Periodismo y vigilancia en México: sin garantías para la libertad de expresión

El 29 de octubre, la aplicación de mensajería WhatsApp, propiedad de Facebook, tomó acciones legales contra NSO Group, la empresa de tecnología de vigilancia que desarrolló el malware espía “Pegasus” aquirido por el Gobierno mexicano, cuyo uso ha sido estudiado y denunciado desde 2016 por ONGs nacionales como R3D, SocialTIC y Artículo 19, en el caso conocido como #GobienoEspía.

En mayo de este año, el equipo de seguridad de WhatsApp detectó una falla en la aplicación, que permitía inyectar spyware comercial en celulares mediante una simple llamada. Junto con desarrollar una solución al problema, se realizó una investigación que concluyó que la vulnerabilidad había había sido explotada por NSO Group, que también utiliza el nombre Q Cyber Technologies.

La preocupante novedad que plantea esta forma de ataque es que, al ejecutarse mediante un llamado, no requiere que la víctima habilite la instalación del software malicioso pinchando algún hipervínculo, lo que dificulta la obtención de evidencia y la toma de medidas precautorias para evitar, documentar y denunciar intentos de infección.

Más de 1400 casos fueron identificados y al menos 100 contra defensores de derechos humanos. En México, un número importante de infecciones ocurrieron durante abril y mayo de 2019, coincidiendo con las revelación del caso de Griselda Triana, viuda del periodista Javier Valdez y víctima del espionaje a manos de agentes estatales, pues según NSO Group, solo venden sus productos a gobiernos.

Vigilancia como violencia

Actualmente, México es el país más peligroso del mundo para ejercer el periodismo, lo que naturalmente pone en riesgo la salud de la libertad de expresión y, con ello, de la democracia misma del país: incapaz para garantizar la seguridad de sus periodistas y, consecuentemente, incapaz de garantizar el bienestar y la autonomía de sus habitantes.La violencia contra las y los periodistas, que entre otras formas se expresa mediante el abuso de la tecnología de vigilancia por parte del gobierno mexicano, escala gracias al clima de impunidad que hace oídos sordos frente a las denuncias realizadas por comunicadoras, activistas y personas defensoras de derechos humanos, algunas de las cuales han perdido la vida o han tenido que migrar para preservarla.

Llama la atención de que, a pesar de los logros recientes de las ONGs que han presentado denuncias a NSO Group en cortes internacionales, la respuesta por parte del Gobierno no es más que una serie de promesas, vacías que denotan un claro desconocimiento entre quienes lideran el país sobre los abuso de las tecnologías en México.

Por otro lado, lejos de perseguir los abusos tecnológicamente posibilitados, la milicia nacional parece premiar a sus responsables con ascensos laborales. La misma milicia que hoy participa de la implementación de la Guardia Nacional, una estrategia para militarizar las calles del país como respuesta a la presencia del narcotráfico y que en su más reciente muestra de poder mostró ser completamente ineficiente.

Esto pareciera indicar que, mientras el presidente declara que su administración no participa en el uso ilegítimo de las tecnologías y anuncia “compromisos”, hay personas con poder actuando desde diferentes instancias estatales para tomar ventaja de los puntos ciegos de una administración fuertemente criticada por su falta de un liderazgo estratégico, incapaz de conocer y controlar el alcance de las acciones que sus subordinados realizan con el poder que se les otorgado para “preservar la seguridad en el país”. Tal vez el problema acá sea que nadie les ha aclarado que no se trata de su seguridad propia, sino de la seguridad de la mayoría: quienes necesitan del periodismo libre para producir decisiones informadas y tener los elementos necesarios para cuestionar al Estado y sus representantes cuando no cumplan sus obligaciones fundamentales.

Lo que queda pendiente

Desde 2016 la participación de organizaciones no gubernamentales nacionales e internacionales para frenar el abuso de la tecnología se ha articulado en redes para presentar casos e informes conjuntos, con el fin de denunciar los abusos que diferentes gobiernos hacen de las tecnologías para vigilar a quienes expresan posturas críticas a sus administraciones. Los esfuerzos articulados de personas con experiencia legal, en comunicaciones, en activismo, en defensa de derechos humanos y con trayectorias multidisciplinarias en América Latina y México han sido potentes y constantes.

Hace falta que gobiernos, como el mexicano, asuman la participación en espacios de diálogo que permitan articular las experiencias y trayectorias de estos grupos a las propuestas administrativas y de desarrollo en las que quieran involucrar despliegues masivos de tecnologías, que se plasmen en acciones claras y concretas. Las declaraciones y compromisos realizados por el presidente se vuelven palabras vacías si no existen políticas públicas que las respalden. Es la única forma de defender la democracia participativa en el país, pero también asegurar que los derechos humanos sean preservados y contemplados dentro de las estrategias de seguridad nacional.

Vigilancia, control social e inequidad: la tecnología refuerza vulnerabilidades estructurales en América Latina

Mientras la brecha entre ricos y pobres se incrementa en el mundo, América Latina sigue siendo la región donde la riqueza se distribuye de forma más desigual. Según la Comisión Económica para América Latina y el Caribe (CEPAL), existen marcados desequilibrios entre los distintos niveles socioeconómicos en aspectos como la esperanza de vida, la mortalidad infantil, la tasa de analfabetismo y el acceso a agua al interior de las viviendas. Así, la altísima inequidad que asola al continente influye directamente en el bienestar de sus habitantes, sus posibilidades de desarrollo y en el ejercicio de sus derechos fundamentales.

La implementación de programas que condicionan el acceso a servicios básicos a la vigilancia estatal y privada ejemplifican de manera clara no solamente el hecho de que las tecnologías no son neutras, sino que impactan de forma diferenciada a distintos grupos humanos, de acuerdo a su género, al color de su piel y a su clase social.

Aprovechándose de las deficiencias de nuestros sistemas legales y explotando sus áreas grises, la industria ha impulsado agresivamente un tecnosolucionismo chauvinista, abrazado irresponsablemente por una clase política con ganas de figurar a la sombra de una idea tristemente reducida de progreso. Así, el negocio se transforma en la promesa de un beneficio acotado, que se consigue a costa de los derechos de quienes no tienen más opción que someterse al escrutinio constante, a la vigilancia, al control, a la discriminación. Hablar de desigualdad en América Latina es hablar de la ponderación que se hace entre los derechos de quienes pueden acceder a otras posibilidades y quienes no.

La inequidad se esconde hoy tras una serie de muletillas de significado impreciso – big data, decisiones algorítmicas, inteligencia artificial – que en nombre de la eficiencia intentan naturalizar los sesgos bajo los cuales operan, haciendo inescrutables los sistemas que los procesan y la forma en que son usados para regular el acceso a programas sociales, el uso del transporte público o la asistencia a eventos populares.

Ejemplos no faltan. En Argentina, la provincia de Salta firmó en 2017 un acuerdo con Microsoft para utilizar inteligencia artificial en la prevención del embarazo adolescente y la deserción escolar. Según la empresa, a partir de datos recolectados por medio de encuestas a sectores vulnerables de la sociedad “los algoritmos inteligentes permiten identificar características en las personas que podrían derivar en alguno de estos problemas y advierten al gobierno para que puedan trabajar en la prevención de los mismos”. Los datos recabados son procesados por servidores de Microsoft distribuidos alrededor del mundo y el resultado de ese procesamiento apunta específicamente a las adolescentes identificadas como personas bajo riesgo, afectando no solamente su privacidad, sino también su autonomía y generando amplio potencial de discriminación. Se trata, finalmente, de un mecanismo dirigido de control sobre personas en situación de vulnerabilidad que son expuestas a intervenciones sin su consentimiento, reforzando la vulnerabilidad de las personas que son privadas incluso de la posibilidad para decidir sobre esas intervenciones.

Aunque se argumente que los datos utilizados para la proyección son entregados voluntariamente, es cuestionable la idea de que las niñas y adolescentes afectadas por estas medidas –o sus responsables– puedan prestar un consentimiento activo y realmente consciente sobre las implicaciones de entregar información específica sobre sus hábitos sexuales y potencial embarazo. Cabe señalar que Salta fue la última provincia argentina que dejó de impartir educación religiosa en las escuelas públicas después de un fallo de la Corte Suprema, reconociendo la existencia de violaciones a los derechos a la igualdad y a la no discriminación, así como a la privacidad de los ciudadanos y ciudadanas. El uso tecnológico descrito no es sino expresión de problemas más amplios para comprender los ámbitos de autonomía y privacidad de las personas, con un propósito político.

