisticada y robusta de protección de datos personales que garantice derechos en internet.

Quizás sea hora de que, en lugar de adaptar prácticas de dudosa constitucionalidad, deslegitimadas en el derecho comparado, miremos las carencias existentes en materia de protección de derechos en Latinoamérica y exijamos un cambio sustantivo.

¿Te parece una medida inapropiada? Ayuda a los paraguayos contra la ley de retención de datos en internet: ¡FIRMA! http://chn.ge/1A1CCAn

 

Fallo de IFAI, ¿olvido o censura en Internet?

Hace algunos días atrás, el Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI) resolvió que Google México es responsable del tratamiento de datos personales  y está obligado a remover de los resultados de su buscador los enlaces que vinculaban a un ciudadano con acusaciones de fraude, tráfico de influencias y posibles actos de corrupción, argumentando que atentaban contra su honor, sus relaciones comerciales, su seguridad personal e integridad física.

El interesado habría acudido primero a Google México, que rechazó la remoción de la información. Frente a la negativa, IFAI ejerció su facultad de mediador en el conflicto, determinando que la empresa debe cumplir con la Ley Federal de Protección de Datos Personales, y por tanto responder frente al derecho a oposición y cancelación solicitado (no necesariamente equivalentes al derecho al olvido), arriesgando una millonaria multa en caso de incumplimiento.

Con este fallo, IFAI abre la puerta a que cualquiera en México solicite la desindexación de páginas web, sentando un precedente del mal llamado “derecho al olvido”. Pero aunque se utilizó como antecedente un fallo similar del Tribunal de Justicia de la Unión Europea, a diferencia de este, no existe aquí ninguna consideración al interés público sobre la información que deja de enlazarse.

Por el contrario, al sindicar al buscador como responsable de los enlaces, se abre una vía para censurar contenidos en internet, atentando contra la libertad de expresión y privando a la sociedad de información relevante para el espacio público, bajo el pretexto de proteger datos personales, eliminando notas históricas, el periodismo crítico y creando lagunas de información.

Evidentemente, ni la libertad de expresión ni la protección de los datos personales son derechos absolutos, sino que admiten limitaciones que son necesarias para el adecuado equilibrio en su ejercicio. Y aunque el fallo de IFAI hace una mención (sucinta y al paso) a este hecho, no desarrolla ninguna excepción que permita ponderar o justificar su decisión.

Por otro lado, se abre una gran interrogante respecto a quién es el encargado de decidir qué información debe o no ser desindexada, posibilitando que el arbitraje caiga en manos privadas, encargadas de definir los límites a la libertad de expresión, con los incontables riesgos que esto podría desencadenar.

El derecho a acceder a la información es necesario para el libre debate de las ideas y el desarrollo de cualquier sociedad. Desafortunadamente la decisión del IFAI apunta en la dirección contraria.

¿Política pública o modelo de negocio?

«Internet.org» no es Internet», afirma -y con razón- Carolina Botero de la Fundación Karisma, a propósito de  la llegada con bombos y platillos a Colombia del proyecto estrella de Mark Zukerberg, cabeza de Facebook. La iniciativa ha anunciado pronto arribo a México y durante el año recién pasado ya desarrolló un programa piloto en Paraguay.

A principios de 2014 Zuckerberg presentó en Zambia el proyecto, que tiene como finalidad conectar a Internet al 60% de la población mundial que actualmente no cuenta con acceso, a través de un acuerdo entre Facebook, un operador de internet local y su gobierno. Así, los usuarios con teléfonos de gama baja pueden obtener “gratis” la aplicación Internet.org, y tener acceso a limitados servicios de la red, como Facebook, Google, Wikipedia o AccuWeather, entre otros.

Un modelo de cooperación público-privada que, dicen, solo trae beneficios: Facebook, el operador local y las aplicaciones seleccionadas para estar en Internet.org tendrán un enorme y nuevo mercado que explorar, los gobiernos solucionarán sus problemas de conectividad y, claro, una enorme cantidad de personas podrán, al fin, acceder a los beneficios de internet.

