¿Se han violado los derechos humanos en internet en Colombia? Necesitamos explorar esa posibilidad

Desde el pasado 14 de mayo, y a partir de las denuncias sobre presuntas violaciones a los derechos humanos en el marco de las protestas que se desarrollan a nivel nacional desde el 28 de abril, la CIDH solicitó al gobierno colombiano una visita urgente de verificación, la cual fue reiterada el 25 de mayo luego de que el gobierno propusiera hacerla después de la audiencia programada para el 29 de junio.

La visita será la próxima semana y no incluye en su agenda la revisión de afectaciones a los derechos humanos utilizando herramientas tecnológicas y en el ámbito digital. Por eso, la Fundación Karisma con apoyo de otras organizaciones locales ha enviado una carta a la CIDH, pidiendo que se incluyan estos temas durante las jornadas de verificación.

Incidentes en la red

El 28 de abril estallaron en Colombia una serie de protestas, primero contra el proyecto de reforma tributaria propuesto por el gobierno, pero también contra el proyecto de reforma a la salud y la crisis generalizada de derechos humanos, que durante la pandemia se ha intensificado. Las protestas se han mantenido por más de un mes y han convocado a los más diversos sectores sociales.

Desde el primer día de protestas las redes sociales se llenaron de denuncias sobre abuso de la fuerza, uso de armas no convencionales y de fuego por parte del Escuadrón Móvil Antidisturbios (ESMAD) de la Policía Nacional, y también sobre bloqueos de contenido y de cuentas que estaban haciendo estas denuncias en plataformas como Instagram, Facebook y Twitter. En aquel entonces, por unas horas, el sistema de tendencias en Twitter dejó de funcionar, lo que fue percibido como un acto de censura, aunque luego se reportó una falla técnica en varios países.

Además, el 6 de mayo muchas personas empezaron a reportar que las historias en Instagram relacionadas con #ParoNacional desaparecían. A las pocas horas, la plataforma informó que se trataba de una situación global y generalizada, no relacionado con algún tema en particular.

Una vez solucionado el problema, que afectó los destacados, historias y archivos de la plataforma, especialmente los contenidos compartidos, Instagram nuevamente comunicó que los reportes provenían principalmente de Colombia, comunidades indígenas en Estados Unidos y Canadá, y Palestina. Sin embargo, los lugares con mayor afectación fueron Estados Unidos y Brasil. Como manifestó Carolina Botero, directora de Karisma, la explicación de Instagram requiere mayor análisis dada la afectación particular sobre poblaciones que se encontraban en crisis sociopolítica por esos días.

Por otra parte, el 3 de mayo en la ciudad de Cali se transmitió en vivo el asesinato de un manifestante; esa misma noche, se denunció la muerte de al menos tres personas en el sector de Siloé, al occidente de la ciudad. En medio de la tensión, la noche del 4 de mayo muchas organizaciones de derechos humanos y medios alternativos denunciaron en redes que en los puntos de concentración en Cali (especialmente en Siloé) se estaba bloqueando completamente la conexión a internet, mientras la policía atacaba a les manifestantes.

En la mañana del 5 de mayo, Netblocks publicó un reporte que confirmaba la interrupción parcial del servicio en Cali. En respuesta a las denuncias, tanto el Ministerio TIC, como la Comisión de Regulación de Comunicaciones (CRC) y las empresas EMCALI y Movistar, emitieron comunicados donde se concluyó que sí hubo fallas técnicas en el servicio de internet fijo debidas al robo de un cable, y que por la situación de orden público no fue posible repararlas de inmediato; pero definitivamente “no hubo una interrupción deliberada del servicio”.

Esta conclusión, que corresponde con el reporte técnico, abrió otras interrogantes, dado que las denuncias de desconexión se estaban haciendo desde un sector al occidente de Cali y principalmente en internet móvil, mientras que el daño técnico se reportó al oriente de la misma ciudad, afectando principalmente conexiones fijas.

De acuerdo con Carolina Botero, si bien es posible que la red se haya saturado esa noche, también se podrían estar utilizando inhibidores de señal, los cuales están prohibidos en todo el territorio nacional, excepto para organismos de seguridad del Estado, quienes podrían utilizarlos sin autorización del Ministerio TIC, en casos relacionados con la seguridad pública. Además, también se denunció el uso de estos inhibidores el 12 de mayo, en los alrededores del Estadio Romelio Martínez de la ciudad de Barranquilla, donde se jugaba un partido de fútbol en medio de las protestas.

Teniendo en cuenta los cuestionamientos sobre la autonomía de la CRC y su falta de incidencia sobre la gestión del espectro, desde hace tiempo Karisma ha insistido en la necesidad de que existan mecanismos transparentes para regular y escrutar, no solo al sector privado, sino también al sector público. Esto se evidencia en la denuncia sobre el bloqueo de los dominios archive.org y ghostbin.co por parte de las empresas EMCALI y Avantel, en respuesta a una resolución expedida por la Superintendencia de Industria y Comercio, y vigilada por el Ministerio TIC.

Como también señaló Karisma, esta resolución podría ser legítima, pero desconoce el funcionamiento de internet y la imposibilidad de bloquear solamente una URL, lo que la hace completamente desproporcionada. Vale decir que la resolución surge en respuesta al filtrado de da t os personales de altos mandos militares, realizado por Anonymous como forma de protesta el 4 de mayo.

Estas acciones, cuya legitimidad no es tema de discusión aquí, junto a otras como el saboteo a ciertos hashtag por parte de K-poppers, han servido al gobierno para alimentar una campaña de estigmatización a la protesta digital que, a través de lo que el Ministerio de Defensa ha denominado “ciberpatrullajes”, amenaza a libertad de expresión, según ha señalado la Fundación para la Libertad de Prensa (FLIP).

Este panorama es especialmente preocupante si recordamos las “medidas preventivas” desplegadas en Colombia previo a las manifestaciones del 21N de 2019, que supuestamente incluían la adecuación de aeronaves con sofisticados sistemas de reconocimiento facial, sobre los cuales no hemos tenido noticias durante estas jornadas de protesta.

Preocupante además, porque luego del escándalo sobre perfilamiento a periodistas, activistas y opositores al gobierno por parte del Ejército Nacional a principios de 2020, se denunció que la Policía planeaba comprar un sistema completo de “ciberinteligencia” por alrededor de un millón de dólares. Si bien esta compra fue cancelada, Karisma analizó sus características técnicas, que incluían no solo la capacidad de analizar información sino de infiltrarse en actividades a través de medios digitales.

Esperamos que la CIDH atienda al llamado que hacen las organizaciones locales en Colombia y que apoyamos en América Latina, para reconocer las graves afectaciones a los derechos humanos en el entorno digital durante las protestas en Colombia, que hoy cumplen 38 días consecutivos.

Los impactos de la vigilancia más allá de la privacidad

Mientras a nivel internacional avanza la demanda por prohibir el uso de las tecnologías de vigilancia hasta alcanzar estándares rigurosos en materia de derechos humanos, en América Latina observamos una nueva y silenciosa tendencia a adquirir y usar dichos sistemas para controlar el acceso a la protección social, es decir, a las políticas desarrolladas para disminuir la pobreza, la vulnerabilidad social y la exclusión.

Nuestra región —la más desigual del mundo— durante las últimas décadas se ha convertido en ejemplo internacional en la puesta en marcha de programas de protección social. Sin embargo, el aumento de las condiciones impuestas para acceder efectivamente a los beneficios, tanto explícitas como implícitas, atenta contra la finalidad de proteger y garantizar derechos básicos. Si sumamos la mediación tecnológica a través de sistemas biométricos, como el reconocimiento facial, la recolección de huella dactilar, aplicaciones web o registros digitales unificados, se corre el riesgo de profundizar las desigualdades que se intentan erradicar.

El relator especial de Naciones Unidas sobre la extrema pobreza y los derechos humanos ha identificado algunos usos de tecnologías en los sistemas de bienestar alrededor del mundo. El listado incluye la verificación de identidad, la evaluación de criterios para recibir ayudas, el cálculo y pago de prestaciones sociales, la prevención y detección del fraude, la clasificación de riesgo y necesidades, así como la comunicación entre autoridades y las personas destinatarias de las políticas de protección social.