En Brasil, el Ministerio de Ciudadanía firmó un acuerdo con el gobierno de Salta y Microsoft para implementar un programa similar. En este caso, además de la prevención del embarazo adolescente y la deserción escolar, se pretende anticipar cuestiones como la desnutrición y enfermedades en la primera infancia. El país sería el quinto en la región en compartir la experiencia argentina. Además de dudas sobre el consentimiento informado y el acceso del Estado a informaciones sensibles sobre poblaciones vulnerables, quedan sin respuesta algunas preguntas sobre qué otros usos u previsiones se pueden extraer de esos datos y cuáles los límites para su tratamiento por parte de Microsoft y los gobiernos involucrados en el programa.

Por su parte, Chile inició en 2019 la implantación piloto de una herramienta que busca detectar a niños, niñas y adolescentes en situación de riesgo. Según el Ministerio de Desarrollo Social y Familia, Alerta Niñez es un instrumento preventivo que “identifica el conjunto de condiciones individuales, familiares, del entorno y de los pares de los niños y niñas y adolescentes, que tienden a presentarse cuando existe un riesgo de vulneración de derechos de niños, niñas y adolescentes”. El sistema se basa en el procesamiento estadístico de grandes cantidades de datos provenientes de organismos públicos para calificar a la población menor de 18 años, ordenando a las personas según su probabilidad de sufrir vulneraciones.

Aunque en este caso el sistema haya sido desarrollado por una universidad privada local, nuevamente se trata de una iniciativa invasiva de recolección de datos sensibles de menores de edad que conlleva gran riesgo de profundizar situaciones de prejuicio y estigmatización hacia grupos históricamente vulnerables. Además, estos procesos implican la transferencia de datos personales a terceros y la posibilidad de que esos datos sean usados para fines distintos a los que permitieron su recolección; sin bases legales ni garantías de que la información generada no será utilizada a futuro con otros propósitos, como iniciativas de policiamiento predictivo por ejemplo.

Dado que cuestiones como embarazo adolescente, evasión escolar y desnutrición son problemas estructurales en la región, es extremadamente cuestionable que las políticas asociadas sean mediadas o condicionadas a la recolección de grandes cantidades de datos. Que no exista a su vez una preocupación por los derechos de niños, niñas y adolescentes, concordante con instrumentos vigentes en toda la región, da cuenta de un problema más profundo.

Vigilancia, control y exclusión

En Chile, la implementación de sistemas de identificación biométrica en el sistema nacional de salud preocupa por las posibles limitaciones que podría generar a poblaciones marginadas y empobrecidas -e incluso a personas mayores, por la pérdida de legibilidad en rasgos como las huellas digitales- para su acceso a servicios básicos de salud.

La implementación del llamado “Sistema Biométrico para la Seguridad Alimentaria” en Venezuela, a través del cual se exige a los ciudadanos la verificación de su identidad a través de la huella digital para adquirir productos categorizados como de “primera necesidad” (productos alimentarios, de higiene y medicinas), ha generado denuncias por discriminación hacia personas extranjeras -documentadas e indocumentadas- y personas transgénero. La situación es particularmente preocupante dada la situación de escasez de bienes esenciales y la crisis humanitaria que se agrava en el país, principalmente afectando los derechos a la alimentación y salud de las poblaciones más vulnerables.

En São Paulo se implementó hace dos años el uso de cámaras de reconocimiento facial en el sistema de transporte público, con la justificación de que ayudarían a evitar el fraude en el uso de beneficios sociales asociados al transporte, como descuentos a adultos mayores, estudiantes y personas con discapacidad. En estos dos años el sistema ha bloqueado más de 300 mil tarjetas supuestamente usadas indebidamente, o sea, no por sus titulares. Por otra parte, la municipalidad ha anunciado la suspensión total las tarjetas anónimas y ha implementado medidas para obligar el registro de las tarjetas con datos de identificación únicos y residenciales. Este tipo de medida puede impactar en el acceso de personas no registradas –como personas sin techo e inmigrantes– al servicio. En una ciudad de las dimensiones de São Paulo, las tarjetas que permiten la integración con descuento a distintos tipos de transporte son fundamentales para la locomoción de gran parte de la población al trabajo, escuela y actividades culturales. El bloqueo o imposibilidad de acceso a medios de transporte puede tener un gran impacto en la vida y el desarrollo de las personas.

Además de crear limitaciones al acceso a servicios públicos para grupos históricamente marginados de la población, los sistemas de identificación obligatoria y biométricos implican una “sobrevigilancia” hacia esos grupos. No se sabe cómo son utilizados, agregados y compartidos los datos recolectados de esos grupos, ni parece proporcional exigir un nivel tan alto de información para la entrega de beneficios limitados o condicionados. En el caso venezolano las bases de datos biométricas provienen del sistema electoral, para ser utilizadas tanto por operadores estatales -incluyendo funcionarios de migración y policías- como por cajeros de supermercados y farmacias, sin ningún tipo de requisito legal previo. En São Paulo, el gobierno municipal llegó a anunciar la venta de las bases de datos de las tarjetas utilizadas en el transporte pero, bajo presión pública y después de la aprobación de una ley de protección de datos en Brasil, cambió su posición.

No está demás reiterar que solamente se someten a esos sistemas a los usuarios de sistemas públicos de salud, asistencia social y transporte que, en general, no incluyen las élites locales que pueden prescindir de ellos y recurrir a prestadores privados; manteniendo mayor control sobre su información y preservando su privacidad.

Desigualdad, discriminación y pobreza

Que los mecanismos de vigilancia sean implementados de manera diferencial hacia los grupos más vulnerables no es novedad, esto remonta a procesos de control social y precarización que han estado en la base de la construcción de muchas de nuestras sociedades para asegurar tanto la dominancia de las clases sociales y económicas más privilegiadas como la explotación de los más vulnerables. Aún hoy, con las posibilidades ofrecidas por las tecnologías para optimizar la entrega de servicios de toda clase, vemos que esas tecnologías son usadas para mantener esa estructura social desigual. Con asistencia de la tecnología, la vulnerabilidad es castigada con vigilancia.

No tiene por qué ser así. La promesa de la tecnología es la mejora de nuestras vidas. Esa promesa debería ser transversal a toda la sociedad y no estar reservada para aquellas personas que puedan costear las mejoras, o que puedan pagar el precio de no tener que someterse a aplicaciones abusivas de la tecnología. Estos desarrollos y despliegues tecnológicos no deberían resultar en una nueva forma de discriminación que profundice otras desigualdades como un daño colateral que debemos asumir en favor de un supuesto bien mayoritario.

Una aproximación de derechos fundamentales con una comprensión interseccional de los distintos tipos de exclusiones que las tecnologías promueven y clausuran es la única manera de hacer frente a la desigualdad a la que millones de personas están siendo sometidas en el continente. Solo así, las nuevas tecnologías quizás puedan convertirse en un factor que ayude al cierre de las brechas que enfrentamos ahora.

Las apariencias engañan: falencias del reconocimiento facial y sesgo algorítmico

Según el antiguo cliché, el rostro es el espejo del alma. Algo por el estilo deben haber estado pensando los responsables en Unilever y otras compañías con sede en el Reino Unido, que han comenzado a utilizar un sistema de análisis de expresiones faciales en los procesos de selección de personal.

The Telegraph explica que el sistema compara los videos de las entrevistas de los postulantes con una base de datos que contiene información facial y lingüística de aquellos empleados que se desenvuelven bien en el trabajo. Según Nathan Mondragon – psicólogo jefe de Hirevue, la empresa estadounidense que provee el servicio – «Las expresiones faciales indican ciertas emociones, comportamientos y rasgos de personalidad».

Pero, ¿lo hacen realmente? La Association for Psychological Science quiso poner esta hipótesis a prueba y reunió a cinco expertos para intentar determinar cuánto de cierto había una idea arraigada en el sentido común, que la emoción puede determinarse de manera confiable mediante movimientos faciales externos. El resultado fue concluyente: no existe evidencia científica que respalde la noción de que el estado emocional de una persona se puede inferir fácilmente del modo en que mueve su rostro.

Esto, por una serie de razones: las mismas emociones no se expresan siempre de la misma manera, las mismas expresiones faciales pueden indicar distintas emociones y las características culturales y contextuales influyen en el modo en que las emociones son expresadas. Las emociones son complejas y no necesariamente obvias de comprender, incluso para quién las experimenta, mucho menos para un observador externo.

