Temática: Vigilancia

Implementación del Convenio de Budapest en Chile: a tiempo para enmendar el rumbo

El pasado 15 de abril se cumplió el plazo para el ingreso de indicaciones en el proyecto de ley de delitos informáticos, que busca implementar las disposiciones del Convenio de Budapest en Chile. A través de este proceso, tanto el ejecutivo como los senadores ingresaron propuestas de modificación al proyecto. La buena noticia es que muchas de las inquietudes y propuestas de la sociedad civil, los académicos y la comunidad técnica fueron recogidas por los senadores (incluyendo las de Derechos  Digitales). El ejecutivo presentó modificaciones menores -muchas de ellas positivas- pero mantuvo su posición en algunos de los aspectos más problemáticos del proyecto.

El martes 23, la Comisión de Seguridad del Senado retomó la discusión del proyecto, comenzando su votación en particular. Es decir, a discutir y votar cada una de las indicaciones con el fin de alcanzar un texto final.

El proyecto original utilizaba una terminología confusa y poco adecuada respecto a qué condiciones se tienen que cumplir para que alguien se considere culpable de cometer un delito informático. Se proponía castigar a quien “maliciosamente” o “indebidamente” cometiera algunos de los ilícitos descritos en el texto del proyecto. El primer término -utilizado por nuestra legislación actual- es excesivamente subjetivo, exigiendo una intencionalidad específica de cometer un daño, la que suele ser difícil de probar. El segundo es excesivamente amplio, siendo sinónimo de “sin permiso”, sin exigir que se haya obtenido o hecho un mal uso de la información, o se haya superado una barrera técnica.

Una de las principales recomendaciones de la sociedad civil y la academia fue reemplazar estos términos por aquellos utilizados por el propio Convenio de Budapest, el que exige que las conductas sean cometidas de forma “deliberada y ilegítima”. Esta recomendación fue recogida por varios senadores -entre ellos los senadores Pugh, Araya, Harboe e Insulza- y tiene la particularidad de cumplir con uno de los objetivos del Convenio de Budapest: establecer criterios comunes en la legislación de delitos informáticos a nivel internacional. Por otro lado, exigir que los delitos se cometan de forma deliberada e ilegitima asegura que no se castiguen conductas lícitas, castigándose sólo aquellas que se realicen de forma premeditada y sin un derecho que las ampare.

Avances en la tipificación del acceso informático ilícito

Estas distinciones jurídicas pueden parecer completamente abstractas y académicas, pero tienen un efecto concreto en cómo se podrán aplicar estos tipos penales a futuro. En una columna anterior, expliqué cómo la actual redacción del delito de acceso informático puede terminar criminalizando la legítima labor de consultores, expertos y técnicos en materia de ciberseguridad que se dedican a identificar y notificar vulnerabilidades o fallas en los sistemas informáticos.

El ejecutivo parece haber tomado nota de las recomendaciones hechas por los invitados a exponer en la Comisión y al menos incluyó uno de los elementos necesarios para subsanar este artículo; también propone, como requisito para el delito de acceso informático, que el infractor sea quien supere una barrera técnica. Este cambio es positivo, ya que la comisión de un delito informático necesariamente requiere la superación de una barrera de seguridad, de otra forma la señal que se está dando es que basta un incumplimiento de los términos y condiciones de un sistema o sitio para que se configure el delito de acceso informático ilícito.

Sin embargo, este tipo penal requiere de otras modificaciones, que afortunadamente fueron recogidas por los senadores. La ya comentada inclusión de los términos “de forma deliberada e ilegítima” es particularmente importante en este delito, debido a que los expertos informáticos que detectan y dan a conocer vulnerabilidades informáticas efectivamente vulneran barreras técnicas de seguridad; pero lo hacen de forma legítima, porque su objetivo no es conocer o apropiarse de la información contenida en ellos. Por ello, resulta acertado que se haya propuesto que la redacción del artículo exija que el acceso se realice con el ánimo de conocer, apropiarse o utilizar la información contenida en el sistema para ser un delito.

Los senadores Araya, Harboe e Insulza incluso fueron más allá: proponiendo una excepción específica para quienes realicen labores de investigación de seguridad informática, eximiéndolos de responsabilidad en la medida que notifiquen sin demora la vulnerabilidad al responsable del sistema. De reflejarse en el texto final del proyecto, la inclusión de estos requisitos y excepciones permitirían que este tipo penal sea aplicable sólo a los delincuentes informáticos que el proyecto busca perseguir y no a otros actores del ecosistema de la ciberseguridad.

Criminalización del cifrado

Otro de los aspectos negativos del proyecto de ley era que establecía como agravante de la comisión de un delito informático, el haber utilizado tecnología de cifrado para burlar la persecución de la justicia. Ya he comentado cómo esta norma es contraria al principio de no incriminación y que el hecho de que el cifrado de punto a punto se está transformando en un estándar de la industria haría que todos los delitos informáticos vinieran -por defecto- agravados.

La propuesta del ejecutivo para subsanar esta situación es mantener esta agravante, pero bajo un criterio de neutralidad tecnológica, agravando el uso de “tecnologías destinadas a destruir u ocultar en una investigación penal”. Si bien este es un avance, en la práctica todavía estaría criminalizando la utilización del cifrado. Por otro lado, esta agravante sigue siendo contraria al principio de no incriminación, ya que es natural que una persona que cometa un ilícito tome las medidas necesarias para no ser descubierta y perseguida.

Aumento de retención de metadatos: la gran batalla

En una acertada columna, el académico Pablo Contreras explica cómo la extensión del período de retención de metadatos propuesta por el proyecto de ley resulta desproporcionada, lesiva de derechos fundamentales y en la práctica busca legalizar lo propuesto por el infame Decreto Espía. Los distintos expertos, académicos y miembros de la sociedad civil que expusieron en la Comisión de Seguridad Ciudadana mostraron su oposición a este aumento de la capacidad de vigilancia del Estado. Sin embargo, el ejecutivo decidió mantener su posición de aumentar, tanto el período de retención de las comunicaciones de todos los chilenos -a dos años-, como el tipo de tráfico a almacenar, incluyendo información relativa a la ubicación de las personas.

Afortunadamente, la voz de los expertos fue recogida por gran parte de los senadores; quienes propusieron la eliminación o modificación de este artículo para mantener el período de retención en su plazo actual de un año. Esta modificación puede incluso transformarse en una oportunidad para modificar la expresión utilizada actualmente por el Código Penal, el que establece que los datos de tráficos serán almacenados por un período “no menor a un año”. Establecer un límite preciso y la obligación de eliminar la información de manera segura luego de cumplido el plazo se presenta como una mejora importante, e impide la existencia de recurrentes interpretaciones antojadizas a futuro.

Continúa la tramitación…

El hecho de que los senadores hayan ingresado indicaciones positivas no es garantía de que el proyecto de ley sea efectivamente modificado para subsanar todas sus deficiencias. Estas indicaciones todavía tienen que ser discutidas y votadas por la Comisión para alcanzar un texto final. El pasado martes la Comisión votó el artículo 1 (ataque sobre la integridad del sistema) y el artículo 3 (interceptación ilícita), que eran las normas menos polémicas del proyecto. La Comisión comenzó la discusión del artículo 2, sobre acceso informático, pero al no alcanzar un consenso solicitó la creación de un grupo de trabajo especial para destrabar la discusión.

Es de esperar que en las próximas semanas la Comisión retome la discusión y votación de las disposiciones particulares. Esperamos que en dicho diálogo primen las consideraciones técnicas y las recomendaciones otorgadas por los expertos. Las indicaciones presentadas por los senadores significan un avance importante para que le proyecto efectivamente busque promover la ciberseguridad en nuestro país y resultaría positivo que estas sean incorporadas al proyecto.

