PretorIA y la automatización del procesamiento de causas de derechos humanos en Colombia

Costa Rica: elecciones entre denuncias, violación de datos personales y reformas de ley insuficientes

El próximo 3 de abril se realizará la segunda vuelta presidencial en Costa Rica. El electorado elegirá al nuevo presidente entre José María Figueres, candidato del histórico Partido Liberación Nacional y ex presidente de la nación, y el oficialista Rodrigo Chaves, ex ministro de Hacienda e integrante del Partido Progreso Social Democrático. En un escenario convulsionado por las elecciones, uno de los temas más polémicos es la protección de datos personales. Varias organizaciones sociales se han reunido con los candidatos para conocer sus iniciativas en la materia.

Costa Rica fue uno de los primeros países de la región en aprobar una legislación en materia de datos personales, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, promulgada en 2011. Sin embargo, durante la última década la normativa se ha mantenido inalterada, pese a diferentes iniciativas de reforma que no prosperaron.

No solo eso. Los dos últimos años han estado marcados por varios casos de muy alto perfil relacionados con la violación de la intimidad y de la privacidad de las y los costarricenses, que involucran al actual presidente, Carlos Alvarado.

La UPAD (Unidad Presidencial de Análisis de Datos) fue una iniciativa creada por el presidente Alvarado con el objetivo de ayudar a la toma de decisiones en materias tales como el diseño de políticas públicas y los presupuestos institucionales. Funcionó durante un año y medio en la Casa Presidencial, sin contar con aval del Ministerio de Planificación y sin que trascendiera públicamente su existencia.

Durante su funcionamiento, la UPAD tuvo acceso a información sensible de diversas entidades públicas como la Dirección General de Migración y Extranjeria Ministerio de Educación o Instituto Nacional de Estadísticas y Censo. Sin embargo, su trayectoria fue breve. El repudio general que produjo la noticia de que la Unidad manejaba datos confidenciales de los y las costarricenses tuvo como resultado la derogación del artículo que habilitó la creación de UPAD y su posterior desmantelación, en febrero de 2020.

El acceso discrecional de la presidencia a datos confidenciales llegó a ser calificada como “terrorismo de estado” por el Secretario General de la Asociación Nacional de Empleados Públicos y Privados, Albino Vargas, y los diputados opositores a Alvarado manifestaron que UPAD es una iniciativa “ilegal, inconstitucional y un abuso de poder”. Las irregularidades en su creación, la falta de transparencia en el manejo de datos y diferentes denuncias recibidas llevaron al inicio de investigaciones por parte de la Fiscalía, la Defensoría de los Habitantes y la Cámara de Diputados.

Debido a la gravedad de los hechos, la Fiscalía de Costa Rica ordenó allanar la casa presidencial y levantó acusaciones por los presuntos delitos de prevaricato (dictar resoluciones contrarias a la ley), fraude y abuso de autoridad contra Alvarado y otros siete funcionarios del Gobierno. Concretamente, la Fiscalía considera que bajo el mando de Alvarado, la UPAD violó el artículo 14 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, que prohíbe la transferencia de datos personales sin mediar el consentimiento, así como el artículo 40 del Reglamento de esa ley; y la Ley de Registro, Examen y Secuestro de Documentos Privados e Intervención de Comunicaciones.

En su comparecencia frente a una Comisión Especial de la Asamblea Legislativa, en febrero de 2021, Alvarado declaró: “Finalizo esta jornada con la paz y tranquilidad de que hoy le rendí cuentas a las y los costarricenses y que lo dicho es la verdad: nadie espió a nadie, nadie se robó plata, nadie vendió información”. Los delitos de los que se acusan al presidente y sus asesores se contemplan en el Código Penal, con penas que oscilan entre los tres meses y seis años de cárcel.

En medio de este escándalo, lo que suceda este año será crucial para el futuro de la protección de datos en Costa Rica. UPAD no es el único proyecto relevante en la materia. Actualmente existen diversas iniciativas en discusión.

El Proyecto de Repositorio de Datos Biométricos propone centralizar en el Tribunal Supremo de Elecciones (TSE) la recolección y tratamiento de datos biométricos de toda la población. De esta manera, la Policía, el Ministerio Público, el Organismo de Investigación Judicial y la Dirección General de Migración podrían acceder a estos datos sin orden ni intervención judicial. Este proyecto prevé que se comercialice un módulo de consulta de datos biométricos, lo que convertiría a Costa Rica en el primer país del mundo en comercializar libremente datos biométricos de su población, incluyendo a menores de edad y turistas. La iniciativa fue dictaminada de manera unánime por la Comisión de Gobierno y Administración en octubre de 2021.

Además, la Dirección de Migración lanzará en el primer trimestre de 2022 un nuevo pasaporte que incorpora un sistema inteligente de datos biométricos. El pasaporte incluirá un chip con la biometría del rostro y las huellas dactilares de todas las personas con documento costarricense. Frente a esta iniciativa, la Fundación Privacidad y Datos presentó un recurso de amparo, pues considera que Migración y Extranjería no resolvió adecuadamente una serie de consultas que fueran realizadas sobre respecto al nuevo pasaporte. Además, sostienen que el proyecto no respeta el marco jurídico, ya que el tratamiento de datos biométricos solo puede darse mediante una ley habilitante, y esta ley no existe.

Asimismo, la Dirección de Migración no ha explicado las medidas de seguridad que dispondrá para que los datos se encuentren seguros en sus servidores. Como si fuera poco, dicho organismo indicó que no descarta compartir esos datos con fuerzas policiales, e incluso con otros países, sin que exista ninguna norma que regule su utilización.

Por último, una propuesta de reforma a la Ley de Protección de Datos Personales. Actualmente existe un proyecto impulsado por el Partido Acción Ciudadana, cuyo objetivo es reformar el marco regulador de la protección de datos en el país, incluyendo el funcionamiento de la Agencia de Protección de Datos Personales. Sin embargo, organizaciones sociales plantean que no se trata de una reforma integral, sino que de la misma ley actual con algunos agregados y conceptos actualizados. Sin embargo, manifiestan que el proyecto se perfila como un primer paso que podría admitir mejoras para una mayor seguridad jurídica.

Los principales problemas del proyecto son que no prevé sanciones relevantes cuando es el propio Estado quien incumple la legislación. También plantea la posibilidad de que los organismos públicos intercambien datos personales de la población teniendo como único requisito la firma de convenios institucionales.

Con motivo de la celebración del Día Internacional de la Protección de datos, Daniel Rodríguez, director ejecutivo de la Fundación Privacidad y Datos manifestó que en “Costa Rica, el reto más importante que enfrentamos es actualizar nuestra legislación en la materia. Tenemos, cuando menos, diez años de retraso en este tema y el precio que pagamos por cada día que pasa sin una nueva ley, es muy alto”.

#NoAlPadrón: México frente a una abusiva reglamentación para el uso de celulares

Disponível em português

En una sesión con poca participación y sin discusión, en abril de 2021, se decidió que 88 millones de personas en México deben proporcionar sus datos biométricos a una base para acceder a la telefonía móvil. Allí, fue aprobada una reforma a la Ley Federal de Telecomunicaciones y Radiodifusión para determinar la creación por parte del Instituto Federal de Telecomunicaciones (INT) donde esta nueva base de datos obligatoria denominada Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT).

También ordenó a las concesionarias de telecomunicaciones recopilar e incorporar esta información en la base de datos del PANAUT, que contaría con al menos diez tipos de datos personales, entre los cuales se encuentran: nombre completo, nacionalidad, número de identificación oficial con fotografía o Clave Única de Registro de Población, además de los datos biométricos de quien sea titular.

Aunque en los discursos se defiende como “herramienta para combatir la extorsión y el secuestro por parte del crimen organizado”, existen varios problemas relacionados con los derechos humanos. Luego de cuestionamientos judiciales, la definición del caso ahora está en manos de la Suprema Corte de Justicia de México (SCJN).

Disputa judicial contra “El padrón” mexicano

A pesar de lo señalado por la sociedad civil y otras instituciones con motivo de la creación de este tipo de bases de datos, y la obligatoriedad de un tratamiento específico para los datos sensibles, la iniciativa de creación del PANAUT fue aprobada en el Senado mexicano por 56 votos a favor, 52 en contra y 7 abstenciones. Desde el principio, este cambio legislativo dio lugar a una oleada de juicios individuales, conocidos en el ámbito jurídico como amparos.