“Preferiría tener mi primera entrevista con un algoritmo que me trate justamente y no tener que depender de qué tan cansado esté el reclutador ese día”, argumenta Loren Larsen, director de tecnología de Hirevue, haciendo eco de aquella vieja idea de que las máquinas están libres de sesgos y, por tanto, son preferibles a los seres humanos. Pero como replica para el Telegraph Anna Cox, profesora de interacción humano-computadora en UCL, el sistema «va a favorecer a las personas que son buenas para hacer entrevistas en video y cualquier conjunto de datos tendrá prejuicios que excluirán a las personas que realmente habrían sido excelentes en el trabajo», eso sin mencionar sesgos de género, raza o etnicidad.

La búsqueda por una técnica que provea a la humanidad de un acceso directo a representar la realidad de forma objetiva es de larga data, e incluye la invención de la perspectiva en el renacimiento y la fotografía. Las técnicas algorítmicas y las “máquinas que ven” son la última adición a una lista larga. Y, sin embargo, se revelan tan dadas a los sesgos como cualquier otra.

Un ejercicio interesante al respecto lo realizaron hace pocos días Kate Crawford y Trevor Paglen, responsables de la exhibición “Training Humans”. Como parte de la muestra, pusieron en internet ImageNet Roulette, un sitio web temporal (y ya no disponible en línea) que ponía a disposición de cualquiera con una conexión a internet un algoritmo entrenado con la base de datos ImageNet, uno de los sets de entrenamiento más utilizados para el aprendizaje de máquinas: para enseñarle a un computador qué es un perro, se le muestran miles de imágenes de perros, hasta que aprende distinguirlos de aquello que no es un perro. Las imágenes son etiquetadas a mano por personas que imprimen sus propios sesgos al hacer la tarea. Esto no es particularmente problemático cuando estamos hablando de perros, pero sumamente complicado cuando se trata de personas, también incluidas en la base de datos.

Como pudieron comprobar quienes visitaron ImageNet Roulette, el modo en que sus selfies eran clasificadas incluía términos como “terrorista”, “mujerzuela” o “nonentity”, definido como “una persona sin poder”. Todo esto, simplemente a partir de sus rostros. «El proyecto busca llamar la atención sobre los daños reales que los sistemas de aprendizaje automático pueden perpetuar», explica Paglen.

América Latina

En nuestra región, los usos de sistema de reconocimiento facial han comenzado a expandirse rápidamente, principalmente para la vigilancia del espacio público asociada a actividades de seguridad. En Paraguay, un sistema de reconocimiento facial está funcionando desde julio de 2018 en Montevideo, envuelto en un manto de secretismo total: a pesar de los esfuerzos de Tedic por obtener información respecto a la ubicación y los usos del sistema, poco se sabe respecto al funcionamiento de este.

Cuestión similar ocurre en Buenos Aires, Argentina, que cuenta con un sistema de vigilancia por reconocimiento facial desde marzo de 2019. Se sabe que existen cerca de 200 cámaras equipadas con un sistema de reconocimiento facial en algunas estaciones de Subte y en la zona de trenes. Pero pese a los esfuerzos de ADC por conocer la ubicación de los dispositivos, la información ha sido negada por el Gobierno de la Ciudad, aduciendo razones de seguridad.

En México, los sistemas de reconocimiento facial son cada vez más comunes. Solo en 2019, el Gobierno del Estado de Coahuila ha instalado 1282 cámaras de vigilancia pública equipadas con tecnología de reconocimiento facial en las calles de diversas ciudades. Ya en 2018 se reportó el uso de esta tecnología en los accesos a la Feria Ganadera de Sinaloa y, recientemente, unidades de patrulla en la Ciudad de México se han equipado con tecnología de reconocimiento facial. En Brasil, Bolivia, Ecuador y Chile existen sistemas de reconocimiento facial o planes para su próxima instalación.

En general, el planteamiento es poder agilizar la búsqueda de prófugos de la justicia y poder identificar rápidamente a los delincuentes. Pero los resultados distan de ser los esperados. Recientemente, un hombre estuvo seis días preso por error en Buenos Aires, gracias al sistema de reconocimiento facial. En Chile, las pruebas realizadas por la policía a un sistema de reconocimiento facial implementado por una cadena de centros comerciales arrojaron una taza de error que ronda el 90 %.
Así, pareciera ser que las tecnologías de reconocimiento facial producen más problemas que los que son capaces de resolver, a la vez que las bases teóricas que sustentan sus supuestos beneficios se desmoronan ante la evidencia. En Estados Unidos, varias ciudades han prohibido completamente el uso de estas tecnologías. Quizás sea el momento de seguir su ejemplo.

Resultados del compromiso del Estado chileno con los Derechos Humanos: ¿Avanzamos?

El 4 de Julio se dieron a conocer los resultados del Examen Periódico Universal de Chile. Como hemos abordado en textos previos, esta evaluación no sólo abarcó los derechos humanos en sus aspectos más tradicionales, sino que también por primera vez organizaciones de la sociedad civil -coordinadas por Derechos Digitales- propusimos hacer una revisión más profunda del compromiso del Estado con el respeto de los derechos humanos en los entornos digitales, donde cotidianamente se encuentran inmersas las personas chilenas.

A través de dos reportes sombra -uno centrado en privacidad en el entorno digital y otro en los demás derechos-Derechos Digitales y otras organizaciones de la sociedad civil presentaron información para la evaluación del Estado chileno, con el fin de aportar información precisa sobre el estado de cumplimiento de sus obligaciones de derechos humanos en los entornos digitales en materias tales como: libertad de expresión y reunión pacífica, protección de datos personales, privacidad, violencia de género y el abuso de las tecnologías de vigilancia por parte de la fuerza pública.

Al ser publicada oficialmente las respuestas de Chile a las recomendaciones formuladas por diversos Estados,recibimos con satisfacción ver entre las recomendaciones aceptadas las siguientes, referidas al ejercicio de derechos en los entornos digitales:

125.88 Garantizar y promover los derechos a la libertad de expresión, la libertad de asociación y de reunión pacífica y la protección de los periodistas y los defensores de los derechos humanos, también en Internet (Islandia);
125.92 Aplicar políticas que faciliten la igualdad de acceso a la tecnología de la información y las comunicaciones, en particular para los pueblos indígenas, las poblaciones rurales y las mujeres (México);
125.108 Evaluar las tecnologías de vigilancia y recopilación de datos personales desde el punto de vista de los derechos humanos, en particular teniendo en cuenta el derecho a la intimidad y el principio de no discriminación (Perú);
125.109 Aprobar legislación concreta para proteger y promover los derechos humanos en el entorno digital, incluido el derecho a la intimidad (Brasil);
125.110 Reforzar su legislación para la protección de los datos de sus ciudadanos de conformidad con los principios del estado de derecho, la proporcionalidad y el respeto de la intimidad, en particular considerando la posibilidad de crear una autoridad de control independiente (Suiza);
125.166 Velar por que las mujeres puedan vivir una vida libre de violencia, incluso en contextos digitales, mediante una legislación apropiada, medidas preventivas, educación y recursos adecuados, incluidos servicios para las supervivientes (Canadá);
125.175 Examinar y revisar las leyes, políticas y reglamentos para hacer frente a la violencia contra la mujer, inclusive en contextos digitales, de conformidad con sus obligaciones internacionales en materia de derechos humanos (Islandia);

Lo anterior representa un gran logro, desde nuestra perspectiva, en el reconocimiento de compromisos pendientes en estas materias, de acuerdo a las obligaciones internacionales previamente asumidas por el Estado; esperamos que este reconocimiento se materialice en acciones concretas que se ejecuten y reflejen antes del próximo ciclo de revisión. Miraremos ávidos la materialización de los compromisos con las personas chilenas para un futuro digital donde se protejan sus derechos y su dignidad.

Desde Derechos Digitales celebramos que se abran espacios de diálogo y evaluación para mejorar la toma de decisiones y la producción de políticas públicas. Del mismo modo en que participamos en la propuesta de recomendaciones, seguiremos velando por la promoción de éstas para asegurar que en Chile se produzcan medidas para procurar la defensa de los derechos humanos a través de las tecnologías. Es importante recalcar que estas recomendaciones no tienen valor si no se ven reflejadas en acciones concretas por parte del Estado chileno para implementarlas y que éstas tengan un impacto que permita mejorar la calidad de vida de las personas en Chile.