En este contexto, una coalición de expertos informáticos, académicos y miembros de la sociedad civil hizo llegar el martes pasado una carta abierta a la Comisión de Seguridad resumiendo los puntos clave que el proyecto debe modificar para proteger los derechos de las personas, promover la ciberseguridad y permitir el florecimiento de la industria de la seguridad informática en nuestro país.

Por una ley de delitos informáticos que promueva la ciberseguridad

En 2018 la ciberseguridad ocupó la portada de todos los grandes medios y se transformó en un tema prioritario para gobiernos y las empresas privadas. No podía ser de otra forma: a medida que la tecnología pasa a ser un componente crucial de nuestra economía, en nuestras comunicaciones y en casi todos los aspectos de nuestra vida cotidiana, se vuelve necesario que el entorno digital sea seguro.

En este contexto, la implementación de las disposiciones del Convenio de Budapest sobre ciberdelincuencia se presenta como una oportunidad para que Chile actualice su marco normativo y así enfrente de forma efectiva el fenómeno de la cibercriminalidad.

Lamentablemente, el proyecto de ley ingresado por el Ejecutivo — y que hoy se discute en la Comisión de Seguridad Pública del Senado — contiene disposiciones que, lejos de permitir que las personas y las empresas se desenvuelvan de forma más segura en el ciberespacio, podrían deteriorar la labor de quienes se dedican a la ciberseguridad en nuestro país.

Las personas abajo firmantes, académicos y profesionales, integrantes de la sociedad civil y expertos en ciberseguridad, hacemos un llamado al gobierno y a quienes conforman la Comisión de Seguridad Pública del Senado para subsanar los siguientes aspectos del proyecto:

  1. Criminalización del pentesting: Esta práctica es fundamental para el ecosistema de la ciberseguridad, ya que otorga a consultores independientes la capacidad de probar la seguridad de los sistemas informáticos y reportar, de buena fe, eventuales vulnerabilidades a su administrador. En la versión actual del proyecto de ley, el delito de acceso informático exige que este se haya realizado de forma “indebida”, es decir, sin permiso. Esto abre la puerta para la criminalización de una actividad que no solo es lícita, sino que es esencial para permitir el diagnóstico y reporte de vulnerabilidades informáticas.  
  2. Utilización del cifrado como agravante penal: El proyecto establece que la responsabilidad penal se verá agravada cuando se utilice tecnología de cifrado para obstaculizar la labor de la justicia. Esta propuesta es técnicamente inconducente, ya que es una tendencia a nivel de industria y de estandarización a nivel mundial la implementación de tecnología de cifrado de punta a punta en sus productos. Por otro lado, el cifrado es un elemento esencial para fomentar la seguridad de las comunicaciones y transacciones. Tal como establece la Política Nacional de Ciberseguridad, es labor del Estado promover la tecnología de cifrado, no obstaculizar su uso.
  3. Aumento del período de retención de metadatos: El proyecto aumenta de uno a dos años el período en que las empresas proveedoras de internet tendrán que almacenar datos de tráfico de sus usuarios, e incrementa la variedad de tipos de datos e informaciones a retener. Consideramos que esta obligación es desproporcionada y contraria al derecho a la privacidad de los ciudadanos, y expone innecesariamente información altamente sensible a ser objeto de filtración, ataques informáticos o uso no autorizado, volviendo a los usuarios más vulnerables.
  4. Sobre la evidencia digital: Se plantea que los procedimientos de preservación y custodia se ajusten a lo que indique una persona (Fiscal Nacional), pero no hace referencia a que una entidad, como el Instituto Nacional de Normalización (INN) sea quien dicte los marcos referenciales para este tipo de procesos que son extremadamente delicados, ya que pueden constituir pruebas que permitirían la acusación penal de una persona. Actualmente existen normas internacionales que velan por el tratamiento de la evidencia digital de forma adecuada y que incluso la OEA promueve. No parece prudente que sea únicamente una persona quien dicte los procedimientos que se deben utilizar en informática forense como normativa legal.




Firmantes:  

  • María Paz Canales, directora ejecutiva Derechos Digitales
  • Joshua Provoste, Investigador de Seguridad Informática
  • Alejandro Barros, Académico Asociado – Centro de Sistemas Públicos (U. de Chile)
  • Juan Anabalón, Presidente del Information Systems Security Association (ISSA Chile)
  • Pablo Contreras, Académicos Universidad Autónoma de Chile
  • Paulo Colomés F, Académico e Ingeniero de proyectos en NIS.CL
  • Leo Soto M., Consultor Lider para Banca y Pagos en Continuum.
  • Ignacio Parada Poblete, Presidente de MITI A.G. – Asociación Gremial Mejor Industria TI.
  • Claudio Álvarez Gómez, Académico Universidad de los Andes
  • Mauricio Castro, CTO Magnet SpA
  • Alma Negrete, Gerente General DevArtisan SpA
  • Tomás Vera, CINNO Zenta Group SpA
  • Luis Cruz, Managing Director en 2Brains
  • Gert Findel, Director Ejecutivo Acid Labs
  • Manuel Moreno, CEO GlobalSecure Academy
  • Manuel Suárez, Gerente General Synaptic
  • Javier Urrutia T, CEO coreDevX SpA




Puedes adherir firmas, a título institucional o personal, a través del siguiente formulario:

[ninja_forms id=37]

Contra la vigilancia masiva en los espacios públicos del «Sistema de televigilancia móvil»

Las organizaciones e individuos firmantes expresamos nuestra preocupación y rechazo por las medidas de vigilancia pública anunciadas por el gobierno de Chile.

El martes 18 de marzo de 2019, el presidente Sebastián Piñera puso en marcha el «Sistema de televigilancia móvil» en la Región Metropolitana, enmarcado en el plan “Calle Segura” y que mediante aeronaves no tripuladas (también conocidas como drones) vigilará el espacio público con el fin de combatir la delincuencia. Se trata de ocho drones dotados de cámaras de alta definición, con tecnología de reconocimiento facial y capacidad de grabar y transmitir las imágenes en tiempo real. El monitoreo se hará desde las oficinas de la Intendencia y se planea su extensión a todo el país en 2020.

[left]Este sistema viola derechos fundamentales y representa un retroceso significativo del Estado chileno en materia de derechos humanos.[/left]

Esta nueva política nacional instaura una tecnología de vigilancia masiva en el espacio público, con un nivel de intrusión y movilidad nunca antes vista en Chile, y es la expresión de un Estado que busca un mayor control social, vulnerando el principio de inocencia de nuestro sistema penal al someter a la población a la constante mirada vigilante y omnipresente de la policía, facilitada por la tecnología. Este sistema viola derechos fundamentales en una sociedad libre y democrática, y representa un retroceso significativo del Estado chileno en materia de derechos humanos.