Sumado a los casos individuales, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) —órgano constitucional autónomo encargado de la protección de datos personales— interpuso una acción de inconstitucionalidad ante la SCJN en México en mayo de 2021. Dicha acción se tramita junto con otra sobre el mismo tema, propuesta por un tercio de del Senado. La base constitucional del caso es la garantía para que los datos personales tengan máxima protección y seguridad, según el artículo 16 de la Constitución mexicana, agregado en una reforma en 2009. La instalación de esta base de datos obligatoria fue suspendida por medio de una medida cautelar, otorgada por la ministra Norma Piño, y ratificada en junio de 2021 por los demás magistrados de la primera sección de la SCJN.

Inclusión abusiva de datos biométricos

PANAUT es una base de datos que tiene como único objetivo, según su decreto, “colaborar con las autoridades competentes en materia de seguridad y justicia en materias relacionadas con la comisión de delitos” (art. 180, Bis). Pero para eso determina una recolección masiva de datos ya que, como fue mencionado, se calculan 88 millones de personas usuarias de celulares en México.

Asimismo, se recopilarán datos sensibles como la biometría. Aquí tenemos un concepto clave. La “Guía para el tratamiento de datos biométricos” del INAI dice que los datos biométricos son datos que se refieren a “propiedades físicas, fisiológicas, de comportamiento o de personalidad, atribuibles a una sola persona y que son medibles”. Algunos ejemplos son las huellas dactilares, y el reconocimiento facial, de retina e iris. Por consecuencia, pueden caracterizarse como datos sensibles, ya que refieren a la esfera más íntima de las personas y su uso indebido puede dar lugar a discriminación y suponer un gran riesgo.

Incumple tratados internacionales asumidos por el Estado

La creación de este tipo de bases de datos obligatorias, sin análisis de impacto y con total ausencia de mecanismos de control, traen consigo graves amenazas para los derechos humanos. Infringe la privacidad, el principio de inocencia y pone en peligro la vida de las personas. La protección de la privacidad y de los datos personales se encuentran previstos en la Constitución mexicana, así como en otros instrumentos internacionales que Estado mexicano adhiere, tales como la Convención Americana sobre Derechos Humanos (Pacto de San José de Costa Rica) y el Pacto Internacional de Derechos Civiles y Políticos.

La creación de un PANAUT obligatorio no pasa en el test de proporcionalidad, de contar con un fin constitucionalmente válido, o que la medida sea idónea para satisfacer el fin definido en la constitución. Además, que no existen medidas alternativas igualmente idóneas para lograr el mismo fin y que sean menos perjudiciales para la ciudadanía. Un simple ejemplo práctico: quienes realmente tengan intención de usar celulares con fines delictivos podrían simplemente robar el celular de alguien o comprar una tarjeta SIM en otro país donde el roaming es gratuito, como es el caso de México y Estados Unidos.

Así pues, el acceso a la base de datos podría ser solicitado por varias instituciones policiales y de investigación, sin ninguna garantía para la ciudadanía. Tales solicitudes se harían directo al IFT, sin ningún control del Poder Judicial en cuanto al propósito específico, qué datos se requerían, e incluso, si existía una investigación en curso. Como si fuera poco, los casos de filtración indebida de datos personales por parte del gobierno son ampliamente conocidos, no solo en México, sino en varios otros países de la región. Este factor aumenta el riesgo de quien sea titular de los datos, ya que al ser confidenciales pueden filtrarse y causar daños graves.

Restringe en forma indebida al acceso a internet

Como si estas vulneraciones no fueran suficientes, la obligación de proporcionar datos biométricos de manera masiva para fines de investigación criminal es una restricción indebida en el acceso a tecnologías tan importantes en la actualidad. El acceso a internet propicia el ejercicio de varios otros derechos como el acceso a la información, la libertad de expresión e incluso derechos económicos, sociales y culturales. En México, como en casi toda Latinoamérica, la población accede a internet mayoritariamente a través de teléfonos celulares. Alrededor de 80 millones de personas acceden a internet a través de su celular.

Así, para gran parte de la población, el ejercicio del derecho de acceso a internet estaría indebidamente condicionado a renunciar a sus datos personales y biométricos a una base de datos utilizada para la persecución penal, sin garantías mínimas de seguridad, control de acceso, transparencia y rendición de cuentas.

Más defensas frente al tecno-autoritarismo: el INAI y la participación popular

El caso resulta muy interesante porque demuestra cuán necesario es contar con instituciones serias e independientes para la protección de datos personales. El INAI es un instituto que, además de ser encargado de proteger los datos de la ciudadanía, también tiene legitimidad para impugnar la constitucionalidad de leyes que vulneren la protección de datos personales. El caso PANAUT demuestra que el cuerpo legislativo no escuchó adecuadamente a la institución que tiene la función de protección de datos.

Asimismo, demuestra que la sociedad civil organizada en México y otros países de la región, juega un papel importante en la colaboración de las discusiones legislativas y participa activamente en los debates ante el Poder Judicial. Más de diez organizaciones de la sociedad civil, incluida Derechos Digitales, presentaron una petición de amicus curiae solicitando participar en el caso. Se señalaron los riesgos y violaciones a los derechos humanos ocurridos, concluyendo que la creación del PANAUT fue inconstitucional. Varias organizaciones, tales como R3D, han estado participando activamente en el caso desde su inicio.

En una carta dirigida a los ministros de la Corte Suprema, fue solicitada la publicación de los proyectos de resolución del caso, siguiendo lo que normalmente se hace en los casos de amparo, para que haya mayor transparencia.

Un precedente relevante en la garantía de los derechos humanos

Como vemos en otros países de la región y del mundo, los gobiernos insisten cada vez más en establecer y aumentar las bases de datos obligatorias, principalmente relacionadas con la recopilación de datos biométricos. Presumiblemente, el propósito sería «combatir el crimen». Sin embargo, tales medidas no solo son ineficientes: exponen más a ciudadanos y ciudadanas, disminuyen los derechos a la privacidad y al acceso a internet, a la presunción de inocencia y la libertad de expresión.

La SCJN de México tiene en sus manos una gran oportunidad para sentar precedente en América Latina para enunciar, de una vez por todas, que no se admitirán las vulneraciones masivas de derechos humanos a través de iniciativas tecno-autoritarias.

Brasil: nuevas reglas de juego para evitar la difusión de noticias falsas

En el marco de las elecciones generales que se llevarán a cabo en Brasil en octubre de este año, el Tribunal Superior Electoral (TSE) emitió sus reglamentaciones. Entre ellas, se encuentra la Resolución 23.671 que trata sobre propaganda electoral y conductas ilícitas en la campaña. Además, incorpora un horario electoral gratuito; esta norma es una actualización de las reglas contenidas en la Resolución 23.610/2019. En esta columna, nos referiremos a los dos primeros tópicos, principalmente porque estas medidas buscan afrontar un problema complejo como la desinformación y los disparos en masa, desde una óptica que podría resultar lesiva a derechos, como es el caso de la libertad de expresión.

Fake news, otra vez bajo la lupa

Uno de los puntos importantes es el referido al combate a la desinformación, reportad a ampliamente como fenómeno a propósito de la elección presidencial anterior, como también desde la llegada y permanencia de la pandemia de COVID-19. En este caso, la Resolución 23.671 prohíbe la difusión o el intercambio de hechos falsos o gravemente descontextualizados que socaven la integridad del proceso electoral. Según la norma, el tribunal electoral a pedido del Ministerio Público, deberá ordenar el cese del ilícito, sin perjuicio de determinar la responsabilidad penal, abuso de poder y uso indebido de los medios de comunicación.

Es necesario recalcar que, siempre que se trate de alguna medida en la que esté involucrada la libertad de expresión, es necesario que se haga un análisis detallado de la colisión de derechos que se pretende tutelar, algo que debería ser dirimido en sede judicial, para evitar limitaciones desproporcionadas y fuera del ámbito permitido por la normativa constitucional y los tratados de derechos humanos suscritos por Brasil.

Por otra parte, la regulación respecto a la prohibición de los “disparos en masa” o mensajes masivos de propaganda a través de aplicaciones de mensajería instantánea, fue modificada en dos sentidos: por un lado, se modificó el supuesto en el que el disparo ocurre “sin anuencia de la persona destinataria”, cambiando el texto a “sin consentimiento de la persona destinataria”. Asimismo, se añadió el supuesto donde el disparo se da “a partir de la contratación de procedimientos, tecnologías o servicios no provistos por la proveedora de la aplicación y en violación de sus términos de uso”.