Varios de los usos señalados ya existen en América Latina. En Venezuela, se han implementado sistemas biométricos para controlar la adquisición de productos de primera necesidad, lo que resultó en varias denuncias de discriminación hacia personas extranjeras y, especialmente, personas transgénero. Sumado a las discriminaciones prexistentes contra poblaciones históricamente vulneradas, este tipo de iniciativa implica el ejercicio de una vigilancia diferenciada, que agrava la desprotección de las personas en situación de mayor vulnerabilidad y que, por lo tanto, más dependen del apoyo del estado.

Medidas similares se han implementado en otros países de la región e incluyen el uso de reconocimiento facial para controlar el acceso de beneficios especiales en los sistemas de transporte de distintas ciudades de Brasil o, incluso, el ingreso a instituciones educativas; propuestas similares han sido presentadas en el marco del retorno a clases presenciales en Chile. En el contexto de la pandemia mundial por COVID-19, en El Salvador y Perú se han utilizado sistemas de reconocimiento facial para controlar potenciales fraudes en exámenes educativos realizados de manera remota, situación particularmente delicada al tratarse de personas menores de edad.

En el caso de Bolivia, observamos como la digitalización, presentada muchas veces bajo la promesa de mayor eficiencia en la gestión pública, no solo es insuficiente para solucionar problemas estructurales de acceso a servicios básicos del Estado, si no que además abre espacios para nuevas formas de discriminación. Un análisis exploratorio sobre el rol de las tecnologías en la entrega de ayudas económicas a la población en el marco de la pandemia de COVID-19 evidencia las diversas capas de complejidad que implica tal uso.

Brasil y su programa de auxilio de emergencia es otro claro ejemplo. La decisión de utilizar aplicaciones móviles para que las personas puedan solicitar la ayuda tuvo como consecuencia un incremento en las dificultades de acceso a los beneficios. Quienes más necesitan apoyo no siempre disponen de un dispositivo con conexión a internet, un número de teléfono o incluso (y más grave aún) un documento de identificación. El sistema propuesto no consideró las necesidades de las destinatarias. En este sentido, organizaciones brasileñas presentaron preocupaciones en relación a la transparencia y garantías de seguridad ofrecidas por la aplicación respecto a los datos recolectados.

Además, la implementación de tecnologías agrega nuevas capas y agentes al procesamiento de datos personales, e implica un aumento de vulnerabilidades en términos de seguridad y protección contra usos abusivos. Lo mismo es válido para las propuestas de integración e interoperabilidad de bases de datos, identidad única, automatización y predicción. En nuestra región estas prácticas abundan, sea en formato piloto o en propuestas de acción, impulsadas muchas veces por entidades financieras internacionales.

La publicación “Sistemas de identificación y protección social en Venezuela y Bolivia. Impactos de género y otros tipos de discriminación” aborda algunos de estos temas a partir de análisis de casos en ambos países, donde se alerta sobre las implicancias de la mediación tecnológica en relaciones entre estado y ciudadanía. Además, propone una reflexión sobre los impactos que las tecnologías de vigilancia pueden tener en el acceso a derechos sociales y económicos, y en cómo la digitalización puede profundizar la desigualdad, en especial, cuando implica el acceso a datos por parte de agentes privados o la mediación algorítmica por medio de sistemas de clasificación.

Consideramos que estos son puntos centrales que deben ser discutidos. Más todavía cuando la pandemia no muestra señales de detenerse en la región, y la pobreza y extrema pobreza alcanzan niveles inéditos.

“Sistemas de identificación y protección social en Venezuela y Bolivia. Impactos de género y otros tipos de discriminación” será lanzada el próximo miércoles 14 de abril, junto a un grupo muy especial de expertas y expertos que comentarán los casos presentados y aportarán sus propias perspectivas a la discusión. El evento se transmitirá en vivo. Si te interesa participar, toda la información la encuentras aquí.

Sistemas de identificación y protección social en Venezuela y Bolivia: vigilancia, género y derechos humanos

Descargar PDF

Investigación que indaga en la implementación de distintos sistemas tecnológicos para controlar el acceso a la protección social en Venezuela y Bolivia.

Desentrañando la vigilancia que llegó junto a la pandemia

En marzo de 2020, en un par de semanas, varios países de América Latina confirmaron sus primeros casos de Covid-19 y adoptaron medidas para evitar la propagación. Luego de que la Organización Mundial de la Salud (OMS) declaró la pandemia del virus, comenzaron los esfuerzos de confinamiento obligatorio en la región, y también en Chile.

En el marco de la iniciativa “Sonríe #estamosvigilando”, coordinada por el Centro por la Justicia y el Derecho Internacional (CEJIL), el pasado 18 de marzo presentamos solicitudes de acceso a la información pública para conocer los aspectos asociados a las tecnologías utilizadas por el gobierno, CoronApp y el sitio web Comisaría virtual (comisariavirtual.cl). El objetivo es identificar las prácticas que busquen garantizar la transparencia y la protección de los derechos humanos frente a la ejecución de tecnologías de gestión de la información durante este periodo, además de saber cuánto se dirige a fines sanitarios, y cuánto a crear nuevas formas y mecanismos de vigilancia.

A medida que la pandemia ha avanzado, los Estados y los actores privados se han apresurado en implementar soluciones tecnológicas que prometen identificar y rastrear el virus para contenerlo. Pero, al mismo tiempo, estas soluciones recogen información que es útil para vigilar y seguir a las personas mediante datos telefónicos, reconocimiento facial, cámaras, georreferenciación, control de la temperatura y otros. En este proceso, las aplicaciones conservan datos personales y sensibles sin las suficientes garantías para su protección o tratamiento. Por esto, a raíz de los riesgos que presentan para los derechos humanos, resulta necesario saber las condiciones de diseño e implementación.

Tanto CoronaApp como el sitio web Comisaría virtual proponen varias funcionalidades sin dar a conocer cuál es su utilización real y, como Derechos Digitales ha destacado desde su activación, parecieran ser problemáticas. De acuerdo a la legislación vigente en Chile, los datos necesarios para activar la aplicación o para obtener permisos y salvoconductos en comunas con restricciones de movilidad, cada vez que dan cuenta del estado de salud o hábitos personales del usuario se trata de datos personales o datos personales sensibles.

Esto genera dudas respecto al uso de información recabada mediante CoronaApp, en tanto se solicitan datos que permiten identificar a las personas como el nombre, DNI y edad. Lo mismo sucede con la Comisaría Virtual, pues al no existir claridad acerca de sus condiciones de procesamiento, es posible que la herramienta administrativa se convierta en un mecanismo de perfilamiento y vigilancia. Asimismo, las políticas de privacidad de dichas tecnologías no precisan las medidas de seguridad y confidencialidad según las que serán guardados estos datos, y solo abordan de manera genérica las condiciones de almacenamiento, acceso y uso de la información recolectada. Tampoco se establecen con claridad las condiciones y periodos de almacenamiento de la información, ni un procedimiento para que los titulares puedan ejercer su derecho de acceso, rectificación, cancelación u oposición de esos datos de acuerdo a la Ley Nº 19.628.

A falta de mejores resguardos normativos, la transparencia sobre las condiciones de tratamiento de datos personales se hace más relevante. Por consiguiente, hemos solicitado a los distintos organismos involucrados tanto en la implementación de dichas plataformas, como en la fiscalización y promoción de las garantías fundamentales que podrían verse afectadas por estos sistemas de recolección y uso de datos personales. Además de una serie de requerimientos de información pública sobre el uso y el impacto de estas tecnologías, para garantizar que la vigilancia no viole otros derechos fundamentales, como la privacidad, el acceso a la información, la integridad personal, o los derechos a la igualdad y a la salud.

La información sobre las políticas de privacidad existentes no es suficiente y, del mismo modo, la forma en que los datos han sido manejados a lo largo del primer año de la pandemia se torna preocupante. Entre otras cosas, solicitamos información respecto a especificaciones técnicas de las tecnologías, las finalidades específicas de la recolección y tratamiento de las distintas categorías de datos recolectados, los mecanismos y plazos de almacenamiento, los datos que son objeto de transferencia y bajo qué condiciones, así como antecedentes y evaluaciones jurídicas que den cuenta de una evaluación previa a la puesta en marcha de los sistemas.

