La vigilancia por reconocimiento facial se extiende en la región

El fuerte impacto social y económico que la pandemia de COVID-19 ha tenido y seguirá teniendo en los países de América Latina se ha sentido también en la concepción que tenemos sobre el uso de tecnologías, en particular aquellas que permiten a las personas comunicarse a distancia. No obstante, la inclinación por soluciones tecnológicas y vigilantes a la emergencia sanitaria, no ha frenado la implementación de uno de los fetiches de la seguridad pública: el reconocimiento facial automatizado en el espacio público.

Aparece así una aparente paradoja, en tanto las medidas sanitarias a menudo exigen o recomiendan el confinamiento y, en caso de estar en la calle, el uso de mascarillas que limitan el reconocimiento. Sin embargo, al mismo tiempo se ha apostado por tecnologías de vigilancia biométrica como el reconocimiento facial, que además de ser presentada como extremedamante útil para cuestiones relativas a la seguridad pública, sería también necesaria para controlar la posibilidad de contagios en las ciudades, para fiscalizar el transito entre países (como si no se les identificara en los controles policiales), además de ser lo suficientemente avanzada como para aprender a reconocer a personas con barbijo. Y dado que las necesidades de seguridad se mantienen o aumentan (según sectores políticos, al menos), cabría seguir instalando tecnología de punta para observar a la población. A aquello que ya hemos sabido, se han sumado múltiples iniciativas para implementar la sospecha sobre la totalidad de las personas en el espacio público.

Más ojos sobre las ciudades

En Argentina, la Ciudad de Buenos Aires está usando un sistema de reconocimiento facial automatizado, el Sistema de Reconocimiento Facial de Prófugos (SFRP). Ese sistema, implementado en abril de 2019 y que la Asociación por los Derechos Civiles combate en tribunales por su inconstitucionalidad, llegó hasta las calles a pesar de su aparente falta de respaldo normativo. Esta imposición del gobierno de la Ciudad, en lugar de retroceder frente al rechazo de los grupos defensores de derechos humanos, fue fortalecida mediante un proyecto de ley para regular su funcionamiento como parte de los sistemas ya existentes de vigilancia. El rechazo de la sociedad civil no se hizo esperar.

El mismo mes de octubre en que se discutía el proyecto, Human Rights Watch acusó al gobierno federal de exponer información de niños, niñas y adolescentes, y al gobierno de la Ciudad de Buenos Aires de usar esa información en su propio SFRP, pese a la mala calidad de la información. A pesar de la escandalosa situación, la aprobación por la Legislatura de la Ciudad de la regulación legal del sistema, sirvió para validar su funcionamiento más que para restringirlo. Como acusaba la sociedad civil, se trató de una legitimación de un sistema ya implementado al margen de la legalidad, creando un estado de permanente sospecha sobre la ciudadanía en una de las ciudades más grandes de la región. En el resto del país también observan con interés la tecnología, omitiendo los peligros que involucra.

En México, varias localidades hacen sus propios esfuerzos por erigirse como defensores de la seguridad pública mediante la intrusión extrema en el espacio público. En Ecatepec, en el estado de México, el Proyecto Jaguar promete a la vez vigilancia de alta resolución y conectividad pública. No muy distinta es otra iniciativa en la Ciudad de México, enmarcada en contexto de pandemia (pero con antecedentes muy anteriores). En tanto, en el estado de Coahuila, se anunciaba que la reglamentación para un avanzado sistema de reconocimiento facial estaría lista, a pesar de que la tecnología misma ya estaba disponible. Es más, según relata Quinto Elemento, el sistema fue adquirido por compra directa a mediados de 2019, con la esperanza de desplegarlo a pesar de no contar ni con los datos necesarios para su eficacia, ni con la autorización legal suficiente. Una vez más, la tecnología aparece como un hecho consumado, aun cuando no puede operar, y su regulación como una formalidad secundaria.