De acuerdo a Internet L ab, la primera modificación permite armonizar el texto de la resolución con el lenguaje de la Ley General de Protección de Datos (LGPD). Sin embargo, la segunda se origina en que el uso de herramientas o servicios ilegítimos externos a las plataformas de mensajería puede afectar la transparencia de la comunicación político-electoral, e incluso, distorsionar el debate público.

La regulación de los “disparos en masa” busca garantizar la integridad del debate público mediante el combate a la difusión de noticias falsas. Esta es una respuesta al uso de este mecanismo durante las elecciones parlamentarias de 2018, corroborado por decisión del TSE, que rechazó el pedido de cancelación de mandato del presidente Jair Bolsonaro y del vicepresidente Hamilton Mourão, luego que se comprobara un esquema ilícito para la propagación de noticias falsas a través de WhatsApp, en beneficio de Bolsonaro. A pesar de rechazar la pretensión de cancelación de mandato, la decisión se convierte en un precedente hacia los comicios de este año.

Colaboración público-privada

Una de las medidas del TSE para combatir la desinformación divulgada contra el proceso electoral en redes sociales es la firma de memorandos de entendimiento con las plataformas digitales, bajo la consideración que su cooperación es indispensable. La iniciativa es parte del “Programa permanente de enfrentamiento de la desinformación” que la Justicia Electoral implementa desde el año 2018. En tal sentido, en los próximos días se realizará la firma de estos documentos con TikTok, Twitter, WhatsApp, Facebook, Google, Instagram, YouTube y Kwai, de acuerdo a informaciones del organismo.

Otra acción es la colaboración con WhatsApp para combatir la divulgación masiva de noticias falsas, que ya que la aplicación ha sido utilizada en elecciones municipales del año 2020. Esta herramienta permite a la persona que recibe mensajes sospechosos durante las elecciones a hacer una denuncia a través de un formulario en la web del TSE. Si el mensaje es catalogado como un “disparo en masa”, la Corte pedirá a WhatsApp que la cuenta que lo originó sea suspendida, con la posibilidad eventual que el perfil responsable sea expulsado de la aplicación, y que, si la práctica se identifica con alguna candidatura en marcha, el TSE puede imponer sanciones y hasta revocar la boleta de la campaña responsable.

El caso Telegram

No figura en estas medidas la aplicación Telegram, que es vista por el TSE como una pieza fundamental para la propagación de noticias falsas y un medio para organizar la diseminación de discurso de odio en la red, además de servir como canal para el propio presidente. Estas situaciones, sumada a la falta de representante de la empresa en Brasil, hacen que la aplicación corra riesgo de ser bloqueada en el presente año.

Pero, aunque el propósito de prevenir la difusión de desinformación es comprensible, es necesario señalar que una medida así, en el afán de eliminar cuentas que promueven ilícitos, puede ser excesiva: el bloqueo de una aplicación en todo el país es una medida desproporcionada, ya que también se privaría de su uso a muchas personas que utilizan la aplicación para fines lícitos, lo cual generaría una limitación en el debate público en una sociedad democrática. A su vez, este supuesto se convierte en un mal precedente, en tanto otros Estados podrían aplicar las mismas medidas, invocando la defensa de la integridad del evento electoral, cuando en realidad podrían únicamente responder a deseos de anular las ideas contrarias al pensamiento oficial de las autoridades de turno.

Datos personales y publicidad electoral

En la Resolución 23.671 también fueron regulados aspectos referidos al tratamiento de datos personales en el contexto electoral. En este apartado destacan, primeramente, la prohibición expresa de desviar el fin para el cual los datos fueron obtenidos, en la hipótesis de su tratamiento para propaganda electoral. En el mismo sentido, hace referencia expresa a la importancia de observar los demás principios contenidos en la LGPD, alineando la acción del TSE con los propósitos de protección contra el abuso de los datos personales con fines políticos.

Otros aspectos relevantes es la adecuación del tratamiento de datos sensibles a lo dispuesto en la LGDP; así como la mención expresa a la garantía del derecho de oposición en favor del titular de datos personales tornados públicos, que fueran tratados para finalidades político-electores. Por último, la obligación de las candidaturas en informar a la persona titular sobre cómo sus datos han sido tratados, además de proporcionar un canal de comunicación que permita a las personas confirmar o no la presencia de sus datos. Eventualmente, es posible formular pedidos de eliminación o darse de baja de una base, en concordancia con el art. 18 de la LGDP.

Por último, en este mismo contexto, la Autoridad Nacional de Protección de Datos Personales (ANPD) y el TSE publicaron la Guía Orientadora para la aplicación de la LGPD por organismos involucrados en el proceso electoral.

¿Desinformación, libertad, o falsos dilemas?

Recurrir a medidas extremas como el bloqueo de cuentas es, en la mayoría de casos, una medida desproporcionada y que no toma en cuenta soluciones alternativas que sean menos restrictivas. El debate público y el proceso electoral forman parte de un proceso comunicacional amplio que no puede zanjarse con una sola medida, sino que debe ser abordada desde la óptica de la implementación de múltiples estrategias que interactúen entre ellas, para que, de esa interacción, emerja una mejor política que sea una barrera contra la desinformación.

A su vez, estas propuestas no pueden venir únicamente de los funcionarios gubernamentales, sino que deben ser ampliamente discutidas con la mayor cantidad de partes interesadas, quienes aportaran una amplia variedad de enfoques, incluyendo los relacionados al respeto a los derechos humanos. A la vez, es necesario basarse en evidencias para cualquier propuesta de medida que pueda tener impactos contrarios a la libertad de expresión.

Una apuesta que debería figurar siempre en los planes de los gobiernos, es la inversión en programas de alfabetización mediática; de tal suerte que la imposición de restricciones a través de la ley, cuyo propósito es combatir los desórdenes informativos y el discurso de odio, sea el último recurso y no una solución inmediatista que solo busca responder al falso dilema en el que parecen encontrarse las autoridades: libertad de expresión o elecciones tranquilas.

No existen pócimas mágicas, ni soluciones unidireccionales. Tomar este camino conduce a los Estados a implementar con facilidad, medidas desproporcionadas que finalmente afectan a la democracia y a la libertad en internet.

¿Cómo y quiénes cuidan nuestros datos? Legislaciones vigentes en países Latinoamericanos

El 28 de enero de 1981, en Francia, fue suscrito el “Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal” (Convenio 108), y posteriormente, el 8 de noviembre de 2001, el protocolo adicional relativo a las autoridades de control y a los flujos transfronterizos de datos.

Si bien este instrumento internacional fue elaborado por el Consejo de Europa (organización internacional de cooperación regional compuesta por 47 Estados de Europa), se determinó que una vez que entrara en vigencia, cualquier Estado no miembro del Consejo de Europa podría ser invitado a adherir al Convenio. En Latinoamérica solo Argentina, México y Uruguay son oficialmente parte del Convenio 108.

Con todo, aunque le debamos el día internacional de la protección de datos personales al Convenio 108, no fue el Consejo de Europa que marcó la pauta latinoamericana en materia de datos personales, sino el Consejo de la Unión Europea (UE) con su “Directiva de Protección de Datos” de 1995 (Directiva 95/46/CE). Conforme a sus lineamientos, fuera de la UE, sus países miembros sólo podían transferir datos personales a países que garantizaran un “nivel de protección adecuado”. Esta restricción obligó a los países de nuestra región a buscar lograr dicho nivel mediante la formulación de leyes de materia de datos personales y así no ver trabados sus intercambios comerciales.

En la actualidad la Directiva 95/46/CE se encuentra superada, tras ser sustituida por el “Reglamento general de protección de datos de la Unión Europea” (RGPD), una nueva y más exigente pauta en materia de datos personales. Y en Latinoamérica, ¿cuál es la realidad actual en materia de datos personales?

Chile

Chile fue pionero en la región al ser el primer país latinoamericano en promulgar una ley de protección de datos personales: la ley 19.628 sobre protección de la vida privada de 1999. Desde entonces han pasado más de 20 años, y si bien la realidad es muy distinta a la de aquella época, en el país se sigue aplicando la misma ley, incapaz de hacer frente a las necesidades actuales surgidas de los avances tecnológicos y la capacidad de procesar grandes volúmenes de datos en forma automatizada. Aunque esta situación podría cambiar pronto de aprobarse el proyecto de ley sobre protección de datos personales, en actual discusión legislativa. El pasado 25 de enero, tras cuatro años en el Senado, dicho proyecto fue despachado a la Cámara de Diputados, pasando a segundo trámite constitucional. Se trata de un proyecto de ley fuertemente inspirado en el RGPD, aunque con algunas modificaciones que, lejos de ser adaptaciones a la realidad local, muestran la falta de conocimiento de los/as legisladores/as en la materia. Ejemplo de lo anterior, es la eliminación del principio de lealtad, uno de los principios esenciales de la normativa europea que se busca imitar.