Al respecto, nos parece importante señalar que:

  • El sistema es ilegal. No existe una habilitación legal expresa que autorice el reconocimiento de personas con fines de vigilancia[2] y tampoco existen anuncios de un proyecto de ley que lo habilite. Si para poner en funcionamiento los controles de identidad preventivos, el ejecutivo entiende que se requiere una habilitación legal expresa, por la limitación del ejercicio de garantías constitucionales que implican, del mismo modo debió prever que el desarrollo de una política basada en el despliegue de tecnologías de vigilancia altamente intrusiva necesita de un debate democrático previo en el Congreso, orientado a balancear la protección de los derechos fundamentales en juego. La falta de una legislación adecuada para la protección de datos personales y para la prevención de los abusos policiales -como los ocurridos en casos como Operación Huracán- agravan esta situación de ilegalidad y falta de mecanismos de control.
  • El sistema es inconstitucional. Al mantener a la sociedad vigilada en el espacio público, sujeta al escrutinio y registro constante, el sistema amenaza los derechos a la vida privada y a la protección de datos personales (Art. 19 nº 4), a la inviolabilidad del hogar (Art. 19 nº 5), a la libertad de movimiento (Art. 19 nº 7), a la libertad de reunión pacífica (Art. 19 nº 13) y a la igual protección de la ley en el ejercicio de derechos (Art. 19 nº 3). Al no existir autorización constitucional ni legal expresa, ni control judicial alguno, se afecta inconstitucionalmente la esencia de tales derechos, contraviniendo lo prescrito en el Art. 19 nº 26.
  • El sistema es ineficaz, ineficiente y propenso a errores. Incontables estudios, incluyendo la experiencia reciente en Chile,[4] dan cuenta de que el reconocimiento facial es altamente falible. Del mismo modo, no existe una correlación significativa entre el descenso de la criminalidad y la presencia de estos aparatos. Ni el sector oriente de Santiago ni la región de Antofagasta -donde, desde diciembre de 2018, ha operado el piloto de este programa- han mostrado cambios significativos en las tendencias de criminalidad.
  • El sistema facilita abusos de la autoridad. Los sistemas de reconocimiento facial han facilitado la institucionalización de sesgos asociados a la clase social y el color de la piel[6], y refuerzan prejuicios sociales, manteniendo sistemas de persecución criminal discriminatorios y basados en la sospecha del otro. El plan inicial cubre comunas de nivel socioeconómico predominantemente medio y bajo, con lo que amenaza reforzar discriminaciones existentes sobre la población menos privilegiada y su estigmatización.
  • El sistema carece de legitimidad. No existen estudios que avalen la necesidad ni la proporcionalidad de las medidas anunciadas. Tampoco existen estudios de impacto sobre derechos humanos que avalen las medidas, ni han existido mecanismos de participación pública en su formulación. La ausencia de autorización legal en la materia requiere de un debate democrático en el Congreso previo a la implementación de esta tecnología.
  • El sistema carece de mecanismos de transparencia y rendición de cuentas. La autoridad no ha informado qué tecnología se usa para el reconocimiento facial, cuáles pruebas de errores se han realizado y cuáles han sido sus resultados, ni cómo se hará esa evaluación en el futuro. Tampoco ha anunciado qué medidas técnicas y organizativas se adoptarán para resguardar la seguridad de la información recogida por las aeronaves, ni qué resguardos existen en caso de abuso por quienes operen la tecnología. Un ejercicio de función pública sin transparencia y rendición de cuentas es inaceptable.

En síntesis, el sistema de videovigilancia es contrario a los derechos humanos. Además de ser contrario a la ley y a la Constitución, el sistema desconoce las obligaciones adquiridas por el Estado chileno en el Pacto Internacional de Derechos Civiles y Políticos y la Convención Americana sobre Derechos Humanos. Ignora las recomendaciones de los Relatores Especiales para la Libertad de Expresión y para la Privacidad de la Organización de las Naciones Unidas, como también las de la Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos y las del Grupo de Trabajo de Protección de Datos de la Unión Europea (G29, Dictamen 3/2012) [7]. Incumple con principios de alto nivel y omite la opinión especializada sobre la materia.[8]

Recomendaciones

Las organizaciones e individuos firmantes instamos al gobierno de Chile a:

  1. Detener el proceso de implementación de videovigilancia aérea mediante drones y poner fin al programa «Calle Segura» mientras no existan evaluaciones transparentes y abiertas, como también discusión pública sobre la necesidad, conveniencia y licitud de las medidas propuestas.
  2. Ordenar la realización de análisis previos de impacto en derechos humanos de las propuestas sobre tecnología de vigilancia y seguridad pública, y evaluación periódica de sus resultados, en procedimientos transparentes, visados por expertos independientes.
  3. Impulsar con urgencia la reforma a la normativa sobre protección de datos personales, incluyendo la formación de una autoridad pública de control, autónoma y con facultades amplias de fiscalización, intervención, interpretación y sanción, desde una perspectiva de protección de los derechos fundamentales. Del mismo modo, impulsar una reforma profunda a las instituciones policiales, que permitan un control democrático y la prevención de los múltiples abusos en el uso de tecnologías de vigilancia, para ceñirlas a los principios de legalidad, necesidad y proporcionalidad.

Suscriben:

  • Derechos Digitales · América Latina
  • Fundación Datos Protegidos
  • Amnistía Internacional – Chile
  • Centro de Derechos Humanos de la Universidad Diego Portales
  • Ciudadanía Inteligente
  • Observatorio Ciudadano
  • Corporación Fundamental
  • Centro de Investigación y Defensa Sur (CIDSUR)
  • Libertades Públicas
  • Fundación ProAcceso
  • Fundación Todo Mejora
  • Corporación Humanas
  • Acoso.Online
  • Fundación Multitudes
  • Presidencia FECh
  • Coordinadora Feminista 8M
  • Colectivo Disonancia
  • Observatorio de Género y Equidad
  • Frente Feminista Región Metropolitana de RD
  • Colectiva Hartas Mujeres
  • Mujeres en el Medio
  • Foro Ciudadano
  • Vaginas Ilustradas
  • Stgoverde
  • Brigada de Propaganda Feminista
  • Fundación CIAPE Educación y tecnologías
  • Programa Libertad de Expresión del Instituto de la Comunicación e Imagen de la Universidad de Chile
  • ONG Amaranta
  • Domingo Lovera, abogado y académico UDP.
  • Patricia Peña, académica, Coordinadora Diplomado en Comunicación Digital ICEI Universidad de Chile.
  • Paz Becerra, abogada.
  • Pablo Ortega Manosalva, abogado.
  • Sebastián Saavedra Cea, abogado.
  • Karina Riquelme Viveros, abogada.
  • Natividad LLanquileo Pilquiman, abogada.
  • Pamela Nahuelcheo Queupucura, abogada.
  • Marlenne Becker Marín, trabajadora social.
  • Cristopher Corvalán Rivera, abogado.
  • Eduardo Painevilo Maldonado, abogado.
  • Carolina Contreras Rivera, abogada.
  • Luis Cordero, abogado y profesor de derecho administrativo – Universidad de Chile.
  • María Jaraquemada, abogada.
  • Mauricio Duce, abogado y académico UDP.
  • Pedro Anguita, abogado.
  • Tomás Jordán Díaz, abogado y académico Universidad Alberto Hurtado.
  • Verónica Encina, abogada.
  • Carolina Barrera, abogada.
  • Victoria Ortega Escudero, abogada.
  • Bárbara Orellana Baltra, abogada.
  • Ricardo Cadet Herrera, abogado.
  • Iván Vidal Tamayo, abogado.
  • Humberto Lemarie Silva, abogado.
  • Francisco Vera Hott, abogado.
  • Iván Vidal Tamayo, abogado .
  • Lorerna B. Valderrama, académica Universidad Alberto Hurtado.
  • Carolina Gainza C., académica Universidad Diego Portales.
  • Helder Binimelis Espinoza, académico Universidad Católica de y miembro del Observatorio de Transparencia Regional de la Araucanía.
  • Juan Contreras Bustos, activista de derechos humanos.
  • Daniel Piña Rivera, analista programador.
  • Ignacio Astorga, animador digital.
  • Tamara Daniela Lazcano Domange,  artista visual.
  • Mauricio Vargas Peralta, capitán Partido Pirata de Chile.
  • Ricardo Noerr, consultor informático.
  • Mauricio Yanchapaxi Jacho, consultor organizacional y de emprendimiento.
  • Roberto Muñoz, Director de innovación Ciencia360.
  • Sebastian Rodriguez,  diseñador industrial.
  • Daniel Sanchez Urrutia, diseñador web.
  • Bastián Lisboa, estudiante
  • Vicente aguilar, estudiante
  • Juan Ignacio Ferrari, estudiante
  • Manuel Lainez.
  • Erwin Gonzalez, informático
  • Enrique Herrera Noya, informático
  • Freeman Sánchez, ingeniero en sistemas computacionales.
  • Luis Alfredo,   ingeniero.
  • Francisco Ibáñez, ingeniero.
  • Claudio C, ingeniero.
  • Joshua Provoste, investigador de seguridad Informática.
  • Pamela Moragrega Vilches, periodista.  
  • Daniel Jeria, periodista.
  • Marcela Ortiz Buijuy, periodista.
  • Facundo Ferreirós, profesor.
  • Matías Tapia Wende, profesor.
  • Diego Esteban Loyola Maureira, profesor.
  • Evelyn Acevedo Parra, profesora.
  • Pamela Zárate Martel, UX Strategist.
  • Carlos Oliva.
  • Alex Martinez .
  • Diego Melendez García.
  • Juan Claudio Ramirez Gomez.
  • Camila Hidalgo.
  • Simonne loyola.
  • Yañez Juan.
  • Oscar Fernández.
  • Alan Arellano.
  • Juan Correa Poblete.
  • Viviana Alvarez.