En Uruguay, uno de los países más seguros en la región, igualmente avanza con fuerza el uso de reconocimiento facial con fines de seguridad en el espacio público. Ya en febrero de 2020, la misma empresa que mantiene cámaras en la entrada de recintos deportivos se adjudicó la licitación del Ministerio del Interior uruguayo para instalar cámaras con capacidad para el reconocimiento facial, 8 400 en todo el país. La autorización legal faltante, introducida después de esa compra mediante artículos en la Ley de Presupuesto Nacional, ha seguido avanzando recientemente en el Congreso, pese a la fuerte oposición de la sociedad civil.

Con el apoyo de decenas de organizaciones, el mensaje de rechazo a esta forma de vigilancia llegó a los legisladores. A pesar de que el mensaje ha sido también oído por miembros del Congreso, han avanzado medidas para el traspaso de bases de datos personales, facilitando así el funcionamiento técnico del sistema. Y ante la interpelación por los aspectos negativos del sistema, el gobierno ha respondido que las preocupaciones deberían haberse formulado antes del gasto de un millón de dólares en el software. Es decir, la tecnología termina siendo más importante que los derechos de las personas, y su adquisición un hecho entendido como consumado e irreversible. Una respuesta indefendible ante la exposición de un riesgo inaceptable.

El momento histórico

Sabemos que hay más iniciativas, como también que grandilocuentes anuncios a veces parecen no ser tan reales. La oferta de tecnología de reconocimiento facial en el espacio público, tanto con supuestos fines de seguridad como para combatir la pandemia, mediante la identificación de rostros con cubrebocas y todo. No se trata de un camino inevitable; sin embargo, una y otra vez hemos visto a gobiernos locales y nacionales priorizar la adquisición de una tecnología riesgosa y falible, y luego preocuparse de su regulación. Los gobiernos no han entendido que no es necesario prescindir de la privacidad y la libertad en nombre de la seguridad, y que las garantías fundamentales exigen una regulación estricta que no cree esa clase de riesgos.

Mientras así sea, debemos seguir exigiendo el rechazo y la prohibición del reconocimiento facial.

El regreso de los delatores en el proyecto de ley de delitos informáticos

En las últimas semanas se reactivó en el Congreso chileno la discusión del proyecto de ley sobre delitos informáticos, que implementa en Chile el Convenio de Budapest. Hasta ahora, la mayoría de las criticas se han centrado en tres temas: penalización del hackeo ético, modificación de las normas sobre retención de datos y acceso a comunicaciones, y ampliación de las facultades del Ministerio Público, incluida la eliminación del requisito de autorización judicial previa para determinadas diligencias.

Resumido en una sola gran crítica, el proyecto ha servido como excusa para inyectar de nueva fuerza el poder del Estado para invadir la privacidad y la autonomía de las personas. A pretexto de combatir el ciberdelito, el proyecto modificaría sustancialmente las actuales normas del código procesal penal chileno en materia de técnicas de investigación.

Pero hay otro aspecto de este proyecto que, a pesar de ser igualmente preocupante, no recibió mayor atención por parte de la Comisión: la utilización de agentes encubiertos para investigar a personas individualmente consideradas respecto de la generalidad de los delitos contemplados en el proyecto.

El agente encubierto es la medida investigativa más intrusiva que contempla nuestro ordenamiento jurídico y, por ello, históricamente ha sido limitada a la investigación de bandas delictivas organizadas y delitos de especial gravedad.

La marcha por implementar Budapest

El proyecto de ley Boletín 12192-25 sobre delitos informáticos tiene su origen en la suscripción y ratificación por parte de Chile al Convenio sobre ciberdelincuencia, también conocido como el Convenio de Budapest. En 2017, con la ratificación del convenio, Chile adquirió la obligación de adecuar su normativa interna y, por ello, el proyecto busca modificar distintos cuerpos legales. Si bien el proyecto ingresado al Congreso en 2018 era altamente cuestionable y peligroso, algunos puntos han sido subsanados en la tramitación.

