Examen Periódico Universal

¿Qué es el EPU?

El Examen Periódico Universal (EPU) es una revisión del historial de derechos humanos de los Estados Miembro de Naciones Unidas. Cada cinco años, cada estado es sometido a examen. Todos los países son parte del proceso. Es una oportunidad para que los Estados analicen y comuniquen las mejoras implementadas en materia de derechos humanos. Además, pueden recibir recomendaciones por parte del resto de los estados miembro de Naciones Unidas, con el objetivo de impulsar mejoras constantes en materia de derechos humanos a nivel global.

Mira el video aquí.

Examen Periódico Universal 4to ciclo, sesión 41

ECUADOR

Resumen de recomendaciones al estado ecuatoriano

Summary of recommendations to the Ecuadorian state

Campaña de difusión

BRASIL

Resumo das recomendações ao estado brasileiro

Summary of recommendations to the Brazilian state

Este relatório da sociedade civil, elaborado por Privacy Internaciona e Derechos Digitales, se concentra apenas nas preocupações relacionadas ao uso da tecnologia educacional (’EdTech’) no Brasil e ao processamento subsequente (coleta, análise, retenção e compartilhamento) de dados de crianças e professores nas escolas

Esta submissão, elaborada por APC , Artículo 19, Derechos Digitales, Intervozes centra-se no cumprimento de obrigações de direitos humanos no contexto digital pelo Brasil e busca fortalecer recomendações focadas na garantia do acesso universal à internet de modo a viabilizar a livre expressão e associação, o acesso à informação, conhecimento, cultura e o exercício de direitos econômicos e sociais demaneira segura, respeitosa à privacidade, à autonomia e livre de qualquer forma de discriminação.

This submission, made by APC , Artículo 19, Derechos Digitales, Intervozes, focuses on Brazil’s fulfilment of human rights obligations in the digital context and seeks to strengthen recommendations focused on guaranteeing universal access to the Internet in order to make possible free expression and association; access to information, knowledge and culture; and the exercise of economic and social rights in a manner that is secure, respectful of privacy and autonomy, and free of any kind of discrimination

Este informe, elaborado por APC , Artículo 19, Derechos Digitales, Intervozes, se centra en el cumplimiento de las obligaciones de derechos humanos en el contexto digital por parte de Brasil y busca fortalecer recomendaciones enfocadas en la garantía del acceso universal a internet en orden de ejercer la libre expresión y asociación; el acceso a la información, al conocimiento y a la cultura; y el ejercicio de derechos económicos y sociales de manera segura, respetuosa de la privacidad y de la autonomía y libre de cualquier forma de discriminación.

Campaña de difusión

Examen Periódico Universal 4to ciclo, sesión 34 – Bolivia

Descarga el documento

Examen Periódico Universal 4to ciclo, sesión 32 – Chile

Descarga el documento

PRÓXIMOS EPUS PARA PAÍSES LATINOAMERICANOS

Los siguientes países de América Latina serán evaluados en el Examen Periódico Universal en los próximos años:

44º periodo de sesiones (Oct – Nov 2023)- Colombia, Cuba.
45º periodo de sesiones (Ene – Feb 2024)- México.
46º periodo de sesiones (Abr – May 2024)- Chile, Uruguay.
47º periodo de sesiones (Oct – Nov 2024)- República Dominicana.
48º periodo de sesiones (Ene – Feb 2025)- El Salvador, Bolivia.
49º periodo de sesiones (Abr – May 2025) Guyana.
50º periodo de sesiones (Oct – Nov 2025) Panamá, Honduras.
52º periodo de sesiones (Abr – May 2026) Paraguay.
54º periodo de sesiones (Ene – Feb 2027) Venezuela.

Revisa el calendario completo aquí.

¿Quién defiende tus datos? 2022

Descargar PDF

El presente informe corresponde a la quinta entrega del reporte ¿Quién defiende tus datos?, una evaluación de la forma en que las compañías chilenas que proveen servicios de internet resguardan los datos
de sus clientes, especialmente frente a posibles abusos de la autoridad estatal, pero también en relación con las prácticas de tratamiento de datos personales de las propias empresas.

¿What’s up América Latina?

¿Qué datos y meta datos se recopilan? ¿Cuál es la base legal para esta recolección? ¿Con quién se comparten? ¿Con qué finalidades? ¿Y por qué no explicar todo esto de forma simple a las personas? Estas son preguntas que a menudo quedan sin una respuesta adecuada. Resulta que en otros casos, el uso indebido de los datos de la ciudadanía da como resultado una verdadera concentración del mercado. Pero, ¿qué está pasando en América Latina?

En una audiencia judicial en los Estados Unidos sobre el famoso caso del uso político de los datos personales, conocido como Cambridge Analytica, se confirmó la información divulgada por Motherboard a principios de año. Estos hechos demuestran y refuerzan lo que viene sucediendo en la dinámica de los últimos años: que la internet que fue pensada como libre, abierta e inclusiva cada vez más nos aprisiona en manos de pocas empresas, en un mundo extremadamente concentrado.

