Temática: Protección de datos

“El viaje” de la creatividad en la era de la Inteligencia Artificial

Las semanas pasadas Internet se colmó de millones de imágenes generadas por IA al estilo del icónico Studio Ghibli. Las personas usuarias emplearon el último generador de imágenes de OpenAI para que sus fotografías, las de sus familiares y mascotas aparecieran, en cuestión de minutos, como personajes salidos del místico universo animado por Hayao Miyazaki, fundador del mítico Studio Ghibli.

La tendencia de la “IA Ghibli” suscitó ternura, nostalgia y diversión en las personas viralizándose con rapidez, al tiempo que despertaba múltiples debates pertinentes. En efecto, las preguntas por los derechos de autor no tardaron en revivir, las implicaciones medioambientales del uso de la IA florecieron, los pronunciamientos de artistas se reavivaron y las alertas alrededor de la protección y el uso de datos personales en la IA se encendieron con fuerza. Lejos de pretender abarcar en su totalidad o resolver estos y otros debates, en esta columna aprovecharemos el reposo de la tendencia para reflexionar sobre dos puntos: el lugar del proceso creativo humano y la sensibilidad artística a propósito de la expansión de la IA generativa de imágenes; y los riesgos hacia las personas en materia de protección de datos personales.   

¿El arte se crea o se programa?

Ya sea en la música, la ilustración o la escritura, la creatividad es un proceso complejo, multifacético, y profundamente humano. La creatividad humana requiere la interpretación de lo que otras personas han hecho, combinarlo con ideas y experiencias propias, agregarle matices y, a partir del ensayo y error, conseguir expresar la idea que gestamos por algún tiempo en nuestra imaginación. Pensemos que cada creación es como un Castillo Ambulante de Miyazaki, una suma de estilos y piezas heterogéneas que forman una estructura con vida propia.

Ahora, el presente tecnológico del arte ofrece y acerca a las personas a cientos de grandes referentes para la creatividad humana. De hecho, expresarse artísticamente a través del uso de nuevas y emergentes tecnologías, incluida la IA, nunca había sido tan fácil y accesible. La energía vital que se imprimía en componer un compás, en hacer un esbozo o en empezar de cero un escrito se transforma en la era digital que nos atraviesa. Hace días nomás, el proceso de reproducir un estilo ajeno se redujo al envío masivo de cadenas de instrucciones o “prompts” con los que la IA de OpenAI generó en segundos miles de imágenes detalladas con el estilo Ghibli. Esta tendencia “IA Ghibli” merece ser pensada desde el valor mismo de la creatividad y de los creadores en un mundo que cada vez más se inclina a la automatización prescindiendo del factor humano.

La IA habilita la producción continua e inmediata de piezas artísticas, representando tanto oportunidades para el ecosistema artístico, como riesgos para los procesos de creación tradicionales. La inteligencia artesanal de Miyazaki, por ejemplo, nos lleva a reflexionar sobre la vivencia y padecimiento del proceso creativo, sobre el tiempo que toma, los retos y las potencialidades que representa para la imaginación personal y colectiva, y la creatividad. Esto en un contexto donde el trabajo artístico suele estar mediado por condiciones precarias o poco dignas que suponen un reto y un peso adicional.  

La creatividad como proceso y como resultado es una experiencia ajena e irreproducible para la IA, una tecnología que no sueña, imagina o experimenta como lo hace la creatividad humana, y en razón a esos elementos no se avoca a la generación de estilos originales, sino a la reproducción de los estilos de otros. Para quienes crean una historia mientras la ilustran (sin cadenas de instrucciones previas), estableciendo una relación de identidad con su obra al dejar un poco de su experiencia de vida en cada detalle y trazo, la generación de imágenes con IA representa con fuerza el “insulto a la vida misma”, una afirmación del propio  Miyazaki al referirse a la generación de imágenes con IA. Para quienes apoyan la inteligencia artesanal, la tendencia de la “IA Ghibli” produjo cuestionamientos válidos sobre el sentido del arte en tiempos donde la IA cada vez ocupa más espacios que creíamos nuestros.

No obstante, en la medida que esta tecnología se instaló en el oficio creativo y fuera de él, es necesario explorar salidas que trasciendan a los marcos de transparencia en el entrenamiento de las herramientas de IA, así como concretar usos de estos sistemas alineados con una perspectiva de derechos humanos que impidan la reproducción de violencias, sesgos y formas de discriminación. Para esto, es crucial suscitar el diálogo entre empresas, personas usuarias y colectivos de artistas para precisar mecanismos de protección, reclamación y compensación que amparen a las partes más allá del terreno movedizo y desigual de los derechos de autor.

