Esta es una acción del Observatorio de Derecho Informático Argentino, O.D.I.A., que cuestionó la constitucionalidad del “Sistema de Reconocimiento Facial de Prófugos” (SRFP) de la ciudad de Buenos Aires. En ella, pidió un juicio de amparo en primer grado de competencia, que requirió el análisis del sistema a través de la constitucionalidad y convencionalidad, además de las medidas cautelares para suspender su uso.
Temática: Protección de datos
Una última mirada a los derechos digitales en 2022
Cuando comenzamos 2022, una esperanza comenzaba a crecer en buena parte del mundo: las vacunas para reducir los contagios y los síntomas de la COVID-19 surtieron efecto y llegaron a más grupos de la población. Lentamente, aspectos de la vida prepandémica volvían a materializarse y, después de dos años dramáticos, el mundo parecía realinearse.
Pero el año inició con tumulto mundial: una invasión en Europa oriental creaba una crisis humanitaria de incalculable costo humano, que a su vez desviaba la atención de otras crisis en África oriental, en Asia meridional, en América Latina. Nuevas desigualdades, internas y externas, se hicieron patentes, ahora bajo la presión del riesgo vital de una pandemia que no termina.
Como en buena parte del mundo, América Latina ha visto el agravamiento de las distintas crisis superpuestas, agudizadas por un horizonte de crisis económica que está en pleno desarrollo. Aun así, grandes aires de esperanza se sintieron en la región, en la resistencia al abuso y la injusticia, y en la participación política en varias elecciones.
En América Latina, el 2022 partió con revelaciones de hackeo a periodistas en El Salvador, en una réplica de lo que fue descubierto años antes en México, revelando que el espionaje ilegal estatal con herramientas importadas continúa en la región.
A la vez, la vigilancia masiva todavía es una disputa inconclusa. En una insigne victoria para el activismo local, en México el invasivo Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), aprobado a fines de 2021, fue declarado inconstitucional, impidiendo la vinculación entre la identidad de un usuario de teléfono y su información biométrica, entre otros datos, en una decisión anunciada en abril. Poco antes, se había detenido en el metro de San Pablo, Brasil, el uso de un sistema de reconocimiento facial automatizado, aunque luego fue autorizado por la justicia. Esa batalla continúa, ahora contra una iniciativa por extender el reconocimiento facial a toda la urbe. En la Ciudad de Buenos Aires, en tanto, la justicia declaraba la inconstitucionalidad de un sistema de reconocimiento facial.
En Colombia, una preocupación constante por la incorporación de mecanismos legales para fórmulas riesgosas de identidad digital, como también un debate sobre neutralidad de la red y zero-rating se tomaron parte de la agenda después de la fuerte escalada de violencia de las protestas de 2021. El uso de máquinas digitales para el proceso electoral fue, como siempre, objeto de escrutinio.
Al igual que en Colombia, y ante los ojos del mundo, una nueva elección presidencial en Brasil ofrecía esperanza, pero también mostraba algunos de los peores temores de la región: torpes intentos de control de la desinformación amenazaban con alterar el funcionamiento de la mensajería personal, mientras varias acusaciones de desinformación enfrentaban al gobierno y a las iniciativas de empresas privadas por controlar el discurso en línea. Que todo eso ocurriera mientras aumentaba el gasto en tecnología de hackeo y vigilancia hacía temer por el futuro.
Por cierto, las protestas sociales de los últimos años no cesaron. En Ecuador, fuimos parte del reclamo de la sociedad civil en rechazo a la represión y la vigilancia en el marco de protestas sociales a mediados de año. Presentamos a la ONU múltiples antecedentes sobre situaciones de afectación de derechos, especialmente vinculados a la expresión y la protesta, en un informe dentro del contexto del Examen Periódico Universal. En paralelo, continúa el cuestionado juicio contra Ola Bini a pesar de las reportadas infracciones al debido proceso. También vimos que persiste la represión de la expresión y la protesta en Nicaragua, incluido el allanamiento y cierre de organizaciones y de medios de comunicación, alarmando a expertos internacionales que exigen visitar el país. Y, en Venezuela, informes tanto de la industria de las telecomunicaciones como de la sociedad civil, mostraron el nivel de vigilancia y represión en ese país.
Al mismo tiempo, Brasil progresaba en un área sensible para toda la región: la protección de datos personales. Sin ser un debate ajeno a la contingencia, Brasil avanzó en el otorgamiento de autarquía de carácter especial a su nueva autoridad de control de datos personales. Por su parte, Ecuador –que promulgó su ley en 2021– inició este año el proceso de reglamentación de la ley. En Chile, paso a paso se Avanza en un proyecto de reemplazo a una ley que hoy es ineficaz ante casos públicos de vulneración de los derechos sobre los datos.
También hubo otros relevantes debates legislativos en la región, para los que este recuento quizás no basta. Fuimos testigos de la discusión por una nueva ley de inteligencia artificial en Brasil, como también en iniciativas de leyes sobre ciberseguridad, sobre desinformación y sobre ciberdelitos en varios países de la región. Nuestro trabajo de monitoreo continúa con intensidad para identificar las oportunidades, los riesgos a las libertades y derechos que puedan acompañar a esas iniciativas. Nos involucramos en la discusión por una nueva constitución en Chile, con propuestas surgidas desde distintos lugares y grupos del país.