Regulaciones de todo el mundo intentan dar cuenta de todos estos problemas, ya sea mediante la creación de leyes más protectoras, como el Digital Service Act y el Digital Market Act en Europa, o aplicando multas más fuertes, como hemos visto últimamente con los gigantes tecnológicos. Esta semana, incluso, Google tuvo una multa de 4,12 millones de euros confirmada por el Tribunal de Justicia de la Unión Europea, debido a la imposición de restricciones ilegales a los fabricantes de dispositivos Android.

Lo mismo ocurre en América Latina. O al menos eso es lo que parece comenzar a suceder. A partir del análisis de un caso tratado por varias autoridades de diferentes países se revela un verdadero cambio de paradigma para lidiar con la competencia, protección de datos y de las personas consumidoras, según un estudio que Maria Paz Canales y yo publicamos en la revista GRUR International. El caso trata del cambio de las políticas de privacidad y de los términos de servicio en 2016 y 2021, y principalmente de la reacción de las autoridades y de la sociedad civil, con un enfoque especial en América Latina. Como se resaltó en un seminario reciente del Foro de la Sociedad Civil de la Red Iberoamericana de Protección de Datos, necesitamos comprender las implicaciones de «cuando los gigantes cambian las reglas”.

El valor de los datos y las promesas realizadas

Desde el anuncio de la compra de WhatsApp por parte de Facebook en febrero de 2014, la operación ha llamado la atención por el alto precio de la adquisición (alrededor de 19.000 millones de dólares) y por las promesas de Zuckerberg de «no cambiar los planes en torno a WhatsApp y la forma en que utiliza los datos de las personas usuarias».

A pesar de las promesas, la realidad fue mostrándose totalmente diferente. La empresa fue multada por la Comisión Europea en 110 millones de euros por proporcionar información engañosa sobre un tema crucial en la revisión de la operación de compra por parte del regulador europeo. Simplemente no informó correctamente sobre la posibilidad técnica de identificar y combinar a las personas usuarias de las dos plataformas.

Pero la confirmación de que las promesas no se cumplirían se verificó en 2016, cuando se produjo uno de los mayores cambios en la política de privacidad y los términos de uso del servicio. El cambio permitió el intercambio de datos y metadatos de consumidores de WhatsApp con las demás empresas del grupo Facebook. A la persona usuaria, se le permitió una sola oportunidad de oponerse a este intercambio de sus datos, y aún así esta opción sólo podría hacerse en 30 días.

Varias fueron las decisiones de autoridades de protección del consumidor/a, competencia y datos, que entendieron este cambio como abusivo, especialmente en los países europeos. Así, la empresa llegó a un acuerdo para cambiar la política para el continente europeo, de modo que entraría en vigor solamente cuando el reglamento de protección de datos estuviera vigente, además de ser evaluado por las autoridades competentes. Es el caso de la Comisión de Protección de Datos (DPC) de Irlanda, que solo llegó a una conclusión parcial del caso en 2021, aplicando una multa de 255 millones de euros a la empresa debido a la falta de transparencia en el procesamiento de los datos. Solo después de la multa millonaria, a fines de 2021, la compañía realizó cambios más sustanciales en su política de privacidad, pero tales cambios solamente son válidos para Europa.

¿Y en el resto del mundo? Las diferentes lentes del/a consumidor/a, la competencia y la protección de datos

En 2021, se anunció un nuevo cambio en las políticas de privacidad de WhatsApp, que consolidó y aumentó el volumen de datos recopilados por la empresa. Pero esta vez sin dar la posibilidad de no aceptar el cambio. Súbitamente, hubo mucha queja por parte de la sociedad civil organizada y de autoridades de todo el mundo. India y América Latina encabezaron una rebelión global en contra de las nuevas condiciones de la aplicación, según lo informado por la prensa en ese momento. La autoridad de competencia de la India ha tomado una decisión preliminar al suspender el cambio de política, por entender que esa era una conducta exploratoria y excluyente. En América Latina, las autoridades finalmente tomaron algunas decisiones importantes al respecto de esta política.

En Argentina, por ejemplo, la autoridad de competencia argentina tomó la decisión preliminar, confirmada posteriormente, que consideró el abuso exploratorio, la exclusión y la posición dominante del grupo Facebook en ese país, en vista de factores como la recopilación excesiva de datos, la ausencia de opciones reales a las personas para limitar esta recopilación y la subordinación de la prestación del servicio a la aceptación de la actualización. La decisión también resalta que no hay gratuidad del servicio, pues el activo esencial es la información y datos de las personas usuarias del servicio, que se transforman en ganancias monetarias por la publicidad en otras plataformas. Ya La Dirección General de Defensa y Protección al Consumidor multó a la empresa con un valor 5 millones de pesos argentinos, subrayando que las cláusulas y los cambios eran abusivos.

En Brasil, llamativamente, el caso fue uno de los primeros en ser analizados por la recién instituida Agencia Nacional de Protección de Datos (ANPD). La ANPD en conjunto con el Ministerio Público Federal, la Secretaría del Consumidor y el Consejo Administrativo de Defensa Económica (CADE), cariñosamente llamados los «cuatro fantásticos», recomendaron fuertemente a las empresas para que aplacen la entrada en vigor de la nueva política de privacidad. Solo después de meses, la ANPD terminó el análisis de la política de privacidad de la compañía basándose en la Ley General de Protección de Datosa LGPD, entendiendo que la compañía cumplió con las recomendaciones hechas por las áreas técnicas de la agencia. Sin embargo, en esa misma decisión, la ANPD abrió nuevos procedimientos, ahora para investigar otras cuestiones que aún no habían sido evaluadas: la posibilidad de procesamiento de datos de infancias y adolescencias, además del punto nodal del caso, que es la posibilidad de compartir los datos de los/as usuarios/as entre las empresas del grupo económico.