Equilibrar la creatividad humana y las formas que toma con la innovación tecnológica está en el centro de la discusión. Quizás, más allá de emprender un proceso creativo al estilo tradicional, la IA habilita nuevas forma de expresión artística donde retazos de ideas cobran vida al instante representando momentos fugaces de nuestra imaginación.

Ahora bien, el uso entusiasta de la IA no puede eclipsar la reflexión y el pensamiento crítico alrededor de las tecnologías, lo que incluye exigir responsabilidad e información pública a las empresas sobre, por ejemplo, el uso de los millones de datos personales y de terceros que alimentaron el modelo de OpenAI en las últimas semanas.

Las tendencias de la IA y los datos personales

De la mano de los riesgos para el ecosistema artístico, vale la pena destacar los riesgos para las personas que recordó el “trend” de la IA Ghibli. A saber, un asunto que sorprendió fue la conducta de entrega voluntaria, gratuita y entusiasta de datos biométricos de millones de personas a OpenAI. Por esto, apuntamos a reflexionar sobre los riesgos de entregar información personal, como los rostros propios y de terceros (como menores de edad) con ligereza a las empresas tecnológicas. Es fundamental preguntarnos por nuestra relación con la IA y cuestionar aquellos lugares donde naturalizamos la recopilación de nuestros datos a través de argumentos como “nuestra información ya está en todas partes”. Recordemos que como personas usuarias somos soberanas de nuestra información y podemos decidir sobre esta y exigir transparencia en su uso por parte de las empresas tecnológicas.

Como vemos, el debate es amplio. La naturaleza evolutiva de tecnologías como la IA, sobre todo en su dimensión generativa, refuerza la importancia de, por un lado, avanzar hacia estrategias concretas de responsabilidad para las empresas que, en su carrera global por la IA, lanzan productos con implicaciones para los derechos de las personas, impactando incluso en ámbitos que creíamos exclusivos de lo humano, como la creatividad y el proceso artístico. Y, por otro lado, es ineludible involucrar a las personas usuarias traduciendo el lenguaje del trabajo académico e intelectual acerca de las tecnologías digitales a sus realidades concretas. Sólo así, los riesgos asociados a la IA, por ejemplo, podrán entenderse como consecuencias inherentes a su uso, y no como asuntos aislados, ajenos a nuestras prácticas diarias.

2024: el año en que la protección de datos nos recordó su lado político

El 2024 fue un año de progresos esperados en materia de protección de datos para nuestra región. Se aprobó en Chile, luego de seis años de debate regulatorio, la ley de protección de datos; El Salvador también aprobó su ley, y Perú reformó la suya para adaptarla al estándar europeo, un referente que muchos países de América Latina intentan adoptar. Por su parte, Paraguay avanzó en la discusión del proyecto de ley, y se espera que este año suceda su aprobación.

El año pasado también observamos retrocesos significativos, como la eliminación del INAI, autoridad garante del derecho a la protección de datos y el acceso a la información pública en México. Esto ocurrió en el marco de una reforma constitucional que, bajo el argumento de reducir costos operativos, eliminó a distintos entes autónomos. Una supresión que se produce en tiempos en que las Big Tech acrecientan su poder para amasar y explotar nuestros datos bajo condiciones cada vez más asimétricas.

Frente a esos avances y retrocesos regulatorios, en nuestro trabajo en Derechos Digitales hemos observado algunas tendencias regionales preocupantes. Algunas de ellas son nuevas, mientras que otras representan la continuidad de prácticas de explotación de nuestros datos que se expanden y masifican de cara a nuevas y emergentes tecnologías, las cuales amplían el alcance a las tareas de recolección y procesamiento de nuestros datos y con ello, intensifican su impacto en la protección de los mismos. Veamos una por una.

La protección de datos y las tareas estatales de seguridad: una desconexión peligrosa

La primera tendencia tiene que ver con la creciente adopción de prácticas y tecnologías para la extracción de datos por parte de los Estados para fines que, en particular, se enfocan en la seguridad ciudadana y nacional.Se trata de finalidades que las regulaciones de protección de datos han excluido tradicionalmente de su aplicación, bajo una visión arcaica que sugiere que el resguardo de la ciudadanía no es algo que deba consentir esta última.