En particular, celebramos que se tomen en cuenta recomendaciones que plantean mejorar las medidas para asegurar que las mujeres vivan libres de violencia en los entornos digitales, y esperamos ello pueda traducirse en acciones concretas de introducción de esta temática en las políticas públicas de la especie, así como en la formación de los operadores del sistema de justicia -policía, fiscales y jueces- para una adecuada respuesta a esta restricción de derechos que sufren las víctimas de violencia de género en línea. Del mismo modo, esperamos que se redoblen los esfuerzos para adecuar la protección de datos los datos personales; en forma consistente a estas recomendaciones y a la reciente reforma constitucional al respecto.

Ahora, las malas noticias: para nuestra sorpresa, entre las recomendaciones rechazadas se encuentra la realizada por el Estado Plurinacional de Bolivia para «Promover normas que cumplan con los principios de legalidad, necesidad y proporcionalidad en el uso de las comunicaciones y la tecnología, a fin de evitar la criminalización de las protestas sociales indígenas» (125.91).

Ante evidencia reciente del actuar del Estado chileno de forma ilegal en tristemente célebres casos como el denominado «Operación Huracán», al no ajustarse a los principios de proporcionalidad y pasar por encima del derechos fundamental a la privacidad, nos preocupa sobremanera que el Estado rechace una recomendación que precisamente se encamina a adoptar las previsiones legales y operativas que permitan evitar que los hechos documentados se repitan en el futuro. Se pierde una oportunidad clara para que el Estado impulse una evaluación interna crítica de su proceder, tanto desde una perspectiva de controles legales, como desde una perspectiva de compromiso político con el respeto a la libertad de expresión, la privacidad y la seguridad de las personas del pueblo Mapuche.

Sin embargo es de destacar que, a pesar de que la recomendación anteriormente señalada fue rechazada, se aprobó la recomendación 125.88 -hecha por Islandia- que justamente habla de la protección al derecho de libertad de expresión de periodistas y personas defensoras de derechos humanos en Internet. Con ello, esperamos el Estado implemente medidas concretas de control de su fuerza pública para evitar que la tecnología sea usada como medida de represión frente al flujo de información y defensa de derechos que proporcionan los comunicadores sociales y defensores de derechos humanos, incluyendo aquellos que trabajan de cerca por la protección y respeto de los pueblos indígenas.

En suma, la aceptación de estas recomendaciones, en conjunto, nos permite abrigar la esperanza de que el Estado se comprometa a tomar medidas que habiliten la puesta en marcha de políticas públicas que se alineen con la protección de la libertad de expresión, el derecho a la privacidad, la protección de datos y la promoción de entornos digitales libres de violencia hacia las mujeres.

¿Avanzamos? Sí, aunque no todo lo que quisiéramos. Ahora el Estado tiene cuatro años para demostrar su compromiso con el respeto de los derechos humanos en forma equivalente tanto on line como off line. Derechos Digitales continuará su trabajo de colaboración y observación de las políticas públicas para mantener este recordatorio constante: para que las personas chilenas puedan disfrutar de los beneficios de las tecnologías en sus vidas y no vean restringidos sus derechos por ellas.

¿Que acaso el cifrado no es mágico?

Arthur C. Clarke dijo alguna vez que cualquier tecnología lo suficientemente avanzada es totalmente indistinguible de la magia. Hoy, cuando el grado de sofisticación de los dispositivos que utilizamos cotidianamente los hace incomprensibles para la vasta mayoría de los usuarios, la línea entre ambas se ha vuelto más tenue que nunca. Por supuesto, esto no es más que la expresión de un deseo de omnipotencia mundana, alimentada por las efectivas campañas publicitarias de la industria dedicada a la venta de artefactos tecnológicos.

Una particular expresión de este fenómeno ocurrió esta semana, tras hacerse pública una vulnerabilidad de WhatsApp que posibilitaba un sofisticado ataque en el cual un teléfono celular podía ser infectado con el malware Pegasus tan solo con un llamado telefónico. Puedes leer los detalles acá y acá.

Pero lo «interesante» vino después: Bloomberg publicó una columna firmada por Leonid Bershidsky argumentando que el ataque demuestra que el cifrado de extremo a extremo implementado por WhatsApp es inútil, “un truco de marketing utilizado por compañías como Facebook para tranquilizar a los consumidores que desconfían de la cibervigilancia en una falsa sensación de seguridad”. La columna ha sido traducida y publicada en medios como 24 Horas y El Mostrador de Chile y Gestión de Perú.

Por su parte, la comunidad técnica se ha ensañado con el texto. Y con razón: Mike Masnick de Techdirt comparó la columna con un disparate antivacunas, “diciéndole a las personas que no se protejan”. Por su parte, Matthew Hughes en The Next Web decidió explicar de forma relativamente didáctica para qué sirve el cifrado de extremo a extremo: impide que alguien intercepte la comunicación, pudiendo acceder a su contenido y modificarlo, o que alguien pueda ganar control sobre las credenciales de seguridad de una cuenta; ninguna de las dos tiene relación con la naturaleza de la vulnerabilidad descubierta en WhatsApp ni el ataque que posibilitaba. Como explica Hughes, “es como argumentar que nunca deberías usar cinturón de seguridad porque no te van a proteger si tu auto se cae por un barranco”.

Lo interesante de la columna de Bershidsky es que en su total y absoluto despliegue de desconocimiento y mala argumentación, expone una idea equivocada, pero probablemente muchísimo más común de lo que debería ser: que la seguridad es una suerte de estado binario – seguro/inseguro- que puede alcanzarse gracias al uso de una herramienta específica, capaz de protegerme de todo mal. Lamentablemente eso es magia y está muchísimo más allá de las capacidades de la tecnología.

La seguridad -de cualquier tipo, no solo aquella relativa al uso de tecnología- es un espectro de posibilidades, donde la meta es reducir al máximo los riesgos, pero que nunca es capaz de eliminarlos por completo. En el caso particular de la seguridad digital, se trata de un terreno altamente dinámico y en constantemente actualización, donde el descubrimiento de nuevas vulnerabilidades es relativamente común. Una eficaz estrategia de seguridad involucra el desarrollo de prácticas seguras, junto al correcto uso de un set de herramientas acorde a un análisis de los potenciales riesgos y sus consecuencias.

Evidentemente, esto es muy difícil de hacer. Sin embargo, es necesario, particularmente para aquellas poblaciones e individuos en particularmente vulnerables: activistas, periodistas, defensores de derechos humanos. Y el primer paso es tomar conciencia respecto a las limitaciones de la tecnología y de nosotros como usuarias y usuarios.

Implementación del Convenio de Budapest en Chile: a tiempo para enmendar el rumbo

El pasado 15 de abril se cumplió el plazo para el ingreso de indicaciones en el proyecto de ley de delitos informáticos, que busca implementar las disposiciones del Convenio de Budapest en Chile. A través de este proceso, tanto el ejecutivo como los senadores ingresaron propuestas de modificación al proyecto. La buena noticia es que muchas de las inquietudes y propuestas de la sociedad civil, los académicos y la comunidad técnica fueron recogidas por los senadores (incluyendo las de Derechos Digitales). El ejecutivo presentó modificaciones menores -muchas de ellas positivas- pero mantuvo su posición en algunos de los aspectos más problemáticos del proyecto.

El martes 23, la Comisión de Seguridad del Senado retomó la discusión del proyecto, comenzando su votación en particular. Es decir, a discutir y votar cada una de las indicaciones con el fin de alcanzar un texto final.

El proyecto original utilizaba una terminología confusa y poco adecuada respecto a qué condiciones se tienen que cumplir para que alguien se considere culpable de cometer un delito informático. Se proponía castigar a quien “maliciosamente” o “indebidamente” cometiera algunos de los ilícitos descritos en el texto del proyecto. El primer término -utilizado por nuestra legislación actual- es excesivamente subjetivo, exigiendo una intencionalidad específica de cometer un daño, la que suele ser difícil de probar. El segundo es excesivamente amplio, siendo sinónimo de “sin permiso”, sin exigir que se haya obtenido o hecho un mal uso de la información, o se haya superado una barrera técnica.

