Temática: Protección de datos

Histórica sentencia de la Corte Interamericana de Derechos Humanos: La protección de datos aplica en las tareas de inteligencia

El pasado 18 de marzo la Corte Interamericana de Derechos Humanos (CtIDH) emitió una sentencia histórica en el caso “Miembros de la Corporación de Abogados José Alvear Restrepo (o Cajar) vs. Colombia. La decisión es de relevancia —entre otros— porque, por primera vez en la historia de la Corte se reconoce el derecho a la autodeterminación informativa en las tareas de inteligencia de los Estados.

El caso: abuso estatal en las facultades de inteligencia

La sentencia condenó al Estado colombiano por haber sometido por más de 30 años a un colectivo de defensores de los derechos humanos y sus familias a actos de intimidación, acoso y vigilancia ilegal de manera sistemática que buscaban amedrentar, disuadir, difamar y estigmatizar su labor como defensores en un contexto de conflicto armado y paramilitarismo.

Para entonces, el Estado emprendió acciones de vigilancia ilegal sobre los miembros del CAJAR de diversas formas que incluyeron intervenciones ilegales de sus comunicaciones privadas, registro ilegal de su correspondencia, registros e intromisiones ilegales a sus domicilios, robos de información, infiltraciones de personal de inteligencia estatal en su organización y actividades, labores de inteligencia sobre sus familias —incluidos menores de edad—. Estas actividades, articuladas con amenazas y atentados a la vida de miembros del CAJAR, forzaron a muchos de sus miembros a vivir y trabajar desde el exilio.

Fruto de la impunidad de casi 4 décadas en la justicia colombiana, el caso de las personas defensoras del Colectivo de Abogados llegó en el 2020 a la CtIDH. La Corte elaboró su sentencia en 2023 y la comunicó a las víctimas el 18 de marzo pasado.

En la sentencia, la Corte declaró la responsabilidad del Estado por la violación de 14 derechos humanos, incluido el derecho a la autodeterminación informativa.

La decisión: la autodeterminación informativa también aplica a la inteligencia estatal.

La decisión de la CtIDH señaló, entre otros, que las personas objetivo de las tareas de inteligencia tienen el derecho a acceder a los archivos de inteligencia elaborado sobre ellas para solicitar que su información en manos del Estado sea revisada, corregida, actualizada, y depurada. Para entender la profundidad de esta decisión hay que considerar tres aspectos esenciales de las tareas de inteligencia.

En primer lugar, que por su naturaleza sigilosa y encubierta, la persona que está siendo objetivo de las tareas de inteligencia no consienteni suele tener conocimientode que está en la mira del Estado. Esta se entera, como suele suceder en nuestra región, por filtraciones de inteligencia que son dadas a conocer por la prensa.

En segundo lugar, que las tareas de inteligencia suelen estar exceptuadas de las regulaciones de protección de datos por razones asociadas a la seguridad nacional. Las razones de esta excepción suelen ser menos claras pero, en general, dotan a las actividades del Estado de una mayor opacidad, dificultando su escrutinio incluso por la vía judicial.

Y en tercer lugar, que en las tareas de inteligencia hay dos grandes categorías de información. La información accionable, es decir, información que fue analizada, puesta en contexto y revisada de cara a otras fuentes de información para orientar la toma actual de decisiones; y los archivos de inteligencia, la información que ya cumplió con su ciclo de vida útil y que el Estado conserva sea para su reutilización posterior u otras finalidades.

El fallo de la CtIDH se refiere precisamente a los derechos que tienen los titulares de los datos personales respecto de la información que reposa en los archivos de inteligencia.

Ahora bien, que las personas puedan, según el fallo, ejercer el control sobre la información que reposa en esos archivos, se traduce en que (i) éstas podrán ejercer escrutinio sobre las condiciones de legalidad, necesidad o razonabilidad en que se justificó el Estado entonces para recoger esa información, o para decidir sobre su conservación, y (ii) en que podrán demandar al Estado su eliminación, actualización o corrección, de ser el caso.

La Corte entendió que el ejercicio de esas facultades aplicable respecto de los archivos de inteligencia estaba amparado por el derecho a la autodeterminación informativa, es decir, el derecho a ejercer control sobre quién, cómo y bajo qué condiciones recoge y conserva nuestra información personal.

En el caso colombiano, la CtIDH llamó la atención para que ese derecho cobre vida en el marco de las acciones de depuración y desclasificación de los archivos de inteligencia, una práctica sugerida a los estados por distintos estándares en derechos humanos en materia de inteligencia que aconsejan identificar, caracterizar e inventariar la información de inteligencia que ya no se necesita pero que el Estado sigue teniendo en sus manos.

El reto a futuro: la vigilancia y sus nuevos despliegues o el “Ciberpatrullaje”

Los efectos regionales de este fallo están por ser explorados, pero sin duda que abre una puerta antes cerrada en la conversación sobre cuál, si alguno, era el control que podrían ejercer las personas sobre la información de inteligencia recogida y conservada por los Estados.