Pero con la reactivación del proyecto, urgencia del Ejecutivo mediante, algunos riesgos para los derechos fundamentales vuelven a la vida. Preocupa que el proyecto pretenda expandir los mandatos generales sobre retención de datos, acceso a comunicaciones privadas de las personas y las facultades investigativas del Ministerio Público, al punto de prescindir de autorización judicial para determinadas diligencias. Argumentando que es necesario para la investigación de los delitos informáticos, se busca modificar las normas sobre medidas investigativas del código procesal penal, ampliando el poder de vigilancia estatal dentro y fuera de la red. Todo lo anterior sin siquiera ofrecer garantías para impedir el abuso de este tipo de medidas, por ejemplo, robustecer la obligación de notificar al afectado por las mismas.

De estas nuevas medidas y facultades investigativas, solo algunas se encuentran, hasta ahora, limitadas al ámbito del ciberespacio: preservación y custodia de los antecedentes de investigación, comiso y agente encubierto en línea. Pero la forma en que este último irrumpirá es extremadamente preocupante, pues podrá interactuar directamente con las personas de manera individual, sin necesidad de sospecha de actuación en organizaciones delictuales, para la investigación de cualquiera de las conductas tipificadas en el proyecto, sin atender a la gravedad de las mismas.

La irrupción cibernética del agente encubierto

La figura del agente encubierto fue introducida en nuestro país el año 1995, mediante la ley 19.366, sobre tráfico ilícito de estupefacientes y sustancias psicotrópicas, exclusivamente para la investigación de este tipo de ilícito. Su ámbito de aplicación en el régimen penal común fue ampliado para la persecución de la pornografía infantil en 2004 y en 2011 para la investigación de los delitos de tráfico ilícito de migrantes y trata de personas.

Recién en 2016 fue incorporada en el código procesal penal chileno, a raíz de la ley 20.931, que “facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como “ley corta antidelincuencia”. Esta fue la primera vez que se contempló la posibilidad de utilizar la figura del agente encubierto para delitos contra la propiedad, pero solo para aquellos cometidos por bandas complejas, imposibles de desbaratar sin hacer uso de este tipo de medidas.

Hoy esta medida se encuentra regulada en el artículo 226 bis del código procesal penal, bajo estrictos estándares de procedencia, exclusivamente para la investigación de los delitos ahí indicados y bajo fundadas sospechas de la participación de personas en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, requiriendo en todo caso autorización judicial previa.

El artículo 11 del proyecto de ley original sobre delitos informáticos contemplaba esta medida, pero limitada a la persecución de delitos cometidos por bandas organizadas. Hasta el día 8 de marzo de 2019 —plazo originalmente fijado para presentar indicaciones al proyecto de ley— este artículo solo fue objeto de 3 indicaciones, todas por su supresión total o parcial. Pero en enero de 2020 se propuso reemplazar su texto por uno nuevo, mediante una indicación del Ejecutivo que seguía de cerca lo propuesto por el Ministerio Público durante las sesiones de discusión. El nuevo artículo mantuvo la posibilidad de usar esta medida para la persecución de todos los delitos contenidos en el proyecto, pero además amplió radicalmente su ámbito de aplicación autorizando su uso para la persecución de sujetos individualmente considerados.

De la delación a la provocación

La medida del agente encubierto es de las más intrusivas en cualquier sistema de investigación criminal. Por ello, históricamente su aplicación ha estado limitada a la investigación de delitos cuya particular complejidad y gravedad justifique el uso de tales medidas. El proyecto de ley actual cambia ambas reglas: permite el uso de agentes encubiertos para investigar a personas que actúen individualmente y respecto de cualquiera de los delitos contemplados en la ley, ampliando de manera considerable el campo de aplicación de una medida que siempre debiese ser extraordinaria. Con esto, se infringen los requisitos de necesidad, proporcionalidad y legalidad que deben respetar las medidas intrusivas de investigación.