Una de las principales recomendaciones de la sociedad civil y la academia fue reemplazar estos términos por aquellos utilizados por el propio Convenio de Budapest, el que exige que las conductas sean cometidas de forma “deliberada y ilegítima”. Esta recomendación fue recogida por varios senadores -entre ellos los senadores Pugh, Araya, Harboe e Insulza- y tiene la particularidad de cumplir con uno de los objetivos del Convenio de Budapest: establecer criterios comunes en la legislación de delitos informáticos a nivel internacional. Por otro lado, exigir que los delitos se cometan de forma deliberada e ilegitima asegura que no se castiguen conductas lícitas, castigándose sólo aquellas que se realicen de forma premeditada y sin un derecho que las ampare.

Avances en la tipificación del acceso informático ilícito

Estas distinciones jurídicas pueden parecer completamente abstractas y académicas, pero tienen un efecto concreto en cómo se podrán aplicar estos tipos penales a futuro. En una columna anterior, expliqué cómo la actual redacción del delito de acceso informático puede terminar criminalizando la legítima labor de consultores, expertos y técnicos en materia de ciberseguridad que se dedican a identificar y notificar vulnerabilidades o fallas en los sistemas informáticos.

El ejecutivo parece haber tomado nota de las recomendaciones hechas por los invitados a exponer en la Comisión y al menos incluyó uno de los elementos necesarios para subsanar este artículo; también propone, como requisito para el delito de acceso informático, que el infractor sea quien supere una barrera técnica. Este cambio es positivo, ya que la comisión de un delito informático necesariamente requiere la superación de una barrera de seguridad, de otra forma la señal que se está dando es que basta un incumplimiento de los términos y condiciones de un sistema o sitio para que se configure el delito de acceso informático ilícito.

Sin embargo, este tipo penal requiere de otras modificaciones, que afortunadamente fueron recogidas por los senadores. La ya comentada inclusión de los términos “de forma deliberada e ilegítima” es particularmente importante en este delito, debido a que los expertos informáticos que detectan y dan a conocer vulnerabilidades informáticas efectivamente vulneran barreras técnicas de seguridad; pero lo hacen de forma legítima, porque su objetivo no es conocer o apropiarse de la información contenida en ellos. Por ello, resulta acertado que se haya propuesto que la redacción del artículo exija que el acceso se realice con el ánimo de conocer, apropiarse o utilizar la información contenida en el sistema para ser un delito.

Los senadores Araya, Harboe e Insulza incluso fueron más allá: proponiendo una excepción específica para quienes realicen labores de investigación de seguridad informática, eximiéndolos de responsabilidad en la medida que notifiquen sin demora la vulnerabilidad al responsable del sistema. De reflejarse en el texto final del proyecto, la inclusión de estos requisitos y excepciones permitirían que este tipo penal sea aplicable sólo a los delincuentes informáticos que el proyecto busca perseguir y no a otros actores del ecosistema de la ciberseguridad.

Criminalización del cifrado

Otro de los aspectos negativos del proyecto de ley era que establecía como agravante de la comisión de un delito informático, el haber utilizado tecnología de cifrado para burlar la persecución de la justicia. Ya he comentado cómo esta norma es contraria al principio de no incriminación y que el hecho de que el cifrado de punto a punto se está transformando en un estándar de la industria haría que todos los delitos informáticos vinieran -por defecto- agravados.

La propuesta del ejecutivo para subsanar esta situación es mantener esta agravante, pero bajo un criterio de neutralidad tecnológica, agravando el uso de “tecnologías destinadas a destruir u ocultar en una investigación penal”. Si bien este es un avance, en la práctica todavía estaría criminalizando la utilización del cifrado. Por otro lado, esta agravante sigue siendo contraria al principio de no incriminación, ya que es natural que una persona que cometa un ilícito tome las medidas necesarias para no ser descubierta y perseguida.

Aumento de retención de metadatos: la gran batalla

En una acertada columna, el académico Pablo Contreras explica cómo la extensión del período de retención de metadatos propuesta por el proyecto de ley resulta desproporcionada, lesiva de derechos fundamentales y en la práctica busca legalizar lo propuesto por el infame Decreto Espía. Los distintos expertos, académicos y miembros de la sociedad civil que expusieron en la Comisión de Seguridad Ciudadana mostraron su oposición a este aumento de la capacidad de vigilancia del Estado. Sin embargo, el ejecutivo decidió mantener su posición de aumentar, tanto el período de retención de las comunicaciones de todos los chilenos -a dos años-, como el tipo de tráfico a almacenar, incluyendo información relativa a la ubicación de las personas.

Afortunadamente, la voz de los expertos fue recogida por gran parte de los senadores; quienes propusieron la eliminación o modificación de este artículo para mantener el período de retención en su plazo actual de un año. Esta modificación puede incluso transformarse en una oportunidad para modificar la expresión utilizada actualmente por el Código Penal, el que establece que los datos de tráficos serán almacenados por un período “no menor a un año”. Establecer un límite preciso y la obligación de eliminar la información de manera segura luego de cumplido el plazo se presenta como una mejora importante, e impide la existencia de recurrentes interpretaciones antojadizas a futuro.

Continúa la tramitación…

El hecho de que los senadores hayan ingresado indicaciones positivas no es garantía de que el proyecto de ley sea efectivamente modificado para subsanar todas sus deficiencias. Estas indicaciones todavía tienen que ser discutidas y votadas por la Comisión para alcanzar un texto final. El pasado martes la Comisión votó el artículo 1 (ataque sobre la integridad del sistema) y el artículo 3 (interceptación ilícita), que eran las normas menos polémicas del proyecto. La Comisión comenzó la discusión del artículo 2, sobre acceso informático, pero al no alcanzar un consenso solicitó la creación de un grupo de trabajo especial para destrabar la discusión.

Es de esperar que en las próximas semanas la Comisión retome la discusión y votación de las disposiciones particulares. Esperamos que en dicho diálogo primen las consideraciones técnicas y las recomendaciones otorgadas por los expertos. Las indicaciones presentadas por los senadores significan un avance importante para que le proyecto efectivamente busque promover la ciberseguridad en nuestro país y resultaría positivo que estas sean incorporadas al proyecto.

En este contexto, una coalición de expertos informáticos, académicos y miembros de la sociedad civil hizo llegar el martes pasado una carta abierta a la Comisión de Seguridad resumiendo los puntos clave que el proyecto debe modificar para proteger los derechos de las personas, promover la ciberseguridad y permitir el florecimiento de la industria de la seguridad informática en nuestro país.

Por una ley de delitos informáticos que promueva la ciberseguridad

En 2018 la ciberseguridad ocupó la portada de todos los grandes medios y se transformó en un tema prioritario para gobiernos y las empresas privadas. No podía ser de otra forma: a medida que la tecnología pasa a ser un componente crucial de nuestra economía, en nuestras comunicaciones y en casi todos los aspectos de nuestra vida cotidiana, se vuelve necesario que el entorno digital sea seguro.

En este contexto, la implementación de las disposiciones del Convenio de Budapest sobre ciberdelincuencia se presenta como una oportunidad para que Chile actualice su marco normativo y así enfrente de forma efectiva el fenómeno de la cibercriminalidad.

Lamentablemente, el proyecto de ley ingresado por el Ejecutivo — y que hoy se discute en la Comisión de Seguridad Pública del Senado — contiene disposiciones que, lejos de permitir que las personas y las empresas se desenvuelvan de forma más segura en el ciberespacio, podrían deteriorar la labor de quienes se dedican a la ciberseguridad en nuestro país.