Cuando se despliegan herramientas tecnológicas con propósitos de interés público, las medidas adoptadas deben ser transparentes, y deben ser evaluadas para determinar su eficacia e impacto en los derechos fundamentales. Esto es importante, sobre todo cuando estamos frente a un patrón de adquisición o producción de tecnologías digitales susceptibles a convertirse en factores útiles para la vigilancia como parte de las funciones estatales.

La implementación de estas herramientas no puede llevarse a cabo afectando los derechos fundamentales. Cualquier persona debería tener derecho a acceder a toda la información relevante sobre las tecnologías de vigilancia desplegadas, incluyendo el alcance, el objetivo de los datos recogidos y los resultados.

Ley de datos personales: sin pausa, pero sin prisa y de cara a la sociedad

El Salvador es uno de los pocos países en la región que aún no cuenta con una legislación específica para la protección de los Datos Personales. A pesar de contar con algunas reglas dispersas, como un breve capítulo en la Ley de Acceso a la Información Pública (LAIP) y algunas normas en leyes sectoriales (Ley de Regulación de los Servicios de Información sobre el Historial de Créditos de las Personas, Ley de la Firma Electrónica, Ley de Partidos Políticos, por mencionar algunas), todavía no existe una ley general en la materia. El propio derecho de acceso a la información personal (Habeas Data) en el país constituye un destacado desarrollo de la jurisprudencia, formulado por la Sala de lo Constitucional de la Corte Suprema de Justicia.

Así las cosas, la necesidad de tener una legislación especializada y coherente con los estándares internacionales de derechos humanos, que abarque el ámbito público y privado, es primordial. No solamente por la necesidad de actualización frente al procesamiento manual de datos del pasado, sino por el crecimiento de la capacidad de procesamiento automatizado que atraviesa cada aspecto de la vida social, en el presente y el futuro, a nivel nacional y global. A pesar de la escasa protección en el ámbito preventivo, asistimos al uso cada vez más frecuente de herramientas tecnológicas, tanto en lo público como en lo privado, sobre las cuales pocas veces se reflexiona y sobre las que la ley tiene alcance limitado para proteger los derechos de las personas.

La ausencia de reglas expresas que permitan la protección de la información personal, tiene ejemplos concretos de riesgos, tanto de parte del Estado como de privados. Desde el año 2017 la Alcaldía del municipio de Santa Tecla ha desplegado cámaras con reconocimiento facial; en la misma línea, el gobierno central solicitó un préstamo para financiar su estrategia de combate a la delincuencia, en el que se incluía la compra de cámaras con tecnología de reconocimiento facial, la compra de drones para la Policía y para el Ejército, y la instalación de centros de monitoreo para ambas instituciones. La empresa privada no se queda atrás: en algunos centros comerciales, a raíz de la pandemia, se instalaron cámaras térmicas para medir la temperatura de los visitantes, sin que se sepa a ciencia cierta si están dotadas con tecnología para el reconocimiento facial o si se almacenan las imágenes captadas; todo sobre lo cual no se informa a los usuarios al ingresar.

En este contexto de uso de tecnologías susceptibles de almacenar datos personales como las descritas, se anunció la discusión en la Asamblea Legislativa de un proyecto de Ley de Protección de Datos Personales, lo que constituye en principio una excelente noticia. La propuesta se encuentra en discusión previa aprobación del articulado dentro de la Comisión de Economía donde, una vez obtenido dictamen favorable, el proyecto pasará a discusión en el Pleno Legislativo.

Si bien es cierto que tanto la información oficial como la de prensa dan cuenta de la participación de algunas instituciones de la sociedad civil en el proceso consultivo de las distintas propuestas de anteproyecto, no se tuvo una publicidad adecuada para que cualquier ciudadano pudiera expresar su opinión sobre la normativa y se produjera un debate más amplio en la sociedad acerca de aspectos que necesitan ser incorporados en esta regulación. Además, mucha de la discusión se dio en el marco de la emergencia por COVID-19, lo que distrajo naturalmente la atención de la ciudadanía. Sin embargo, por ser un tema de mucha importancia para el país, la discusión merece al menos una atención amplia, por lo determinante que resulta para el ejercicio de los derechos fundamentales de las y los salvadoreños. A continuación presentamos nuestra breves consideraciones geenerales sobre el Anteproyecto de Ley unificado, para contribuir a este debate, en la mira de involucrar a la ciudadanía con su atención a esta discusión.

Antecedentes sobre la protección de datos personales en El Salvador

La protección de datos personales en El Salvador tiene su mejor expresión no en la ley, sino en la jurisprudencia. Desde la sentencia de Amparo 934-2007, la Sala de lo Constitucional sostuvo que “… el derecho a la autodeterminación informativa tiene por objeto preservar la información de las personas que se encuentra contenida en registros públicos o privados frente a su utilización arbitraria —especialmente la almacenada a través de medios informáticos—, sin que necesariamente se deba tratar de datos íntimos”.

En la sentencia de Amparo 142-2012, la Sala desarrolló el contenido del derecho a la autodeterminación; señaló que la faceta material de este derecho permite a las personas definir la intensidad con que desea que se conozcan y circulen tanto su identidad como otras circunstancias y datos personales; combatir las inexactitudes o falsedades que las alteren; y defenderse de cualquier utilización abusiva, arbitraria, desleal o ilegal que pretenda hacerse de esos datos; que, para conseguir estos fines, se cuenta con la técnica de protección de datos, que se encuentra integrada por un conjunto de derechos subjetivos, deberes, principios, procedimientos, instituciones y reglas objetivas. En esta sentencia se desarrollan los derechos de los usuarios, así como los principios de la protección de datos personales y algunas reglas para este fin.

Estas sentencias fueron el antecedente para la protección de datos personales. Algunas de estas consideraciones fueron incorporadas en la Ley de Acceso a la Información Pública (art. 31 a 39) y en los Lineamientos Generales para la Protección de Datos Personales en los Entes Obligados, emitidos por el Instituto de Acceso a la Información Pública (IAIP). Se trata de un reconocimiento todavía limitado, que el nuevo anteproyecto vendría a complementar.

El anteproyecto de ley de datos personales

La propuesta de Ley declara su objetivo en su artículo 1: la protección de los datos personales de las personas naturales “… para garantizar el derecho a la intimidad y el derecho a la autodeterminación informativa de las personas naturales”. Resulta muy positivo que se considere el derecho a la autodeterminación informativa como un derecho autónomo del derecho a la intimidad. Sin embargo, aunque en su articulado hay una lógica de interconectar la autodeterminación informativa con otros derechos como la libertad de expresión y el acceso a la información, hubiera sido provechoso dejar en claro esta relación en los considerandos o de manera más explícita en las disposiciones normativas.

El anteproyecto apunta a la regulación del tratamiento de datos personales en general. Sin embargo, al fijar su propio ámbito de aplicación, la propuesta contempla excepciones con algunos elementos que levantan alertas. Por ejemplo, se excluye de la aplicación de la ley a los datos del historial crediticio, hoy regulados en una normativa específica, impidiendo así parámetros comunes para la protección de datos. Por otro lado, excluye la recolección para fines familiares, referidos a los que carezcan de “utilización comercial”, dejando amplio margen de interpretación para excluir de la aplicación de la ley. Finalmente, se excluye el uso de datos con fines de “seguridad pública” o “seguridad del Estado”, sin suficiente precisión sobre el alcance de tales conceptos que permita prevenir las injerencias estatales arbitrarias en la esfera de la autodeterminación informativa, sobre todo mediante tecnologías de vigilancia. Se trata de exclusiones amplias, que restan protección a la información personal en una vasta cantidad de posibles usos por empresas y por el Estado.

Las definiciones del anteproyecto también muestran falta de claridad o precisión. Por ejemplo, el proyecto señala que, por el principio de legalidad, los datos “…deben ser procesados de manera legal”, una expresión circular que no conduce a nada. Por el contrario, la definición debería considerar que, por este principio, la información debe ser procesada en una base jurídica clara, con un propósito claro, y de una manera justa y transparente. Por otra parte, la redacción del principio de privacidad es confusa, mientras que la referida al principio de licitud está poco desarrollada. Y hay aun más ejemplos que demuestran la necesidad de un debate más robusto que auxilie a la redacción de la ley.