No obstante también aprovechamos instancias globales que afectan a América Latina. Como ejemplos, contribuimos a informes de oficinas de expertos de Naciones Unidas sobre apagones de internet y sobre inteligencia artificial y privacidad. Participamos en procesos como la reunión de plenipotenciarios de la UIT, en la peligrosa discusión por un nuevo tratado sobre ciberdelitos, en el debate global sobre normas para el comportamiento de los Estados en el ciberespacio, y mucho más.
Mirar hacia el futuro
Todo lo anterior es apenas una muestra de lo intenso que fue el trabajo del año desde nuestro activismo. No obstante, también hubo muchísima colaboración, la misma que creemos que es parte esencial de la proyección hacia el futuro de la labor de Derechos Digitales.
Como organización, el año también fue de oportunidades de cooperación cruciales para la región. Volvimos a albergar un evento virtual de difusión, intercambios y aprendizajes. Participamos muy activamente en la organización del Foro de Gobernanza de Internet de América Latina y el Caribe, el LAC IGF. Nos reunimos con nuestras aliadas de la coalición Al Sur para comenzar a pensar en el futuro, en un primer encuentro presencial después de años. Mantuvimos numerosos talleres y reuniones con organizaciones e instituciones a nivel regional y global. Y nos sumamos como socios organizadores, con esperanza, al Movimiento por una Mejor Internet.
Logramos también apoyar a 21 iniciativas de acción de 12 países de la región a través de nuestro Fondo de Respuesta Rápida, no solo facilitando la respuesta ágil a situaciones de emergencia, sino también favoreciendo el aprendizaje en múltiples contextos de activismo. Es a través de procesos como este que la colaboración de 2021 con el ODIA argentino ayudó en la declaración de inconstitucionalidad del sistema de reconocimiento facial en Buenos Aires. Mecanismos de apoyo como este Fondo demuestran que existen nuevas posibilidades para la articulación de organizaciones en la región.
Lo más importante: en una época global de grandes cambios, consolidamos un equipo sólido, de muy diversos orígenes y perfiles, fortaleciendo nuestra capacidad de trabajar en distintos ámbitos. Sabemos que en 2023 habrá más cambios, pero también que con ellos vendrán nuevas oportunidades de colaboración interna y externa.
Aunque ha sido un año desafiante, sentimos orgullo por el camino recorrido y mucha esperanza en el que queda por recorrer. La mirada introspectiva ha sido fuente de gran aprendizaje, como también de importante reflexión sobre lo que necesitamos seguir haciendo. Porque creemos en nuestro derecho y en nuestra capacidad de crear un futuro más justo para América Latina, reconocemos lo que significa el fin de 2022 y damos la bienvenida a 2023.
Examen Periódico Universal
¿Qué es el EPU?
El Examen Periódico Universal (EPU) es una revisión del historial de derechos humanos de los Estados Miembro de Naciones Unidas. Cada cinco años, cada estado es sometido a examen. Todos los países son parte del proceso. Es una oportunidad para que los Estados analicen y comuniquen las mejoras implementadas en materia de derechos humanos. Además, pueden recibir recomendaciones por parte del resto de los estados miembro de Naciones Unidas, con el objetivo de impulsar mejoras constantes en materia de derechos humanos a nivel global.
Mira el video aquí.
Examen Periódico Universal 4to ciclo, sesión 41
ECUADOR
Resumen de recomendaciones al estado ecuatoriano
Summary of recommendations to the Ecuadorian state
Campaña de difusión
BRASIL
Resumo das recomendações ao estado brasileiro
Summary of recommendations to the Brazilian state
Este relatório da sociedade civil, elaborado por Privacy Internaciona e Derechos Digitales, se concentra apenas nas preocupações relacionadas ao uso da tecnologia educacional (’EdTech’) no Brasil e ao processamento subsequente (coleta, análise, retenção e compartilhamento) de dados de crianças e professores nas escolas
Esta submissão, elaborada por APC , Artículo 19, Derechos Digitales, Intervozes centra-se no cumprimento de obrigações de direitos humanos no contexto digital pelo Brasil e busca fortalecer recomendações focadas na garantia do acesso universal à internet de modo a viabilizar a livre expressão e associação, o acesso à informação, conhecimento, cultura e o exercício de direitos econômicos e sociais demaneira segura, respeitosa à privacidade, à autonomia e livre de qualquer forma de discriminação.
This submission, made by APC , Artículo 19, Derechos Digitales, Intervozes, focuses on Brazil’s fulfilment of human rights obligations in the digital context and seeks to strengthen recommendations focused on guaranteeing universal access to the Internet in order to make possible free expression and association; access to information, knowledge and culture; and the exercise of economic and social rights in a manner that is secure, respectful of privacy and autonomy, and free of any kind of discrimination
Este informe, elaborado por APC , Artículo 19, Derechos Digitales, Intervozes, se centra en el cumplimiento de las obligaciones de derechos humanos en el contexto digital por parte de Brasil y busca fortalecer recomendaciones enfocadas en la garantía del acceso universal a internet en orden de ejercer la libre expresión y asociación; el acceso a la información, al conocimiento y a la cultura; y el ejercicio de derechos económicos y sociales de manera segura, respetuosa de la privacidad y de la autonomía y libre de cualquier forma de discriminación.
Campaña de difusión
Examen Periódico Universal 4to ciclo, sesión 34 – Bolivia
Examen Periódico Universal 4to ciclo, sesión 32 – Chile
PRÓXIMOS EPUS PARA PAÍSES LATINOAMERICANOS
Los siguientes países de América Latina serán evaluados en el Examen Periódico Universal en los próximos años:
- 44º periodo de sesiones (Oct – Nov 2023)- Colombia, Cuba.