Las personas abajo firmantes, académicos y profesionales, integrantes de la sociedad civil y expertos en ciberseguridad, hacemos un llamado al gobierno y a quienes conforman la Comisión de Seguridad Pública del Senado para subsanar los siguientes aspectos del proyecto:

Criminalización del pentesting: Esta práctica es fundamental para el ecosistema de la ciberseguridad, ya que otorga a consultores independientes la capacidad de probar la seguridad de los sistemas informáticos y reportar, de buena fe, eventuales vulnerabilidades a su administrador. En la versión actual del proyecto de ley, el delito de acceso informático exige que este se haya realizado de forma “indebida”, es decir, sin permiso. Esto abre la puerta para la criminalización de una actividad que no solo es lícita, sino que es esencial para permitir el diagnóstico y reporte de vulnerabilidades informáticas.
Utilización del cifrado como agravante penal: El proyecto establece que la responsabilidad penal se verá agravada cuando se utilice tecnología de cifrado para obstaculizar la labor de la justicia. Esta propuesta es técnicamente inconducente, ya que es una tendencia a nivel de industria y de estandarización a nivel mundial la implementación de tecnología de cifrado de punta a punta en sus productos. Por otro lado, el cifrado es un elemento esencial para fomentar la seguridad de las comunicaciones y transacciones. Tal como establece la Política Nacional de Ciberseguridad, es labor del Estado promover la tecnología de cifrado, no obstaculizar su uso.
Aumento del período de retención de metadatos: El proyecto aumenta de uno a dos años el período en que las empresas proveedoras de internet tendrán que almacenar datos de tráfico de sus usuarios, e incrementa la variedad de tipos de datos e informaciones a retener. Consideramos que esta obligación es desproporcionada y contraria al derecho a la privacidad de los ciudadanos, y expone innecesariamente información altamente sensible a ser objeto de filtración, ataques informáticos o uso no autorizado, volviendo a los usuarios más vulnerables.
Sobre la evidencia digital: Se plantea que los procedimientos de preservación y custodia se ajusten a lo que indique una persona (Fiscal Nacional), pero no hace referencia a que una entidad, como el Instituto Nacional de Normalización (INN) sea quien dicte los marcos referenciales para este tipo de procesos que son extremadamente delicados, ya que pueden constituir pruebas que permitirían la acusación penal de una persona. Actualmente existen normas internacionales que velan por el tratamiento de la evidencia digital de forma adecuada y que incluso la OEA promueve. No parece prudente que sea únicamente una persona quien dicte los procedimientos que se deben utilizar en informática forense como normativa legal.

Firmantes:

María Paz Canales, directora ejecutiva Derechos Digitales
Joshua Provoste, Investigador de Seguridad Informática
Alejandro Barros, Académico Asociado – Centro de Sistemas Públicos (U. de Chile)
Juan Anabalón, Presidente del Information Systems Security Association (ISSA Chile)
Pablo Contreras, Académicos Universidad Autónoma de Chile
Paulo Colomés F, Académico e Ingeniero de proyectos en NIS.CL
Leo Soto M., Consultor Lider para Banca y Pagos en Continuum.
Ignacio Parada Poblete, Presidente de MITI A.G. – Asociación Gremial Mejor Industria TI.
Claudio Álvarez Gómez, Académico Universidad de los Andes
Mauricio Castro, CTO Magnet SpA
Alma Negrete, Gerente General DevArtisan SpA
Tomás Vera, CINNO Zenta Group SpA
Luis Cruz, Managing Director en 2Brains
Gert Findel, Director Ejecutivo Acid Labs
Manuel Moreno, CEO GlobalSecure Academy
Manuel Suárez, Gerente General Synaptic
Javier Urrutia T, CEO coreDevX SpA

Puedes adherir firmas, a título institucional o personal, a través del siguiente formulario:

[ninja_forms id=37]

Contra la vigilancia masiva en los espacios públicos del «Sistema de televigilancia móvil»

Las organizaciones e individuos firmantes expresamos nuestra preocupación y rechazo por las medidas de vigilancia pública anunciadas por el gobierno de Chile.

El martes 18 de marzo de 2019, el presidente Sebastián Piñera puso en marcha el «Sistema de televigilancia móvil» en la Región Metropolitana, enmarcado en el plan “Calle Segura” y que mediante aeronaves no tripuladas (también conocidas como drones) vigilará el espacio público con el fin de combatir la delincuencia. Se trata de ocho drones dotados de cámaras de alta definición, con tecnología de reconocimiento facial y capacidad de grabar y transmitir las imágenes en tiempo real. El monitoreo se hará desde las oficinas de la Intendencia y se planea su extensión a todo el país en 2020.

[left]Este sistema viola derechos fundamentales y representa un retroceso significativo del Estado chileno en materia de derechos humanos.[/left]

Esta nueva política nacional instaura una tecnología de vigilancia masiva en el espacio público, con un nivel de intrusión y movilidad nunca antes vista en Chile, y es la expresión de un Estado que busca un mayor control social, vulnerando el principio de inocencia de nuestro sistema penal al someter a la población a la constante mirada vigilante y omnipresente de la policía, facilitada por la tecnología. Este sistema viola derechos fundamentales en una sociedad libre y democrática, y representa un retroceso significativo del Estado chileno en materia de derechos humanos.

Al respecto, nos parece importante señalar que:

El sistema es ilegal. No existe una habilitación legal expresa que autorice el reconocimiento de personas con fines de vigilancia[2] y tampoco existen anuncios de un proyecto de ley que lo habilite. Si para poner en funcionamiento los controles de identidad preventivos, el ejecutivo entiende que se requiere una habilitación legal expresa, por la limitación del ejercicio de garantías constitucionales que implican, del mismo modo debió prever que el desarrollo de una política basada en el despliegue de tecnologías de vigilancia altamente intrusiva necesita de un debate democrático previo en el Congreso, orientado a balancear la protección de los derechos fundamentales en juego. La falta de una legislación adecuada para la protección de datos personales y para la prevención de los abusos policiales -como los ocurridos en casos como Operación Huracán- agravan esta situación de ilegalidad y falta de mecanismos de control.

El sistema es inconstitucional. Al mantener a la sociedad vigilada en el espacio público, sujeta al escrutinio y registro constante, el sistema amenaza los derechos a la vida privada y a la protección de datos personales (Art. 19 nº 4), a la inviolabilidad del hogar (Art. 19 nº 5), a la libertad de movimiento (Art. 19 nº 7), a la libertad de reunión pacífica (Art. 19 nº 13) y a la igual protección de la ley en el ejercicio de derechos (Art. 19 nº 3). Al no existir autorización constitucional ni legal expresa, ni control judicial alguno, se afecta inconstitucionalmente la esencia de tales derechos, contraviniendo lo prescrito en el Art. 19 nº 26.

El sistema es ineficaz, ineficiente y propenso a errores. Incontables estudios, incluyendo la experiencia reciente en Chile,[4] dan cuenta de que el reconocimiento facial es altamente falible. Del mismo modo, no existe una correlación significativa entre el descenso de la criminalidad y la presencia de estos aparatos. Ni el sector oriente de Santiago ni la región de Antofagasta -donde, desde diciembre de 2018, ha operado el piloto de este programa- han mostrado cambios significativos en las tendencias de criminalidad.

El sistema facilita abusos de la autoridad. Los sistemas de reconocimiento facial han facilitado la institucionalización de sesgos asociados a la clase social y el color de la piel[6], y refuerzan prejuicios sociales, manteniendo sistemas de persecución criminal discriminatorios y basados en la sospecha del otro. El plan inicial cubre comunas de nivel socioeconómico predominantemente medio y bajo, con lo que amenaza reforzar discriminaciones existentes sobre la población menos privilegiada y su estigmatización.

El sistema carece de legitimidad. No existen estudios que avalen la necesidad ni la proporcionalidad de las medidas anunciadas. Tampoco existen estudios de impacto sobre derechos humanos que avalen las medidas, ni han existido mecanismos de participación pública en su formulación. La ausencia de autorización legal en la materia requiere de un debate democrático en el Congreso previo a la implementación de esta tecnología.

El sistema carece de mecanismos de transparencia y rendición de cuentas. La autoridad no ha informado qué tecnología se usa para el reconocimiento facial, cuáles pruebas de errores se han realizado y cuáles han sido sus resultados, ni cómo se hará esa evaluación en el futuro. Tampoco ha anunciado qué medidas técnicas y organizativas se adoptarán para resguardar la seguridad de la información recogida por las aeronaves, ni qué resguardos existen en caso de abuso por quienes operen la tecnología. Un ejercicio de función pública sin transparencia y rendición de cuentas es inaceptable.

En síntesis, el sistema de videovigilancia es contrario a los derechos humanos. Además de ser contrario a la ley y a la Constitución, el sistema desconoce las obligaciones adquiridas por el Estado chileno en el Pacto Internacional de Derechos Civiles y Políticos y la Convención Americana sobre Derechos Humanos. Ignora las recomendaciones de los Relatores Especiales para la Libertad de Expresión y para la Privacidad de la Organización de las Naciones Unidas, como también las de la Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos y las del Grupo de Trabajo de Protección de Datos de la Unión Europea (G29, Dictamen 3/2012) [7]. Incumple con principios de alto nivel y omite la opinión especializada sobre la materia.[8]

Recomendaciones

Las organizaciones e individuos firmantes instamos al gobierno de Chile a:

Detener el proceso de implementación de videovigilancia aérea mediante drones y poner fin al programa «Calle Segura» mientras no existan evaluaciones transparentes y abiertas, como también discusión pública sobre la necesidad, conveniencia y licitud de las medidas propuestas.
Ordenar la realización de análisis previos de impacto en derechos humanos de las propuestas sobre tecnología de vigilancia y seguridad pública, y evaluación periódica de sus resultados, en procedimientos transparentes, visados por expertos independientes.
Impulsar con urgencia la reforma a la normativa sobre protección de datos personales, incluyendo la formación de una autoridad pública de control, autónoma y con facultades amplias de fiscalización, intervención, interpretación y sanción, desde una perspectiva de protección de los derechos fundamentales. Del mismo modo, impulsar una reforma profunda a las instituciones policiales, que permitan un control democrático y la prevención de los múltiples abusos en el uso de tecnologías de vigilancia, para ceñirlas a los principios de legalidad, necesidad y proporcionalidad.