También merece atención la protección a una de las categorías especiales de información: los datos personales de niños, niñas y adolescentes. No basta con mencionar únicamente el interés superior de las personas menores de 18 años o las leyes y tratados internacionales pertinentes para considerar que se está prestando la atención requerida a esta categoría de datos. El tratamiento de estos datos debe ser lo más restrictivo posible y no puede permitirse su tratamiento libre, aunque estos sean de naturaleza pública. Esta carencia debe ser subsanada por la ley.

La propuesta de normativa desarrolla los derechos de las personas sobre los datos de los que son titulares, consagrando así los denominados derechos ARCO (acceso, rectificación, cancelación y oposición), siguiendo la tradición y la práctica de muchos países en la materia (Art. 6). Sin embargo, tanto la definición de estos derechos como su operatividad resultan problemáticos. Por un lado, el legislador está equiparando el derecho de cancelación o eliminación de datos con el “olvido”, y al derecho de oposición lo denomina derechamente “derecho al olvido”. Podría pensarse que es una confusión o que se trata de meros sinónimos, pero al momento de señalar las excepciones al derecho de supresión (art. 10), se incluye la hipótesis de que los datos sean necesarios para ejercer la libertad de expresión y prensa, algo que no podría ser congruente si se estuviera legislando sobre el derecho al olvido.

Por otra parte, las excepciones a los derechos ARCO (Art. 18) contienen disposiciones de interpretación muy amplia. Por ejemplo, puede negarse el ejercicio de los derechos en caso de lesiones a los derechos de un tercero, sin más desarrollo que permita saber cómo se acredita esa lesión o por quién; se menciona también la resolución de una “autoridad competente” sin especificar de qué autoridad se trata; finalmente, autoriza la denegación de los derechos de manera genérica en “los demás casos establecidos en la presente ley u otras leyes aplicables”, sin exigir el cumplimiento de estándares de legalidad, necesidad y proporcionalidad en la afectación del ejercicio de derechos fundamentales.

El artículo 56 autoriza el tratamiento de datos para la elaboración de perfiles con fines promocionales, comerciales o publicitarios. Aunque se señala que estos datos deben haber sido obtenidos con el consentimiento de los usuarios, más parece una “solución” para aquellos casos en los que las empresas recolectan datos sin que los usuarios lo sepan, que una obligación para cumplir con este requisito de consentimiento informado. Por otro lado, no se hacen exigencias adicionales para el consentimiento expreso para transferir a terceros los datos que ha recopilado de esta forma y para estos fines.

La necesidad de una autoridad de control

Como es habitual en las discusiones modernas sobre protección de datos personales, se intenta regular teniendo en mente la existencia de una autoridad de control de datos personales, es decir, un órgano estatal encargado de la fiscalización y la observancia de la ley. Esta discusión no está del todo zanjada en el proyecto de ley de datos personales, y es un debate legislativo complejo y con distintas posiciones dentro del país.

En las discusiones sobre la autoridad que debería encargarse de la protección de los datos personales, se han barajado al menos tres opciones: 1. Que asuma ese rol el Instituto de Acceso a la Información Pública, el ente que actualmente tiene bajo su competencia velar por el acceso a la información pública y la protección de los datos personales en el Estado; 2. Que la Dirección de Protección al Consumidor (DPC) tenga esa competencia; y, 3. Que se dé origen a un nuevo ente público. Los argumentos a favor de cada una de ellas varían entre la disponibilidad inmediata de personal capacitado en el IAIP, la visión más comercial de incluir a la DPC y la ventaja de formar desde cero un nuevo ente, autónomo, independiente, con capacidad técnica y con presupuesto propio. A esas opciones se suma una cuarta alternativa: la competencia en esta materia podría recaer sobre una Autoridad Nacional Digital, regulada por una ley especial bajo el mismo nombre, que, además, tendría atribuciones sobre el acceso universal a internet, el comercio electrónico, la economía del conocimiento, la firma electrónica y la ciberseguridad.

Consideramos que la multiplicidad de funciones puede generar controversias innecesarias cuando se trate, por ejemplo, de la protección de datos personales frente a injerencias de empresas que puedan ver esta protección como una limitante para el desarrollo de sus negocios en el ámbito del comercio electrónico. A la vez, la multiplicidad de funciones puede ser contraria a la especialidad técnica que la protección de datos personales requiere, en particular frente a los desafíos de la tecnología y a la creciente complejidad de los modelos de explotación de la información personal. La autoridad que proteja los datos personales debe estar disponible de manera especial para ese fin, con suficiente autonomía para garantizar una real independencia para aplicar la ley y velar por los intereses y derechos de los titulares de los datos personales, tanto a entes públicos como privados que colectan datos personales, con facultades fiscalizadoras y sancionatorias que hagan efectiva la protección.

Por cierto, no se trata de problemas insalvables. Pero creemos que partes relevantes de la capacidad operativa de la propia ley y el establecimiento de sus mecanismos de observancia no deberían ser dejados a una discusión posterior sobre la autoridad de control. Esta es la oportunidad de fijar no solamente los parámetros sustantivos para la protección de la autodeterminación informativa, sino también el marco para permitir su cumplimiento, tanto a petición de los titulares como por la intervención proactiva de una autoridad fuerte.

Próximos pasos hacia una ley de datos personales

Como Derechos Digitales, hemos acompañado varios procesos en la región para la discusión y desarrollo de normativa de protección de datos personales y nos ponemos a disposición de la discusión en El Salvador para poder aportar desde esa experiencia Latinoamericana. Sabemos que no es tarea fácil para los países que se ponen de cara a ese desafío, pero hemos visto cómo la participación de grupos amplios de sociedad civil con conocimiento técnico en la materia puede ser un aporte para perfeccionar la técnica legislativa, en una forma consciente de los desafíos y oportunidades de cada realidad nacional. Con los puntos aquí presentados buscamos llamar la atención sobre la necesidad de discutir en profundidad un tema que es de vital importancia para las y los salvadoreños: La recolección de datos se da en muchísimos ámbitos de nuestras vidas, desde acceder a un sitio web, caminar en una calle con cámaras de vigilancia, comprar en línea, usar aplicaciones bancarias, ingresar a centros comerciales, residenciales o sitios de entretenimiento. La tecnología avanza en la sociedad, y los derechos no pueden quedarse atrás. Esperamos que los legisladores salvadoreños asuman hoy la responsabilidad de modernizar la legislación de un modo sensible a las necesidades de protección de la ciudadanía sin pausa, pero sin prisa para un buen resultado de protección.

Sucesos regulatorios en materias de privacidad e internet en Latinoamérica

Descargar PDF

Análisis de los cambios en materias legislativas y jurisprudenciales en materias como protección de datos personales, actividades de vigilancia e inteligencia, delitos contra la intimidad, reglas sobre retención de datos y normas sobre biometría

Sobre la (in)violabilidad de las comunicaciones

El derecho a la inviolabilidad de las comunicaciones privadas es un derecho fundamental contemplado en las principales convenciones internacionales sobre derechos humanos. En Latinoamérica, la mayoría de sus países reconoce a nivel constitucional la inviolabilidad de las comunicaciones como un derecho fundamental y que, por tanto, solo puede ser suspendido en casos excepcionales y bajo las condiciones establecidas en una ley. O, al menos, así debería ser.

Los estudios, sin embargo, muestran que el uso de medidas investigativas intrusivas de la privacidad de las personas, entre ellas, la interceptación de las comunicaciones, es una práctica que está lejos de ser excepcional.

Interceptación de las comunicaciones

Dado su carácter de derecho fundamental, la regla general es que el derecho a la inviolabilidad de las comunicaciones solo pueda ser limitado en los casos y bajo las circunstancias establecidas expresamente por ley, lo que se da, generalmente, en el marco de investigaciones penales o por motivos de seguridad del Estado.