- 45º periodo de sesiones (Ene – Feb 2024)- México.
- 46º periodo de sesiones (Abr – May 2024)- Chile, Uruguay.
- 47º periodo de sesiones (Oct – Nov 2024)- República Dominicana.
- 48º periodo de sesiones (Ene – Feb 2025)- El Salvador, Bolivia.
- 49º periodo de sesiones (Abr – May 2025) Guyana.
- 50º periodo de sesiones (Oct – Nov 2025) Panamá, Honduras.
- 52º periodo de sesiones (Abr – May 2026) Paraguay.
- 54º periodo de sesiones (Ene – Feb 2027) Venezuela.
Revisa el calendario completo aquí.
¿Quién defiende tus datos? 2022
El presente informe corresponde a la quinta entrega del reporte ¿Quién defiende tus datos?, una evaluación de la forma en que las compañías chilenas que proveen servicios de internet resguardan los datos
de sus clientes, especialmente frente a posibles abusos de la autoridad estatal, pero también en relación con las prácticas de tratamiento de datos personales de las propias empresas.
¿What’s up América Latina?
¿Qué datos y meta datos se recopilan? ¿Cuál es la base legal para esta recolección? ¿Con quién se comparten? ¿Con qué finalidades? ¿Y por qué no explicar todo esto de forma simple a las personas? Estas son preguntas que a menudo quedan sin una respuesta adecuada. Resulta que en otros casos, el uso indebido de los datos de la ciudadanía da como resultado una verdadera concentración del mercado. Pero, ¿qué está pasando en América Latina?
En una audiencia judicial en los Estados Unidos sobre el famoso caso del uso político de los datos personales, conocido como Cambridge Analytica, se confirmó la información divulgada por Motherboard a principios de año. Estos hechos demuestran y refuerzan lo que viene sucediendo en la dinámica de los últimos años: que la internet que fue pensada como libre, abierta e inclusiva cada vez más nos aprisiona en manos de pocas empresas, en un mundo extremadamente concentrado.
Regulaciones de todo el mundo intentan dar cuenta de todos estos problemas, ya sea mediante la creación de leyes más protectoras, como el Digital Service Act y el Digital Market Act en Europa, o aplicando multas más fuertes, como hemos visto últimamente con los gigantes tecnológicos. Esta semana, incluso, Google tuvo una multa de 4,12 millones de euros confirmada por el Tribunal de Justicia de la Unión Europea, debido a la imposición de restricciones ilegales a los fabricantes de dispositivos Android.
Lo mismo ocurre en América Latina. O al menos eso es lo que parece comenzar a suceder. A partir del análisis de un caso tratado por varias autoridades de diferentes países se revela un verdadero cambio de paradigma para lidiar con la competencia, protección de datos y de las personas consumidoras, según un estudio que Maria Paz Canales y yo publicamos en la revista GRUR International. El caso trata del cambio de las políticas de privacidad y de los términos de servicio en 2016 y 2021, y principalmente de la reacción de las autoridades y de la sociedad civil, con un enfoque especial en América Latina. Como se resaltó en un seminario reciente del Foro de la Sociedad Civil de la Red Iberoamericana de Protección de Datos, necesitamos comprender las implicaciones de «cuando los gigantes cambian las reglas”.
El valor de los datos y las promesas realizadas
Desde el anuncio de la compra de WhatsApp por parte de Facebook en febrero de 2014, la operación ha llamado la atención por el alto precio de la adquisición (alrededor de 19.000 millones de dólares) y por las promesas de Zuckerberg de «no cambiar los planes en torno a WhatsApp y la forma en que utiliza los datos de las personas usuarias».
A pesar de las promesas, la realidad fue mostrándose totalmente diferente. La empresa fue multada por la Comisión Europea en 110 millones de euros por proporcionar información engañosa sobre un tema crucial en la revisión de la operación de compra por parte del regulador europeo. Simplemente no informó correctamente sobre la posibilidad técnica de identificar y combinar a las personas usuarias de las dos plataformas.
Pero la confirmación de que las promesas no se cumplirían se verificó en 2016, cuando se produjo uno de los mayores cambios en la política de privacidad y los términos de uso del servicio. El cambio permitió el intercambio de datos y metadatos de consumidores de WhatsApp con las demás empresas del grupo Facebook. A la persona usuaria, se le permitió una sola oportunidad de oponerse a este intercambio de sus datos, y aún así esta opción sólo podría hacerse en 30 días.
Varias fueron las decisiones de autoridades de protección del consumidor/a, competencia y datos, que entendieron este cambio como abusivo, especialmente en los países europeos. Así, la empresa llegó a un acuerdo para cambiar la política para el continente europeo, de modo que entraría en vigor solamente cuando el reglamento de protección de datos estuviera vigente, además de ser evaluado por las autoridades competentes. Es el caso de la Comisión de Protección de Datos (DPC) de Irlanda, que solo llegó a una conclusión parcial del caso en 2021, aplicando una multa de 255 millones de euros a la empresa debido a la falta de transparencia en el procesamiento de los datos. Solo después de la multa millonaria, a fines de 2021, la compañía realizó cambios más sustanciales en su política de privacidad, pero tales cambios solamente son válidos para Europa.