Además, este tipo de agentes difícilmente serán meros espectadores de los hechos que investigan. La realidad en la que se introduce siempre estará intervenida por su interacción con aquellos entre quienes busca permanecer encubierto. Por lo anterior, aun cuando se trate de una organización criminal, los casos en que estos agentes intervendrán en calidad de meros espectadores sin colaborar en la comisión de los delitos, serán excepcionales. De autorizarse el uso de agentes encubiertos para la investigación de personas individuales, podríamos pasar fácilmente de la investigación a la provocación, tal como sucedió con esta institución en sus orígenes. El agente encubierto nace de las actividades de espionaje político francés durante los años del absolutismo, derivando rápidamente en la provocación mediante el uso de “agentes provocadores” que promovían desordenes públicos para justificar el uso de medidas de persecución en contra de opositores. No obstante, la propuesta también los exime de responsabilidad de manera amplísima, favoreciendo una acción temeraria y perdonando anticipadamente la delincuencia de agentes estatales

Si, además, cómo pretendió originalmente el Ministerio Público, estos agentes pudieran ser introducidos en la sociedad sin necesidad de autorización judicial previa, se desdibujaría la división de poderes que debiese caracterizar a toda sociedad democrática. El control de este tipo de medidas sería prácticamente imposible.

Contra nuevos poderes desproporcionados para el Estado

El uso de agentes encubiertos es sin duda una amenaza para la democracia y de ahí que el legislador haya sido, hasta ahora, extremadamente celoso en su autorización. Permitir el uso de esta figura para vigilar a personas individualmente e investigar delitos comunes es absolutamente desproporcionado. Ello sería la normalización de una institución inquietantemente parecida a los delatores del período más oscuro de nuestra historia. Bajo esas condiciones la posibilidad real de ejercer determinados derechos como la libertad de expresión, es sencillamente imposible.

Ni aun las particulares características del ciberespacio, argumento recurrente para defender este tipo de medidas, justifican poner en peligro derechos tan esenciales como la privacidad, libertad personal y la seguridad individual (artículo 19 nº7 de la Constitución Política). De la misma manera que la persecución de los delitos informáticos no justifica la modificación de las reglas de investigación contenidas en el código procesal penal chileno para la persecución de delitos cometidos fuera del ciberespacio.

Vigilando la velocidad de conexión a internet y a sus usuarias

Asegurar la velocidad de internet es un deber en Chile. Así lo establece la ley desde noviembre de 2017, pero esta obligación no ha sido exigible por años, a falta de la emisión de normas adicionales por parte de la Subsecretaría de Telecomunicaciones de Chile (Subtel), según ordenaba la misma ley. Esto cambió a fines de julio de 2020. Después de un largo período de consideración, consultas públicas y pandemia, la Subtel finalmente emitió el reglamento que regula al organismo técnico independiente (OTI) encargado del cumplimiento de la ley, y la norma técnica con las condiciones de operación.

Sin embargo, con la emisión de las nuevas reglas se busca consolidar un esquema donde, a cambio de medir las condiciones de conectividad, se pide a cambio información personal de las usuarias de internet.

La propuesta de mediciones de calidad de la red

Para medir el cumplimiento de la oferta de velocidad por parte de los proveedores de servicios de internet, las reglas fijan la necesidad de monitorear esa velocidad. Con ese fin, el reglamento y la norma técnica piden que el OTI registre distintos datos y, en algunos casos, autoriza a Subtel a acceder a esa información. Pero el detalle de los datos que serán recolectados ha sido objeto de cuestionamiento.

Para la medición, el reglamento y la norma técnica definen tres elementos de monitoreo (art. 2 de la norma técnica):

Los ISP deben permitir al OTI el “acceso a sus sistemas de medición de tráfico en línea, a las capacidades instaladas y a las relaciones de interconexión entre sus nodos de redes de acceso, agregación y core” (art 13 de la norma técnica).
Realización de mediciones a través de sondas:
- Desde una sonda hasta un servidor nacional en la red del mismo ISP.
- Desde una sonda hasta un servidor nacional en la red de otro ISP.
- Desde una sonda hasta un servidor ubicado fuera del territorio nacional.
- Accesibilidad a sitios web nacionales e internacionales.
Realización de mediciones a través de un aplicación en el equipo del usuario:
- Desde la aplicación hasta un servidor nacional en la red del mismo ISP.
- Desde la aplicación hasta un servidor nacional en la red de otro ISP.
- Desde la aplicación hasta un servidor ubicado fuera del territorio nacional.
- Accesibilidad a sitios web nacionales e internacionales.