Enmarcado en esta tendencia vimos con preocupación la expedición de la resolución que en Argentina habilita al ciberpatrullaje, una tarea de seguridad emprendida por el Estado para patrullar (o vigilar) internet “de la manera en que se patrullan las calles” para, en teoría, facilitar la identificación y prevención de los delitos en línea.

Se trata de una resolución que no fija límites claros, respetuosos y garantes de la privacidad y la libertad de expresión en línea. De manera similar, el ciberpatrullaje se despliega también en Colombia, Bolivia, México, Brasil y Uruguay. En cada caso, al parecer, las autoridades se dedican a explorar y observar de cerca lo que publicamos y con quién interactuamos en línea -en ocasiones, con ayuda de algoritmos para automatizar dicha tarea-, para determinar si lo que decimos o con quién conectamos amerita ser perseguido por la vía penal.

Lo cierto es que, pese a la desconexión que persiste entre la regulación de la protección de datos y las tareas de seguridad, y a que sea cierto que el consentimiento no sea propiamente la base jurídica que da pie al tratamiento de los datos en estos casos, los Estados sí deberían observar los principios y obligaciones que garantizan que la recolección de los datos de la ciudadanía sucede de manera responsable, lícita, leal, transparente, segura y, sobre todo, de manera compatible con los derechos humanos.

Pero además, bajo ciertas condiciones, los titulares de los datos deberían conservan el ejercicio de los derechos de actualización, rectificación, y cancelación de su información inclusive en esas tareas. Esto último, de hecho, lo reiteró por su cuenta el fallo Cajar vs. Colombia emitido en 2024 por la Corte Interamericana de Derechos Humanos respecto a las tareas de inteligencia estatal, y cuyas repercusiones en la regulación de la protección de datos frente a las tareas de seguridad aún están por verse.

Biometría ¿para qué?: el valor vs. el precio de los datos

La segunda tendencia que observamos, tiene que ver con la recolección transaccional de datos sensibles para la realización de modelos de negocio muy poco claros o transparentes. Por ejemplo, identificamos la masificación de los servicios de empresas como Tools for Humanity (TfH) desarrolladora de World –antes Worldcoin– que prometen entregar a las personas criptomonedas a cambio del escaneo de su iris, un dato biométrico que será usado para ayudar a resolver los problemas asociados a la identidad en línea.

La empresa TfH desplegó operaciones en Argentina, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Perú y República Dominicana. Solo las autoridades de protección de datos de Argentina, Colombia, Brasil y Perú abrieron investigaciones a World, entre otras cosas por las condiciones de recolección del consentimiento de las personas, que no parece estar precedido de información clara y transparente sobre las condiciones del tratamiento de los datos biométricos capturados, así como las condiciones del ejercicio de los derechos de acceso, rectificación, cancelación u oposición. Sobre el desarrollo de esas investigaciones sabemos poco al día de hoy.

Ahora bien, el contenido transaccional de este tipo de prácticas resulta problemático por dos motivos. En primer lugar, porque asignan un valor económico a la entrega de un dato cuyo valor identificatorio es inestimable por su naturaleza inmodificable, así como profundamente personal, y que por los riesgos de ser instrumentalizado en contra de su titular ha merecido un estatus de protección especial en la mayoría de legislaciones que regulan esta materia. En segundo lugar, porque además de explotar la vulnerabilidad económica de ciertos sectores de la población, se trata de empresas que operan de manera poco transparente frente a los reguladores y los titulares de los datos.

Todo esto para aceitar el modelo de negocio de la identidad digital del que todavía no sabemos mucho, pero frente al cual otras autoridades de protección de datos en el mundo han actuado de manera mucho más contundente y preventiva prohibiendo las operaciones de World, tal y como sucedió en España, Francia, India, Corea del Sur, Hong Kong e incluso Kenia.

Las Big Techs y la IA: nuestros datos a merced de políticas injustas

Y la tercera tendencia, tiene que ver con los cambios poco claros y transparentes de las políticas de privacidad impuestas de manera abusiva en América Latina por distintas plataformas que transitaron a la adopción de sistemas de IA con diversos propósitos, y que asumen, al contrario de lo indicado por los principios de finalidad, transparencia o lealtad en el tratamiento de los datos, que los titulares aceptan por defecto los nuevos términos y condiciones impuestos.