¿Y en el resto del mundo? Las diferentes lentes del/a consumidor/a, la competencia y la protección de datos
En 2021, se anunció un nuevo cambio en las políticas de privacidad de WhatsApp, que consolidó y aumentó el volumen de datos recopilados por la empresa. Pero esta vez sin dar la posibilidad de no aceptar el cambio. Súbitamente, hubo mucha queja por parte de la sociedad civil organizada y de autoridades de todo el mundo. India y América Latina encabezaron una rebelión global en contra de las nuevas condiciones de la aplicación, según lo informado por la prensa en ese momento. La autoridad de competencia de la India ha tomado una decisión preliminar al suspender el cambio de política, por entender que esa era una conducta exploratoria y excluyente. En América Latina, las autoridades finalmente tomaron algunas decisiones importantes al respecto de esta política.
En Argentina, por ejemplo, la autoridad de competencia argentina tomó la decisión preliminar, confirmada posteriormente, que consideró el abuso exploratorio, la exclusión y la posición dominante del grupo Facebook en ese país, en vista de factores como la recopilación excesiva de datos, la ausencia de opciones reales a las personas para limitar esta recopilación y la subordinación de la prestación del servicio a la aceptación de la actualización. La decisión también resalta que no hay gratuidad del servicio, pues el activo esencial es la información y datos de las personas usuarias del servicio, que se transforman en ganancias monetarias por la publicidad en otras plataformas. Ya La Dirección General de Defensa y Protección al Consumidor multó a la empresa con un valor 5 millones de pesos argentinos, subrayando que las cláusulas y los cambios eran abusivos.
En Brasil, llamativamente, el caso fue uno de los primeros en ser analizados por la recién instituida Agencia Nacional de Protección de Datos (ANPD). La ANPD en conjunto con el Ministerio Público Federal, la Secretaría del Consumidor y el Consejo Administrativo de Defensa Económica (CADE), cariñosamente llamados los «cuatro fantásticos», recomendaron fuertemente a las empresas para que aplacen la entrada en vigor de la nueva política de privacidad. Solo después de meses, la ANPD terminó el análisis de la política de privacidad de la compañía basándose en la Ley General de Protección de Datosa LGPD, entendiendo que la compañía cumplió con las recomendaciones hechas por las áreas técnicas de la agencia. Sin embargo, en esa misma decisión, la ANPD abrió nuevos procedimientos, ahora para investigar otras cuestiones que aún no habían sido evaluadas: la posibilidad de procesamiento de datos de infancias y adolescencias, además del punto nodal del caso, que es la posibilidad de compartir los datos de los/as usuarios/as entre las empresas del grupo económico.
En Chile se ha abierto una investigación, aún no concluida, por la autoridad de competencia, ya que hasta el momento el país no cuenta con un organismo específico dedicado a la protección de datos.
Más allá de los Cuatro Fantásticos: colaboración interinstitucional e internacional
En Brasil, la cooperación interinstitucional entre los «cuatro fantásticos» fue un factor importante debido incluso a la reciente instauración de la ANPD. El intercambio también sirvió para consolidar una actuación más integrada entre las diferentes autoridades y posibilitar un análisis más completo y global de los temas tratados en el caso. Otra cuestión que llama la atención es que el caso continúa, o sea, todavía tendremos novedades en nuevos procesos que fueron abiertos.
Ya en Argentina, además de las decisiones ya citadas anteriormente, llama la atención la apertura de las autoridades hacia la sociedad civil y para la discusión internacional con otras autoridades sobre el caso, conforme lo visto en el encuentro virtual promovido por la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD), Public Citizen y Third World Network, que contó con la participación de varias autoridades de América Latina, Asia-Pacífico, Europa y África.
La sociedad civil organizada fue extremadamente activa en el caso. Entidades como la Coalición Derechos en la Red, Idec, Data Privacy Brasil, CGI, Fundación Via Libre, Tedic, Derechos Digitales y Al Sur, actuando en el ámbito nacional y regional, apenas para citar algunas organizaciones en el contexto latinoamericano. Tales organizaciones tuvieron una actuación importante en el debate, siendo proactivas en el diálogo con autoridades y con la empresa.
La lucha de David y Goliat continúa: la importancia de las organizaciones de la sociedad civil
No hay duda de la importancia de los datos para las empresas. Pero la transparencia y el respeto de los derechos de las personas siguen siendo puntos que merecen nuestra atención. Los procedimientos administrativos y judiciales relacionados con el caso de WhatsApp continúan en las jurisdicciones mencionadas aquí. Es por eso que debemos pensar las estrategias para que posibilite a David hacer que los gigantes cumplan las leyes y respeten los derechos humanos.
Hacia un marco feminista para el desarrollo de IA: de los principios a la práctica
¿Es posible desarrollar IA que no reproduzca lógicas de opresión? Para responder a esta pregunta, nos enfocamos en las relaciones de poder inmersas en el campo de la IA y hacemos un análisis interpretativo
de las experiencias, en el día a día, de siete mujeres que trabajan en algún campo de la IA o la ciencia de datos en la región, en diálogo con distintas declaraciones de principios y guías feministas para
el desarrollo y despliegue de tecnologías digitales.
El rol de la criptografía en el ejercicio democrático
Muchas de nuestras conversaciones privadas se dan en el ámbito digital. Lo que antes por condición propia de la comunicación presencial entendíamos por privacidad (juntarse en un lugar a conversar), no tiene las mismas seguridades en el entorno digital. Saber que nuestras conversaciones pueden ser vigiladas tiene efectos sobre nosotros, como la autocensura.