Pero no solamente se establecen esos registros. Se establece además que el OTI tendrá acceso a una serie de datos del cliente que instale la aplicación (art. 12 de la norma técnica), que incluyen:

IMEI, número telefónico, número de IP, IMSI, SimCard del equipo del usuario.
Identificador del ISP y nombre del operador de red de ser el caso.
Marca y modelo de equipo del usuario.
Fecha y hora de la medición.
Identificador de nodo de acceso.
Coordenadas de ubicación geográficas del equipo del usuario.
Porcentaje de uso de CPU y memoria del equipo del usuario al momento de la medición.
Niveles de potencia de señal y relación señal a ruido.

Si bien se puede argumentar que estos datos son necesarios para que la OTI realice el monitoreo respectivo y verifique si el proveedor de internet está cumpliendo con la velocidad promedio comprometida, el artículo 24 de la norma técnica establece que la Subtel tendrá acceso a toda esta información de manera agregada, desagregada, en tiempo real y georreferenciada.

Esto es complejo, ya que —como hemos señalado en el pasado— datos tales como el número de teléfono constituyen datos personales, capaces de identificar a la titular. Por otro lado, se incluye en la lista información que da cuenta de las actividades y los hábitos personales del usuario, como también su geolocalización y dirección IP. Es decir, información sensible. Subtel exige acceso a esta información de manera nominada, es decir, siendo capaz de vincular la información con la identidad de cada usuario.

Estas exigencias de datos por la Subtel no solo carece de sentido operativo, sino que van abiertamente en contra de las garantías constitucionales y legales sobre la información personal. Además, se trata de información que no le corresponde obtener a una entidad gubernamental sin una justificación de la legitimidad del fin perseguido, y sin consentimiento explícito de las personas titulares de los datos.

Si la finalidad es la publicación de informes estadísticos, entonces no es necesario que Subtel acceda a esta información de manera nominada, por lo que la medida resulta desproporcionada. En caso contrario, con el el fin de monitorear la velocidad de la conexión a internet, se está creando un riesgo innecesario de que la información sea mal utilizada, que se filtre o se abuse de ella.

Vinculado con lo anterior, y también preocupante, es el hecho de que no se establezca una finalidad específica y exclusiva para esta información recolectada. La norma técnica (art. 25) se limita a decir que esta información será utilizada con el objetivo de elaborar informes comparativos para difundir los resultados a las usuarias, “entre otros fines”. Con esta fórmula, el documento deja la puerta abierta para que estos datos sensibles sean utilizados para fines distintos, lo que contradice los principios de la legislación de protección de datos personales, dejando a los ciudadanos en una situación de indefensión frente al potencial de explotación no autorizada.

La recolección desproporcionada de datos, desde la perspectiva técnica

¿Es necesario hacer mediciones individuales de la velocidad de conexión a internet?

No. Si tomamos en cuenta que el OTI tendrá acceso a los sistemas de monitoreo y a las capacidades instaladas de todos los nodos (equipos de comunicación, ya sean routers o switches) de los ISP, asimismo tendrá la posibilidad de monitorear la saturación de tráfico por cada nodo, pudiendo de esta forma levantar la alerta o generar la notificación al ISP correspondiente. Este punto no es menor, pues al tener los datos de funcionamiento y calidad de red de cada nodo están accediendo al mismo nivel de información de quienes administran la red, a excepción de las configuraciones de los dispositivos. En otras palabras, este conglomerado de datos es bastante valioso para fiscalizar el correcto funcionamiento de las redes.

Cuando un ISP implementa un plan de internet a un cliente, básicamente, lo que hace es un Traffic Shaping (limitación de tráfico), lo que permite controlar la velocidad de transferencia máxima de la conexión contratada. En ese sentido, cabe la posibilidad de que el ISP, al ver que algún segmento de la red pueda llegar a la saturación, aplique un limitante de tráfico a los usuarios hasta una velocidad de transferencia máxima menor a lo contratado, para evitar la saturación de uno o más nodos. En este escenario, el OTI no podría evaluar la calidad del servicio a través de lo expresado en el párrafo anterior.