A nivel constitucional, en 2018 el derecho a la protección de los datos personales fue incorporado a la Constitución chilena, como un derecho autónomo e independiente del derecho a la privacidad. Por otra parte, en el marco del proceso constituyente que vive actualmente Chile diversas iniciativas sobre la materia han sido presentadas, entre las cuales destacamos la propuesta del Centro de Estudios en Derecho Informático.

Argentina

En el 2000 Argentina tomó la cabecera en materia de datos, al dictar su Ley de protección de datos personales 25.326 (PDPA), y tres años después se transformó en el primer país latinoamericano en lograr una decisión de adecuación por la Comisión Europea. Esto último significa —en términos resumidos— que Argentina es un país apto para la transferencia internacional de datos desde los países de la Unión Europea, sin necesidad de cumplir con mayores requisitos. Además de la Ley PDPA, la legislación argentina sobre la materia está compuesta por normas contenidas en su Constitución, y por el Decreto reglamentario 1558/2001.

Pero muchos años han pasado desde entonces, y hoy la normativa argentina no solo se encuentra desactualizada, sino que es posible observar un notable deterioro en su sistema de protección de datos personales. Recientemente, se ha denunciado que el sector público argentino sería el mayor infractor de la Ley PDPA, y el año pasado la autoridad en la materia renunció tras el escándalo de la filtración de la información de los documentos nacionales de identidad desde el Registro Nacional de las Personas (RENAPER), sin que a la fecha se haya designado su reemplazo. Además, el gobierno anunció que el censo previsto para el año 2022, como novedad, incluirá información de identificación unívoca como el DNI, cuestión incompatible con la garantía del anonimato necesaria para proteger la información sensible.

Perú

En Perú, el fuerte de la protección de datos personales está dado por la Ley de protección de datos personales (29733) del año 2011, y su reglamento del año 2013. Entre los aspectos a destacar, encontramos la obligación de inscribir los bancos de datos en el Registro nacional de protección de datos personales, para que la ciudadanía pueda conocer qué categorías de datos personales son recolectadas por una determinada entidad y con qué finalidad. Otro punto destacable, es la existencia y actividad de la Autoridad nacional de protección de datos personales, que mediante distintas actividades, tales como campañas y charlas, busca promover la cultura de protección relativa a los datos personales.

Uruguay

En 2012 Uruguay se transformó en el segundo y último país de Latinoamérica en ser declarado “país adecuado”. Entre las consideraciones para su decisión de adecuación, la UE destacó que, a pesar de que la Constitución uruguaya de 1967 no reconoce expresamente el derecho a la vida privada y la protección de datos personales, sí reconoce que su catálogo de derechos fundamentales no es una lista cerrada; el hecho que la ley uruguaya 18.331 de Protección de datos personales y acción de habeas data, de 2008, donde establece expresamente que “El derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República”; y que la misma se basara en gran medida en la Directiva 95/46/CE. La ley uruguaya se complementa con el Decreto 414/009, de 2009, que clarificó ciertos aspectos de la ley y reguló en detalle la organización, facultades y funcionamiento de la autoridad de protección de datos.

Brasil

Así como Chile fue pionero al promulgar su ley de protección de datos basándose en la normativa europea en 1999, Brasil fue el primer país de la región en promulgar una ley de protección de datos personales inspirada directamente en el modelo europeo del RGPD de 2016: la Ley general de protección de datos – LGPD (13.709/2018).

Brasil cuenta con una Autoridad nacional de protección de datos (ANPD), la que recientemente realizó el lanzamiento de la “Guía de Orientación – Aplicación de la Ley General de Protección de Datos Personales” por parte de los agentes de tratamiento de datos, en el contexto de las próximas elecciones en octubre 2022. La ANPD anteriormente ya había publicado una guía de seguridad de la información dirigida a los pequeños agentes de tratamiento, además de otras publicaciones de herramientas y plantillas en cumplimiento de su rol orientador, para apoyar a las distintas organizaciones en el cumplimiento de la LGPD.

Ecuador

El 26 de mayo de 2021, finalmente se promulgó la tan esperada Ley orgánica de protección de datos personales de Ecuador (LOPD). Recién el pasado 26 de enero fue presentado ante el Ejecutivo el Proyecto de reglamento a la ley de protección de datos Personales, un documento de 107 artículos inspirado en el RGPD. Access Now, Asociación para el Progreso de las Comunicaciones (APC) y Derechos Digitales colaboraron en este proceso legislativo desde sus inicios, enviando sugerencias sobre los presupuestos básicos para la elaboración de la ley, así como comentarios para mejorar el proyecto que hoy son ley.

Bolivia

Bolivia es uno de los pocos países del mundo que no cuenta con una ley específica para la protección de datos personales, a pesar que su Constitución Política contempla el derecho a la privacidad, intimidad, honra, honor, propia imagen (artículo 21), y a la autodeterminación informativa (artículo 130).

Sin embargo, desde hace ya algunos años que Bolivia comenzó su proceso de transformación digital. Este proceso contempla —entre otras cosas— la interoperabilidad de datos entre organismos públicos, algunos avances en materia de ciudadanía digital, economía digital y gobierno electrónico. Todos estos procesos implican la recolección y tratamiento de grandes volúmenes de datos, por lo que contar con una ley que regule de manera integral la protección de datos personales, estableciendo obligaciones claras para quienes traten datos personales, y derechos en favor de los titulares de los datos, resulta urgente para Bolivia.

Venezuela

Venezuela es otro de los países que no cuenta con una ley de protección de datos personales, ni políticas estructurales que protejan este derecho. Esta situación tiene lugar a pesar que su Constitución reconoce el derecho a la privacidad y el derecho de las personas a “acceder a la información y a los datos que sobre sí misma o sobre sus bienes consten en registros oficiales o privados”.

El caso de Venezuela es particularmente preocupante, ya que existen indicios de acceso indebido a datos personales, que involucra recursos públicos, así como la incursión directa de entidades públicas en las prácticas de robo de información. El pasado 28 de enero se presentó el informe Privacidad y datos personales en Venezuela: una aproximación a la legislación y práctica vigentes, cuya elaboración se apoyó en una compilación representativa de leyes, regulaciones y casos que retratan patrones estructurales de vulneración a la libertad de expresión e información, en conexión con la protección de datos y la privacidad.

En rechazo a la modificación del Código Procesal Penal que habilita la vigilancia sin controles ni contrapesos legales

Una Comisión Mixta del Congreso aprobó recientemente modificar el Código Procesal Penal para permitir al Ministerio Público solicitar datos personales de cualquier ciudadano a todo proveedor de servicios, sin orden judicial previa, mecanismos de transparencia ni de rendición de cuentas que permitan controlar el uso de una herramienta de vigilancia que, además, puede ser utilizada para la investigación de cualquier delito, incluidos delitos menores o de bagatela.

La norma aprobada, además, impone un deber de secreto que hará imposible conocer con certeza el despliegue de intrusiones estatales que podrían afectar no solo el derecho a la privacidad de los ciudadanos, sino también la labor de periodistas y sus fuentes, medios de comunicación, organizaciones y movimientos sociales.

Vemos con preocupación la ambigüedad del texto legal al establecer como único requisito la existencia de una “investigación en curso”, sin siquiera exigir una especificidad individual, abriendo un amplio margen para solicitudes genéricas e indefinidas. En definitiva, el texto carece de las garantías de respeto y protección de derechos fundamentales que nuestra sistema jurídico exige para permitir el acceso a los datos personales de los ciudadanos.

Esta normalización de la vigilancia estatal vulnera el derecho de todo ciudadano a no ser objeto de intrusiones gubernamentales injustificadas, uno de los pilares básicos de toda democracia, pues sin él resulta imposible el ejercicio de otros derechos tan fundamentales como la libertad de expresión, la libertad de asociación y la libertad de informar y ser informado, entre otros.

Siendo la separación y el control de los poderes de los organismos del Estado un eje central de todo sistema democrático, esperamos que el Congreso rechace cualquier norma que pretenda dotar al Estado de mayores herramientas de vigilancia sin contemplar los mecanismos necesarios para controlar su uso.