Adicionalmente, estas medidas intrusivas suelen ir acompañadas por algunos mecanismos de control para evitar su principal riesgo: que terminen siendo ocupadas como herramientas de vigilancia estatal, especialmente en contra de ciudadanos y disidentes del gobierno de turno. Esto no es conspiranoia, la protección de las comunicaciones privadas frente a la vigilancia estatal se remonta a varios años en el pasado, siendo uno de los primeros antecedentes el caso de Giuseppe Mazzini, activista por la unificación italiana que descubrió que agentes estatales leían sus cartas.

Mecanismos de control de la vigilancia estatal

El principal mecanismo de control es la autorización judicial previa, pero algunos países han ido un poco más allá. Por ejemplo, en el caso de Brasil, una vez realizada la diligencia de interceptación, el juez debe decidir si los resultados son relevantes para la investigación. Otro caso interesante es el de Chile, cuya legislación exige, además de la autorización judicial previa, que la medida de interceptación sea notificada al afectado con posterioridad a su realización (artículo 224 del CPP). Sin embargo, la evidencia indica que los mecanismos de control existentes no son suficientes.

En el caso chileno, el mecanismo judicial ha mostrado ser mucho menos estricto de lo que debiera. De acuerdo a números recientes, se realizan alrededor de 66 interceptaciones diarias, por lo que es difícil que jueces estén analizando el mérito de las solicitudes. Estas solo debieran ser autorizadas bajo sospechas fundadas, basadas en hechos determinados, y para persecución de delitos que merezcan pena de crimen). En cuanto a la notificación del artículo 224, tampoco se cumple.

Actualmente el único mecanismo fiable de control que existe para comprobar cómo funcionan las interceptaciones del CPP es la entrega voluntaria que las principales empresas de telecomunicaciones realizan de datos anonimizados, lo que ha permitido evidenciar los problemas del sistema.

Pero el proyecto de ley sobre delitos informáticos pondría en riesgo este último mecanismo, al aumentar la sanción que arriesgan las empresas en caso de incumplir el deber secreto respecto de los requerimientos de interceptación que reciben. Con las nuevas reglas, bajo la amenaza de una sanción penal – hoy, multa administrativa-, difícilmente las empresas querrán colaborar con instancias de control ciudadano, como la encuesta Quién Defiende Tus Datos.

Una explicación posible para la falta de cumplimiento de esta obligación legal es la falta de capacidades técnicas para realizar las notificaciones exigidas por la ley. De ser este el caso, la dificultad podría ser fácilmente solucionada con la ayuda de las mismas empresas de telecomunicaciones que reciben las órdenes de interceptación.

Estas empresas fácilmente podrían comunicar a sus usuarios el hecho de haber sido objeto de escuchas telefónicas, una vez terminado el plazo de la investigación. Pero actualmente están impedidas de hacerlo. Esto, porque mientras no se formalice la investigación en su contra, el usuario afectado por una escucha telefónica no tiene calidad de interviniente en el proceso penal y, por tanto, el deber de secreto que pesa sobre las empresas de telecomunicaciones alcanza al propio usuario afectado. Esto último, por aplicación del secreto relativo del proceso penal chileno: las investigaciones del Ministerio Público sólo pueden ser conocidas por los intervinientes del proceso (artículo 182 CPP), es decir, fiscal, imputado, defensor, víctima y querellante (artículo 12 CPP).

¿Significa esto que las personas afectadas por interceptaciones no tienen derecho a saberlo? En ningún caso. El artículo 224 establece el deber de notificar al “afectado”, no al “interviniente”. Pero la falta de mecanismos de control eficaces y el desconocimiento de los afectados por esta clase de medidas permite que las mismas sean abusadas, llegando a usarse incluso para la creación de pruebas. Lo anterior es particularmente grave, considerando que ni siquiera el Congreso ha logrado que el Ministerio Público informe sobre el cumplimiento de sus obligaciones legales.

La solución

Dado que el Ministerio Público no está cumpliendo con el deber de notificación del artículo 224, y que se niega a entregar información al respecto, en una sesión reciente de la Cámara de Diputados de Chile, donde se discute el proyecto de ley sobre delitos informáticos, se propuso un mecanismo de control que pareciera ser una solución eficaz y eficiente: que sean las telcos las que cumplan con el referido deber de notificación.

Sin embargo, tanto los representantes del Ministerio del Interior y Seguridad Pública como del Ministerio Público se opusieron a la medida, sin ofrecer una alternativa, aún cuando durante la misma sesión admitieron no estar cumpliendo con la obligación legal de notificar al afectado.

Ante la falta de soluciones alternativas, lo razonable sería que se volviera a discutir la que, hasta ahora, pareciera ser la única solución efectiva.

Ni conspiranoia ni exageración. No necesitamos viajar cientos de años en el tiempo, recordando a Mazzini para justificar nuestra preocupación. Basta pensar en Edward Snowden, cuyo caso – lejos de ser el único- permitió develar la extensión de la vigilancia estatal.

La vigilancia por reconocimiento facial se extiende en la región

El fuerte impacto social y económico que la pandemia de COVID-19 ha tenido y seguirá teniendo en los países de América Latina se ha sentido también en la concepción que tenemos sobre el uso de tecnologías, en particular aquellas que permiten a las personas comunicarse a distancia. No obstante, la inclinación por soluciones tecnológicas y vigilantes a la emergencia sanitaria, no ha frenado la implementación de uno de los fetiches de la seguridad pública: el reconocimiento facial automatizado en el espacio público.

Aparece así una aparente paradoja, en tanto las medidas sanitarias a menudo exigen o recomiendan el confinamiento y, en caso de estar en la calle, el uso de mascarillas que limitan el reconocimiento. Sin embargo, al mismo tiempo se ha apostado por tecnologías de vigilancia biométrica como el reconocimiento facial, que además de ser presentada como extremedamante útil para cuestiones relativas a la seguridad pública, sería también necesaria para controlar la posibilidad de contagios en las ciudades, para fiscalizar el transito entre países (como si no se les identificara en los controles policiales), además de ser lo suficientemente avanzada como para aprender a reconocer a personas con barbijo. Y dado que las necesidades de seguridad se mantienen o aumentan (según sectores políticos, al menos), cabría seguir instalando tecnología de punta para observar a la población. A aquello que ya hemos sabido, se han sumado múltiples iniciativas para implementar la sospecha sobre la totalidad de las personas en el espacio público.

Más ojos sobre las ciudades

En Argentina, la Ciudad de Buenos Aires está usando un sistema de reconocimiento facial automatizado, el Sistema de Reconocimiento Facial de Prófugos (SFRP). Ese sistema, implementado en abril de 2019 y que la Asociación por los Derechos Civiles combate en tribunales por su inconstitucionalidad, llegó hasta las calles a pesar de su aparente falta de respaldo normativo. Esta imposición del gobierno de la Ciudad, en lugar de retroceder frente al rechazo de los grupos defensores de derechos humanos, fue fortalecida mediante un proyecto de ley para regular su funcionamiento como parte de los sistemas ya existentes de vigilancia. El rechazo de la sociedad civil no se hizo esperar.

El mismo mes de octubre en que se discutía el proyecto, Human Rights Watch acusó al gobierno federal de exponer información de niños, niñas y adolescentes, y al gobierno de la Ciudad de Buenos Aires de usar esa información en su propio SFRP, pese a la mala calidad de la información. A pesar de la escandalosa situación, la aprobación por la Legislatura de la Ciudad de la regulación legal del sistema, sirvió para validar su funcionamiento más que para restringirlo. Como acusaba la sociedad civil, se trató de una legitimación de un sistema ya implementado al margen de la legalidad, creando un estado de permanente sospecha sobre la ciudadanía en una de las ciudades más grandes de la región. En el resto del país también observan con interés la tecnología, omitiendo los peligros que involucra.

En México, varias localidades hacen sus propios esfuerzos por erigirse como defensores de la seguridad pública mediante la intrusión extrema en el espacio público. En Ecatepec, en el estado de México, el Proyecto Jaguar promete a la vez vigilancia de alta resolución y conectividad pública. No muy distinta es otra iniciativa en la Ciudad de México, enmarcada en contexto de pandemia (pero con antecedentes muy anteriores). En tanto, en el estado de Coahuila, se anunciaba que la reglamentación para un avanzado sistema de reconocimiento facial estaría lista, a pesar de que la tecnología misma ya estaba disponible. Es más, según relata Quinto Elemento, el sistema fue adquirido por compra directa a mediados de 2019, con la esperanza de desplegarlo a pesar de no contar ni con los datos necesarios para su eficacia, ni con la autorización legal suficiente. Una vez más, la tecnología aparece como un hecho consumado, aun cuando no puede operar, y su regulación como una formalidad secundaria.