¿Quieres adherir a la declaración? Firma acá.

[1] «Presidente Piñera lanzó sistema de vigilancia con drones en la Región Metropolitana», https://www.gob.cl/noticias/presidente-pinera-lanzo-sistema-de-vigilancia-con-drones-en-la-region-metropolitana/

[2] Cordero Vega, L. (2015). Videovigilancia e intervervención administrativa: las cuestiones de legitimidad. Revista de Derecho Público, (70), pp. 359-376.

[3] Ley Nº 19.628 sobre protección de la vida privada, Art. 10.

[4] «[A]demás la PDI informó que entre mayo y junio pasado se realizaron pruebas al sistema, que concluyeron que el 90% de las identificaciones de rostro fueron falsos positivos (identificación de persona errónea)». «¿Dónde quedan las imágenes de reconocimiento facial de los malls?», Las Últimas Noticias, 14 de marzo de 2019, p. 10.

[5] «Subsecretaría de Prevención del Delito e Intendencia de Antofagasta implementan drones de vigilancia en la región»,  http://www.seguridadpublica.gov.cl/noticias/2018/12/14/subsecretaria-de-prevencion-del-delito-e-intendencia-de-antofagasta-implementan-drones-de-vigilancia-en-la-region/

[6] Propublica (2016). Machine Bias. https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing

[7] Opinion 3/2012 on developments in biometric technologies, Article 29 Data Protection Working  Party https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf

[8] «Propuesta de estándares legales para la vigilancia en Chile», https://www.derechosdigitales.org/wp-content/uploads/propuesta-estandares-legales-vigilancia-chile.pdf

Medidores inteligentes: la invasión “smart” que llega hasta los hogares

La atención pública que en Chile recibió la renovación de los medidores de consumo de energía eléctrica por otros aparatos “inteligentes”, a pesar de estar centrada en el probable aumento del precio del servicio, trajo también preocupación y alarma por otros impactos en las personas. En particular, sobre las capacidades de estos aparatos para generar información de las usuarias de energía eléctrica, vulnerando su intimidad.

No es un problema nuevo: en Europa y en los Estados Unidos ha habido resistencia a la instalación de estos medidores, especialmente fundada en los riesgos sobre la privacidad. El escenario ha sido distinto en América Latina, donde además de Chile, países como Argentina, Brasil, Colombia, México y Perú llevan años de programas piloto y de planificación e implementación progresiva de smart grids, con medidores inteligentes, sin similar oposición. Pero a pesar de parecer una muestra más de un futuro inevitable, las preocupaciones invitan a revisar hacia dónde estamos avanzando.

[left] Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad.[/left]

El resguardo de los datos

La oposición en países como Francia u Holanda tenía pleno sentido. Que un medidor siga el comportamiento a intervalos de 15 minutos en principio podría apenas dar información sobre un consumo que sube y baja, tal como observar un medidor analógico en tiempo real. Pero el acceso a información así de detallada podría permitir inferir la clase de aparatos eléctricos que se utilizan en un hogar, detectando patrones de conducta y formulando perfiles a partir de los mismos. Es decir, información personal se produce, almacena y envía a las empresas de energía, de una forma en que antes no ocurría. Por cierto, las empresas siguen ceñidas a las obligaciones asociadas a la protección de datos personales.

En segundo lugar, esa información personal puede ser requerida por órganos de persecución criminal. A falta de regulación expresa en la materia, no es difícil pensar en requerimientos no sujetos a reglas de debido proceso; no obstante, la experiencia en los Estados Unidos da cuenta del resguardo constitucional, que en términos afines a los bloques constitucionales en buena parte de América Latina, haría exigible el control judicial ante el requerimiento de esa información.

En tercer lugar, esa información personal en principio sería conocida por las empresas de suministro de electricidad. Puesto que se envía información a distancia, es posible pensar en ataques maliciosos por parte de terceros, afectando la información que se transmite. En cuarto lugar, la capacidad remota de control sobre el suministro implica que tales ataques podrían dirigirse al suministro mismo.

Si bien en Chile el Anexo Técnico sujeto recientemente a consulta pública detallaba exigencias de seguridad que controlarían buena parte de los riesgos, el control de la correcta implementación de tales medidas constituye un nuevo ámbito de las funciones de la autoridad, vinculado a la seguridad digital, que requiere renovadas capacidades y recursos.

Smart metering para smart cities

El uso de medidores inteligentes no hace cambiar necesariamente el costo del servicio eléctrico. Lo que sí permite es un seguimiento, individual y agregado, de los momentos y días de mayor consumo, con el fin de controlar el consumo propio o de diseñar sistemas tarifarios diferenciados por horario, además de gestionar remotamente el suministro y su facturación, detectar hurtos de energía y hasta permitir la alimentación de la red (una vez convertida en smart grid) desde paneles solares. Junto con hacer más eficiente el sistema, permitiría un control sobre el consumo tendiente al ahorro energético.

En principio, suena moderno y flexible. Pero no precisamente como una necesidad para mejorar hábitos de consumo. Buena parte de la justificación de este ambicioso recambio sigue una lógica smart, de la modernización sin cuestionamiento y la creciente datificación de la cotidianidad. Con ello, se apunta a la conversión del espacio urbano compartido en una smart city, con el consiguiente aumento de los riesgos de vigilancia, como de modelamiento del comportamiento, sin siquiera comenzar a abordar los serios problemas de desigualdad y de acceso a servicios que aquejan a ciudades que aspiran a ser “inteligentes”, como Santiago de Chile.

Modernización y derechos humanos

Aunque ni la modernización energética en general ni el recambio de medidores en particular son intrínsecamente negativos, no podemos ignorar los riesgos involucrados en procesos de modernización aislados de procesos más amplios de resguardo de los sistemas de información y comunicación, así como de protección de los intereses de las personas, consideradas tanto individual como colectivamente. Es siempre necesario contar con estudios del posible impacto sobre derechos humanos de los procesos de cambio tecnológico.