Durante décadas, y por ser la tecnología digital un elemento nuevo y con capacidades en desarrollo, no fue relevante pensar en comunicaciones cifradas dentro de las distintas aplicaciones de comunicación y almacenamiento de datos. Sin embargo, desde que internet se volvió masivo, incluyendo cada vez más aristas de nuestras vidas, han crecido la cantidad de ataques a las comunicaciones y datos almacenados.
Es en ese contexto que la criptografía, disciplina que estudia, investiga e implementa los métodos de cifrado, cobra una nueva relevancia.
¿Cómo funciona el cifrado en nuestras comunicaciones?
Uno de los esquemas más utilizados para el cifrado de datos en tránsito y que posee un uso masivo es el denominado cliente-servidor donde la comunicación entre el dispositivo del la persona emisora y quien provee el servicio es cifrada. De este modo, la comunicación desde el servidor de quien provee el servicio y hacia la persona destinataria de la comunicación también es cifrada. Este esquema logró solucionar en general la intervención de intermediarios no autorizados en la comunicación, pero debido a su diseño, generó un nuevo problema. El proveedor del servicio puede acceder a todo el contenido de las comunicaciones. Este problema se vuelve más grave en la medida que los servicios de comunicación digital se concentran en algunas pocas empresas de alcance global.
Debido a esto último, nace la necesidad de generar e implementar sistemas de comunicación con cifrado de extremo a extremo, esquema en el cual, y siempre que se cumplan condiciones de auditabilidad, el proveedor del servicio (quién posee control sobre los servidores mediante los cuales se realiza el intercambio) no puede leer los mensajes (descifrar).
Los sistemas de comunicación con cifrado de extremo a extremo nos dan la esperanza de que nuestras comunicaciones son inviolables inclusive por el proveedor del servicio, pero aún queda como objeto de valor para algunas instituciones los metadatos de las comunicaciones. Esto significa que aunque no tenga acceso a los mensajes entre dos o más personas, igualmente para el proveedor es posible saber quién se comunica con quién y a qué hora, y en algunos casos desde dónde se realizan las comunicaciones.
Es tal sentido cabe preguntarse si además de la defensa del cifrado deberíamos que agregar los apellidos autónomo y federado pensando en las mejores condiciones de privacidad para las personas usuarias.
Para poder tener alternativas públicamente auditables, autónomas y federados, a las opciones que nos ofrecen las corporaciones de alcance global, existen una serie de esfuerzos y y/o dedicaciones de una serie de organizaciones formales y grupos de personas que lo hacen posible. Del mismo modo, la promoción y el uso de dichos sistemas favorecen su proliferación.
¿Qué podemos hacer en la defensa de la criptografía y el desarrollo de sistemas digitales cifrados?
Potenciar su uso
Luego de varios incidentes de seguridad reportados y con un alto grado de influencia sobre las revelaciones de Edward Snowden en 2013 es que la inviolabilidad de las comunicaciones y del almacenamiento de datos fue cobrando mayor relevancia.
En los últimos años ha aumentado el número de herramientas y aplicaciones, de código libertado y privativas, que implementan distintos tipos y niveles de cifrados con el fin de resguardar la información de las personas. Uno de los motivos es que las personas usuarias han generado expectativas de funcionamiento sobre las características técnicas (no legales) de aquellas herramientas que utilizan, en torno a la privacidad de sus comunicaciones y datos. Esto reafirma el efecto y la influencia que puede lograr que las usuarias finales tengan clara la importancia de la criptografía y cifrado.
Potenciar la disciplina
Otra arista de importancia es la promoción de la criptografía, en términos de materia de estudio, de implementación de métodos y de implementación de herramientas. Si bien para las personas usuarias lo importante es contar una aplicación y servicio que implemente un cifrado seguro, esto no es más que la punta del iceberg de una cadena de procesos. Bajo lo primeramente visible podemos encontrar todas aquellas instituciones, educacionales por esencia o con objetivos diversos, sin fines de lucro o privadas, que son generadoras de conocimiento en el ámbito de la criptografía.
Es posible que para varios grupos de personas la implementación de herramientas que proporcionen un cifrado fuerte sean materia del mercado. También es posible encontrar grupos de personas que encuentran valor, y coincido con ellas, en la implementación de herramientas de cifrado autónomas (que puedan ser auto gestionadas). En este caso es además necesario contar con personas capacitadas en la implementación de soluciones, generalmente de código libertado, que cuenten con la capacidad de resguardar las comunicaciones y datos.
Si consideramos que el desarrollo de la criptografía es importante para el desarrollo de la sociedad actual entonces debemos apoyar, dentro de nuestras posibilidades, todos aquellas organizaciones, personas e instancias que la promueven.
Potenciar regulaciones acorde al derecho a la privacidad
Es fundamental destacar el rol que juegan las legislaciones respecto de las regulaciones que se realizan en ámbitos que impactan las implementaciones criptográficas.
Existen casos de proyectos legislativos que han tratado de legalizar el uso de puertas traseras en distintos servicios como herramienta de lucha contra distintos tipos de delitos. Un ejemplo de esto sucedió con las plataformas de redes sociales con sede en los EE. UU., como Facebook y WhatsApp, que se vieron obligadas a compartir los mensajes cifrados de los usuarios con la policía británica debido a un tratado entre los dos países.