En Uruguay, uno de los países más seguros en la región, igualmente avanza con fuerza el uso de reconocimiento facial con fines de seguridad en el espacio público. Ya en febrero de 2020, la misma empresa que mantiene cámaras en la entrada de recintos deportivos se adjudicó la licitación del Ministerio del Interior uruguayo para instalar cámaras con capacidad para el reconocimiento facial, 8 400 en todo el país. La autorización legal faltante, introducida después de esa compra mediante artículos en la Ley de Presupuesto Nacional, ha seguido avanzando recientemente en el Congreso, pese a la fuerte oposición de la sociedad civil.

Con el apoyo de decenas de organizaciones, el mensaje de rechazo a esta forma de vigilancia llegó a los legisladores. A pesar de que el mensaje ha sido también oído por miembros del Congreso, han avanzado medidas para el traspaso de bases de datos personales, facilitando así el funcionamiento técnico del sistema. Y ante la interpelación por los aspectos negativos del sistema, el gobierno ha respondido que las preocupaciones deberían haberse formulado antes del gasto de un millón de dólares en el software. Es decir, la tecnología termina siendo más importante que los derechos de las personas, y su adquisición un hecho entendido como consumado e irreversible. Una respuesta indefendible ante la exposición de un riesgo inaceptable.

El momento histórico

Sabemos que hay más iniciativas, como también que grandilocuentes anuncios a veces parecen no ser tan reales. La oferta de tecnología de reconocimiento facial en el espacio público, tanto con supuestos fines de seguridad como para combatir la pandemia, mediante la identificación de rostros con cubrebocas y todo. No se trata de un camino inevitable; sin embargo, una y otra vez hemos visto a gobiernos locales y nacionales priorizar la adquisición de una tecnología riesgosa y falible, y luego preocuparse de su regulación. Los gobiernos no han entendido que no es necesario prescindir de la privacidad y la libertad en nombre de la seguridad, y que las garantías fundamentales exigen una regulación estricta que no cree esa clase de riesgos.

Mientras así sea, debemos seguir exigiendo el rechazo y la prohibición del reconocimiento facial.

El regreso de los delatores en el proyecto de ley de delitos informáticos

En las últimas semanas se reactivó en el Congreso chileno la discusión del proyecto de ley sobre delitos informáticos, que implementa en Chile el Convenio de Budapest. Hasta ahora, la mayoría de las criticas se han centrado en tres temas: penalización del hackeo ético, modificación de las normas sobre retención de datos y acceso a comunicaciones, y ampliación de las facultades del Ministerio Público, incluida la eliminación del requisito de autorización judicial previa para determinadas diligencias.

Resumido en una sola gran crítica, el proyecto ha servido como excusa para inyectar de nueva fuerza el poder del Estado para invadir la privacidad y la autonomía de las personas. A pretexto de combatir el ciberdelito, el proyecto modificaría sustancialmente las actuales normas del código procesal penal chileno en materia de técnicas de investigación.

Pero hay otro aspecto de este proyecto que, a pesar de ser igualmente preocupante, no recibió mayor atención por parte de la Comisión: la utilización de agentes encubiertos para investigar a personas individualmente consideradas respecto de la generalidad de los delitos contemplados en el proyecto.

El agente encubierto es la medida investigativa más intrusiva que contempla nuestro ordenamiento jurídico y, por ello, históricamente ha sido limitada a la investigación de bandas delictivas organizadas y delitos de especial gravedad.

La marcha por implementar Budapest

El proyecto de ley Boletín 12192-25 sobre delitos informáticos tiene su origen en la suscripción y ratificación por parte de Chile al Convenio sobre ciberdelincuencia, también conocido como el Convenio de Budapest. En 2017, con la ratificación del convenio, Chile adquirió la obligación de adecuar su normativa interna y, por ello, el proyecto busca modificar distintos cuerpos legales. Si bien el proyecto ingresado al Congreso en 2018 era altamente cuestionable y peligroso, algunos puntos han sido subsanados en la tramitación.

Pero con la reactivación del proyecto, urgencia del Ejecutivo mediante, algunos riesgos para los derechos fundamentales vuelven a la vida. Preocupa que el proyecto pretenda expandir los mandatos generales sobre retención de datos, acceso a comunicaciones privadas de las personas y las facultades investigativas del Ministerio Público, al punto de prescindir de autorización judicial para determinadas diligencias. Argumentando que es necesario para la investigación de los delitos informáticos, se busca modificar las normas sobre medidas investigativas del código procesal penal, ampliando el poder de vigilancia estatal dentro y fuera de la red. Todo lo anterior sin siquiera ofrecer garantías para impedir el abuso de este tipo de medidas, por ejemplo, robustecer la obligación de notificar al afectado por las mismas.

De estas nuevas medidas y facultades investigativas, solo algunas se encuentran, hasta ahora, limitadas al ámbito del ciberespacio: preservación y custodia de los antecedentes de investigación, comiso y agente encubierto en línea. Pero la forma en que este último irrumpirá es extremadamente preocupante, pues podrá interactuar directamente con las personas de manera individual, sin necesidad de sospecha de actuación en organizaciones delictuales, para la investigación de cualquiera de las conductas tipificadas en el proyecto, sin atender a la gravedad de las mismas.

La irrupción cibernética del agente encubierto

La figura del agente encubierto fue introducida en nuestro país el año 1995, mediante la ley 19.366, sobre tráfico ilícito de estupefacientes y sustancias psicotrópicas, exclusivamente para la investigación de este tipo de ilícito. Su ámbito de aplicación en el régimen penal común fue ampliado para la persecución de la pornografía infantil en 2004 y en 2011 para la investigación de los delitos de tráfico ilícito de migrantes y trata de personas.

Recién en 2016 fue incorporada en el código procesal penal chileno, a raíz de la ley 20.931, que “facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como “ley corta antidelincuencia”. Esta fue la primera vez que se contempló la posibilidad de utilizar la figura del agente encubierto para delitos contra la propiedad, pero solo para aquellos cometidos por bandas complejas, imposibles de desbaratar sin hacer uso de este tipo de medidas.

Hoy esta medida se encuentra regulada en el artículo 226 bis del código procesal penal, bajo estrictos estándares de procedencia, exclusivamente para la investigación de los delitos ahí indicados y bajo fundadas sospechas de la participación de personas en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, requiriendo en todo caso autorización judicial previa.

El artículo 11 del proyecto de ley original sobre delitos informáticos contemplaba esta medida, pero limitada a la persecución de delitos cometidos por bandas organizadas. Hasta el día 8 de marzo de 2019 —plazo originalmente fijado para presentar indicaciones al proyecto de ley— este artículo solo fue objeto de 3 indicaciones, todas por su supresión total o parcial. Pero en enero de 2020 se propuso reemplazar su texto por uno nuevo, mediante una indicación del Ejecutivo que seguía de cerca lo propuesto por el Ministerio Público durante las sesiones de discusión. El nuevo artículo mantuvo la posibilidad de usar esta medida para la persecución de todos los delitos contenidos en el proyecto, pero además amplió radicalmente su ámbito de aplicación autorizando su uso para la persecución de sujetos individualmente considerados.

De la delación a la provocación

La medida del agente encubierto es de las más intrusivas en cualquier sistema de investigación criminal. Por ello, históricamente su aplicación ha estado limitada a la investigación de delitos cuya particular complejidad y gravedad justifique el uso de tales medidas. El proyecto de ley actual cambia ambas reglas: permite el uso de agentes encubiertos para investigar a personas que actúen individualmente y respecto de cualquiera de los delitos contemplados en la ley, ampliando de manera considerable el campo de aplicación de una medida que siempre debiese ser extraordinaria. Con esto, se infringen los requisitos de necesidad, proporcionalidad y legalidad que deben respetar las medidas intrusivas de investigación.