Pero ¿se trata de una situación de ganar o ganar? Bajo la idea altruista de lograr por fin acabar con las barreras de acceso a internet, es necesario analizar sobre todo el rol de los Estados al adoptar Internet.org como una política pública.

 

¿Modelo de negocio o política pública?

Uno de los grandes problemas de este proyecto es su nombre. Dice que lo que se ofrece es internet, pero la verdad es que solo es una ventana que muestra algunos servicios. Este punto es fundamental. Si la red es un océano, Internet.org es un vaso de agua.

Internet.org, tal como los otros servicios “zero rating”, discrimina los contenidos de internet -y como se ha dicho profusamente, viola el principio de neutralidad de la red- porque justamente en eso se basa su modelo económico: abrir nuevos mercados -los usuarios largamente excluidos- y ofrecerles servicios de internet previamente acordados con Facebook.

En esta lógica, detrás del popularísimo eslogan de  “dar acceso gratis a algunas aplicaciones de internet” a la población, nos encontramos más bien con un lucrativo modelo de negocio privado y, por ende, con un problema de política pública más complejo, que debería ser seriamente analizado por nuestros Estados cuando Zuckerberg les toque la puerta.

La pregunta más urgente apunta a saber quién decide finalmente sobre qué aplicaciones quedan en Internet.org en cada país. Según el vicepresidente de Facebook, la decisión la toman entre ellos, el Gobierno de turno y el operador (Tigo, en el caso colombiano). ¿Cómo se garantiza el interés público en esa decisión? ¿Cuáles son los estándares de transparencia que aplican a la misma?

También es necesario preguntarse cómo los Estados pretenden resolver el evidente problema de libre competencia que están provocando al adoptar Internet.org. ¿Cómo justifican, por ejemplo, que WhatsApp puede tener prioridad por arriba de cualquier otro servicio de mensajería online que, por lo demás, pueda ofrecer mejores medidas de seguridad a sus usuarios?

El problema se hace más interesante cuando muchos de los Estados que hoy ven con buenos ojos Internet.org, tienen sendas planificaciones de hacer versiones locales de “Silicon Valley” que puedan desarrollar la industria nacional de internet. ¿Tendrán las aplicaciones locales un lugar en ese “nuevo mercado” que indudablemente abre “Internet.org”?

Las dudas no terminan ahí. También hay implicancias en derechos humanos fundamentales, como la privacidad de los usuarios de Internet.org, considerando que el modelo de negocio sobre el que se basa Facebook descansa esencialmente en la venta de publicidad. Mientras más sabe Facebook de sus clientes, mejor puede segmentar la publicidad de la plataforma.

Y es que en esto hay que ser muy claros: afirmar que Internet.org es un servicio gratuito es una mentira. Los usuarios de Internet.org pagarán con la entrega de sus datos personales a las empresas e instituciones envueltas en esta iniciativa; sí, tal como nosotros, los que tenemos acceso a internet, lo hacemos todo los días, pero con una diferencia fundamental: nosotros tenemos la posibilidad de optar por otros servicios que nos ofrezcan soluciones respetuosas con nuestros datos y su seguridad. En Internet.org no hay libre elección posible.

Adicionalmente, considerando las preocupantes revelaciones de Snowden, Carolina Botero agrega la preocupación por la seguridad de nuestra privacidad: “Como internet es descentralizado, aunque es posible espiar masivamente, no es tan fácil hacerlo; en cambio para los usuarios de Internet.org será más fácil porque se trata de una oferta de servicios centralizados. ¿Se están tomando medidas para evitarlo?”.

Internet.org genera muchas dudas, la mayoría debido a que en el proceso de su llegada a nuestros países se ha excluido completamente el diálogo con la sociedad civil y la academia: ha sido un acuerdo entre Gobierno, Facebook y el operador local. Aquello no solo hace sospechar de Facebook, que toma el molesto rol de la empresa del mundo desarrollado que nos viene a decir cómo tenemos que solucionar nuestros problemas locales sin considerar nuestra opinión, sino fundamentalmente de nuestros Estados, los que aún no comprenden que internet y su gobernanza, al ser un asunto de interés público, debe ser una instancia de participación y diversidad.