Ahora bien, este fallo seguro que tendrá incidencia en las discusiones actuales sobre actividades de inteligencia no convencional, como el Ciberpatrullaje, es decir, una modalidad nueva de la inteligencia estatal que se despliega en internet y que, bajo la excusa de la protección de la seguridad ciudadana en línea, habilita al Estado a la recolección de información asociada a las interacciones en línea de las personas que han sido declaradas como objetivo de seguimiento.

Si el fallo deja en claro que las personas tienen el derecho de acceder, solicitar la corrección, actualización y eliminación de la información personal que consta en archivos de inteligencia, aquella facultad debería poder ser exigible respecto de los archivos en que se documentan las tareas de “ciberpatrullaje”. Pero para llegar allá, hace falta recorrer un camino más largo en el que se reconozca al ciberpatrullaje como lo que es: una actividad de vigilancia.

La escuela de mañana, ahora

La pandemia lo cambió todo. Se sabe. Uno de los ámbitos que sufrió mayores transformaciones fue la enseñanza y así lo alertamos en su momento, desde una mirada regional. Pasar de la sala de clases, espacio físico que comporta cierta intimidad funcional al proceso de aprendizaje, a un contexto sin estas características y, peor aún, sin garantizar primero la infraestructura necesaria para la educación a distancia, provocó, de acuerdo con UNESCO en ese entonces, una tragedia.  

Salto temporal al presente y ya no es solo la brecha de conectividad, la falta, la que está impactando de manera negativa al futuro de la humanidad; también la abundancia, expresada en la masificación de las herramientas de inteligencia artificial generativa (IA), pone en peligro la integridad de los conocimientos que adquieren, en este mismo instante, niñas, niños y adolescentes (NNA) en todo el planeta.

Todo esto ocurre al mismo tiempo en que la Unión Europea investiga a Meta, compañía a cargo de Facebook e Instagram, por una posible manipulación intencional a NNA mediante los algoritmos de estas plataformas y por no proveer las garantías suficientes de privacidad, seguridad y protección de menores, contraviniendo lo estipulado en la Ley de Servicios Digitales.

¿Alguien quiere pensar en los niños?

Se entiende que las plataformas sociales, por su nivel de alcance, sean el foco permanente de acciones legales e interpelaciones para rendir cuentas. Desconocemos, sin embargo, qué está pasando en cuanto a protección de datos y seguridad digital en las plataformas educativas. El paradero de los miles de datos recopilados durante una hora pedagógica por software “de ayuda” -intervenciones de estudiantes, materiales educativos, métricas de uso, etc.- es una incógnita.

Otro estudio publicado por UNESCO en 2023 es categórico al evidenciar los efectos negativos en la relación entre el uso de smartphones y los resultados educativos, pero también concluye que “si bien la prohibición de la tecnología en las escuelas puede ser legítima en ciertos casos, también se debe considerar su integración adecuada en el aprendizaje”.

Esta ambigüedad normativa se expresa en la falta de consensos mundiales al respecto. En San Pablo, Brasil, el mes pasado se anunció el uso de la IA para mejorar el currículo escolar producido por los profesores y las críticas no se hicieron esperar: cuál es el rol de las maestras en este cambio, cuáles son las líneas éticas que determinarán su uso y qué tipo de control existe sobre posibles afirmaciones falaces emitidas por estos sistemas, por mencionar algunas de ellas.

En Suecia, mientras tanto, la apuesta es por desescalar el avance de las tecnologías al interior de la sala de clases, luego de los magros resultados obtenidos por sus estudiantes, especialmente en cuanto a capacidades lectoescritoras, en mediciones internacionales. Tales efectos también fueron advertidos en nuestra región en 2018.

Como vemos, el problema es de larga data, pasan los años y, más allá de denunciar la guerra y el hambre, e implementar medidas absolutistas tipo “todo o nada”, desconocemos el verdadero impacto, en el mediano y largo plazo, de estas acciones en el aprendizaje escolar.

Un, dos, tres: Madurez

Contrario a las numerosas de voces de alarma que a diario alertan sobre un apocalipsis pedagógico que destruye la capacidad cognitiva de las infancias alrededor del mundo, lo cierto es que la tecnología, una vez más, es el chivo expiatorio de las malas decisiones que toma seres humanos como tú y como yo, a diferencia de que bajo su cargo tienen el destino del aprendizaje de millones de niñas, niños y adolescentes.

Fuentes consultadas para este análisis -madres y padres- así lo afirman: ven en los motores de búsqueda, aplicaciones de aprendizaje y, sobre todo, los juegos una enorme ayuda en la crianza de sus hijos, al permitir delegar en estas herramientas “la parte cuantitativa” de la educación y ocuparse ellas, en cambio, de entregar aquello que no puede medirse con calificaciones.