Lo que esperamos no es solamente un mejor sistema eléctrico, sino también un apropiado resguardo de los datos personales, de la ciberseguridad, e incluso del debido proceso cuando se requiera información de medidores. Del mismo modo, esperamos una regulación técnica acuciosa y una correcta implementación de la misma. Además, puesto que la seguridad de la información requiere atención continua, una fiscalización fuerte y un permanente reestudio de las condiciones de resguardo de la información almacenada y en tránsito. El costo de la modernización no puede ser el abandono de la seguridad de nuestra información.

¿Qué hay detrás de las recolecciones de datos y la vigilancia?

En el marco de la semana de la privacidad de datos, hacemos una reflexión a través del uso de tecnologías de vigilancia para recolectar masivamente datos biométricos. Estas aproximaciones a la tecnología como instrumento de control se han manifestado a través de distintos casos alrededor del mundo, sin embargo la búsqueda y sofisticación de herramientas que permiten a los gobiernos amedrentar, censurar y espiar a las personas es una constante que se manifiesta a pesar de las peculiaridades en los climas políticos de cada país.

Hace unos días, el diario norteamericano The Intercept publicó una nota sobre la conformación de bases de datos biométricas en las prisiones estadounidenses, mismas que están siendo alimentadas pasando sobre los derechos humanos de cientos de miles de convictos en las prisiones de Nueva York, Texas, Florida, Arkansas y Arizona; a quienes -de acuerdo al texto citado- se les ofrece “la opción” de participar en el robustecimiento del algoritmo de reconocimiento por voz o perder el acceso al uso del teléfono si decidían no hacerlo.

Al momento de que estas acciones fueron cuestionadas públicamente, la respuesta por parte de las autoridades de las prisiones versó sobre el impacto “positivo” que el uso de estas tecnologías produce para mejorar la seguridad y evitar fraudes, señalando que estos despliegues de tecnologías de reconocimiento para generar “voice prints” -o huellas de voz- han sido financiados en parte por un apoyo económico de 50 millones de dólares otorgado por el Departamento de Defensa para identificar las comunicaciones hechas por terroristas y presuntos criminales; sin embargo no hubo reparo ante las implicaciones en cuanto a los derechos humanos de las personas presidiarias que son sometidas a “participar voluntariamente” en la implementación de estas medidas.

Y este caso hace eco a incidentes anteriores en los que el consentimiento de las personas para recabar sus datos biométricos ha sido completamente borrado, apelando a un discurso que somete a las personas a ser constantemente vigiladas bajo el yugo de “el bien común” aludiendo a la seguridad como el fin último y convirtiendo a la privacidad en privilegio: arrebatándole la cualidad de derecho fundamental que la constituye.

Fuera del contexto del norte, podemos ubicar casos puntuales en América Latina donde: bases de datos personales han sido expuestas, se han reportado casos de espionaje gubernamental a activistas, se ha comprobado la vigilancia e interceptación de comunicaciones de personas disidentes, se han hecho despliegues de tecnologías de vigilancia en lugares públicos, se ha buscado obtener datos de menores de edad a través de programas de beneficio social y se controla el acceso a ciertas páginas de internet a través de bloqueos en la red.

Muchos de estos casos han sido abordados para exigir rendición de cuentas y denunciar abusos de poder a través de iniciativas de diversas organizaciones, logrando conseguir espacios en medios de alta difusión. A pesar del fuerte eco que parecen tener estas denuncias, estos casos se miran desde una distancia que aparenta no interferir en el día a día de quienes vivimos cada vez más rodeadas de mecanismos tecnológicos configurados para estar siempre atentos a las peticiones que hacemos al aire -cual genios de lámpara mágica- y nuestra necesidad de estar constantemente frente a pantallas que se desbloquean automáticamente al reconocer nuestros rostros o huellas.

De vuelta a las prisiones norteamericanas, algunos registros de voz son hechos sin el consetimiento de las personas presidiarias cuando éstas se comunican con sus familias, además estos registros permanecen en el poder del sistema penitenciario aún cuando sus condenas llegan a término… Y lo que más impacta es que en el indiscrimado uso de estas tecnologías para recabar datos, son también registradas las personas con las que han tenido contacto vía telefónica: sin ser notificadas, sin saber para qué fines son registrados sus datos, sin ser si quiera sujetos de sospecha e incluso cabría el caso de que algunas de esas personas registradas “por proximidad” sean menores de edad; como sucedió en el caso del hijo de la periodista Carmen Aristegui en México, quien se encontraba entre los objetivos del caso #GobiernoEspía.

Ante estas situaciones, cabe cuestionarnos y promover ejercicios de reflexión en torno a cómo tratamos nuestros datos y llevar esto un paso más allá: pensando cómo colectivamente facilitamos la creación de perfiles precisos de nosotros y quienes nos rodean, a partir de nuestra relación con los dispositivos que usamos a diario.

Una de las mejores formas de hacer frente a estos “despliegues de inteligencia” por parte de los Estados es justamente promover estrategias inteligentes para dotar a las personas de herramientas que les permitan proteger sus derechos y autonomía, fomentando la participación activa de las personas en discusiones y toma de decisiones en torno al tratamiento de datos personales, la vigilancia de comunicaciones y la protección de los derechos humanos.

En Derechos Digitales hemos creado diversos recursos para promover herramientas de anonimato, hemos realizado materiales y eventos de difusión en torno a la protección de datos en distintos países de América Latina y además promovemos la creación de políticas públicas que controlen las iniciativas estatales y protejan los derechos humanos en entornos digitales (entre ellos la protección de la privacidad y los datos personales).

Vivimos en un mundo en el que las posibilidades de la tecnología han avanzado más rápido que nuestra capacidad colectiva para diseñar políticas que impidan usos abusivos o prevengan todos los intereses que se hallan en usar la capacidad tecnológica en detrimento de los derechos fundamentales, sin embargo -a cierta distancia de las personas de las prisiones estadounidenses- aún podemos elegir usar diversas tecnologías sin pagar con nuestra privacidad o la integridad de nuestros datos: es tiempo de actuar, el futuro es ahora ¡Hagámoslo juntas!

Ley Constitucional del Ciberespacio: un instrumento fuera de control

En días recientes, la filtración del texto del anteproyecto de Ley Constitucional del Ciberespacio cuya aprobación pretende la Asamblea Nacional Constituyente (ANC) venezolana ha despertado alertas en la sociedad civil y los medios de comunicación locales. Este nuevo instrumento legislativo, que expande e incrementa los poderes del Ejecutivo para la vigilancia sobre el internet, se convertiría así en una nueva herramienta de control que vendría a sumarse a más de una década de políticas públicas de restricción del flujo de información y de la libertad de expresión en la web.

Una de las primeras leyes promulgadas por la ANC, un órgano cuya legitimidad está profundamente cuestionada no solo dentro sino fuera del país, fue la llamada “Ley Constitucional contra el Odio”, que sanciona a quienes publiquen contenidos clasificados como discurso de odio con penas de hasta quince años de prisión y crea sanciones no solo contra ciudadanos, sino también contra organizaciones, medios de comunicación e intermediarios.

El entorno de la libertad del internet en Venezuela es cada vez más frágil: desde 2010, cuando la aprobación de la reforma a la Ley de Responsabilidad Social en Radio y Televisión amplió las competencias sobre el control de contenidos a los llamados “medios electrónicos”, restringiendo una serie de temas, en particular aquellos que causaran “zozobra” y “desestabilización” en la población, estas expresiones han sido empleadas una y otra vez para censurar y castigar las expresiones de disidencia política. La aplicación de técnicas de censura mediante el bloqueo total o parcial a páginas web, que viene aplicándose desde hace más de una década, también se ha profundizado entre 2018 y 2019, con el bloqueo de sitios de noticias, del acceso a la red Tor y más recientemente el bloqueo de Wikipedia en la proveedora estatal de telecomunicaciones CANTV.