En Chile se ha abierto una investigación, aún no concluida, por la autoridad de competencia, ya que hasta el momento el país no cuenta con un organismo específico dedicado a la protección de datos.

Más allá de los Cuatro Fantásticos: colaboración interinstitucional e internacional

En Brasil, la cooperación interinstitucional entre los «cuatro fantásticos» fue un factor importante debido incluso a la reciente instauración de la ANPD. El intercambio también sirvió para consolidar una actuación más integrada entre las diferentes autoridades y posibilitar un análisis más completo y global de los temas tratados en el caso. Otra cuestión que llama la atención es que el caso continúa, o sea, todavía tendremos novedades en nuevos procesos que fueron abiertos.

Ya en Argentina, además de las decisiones ya citadas anteriormente, llama la atención la apertura de las autoridades hacia la sociedad civil y para la discusión internacional con otras autoridades sobre el caso, conforme lo visto en el encuentro virtual promovido por la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD), Public Citizen y Third World Network, que contó con la participación de varias autoridades de América Latina, Asia-Pacífico, Europa y África.

La sociedad civil organizada fue extremadamente activa en el caso. Entidades como la Coalición Derechos en la Red, Idec, Data Privacy Brasil, CGI, Fundación Via Libre, Tedic, Derechos Digitales y Al Sur, actuando en el ámbito nacional y regional, apenas para citar algunas organizaciones en el contexto latinoamericano. Tales organizaciones tuvieron una actuación importante en el debate, siendo proactivas en el diálogo con autoridades y con la empresa.

La lucha de David y Goliat continúa: la importancia de las organizaciones de la sociedad civil

No hay duda de la importancia de los datos para las empresas. Pero la transparencia y el respeto de los derechos de las personas siguen siendo puntos que merecen nuestra atención. Los procedimientos administrativos y judiciales relacionados con el caso de WhatsApp continúan en las jurisdicciones mencionadas aquí. Es por eso que debemos pensar las estrategias para que posibilite a David hacer que los gigantes cumplan las leyes y respeten los derechos humanos.

Hacia un marco feminista para el desarrollo de IA: de los principios a la práctica

Descargar PDF

¿Es posible desarrollar IA que no reproduzca lógicas de opresión? Para responder a esta pregunta, nos enfocamos en las relaciones de poder inmersas en el campo de la IA y hacemos un análisis interpretativo
de las experiencias, en el día a día, de siete mujeres que trabajan en algún campo de la IA o la ciencia de datos en la región, en diálogo con distintas declaraciones de principios y guías feministas para
el desarrollo y despliegue de tecnologías digitales.

El rol de la criptografía en el ejercicio democrático

Muchas de nuestras conversaciones privadas se dan en el ámbito digital. Lo que antes por condición propia de la comunicación presencial entendíamos por privacidad (juntarse en un lugar a conversar), no tiene las mismas seguridades en el entorno digital. Saber que nuestras conversaciones pueden ser vigiladas tiene efectos sobre nosotros, como la autocensura.

Durante décadas, y por ser la tecnología digital un elemento nuevo y con capacidades en desarrollo, no fue relevante pensar en comunicaciones cifradas dentro de las distintas aplicaciones de comunicación y almacenamiento de datos. Sin embargo, desde que internet se volvió masivo, incluyendo cada vez más aristas de nuestras vidas, han crecido la cantidad de ataques a las comunicaciones y datos almacenados.

Es en ese contexto que la criptografía, disciplina que estudia, investiga e implementa los métodos de cifrado, cobra una nueva relevancia.

¿Cómo funciona el cifrado en nuestras comunicaciones?

Uno de los esquemas más utilizados para el cifrado de datos en tránsito y que posee un uso masivo es el denominado cliente-servidor donde la comunicación entre el dispositivo del la persona emisora y quien provee el servicio es cifrada. De este modo, la comunicación desde el servidor de quien provee el servicio y hacia la persona destinataria de la comunicación también es cifrada. Este esquema logró solucionar en general la intervención de intermediarios no autorizados en la comunicación, pero debido a su diseño, generó un nuevo problema. El proveedor del servicio puede acceder a todo el contenido de las comunicaciones. Este problema se vuelve más grave en la medida que los servicios de comunicación digital se concentran en algunas pocas empresas de alcance global.

Debido a esto último, nace la necesidad de generar e implementar sistemas de comunicación con cifrado de extremo a extremo, esquema en el cual, y siempre que se cumplan condiciones de auditabilidad, el proveedor del servicio (quién posee control sobre los servidores mediante los cuales se realiza el intercambio) no puede leer los mensajes (descifrar).