Un estudio publicado en 2023 en España, fruto de la colaboración público-privada, adopta un enfoque propositivo sobre este tema, preguntándose por el futuro de la IA en la educación, en América Latina. Sus conclusiones son optimistas: hay tiempo, de aquí al 2030, para meditar y establecer legislaciones claras sobre su uso en las aulas, llamando a todos los sectores (gobiernos, privados, academia, sociedad civil) a colaborar en este esfuerzo conjunto. En Latinoamérica nos toca generar instrumentos en esta misma línea, desde nuestro conocimiento de la realidad local a partir de la experiencia.

En este punto de la historia, “Papel v/s Pantallas” no es más que un título sensacionalista para atraer clics que, campañas de miedo o fearmongering mediante, reduce los desafíos en torno a la educación a una mera cuestión de soporte. La realidad nos muestra que el abrupto acceso a tecnologías que no podíamos siquiera describir hace cinco años trae consigo un deber de las personas adultas que las regulan, implementan y utilizan a comportarse como tales.

Un conocido refrán africano sostiene algo similar a la idea de que “Se necesita una aldea completa para cuidar de un niño”. Llegó la hora de hacernos cargo, aldea global.

Fiebre de vigilancia en las gradas

En toda América Latina por décadas la afición al fútbol ha sido acompañada por la crónica roja, la presencia en los estadios de barristas a favor o en contra viene marcada por hechos de violencia, desde peleas entre barras bravas en las calles hasta invasiones de campo, en ocasiones con consecuencias fatales. Ejemplos, desafortunadamente, sobran. 

Pero tal como ocurre con la conmoción social asociada a la delincuencia en los espacios públicos, junto con cada reporte de violencia dentro o alrededor de los estadios de fútbol se alzan voces que exigen mayor seguridad. Más controles en la venta de entradas, más presencia de guardias armados, más presencia policial en los alrededores de los recintos deportivos y más represión.

Y tal como ocurre con los espacios públicos, con un oportunismo y entusiasmo por una transformación digital a través de sistemas biométricos para identificar a cada hincha, se ha incluido la implementación del reconocimiento facial en los estadios de fútbol. Si bien se presenta como una medida de seguridad y control de acceso eficiente, su adopción plantea desafíos éticos y legales significativos.

Marca personal

El funcionamiento del reconocimiento facial exige por una parte la digitalización del rostro de manera automatizada, y por otra un registro biométrico preexistente con el cual cotejar. Sea para verificar que se trata de una persona específica, o para identificarla entre un universo de posibles personas. Así, la identificación de personas impedidas de ingresar a estadios podría lograrse, en principio, con ayuda de tecnologías de reconocimiento facial. 

No obstante, lo que vemos avanzar desde hace varios años son sistemas de registro ex ante de las personas asistentes a estadios, mediante sistemas como el FAN ID que circula desde la Copa del Mundo de 2018 hasta el Registro nacional de hinchas que se exige en Chile desde 2024, como métodos de fría entrega de datos como condición previa para ser parte de una pasión de multitudes.

Con diferentes  tipos de despliegue en varios países de la región se han ido incorporando tecnologías de reconocimiento facial durante los últimos años. La industria se ufanaba en Uruguay de ser pioneros en la instalación de estas tecnologías en la década pasada. También entonces en Argentina se anunciaban avances tecnológicos y pasaportes digitales, que ya tenían el antecedente de una intensa videovigilancia. En Colombia la industria promueve su tecnología tanto para el fútbol como para otros espectáculos en estadios deportivos.

En Brasil, años después de exponer a la afición de toda la región en la Copa América de 2019 las noticias declaraban uso efectivo en un estadio y sucesivos anuncios de instalación en otros.  En México se aceleró la adopción tras una escandalosa batalla campal con decenas de heridos, y si bien la autoridad de control de datos personales intervino tras la creación de nuevas formas de identificación de hinchas, el uso de identificadores o “pasaportes” digitales como el FAN ID ha extendido su uso. 

En Chile, desde 2023 se prueban estos sistemas y cada vez más estadios en todo el país anuncian su instalación. La policía en Paraguay ha anunciado este año el uso de reconocimiento facial en estadios. Y así, nuevos anuncios de intenciones o de planes aparecen con frecuencia, azuzados por sus vendedores.

Peor que el VAR

Como hemos denunciado por años, la promoción de estas tecnologías está acompañada por discursos que le atribuyen efectividad para identificar individuos y así disuadir la violencia y garantizar un ambiente seguro para hinchas y sus familias. Es un elemento crucial la percepción de seguridad asociada a la presencia de elementos de vigilancia.