El texto del anteproyecto de Ley Constitucional del Ciberespacio parte de un enfoque “estratégico” y contempla el uso del ciberespacio como una actividad fundamental para la “defensa integral” de la nación, adoptando un enfoque de seguridad que pretende justificar el otorgamiento al Ejecutivo de potestades para la vigilancia, la censura y la penalización del libre discurso en línea. Así, utiliza el concepto de terrorismo -una noción que anteriormente ha sido empleada en Venezuela para castigar la disidencia- para aplicarlo a cualquier actividad realizada en internet que pueda causar “terror” o “desestabilización económica, política o social”.

Asimismo, la norma proyectada obligaría a las personas naturales o jurídicas a permitir el acceso a sus equipos, infraestructuras y redes por parte de personal autorizado por el gobierno. Este acceso irrestricto, sin estándares de proporcionalidad y pertinencia, que no requiere previa orden judicial, permitiría a las autoridades acceder tanto a los servidores y bases de datos de un proveedor de telecomunicaciones, como al teléfono celular de un particular. De igual modo, y en contra de los principios básicos de responsabilidad de intermediarios, la ley obligaría a los proveedores de servicios (como redes sociales y plataformas de mensajería) a “prevenir, denunciar, neutralizar o eliminar” aquellos contenidos que se consideren violatorios de la norma, incluyendo aquellos que “promuevan el odio” o puedan causar la “desestabilización” de la Nación, convirtiendo así en censores a los proveedores de servicios, sin que exista ningún mecanismo para el control institucional y judicial de estas actuaciones.

El anteproyecto de Ley del Ciberespacio, igualmente, profundiza las medidas contenidas en la Ley Constitucional Contra el Odio, legitimando las acciones para “prevenir” y “contrarrestar” el odio en internet, y otorgando a una nueva autoridad de control la potestad de aplicar las sanciones contenidas en esta ley, así como de llevar a cabo tareas de vigilancia y adoptar medidas efectivamente ilimitadas para evitar actuaciones que ante sus ojos constituyan ciberataques, ciberterrorismo, ciberdelitos, o puedan ser consideradas una amenaza. Esta autoridad, cuyos directores serían de libre nombramiento y remoción del Presidente de la República, no estaría sometida a controles algunos por parte de otros órganos, eliminando así cualquier contrapeso que pudiera establecer límites para la aplicación de esta norma.

Por último, la ley adopta una perspectiva que sitúa al ciudadano como responsable de la seguridad en el ciberespacio (art. 13), desplazando así la responsabilidad del Estado como garante de los derechos humanos, y más grave aún, pretendiendo crear un contexto de delación donde cada ciudadano sea un brazo más del aparato de vigilancia estatal.

La implementación de una ley con estas características sería de una enorme gravedad en cualquier país, pero en las circunstancias actuales de grave crisis institucional, social, económica y política de Venezuela, donde la legitimidad de los principales poderes públicos se encuentra discutida, la aprobación de una norma que amplíe los poderes de vigilancia y control ya desmedidos del Ejecutivo Nacional sería un paso más en la profundización del desmoronamiento institucional del país y en la vulneración de los derechos de acceso a la información y de libertad de expresión.

Ante esto, organizaciones a nivel internacional nos hemos organizado para enviar un comunicado que busca hacer frente a este anteproyecto de ley: manifestándonos en contra de las vulneraciones a los derechos fundamentales que avala.

La fragilidad actual del entorno digital en Venezuela demanda normas que regulen las tecnologías consagrando los principios básicos de proporcionalidad, legalidad y neutralidad. Este anteproyecto representa todo lo contrario, y constituye una amenaza gravísima a los derechos fundamentales de los ciudadanos venezolanos y, en general, del ecosistema de internet.

Chile bajo Examen Periódico Universal de obligaciones de DDHH: El futuro es ahora

El próximo 22 de enero, Chile se someterá al Examen Periódico Universal (EPU) de Naciones Unidas, uno de los instrumentos más importantes para medir el compromiso efectivo de los Estados con los derechos fundamentales. El proceso consiste en un examen de la situación de derechos humanos en el país y, en ese sentido, es una excelente oportunidad para visibilizar las situaciones de vulneración que puedan existir, al igual que revisar y hacer efectiva la vigencia de los tratados internacionales suscritos por el país, así como proponer soluciones de mejora a través de la posibilidad que tienen los 193 países miembros de la ONU para hacer recomendaciones.

La sesión de revisión tendrá lugar en enero y, como preparación,  entre el 10 y 21 de diciembre se desarrollaron las pre-sesiones del Período 32 del EPU en Naciones Unidas, donde distintas organizaciones de la sociedad civil plantearon a los representantes de los Estados miembros sus recomendaciones. En el caso de Derechos Digitales, estas fueron formuladas en dos reportes alternativos presentados en julio pasado, en colaboración con Ciudadano Inteligente, Fundación Pro Acceso, Privacy International y la Asociación para el Progreso de las Comunicaciones (APC).  En la pre-sesión de Chile, Derechos Digitales fue invitada como una de las oradoras de la jornada, lo que representó una oportunidad única para poner en conocimiento de la comunidad internacional la situación crítica de derechos humanos que vive Chile en relación al uso de la tecnología.

Además, durante estas dos semanas Derechos Digitales sostuvo más de 30 reuniones bilaterales, dando a conocer a representantes de diversos países la forma en que los derechos humanos están siendo impactados por la tecnología en Chile, exponiendo a sus habitantes a situaciones de desprotección y vulneración.

Con estupor los representantes de los Estados mienbro nos escucharon describir la operación Huracán y cómo en Chile se restringen ilegítimamente los derechos civiles y políticos del pueblo Mapuche, al intentar interceptar comunicaciones privadas de sus representantes, vulnerando no solo su derecho a la privacidad, sino además ejerciendo nuevas formas de violencia institucional a través del uso de la tecnología, intentando criminalizarlos a través de la implantación de pruebas falsas en sus teléfonos celulares. También compartimos con los representantes de diversos Estados la preocupante acción de agentes de la policía y de servicios de inteligencia que han vigilado y monitoreado a activistas políticos, periodistas y medios de comunicaciones, tanto en espacios físicos como digitales, restringiendo la libertad de expresión y su habilidad de organizarse políticamente.  

En ese sentido, Derechos Digitales ha propuesto que los Estados recomienden a Chile mejorar los estándares legales que rigen a las fuerzas de inteligencia y policía, exigiéndoles mayores niveles de responsabilidad y control en el ejercicio de sus facultades. Del mismo modo, hemos instado para que los países recomienden garantizar el respeto de la privacidad, la libertad de expresión y de asociación, tanto en espacios físicos y digitales, como lo han repetido insistentemente los órganos y procedimientos especiales de Naciones Unidas.

Otro de los puntos relevantes a la que quisimos llevar la atención de los representantes de los Estados miembros de la ONU se relaciona con el uso creciente de diferentes tecnologías de vigilancia – tanto de parte de los privados, como por el Estado – y la  vulneración de derechos que se produce, por ejemplo, en la implementación de sistemas de identificación biométricos en Malls de la capital (cámaras de reconocimiento facial) y en las medidas de efienciencia implementadas por JUNAEB (enrolamiento de huellas digitales de menores de edad beneficiarios de alimentación). Hemos puesto en conocimiento de la comunidad internacional que el Estado chileno ha decidido enfrentar la seguridad pública mediante una vigilancia distópica, propia de países autoritarios como China, así como enfrentar sus problemas de eficacia en la entrega de alimentos con sistemas que no tenemos idea ni cómo funcionan, ni qué estándares de seguridad tienen, ni cómo pueden utilizar en el futuro o poner en riesgo los datos biométricos de los niños, niñas y adolescentes más vulnerables de la población. Así, hemos hecho un llamado a los representantes de distintos Estados a formular recomendaciones para la implementación de procesos de evaluación de impacto que puedan prevenir la desproporción en la afectación de derechos que este tecnosolucionismo genera.