Adscriben:

Coronavirus.Uy: cinco lecciones a casi dos años de pandemia

Durante la emergencia sanitaria provocada por la pandemia Covid-19, en 2020 se desarrollaron diversas herramientas digitales como parte de políticas públicas estatales para detener el contagio. En Uruguay se diseñó e implementó Coronavirus.uy, la primera aplicación móvil de la región en respuesta a la pandemia, presentada a nivel internacional como una exitosa alianza público-privada.

El informe «El caso Coronavirus.Uy» analiza un primer periodo de la pandemia en América Latina, que abarcó desde marzo hasta diciembre de 2020. Es claro que durante 2021 la situación sanitaria en el mundo, y en Uruguay, ha cambiado drásticamente, no solo por los nuevos picos de contagio, hospitalizaciones y fallecimientos, sino por el avance en los planes de vacunación que se han adelantado de manera muy diferenciada en todos los países del mundo.

Qué es la aplicación Coronavirus.uy

Si bien el contexto cambió, el análisis de los primeros pasos en la implementación de la app brinda varias pautas sobre la necesidad una reflexión más detenida: cuáles han sido las tecnologías utilizadas; qué datos se recolectan y para qué; la importancia de contar con un marco legal para el tratamiento de datos; el rol del Estado y su vínculo con privados y sociedad civil.

El objetivo de Coronavirus.uy es proveer información pública relevante sobre estadísticas de contagio y sobre las medidas sanitarias vigentes, así como acompañar casos de posible infección por medio de recolección de información de autodiagnóstico por parte de las personas usuarias, proveer asistencia médica remota durante los periodos de confinamiento y, desde mediados de 2020, alertar a quienes han estado cerca de personas contagiadas. La app registra fecha de testeo, diagnóstico y recuperación de quienes han contraído la enfermedad.

El sistema apunta a reunir información de manera centralizada para dirigir acciones estatales tanto a nivel general como respecto de casos individuales, donde puede proveer desde recomendaciones de cuidado hasta atención vía telemedicina.

Hoy día, Coronavirus.uy tiene un rol fundamental en el Plan de Vacunación, tanto en su implementación como en la obtención de un certificado para presentar en distintas ocasiones. Es de destacar que Uruguay es el primer país de América del Sur en integrarse al sistema del certificado digital Covid de la Unión Europea, que habilita el intercambio de claves públicas de verificación. Además, es uno de los canales posibles —aunque no el más difundido— para completar el formulario de ingreso al país de personas uruguayas, residentes o extranjeras.

En la “Estrategia digital frente a la pandemia Covid-19” presentada por organismos de gobierno el 16 de diciembre 2021, se afirma que la aplicación Coronavirus.Uy tuvo 2.7 millones de descargas. Ademas, se activaron 1.7 millones de alertas de exposición que emitieron 63.000 alertas por proximidad y eventual seguimiento. Hasta entonces, se había descargado más de 62.000 certificados QR de vacunación.

¿Que puede salir mal en una app sanitaria?

En términos teóricos, no habría indicios para contestar afirmativamente. Tampoco en la presentación de la aplicación, tanto por la velocidad en que fue implementada como por los beneficios para el sistema sanitario uruguayo. Sin embargo, existen varios elementos de su proceso que pueden y deben ser revisados. A continuación, cinco acciones pendientes en el despliegue de Coronavirus.uy:

1. No se realizó un llamado público para su diseño y aplicación

El modelo de implementación y financiamiento fue mixto al estar involucrado el Estado y varios contribuyentes privados. La empresa Genexus lideró el proceso de desarrollo y luego la incorporacion de la API — o aplication protocol interface* — desarrollada por Google y Apple para que los Estados interesados desarrollaran sus propios sistemas de alerta por rastreo de proximidad.

Como observamos en otros países de la región, la participación del sector privado en el desarrollo de esta tecnología se realizó por trato directo y sin mediar evaluación competitiva entre distintas propuestas. En el caso de Coronavirus.uy, las empresas y colaboradores lo realizaron en forma honoraria. Meses después de la implementación de la API y sin la presentación de estudios que avalaran la eficacia de la tecnología, Genexus fue nuevamente contratada de manera directa para el desarrollo del sistema de agenda de vacunación.

2. No asegura la protección de datos sanitarios de las personas

Uruguay cuenta con una robusta legislación e institucionalidad vinculada a la protección de datos personales. Desde 2008, la Ley de Protección de Datos Personales reconoce que “la protección de datos personales es un derecho inherente a la persona humana comprendido en el artículo 72 de la Constitución de la República”. La ley fue actualizada en 2018 y en 2020, por la propia evolución tecnológica y en consonancia con los tratados internacionales firmados por el Estado uruguayo. Allí se incluyen aspectos regulatorios como la recolección y uso de datos de geolocalización. El marco legal establece que los datos vinculados a la salud son particularmente sensibles, pero identifica excepciones para su tratamiento en casos justificados.

Sin embargo — y a pesar de la información ofrecida a las usuarias de la app —, hay poca claridad sobre que tipo de accesos los distintos agentes involucrados en proveer la tecnología tienen a la información recolectada y que usos futuros podrían hacer de ellos. Mas allá de las protecciones establecidas, el Estado uruguayo no estuvo inmune a los recurrentes ataques cibernéticos registrados en la región. En febrero de 2021, por ejemplo, hubo un hackeo de Dirección Nacional de Identificación Civil que evidencia la existencia de potenciales fallas de seguridad.

Como punto positivo, en junio 2021, anunciado vía Twitter por uno de sus desarrolladores, la app pasó a funcionar únicamente con datos abiertos provistos por el Ministerio de Salud Pública.

3.No existe una evaluación de su impacto en los derechos humanos

Hace falta una mirada crítica del uso de tecnologías digitales para la gestión de la salud pública durante la pandemia. La premura con que se buscaron soluciones obliga, a casi dos años de pandemia, a evaluar si las medidas implementadas han sido eficaces.

En el caso de Coronavirus.uy: ¿han sido útiles para la gestión sanitaria por parte del gobierno? ¿Habían medidas alternativas menos invasivas en términos de recolección de datos que podrían haber sido implementadas? ¿Han garantizado a la ciudadanía protección en salud al tiempo que se protege su privacidad e identidad digital? Esta pregunta cobra aún mayor relevancia considerando que en junio 2021 comenzó la vacunación a adolescentes y, en las últimas semanas, a niños y a niñas, lo que implica un punto central a resolver y garantizar en relación a la protección de datos.

Cabe ademas cuestionarse sobre como la aplicación puede terminar facilitando otras formas de discriminación o incluso condicionantes para el acceso a servicios o derechos fundamentales, como ha ocurrido en otros países de la región.

4. No se consideró en su elaboración las brechas de conectividad

Por otro, si bien Uruguay lidera a nivel mundial la cobertura y calidad de conexión a internet, es innegable que las condiciones de acceso a tecnologías y de conectividad todavía son desiguales, limitando el alcance de los mecanismos digitales.

Según la Encuesta de Usos de las Tecnologías de la Información y las Comunicaciones 2020, un 83% del interior del país cuenta con acceso a internet desde algún dispositivo, mientras que en Montevideo el número asciende a 94%. Como punto a destacar, es que a diferencia de otras experiencias internacionales, Coronavirus.Uy permite ingresar más de una persona en su celular, aspecto que fue mejorado tempranamente en sus actualizaciones.

Asimismo, existen diferencias más marcadas respecto al uso de banda ancha en el hogar según nivel socioeconómico. Mientras el primer quintil de distribución de ingreso un 51% tiene acceso a internet en casa, en el quinto quintil el porcentaje se eleva a 86%.

Si se tiene preferencia por no usar Coronavirus.Uy y seguir los servicios en línea, implica mayor comodidad el uso una computadora, por lo que los hogares únicamente con celulares y tabletas quedan más limitados en poder elegir. Para el quinto quintil, la tenencia de computadora es de 74%. El 51% de los hogares de menos ingresos cuentan con otros dispositivos más allá del celular, es de destacar que de este conjunto un 20% accedió a través de políticas públicas, sea el Plan Ceibal o el Ibirapitá.

La dependencia a la app es notoria al estar en fase de seguimiento a la espera de un diagnóstico. Es la vía más rápida de acceso y la sugerida vía SMS cuando se espera un resultado, que por sus implicancias de aislamiento y contactos, suele esperarse con ansias.