Sin embargo, esta aparente solución de seguridad plantea una serie de preocupaciones éticas y legales. En primer lugar, el uso generalizado del reconocimiento facial en los estadios de fútbol conduce casi necesariamente a una vigilancia masiva de los aficionados, erosionando su privacidad y sus libertades individuales. Además, existe el riesgo de errores y sesgos inherentes a los algoritmos de reconocimiento facial, lo que podría resultar en identificaciones erróneas y la exclusión injusta de espectadores inocentes. Esto plantea interrogantes sobre la equidad y la justicia en el acceso a los eventos deportivos, especialmente en una región tan diversa como América Latina. 

Por cierto, aún si los sistemas funcionan bien y sin errores, la intensa vigilancia que conlleva la captura y el uso de datos biométricos crea nuevas instancias de vulnerabilidad sobre las personas vigiladas.

La recopilación y el almacenamiento de datos biométricos, como las imágenes faciales, plantean riesgos significativos en términos de seguridad y potencial abuso por parte de las empresas, las autoridades o de terceros malintencionados: nuevas bases de datos que pueden ser explotadas por empresas sin criterios claros, o utilizadas sin autorización por bandidos cibernéticos, comercializadas inescrupulosa o ilegalmente, o entregadas sin resguardo alguno de debido proceso a la autoridad. Ninguno de esos riesgos debería ser aceptado como condición para ser parte de espectáculos deportivos o artísticos.

Goles y autogoles

Quizás uno de los aspectos más desmoralizantes de la insistencia por la securitización mediante tecnologías digitales, es la facilidad con que las autoridades políticas hacen propio el discurso de los mercaderes de la vigilancia.

A modo de ejemplo, mientras en Chile avanza discutiendo el detalle de los últimos artículos para renovar su Ley de Datos Personales, incluyendo mejor protección en el caso de datos biométricos, una comisión de la Cámara de Diputadas y Diputados aprobó de manera expresa la exigencia del uso de biometría en los estadios de fútbol profesional. 

Excelente momento para ser vendedor de tecnologías de vigilancia, pésimo momento para ser hincha. Como reconoce Aldo Rómulo Schiappacase, “para controlar a los más violentos se aplican medidas que afectan a todos los hinchas”, en otro esquema de recolección masiva de información y control sobre la totalidad de un grupo, en atención a la incapacidad de prevenir las incivilidades de algunos de sus miembros, o peor aún, de reconocer y prevenir las causas de la violencia en los estadios. En este caso, el grupo afectado es precisamente aquel que decide acudir presencialmente a atestiguar la gloria deportiva. Cada hincha, por ser hincha, pierde en parte su presunción de inocencia, su libertad de reunión pacífica, su autonomía individual.

Quién tiene la pelota

Todo lo dicho es más que sabido. Las preocupaciones han aparecido una y otra vez, e igualmente el discurso avanza en un único sentido: cada vez más vigilancia, sin resultar en mejoras sustantivas para la seguridad y hasta alejando a la afición de los estadios.

¿Hasta qué punto estamos dispuestos a sacrificar la privacidad y libertades individuales en aras de la seguridad y el orden público? Si bien es indudable que la seguridad en los eventos deportivos es prioridad, es crucial encontrar un equilibrio entre la protección de los aficionados y el respeto a sus derechos fundamentales. Y ese equilibrio no se alcanza con medidas tan intrusivas como lo es el reconocimiento facial.

Así, al menos lo consideró este año la autoridad de control de datos personales en España, al advertir a su poderosa Liga local frente a la licitación de sistemas de reconocimiento facial, un año después de haber ordenado el cese del funcionamiento de sistemas biométricos y la eliminación de la información recabada. Más importante; sugiere la búsqueda de alternativas menos intrusivas: que a un problema identificado se le busque la solución adecuada, en vez  de inventar ajustes para una solución ya elegida.

Podemos volver a repetir la importancia de enfoques que consideren la eficacia de la tecnología y sus implicaciones éticas, legales y sociales, como también la necesidad de salvaguardias adecuadas de transparencia, auditabilidad y rendición de cuentas. O reiterar que un enfoque equilibrado debe considerar a la vez medidas tecnológicas y políticas públicas sólidas, no centradas en vigilancia y represión como en prevención e inclusión, con participación significativa de la sociedad civil para garantizar que se aborden todas las preocupaciones pertinentes. Todo eso es valioso.

No obstante, un debate serio sobre la adopción de estas tecnologías debe enfrentar también la posibilidad real de no adoptarlas. El auténtico respeto por la afición exige no vulnerar sus derechos por una falsa expectativa de seguridad.

El riesgo constante de ser periodista en México: un caso de filtración de datos personales

A finales de enero de 2024, se dio a conocer que una base de datos personales de más de 300 periodistas estaba circulando en un foro de filtraciones. La base contenía informaciones como la Clave Única de Registro de Población (CURP), el Registro Federal de Contribuyentes (RFC), identificaciones oficiales, dirección, entre otras. Según se pudo comprobar, ésta pertenecía al Sistema de Acreditación de Prensa de Presidencia, utilizada para el registro de periodistas que desean acceder a las conferencias matutinas del presidente Andrés Manuel López Obrador.