Acá es donde entran en juego las mediciones a través de sondas. Se trata de una suerte de “prueba de caja gris” en la cual se ejecutan pruebas de tráfico desde una sonda y hacia un servidor o sitios web, ambos con ubicación conocida a través de sus direcciones IP. Esta prueba, si bien aporta información periódica del comportamiento de la red, resulta susceptible de “engaño” a través de una liberación de Traffic Shaping, o con una instrucción de prioridad al tráfico entre ambos dispositivos (sonda-servidor).

En este punto es donde se podría justificar la realización de mediciones a través de la aplicación propuesta, cuyo objetivo es generar pruebas desde los distintos dispositivos (teléfonos, tablets, computadores, etcétera) y hacia servidores en distintos puntos (nacionales e internacionales). En principio parece una buena idea, pero tal como vimos en el caso anterior) también es susceptible de “engaño”, dado que los equipos de comunicación pueden aplicar criterios de prioridad de tráfico hacia las ubicaciones de los servidores contra los que se harán las mediciones. El inconveniente que se genera a través de esta perspectiva de prueba es que en su afán de generar mayor certeza se requiere de información más detallada sobre quién, cuándo, dónde y desde qué dispositivo se realiza la prueba. Esto implica que dichos datos permitirían la identificación de sus actividades georreferenciadas o en redes digitales en el pasado y en el futuro.

Como corolario de lo anterior, está la posible necesidad del manejo de miles de (posibles) pruebas, y que cada una deba ser gestionada a través de reportes, para luego dar paso a rectificaciones, reparaciones o adecuación del plan, lo cual genera un esfuerzo logístico y humano innecesario.

Considerando lo anterior cabe hacerse la pregunta: ¿Existe otra perspectiva o acercamiento para poder verificar el correcto funcionamiento de la red o planes de internet que no conlleve la exposición de datos de los usuarios?

Lo primero que podemos ver es que, del listado de datos que definen como “datos ambientales” (art. 12), se podía prescindir de algunos datos de identificación para resguardar la privacidad del usuario. Por ejemplo, solo registrar el nodo de entrada desde el dispositivo que ejecutó la prueba, el plan contratado, el ISP correspondiente y, quizás, un par más de datos como intensidad de la señal. En este caso, la evidencia no permitiría un reclamo o reparación basada en un hallazgo individual, pero sí permitiría generar la solicitud de corrección del problema hacia el ISP en una zona en particular.

En otro sentido, también se podría generar un muestreo de tráfico por zonas que permitiera generar una estadística de uso y proyectar la demanda futura a modo de ir realizando los cambios necesarios en la red para que pueda soportar el aumento de tráfico en relación a la venta de planes. Para esto, es necesaria la estadística y que esta a su vez implique una política en la tasa de agregación, es decir, para una zona en particular con un comportamiento de tráfico específico y crecimiento estimado se debería generar una limitante a la tasa de agregación o, en palabras simples, a la cantidad de sobre-venta de un canal.

Banda Ancha: definición local para una red global

Uno de los encargos de la ley de velocidad mínima garantizada, era que la reglamentación describiera las características de lo que se ofrece como “banda ancha” por los ISP. La norma técnica fija una regla (art. 23) que es en parte flexible respecto de las velocidades de referencia, pero a la vez establece un parámetro de medición. Si bien es arbitrario el valor mínimo de la velocidad de bajada y la velocidad de subida para ser llamada “banda ancha”, lo importante es la relación entre ellos.

Se debe considerar como elemento técnico que las conexiones alámbricas e inalámbricas poseen un canal de comunicación cuya característica es que su ancho de banda es bidireccional o total. Es decir, un cable cuya velocidad de transferencia es de 100 Mbps puede transmitir 50 Mbps de subida y 50 de bajada o bien en relación 70/30, pero la suma de ambos tráficos no podrá superar la capacidad física del canal.