Los sistemas de comunicación con cifrado de extremo a extremo nos dan la esperanza de que nuestras comunicaciones son inviolables inclusive por el proveedor del servicio, pero aún queda como objeto de valor para algunas instituciones los metadatos de las comunicaciones. Esto significa que aunque no tenga acceso a los mensajes entre dos o más personas, igualmente para el proveedor es posible saber quién se comunica con quién y a qué hora, y en algunos casos desde dónde se realizan las comunicaciones.

Es tal sentido cabe preguntarse si además de la defensa del cifrado deberíamos que agregar los apellidos autónomo y federado pensando en las mejores condiciones de privacidad para las personas usuarias.

Para poder tener alternativas públicamente auditables, autónomas y federados, a las opciones que nos ofrecen las corporaciones de alcance global, existen una serie de esfuerzos y y/o dedicaciones de una serie de organizaciones formales y grupos de personas que lo hacen posible. Del mismo modo, la promoción y el uso de dichos sistemas favorecen su proliferación.

¿Qué podemos hacer en la defensa de la criptografía y el desarrollo de sistemas digitales cifrados?

Potenciar su uso

Luego de varios incidentes de seguridad reportados y con un alto grado de influencia sobre las revelaciones de Edward Snowden en 2013 es que la inviolabilidad de las comunicaciones y del almacenamiento de datos fue cobrando mayor relevancia.

En los últimos años ha aumentado el número de herramientas y aplicaciones, de código libertado y privativas, que implementan distintos tipos y niveles de cifrados con el fin de resguardar la información de las personas. Uno de los motivos es que las personas usuarias han generado expectativas de funcionamiento sobre las características técnicas (no legales) de aquellas herramientas que utilizan, en torno a la privacidad de sus comunicaciones y datos. Esto reafirma el efecto y la influencia que puede lograr que las usuarias finales tengan clara la importancia de la criptografía y cifrado.

Potenciar la disciplina

Otra arista de importancia es la promoción de la criptografía, en términos de materia de estudio, de implementación de métodos y de implementación de herramientas. Si bien para las personas usuarias lo importante es contar una aplicación y servicio que implemente un cifrado seguro, esto no es más que la punta del iceberg de una cadena de procesos. Bajo lo primeramente visible podemos encontrar todas aquellas instituciones, educacionales por esencia o con objetivos diversos, sin fines de lucro o privadas, que son generadoras de conocimiento en el ámbito de la criptografía.

Es posible que para varios grupos de personas la implementación de herramientas que proporcionen un cifrado fuerte sean materia del mercado. También es posible encontrar grupos de personas que encuentran valor, y coincido con ellas, en la implementación de herramientas de cifrado autónomas (que puedan ser auto gestionadas). En este caso es además necesario contar con personas capacitadas en la implementación de soluciones, generalmente de código libertado, que cuenten con la capacidad de resguardar las comunicaciones y datos.

Si consideramos que el desarrollo de la criptografía es importante para el desarrollo de la sociedad actual entonces debemos apoyar, dentro de nuestras posibilidades, todos aquellas organizaciones, personas e instancias que la promueven.

Potenciar regulaciones acorde al derecho a la privacidad

Es fundamental destacar el rol que juegan las legislaciones respecto de las regulaciones que se realizan en ámbitos que impactan las implementaciones criptográficas.

Existen casos de proyectos legislativos que han tratado de legalizar el uso de puertas traseras en distintos servicios como herramienta de lucha contra distintos tipos de delitos. Un ejemplo de esto sucedió con las plataformas de redes sociales con sede en los EE. UU., como Facebook y WhatsApp, que se vieron obligadas a compartir los mensajes cifrados de los usuarios con la policía británica debido a un tratado entre los dos países.

Otro ejemplo de esto , sucedió cuando durante el gobierno de Trump, se fomentó una legislación que prohíba a las empresas tecnológicas usar formas de encriptación que las fuerzas el orden no puedieran descifrar .

Si bien a primera vista, en ambos casos pareciese una solución eficaz, el problema es nada impide que los criminales sí utilicen herramientas alternativas que les provean de privacidad y cifrado fuerte. En la otra cara, todas aquellas personas que utilizan los servicios en actividades legales quedan expuestas a que sus comunicaciones y datos sean expuestos.

Es evidente, entonces, la importancia que juegan las legislaciones en torno a generar marcos institucionales que otorguen las garantías necesarias para la efectiva privacidad y ejercicio de la libertad de expresión en entornos digitales.

Debemos trabajar en la promoción del uso de sistemas que cuenten con métodos de cifrado que resguarden nuestra privacidad, y por ende nuestra liberta de expresión, en todos los ámbitos posibles. Y no se trata de un afán geek sobre el uso de la tecnología si no de las implicaciones actuales del cifrado en el desarrollo de nuestras vidas en torno al ejercicio de la democracia.

Declaración de Derechos Digitales durante la segunda sesión del Comité Especial encargado de Elaborar una Convención Internacional Integral sobre la Lucha contra la Utilización de las Tecnologías de la Información y las Comunicaciones con Fines Delictivos

Descargar PDF

Nuevos rumbos constitucionales hacia el fortalecimiento de la privacidad y la protección de datos personales

Como producto de una consulta democrática construida a partir de un proceso que contó con algunas instancias de diálogo con la ciudadanía, la propuesta de nueva Constitución en Chile da importantes pasos en la protección de derechos cruciales en el entorno digital.