La noticia genera alarma dados los altos registros de violencia contra periodistas en México. De acuerdo con el informe semestral de Artículo 19, entre enero y junio de 2023, la organización registró 272 agresiones en contra de periodistas y medios de comunicación, de las cuales poco más de la mitad (140) tuvieron a instituciones del Estado como perpetradoras, lo que siembra una desconfianza hacia el gobierno con énfasis en las fuerzas armadas. Mientras tanto en 2022, se registraron 696 ataques, siendo el año más violento que haya monitoreado la organización desde el 2007.

Asimismo, existe el riesgo de que la información, disponible libremente por el filtrado, sea utilizada para incrementar las amenazas y ataques sufridos por comunicadoras y comunicadores en el país. Esta situación puede exponer a periodistas que ya se encuentran bajo el Mecanismo de Protección para Personas Defensoras de Derechos Humanos y Periodistas, y que han asistido a la conferencia matutina. Es sabido que pese a formar parte de los mecanismos de protección, algunas personas no han encontrado la seguridad necesaria, como el caso de Lourdes Maldonado López, quien – incluso habiendo expresado su miedo ante el presidente en una de sus conferencias – fue asesinada en 2022.

El discurso oficial no pareció compartir las preocupaciones de gran parte de la sociedad con relación a la filtración y la situación de los y las periodistas. En un primer momento, López Obrador se refirió a la filtración como una forma de atacar a su gobierno por parte de sus adversarios, como consecuencia de una “guerra sucia”, desviando a sí mismo el centro de atención y minimizando los riesgos implicados a periodistas y sus familiares.

La explicación sobre los hechos tampoco ha sido consistente en el tiempo. Inicialmente el presidente declaró que se trataba de un hackeo para desprestigiar a su gobierno. Posteriormente, la versión oficial de la base de datos a partir de una cuenta y credenciales de un funcionario que dejó de trabajar en la Coordinación de Estrategia Digital Nacional hace dos años.

En este momento, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) declaró que iniciaría una investigación e incentivó a las personas afectadas a presentar las denuncias correspondientes. Fueron 23 periodistas que iniciaron una denuncia penal.

Cuando la irresponsabilidad encuentra la incompetencia

La incapacidad de respuesta y acción del Estado mexicano cuando se trata de las múltiples vulneraciones de derechos humanos sufridas por periodistas no es exclusividad de este caso. La filtración de datos personales de periodistas es un eslabón más en esta cadena.

No es una prioridad y no existe compromiso gubernamental para proteger  periodistas en el país, y este caso sirve para reafirmarlo.  Además, demuestra la poca capacidad del gobierno, especialmente de Presidencia, para implementar medidas de seguridad adecuadas para el manejo de datos personales en su poder, más allá de las obligaciones establecidas por las normativas de protección de datos nacionales. La investigación del INAI en este proceso será crucial para contar con sanciones que impulsen una mejora en la capacitación sobre protección de datos personales. Mientras tanto, la pregunta que queda abierta es la que se refiere a los protocolos de seguridad para inhabilitar cuentas de exfuncionarios públicos.

Esta no es la primera filtración que ha sufrido el Estado mexicano en tiempos recientes. De hecho, fue gracias al hackeo de un grupo autodenominado Guacamaya, en 2022, que se pudo conocer más sobre las prácticas de vigilancia contra civiles – incluso periodistas – implementadas por la Secretaría de la Defensa Nacional (Sedena). El episodio no sólo contribuye a entender la poca diligencia en materia de seguridad digital por parte del gobierno, sino que también evidencia que el Estado también es cómplice en la fragilización de la privacidad y seguridad de periodistas y sus familiares.

Mientras esto sucede, la vida de las comunicadoras y comunicadores está en riesgo todos los días. Esta filtración de información personal pone en una posición aún más vulnerable a periodistas que se encuentran en la base, en especial aquellos y aquellas que previamente han recibido algún tipo de amenaza, lo que les ha llevado a ser parte del Mecanismo de Protección a Periodistas.

Este caso pone sobre la mesa la relevancia de la protección de datos personales de periodistas, pues su difusión puede traer graves consecuencias. Es crucial realizar una investigación exhaustiva sobre lo sucedido y analizar las medidas de gestión de datos personales que están siendo realmente aplicadas por los sujetos obligados, así como los protocolos de seguridad digital existentes. Esto podría tener como consecuencia el impulso y promoción de mejores prácticas en los gobiernos. Existe también, una necesidad imperativa de reparación del daño a periodistas que vieron vulnerados sus derechos, así como la implementación de una estrategia que contribuya a disminuir los riesgos a los que se puedan enfrentar. 