El caso de Meta es quizá uno de los más representativos, pues desplegó un cambio global de su política de privacidad que autoriza de manera retroactiva al uso de los datos de los usuarios de Facebook e Instagram para entrenar a su IA. Un cambio que dejó a sus usuarios en América Latina sin ninguna opción válida para negarse u oponerse.

Solo la autoridad de protección de datos de Brasil (ANPD) reaccionó al emitir una medida cautelar que prohibía desplegar dicho cambio en tanto que dejaba a los titulares de los datos de ese país sin opciones para rechazar la nueva política en cuestión. Con posterioridad, Meta desplegó en ese país su política de manera mucho más clara con autorización de la autoridad, y habilitó -a diferencia del resto de países de la región- canales para el ejercicio del derecho a rechazar los cambios propuestos.

Cambios similares sucedieron en las políticas de otras plataformas como X, Linkedin, Adobe y Google, entre otras, que además habilitan a que terceros puedan usar los datos de sus usuarios para entrenar a sus sistemas de IA. Se trata de cambios que, en la mayoría de los casos, se han introducido de manera subrepticia y silenciosa, algo que la Comisión Federal de Comercio en Estados Unidos (FTC por sus siglas en inglés) ha calificado como una práctica injusta y engañosa.

Frente a este panorama ¿hay motivos para la esperanza?

Estas tendencias están acompañadas de un panorama regulatorio que, en gran medida, todavía limita a las pocas autoridades activas de la región a desempeñar roles de simple monitoreo preventivo y vigilancia pasiva. Aún queda pendiente avanzar hacia un rol sancionador más robusto donde, por ejemplo, las multas ejemplarizantes puedan ayudar a generar nuevas pautas de conducta para actores del sector privado y público; o donde las autoridades asuman un rol activo y oficioso, en el cual la imposición a iniciativa propia de medidas cautelares pueda ayudar a prevenir la afectación de los derechos de las personas.

Hay motivos para la esperanza, pero debemos moderar nuestras expectativas. Es cierto que, cada vez más, el listado de países sin regulación de protección de datos se reduce. Y aunque esto es importante, no es motivo para cantar victoria, pues hace falta todavía cambiar visiones arcaicas como aquellas que sugieren que los Estados, cuando realizan cierto tipo de tareas -como las de seguridad- tienen un cheque en blanco que les habilita a dar tratamiento a los datos personales de la ciudadanía de cualquier manera.

También es cierto que las regulaciones vigentes en protección de datos precisan de un balance necesario cuando su ejercicio se enfrenta a otros derechos, como el de libertad de expresión o acceso a la información. Y que persisten otros retos igualmente urgentes para que las regulaciones aprobadas y vigentes cobren vida y sirvan como verdaderas herramientas de protección a las personas.

Por ejemplo, urge el robustecimiento de las capacidades humanas y técnicas de las autoridades de protección de datos, así como establecerlas en países donde aún no existen. Además, es fundamental garantizar los recursos necesarios para su funcionamiento, y dotarlas de la independencia y autonomía que las habiliten para actuar frente a otras dependencias estatales así como frente a las Big Tech que, cada vez más, buscan eludir o intimidar a las normativas y autoridades que ejercen su poder regulatorio.

Desde luego, el trabajo de organizaciones como Derechos Digitales será aportar a esto último, y vigilar para que las promesas de regulación no se queden en el papel, sino que se traduzcan en verdaderas garantías para los derechos humanos en el entorno digital. El 2024 nos recordó que la protección de los datos personales no es solo una cuestión técnica o legal, sino una lucha política que enfrenta intereses poderosos, ya sean estatales o corporativos.

Nos encontramos frente a un panorama complejo, pero también un momento clave para definir el futuro del derecho a la protección de datos en nuestra región. Las decisiones que tomemos hoy serán cruciales para establecer un equilibrio entre el avance tecnológico y la protección de los derechos fundamentales. Solo si mantenemos la vigilancia activa, exigimos mayor transparencia y contribuimos a fortalecer las capacidades regulatorias de las autoridades, podremos garantizar que los datos personales de millones de personas no se conviertan en una mercancía desprotegida, sino en una herramienta que potencie su dignidad y autonomía. El desafío es enorme, pero no podemos darnos el lujo de detenernos ahora.