Además hemos solicitado a los representante de Estado que recomienden incorporar el uso responsable de tecnologías por parte de compañías privadas al Plan de Acción Nacional de Derechos Humanos y Empresas de Chile, y que el Estado de Chile limite su colección de datos personales para la implementación de políticas públicas, siguiendo los estándares de legalidad, necesidad y proporcionalidad, e incorporando además mecanismos participativos de la comunidad afectada por tales políticas.

Por último, y no menos importante, hemos solicitado a los representantes de Estados que transmitan a través de sus recomendaciones la necesidad de que el Estado chileno se haga cargo en forma integral de la violencia contra las mujeres en su expresión digital, incorporando la temática en sus programas y políticas de prevención, y capacitando a los operadores del sistema judicial (policía, ministerio público y jueces) en el manejo adecuado de los casos para dar una atención oportuna a los reclamos de las víctimas, y proveer a su reparación y reestablecimiento de derechos.

Esperemos que el 22 de enero del 2019, cuando los Estados recomienden a Chile qué medidas adoptar, Chile reconozca la necesidad de hacerse cargo del impacto del uso de las tecnologías en el ejercicio de los derechos humanos en la era digital. La tecnología es ya parte integral de cada aspecto de nuestra vida, y el Estado chileno tiene la obligación de que su uso sea consistente con la garantía y promoción de los derechos humanos de sus habitantes.

No hay tiempo que perder, la tecnología está aquí y llegó para quedarse; el Estado chileno tiene en sus manos la decisión crítica de alinear su uso con un mayor respeto por los derechos humanos. No podemos esperar 4 años más para hacernos cargo de este desafío. El momento de las decisiones y de un compromiso efectivo con la vigencia de los derechos humanos hacia el futuro es ahora.

Vigilancia en México: ¿Estos son los resultados?

Durante el sexenio de Enrique Peña Nieto como Presidente de México se vivió un despliegue de reformas estructurales e implementaciones tecnológicas que dieron pie al  desarrollo de un sistema de vigilancia estatal distinto al que habíamos conocido. 

Si bien en México no son nuevos los ejercicios de brutalidad policiaca, los abusos de poder Estatal ni las alianzas corruptas entre las administraciones públicas y empresas privadas, esta vez las estrategias gubernamentales contra la soberanía ciudadana supieron combinar el amedrentamiento, técnicas de manipulación de la información y sofisticadas tecnologías para desarrollar una oleada de abusos que no solo devino en coronar al país como uno de los más peligrosos para ejercer periodismo, sino también como un lugar en el que la desinformación y el miedo han anestesteciado a las personas frente la violencia.

Sabemos hoy que este despliegue de tecnologías de vigilancia fue usado para espiar a la oposición política, lo cual es un acto claramente ilícito y que atenta directamente a la libertad de expresión, la seguridad de las personas afectadas y el ejercicio de la democracia, al amordazar a quienes investigan, comunican, disienten con el gobierno y defienden a la ciudadanía: miembros de la oposición política, defensoras de derechos humanos, activistas y periodistas.

A finales del año 2012  y durante 2013, el Gobierno mexicano marcó una pauta firme al buscar imponer la censura a los medios de comunicación y periodistas independientes que hacían eco a las protestas de la sociedad civil, comenzando una época marcada por las manifestaciones contra los abusos del gobierno. Entre detenciones arbitrarias, censura a sitios web en colaboración con el gobierno estadounidense, actividades opacas por parte de la policía de investigación y la conformación de la llamada “Estrategia Digital Nacional”; en  2014 se incorporaron las medidas de vigilancia masiva en la reforma a la Ley Federal de Telecomunicaciones y Radiodifusión, sentando así un precedente que permitía al Poder Judicial tener una suerte de cheque en blanco que la Secretaría de la Defensa Nacional (Sedena), la Procuraduría General de la República (PGR, Fiscalía) y el Centro de Inteligencia y Seguridad Nacional (Cisen) usaron para omitir consideraciones fundamentales sobre el derecho a la privacidad en México.

Coherentemente con esta política, en los últimos años fue posible establecer que los periodistas que fueron víctimas de los ataques de software de vigilancia por parte del Estado eran aquellos investigando temas relacionados a la seguridad nacional, tráfico de drogas, corrupción e incluso salud alimenticia.

Sin importar el número de recomendaciones por parte de la ONU, la Comisión Nacional de Derechos Humanos, especialistas en materia de libertad de expresión y algunas instituciones internacionales que se sumaron al malestar de las organizaciones locales y la sociedad civil mexicana, el gobierno continuó haciendo tratos comerciales con actores como Hacking Team y NSO Group por cifras exhuberantes, que incluso rebasaron las inversiones realizadas por países que suelen representarse como estandartes de la represión en el imaginario colectivo. Una vez que se consiguieron los datos suficientes, a través de los mecanismos de transparencia y rendición de cuentas estipulados por la ley mexicana, fue la Red en Defensa de los Derechos Digitales (R3D) quien sacó a la luz la información para exigir la revisión del uso de mecanismos de vigilancia por parte de las instancias gubernamentales involucradas con Hacking Team y NSO Group en 2016.

En 2017  R3D  -con el apoyo de Citizen Lab, la oficina de México y Centroamérica de ARTICLE 19 y SocialTIC- documentó 22 casos de personas que fueron objetivo de las infecciones con el spyware Pegasus, fortaleciendo la investigación que permitiría llevar la evidencia a los tribunales nacionales en el caso denominado #GobiernoEspía.

Este caso no solo tuvo repercusiones en México, ya que la abundante evidencia del uso de software Pegasus (desarrollado por NSO Group) aunada a las negativas por parte del gobierno local y la empresa para colaborar en las investigaciones terminó en una demanda ante los tribunales de Israel y Chipre por complicidad y negligencia en las violaciones a los derechos humanos en agosto del 2018.

Por si fuera poco, a pesar de las evidentes faltas de transparencia y compromiso hacia la seguridad de la ciudadanía por parte del gobierno mexicano, se suman dos nuevas víctimas a las que se intentó vulnerar con las mismas estrategias de infección con spyware que a los otros 22 casos registrados entre 2014 a 2016.

Los casos fueronn dados a conocer en una conferencia de prensa, donde se le confirió a la administración que tomará el poder este primero de diciembre el cumplimiento de acciones concretas contra el espionaje digital. No se puede pasar por alto que los objetivos de estas infecciones fueron periodistas que trabajaron con Javier Valdez, quien fue asesinado en mayo del 2017 y cuyo trabajo de investigación sobre el crimen organizado en México ha sido galardonado internacionalmente; siendo estos también periodistas que ocupan puestos importantes en el semanario Ríodoce reconocido por la cobertura en temas narcotráfico y la guerra entre carteles de Sinaloa.

Ante esto es imposible no mirar con sospecha las subsecuentes propuestas que promueven mayor control sobre la ciudadanía y su libertad de expresión, no solo en el ámbito digital. Frente a estrategias corruptas y abusos de autoridad que persisten en México: la seguridad es privilegio de quienes tienen el poder para proteger sus intereses a costa de los derechos de la mayoría… Y la seguridad de quienes trabajan por defenderlos.

 

Más allá del malware…

Las manifestaciones digitales de la represión y la violencia por parte del estado -cualquier estado y en cualquier región- son parte de la violencia sistémica que nace de las relaciones de poder que se desarrollan entre los gobiernos (dentro de ellos y con otros) y actores como empresas y el crimen organizado: desde la ilegalidad.