Sin duda, ejercer la labor periodística en México seguirá trayendo riesgos inminentes hasta que exista un interés y una preocupación efectiva por proteger a periodistas, especialmente por parte del gobierno. Es necesario un compromiso por garantizar el ejercicio de derechos humanos como la libertad de expresión y el acceso a la información, ejes centrales del periodismo.

Decir que no al tratamiento de nuestros datos

El consentimiento no siempre es libre, y esto es una amenaza para el ejercicio del derecho a la protección de datos. Decir que al tratamiento de nuestros datos porque en realidad no hay otra opción es un evento que sucede a toda hora, en actividades sencillas como la descarga de una aplicación móvil, en la aplicación de un beneficio social o en la solicitud de regularización migratoria ante los Estados. En esos escenarios decir que no es una opción, sino más bien un acto reflejo. Esta situación recibe el nombre de ‘consentimiento forzado’.

Vale la pena decir, para quienes no son especialistas en el tema, que para el tratamiento de nuestros datos hay más de un mecanismo o base jurídica que sirve para autorizar dicho proceso –interés legítimo, un contrato, una base legal, etc.-, pero por ahora enfoquemos la atención en el consentimiento.

Las consecuencias de decir ‘no’ al tratamiento de datos

Decir o manifestar que no consentimos al tratamiento de nuestros datos puede traer consecuencias más o menos graves dependiendo del contexto. Negarse a aceptar la política de tratamiento de datos de la única aplicación de mensajería que usan la mayoría de nuestros contactos puede generar exclusión relacional, un asunto que se torna relevante en medio de la crisis de soledad que, según advirtió la OMS, se está instalando cada vez con más fuerza en nuestras sociedades de vínculos digitales.

Decir que no a la política de tratamiento de datos en el proceso de solicitud a un beneficio social que entrega el Estado, puede poner en riesgo la subsistencia familiar cuando el contexto económico apremia, tal y como sucedió en tiempos del covid-19. Y decir que no a la compartición de datos biométricos, sensibles, en los procesos de regularización migratoria, puede ser la única razón en que se justifique la negativa de entrega de las credenciales de residencia a las personas que los necesitan, aunque éstas cumplan con el resto de requisitos en la postulación.

No poder decir que no en materia de protección de datos tiene efectos negativos en relación con su ejercicio, sin importar si se trata de un responsable que pertenece al sector público o privado. Dicha imposibilidad resta capacidad decisional y libertad en la toma de decisiones sobre el destino de nuestros datos y, en consecuencia, convierte la pieza central de un derecho en un proceso artificioso.

Estos efectos deberíamos tomarlos en serio en sociedades como las nuestras que apuntan a la digitalización de la vida cotidiana, y en el que las tecnologías son cada vez más ambiciosas y dependientes de la explotación intensiva de nuestros datos.

Decir que ‘no’ a las empresas

Pero hagamos el ejercicio inverso, y pongámonos en los zapatos de las grandes empresas que recogen y amasan nuestros datos personales. Se podría pensar que, a quien no le gusten las condiciones de tratamiento de sus datos, siempre tiene la opción de irse a otra parte. Pero esta es una postura con varios matices de por medio.

Esta posición desprecia el hecho de que el ecosistema digital tiene muy pocos actores que ejercen una posición dominante en los mercados, y que éstos acostumbran en sus procesos expansivos a comprar los servicios de la competencia, la misma a la que uno termina migrando en búsqueda de mejores opciones. Esta posición dominante tiene como efecto, además, que haya incentivos para el surgimiento de servicios alternativos.

El caso más claro es el de WhatsApp, adquirido por Meta. Cuando cambió su política de tratamiento de datos en 2021 y no ofreció la posibilidad de decir que no a sus usuarios en Latinoamérica, tuvimos que consentir de manera forzosa pues no había de otra, en parte, por la ausencia de políticas regulatorias como las de Europa, en donde las personas usuarias del servicio tuvieron allí el respaldo del reglamento de protección de datos para decir que no y la garantía de se respetase su negativa.

Aquí, en cambio, migrar a otra aplicación de mensajería no fue ni es viable para muchas personas, especialmente para quienes habitan en contextos donde la brecha digital persiste y hace imposible el acceso a otros servicios de mensajería menos estables.

En el caso de varias aplicaciones dominantes, la negativa a aceptar sus políticas de tratamiento de datos  sin que eso signifique tener que renunciar a sus servicios también tendría un impacto económico en las personas, como fruto de las prácticas de tasa cero o zero rating. Es decir, prácticas en las que algunos operadores de telefonía móvil ofertan planes de navegación en línea y que prometen que al usar esas aplicaciones dominantes no se descontarán gigas del plan de navegación -un tema que en Colombia está siendo debatido por la Corte Constitucional-.

La negativa en la entrega de nuestros datos también se influencia por nuestras decisiones económicas, pero este es un vínculo que será mucho más claro o explícito cuando varios servicios digitales, que son en apariencia gratuitos, decidan empezar a cobrar a los usuarios que quieran mejores condiciones para la protección de sus datos. Algo que ya está sucediendo con algunas redes sociales.