Fuera del algoritmo: Cómo comunicar más allá de las redes sociales

Recuerdo cuando abrir una cuenta de Twitter era casi un acto revolucionario. En aquellos días, la plataforma prometía algo cercano a la igualdad: un lugar donde las ideas, más que las jerarquías, definían el alcance de tu voz. Para muchas organizaciones de la sociedad civil, Twitter, Facebook e Instagram (un poco después) fueron herramientas esenciales para denunciar injusticias, movilizar comunidades y visibilizar problemas que los medios tradicionales pasaban por alto. A lo largo de los años, lo que parecía un espacio inclusivo se fue desmoronando hasta convertirse en algo muy distinto.

Por ejemplo, desde que Elon Musk tomó las riendas de X, la antes llamada Twitter, el ambiente en la plataforma se ha vuelto insostenible. Con el discurso de odio en auge, los insultos racistas, misóginos, edadistas y homofóbicos no solo han aumentado, sino que se han normalizado. El regreso de cuentas previamente suspendidas por incitar a la violencia ha amplificado estos problemas. Lo que alguna vez fue un refugio para voces críticas ahora se siente como un espacio hostil, especialmente para quienes defienden los derechos humanos.

Meta tampoco se queda atrás. En un giro reciente, la empresa ha anunciado el fin de su programa de verificación de datos en Facebook, Instagram y Threads. La medida, presentada como un paso hacia una supuesta “libertad de expresión”, amenaza con convertir estas plataformas en un terreno aún más fértil para la desinformación. Esto ocurre justo antes del regreso de Donald Trump a la Casa Blanca, en un momento político clave que no parece una coincidencia.

Finalmente, esta medida elimina una de las pocas herramientas que intentaban, al menos en teoría, mitigar los daños del contenido falso o malintencionado. Esto no es solo preocupante, es alarmante: en una época en la que las sociedades enfrentan desafíos como la polarización y la crisis de confianza en la información, la decisión de Meta puede tener consecuencias devastadoras. Si bien un sistema de notas comunitarias podría aumentar la confianza en la verificación de hechos, también existe un riesgo de manipulación de esos sistemas.

El dilema de abandonar las redes

En este panorama, las organizaciones de la sociedad civil enfrentan un dilema. Las redes sociales, a pesar de todos sus problemas, siguen siendo el lugar donde ocurre la conversación pública, donde figuras públicas como presidentes, congresistas y periodistas intercambian información e ideas, y donde todavía se discuten noticias a medida que ocurren. Dejar de usarlas podría significar perder el alcance y la relevancia necesarios para incidir en los debates globales. Sin embargo, quedarse muchas veces implica navegar en un espacio cada vez más tóxico, donde el riesgo de ser acosado, doxeado o atacado es constante. ¿Es posible encontrar un punto medio?

The Engine Room, realizó un estudio llamado “Explorando una transición hacia plataformas alternativas de redes sociales para organizaciones de justicia social en el Sur Global”, donde señala que las redes sociales tradicionales presentan preocupaciones significativas relacionadas con la recolección intrusiva de datos, la vigilancia y la propagación de desinformación. También destacan que plataformas alternativas, como Mastodon y BlueSky, ofrecen experiencias más comunitarias y menos extractivas, permitiendo a los usuarios crear y gestionar sus propios espacios en línea. Varias organizaciones nos hemos sumado a una tendencia por relevar el rol de tecnologías que devuelven al menos algo de control a sus usuarios.

Las alternativas, aunque prometedoras, aún no están listas para reemplazar por completo a las grandes plataformas, porque su alcance sigue siendo limitado. Migrar hacia ellas implica convencer a nuestras audiencias de hacer lo mismo, algo que no es fácil en un entorno donde los “efectos de red” (o si prefieres, la inercia y la comodidad) mantienen a las personas atadas a las plataformas tradicionales. Pero estas alternativas son un recordatorio de que otras formas de comunicación digital son posibles, aunque todavía estén en construcción. The Guardian o La Vanguardia se aventuraron a cerrar para siempre las puertas en redes como X. Mucho antes, en el 2021, la marca Lush dejó de usar redes sociales, declarándose “antisocial”.

Mientras tanto, surge la pregunta: ¿es posible que las organizaciones de la sociedad civil se desvinculen de las redes sociales más populares hoy? La respuesta no es sencilla, pero es evidente que diversificar los canales de comunicación es imprescindible. No podemos depender exclusivamente de plataformas que priorizan la extracción y el lucro, persiguen objetivos políticos orientados a ganar poder, o imponen narrativas autoritarias y conservadoras sobre los derechos humanos.