Así, además de la garantía del acceso universal a la conectividad digital, el texto aprobado por la Convención Constitucional propone nuevas reglas supralegales que fortalecen la privacidad y la protección de datos personales, fundamentales para un acceso significativo, libre y seguro a la red.

Las medidas se condicen en buena parte con las expectativas ciudadanas mapeadas por Derechos Digitales en una serie de diálogos alrededor del proceso constituyente: estafas, venta de datos privados, y violencia digital, fueron algunas de las principales problemáticas identificadas por las participantes, quienes señalaron que el marco normativo vigente en Chile es insuficiente para proteger a la ciudadanía frente a situaciones de violencia en internet y resguardar los derechos de las personas en el entorno digital.

Nuevas reglas en torno a la privacidad (artículo 70), la protección de datos personales (artículo 87) asociada a una autoridad de control, la educación digital y la promoción del ejercicio de derechos en espacios digitales (artículo 90), la seguridad informática (artículo 88) y más, plantean un nuevo escenario para la discusión de esos derechos a nivel legislativo.

Consolidando límites a la vigilancia

Las garantías a la privacidad aparecen en el artículo 70 del texto y trae novedades interesantes como la idea de privacidad comunitaria, además de la personal y familiar, apuntando a un derecho de carácter colectivo.

Se destaca también la inclusión explícita de los metadatos entre los objetos de la inviolabilidad de documentos y comunicación privada. Los metadatos son generados de manera automatizada a partir de nuestras comunicaciones o interacciones con dispositivos digitales y pueden revelar informaciones extremadamente sensibles sobre nuestros hábitos más íntimos. Por eso requieren altos niveles de protección, como los establecidos en la propuesta chilena, que despeja cualquier duda respecto al requerir orden judicial previa para su interceptación, captura, apertura, registro o revisión. La medida debe orientar la actuación de fuerzas policiales y de investigación, el poder judicial y las empresas en el momento de entregar o no este tipo de información.

Además, ayuda a prevenir avances legislativos que apunten en dirección contraria, incluso los relacionados a la retención de esos datos. En Brasil, la redacción del artículo constitucional sobre inviolabilidad de las comunicaciones ha resultado en décadas de controversias sobre la interpretación sobre el tema. En países como Argentina y México fue también el poder judicial el responsable por estandarizar las protecciones a metadatos y contenidos.

La propuesta constitucional chilena podría ser complementada legalmente para explicitar los estándares de necesidad y proporcionalidad reconocidos por el Sistema Interamericano de Derechos Humanos (SIDH) que deben ser observados en materia de interceptación de comunicaciones. Los cambios en la última versión dejaron afuera la mención explícita a que las decisiones judiciales deberían ser dictadas “en la forma y para los casos específicos” previstos en ley, una especificación relevante para evitar abusos como órdenes de interceptación amplias, genéricas y carentes de fundamento.

Sin embargo, por un lado se mantiene el requisito de legalidad y, por otro, los criterios para la regulación y ejecución de interceptaciones se encuentran establecidos a nivel regional y deben ser observados por los poderes legislativo y judicial, así como por las fuerzas policiales y de investigación, independiente de la especificación constitucional.

El camino hacia una protección de los datos personales fortalecida

Desde 2018 Chile reconoce a nivel constitucional la protección de datos como un derecho autónomo. En el contexto regional, podemos ver que en Brasil ese reconocimiento llegó después de aprobada una Ley General de Protección de Datos, que consolidó por primera vez en el país un conjunto de derechos, principios y procedimientos para el tratamiento de datos. La medida brasileña también da mayor peso y coherencia a un derecho cada vez más fundamental para la ciudadanía y la democracia, como también ha reconocido e indicado la Corte Suprema brasileña en una decisión de 2020.

En el caso chileno, la propuesta actual de texto constitucional ofrece un conjunto de parámetros específicos que deberían ser observados en una ley. Si bien el país ya cuenta con una pionera ley en la materia, esta se encuentra obsoleta frente a los avances tecnológicos y normativos de las últimas décadas y hace años se discute una reforma.

El hecho de que la Convención haya optado por crear un órgano autónomo responsable por la protección de datos a nivel constitucional (artículo 376) fortalece la protección prevista en el artículo 87 y delimita el modo en que la ley regulará la supervisión y fiscalización de operaciones de tratamiento de sus datos personales. La existencia de un órgano independiente para tal función es un punto clave para la efectividad de la protección de datos, efectividad que no solamente está ausente en Chile, que no cuenta con una institución de este tipo, sino también en varios países en la región.

La ausencia de una previsión similar en la Constitución brasileña, por ejemplo, dificultó la creación de una órgano garante independiente por la ley en 2018. El texto aprobado por el Congreso tras amplios procesos de consultas públicas proponía un modelo que terminó vetado bajo el argumento constitucional de que la creación de órganos de la administración pública sería de iniciativa presidencial. La medida resultó en la creación de una agencia dependiente de la Presidencia de la República, que nombra directamente a sus miembros, con aprobación del Senado.