Decir que ‘no’ al Estado

Cambiemos de actor, y vayamos ahora a los Estados. Decir que no al tratamiento de nuestros datos puede significar la negativa en el acceso a bienes o servicios esenciales. De igual manera, las entidades públicas podrían argumentar que precisan de la información personal básica que les permita prestar bienes y servicios que tienen a cargo, y esto en principio es cierto. Sin los nombres, edad o género de la persona que acude a un servicio médico, difícilmente sea posible garantizar el acceso a servicios personalizados de salud sexual y reproductiva, por ejemplo.

Pero también es cierto que, en los eventos en que la recolección de datos es necesaria para que los Estados funcionen con normalidad, se abre también paso a la recogida excesiva o innecesaria de datos, que nada tienen que ver con la prestación esencial del servicio que justifica su recolección. Entonces, no todo vale, y decir que no a esas condiciones de recogida excesiva, incluso decir que no al cambio de las condiciones iniciales que justificaron la recolección de datos inicial, debería ser factible y realizable.

¿Cómo potenciar el consentimiento libre e informado?

En el día internacional de la protección de datos, ¿qué podemos sugerir para potenciar el consentimiento libre e informado en los casos en decir que no al tratamiento de datos puede enfrentar tantos retos? En principio, reconocer que esta es una tarea que transita por varias vías.

La política regulatoria juega un papel clave para facilitar la investigación y sanción de los actores públicos y privados que hagan del consentimiento libre un proceso artificioso o inexistente u oneroso. También, tiene que ver con afianzar una cultura de la protección de datos que, en nuestra región, aún tiene un cariz profundamente individual que se enfoca en  la denuncia o la queja de la persona inconforme, sin que emerja una visión más sistemática sobre prácticas que trascienden e impactan a grandes grupos de personas en un mismo país o región.

Por último, el surgimiento de casos de protección colectiva del consentimiento libre puede contribuir a esta tarea –Brasil ya ha avanzado en esa línea-, pues tendría el potencial de impactar más profundamente en la cultura local y jurídica, así como de sensibilizar a más personas y responsables de datos sobre las consecuencias de hacer del consentimiento libre y de la facultad de decir que no, un saludo a la bandera.

Reconocimiento facial: tecnologías al servicio de la represión

Argentina, diciembre de 2023. Asunción del presidente electo Javier Milei. Recortes, ajustes, protestas. La Unidad Piquetera convocó una manifestación en respuesta a las primeras medidas del nuevo gobierno. El anuncio de la manifestación, planificada para el 20 del último mes del año, fue acompañado de nuevas medidas (y amenazas), que provocaron múltiples respuestas de la sociedad civil. 

Previo a la mencionada manifestación, la ministra de Seguridad nacional, Patricia Bullrich, presentó el llamado “Protocolo antipiquetes”, un documento para controlar la protesta y que menciona la utilización de distintas tecnologías de vigilancia con el objetivo de identificar manifestantes. Según el protocolo, que combina represión y persecución, los datos obtenidos por la policía “serán remitidos a la autoridad de aplicación correspondiente para la adopción de las medidas que correspondan”. Frente a la consulta sobre de dónde sacarían los datos, la respuesta fue determinante; “por las cámaras de reconocimiento facial”, dijo la ministra. “Vamos a identificar a las personas. Vamos a tener cámaras, vamos a tener drones y vamos a tener distintas formas de identificarlas”, afirmó durante  una entrevista en el canal LN+.

Del mismo modo, la ministra de Capital Humano, Sandra Pettovello, anunció que si quienes participaran de la protesta fueran beneficiarios de algún plan social, éste se les quitaría. Y volvió a mencionar en un video publicado en redes sociales del organismo, parafraseando al presidente, que “El que corta, no cobra”.

Argentina y el reconocimiento facial

Argentina ha sido pionera en la implementación de políticas de identificación con base en biometría, las que, de manera creciente, han incorporado elementos tecnológicos avanzados. La prensa local apunta a la existencia de al menos tres sistemas de reconocimiento facial automatizado en el país. 

Uno es el que se empezó a usar en 2018 en las canchas del fútbol argentino como parte del programa Tribuna Segura 2.0. El otro, llamado Sistema de Identificación Segura (SIS) es utilizado por las fuerzas de seguridad en ciudades como Rosario para la búsqueda de ”prófugos, personas con antecedentes penales” y con “pedido de captura en la vía pública”.

El tercero, es el sistema de reconocimiento de prófugos y personas desaparecidas que empezó a implementarse en las terminales de transporte público en la Ciudad Autónoma de Buenos Aires en 2019. Este sistema fue declarado inconstitucional en 2022 gracias a un recurso interpuesto por el Observatorio de Derecho Informático Argentino (O.D.I.A.).