Además, las organizaciones de la sociedad civil suelen publicar de manera orgánica, con poca o nula inversión en publicidad, lo que dificulta aún más que su contenido llegue a las audiencias. Por ello, los boletines por correo electrónico, las páginas web actualizadas y las colaboraciones con medios de comunicación independientes siguen siendo herramientas valiosas para alcanzar a las audiencias más allá de tuits e historias. Es también el momento de explorar nuevos formatos: podcasts, videos documentales y eventos híbridos que combinen lo digital con lo presencial. En un ambiente donde los algoritmos deciden qué contenido llega a quién, recuperar el control sobre nuestras audiencias también se convierte en un acto de resistencia.

Regulación y responsabilidad

Sin embargo, estas soluciones son insuficientes si no se aborda el problema de fondo: la falta de contrapesos efectivos al control sobre las plataformas tecnológicas. Mientras las empresas continúen operando sin rendir cuentas sobre sus decisiones y sobre su modelo de negocios, la violencia digital y la explotación de datos seguirán siendo el modelo predominante de los gigantes de internet. Aquí es donde los Estados deben intervenir, en ningún caso para censurar, sino para proteger. Necesitamos políticas públicas que garanticen entornos digitales seguros, mecanismos efectivos para denunciar el acoso y sanciones claras contra quienes promuevan el odio. Necesitamos regulación que permita de manera efectiva que, a mayor poder, exista mayor también responsabilidad.

Las plataformas tecnológicas, por su parte, tienen una deuda importante con sus usuarias y usuarios. La implementación de medidas contra el acoso, la protección de datos personales y la transparencia en la moderación de contenido no deberían ser opcionales. En lugar de priorizar el crecimiento a cualquier costo, es hora de que estas empresas asuman su responsabilidad en la creación de un ecosistema digital que no perpetúe la violencia y el abuso. Que no se escude en la seguridad para promover la censura, ni en la libertad de expresión para descuidar a sus usuarios.

Meta, por ejemplo, hace algunos meses anunció que utilizará datos personales de sus usuarios para entrenar sus sistemas de inteligencia artificial, sin ofrecer una manera clara de oponerse a esta práctica. En muchas jurisdicciones, simplemente no hay opciones para negarse a este uso de los datos personales. Sin embargo, países como Brasil y los de la Unión Europea, con legislaciones más robustas, han logrado plantear regulaciones que limitan o frenan estos abusos. Pero ¿qué ocurre en el resto del mundo, donde las protecciones legales son débiles o inexistentes?

La desigualdad en la capacidad de los Estados para hacer frente a estos problemas agrava las brechas digitales. Mientras algunos países avanzan en la defensa de los derechos digitales, otros quedan expuestos a los abusos de grandes corporaciones que operan sin restricciones.

Más allá del algoritmo

Es imprescindible repensar colectivamente el diseño y la dinámica de estas plataformas. Cada vez que el discurso de odio se normaliza o el ciberpatrullaje queda sin consecuencias, el entorno digital se deteriora aún más. Este problema no debe recaer en las usuarias y usuarios, sino en quienes tienen el poder de cambiar las reglas del juego: las plataformas tecnológicas y los Estados.

Construir un ecosistema digital ético y seguro no será rápido ni fácil. Requiere creatividad, paciencia y voluntad política, pero el esfuerzo vale la pena. Porque al final, comunicar más allá del algoritmo no es solo una cuestión de supervivencia para las organizaciones de la sociedad civil; es una apuesta por un futuro donde las voces sean amplificadas, no silenciadas, y donde la tecnología sea una herramienta de inclusión, no de exclusión.

Comunicar en un entorno hostil no es sólo un desafío técnico; es una cuestión de principios. Rechazar un modelo digital basado en el odio y la explotación abre la posibilidad de transformar cómo conectamos, construimos y luchamos en el mundo digital, creando espacios más justos y seguros para todas las personas.

Reconocimiento facial

En Derechos Digitales creamos ReconocimientoFacial.info como un espacio para reunir reportes, campañas, noticias, recursos y documentos legales que visibilizan los riesgos del uso del reconocimiento facial en América Latina. Bajo la idea de que “el reconocimiento facial no nos protege, nos vulnera”, buscamos explicar por qué esta tecnología es intrusiva, poco fiable y discriminatoria, y promover el debate público y el acceso a la justicia frente a iniciativas de vigilancia que avanzan sin regulación adecuada.