Otro ejemplo de esto , sucedió cuando durante el gobierno de Trump, se fomentó una legislación que prohíba a las empresas tecnológicas usar formas de encriptación que las fuerzas el orden no puedieran descifrar .
Si bien a primera vista, en ambos casos pareciese una solución eficaz, el problema es nada impide que los criminales sí utilicen herramientas alternativas que les provean de privacidad y cifrado fuerte. En la otra cara, todas aquellas personas que utilizan los servicios en actividades legales quedan expuestas a que sus comunicaciones y datos sean expuestos.
Es evidente, entonces, la importancia que juegan las legislaciones en torno a generar marcos institucionales que otorguen las garantías necesarias para la efectiva privacidad y ejercicio de la libertad de expresión en entornos digitales.
Debemos trabajar en la promoción del uso de sistemas que cuenten con métodos de cifrado que resguarden nuestra privacidad, y por ende nuestra liberta de expresión, en todos los ámbitos posibles. Y no se trata de un afán geek sobre el uso de la tecnología si no de las implicaciones actuales del cifrado en el desarrollo de nuestras vidas en torno al ejercicio de la democracia.
Declaración de Derechos Digitales durante la segunda sesión del Comité Especial encargado de Elaborar una Convención Internacional Integral sobre la Lucha contra la Utilización de las Tecnologías de la Información y las Comunicaciones con Fines Delictivos
Nuevos rumbos constitucionales hacia el fortalecimiento de la privacidad y la protección de datos personales
Como producto de una consulta democrática construida a partir de un proceso que contó con algunas instancias de diálogo con la ciudadanía, la propuesta de nueva Constitución en Chile da importantes pasos en la protección de derechos cruciales en el entorno digital.
Así, además de la garantía del acceso universal a la conectividad digital, el texto aprobado por la Convención Constitucional propone nuevas reglas supralegales que fortalecen la privacidad y la protección de datos personales, fundamentales para un acceso significativo, libre y seguro a la red.
Las medidas se condicen en buena parte con las expectativas ciudadanas mapeadas por Derechos Digitales en una serie de diálogos alrededor del proceso constituyente: estafas, venta de datos privados, y violencia digital, fueron algunas de las principales problemáticas identificadas por las participantes, quienes señalaron que el marco normativo vigente en Chile es insuficiente para proteger a la ciudadanía frente a situaciones de violencia en internet y resguardar los derechos de las personas en el entorno digital.
Nuevas reglas en torno a la privacidad (artículo 70), la protección de datos personales (artículo 87) asociada a una autoridad de control, la educación digital y la promoción del ejercicio de derechos en espacios digitales (artículo 90), la seguridad informática (artículo 88) y más, plantean un nuevo escenario para la discusión de esos derechos a nivel legislativo.
Consolidando límites a la vigilancia
Las garantías a la privacidad aparecen en el artículo 70 del texto y trae novedades interesantes como la idea de privacidad comunitaria, además de la personal y familiar, apuntando a un derecho de carácter colectivo.
Se destaca también la inclusión explícita de los metadatos entre los objetos de la inviolabilidad de documentos y comunicación privada. Los metadatos son generados de manera automatizada a partir de nuestras comunicaciones o interacciones con dispositivos digitales y pueden revelar informaciones extremadamente sensibles sobre nuestros hábitos más íntimos. Por eso requieren altos niveles de protección, como los establecidos en la propuesta chilena, que despeja cualquier duda respecto al requerir orden judicial previa para su interceptación, captura, apertura, registro o revisión. La medida debe orientar la actuación de fuerzas policiales y de investigación, el poder judicial y las empresas en el momento de entregar o no este tipo de información.
Además, ayuda a prevenir avances legislativos que apunten en dirección contraria, incluso los relacionados a la retención de esos datos. En Brasil, la redacción del artículo constitucional sobre inviolabilidad de las comunicaciones ha resultado en décadas de controversias sobre la interpretación sobre el tema. En países como Argentina y México fue también el poder judicial el responsable por estandarizar las protecciones a metadatos y contenidos.
La propuesta constitucional chilena podría ser complementada legalmente para explicitar los estándares de necesidad y proporcionalidad reconocidos por el Sistema Interamericano de Derechos Humanos (SIDH) que deben ser observados en materia de interceptación de comunicaciones. Los cambios en la última versión dejaron afuera la mención explícita a que las decisiones judiciales deberían ser dictadas “en la forma y para los casos específicos” previstos en ley, una especificación relevante para evitar abusos como órdenes de interceptación amplias, genéricas y carentes de fundamento.
Sin embargo, por un lado se mantiene el requisito de legalidad y, por otro, los criterios para la regulación y ejecución de interceptaciones se encuentran establecidos a nivel regional y deben ser observados por los poderes legislativo y judicial, así como por las fuerzas policiales y de investigación, independiente de la especificación constitucional.
El camino hacia una protección de los datos personales fortalecida
Desde 2018 Chile reconoce a nivel constitucional la protección de datos como un derecho autónomo. En el contexto regional, podemos ver que en Brasil ese reconocimiento llegó después de aprobada una Ley General de Protección de Datos, que consolidó por primera vez en el país un conjunto de derechos, principios y procedimientos para el tratamiento de datos. La medida brasileña también da mayor peso y coherencia a un derecho cada vez más fundamental para la ciudadanía y la democracia, como también ha reconocido e indicado la Corte Suprema brasileña en una decisión de 2020.