Además, este tipo de agentes difícilmente serán meros espectadores de los hechos que investigan. La realidad en la que se introduce siempre estará intervenida por su interacción con aquellos entre quienes busca permanecer encubierto. Por lo anterior, aun cuando se trate de una organización criminal, los casos en que estos agentes intervendrán en calidad de meros espectadores sin colaborar en la comisión de los delitos, serán excepcionales. De autorizarse el uso de agentes encubiertos para la investigación de personas individuales, podríamos pasar fácilmente de la investigación a la provocación, tal como sucedió con esta institución en sus orígenes. El agente encubierto nace de las actividades de espionaje político francés durante los años del absolutismo, derivando rápidamente en la provocación mediante el uso de “agentes provocadores” que promovían desordenes públicos para justificar el uso de medidas de persecución en contra de opositores. No obstante, la propuesta también los exime de responsabilidad de manera amplísima, favoreciendo una acción temeraria y perdonando anticipadamente la delincuencia de agentes estatales

Si, además, cómo pretendió originalmente el Ministerio Público, estos agentes pudieran ser introducidos en la sociedad sin necesidad de autorización judicial previa, se desdibujaría la división de poderes que debiese caracterizar a toda sociedad democrática. El control de este tipo de medidas sería prácticamente imposible.

Contra nuevos poderes desproporcionados para el Estado

El uso de agentes encubiertos es sin duda una amenaza para la democracia y de ahí que el legislador haya sido, hasta ahora, extremadamente celoso en su autorización. Permitir el uso de esta figura para vigilar a personas individualmente e investigar delitos comunes es absolutamente desproporcionado. Ello sería la normalización de una institución inquietantemente parecida a los delatores del período más oscuro de nuestra historia. Bajo esas condiciones la posibilidad real de ejercer determinados derechos como la libertad de expresión, es sencillamente imposible.

Ni aun las particulares características del ciberespacio, argumento recurrente para defender este tipo de medidas, justifican poner en peligro derechos tan esenciales como la privacidad, libertad personal y la seguridad individual (artículo 19 nº7 de la Constitución Política). De la misma manera que la persecución de los delitos informáticos no justifica la modificación de las reglas de investigación contenidas en el código procesal penal chileno para la persecución de delitos cometidos fuera del ciberespacio.

Vigilando la velocidad de conexión a internet y a sus usuarias

Asegurar la velocidad de internet es un deber en Chile. Así lo establece la ley desde noviembre de 2017, pero esta obligación no ha sido exigible por años, a falta de la emisión de normas adicionales por parte de la Subsecretaría de Telecomunicaciones de Chile (Subtel), según ordenaba la misma ley. Esto cambió a fines de julio de 2020. Después de un largo período de consideración, consultas públicas y pandemia, la Subtel finalmente emitió el reglamento que regula al organismo técnico independiente (OTI) encargado del cumplimiento de la ley, y la norma técnica con las condiciones de operación.

Sin embargo, con la emisión de las nuevas reglas se busca consolidar un esquema donde, a cambio de medir las condiciones de conectividad, se pide a cambio información personal de las usuarias de internet.

La propuesta de mediciones de calidad de la red

Para medir el cumplimiento de la oferta de velocidad por parte de los proveedores de servicios de internet, las reglas fijan la necesidad de monitorear esa velocidad. Con ese fin, el reglamento y la norma técnica piden que el OTI registre distintos datos y, en algunos casos, autoriza a Subtel a acceder a esa información. Pero el detalle de los datos que serán recolectados ha sido objeto de cuestionamiento.

Para la medición, el reglamento y la norma técnica definen tres elementos de monitoreo (art. 2 de la norma técnica):

Los ISP deben permitir al OTI el “acceso a sus sistemas de medición de tráfico en línea, a las capacidades instaladas y a las relaciones de interconexión entre sus nodos de redes de acceso, agregación y core” (art 13 de la norma técnica).
Realización de mediciones a través de sondas:
- Desde una sonda hasta un servidor nacional en la red del mismo ISP.
- Desde una sonda hasta un servidor nacional en la red de otro ISP.
- Desde una sonda hasta un servidor ubicado fuera del territorio nacional.
- Accesibilidad a sitios web nacionales e internacionales.
Realización de mediciones a través de un aplicación en el equipo del usuario:
- Desde la aplicación hasta un servidor nacional en la red del mismo ISP.
- Desde la aplicación hasta un servidor nacional en la red de otro ISP.
- Desde la aplicación hasta un servidor ubicado fuera del territorio nacional.
- Accesibilidad a sitios web nacionales e internacionales.

Pero no solamente se establecen esos registros. Se establece además que el OTI tendrá acceso a una serie de datos del cliente que instale la aplicación (art. 12 de la norma técnica), que incluyen:

IMEI, número telefónico, número de IP, IMSI, SimCard del equipo del usuario.
Identificador del ISP y nombre del operador de red de ser el caso.
Marca y modelo de equipo del usuario.
Fecha y hora de la medición.
Identificador de nodo de acceso.
Coordenadas de ubicación geográficas del equipo del usuario.
Porcentaje de uso de CPU y memoria del equipo del usuario al momento de la medición.
Niveles de potencia de señal y relación señal a ruido.

Si bien se puede argumentar que estos datos son necesarios para que la OTI realice el monitoreo respectivo y verifique si el proveedor de internet está cumpliendo con la velocidad promedio comprometida, el artículo 24 de la norma técnica establece que la Subtel tendrá acceso a toda esta información de manera agregada, desagregada, en tiempo real y georreferenciada.

Esto es complejo, ya que —como hemos señalado en el pasado— datos tales como el número de teléfono constituyen datos personales, capaces de identificar a la titular. Por otro lado, se incluye en la lista información que da cuenta de las actividades y los hábitos personales del usuario, como también su geolocalización y dirección IP. Es decir, información sensible. Subtel exige acceso a esta información de manera nominada, es decir, siendo capaz de vincular la información con la identidad de cada usuario.

Estas exigencias de datos por la Subtel no solo carece de sentido operativo, sino que van abiertamente en contra de las garantías constitucionales y legales sobre la información personal. Además, se trata de información que no le corresponde obtener a una entidad gubernamental sin una justificación de la legitimidad del fin perseguido, y sin consentimiento explícito de las personas titulares de los datos.

Si la finalidad es la publicación de informes estadísticos, entonces no es necesario que Subtel acceda a esta información de manera nominada, por lo que la medida resulta desproporcionada. En caso contrario, con el el fin de monitorear la velocidad de la conexión a internet, se está creando un riesgo innecesario de que la información sea mal utilizada, que se filtre o se abuse de ella.

Vinculado con lo anterior, y también preocupante, es el hecho de que no se establezca una finalidad específica y exclusiva para esta información recolectada. La norma técnica (art. 25) se limita a decir que esta información será utilizada con el objetivo de elaborar informes comparativos para difundir los resultados a las usuarias, “entre otros fines”. Con esta fórmula, el documento deja la puerta abierta para que estos datos sensibles sean utilizados para fines distintos, lo que contradice los principios de la legislación de protección de datos personales, dejando a los ciudadanos en una situación de indefensión frente al potencial de explotación no autorizada.

La recolección desproporcionada de datos, desde la perspectiva técnica

¿Es necesario hacer mediciones individuales de la velocidad de conexión a internet?

No. Si tomamos en cuenta que el OTI tendrá acceso a los sistemas de monitoreo y a las capacidades instaladas de todos los nodos (equipos de comunicación, ya sean routers o switches) de los ISP, asimismo tendrá la posibilidad de monitorear la saturación de tráfico por cada nodo, pudiendo de esta forma levantar la alerta o generar la notificación al ISP correspondiente. Este punto no es menor, pues al tener los datos de funcionamiento y calidad de red de cada nodo están accediendo al mismo nivel de información de quienes administran la red, a excepción de las configuraciones de los dispositivos. En otras palabras, este conglomerado de datos es bastante valioso para fiscalizar el correcto funcionamiento de las redes.