Suscriben:

Derechos Digitales · América Latina
Fundación Datos Protegidos
Amnistía Internacional – Chile
Centro de Derechos Humanos de la Universidad Diego Portales
Ciudadanía Inteligente
Observatorio Ciudadano
Corporación Fundamental
Centro de Investigación y Defensa Sur (CIDSUR)
Libertades Públicas
Fundación ProAcceso
Fundación Todo Mejora
Corporación Humanas
Acoso.Online
Fundación Multitudes
Presidencia FECh
Coordinadora Feminista 8M
Colectivo Disonancia
Observatorio de Género y Equidad
Frente Feminista Región Metropolitana de RD
Colectiva Hartas Mujeres
Mujeres en el Medio
Foro Ciudadano
Vaginas Ilustradas
Stgoverde
Brigada de Propaganda Feminista
Fundación CIAPE Educación y tecnologías
Programa Libertad de Expresión del Instituto de la Comunicación e Imagen de la Universidad de Chile
ONG Amaranta
Domingo Lovera, abogado y académico UDP.
Patricia Peña, académica, Coordinadora Diplomado en Comunicación Digital ICEI Universidad de Chile.
Paz Becerra, abogada.
Pablo Ortega Manosalva, abogado.
Sebastián Saavedra Cea, abogado.
Karina Riquelme Viveros, abogada.
Natividad LLanquileo Pilquiman, abogada.
Pamela Nahuelcheo Queupucura, abogada.
Marlenne Becker Marín, trabajadora social.
Cristopher Corvalán Rivera, abogado.
Eduardo Painevilo Maldonado, abogado.
Carolina Contreras Rivera, abogada.
Luis Cordero, abogado y profesor de derecho administrativo – Universidad de Chile.
María Jaraquemada, abogada.
Mauricio Duce, abogado y académico UDP.
Pedro Anguita, abogado.
Tomás Jordán Díaz, abogado y académico Universidad Alberto Hurtado.
Verónica Encina, abogada.
Carolina Barrera, abogada.
Victoria Ortega Escudero, abogada.
Bárbara Orellana Baltra, abogada.
Ricardo Cadet Herrera, abogado.
Iván Vidal Tamayo, abogado.
Humberto Lemarie Silva, abogado.
Francisco Vera Hott, abogado.
Iván Vidal Tamayo, abogado .
Lorerna B. Valderrama, académica Universidad Alberto Hurtado.
Carolina Gainza C., académica Universidad Diego Portales.
Helder Binimelis Espinoza, académico Universidad Católica de y miembro del Observatorio de Transparencia Regional de la Araucanía.
Juan Contreras Bustos, activista de derechos humanos.
Daniel Piña Rivera, analista programador.
Ignacio Astorga, animador digital.
Tamara Daniela Lazcano Domange, artista visual.
Mauricio Vargas Peralta, capitán Partido Pirata de Chile.
Ricardo Noerr, consultor informático.
Mauricio Yanchapaxi Jacho, consultor organizacional y de emprendimiento.
Roberto Muñoz, Director de innovación Ciencia360.
Sebastian Rodriguez, diseñador industrial.
Daniel Sanchez Urrutia, diseñador web.
Bastián Lisboa, estudiante
Vicente aguilar, estudiante
Juan Ignacio Ferrari, estudiante
Manuel Lainez.
Erwin Gonzalez, informático
Enrique Herrera Noya, informático
Freeman Sánchez, ingeniero en sistemas computacionales.
Luis Alfredo, ingeniero.
Francisco Ibáñez, ingeniero.
Claudio C, ingeniero.
Joshua Provoste, investigador de seguridad Informática.
Pamela Moragrega Vilches, periodista.
Daniel Jeria, periodista.
Marcela Ortiz Buijuy, periodista.
Facundo Ferreirós, profesor.
Matías Tapia Wende, profesor.
Diego Esteban Loyola Maureira, profesor.
Evelyn Acevedo Parra, profesora.
Pamela Zárate Martel, UX Strategist.
Carlos Oliva.
Alex Martinez .
Diego Melendez García.
Juan Claudio Ramirez Gomez.
Camila Hidalgo.
Simonne loyola.
Yañez Juan.
Oscar Fernández.
Alan Arellano.
Juan Correa Poblete.
Viviana Alvarez.

¿Quieres adherir a la declaración? Firma acá.

[1] «Presidente Piñera lanzó sistema de vigilancia con drones en la Región Metropolitana», https://www.gob.cl/noticias/presidente-pinera-lanzo-sistema-de-vigilancia-con-drones-en-la-region-metropolitana/

[2] Cordero Vega, L. (2015). Videovigilancia e intervervención administrativa: las cuestiones de legitimidad. Revista de Derecho Público, (70), pp. 359-376.

[3] Ley Nº 19.628 sobre protección de la vida privada, Art. 10.

[4] «[A]demás la PDI informó que entre mayo y junio pasado se realizaron pruebas al sistema, que concluyeron que el 90% de las identificaciones de rostro fueron falsos positivos (identificación de persona errónea)». «¿Dónde quedan las imágenes de reconocimiento facial de los malls?», Las Últimas Noticias, 14 de marzo de 2019, p. 10.

[5] «Subsecretaría de Prevención del Delito e Intendencia de Antofagasta implementan drones de vigilancia en la región», http://www.seguridadpublica.gov.cl/noticias/2018/12/14/subsecretaria-de-prevencion-del-delito-e-intendencia-de-antofagasta-implementan-drones-de-vigilancia-en-la-region/

[6] Propublica (2016). Machine Bias. https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing

[7] Opinion 3/2012 on developments in biometric technologies, Article 29 Data Protection Working Party https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf

[8] «Propuesta de estándares legales para la vigilancia en Chile», https://www.derechosdigitales.org/wp-content/uploads/propuesta-estandares-legales-vigilancia-chile.pdf

Medidores inteligentes: la invasión “smart” que llega hasta los hogares

La atención pública que en Chile recibió la renovación de los medidores de consumo de energía eléctrica por otros aparatos “inteligentes”, a pesar de estar centrada en el probable aumento del precio del servicio, trajo también preocupación y alarma por otros impactos en las personas. En particular, sobre las capacidades de estos aparatos para generar información de las usuarias de energía eléctrica, vulnerando su intimidad.

No es un problema nuevo: en Europa y en los Estados Unidos ha habido resistencia a la instalación de estos medidores, especialmente fundada en los riesgos sobre la privacidad. El escenario ha sido distinto en América Latina, donde además de Chile, países como Argentina, Brasil, Colombia, México y Perú llevan años de programas piloto y de planificación e implementación progresiva de smart grids, con medidores inteligentes, sin similar oposición. Pero a pesar de parecer una muestra más de un futuro inevitable, las preocupaciones invitan a revisar hacia dónde estamos avanzando.

[left] Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad.[/left]

El resguardo de los datos

La oposición en países como Francia u Holanda tenía pleno sentido. Que un medidor siga el comportamiento a intervalos de 15 minutos en principio podría apenas dar información sobre un consumo que sube y baja, tal como observar un medidor analógico en tiempo real. Pero el acceso a información así de detallada podría permitir inferir la clase de aparatos eléctricos que se utilizan en un hogar, detectando patrones de conducta y formulando perfiles a partir de los mismos. Es decir, información personal se produce, almacena y envía a las empresas de energía, de una forma en que antes no ocurría. Por cierto, las empresas siguen ceñidas a las obligaciones asociadas a la protección de datos personales.