Entre otros argumentos, la acción cuestionó la ausencia de estudios de impacto previos a la implementación y de mecanismos efectivos de supervisión y auditoría al Sistema de Reconocimiento Facial de Prófugos (SRFP). En su momento existieron acusaciones hacia el gobierno porteño por cargar en el sistema datos de más de 40 mil personas, entre ellas dirigentes sociales, políticos, jueces o fiscales entre otros. Se supo también que esos datos se enviaron al Registro Nacional de las Personas (Renaper) sin autorización.

Además de los mencionados, en 2021, el Consorcio Al Sur identificó sistemas de reconocimiento facial activos en la Provincia de Salta y en la localidad de Tigre (Provincia de Buenos Aires).

Tecnologías para la represión

Los impactos del reconocimiento facial automatizado, el uso indiscriminado de datos biométricos y la poca transparencia de las medidas de vigilancia, son temas que la sociedad civil argentina ha discutido largamente en los últimos años. Como era de esperar, los reclamos ante a la nueva Resolución no tardaron en aparecer.

El Centro de Estudios Legales y Sociales (CELS) denunció el protocolo y las acciones frente a la ONU y a la Comisión Interamericana de Derechos Humanos. La denuncia fue acompañada por 1700 firmas de centrales sindicales, movimientos sociales, organismos de derechos humanos, organizaciones sociales, gremiales, ambientales, de los pueblos indígenas, migrantes, transfeministas, religiosas, colectivos de infancias, estudiantiles y políticos. Además, más de 15 mil personas firmaron la denuncia a título personal. La carta, menciona que los nuevos procedimientos planteados son “incompatibles con los derechos a la libre reunión y asociación, a la libertad de expresión y a la protesta social, reconocidos tanto en normas locales, como en la Constitución Nacional y en los tratados y estándares internacionales de derechos humanos”.

La Fundación Vía Libre, reforzó en un comunicado que existen garantías previstas legalmente contra la recolección abusiva de datos personales: “la ley de protección de datos personales y el principio de hábeas data con rango constitucional te protege si tus datos de identidad, de salud o de crédito son usados sin tu consentimiento”. Según el texto, “Argentina está queriendo utilizar el sistema de reconocimiento facial para desincentivar las manifestaciones”. La organización recordó que no se trata del primer caso a nivel mundial, refiriéndose a denuncias de activistas frente al Tribunal Europeo de Derechos Humanos contra el uso de reconocimiento facial en manifestaciones en Rusia.

Luego de la enorme manifestación del 20 de diciembre, y tal como lo había adelantado la ministra Bullrich, se solicitó al actual gobierno porteño la información recolectada por las cámaras, a pesar de la inconstitucionalidad declarada en 2022. Sin embargo, las autoridades se negaron a aportar la información. Según explicaron, el sistema no está en condiciones técnicas ni judiciales para ser usado.

En la ocasión, agentes de la Policía de Seguridad Aeroportuaria (PSA) subieron a transportes que se dirigían a la movilización convocada por movimientos populares y organizaciones sociales, pidiendo documentación y filmando a los pasajeros con el propósito de identificar a manifestantes. Los hechos fueron registrados por una pasajera que subió a sus redes un video donde se observa el momento en que los agentes suben a un ómnibus y registran a los presentes con un celular.

Contra la represión automatizada

Los sistemas de recopilación de información personal ponen en riesgo un conjunto de derechos fundamentales como la privacidad y la protección de datos personales, la libertad de asociación y de expresión, el debido proceso y la presunción de inocencia, entre otros. Es inaceptable que la asistencia social esté condicionada a la abstención de ejercer el legítimo derecho a la protesta. Utilizar la vigilancia y la represión (policial, judicial o administrativa) como amenaza es una forma de censura y una violación de los compromisos asumidos por Argentina a nivel internacional.

El pedido es simple: que el nuevo gobierno argentino atienda a criterios de legalidad y a los procedimientos validados por la justicia y que cualquier acción de vigilancia sea necesaria y proporcionada. Que los órganos de persecución penal y de seguridad pública recuerden sus compromisos constitucionales como límites a sus acciones.

Que la población efectivamente sepa a dónde van sus datos, para qué se van a usar, y que puedan contar con auditorías regulares es una base mínima sobre la que actuar. La experiencia lo ha demostrado: sin transparencia, no hay garantía de derechos.

Y lo más importante: que termine la represión de la protesta legítima, con o sin herramientas automáticas y modernas.

Contribución conjunta sobre derechos humanos en el entorno digital en Chile

Descargar PDF

Este informe producido por Derechos Digitales y la Asociación para el Progreso de las Comunicaciones (APC) se enfoca en el ejercicio de los derechos humanos en la esfera digital en Chile, en el marco del 4° ciclo del Examen Periódico Universal (EPU) y analiza el cumplimiento de las siete recomendaciones en esta materia recibidas durante el ciclo anterior del EPU.