Conoce el proyecto
Conoce el estudio

11 años después de Snowden: ¿Realmente estamos más protegidos?

Edward Snowden era un analista de inteligencia que trabajó para la CIA y la NSA. Al inicio de su carrera consideró que su trabajo correspondía al deber patriótico de defender a su país. Con el tiempo se dio cuenta que era parte de un sistema de vigilancia global secreto que era utilizado incluso para espiar dentro del país. Él consideró que la población de un país democrático debería, al menos, estar enterada de que algo así sucedía. Por este motivo filtró miles de documentos que demostraron lo que sucedía a periodistas que publicaron varios reportajes en importantes medios a nivel global.

En los mismos se pude ver las diversas formas en las que la NSA recolectaba, analizaba y luego utilizaba esta información para operaciones de espionaje alrededor del mundo. [RB1]  En una diapositiva se puede ver las capacidades recolección de información a nivel global a través de un mapa mundi dónde se explica cómo se recolectaba la información desde los cables fibra óptica, a través de embajadas, espiando comunicaciones satelitales, en colaboración con agencias de otros países o mediante ataques informáticos.

Toda esta información recolectada se almacenaba en centros de datos para luego ser accedida a través del sistema XKeyScore. Este sistema funciona de forma parecida a buscadores de internet dónde puedo realizar búsquedas. La diferencia radica en que las búsquedas se las hace sobre información privada. Los documentos muestran que se podían hacer consultas sobre como leer todos los correos electrónicos de persona X, saber quiénes usan correo cifrado en un país determinado, contraseñas de cuentas en línea, entre muchas otras. Básicamente un buscador sobre las vidas privadas de miles de millones de personas, sin ningún tipo de control.

Uno de los programas expuestos que más llamó la atención es el conocido como PRISM ya que involucra a grandes empresas de internet como Google, Facebook, Apple, Youtube, Microsoft, Yahoo, entre otras. Estas empresas tienen plataformas que funcionan como software de servicio, también conocido como “la nube”. Cuando compartes un documento con Google Drive, no solo lo compartes con tus colegas, sino también con Google. Cuando envías un correo usando Outlook, ese contenido es accedido por Microsoft. Si guardas tus fotos en la nube de Apple o de Google sucede lo mismo.

Resultaba lógico entender que estas empresas tendrían acceso a nuestra información para poder brindarnos el servicio. Algunas personas considerábamos que era probable que las empresas se aprovechen de nuestra información. Lo que la gran mayoría no imaginábamos era que además nuestras comunicaciones privadas eran vigiladas por agencias de inteligencia como la NSA. Lo que aprendimos en ese momento fue que, si no eres ciudadano de Estados Unidos y no resides en ese país, la NSA puede acceder a los datos de los servicios de estas empresas para informarse sobre ti. Estamos hablando de llamadas de voz y video, correos electrónicos, chats documentos, fotos, ubicación etcétera.

La recolección de este tipo de información sumada a la capacidad de análisis de la NSA permitieron hacer operaciones de espionaje a lideres mundiales como Angela Merkel, Enrique Peña Nieto o Dilma Rousseff. También existieron operaciones mediáticas para manipular la opinión pública como fue la operación QUITO que promovía una visión favorable para Inglaterra sobre las Islas Malvinas en América Latina.

Esto es un resumen muy superficial de lo que aprendimos hace 11 años. Es importante mirar para atrás y pensar qué cambió desde entonces. ¿Se suprimieron estos programas y ahora nuestra privacidad esta más aseguradas? Personalmente creo que algunas cosas mejoraron y otras han empeorado.

El escándalo de las revelaciones generó una discusión a nivel mundial sobre la privacidad en Internet. Una de las primeras consecuencias fue el Marco Civil de Internet en Brasil dónde se fortaleció la protección de los derechos civiles en internet y en particular la privacidad. En el caso de Europa, esto promovió la discusión de la protección de los datos que personales que en 2017 se vio reflejada en el Reglamento General de Protección de Datos Personales (RGPD). Esta legislación sirvió para que países como Ecuador tengan su ley de protección de datos personales en 2021.

Estas legislaciones son muy positivas y en el caso Europea, incluso se ha llegado a multar a empresas como Google y Meta (antes Facebook). Sin embargo, no es suficiente ya que si bien estas legislaciones buscan el consentimiento informado  para el tratamiento de datos personales, en la práctica se traduce como una incómoda ventana dónde se nos pide aceptar la política de privacidad y gestionar las configuraciones de cookies. En la práctica la mayoría de personas aceptan los términos y probablemente todas las cookies.