5. No contó con participación de la sociedad civil

Finalmente, la aplicación Coronavirus.uy no cuenta con participación de la sociedad civil organizada sea del ámbito de la salud o los derechos digitales. Si bien cuenta con mecanismos de transparencia, como las múltiples peticiones que ha realizado la Red de Gobierno Abierto en Uruguay, la sociedad civil no ha sido debidamente considerada en la primera fase de implementación y desarrollo.

Para finalizar

La aplicación Coronavirus.uy ha transcurrido por varias actualizaciones y facilita los procesos, no es la única vía para resolver las gestiones vinculadas al Covid-19, pero si es una muy relevante, que sin dudas ha llevado a un porcentaje alto de descargas y con ello a una enorme base de datos sensibles. Por ese motivo, teniendo en cuenta la proyección del avance de la telemedicina y los eventos transcurridos en casi dos años de pandemia, exigen a la ciudadanía uruguaya reflexionar respecto a qué procesos son indispensables en la gestión de datos sensibles en la era digital.

De esta manera, la hipótesis de múltiples conflictos planteado por el informe “El caso Coronavirus UY” cobra especial vigencia, así como las reflexiones sacadas del análisis regional realizado por el Consorcio Al Sur en la publicación “Tendencias regionales en el despliegue de tecnologías en pandemia en América Latina: Reflexiones iniciales a partir de los datos del Observatorio Covid-19 de Al Sur”.

Derechos digitales en 2021: un último vistazo al año que nos deja

«Es navidad y ¿que has hecho?» nos pregunta una famosa canción navideña cada fin de año. Intentar responder nos obliga recordar y reflexionar.

La pandemia del COVID-19 hizo evidentes las escandalosas desigualdades que atraviesan nuestras sociedades y los límites de un modo de producción que debemos repensar si queremos construir un futuro más respetuoso y justo para todos los seres que habitamos este planeta. Ese contraste sigue vívido frente a nuestros ojos.

En América Latina, el deterioro de las condiciones de vida como resultado de una serie de crisis que se superponen —sanitaria, económica, política, climática y ambiental—se hace visible en los paisajes de muchas ciudades. Sin embargo, la fuerza de la solidaridad, la colaboración y la resistencia una vez más dejará su marca en nuestra historia. En 2021, la gigantesca marcha de mujeres indígenas en Brasil, los fuertes movimientos de protesta en Colombia y en Cuba, la movilización en los períodos de elecciones en Chile, y la resistencia ante la crisis en Venezuela, Nicaragua, Honduras y El Salvador, fueron muestras de una intensa lucha por derechos, en una región tan marcada por la dificultad de los cambios.

Son innumerables las iniciativas locales que buscaron garantizar y promover derechos, desde grupos grandes y pequeños, desde comunidades y redes de solidaridad a nivel local, regional y global. Desde Derechos Digitales, pudimos apoyar algunas por medio del Fondo de Respuesta Rápida: fueron 20 proyectos apoyados durante el año, con acciones en 11 países. Y sabemos que hay mucho más por hacer.

En este contexto, la vida en internet se ha vuelto aun más importante que los vaticinios tecnoptimistas de principios de siglo. Por la misma razón, defender la libertad de expresión, el acceso a la información, la privacidad, los derechos a la protesta y participación en línea se hizo aún más fundamental. La posibilidad de conectarse a una internet de calidad, sin interferencias excesivas y arbitrarias fue lo que le permitió a algunas personas trabajar, estudiar y mantener una vida social de manera segura. Sin embargo, no fue así para todas. Algunos gobiernos aprovecharon la crisis sanitaria para intentar establecer mayores controles sobre discursos legítimos.

En Bolivia y Brasil, la sociedad civil movilizada logró impedir iniciativas peligrosas para la libertad expresión en línea. En Chile, junto con reconocidas expertas y expertos internacionales criticamos firmemente el proyecto de ley para regular las plataformas digitales, que tiene un enorme potencial de daño al ejercicio de derechos fundamentales; además de sus errores de conceptuales, el proyecto ignora desarrollos importantes de derechos humanos a nivel internacional. En Colombia, asistimos al Congreso a detener una iniciativa legal que, en nombre de los derechos de niños, niñas y adolescentes, buscaba implementar una serie de disposiciones para el control de la circulación de contenidos en internet, contrarias a las condiciones establecidas en la Convención Americana sobre Derechos Humanos; una medida que probablemente tenía buenas intenciones, pero que constituía una amenaza peligrosa.

La violencia en línea —especialmente la violencia de género—se multiplicó como estrategia para silenciar las críticas. Como reconoció la Relatora Especial de Naciones Unidas sobre libertad de expresión, Irene Kahn, este tipo de práctica representa una forma de censura y muchas veces obliga a las víctimas a desconectarse para sentirse seguras. Reiteramos lo dicho por incontables activistas y expertas a nivel mundial: la violencia de género en línea es un atentado contra los derechos humanos

Los distintos impactos de la brecha digitales se hicieron más evidentes que nunca: miles de personas se vieron excluidas por la digitalización de servicios públicos, al no tener ningún tipo de conexión o por la precariedad de su forma de acceso, incluidos los servicios vinculados al control de la pandemia o de sus efectos sobre la vida de las personas en la región. Algunas de estas iniciativas abrieron espacio para nuevas formas de discriminación y para una vigilancia diferenciada hacia las personas que se encuentran en situación de mayor vulnerabilidad y, por lo tanto, dependen del apoyo del Estado, como apuntamos en nuestro análisis de los sistemas de sistemas de protección social en Bolivia y Venezuela.

Para quienes lograron conectarse, la digitalización del sector público también ha implicado una mayor recolección de datos, en muchos casos, sin las debidas garantías de protección. Con el consorcio Al Sur, analizamos el uso de tecnologías para el combate al virus y concluimos que su implementación se basó en escasas evidencias de efectividad, sin considerar tampoco procesos de evaluación o auditorías participativas. Debido a la ausencia de estudios previos de impacto y de medidas suficientes de seguridad, estas iniciativas se constituyeron como riesgos al ejercicio de derechos humanos y fallaron en el cumplimiento de estándares de legalidad, necesidad y proporcionalidad.

La vigilancia floreció en América Latina durante el último año: observamos con preocupación el avance del uso de tecnologías de reconocimiento facial, especialmente en espacios públicos, sin mayores cuestionamientos sobre sus consecuencias. En Uruguay una ley aprobada en abril autorizó la creación de una base de datos de identificación facial para uso en la seguridad pública, a pesar de la manifestación de docenas de organizaciones de la sociedad civil y de crecientes cuestionamientos a este tipo de tecnologías.

Junto a otras organizaciones, colaboramos en la investigación y denuncia del uso de tecnologías en el contexto del control de la pandemia como vía para acumular información de las personas y la gestión de los datos por fuera de estándares de derechos humanos.

También asistimos al trabajo de tribunales en la región. En Argentina participamos como amicus curiae en una acción que cuestiona constitucionalidad del “Sistema de Reconocimiento Facial de Prófugos” (SRFP) de la ciudad de Buenos Aires. En Perú el proyecto “Ni un examen virtual más” cuestionó la obligatoriedad de esos sistemas para la participación en exámenes de ingreso en universidades públicas. En Brasil y Paraguay la sociedad civil también se ha organizado para resistir la implementación del reconocimiento facial, y participamos en un amicus curiae en este último país en defensa de la transparencia en el uso de estas tecnologías. En Colombia, intervinimos dos veces en apoyo a organizaciones locales en el cuestionamiento del uso de datos personales para la pandemia, relevando la importancia de los estándares que la ley ya contempla.

La movilización no ha sido solo resistencia: en Ecuador se ha logrado aprobar finalmente una ley de protección de datos, donde fuimos activos partícipes; en Brasil se han presentado propuestas para la prohibición del reconocimiento facial; Nos sumamos también al movimiento global para cuestionar la forma en que una empresa con amplia base de usuarias en la región ha procurado cambiar sus reglas, con la reacción positiva de la autoridad de libre competencia en Chile.

Pasaron demasiadas cosas como para listarlo todo. Ello nos trae orgullo y satisfacción, pero a la vez nos muestra los desafíos hacia el futuro. Al mismo tiempo, nos mueve a observar nuestra acción hacia afuera, como también nuestra situación como grupo de personas. Las organizaciones de derechos humanos como Derechos Digitales no hemos estado excluidas de los impactos generados por la pandemia en los últimos dos años, que van más allá de situaciones nacionales y globales.