Para que la democracia exista y sea efectiva, el periodismo y las voces que se contraponen a los discursos establecidos desde los medios hegemónicos -muchas veces coludidos con los gobiernos- son fundamentales. La presencia de este tipo de prácticas represivas es un reflejo de la crisis gubernamental, democrática y de derechos humanos que se vive en México; misma que resuena ante prácticas similares que se han propagado en la región latinoamericana y el mundo.

Nunca es tarde para frenar estos abusos y, con la administración entrante que tomará el poder este 1º de diciembre, existe la esperanza de entablar un diálogo que permita construir  mecanismos de seguridad que velen por los derechos humanos y cumplan la función de asegurar el bienestar de la ciudadanía.

Es necesario señalar las responsabilidades  e incluso castigar a quienes promovieron el abuso de estas tecnologías, del mismo modo que se precisan mecanismos de transparencia y rendición de cuentas que permitan tener el control sobre el poder de las agencias de investigación, así como vías de comunicación entre diferentes actores para desarrollar soluciones que nos lleven construir un futuro más justo donde ningún atropello a los derechos humanos sea pasado por alto.

Sobre la ilegalidad de la implementación de un sistema de reconocimiento facial en Mall Plaza

A pesar de toda la mala prensa que tiene últimamente, Twitter sigue siendo un espacio capaz de generar risas, aunque a veces sea necesario un grado de cinismo importante como para reír en vez de explotar de furia. Parece extraño, pero son recurrentes las situaciones en que ambas reacciones me parecen igual de sensatas. La última vez que me enfrenté a esta disyuntiva fue el pasado martes 13 de noviembre, gracias a la mediación de mi colega y ávido tuitero, Pablo Viollier. Esta fue la causa:

Ahora, si no entiendes por qué este tuit genera reacciones tan pasionales, quizás un poco de contexto ayude:

  1. Este tuit fue publicado desde la cuenta de Mall Plaza.
  2. La semana pasada Mall Plaza anunció la implementación de un sistema de reconocimiento facial en el centro comercial de Los Domínicos.
  3. El modo en que Mall Plaza ha procedido en la implementación del sistema es ilegal.

De esa forma, el tuit es similar a sorprender a alguien robando, acusarlo de robo y que su respuesta sea “mira, sí, estoy abierto al debate y estoy escuchando a todas las opiniones para que lleguemos a un consenso respecto a la definición de la figura del robo y cómo proceder en estos casos”.

 – Pero Vladimir, la empresa ha dicho que el sistema será operado por personal policial.

Sí, leí ese comunicado. No importa. Sigue siendo ilegal.

Las razones son dos:

  1. La implementación del sistema de reconocimiento facial constituye “tratamiento de datos personales” y está expresamente prohibido en la ley si no hay consentimiento expreso de sus titulares.
  2. Lo mismo vale para las policías, que tampoco están autorizadas a realizar este tipo de procesamiento, sin previa autorización expresa de los titulares de los datos biométricos.

Cuando hablamos de consentimiento expreso significa que debe haber un documento -a través de medios físicos, electrónicos u otro – en que se comunique a cada persona que entra al mall los propósitos de la recolección de datos y esta persona manifieste en forma inequívoca que lo autoriza.

 – ¿Y si ponen un aviso en la puerta que diga que al entrar al centro comercial uno acepta la recolección de los datos biométricos?

No. Eso sería consentimiento presunto, no expreso. Y tampoco es informado, entonces no cumple el principio de finalidad.  Tampoco vale disponer de la instancia para autorizar el tratamiento de datos sensibles y asumir que aquellas personas que eligen no hacer el trámite y entrar al mall están consintiendo la recolección de sus datos. De nuevo, el consentimiento debe ser explícito.

– ¿Y qué pasaría con los menores de edad?

Tendrían que conseguir una autorización de sus representantes legales para poder ir al mall. De la misma forma, los trabajadores del mall, quienes le provean servicios y, en general, cualquier persona que pisa el centro comercial debe autorizar expresamente la recolección y procesamiento de sus datos personales.

Ahora, si estos argumentos te son un tanto esquivos, quizás sea necesario repasar algunos conceptos e ideas necesarias que pueden ayudar a su comprensión.

Datos biométricos y sensibles

Primero, ¿qué es eso de tratamiento de datos personales? La ley lo define como “cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma”.

En ese sentido, instalar una infraestructura para la recolección, almacenamiento, grabación y organización de datos personales constituye tratamiento de datos. No importa si es que Mall Plaza no realiza el análisis de los datos que recolecta, el solo hecho de contar con la tecnología instalada y funcionando constituye tratamiento de datos personales. Dicho eso, lo siguiente es analizar el tipo de dato que constituye el rostro de una persona, con el fin de determinar las condiciones que la ley impone a su tratamiento.

En el artículo 2º numeral g, la ley define datos sensibles como “aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”.

Como señala Sebastián Becker y Romina Garrido en su artículo sobre la biometría en Chile, “desde una interpretación literal de la norma podemos desprender que los datos biométricos serían datos de carácter sensible en la medida que se refieren a «características físicas de las personas», esto es rostro, iris, retina, huellas dactilares, etcétera”.

En ese sentido, cabe decir que los datos biométricos son particularmente sensibles, pues a diferencia de otros datos, no pueden ser cambiados: la dirección, el número de teléfono incluso el nombre son datos que pueden ser modificados, pero no el iris, el rostro o las huellas digitales.

Así, el artículo 10 de la ley dice: “No pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares”.

Así, por no existir ni consentimiento de los titulares ni una ley que autorice a Mall Plaza a tratar datos datos sensibles ni tampoco ofrecen un beneficio de salud, entonces la implementación de un sistema de reconocimiento facial en el centro comercial es ilegal. No importa que no sea personal del mall el que haga el procesamiento de los datos. Es ilegal. ILEGAL.

– Pero Vladimir, el artículo 20 de la ley establece que el tratamiento de datos personales por parte de un organismo público sólo podrá efectuarse respecto de las materias de su competencia y con sujeción a las reglas precedentes. En esas condiciones, no necesitará el consentimiento del titular. ¿Cómo es que la policía no está facultada?

Buena pregunta. Precisamente porque no existe una autorización legal que explicite las reglas precedentes que permitan explicar el modo en que las policías podrían proceder en este caso y cuáles son sus limites es que podemos decir que no están facultados.

Y, nuevamente, la implementación de un sistema de identificación masiva implica una vulneración de derechos tan desproporcionada a ciudadanos inocentes, que no es adecuada la invocación de dicho artículo para una actuación de este tipo.

¿Y quién fiscaliza?

Y, aunque la ley es clara respecto a todos estos puntos, lamentablemente no existe ninguna institución estatal que vele por la protección de los datos personales. Esa figura está contenida en el proyecto de ley que pretende reemplazar a nuestra pobre normativa en la materia, al mismo tiempo que se hace cargo específicamente de los datos biométricos, en el marco de poder generar un cuerpo legal capaz de proteger efectivamente a las personas, su privacidad y sus datos. Es decir, precisamente en el sentido contrario al que apunta una medida como la de Mall Plaza.

La discusión sobre los datos biométricos se está dando donde corresponde, en el Congreso Nacional y no necesitamos ninguna iniciativa de una empresa – Mall Plaza o la que sea – para poder generar ese debate.

En ese sentido, a diferencia de lo que plantea el Consejo para la Transparencia, no hago un llamado a las personas, sino a la autoridad a exigir el cumplimiento de la ley y defender los derechos que esta concede, por modestos que sean en su forma actual.