En el caso chileno, la propuesta actual de texto constitucional ofrece un conjunto de parámetros específicos que deberían ser observados en una ley. Si bien el país ya cuenta con una pionera ley en la materia, esta se encuentra obsoleta frente a los avances tecnológicos y normativos de las últimas décadas y hace años se discute una reforma.
El hecho de que la Convención haya optado por crear un órgano autónomo responsable por la protección de datos a nivel constitucional (artículo 376) fortalece la protección prevista en el artículo 87 y delimita el modo en que la ley regulará la supervisión y fiscalización de operaciones de tratamiento de sus datos personales. La existencia de un órgano independiente para tal función es un punto clave para la efectividad de la protección de datos, efectividad que no solamente está ausente en Chile, que no cuenta con una institución de este tipo, sino también en varios países en la región.
La ausencia de una previsión similar en la Constitución brasileña, por ejemplo, dificultó la creación de una órgano garante independiente por la ley en 2018. El texto aprobado por el Congreso tras amplios procesos de consultas públicas proponía un modelo que terminó vetado bajo el argumento constitucional de que la creación de órganos de la administración pública sería de iniciativa presidencial. La medida resultó en la creación de una agencia dependiente de la Presidencia de la República, que nombra directamente a sus miembros, con aprobación del Senado.
Del mismo modo, la especificación de las funciones esperadas para la autoridad de protección de datos a nivel constitucional en la propuesta de la Convención Constitucional evita situaciones como la decisión que anuló la incorporación de facultades sancionatorias y de investigación al Servicio Nacional del Consumidor (Sernac), bajo alegaciones de inconstitucionalidad, poniendo en riesgo la constitucionalidad (bajo el marco actual) de un órgano efectivo como autoridad de control de datos personales.
Los caminos que quedan por explorar
Existen importantes avances en materia de privacidad y protección de datos, pero la discusión legislativa tendrá que profundizar varias de las cuestiones planteadas por la propuesta constitucional.
Sobre la autoridad de control, hay temas fundamentales relacionados a su composición: cómo serán identificadas y elegidas las personas miembros; y qué criterios que deberán ser observados en tal selección. Se sabe que habría paridad de género, prevista para todos los órganos autónomos, una conquista clave en la posible futura constitución chilena que responde a una deuda histórica de las democracias latinoamericanas.
Sin embargo, aún hay muchos aspectos por considerar en la creación del órgano. La independencia necesaria para una autoridad de protección de datos involucra, por ejemplo: garantizar la dedicación exclusiva de sus miembros; la disposición de recursos humanos, técnicos, financieros y de infraestructura suficientes para su operación; la autonomía en la contratación de personal y un grado de autonomía financiera. Se trata de de puntos desafiantes en el contexto latinoamericano.
Además, si bien se ha decidido definitivamente separar la agencia de protección de datos del Consejo para la Transparencia (que también obtendría reconocimiento constitucional), la ley deberá, como adelanta el artículo 167, prever mecanismos para armonizar y equilibrar los derechos fundamentales de la ciudadanía a la protección de datos y al acceso a la información pública y transparencia.
Ambos órganos deberán encontrar mecanismos de diálogo y cooperación para evitar tensiones en la interpretación o decisiones que, bajo la excusa de la protección de la privacidad o de los datos, promuevan el secretismo y la restricción de información pública, como ha sido la tónica en otros países.
Aunque la posible Constitución le haya generado al poder legislativo la obligación de avanzar en la discusión sobre la creación de la Agencia, no ha establecido un plazo para ello. Esto parece reconocer la dificultad que ha tenido la discusión por una nueva ley de protección de datos personales en el Congreso y crea un punto de preocupación sobre el resultado de esa discusión.
El desarrollo del marco de privacidad y protección de datos personales en Chile está lejos de acabarse con la votación sobre el texto constitucional. En caso de aprobarse la propuesta, ese desarrollo puede darse ahora a partir de nuevas bases y más certezas, en principio favorables a la protección de la privacidad, los datos personales y la comunicación en entornos digitales. Sea cual sea el resultado, la forma en que la discusión ha reconocido estas temáticas plantea un futuro muy distinto para su regulación legal futura.
Pasaportes hackeados e infraestructuras vulnerables
En diciembre de 2020, la base de datos de la Dirección Nacional de Identificación Civil (DNIC, organismo que se encarga de la identificación de las personas físicas que habitan el territorio del Uruguay) del Ministerio del Interior de Uruguay fue hackeada.
La dirección del organismo lo reconoció con un comunicado donde declaró: “Informamos que el 8 de diciembre la DNIC detectó un incidente de ciberseguridad que se contuvo y por el que se desplegaron medidas técnicas, operativas y administrativas para contrarrestar el evento con expertos en la materia, tanto del Ministerio del Interior como del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CertUy)».
La senadora Silvia Nane, representante del partido Frente Amplio realizó, en marzo de 2021, un pedido de informe parlamentario con 28 preguntas, en el que se solicitaban datos sobre el incidente. La solicitud fue reiterada en el mes de junio y, el 6 de julio, el Senado completo hizo su propio requerimiento al respecto.
“¿Están nuestros datos biométricos en peligro?”, preguntó en Twitter la legisladora. Agregó que: “Nos preocupa la falta de transparencia ante esta situación, y las explicaciones que se han hecho públicas no condicen con la realidad”.
En julio de 2022 se conocieron los resultados que arrojan más dudas que certezas y la discusión está lejos de aclararse.