Cuando un ISP implementa un plan de internet a un cliente, básicamente, lo que hace es un Traffic Shaping (limitación de tráfico), lo que permite controlar la velocidad de transferencia máxima de la conexión contratada. En ese sentido, cabe la posibilidad de que el ISP, al ver que algún segmento de la red pueda llegar a la saturación, aplique un limitante de tráfico a los usuarios hasta una velocidad de transferencia máxima menor a lo contratado, para evitar la saturación de uno o más nodos. En este escenario, el OTI no podría evaluar la calidad del servicio a través de lo expresado en el párrafo anterior.

Acá es donde entran en juego las mediciones a través de sondas. Se trata de una suerte de “prueba de caja gris” en la cual se ejecutan pruebas de tráfico desde una sonda y hacia un servidor o sitios web, ambos con ubicación conocida a través de sus direcciones IP. Esta prueba, si bien aporta información periódica del comportamiento de la red, resulta susceptible de “engaño” a través de una liberación de Traffic Shaping, o con una instrucción de prioridad al tráfico entre ambos dispositivos (sonda-servidor).

En este punto es donde se podría justificar la realización de mediciones a través de la aplicación propuesta, cuyo objetivo es generar pruebas desde los distintos dispositivos (teléfonos, tablets, computadores, etcétera) y hacia servidores en distintos puntos (nacionales e internacionales). En principio parece una buena idea, pero tal como vimos en el caso anterior) también es susceptible de “engaño”, dado que los equipos de comunicación pueden aplicar criterios de prioridad de tráfico hacia las ubicaciones de los servidores contra los que se harán las mediciones. El inconveniente que se genera a través de esta perspectiva de prueba es que en su afán de generar mayor certeza se requiere de información más detallada sobre quién, cuándo, dónde y desde qué dispositivo se realiza la prueba. Esto implica que dichos datos permitirían la identificación de sus actividades georreferenciadas o en redes digitales en el pasado y en el futuro.

Como corolario de lo anterior, está la posible necesidad del manejo de miles de (posibles) pruebas, y que cada una deba ser gestionada a través de reportes, para luego dar paso a rectificaciones, reparaciones o adecuación del plan, lo cual genera un esfuerzo logístico y humano innecesario.

Considerando lo anterior cabe hacerse la pregunta: ¿Existe otra perspectiva o acercamiento para poder verificar el correcto funcionamiento de la red o planes de internet que no conlleve la exposición de datos de los usuarios?

Lo primero que podemos ver es que, del listado de datos que definen como “datos ambientales” (art. 12), se podía prescindir de algunos datos de identificación para resguardar la privacidad del usuario. Por ejemplo, solo registrar el nodo de entrada desde el dispositivo que ejecutó la prueba, el plan contratado, el ISP correspondiente y, quizás, un par más de datos como intensidad de la señal. En este caso, la evidencia no permitiría un reclamo o reparación basada en un hallazgo individual, pero sí permitiría generar la solicitud de corrección del problema hacia el ISP en una zona en particular.

En otro sentido, también se podría generar un muestreo de tráfico por zonas que permitiera generar una estadística de uso y proyectar la demanda futura a modo de ir realizando los cambios necesarios en la red para que pueda soportar el aumento de tráfico en relación a la venta de planes. Para esto, es necesaria la estadística y que esta a su vez implique una política en la tasa de agregación, es decir, para una zona en particular con un comportamiento de tráfico específico y crecimiento estimado se debería generar una limitante a la tasa de agregación o, en palabras simples, a la cantidad de sobre-venta de un canal.

Banda Ancha: definición local para una red global

Uno de los encargos de la ley de velocidad mínima garantizada, era que la reglamentación describiera las características de lo que se ofrece como “banda ancha” por los ISP. La norma técnica fija una regla (art. 23) que es en parte flexible respecto de las velocidades de referencia, pero a la vez establece un parámetro de medición. Si bien es arbitrario el valor mínimo de la velocidad de bajada y la velocidad de subida para ser llamada “banda ancha”, lo importante es la relación entre ellos.

Se debe considerar como elemento técnico que las conexiones alámbricas e inalámbricas poseen un canal de comunicación cuya característica es que su ancho de banda es bidireccional o total. Es decir, un cable cuya velocidad de transferencia es de 100 Mbps puede transmitir 50 Mbps de subida y 50 de bajada o bien en relación 70/30, pero la suma de ambos tráficos no podrá superar la capacidad física del canal.

Al parecer, existe una definición comercial que diferencia a un usuario común de un usuario con requerimientos específicos, dado que las ofertas de varios ISPs corresponden a planes de internet asimétricos bajo demanda, con una relación 5:1 o 20:7 en relación entre las velocidades de bajada y subida, y planes de internet dedicados y simétricos cuya velocidad transferencia de subida y bajada son iguales. Los segundos son más costosos pues aseguran la velocidad de transferencia en cualquier momento, aunque cabe la posibilidad de tener un canal simétrico no dedicado. Esta diferenciación tiene sentido para la oferta de servicios a empresas, en contraste con la oferta para internet en hogares.

En el caso de las conexiones asimétricas (como ocurre con cada conexión casera o común) se podría considerar que la tasa de agregación podría estar limitada en su sobre-venta, de tal manera que permita una relación más baja. Por ejemplo, que el tráfico de subida en una conexión casera o móvil sea al menos la mitad (50%) del tráfico de bajada. Desde un punto de vista comercial, parece tener sentido que los hogares,ya sea con una conexión fija o a través de un dispositivo móvil, tengan una conexión asimétrica donde la red se usa mayormente para recibir contenidos.

Pero esta visión de las necesidades hogareñas es altamente problemática: representa una noción limitada de la utilidad que se le da a la conectividad, no solo para “consumir” contenidos, sino también para producirlo y para comunicarse con otras personas de manera cada vez más sofisticada. Y ese aprovechamiento de las posibilidades de la red solamente aumenta en pandemia. En épocas de una creciente tendencia al teletrabajo, a la educación a distancia, a la telemedicina y a una sociedad obligada a interactar a distancia, es necesario considerar la importancia de que las conexiones permitan un tráfico bidireccional que asegure poder interactuar en la red de forma más igualitaria, donde la velocidad del tráfico de subida resulta tan importante como la de bajada.

Las definiciones de velocidad también resultan problemáticas por lo que implican en relación con la conectividad a nivel global. Por definición, internet representa acceso a contenidos digitales en cualquier parte del mundo y, debido a ello, es que en la mayoría de los países no existe una diferenciación entre tráfico nacional e internacional para la medición. Es decir, la correcta aplicación del término “Banda Ancha” debería aplicarse directamente al tráfico internacional, sin desmedro de que pueda declararse la velocidad de tráfico en territorio nacional. Si bien existen limitaciones técnicas que impiden que pueda asegurarse igual velocidad respecto de conexiones con terminales de distintos lugares del mundo, es importante que existan suficientes condiciones de transparencia que permitan manejar las expectativas de las personas que se conectan a la red. Aun cuando la norma técnica identifica las diferencias entre tráfico nacional e internacional, la oferta comercial de “banda ancha” debe hacerse cargo transparentemente de esa diferencia.

Estas definiciones no son solamente una cuestión comercial o técnica, sino que inciden en la capacidad de crecimiento y de inversión en conectividad. A la vez, su mayor uso no es consecuencia solamente de un contexto global específico, sino que está en juego la forma en que se desarrolla la sociedad en torno a la conectividad digital. Es decir se trata de un servicio estratégico para el desarrollo tecnológico, laboral, económico, educativo y cultural.

La norma técnica en disputa política

La elaboración de la norma técnica por parte de la Subtel ha sido objeto de controversia por las exigencias de datos personales. En contra de la resolución, tanto la industria como la sociedad civil, la autoridad de acceso a información pública y hasta un senador de la República, han reaccionado en oposición a la que ya es una resolución vigente. La actual discusión de una nueva ley de datos personales podría razonablemente limitar riesgos de abuso y permitir la fiscalización del tratamiento no autorizado.

La expectativa desde el interés público es que esas condiciones cambien, pues como hemos dicho, la recolección intensiva de datos resulta desproporcionada frente al propósito de la ley que motiva estas reglas. Pero a la vez, la necesidad de corrección de esas condiciones plantea la oportunidad de mejorar la forma en que se define una internet de velocidad mínima de cara a una sociedad que requiere mejor conectividad.