Mantenernos activas ha implicado también hacer una mirada hacia adentro y pensar cómo nos cuidamos y fortalecemos, cómo nos auxiliamos mutuamente para generar la fuerza que requiere nuestra labor. Y así, mantenemos nuestra convicción de cara al año que comienza. Ante los desafíos enfrentados, esperamos para 2022 no solo hacer, sino también recuperar nuestro derecho a imaginar.

Inteligencia artificial 2021: desarrollos importantes en el marco legal internacional

Versão em português disponível

Gran parte de lo que se discute sobre inteligencia artificial (IA) nos remite a películas y libros de ciencia ficción. Robots muy humanoides y brillantes están en las fotos de muchas páginas que hablan de este tipo de tecnología. Daniel Leufer señala este y otros mitos en el uso y discusión de la IA en un sitio web que vale la pena revisar. A este mito de la representación se suma una definición muy amplia, que serían tecnologías dotadas de súper inteligencia, cuyo uso puede ser objetivo, sin prejuicios y que no podrían resolver nada más que un montón de cosas.

Pero lejos de estar cerca de los robots como en las películas de Steven Spielberg o en las protagonizadas por Will Smith, muchas partes de nuestras vidas ya se ven afectadas por el uso de la IA: ya sea por su uso por parte del Estado para llevar a cabo las más variadas tareas y en su toma de decisiones, o incluso por empresas.

Dos elementos del mito de la «gobernanza de la IA» nos llevan a algunas preguntas. Es cierto que muchos países de América Latina, como Colombia, Chile, Brasil y Uruguay, ya están regulando estrategias nacionales para hacer frente a la IA, además de intentar aprobar proyectos de ley específicos sobre regulación, como estamos viendo en las discusiones actuales.

En el caso de Brasil, el proyecto de ley 21/2020 ha recibido una serie de críticas mordaces, como la de Coalizão Direitos na Rede en esta semana, por su aprobación en la Cámara de Diputados sin una discusión efectiva con la sociedad, que implican un debilitamiento de las garantías existentes. En Europa, las discusiones también son candentes y la sociedad civil organizada está pidiendo una Ley de Inteligencia Artificial (EIA) que dé prioridad a los derechos fundamentales.

Esta semana, se lanzó el “Índice global de inteligencia artificial responsable”, un proyecto de Research ICT Africa y la Red Data 4 Development. Este índice tiene como objetivo rastrear la implementación de los principios de IA responsable en más de 120 países, a través de una red internacional de equipos de investigación independientes, para evaluar en qué grado se están aplicando los principios. El nombre del evento de lanzamiento transmite el deseo de gran parte de la sociedad: pasar de los principios a la práctica, ante tantos potenciales riesgos y violaciones de los derechos humanos.

Aquí, queremos analizar los nuevos desarrollos en el tema de la regulación de la IA dentro de los organismos internacionales, a los que se agregaron, por ejemplo, los principios de la OCDE sobre IA, que habían sido aprobados en 2019.

Impactos negativos y catastróficos, con graves riesgos para la privacidad y exigiendo acciones urgentes

Michelle Bachelet, Alta Comisionada de las Naciones Unidas para los Derechos Humanos, publicó recientemente un importante informe sobre los graves riesgos para la privacidad derivados del uso de herramientas de IA (A/HRC/48/31).

Según Bachelet, la creación de perfiles, la toma de decisiones automatizadas y las tecnologías de aprendizaje automático (machine learning) tienen impacto en el derecho a la privacidad y varios otros derechos que asociados, en al menos cuatro sectores específicos. Para los sectores de aplicación de la ley —seguridad nacional, justicia penal y gestión de fronteras— las implicaciones son múltiples. Por mencionar algunas: amplias bases de datos que dañan o restringen la privacidad, alta probabilidad de predicción para búsquedas, investigaciones y enjuiciamientos penales, sumado a una alta opacidad de los sistemas que impiden la verdadera rendición de cuentas del Estado en áreas que históricamente han sufrido de falta de transparencia.

El uso de la IA en el reconocimiento biométrico remoto (reconocimiento facial y de emociones) también es severamente criticado por el informe, ya que perjudica “la capacidad de las personas para vivir sus vidas sin ser observadas y tiene como resultado un efecto negativo directo en el ejercicio de los derechos a la libertad de expresión, reunión pacífica y asociación, así como libertad de circulación”.

El informe había sido solicitado por la ONU en 2015, en la Resolución 42/15, y se basó en una reunión con expertos en mayo de 2020, así como los aportes recibidos de una convocatoria específica para tal fin en 2021. Analiza el tema principalmente con base en el artículo 12 Declaración Universal de Derechos Humanos y en el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (ICCPR).

Bachelet señala que el riesgo de discriminación derivado del uso de decisiones basadas en inteligencia artificial es muy alto. Enumera posibles enfoques para hacer frente a los desafíos, haciendo una serie de recomendaciones sobre el diseño y la implementación de salvaguardas para prevenir y minimizar los daños. Si bien las áreas de salud, educación, vivienda y servicios financieros necesitan un mayor escrutinio, según el informe, el área de identificación biométrica necesita con urgencia orientación para defender los derechos humanos.

Dos de las nueve recomendaciones de Bachelet a los Estados son muy significativas. En primer lugar, trata de prohibir expresamente las aplicaciones de IA que no respeten los derechos humanos. Asimismo, impone una moratoria en la venta y compra de sistemas de IA que representan un alto riesgo para los derechos humanos hasta que se adopten las protecciones adecuadas.

La segunda recomendación implica que los Estados prorroguen el uso del reconocimiento biométrico remoto en los espacios públicos, hasta que las autoridades puedan demostrar el cumplimiento de los estándares de privacidad, protección de datos y que no existen problemas de precisión e impactos discriminatorios. Es interesante notar que este tema de la moratoria del reconocimiento facial ya ha sido expresada en la narrativa 2020 producida por Bachelet sobre el impacto de las nuevas tecnologías en la promoción y protección de los derechos humanos en el contexto de las asambleas, incluidas las protestas pacíficas (A/HRC/44/24).

Las recomendaciones para empresas y Estados enfatizan la necesidad de la debida diligencia en todo el ciclo de los sistemas de IA, desde el diseño, desarrollo, implementación, venta, adquisición y operación, con un fuerte enfoque en las evaluaciones de impacto sobre los derechos humanos.

Impacto en la privacidad, vigilancia masiva y otros derechos humanos

En octubre de este año, el Consejo de Derechos Humanos de la ONU revisó la Resolución sobre el derecho a la privacidad en la era digital (A/HRC/RES/48/4). Este es un paso importante, considerando que no solo actualizó, sino que también dejó en claro los riesgos y peligros de adoptar IA. El nuevo texto fue presentado por Brasil y Alemania, tuvo una serie de reuniones informales entre Estados con la participación de la sociedad civil y fue aprobado por consenso. Si bien la revisión de la Resolución no fue más incisiva, no hay duda de que la resolución exige mayores esfuerzos a los Estados, principalmente, a respetar de inmediato el derecho a la privacidad y otros derechos humanos afectados.

La Resolución 48/4 reconoció que la IA puede plantear graves riesgos para el derecho a la privacidad, «especialmente cuando se utiliza para identificación, seguimiento, creación de perfiles, reconocimiento facial, predicción de comportamiento y para establecer puntuaciones para individuos». También solicita a los Estados que adopten medidas preventivas y remedios para las violaciones y abusos del derecho a la privacidad, comprendido el deber de adoptar medidas preventivas y reparadoras para las violaciones y abusos, incluidos los relacionados con el derecho a la privacidad, que pueden afectar a las personas, pero que tiene efectos particulares contra mujeres, niños y niñas, y personas en situación históricamente vulneradas. También enfatiza en que los Estados desarrollen y fortalezcan políticas públicas sensibles al género que promuevan y protejan el derecho de todas las personas a la privacidad.

Había una gran expectativa respecto a que esta resolución dejaría algunas cuestiones mejor delimitadas, sobre todo debido a la fuerte posición de la Alta Comisionada para los Derechos Humanos al proponer una moratoria sobre ciertas tecnologías de reconocimiento biométrico y facial. En particular, por la recomendación más fuerte para que los Estados cumplan con la moratoria en la compra y venta de sistemas de IA.