De acuerdo con lo señalado en la respuesta al pedido de informes, la DNIC y el Ministerio del Interior de Uruguay vieron sus bases de datos comprometidas por un ataque informático que vulneró los datos de 84.001 pasaportes electrónicos, comprometiendo información sensible que incluye datos biométricos de las personas: fotografía, huella digital, nombre y número de documento de identidad.
Según Nane, el informe pone en manifiesto que las autoridades desconocen el alcance real del ataque. La Senadora expresó con preocupación que, respecto de los datos vulnerados en 2020, no se cuenta con información de que no hayan sido utilizados para otros fines. Consultado por medios de prensa, el informe del Centro Nacional de Respuesta a Incidentes de Seguridad Informática concluye que “no fue posible identificar el vector de ataque inicial, el origen del ataque, ni las subsiguientes actividades dentro de la red de la DNIC”. Además, cataloga el incidente como de “intrusión” con una “severidad muy alta”, y sostiene que “el análisis no pudo constatar ni descartar la extracción de datos fuera de la infraestructura de DNIC”. Las fuentes detallaron que «tampoco se puede hablar de hackers» ya que «no se pudo determinar si esa situación irregular fue externa o no”.
Otra de las preguntas realizadas por la Senadora consultó al Ministerio “desde qué momento se estima que los atacantes contaban con acceso a los datos”. La respuesta oficial sostiene que los “primeros registros del ataque” datan del 29 de octubre de 2020, mientras que las irregularidades fueron detectadas el 8 de diciembre del mismo año.
En la respuesta al pedido de informes, el Ministerio del Interior declaró que no se cuenta con un Centro de Operaciones de Ciberseguridad en el organismo. El informe que fue enviado a la legisladora indica que “se desplegaron las medidas técnicas de bloqueo inmediatas” ni bien se identificó la vulneración. También indica que debido al ataque se han decidido migrar las bases de datos al Datacenter de Antel (empresa de telecomunicaciones estatal uruguaya). También se realizó una licitación pública internacional para poder cambiar el sistema de enrolamiento biométrico, ya que el vigente funciona hace 23 años.
El ministro del Interior de Uruguay, Luis Alberto Heber, manifestó a diferentes medios de prensa que se puede «asegurar a la población que no volverá a suceder». Afirmó también que se renovará el equipamiento de la Dirección Nacional de Identificación Civil, ya que las máquinas existentes son “prehistóricas”. Dijo: «Hicimos la compra y un software que nos dé la seguridad de que no se pueda hackear así fácilmente».
Sin embargo, Federico Laca, exdirector general del Ministerio del Interior y asesor en ciberserguridad, indicó a La Diaria que “la infraestructura que está en el data center ministerial no fue comprometida”. Afirmó también que “son innegables las inversiones que se realizaron en tecnología en la administración pasada, pero sucede que cuando hacés inversiones en tecnologías es que tenés que estar comprometido a mantenerla”.
¿Qué sucedió con los datos?
De acuerdo con las respuestas recibidas por parte del Ministerio del Interior, Nane manifestó que “no se pudo establecer el alcance total del ataque a la infraestructura de la DNIC”. Afirmó que “Los atacantes estuvieron más de un mes sin ser descubiertos” y que el informe deja en evidencia que quienes atacaron el sistema cuentan con «conocimientos avanzados de los sistemas internos, lo que le permitió acceder al servidor de esa base de datos y descargar a una máquina local toda la información vinculada al sistema de pasaportes”.
La Senadora dijo al diario uruguayo El Observador que si bien se sabe que se afectó la información de pasaportes, no puede asegurarse que no se hayan comprometido otros datos de personas. Tampoco se puede asegurar el destino de la información obtenida de los pasaportes electrónicos, por lo que es imposible establecer la magnitud del hecho.
“¿Falta sentido de urgencia dado el incidente?”, cuestionó la representante nacional. Aclaró que aún se encuentra a la espera de los resultados de una auditoría iniciada en octubre de 2021 respecto al “estado actual en el marco de la ciberseguridad” en el Ministerio del Interior.
Según Nane, las respuestas brindadas por el Ministerio «no tienen nada que ver con lo que nos respondieron por escrito». Advirtió que «El Ministro del Interior, Luis Alberto Heber, dijo que tuvieron ese problema porque las computadores eran prehistóricas, pero cuando nos manda el listado de acciones que se van a tomar para remediar esta situación no hay un solo renglón que refiera a la compra de computadoras, por ejemplo».
Silvia Nane declaró también que realizará un nuevo pedido de información. «Ahora vamos a volver a hacer preguntas; y nuevamente esperamos y exhortamos que este tema sea tratado con seriedad, y que tengamos respuestas serias».
Es recurrente, cuando se habla de ciberseguridad pensar en criminales y estafas. Sin embargo, es importante pensar más allá de eso. El caso de Uruguay nos abre la posibilidad de pensar en la infraestructura de gobernanza de datos personales en la región. Hay actualmente en América Latina un desmonte de instituciones estatales encargadas de tecnología. Casos ocurridos en los últimos meses en Brasil, Costa Rica o República Dominicana son prueba de esto. Deja en evidencia la necesidad de reglamentaciones que exijan auditorías, y controles serios y profundos para que el tema no quede supeditado a pedidos de información que deban ser reiterados y reformulados. No es posible alcanzar la tan deseada “digitalización” del Estado si esta no se hace en un marco de garantías para la ciudadanía. Y la garantía más básica debería ser una respuesta clara y concreta a la pregunta: ¿Quién tiene nuestros datos?