Del mismo modo, la especificación de las funciones esperadas para la autoridad de protección de datos a nivel constitucional en la propuesta de la Convención Constitucional evita situaciones como la decisión que anuló la incorporación de facultades sancionatorias y de investigación al Servicio Nacional del Consumidor (Sernac), bajo alegaciones de inconstitucionalidad, poniendo en riesgo la constitucionalidad (bajo el marco actual) de un órgano efectivo como autoridad de control de datos personales.

Los caminos que quedan por explorar

Existen importantes avances en materia de privacidad y protección de datos, pero la discusión legislativa tendrá que profundizar varias de las cuestiones planteadas por la propuesta constitucional.

Sobre la autoridad de control, hay temas fundamentales relacionados a su composición: cómo serán identificadas y elegidas las personas miembros; y qué criterios que deberán ser observados en tal selección. Se sabe que habría paridad de género, prevista para todos los órganos autónomos, una conquista clave en la posible futura constitución chilena que responde a una deuda histórica de las democracias latinoamericanas.

Sin embargo, aún hay muchos aspectos por considerar en la creación del órgano. La independencia necesaria para una autoridad de protección de datos involucra, por ejemplo: garantizar la dedicación exclusiva de sus miembros; la disposición de recursos humanos, técnicos, financieros y de infraestructura suficientes para su operación; la autonomía en la contratación de personal y un grado de autonomía financiera. Se trata de de puntos desafiantes en el contexto latinoamericano.

Además, si bien se ha decidido definitivamente separar la agencia de protección de datos del Consejo para la Transparencia (que también obtendría reconocimiento constitucional), la ley deberá, como adelanta el artículo 167, prever mecanismos para armonizar y equilibrar los derechos fundamentales de la ciudadanía a la protección de datos y al acceso a la información pública y transparencia.

Ambos órganos deberán encontrar mecanismos de diálogo y cooperación para evitar tensiones en la interpretación o decisiones que, bajo la excusa de la protección de la privacidad o de los datos, promuevan el secretismo y la restricción de información pública, como ha sido la tónica en otros países.

Aunque la posible Constitución le haya generado al poder legislativo la obligación de avanzar en la discusión sobre la creación de la Agencia, no ha establecido un plazo para ello. Esto parece reconocer la dificultad que ha tenido la discusión por una nueva ley de protección de datos personales en el Congreso y crea un punto de preocupación sobre el resultado de esa discusión.

El desarrollo del marco de privacidad y protección de datos personales en Chile está lejos de acabarse con la votación sobre el texto constitucional. En caso de aprobarse la propuesta, ese desarrollo puede darse ahora a partir de nuevas bases y más certezas, en principio favorables a la protección de la privacidad, los datos personales y la comunicación en entornos digitales. Sea cual sea el resultado, la forma en que la discusión ha reconocido estas temáticas plantea un futuro muy distinto para su regulación legal futura.

Pasaportes hackeados e infraestructuras vulnerables

En diciembre de 2020, la base de datos de la Dirección Nacional de Identificación Civil (DNIC, organismo que se encarga de la identificación de las personas físicas que habitan el territorio del Uruguay) del Ministerio del Interior de Uruguay fue hackeada.

La dirección del organismo lo reconoció con un comunicado donde declaró: “Informamos que el 8 de diciembre la DNIC detectó un incidente de ciberseguridad que se contuvo y por el que se desplegaron medidas técnicas, operativas y administrativas para contrarrestar el evento con expertos en la materia, tanto del Ministerio del Interior como del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CertUy)».

La senadora Silvia Nane, representante del partido Frente Amplio realizó, en marzo de 2021, un pedido de informe parlamentario con 28 preguntas, en el que se solicitaban datos sobre el incidente. La solicitud fue reiterada en el mes de junio y, el 6 de julio, el Senado completo hizo su propio requerimiento al respecto.

“¿Están nuestros datos biométricos en peligro?”, preguntó en Twitter la legisladora. Agregó que: “Nos preocupa la falta de transparencia ante esta situación, y las explicaciones que se han hecho públicas no condicen con la realidad”.

En julio de 2022 se conocieron los resultados que arrojan más dudas que certezas y la discusión está lejos de aclararse.

De acuerdo con lo señalado en la respuesta al pedido de informes, la DNIC y el Ministerio del Interior de Uruguay vieron sus bases de datos comprometidas por un ataque informático que vulneró los datos de 84.001 pasaportes electrónicos, comprometiendo información sensible que incluye datos biométricos de las personas: fotografía, huella digital, nombre y número de documento de identidad.

Según Nane, el informe pone en manifiesto que las autoridades desconocen el alcance real del ataque. La Senadora expresó con preocupación que, respecto de los datos vulnerados en 2020, no se cuenta con información de que no hayan sido utilizados para otros fines. Consultado por medios de prensa, el informe del Centro Nacional de Respuesta a Incidentes de Seguridad Informática concluye que “no fue posible identificar el vector de ataque inicial, el origen del ataque, ni las subsiguientes actividades dentro de la red de la DNIC”. Además, cataloga el incidente como de “intrusión” con una “severidad muy alta”, y sostiene que “el análisis no pudo constatar ni descartar la extracción de datos fuera de la infraestructura de DNIC”. Las fuentes detallaron que «tampoco se puede hablar de hackers» ya que «no se pudo determinar si esa situación irregular fue externa o no”.