En lo tecnológico el cambio fue mayor. Antes de las revelaciones de Snowden la mayoría de sitios web funcionaban bajo el protocolo inseguro de HTTP.  En 2015 la EFF en colaboración con otras organizaciones y empresas lanzaron la iniciativa de Letsencrypt que hizo que la implementación de sitios web con el protocolo seguro HTTPS sea accesible para cualquier sitio o aplicación web. Gracias a esta iniciativa hoy casi todos los sitios y aplicaciones que usamos en Internet cifran la comunicación. De esta manera se puede presumir que parte importante de los programas de recolección de información de la NSA quedaran obsoletas. Esta característica no solo nos protege de la NSA, sino de cualquier actor con malas intenciones, desde un ciber criminal a Estados.

Sin duda una mejora importantísima para la seguridad de las comunicaciones de todas las personas que utilizamos internet. No obstante, esto no nos protege del espionaje de programas como PRISM, ya que la información que utilizamos en servicios en la nube generalmente es accesible por las empresas que proveen el servicio como se mencionó anteriormente. Personalmente creo que la situación ahora es peor.

Durante estos 11 años la NSA ha seguido trabajando en secreto y sus capacidades tecnológicas debieron mejorar. Pero la debilidad más fuerte es que empresas mencionadas en PRISM siguen siendo parte esencial de nuestras vidas. Nuestros teléfonos celulares si no funcionan con Android de Google, funcionan con el iOS de Apple. Los sistemas de reconocimiento de voz como Siri, Hey Google o Cortana son todos provistos por empresas PRISM. Por citar dos ejemplos. 

Otro avance importante que tenemos desde las revelaciones de Snowden es la adopción del cifrado extremo a extremo. A diferencia del cifrado de tráfico en la red, con este podemos proteger el contenido de la información incluso de la empresa que provee el servicio. Si ciframos un correo de Gmail, incluso Google no lo podría leer.

Si bien el cifrado de correo electrónico existe hace más de una década, su adopción es marginal. El caso más importante es la adopción de cifrado extremo a extremo es la de WhatsApp en 2016 que permitió a miles de millones de personas cifrar sus mensajes.

Claro que no podemos olvidar que WhatsApp es una empresa de Meta (antes Facebook), que está involucrada en el programa PRISM. La aplicación es de código propietario y no se puede saber cómo está hecha por lo que podría tener una puerta trasera. Incluso me atrevería a decir que tiene una puerta delantera cuándo en las conversaciones de la aplicación tenemos la opción de que participe la inteligencia artificial de Meta. Es una forma cool de pedirnos acceso a nuestras conversaciones.

Otro gran avance que hemos tenido es el desarrollo de aplicaciones de software libre que nos permiten controlar nuestra información.  Existen aplicaciones de chat, correo electrónico, colaboración, edición de documentos y más. En Derechos Digitales, por ejemplo, utilizamos Matrix como nuestro sistema de chat, Nextcloud para compartir documentos, OnlyOffice  para editarlos, Jitsi y BigBlueButton para video llamadas. Ninguna de estas aplicaciones es perfecta, algunas pueden llegar a ser incómodas o fallar en cuestiones que no quisiéramos, pero nos permiten tener agencia sobre nuestros datos y privacidad.

Snowden nos hizo saber que vivimos en una máquina de vigilancia y que estamos perdiendo nuestra privacidad. Ahora como sociedad debemos decidir si queremos seguir atrapados en este sistema o buscamos alternativas. En próximas columnas reflexionaré sobre algunas herramientas que usamos de forma cotidianas y las alternativas que respetan nuestra privacidad. Por lo pronto comparto columnas que escribí sobre aplicaciones de chat, teléfonos móviles, redes sociales y herramientas de video conferencia.

Perfilamiento en redes sociales y ciberpatrullaje como nuevas modalidades de la vigilancia masiva desplegada por los Estados de la región: casos relevantes en América Latina.

Descargar PDF

En este informe que responde la consulta de la Relatoría Especial para la Libertad de Expresión profundizamos en el ciberpatrullaje y los perfilamientos en redes sociales empleados por los Estados de América Latina y que configuran dos nuevas modalidades de vigilancia masiva desplegada por los Estados. Llamamos la atención de la RELE para que recomiende garantías robustas de protección a derechos frente a dichas prácticas.