En segundo lugar, esa información personal puede ser requerida por órganos de persecución criminal. A falta de regulación expresa en la materia, no es difícil pensar en requerimientos no sujetos a reglas de debido proceso; no obstante, la experiencia en los Estados Unidos da cuenta del resguardo constitucional, que en términos afines a los bloques constitucionales en buena parte de América Latina, haría exigible el control judicial ante el requerimiento de esa información.

En tercer lugar, esa información personal en principio sería conocida por las empresas de suministro de electricidad. Puesto que se envía información a distancia, es posible pensar en ataques maliciosos por parte de terceros, afectando la información que se transmite. En cuarto lugar, la capacidad remota de control sobre el suministro implica que tales ataques podrían dirigirse al suministro mismo.

Si bien en Chile el Anexo Técnico sujeto recientemente a consulta pública detallaba exigencias de seguridad que controlarían buena parte de los riesgos, el control de la correcta implementación de tales medidas constituye un nuevo ámbito de las funciones de la autoridad, vinculado a la seguridad digital, que requiere renovadas capacidades y recursos.

Smart metering para smart cities

El uso de medidores inteligentes no hace cambiar necesariamente el costo del servicio eléctrico. Lo que sí permite es un seguimiento, individual y agregado, de los momentos y días de mayor consumo, con el fin de controlar el consumo propio o de diseñar sistemas tarifarios diferenciados por horario, además de gestionar remotamente el suministro y su facturación, detectar hurtos de energía y hasta permitir la alimentación de la red (una vez convertida en smart grid) desde paneles solares. Junto con hacer más eficiente el sistema, permitiría un control sobre el consumo tendiente al ahorro energético.

En principio, suena moderno y flexible. Pero no precisamente como una necesidad para mejorar hábitos de consumo. Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad. Con ello, se apunta a la conversión del espacio urbano compartido en una smart city, con el consiguiente aumento de los riesgos de vigilancia, como de modelamiento del comportamiento, sin siquiera comenzar a abordar los serios problemas de desigualdad y de acceso a servicios que aquejan a ciudades que aspiran a ser “inteligentes”, como Santiago de Chile.

Modernización y derechos humanos

Aunque ni la modernización energética en general ni el recambio de medidores en particular son intrínsecamente negativos, no podemos ignorar los riesgos involucrados en procesos de modernización aislados de procesos más amplios de resguardo de los sistemas de información y comunicación, así como de protección de los intereses de las personas, consideradas tanto individual como colectivamente. Es siempre necesario contar con estudios del posible impacto sobre derechos humanos de los procesos de cambio tecnológico.

Lo que esperamos no es solamente un mejor sistema eléctrico, sino también un apropiado resguardo de los datos personales, de la ciberseguridad, e incluso del debido proceso cuando se requiera información de medidores. Del mismo modo, esperamos una regulación técnica acuciosa y una correcta implementación de la misma. Además, puesto que la seguridad de la información requiere atención continua, una fiscalización fuerte y un permanente reestudio de las condiciones de resguardo de la información almacenada y en tránsito. El costo de la modernización no puede ser el abandono de la seguridad de nuestra información.

¿Qué hay detrás de las recolecciones de datos y la vigilancia?

En el marco de la semana de la privacidad de datos, hacemos una reflexión a través del uso de tecnologías de vigilancia para recolectar masivamente datos biométricos. Estas aproximaciones a la tecnología como instrumento de control se han manifestado a través de distintos casos alrededor del mundo, sin embargo la búsqueda y sofisticación de herramientas que permiten a los gobiernos amedrentar, censurar y espiar a las personas es una constante que se manifiesta a pesar de las peculiaridades en los climas políticos de cada país.

Hace unos días, el diario norteamericano The Intercept publicó una nota sobre la conformación de bases de datos biométricas en las prisiones estadounidenses, mismas que están siendo alimentadas pasando sobre los derechos humanos de cientos de miles de convictos en las prisiones de Nueva York, Texas, Florida, Arkansas y Arizona; a quienes -de acuerdo al texto citado- se les ofrece “la opción” de participar en el robustecimiento del algoritmo de reconocimiento por voz o perder el acceso al uso del teléfono si decidían no hacerlo.

Al momento de que estas acciones fueron cuestionadas públicamente, la respuesta por parte de las autoridades de las prisiones versó sobre el impacto “positivo” que el uso de estas tecnologías produce para mejorar la seguridad y evitar fraudes, señalando que estos despliegues de tecnologías de reconocimiento para generar “voice prints” -o huellas de voz- han sido financiados en parte por un apoyo económico de 50 millones de dólares otorgado por el Departamento de Defensa para identificar las comunicaciones hechas por terroristas y presuntos criminales; sin embargo no hubo reparo ante las implicaciones en cuanto a los derechos humanos de las personas presidiarias que son sometidas a “participar voluntariamente” en la implementación de estas medidas.

Y este caso hace eco a incidentes anteriores en los que el consentimiento de las personas para recabar sus datos biométricos ha sido completamente borrado, apelando a un discurso que somete a las personas a ser constantemente vigiladas bajo el yugo de “el bien común” aludiendo a la seguridad como el fin último y convirtiendo a la privacidad en privilegio: arrebatándole la cualidad de derecho fundamental que la constituye.

Fuera del contexto del norte, podemos ubicar casos puntuales en América Latina donde: bases de datos personales han sido expuestas, se han reportado casos de espionaje gubernamental a activistas, se ha comprobado la vigilancia e interceptación de comunicaciones de personas disidentes, se han hecho despliegues de tecnologías de vigilancia en lugares públicos, se ha buscado obtener datos de menores de edad a través de programas de beneficio social y se controla el acceso a ciertas páginas de internet a través de bloqueos en la red.

Muchos de estos casos han sido abordados para exigir rendición de cuentas y denunciar abusos de poder a través de iniciativas de diversas organizaciones, logrando conseguir espacios en medios de alta difusión. A pesar del fuerte eco que parecen tener estas denuncias, estos casos se miran desde una distancia que aparenta no interferir en el día a día de quienes vivimos cada vez más rodeadas de mecanismos tecnológicos configurados para estar siempre atentos a las peticiones que hacemos al aire -cual genios de lámpara mágica- y nuestra necesidad de estar constantemente frente a pantallas que se desbloquean automáticamente al reconocer nuestros rostros o huellas.

De vuelta a las prisiones norteamericanas, algunos registros de voz son hechos sin el consetimiento de las personas presidiarias cuando éstas se comunican con sus familias, además estos registros permanecen en el poder del sistema penitenciario aún cuando sus condenas llegan a término… Y lo que más impacta es que en el indiscrimado uso de estas tecnologías para recabar datos, son también registradas las personas con las que han tenido contacto vía telefónica: sin ser notificadas, sin saber para qué fines son registrados sus datos, sin ser si quiera sujetos de sospecha e incluso cabría el caso de que algunas de esas personas registradas “por proximidad” sean menores de edad; como sucedió en el caso del hijo de la periodista Carmen Aristegui en México, quien se encontraba entre los objetivos del caso #GobiernoEspía.

Ante estas situaciones, cabe cuestionarnos y promover ejercicios de reflexión en torno a cómo tratamos nuestros datos y llevar esto un paso más allá: pensando cómo colectivamente facilitamos la creación de perfiles precisos de nosotros y quienes nos rodean, a partir de nuestra relación con los dispositivos que usamos a diario.

Una de las mejores formas de hacer frente a estos “despliegues de inteligencia” por parte de los Estados es justamente promover estrategias inteligentes para dotar a las personas de herramientas que les permitan proteger sus derechos y autonomía, fomentando la participación activa de las personas en discusiones y toma de decisiones en torno al tratamiento de datos personales, la vigilancia de comunicaciones y la protección de los derechos humanos.

En Derechos Digitales hemos creado diversos recursos para promover herramientas de anonimato, hemos realizado materiales y eventos de difusión en torno a la protección de datos en distintos países de América Latina y además promovemos la creación de políticas públicas que controlen las iniciativas estatales y protejan los derechos humanos en entornos digitales (entre ellos la protección de la privacidad y los datos personales).

Vivimos en un mundo en el que las posibilidades de la tecnología han avanzado más rápido que nuestra capacidad colectiva para diseñar políticas que impidan usos abusivos o prevengan todos los intereses que se hallan en usar la capacidad tecnológica en detrimento de los derechos fundamentales, sin embargo -a cierta distancia de las personas de las prisiones estadounidenses- aún podemos elegir usar diversas tecnologías sin pagar con nuestra privacidad o la integridad de nuestros datos: es tiempo de actuar, el futuro es ahora ¡Hagámoslo juntas!