Otra de las preguntas realizadas por la Senadora consultó al Ministerio “desde qué momento se estima que los atacantes contaban con acceso a los datos”. La respuesta oficial sostiene que los “primeros registros del ataque” datan del 29 de octubre de 2020, mientras que las irregularidades fueron detectadas el 8 de diciembre del mismo año.

En la respuesta al pedido de informes, el Ministerio del Interior declaró que no se cuenta con un Centro de Operaciones de Ciberseguridad en el organismo. El informe que fue enviado a la legisladora indica que “se desplegaron las medidas técnicas de bloqueo inmediatas” ni bien se identificó la vulneración. También indica que debido al ataque se han decidido migrar las bases de datos al Datacenter de Antel (empresa de telecomunicaciones estatal uruguaya). También se realizó una licitación pública internacional para poder cambiar el sistema de enrolamiento biométrico, ya que el vigente funciona hace 23 años.

El ministro del Interior de Uruguay, Luis Alberto Heber, manifestó a diferentes medios de prensa que se puede «asegurar a la población que no volverá a suceder». Afirmó también que se renovará el equipamiento de la Dirección Nacional de Identificación Civil, ya que las máquinas existentes son “prehistóricas”. Dijo: «Hicimos la compra y un software que nos dé la seguridad de que no se pueda hackear así fácilmente».

Sin embargo, Federico Laca, exdirector general del Ministerio del Interior y asesor en ciberserguridad, indicó a La Diaria que “la infraestructura que está en el data center ministerial no fue comprometida”. Afirmó también que “son innegables las inversiones que se realizaron en tecnología en la administración pasada, pero sucede que cuando hacés inversiones en tecnologías es que tenés que estar comprometido a mantenerla”.

¿Qué sucedió con los datos?

De acuerdo con las respuestas recibidas por parte del Ministerio del Interior, Nane manifestó que “no se pudo establecer el alcance total del ataque a la infraestructura de la DNIC”. Afirmó que “Los atacantes estuvieron más de un mes sin ser descubiertos” y que el informe deja en evidencia que quienes atacaron el sistema cuentan con «conocimientos avanzados de los sistemas internos, lo que le permitió acceder al servidor de esa base de datos y descargar a una máquina local toda la información vinculada al sistema de pasaportes”.

La Senadora dijo al diario uruguayo El Observador que si bien se sabe que se afectó la información de pasaportes, no puede asegurarse que no se hayan comprometido otros datos de personas. Tampoco se puede asegurar el destino de la información obtenida de los pasaportes electrónicos, por lo que es imposible establecer la magnitud del hecho.

“¿Falta sentido de urgencia dado el incidente?”, cuestionó la representante nacional. Aclaró que aún se encuentra a la espera de los resultados de una auditoría iniciada en octubre de 2021 respecto al “estado actual en el marco de la ciberseguridad” en el Ministerio del Interior.

Según Nane, las respuestas brindadas por el Ministerio «no tienen nada que ver con lo que nos respondieron por escrito». Advirtió que «El Ministro del Interior, Luis Alberto Heber, dijo que tuvieron ese problema porque las computadores eran prehistóricas, pero cuando nos manda el listado de acciones que se van a tomar para remediar esta situación no hay un solo renglón que refiera a la compra de computadoras, por ejemplo».

Silvia Nane declaró también que realizará un nuevo pedido de información. «Ahora vamos a volver a hacer preguntas; y nuevamente esperamos y exhortamos que este tema sea tratado con seriedad, y que tengamos respuestas serias».

Es recurrente, cuando se habla de ciberseguridad pensar en criminales y estafas. Sin embargo, es importante pensar más allá de eso. El caso de Uruguay nos abre la posibilidad de pensar en la infraestructura de gobernanza de datos personales en la región. Hay actualmente en América Latina un desmonte de instituciones estatales encargadas de tecnología. Casos ocurridos en los últimos meses en Brasil, Costa Rica o República Dominicana son prueba de esto. Deja en evidencia la necesidad de reglamentaciones que exijan auditorías, y controles serios y profundos para que el tema no quede supeditado a pedidos de información que deban ser reiterados y reformulados. No es posible alcanzar la tan deseada “digitalización” del Estado si esta no se hace en un marco de garantías para la ciudadanía. Y la garantía más básica debería ser una respuesta clara y concreta a la pregunta: ¿Quién tiene nuestros datos?

Sobre la propuesta de texto constitucional, respecto al derecho a la privacidad, inviolabilidad de los recintos, documentación y comunicación privada

Descargar PDF

Expectativas y borrador: derechos digitales en la nueva constitución

A pocas semanas de la entrega de la propuesta final de nueva Constitución —y a menos de tres meses para el plebiscito— es un buen momento para evaluar la propuesta en diversas materias. En este contexto, surgen preguntas relevantes: ¿Qué novedades hay en materias tecnológicas?, ¿Se cumplieron las expectativas de la ciudadanía en este ámbito?, ¿Qué reformas serán necesarias para implementar el texto constitucional? En esta columna, intentaremos abordar estas dudas.