No obstante, entendemos que aún habrá novedades de esta resolución, dado que ordenó a la Alta Comisionada para los Derechos Humanos a presentar un informe escrito, hacia el 51° período de sesiones del Consejo de Derechos Humanos. Se espera que informe contemple las tendencias y desafíos en el tema, identificar y aclarar principios, salvaguardas y mejores prácticas de derechos humanos, asegurando una amplia participación de múltiples partes interesadas para su producción.

Aproximación a las recomendaciones éticas en IA

El 24 de noviembre de este año, la Conferencia General de la UNESCO adoptó la recomendación sobre la Ética de la Inteligencia Artificial. El documento, avalado por 193 países, presenta un preámbulo con más de 20 consideraciones, definiendo su ámbito de aplicación, propósitos, objetivos, valores, principios y áreas de aplicación.

Como valores, la recomendación de la UNESCO enumera: el respeto, la protección y la promoción de los derechos humanos, las libertades fundamentales y la dignidad humana, el florecimiento del medio ambiente y el ecosistema, la diversidad y la inclusión, sociedades pacíficas, justas e interconectadas. Los principios rectores son: proporcionalidad y no causar daño, seguridad y protección, justicia y no discriminación, sostenibilidad, derecho a la privacidad y protección de datos, supervisión y determinación humana, transparencia y explicabilidad, responsabilidad y rendición de cuentas, conciencia y alfabetización, además de gobernanza de múltiples partes interesadas.

Además, la Recomendación reúne 11 áreas principales de política pública y, entre ellas, una específica sobre evaluación de impacto ético (ethical impact assessment). A pesar de parecer un avance, entendemos que este punto puede ser preocupante y necesita mayor explicación. Primero, porque la evaluación de impacto ético antes mencionada tiene como uno de sus elementos la evaluación de impacto en derechos humanos. En este sentido, existe una posible superposición errónea de las dos herramientas, ya que la evaluación de los impactos sobre los derechos humanos es más amplia y profunda que la evaluación del impacto ético.

En segundo lugar, porque la herramienta de evaluación del impacto en los derechos humanos y la diligencia debida en materia de derechos humanos ya están presentes en los instrumentos jurídicos internacionales y “se han convertido en la herramienta más recomendada de la ONU para que las empresas comiencen el proceso continuo de debida diligencia en materia de derechos humanos”, según CELE, mientras que las directrices éticas carecen de «mecanismos de aplicación y definición: qué instituciones invocan y cómo empoderan a las personas», como sostiene la organización Artículo 19.

Aunque se trata de un gran comienzo, no basta con establecer recomendaciones éticas para el uso de tecnologías de IA. Como ya lo destacó María Paz Canales, “la ética no es suficiente, en Estados democráticos donde existe un compromiso normativo para promover y proteger los derechos humanos”. Es necesario darle más normatividad al uso de la IA, pues ya tiene efectos desastrosos para una parte de la población que ya es vulnerable.

Como señaló Daniel Leufer, citado al comienzo de este artículo, a pesar del auge de la ética de la IA cuando nos enfrentamos a peligros muy graves, un equilibrio entre beneficios y daños puede llevar a cuestionar un enfoque utilitario de la ética. Sin embargo, un enfoque centrado en los derechos humanos simplemente comienza con el punto de partida de que ciertos daños son inaceptables.

Si bien la recomendación de UNESCO proporciona un importante marco ético compuesto por valores y principios, debe entenderse como un complemento a las obligaciones internacionales de derechos humanos para orientar las acciones de los Estados en la formulación de su legislación, políticas u otros instrumentos relacionados con la IA, en conformidad con el derecho internacional ya vigente.

Cuerpos y datos: Las tecnologías de identificación biométrica aumentan en América Latina

Si has caminado por el centro de Santiago de Chile durante los últimos meses, probablemente los has visto afuera de algún centro comercial, a la entrada de un parque o frente a un semáforo concurrido: dos personas con una esfera metálica, ofreciéndote dinero a cambio de una imagen de tu ojo. O algo así. El dinero no es dinero per se, sino el equivalente a 20 USD en Worldcoin, una criptomoneda. Y la imagen de tu ojo no es una simple imagen de tu ojo, sino un escaneo de tu iris, dato biométrico utilizado para identificarte. Todo con un aire a pacto faustiano muy de película sci-fi de bajo presupuesto. El propio Edward Snowden salió a criticar la iniciativa, que en Chile contabiliza alrededor de 10 mil inscritos. 10 mil iris escaneados.

Una cifra como esa es preocupante y un poco desmoralizante, la verdad. Pero a pesar de ello, comprensible: en un país con una ley de protección de datos personales del siglo pasado, donde el cliché de los-datos-son-el-nuevo-petróleo se repite como mantra, pero donde no se hace nada al respecto (al menos, para proteger mejor esos datos) y donde la información personal parece pasar de un lado a otro con absoluta promiscuidad, no es raro que para algunas personas entregar el iris a cambio de una cantidad potencial de dinero, por poco que sea, no es la gran cosa.

Y, sin embargo, debería ser una gran cosa. Más allá de lo anecdótico del caso, la creciente normalización del uso, recolección y exigencia de datos biométricos es una tendencia preocupante. De muestra un ejemplo: esta semana nos enteramos de que una administradora de fondos de pensión (AFP) está exigiendo validar la identidad de sus clientes a través de biometría facial. La excusa es siempre la misma: seguridad. ¿Pero la seguridad de quién? Saber que mis datos sensibles, relativos a mi cuerpo, están siendo almacenados y procesados quién sabe dónde, bajo quién sabe qué condiciones, por quién sabe quién, no me transmite ninguna seguridad. Al contrario, me da escalofríos.

Si una empresa dedicada a la gestión de dinero no es capaz de encontrar otras maneras de asegurar la recaudación que no impliquen generar y almacenar un modelo algorítmico de mi rostro, quizás a esa empresa no debería confiársele tal tarea. Porque el día de mañana, cuando esa base de datos se filtre, no hay nada que puedan hacer para devolverme el control sobre mi cara. Ese es el gran tema con los datos biométricos: una vez entregados, no hay vuelta atrás.

En la práctica, la identificación biométrica requiere ceder control sobre el propio cuerpo.

Reconocimiento facial

Cualquier discusión sobre identificación biométrica quedaría incompleta sin hablar de reconocimiento facial. Recientemente, las organizaciones reunidas en el consorcio Al Sur publicaron “Reconocimiento facial en América Latina: tendencias en la implementación de una tecnología perversa”, una investigación colectiva que identifica 38 sistemas de reconocimiento facial desarrollados en la región, al alero de distintas políticas públicas.

Alguna de la información recopilada, aunque poco sorprendente, constata sospechas fundadas: el número de sistemas de reconocimiento facial se ha incrementado de manera importante durante los últimos años, su finalidad principal es la vigilancia del espacio público y los procesos de auditorías externas para fiscalizar el funcionamiento de los sistemas casi no está considerando en ninguna parte, ni hablar de estudios de impacto en derechos humanos. Tampoco sorprende la dificultad para acceder a información básica respecto a las tecnologías utilizadas y sus proveedores, que ha sido la tónica en la mayoría de los esfuerzos realizados en la región a la hora de lidiar con este tipo de políticas públicas. Por ello es destacable el esfuerzo por recopilar información sobre proveedores y los países en los que operan. Una cuestión llamativa es una tendencia a la adopción de tecnologías por medio de donaciones, característica de algunas empresas chinas.

Pero más allá de la información recogida en el estudio (disponible además en un sitio web especialmente dispuesto para ello, que pueden visitar aquí), llama la atención cómo la región parece ir a contrapelo de la tendencia mundial, donde se parece haber alcanzado algún consenso respecto de la necesidad de tomar medidas contra este tipo de tecnologías, al menos hasta tener mayor certeza de sus efectos negativos y cómo sopesarlos desde una perspectiva de derechos humanos. Pero a pesar de la declaración de la Alta Comisionada de la ONU para los Derechos Humanos, las distintas localidades que han impuesto moratorias o prohibiciones de utilizar sistemas de reconocimiento facial hasta incluso el anuncio de Facebook de dejar de utilizar el sistema de reconocimiento facial en su plataforma, parece ser que esas noticias no han llegado a los oídos de los tomadores de decisiones en América Latina.

La pregunta es qué es lo que se requiere para poder hacer entender tanto a las autoridades como a la población en general sobre la necesidad de tomarnos este asunto en serio, cuando parece haber conciencia de los riesgos, existe experiencia internacional relevante, declaraciones de organismos internacionales y, sin embargo, la región parece un campo cada vez más fértil para la implementación de este tecnologías de identificación biométrica para cualquier cosa.