Tomaremos como referencia el estudio Derechos fundamentales en la nueva constitución para la era digital, realizado por Derechos Digitales para conocer las percepciones de la ciudadanía respecto de los derechos fundamentales en la era digital para la nueva constitución. A través del análisis de conversaciones ciudadanas con diversos grupos de interés (NNA, Adultos mayores, Mujeres, Pueblos Originarios, Personas LGBT+ y Migrantes), se buscó caracterizar las principales percepciones y expectativas de cada grupo en esta materia.

Podríamos resumir los resultados de la investigación en tres argumentos: primero, en la medida que internet hoy funciona como una “llave para otros derechos” (el acceso a la educación durante la pandemia sería uno de tantos ejemplos), de forma que se identifica la necesidad de garantizar el acceso agregado a internet. Entendemos ‘acceso agregado’ como la posibilidad de acceder a una conexión de red, dispositivos e infraestructura eléctrica y de conectividad en diversas geografías; además del desarrollo de competencias necesarias para sacar provecho a las posibilidades que ofrece la tecnología.

Por otra parte, se reconoce la necesidad de regular el entorno digital en atención a riesgos asociados a las nuevas tecnologías. Estafas, venta de datos privados, violencia digital son algunas de las principales problemáticas identificadas. La masificación de internet ha incrementado la percepción de riesgo por parte de algunos grupos. Frente a esto, quienes participaron del estudio señalaron que la normativa actual no da una respuesta satisfactoria para proteger a la ciudadanía frente a situaciones de violencia en internet, ni resguarda de forma comprehensiva los derechos de los ciudadanos en el entorno digital.

Siguiendo las conclusiones del estudio, resulta fundamental reposicionar el rol del Estado para garantizar un entorno digital seguro y abierto para todas las personas, de manera que se encuentran dos expectativas que apuntan a direcciones opuestas: por una parte, la expectativa de acceso y, por otra, de regulación. El tercer argumento, por lo tanto, indica que concebir internet como un derecho estipulado en la carta magna faculta la resolución de esta tensión. Se espera que la constitución garantice el acceso agregado a internet y, al mismo tiempo, vele porque este sea un espacio seguro; el Estado debe garantizar y regular la participación equitativa en entornos digitales.

Ahora bien, ¿qué fue lo que se reconoció finalmente en materias tecnológicas por la Convención Constitucional en el borrador? ¿Se cumplieron las expectativas de la ciudadanía?

En materia de derechos asociados al uso de tecnologías se aprobaron dos grupos de normas. El primero, en torno al derecho al acceso universal a las tecnologías de la información y comunicaciones, la conectividad, y los deberes del Estado de proveer dicha conectividad, asegurando calidad de servicio, la neutralidad de internet, la superación de brechas, entre otras.

Por otra parte, se amplió el catálogo de derechos fundamentales relacionados a la tecnología, tales como la privacidad, inviolabilidad de los recintos, comunicaciones y documentos privados, la autodeterminación informativa y protección de datos. Y se reconocieron algunos derechos nuevos, tales como el derecho a espacios libres de violencia digital, y a la seguridad informática.

En estos aspectos, la propuesta del borrador constitucional coincide en gran parte con las expectativas de la ciudadanía, al reconocer demandas que son anteriores al proceso constituyente, y que se centraron en torno al derecho de acceso y conectividad, y a mejorar el marco regulatorio en relación con la protección de los derechos fundamentales ante los riesgos de la tecnología.

En cuanto al derecho de conectividad y acceso, este se aseguraría con base en los siguientes principios: El rol de planificación y garantía queda entregado al Estado central en coordinación con los gobiernos regionales; el especial fomento de la cobertura para territorios aislados, rurales y de difícil acceso; y la flexibilidad en cuanto a los actores que pueden participar en la provisión de los servicios de telecomunicaciones.

En cuanto a la actualización del catálogo de derechos fundamentales, el borrador coincide en parte con reformas legales que están pendientes desde hace años, como la actualización de la ley de protección de datos, incluyendo una autoridad de control y el reconocimiento legal de la violencia digital dentro del marco legal de prevención de la violencia de género, entre otras. A la vez, hay materias en las cuales quedaría pendiente establecer una propuesta más concreta por parte del legislador para su implementación, como es el caso de la norma sobre educación digital.

De esta manera, podríamos concluir que la propuesta constitucional se enmarca dentro de un consenso mínimo en materias tecnológicas, siendo explícita en torno a la necesidad de reformas, algunas de las cuales ya están en proceso de discusión legislativa.

No obstante, pareciera existir consenso solo en cuanto a la necesidad de acceso y conectividad, mas no en cuanto a la forma de alcanzarlo. Asimismo, hay un menor acuerdo en cuanto a las mejoras necesarias en materia de derechos fundamentales. Si bien la Constitución entrega algunas directrices respecto a un mayor rol del Estado como garante del derecho, no se compromete con algún modelo de desarrollo en específico.

Más allá del resultado del plebiscito de septiembre, la necesidad de avanzar en materias de acceso y de regulación es evidente. Sin importar si se aprueba o no el cambio constitucional, este proceso deliberativo ha servido para abrir discusiones pendientes sobre las formas de implementación de estos derechos.

El desafío queda abierto para el legislador, puesto que la percepción de que son necesarias mejoras en el acceso a las comunicaciones y a una mejor regulación de los riesgos generados por la tecnología es algo que no se puede ignorar.