Al parecer, existe una definición comercial que diferencia a un usuario común de un usuario con requerimientos específicos, dado que las ofertas de varios ISPs corresponden a planes de internet asimétricos bajo demanda, con una relación 5:1 o 20:7 en relación entre las velocidades de bajada y subida, y planes de internet dedicados y simétricos cuya velocidad transferencia de subida y bajada son iguales. Los segundos son más costosos pues aseguran la velocidad de transferencia en cualquier momento, aunque cabe la posibilidad de tener un canal simétrico no dedicado. Esta diferenciación tiene sentido para la oferta de servicios a empresas, en contraste con la oferta para internet en hogares.

En el caso de las conexiones asimétricas (como ocurre con cada conexión casera o común) se podría considerar que la tasa de agregación podría estar limitada en su sobre-venta, de tal manera que permita una relación más baja. Por ejemplo, que el tráfico de subida en una conexión casera o móvil sea al menos la mitad (50%) del tráfico de bajada. Desde un punto de vista comercial, parece tener sentido que los hogares,ya sea con una conexión fija o a través de un dispositivo móvil, tengan una conexión asimétrica donde la red se usa mayormente para recibir contenidos.

Pero esta visión de las necesidades hogareñas es altamente problemática: representa una noción limitada de la utilidad que se le da a la conectividad, no solo para “consumir” contenidos, sino también para producirlo y para comunicarse con otras personas de manera cada vez más sofisticada. Y ese aprovechamiento de las posibilidades de la red solamente aumenta en pandemia. En épocas de una creciente tendencia al teletrabajo, a la educación a distancia, a la telemedicina y a una sociedad obligada a interactar a distancia, es necesario considerar la importancia de que las conexiones permitan un tráfico bidireccional que asegure poder interactuar en la red de forma más igualitaria, donde la velocidad del tráfico de subida resulta tan importante como la de bajada.

Las definiciones de velocidad también resultan problemáticas por lo que implican en relación con la conectividad a nivel global. Por definición, internet representa acceso a contenidos digitales en cualquier parte del mundo y, debido a ello, es que en la mayoría de los países no existe una diferenciación entre tráfico nacional e internacional para la medición. Es decir, la correcta aplicación del término “Banda Ancha” debería aplicarse directamente al tráfico internacional, sin desmedro de que pueda declararse la velocidad de tráfico en territorio nacional. Si bien existen limitaciones técnicas que impiden que pueda asegurarse igual velocidad respecto de conexiones con terminales de distintos lugares del mundo, es importante que existan suficientes condiciones de transparencia que permitan manejar las expectativas de las personas que se conectan a la red. Aun cuando la norma técnica identifica las diferencias entre tráfico nacional e internacional, la oferta comercial de “banda ancha” debe hacerse cargo transparentemente de esa diferencia.

Estas definiciones no son solamente una cuestión comercial o técnica, sino que inciden en la capacidad de crecimiento y de inversión en conectividad. A la vez, su mayor uso no es consecuencia solamente de un contexto global específico, sino que está en juego la forma en que se desarrolla la sociedad en torno a la conectividad digital. Es decir se trata de un servicio estratégico para el desarrollo tecnológico, laboral, económico, educativo y cultural.

La norma técnica en disputa política

La elaboración de la norma técnica por parte de la Subtel ha sido objeto de controversia por las exigencias de datos personales. En contra de la resolución, tanto la industria como la sociedad civil, la autoridad de acceso a información pública y hasta un senador de la República, han reaccionado en oposición a la que ya es una resolución vigente. La actual discusión de una nueva ley de datos personales podría razonablemente limitar riesgos de abuso y permitir la fiscalización del tratamiento no autorizado.

La expectativa desde el interés público es que esas condiciones cambien, pues como hemos dicho, la recolección intensiva de datos resulta desproporcionada frente al propósito de la ley que motiva estas reglas. Pero a la vez, la necesidad de corrección de esas condiciones plantea la oportunidad de mejorar la forma en que se define una internet de velocidad mínima de cara a una sociedad que requiere mejor conectividad.

El futuro del cifrado se define en Brasil

En medio de una pandemia global que releva como nunca antes la importancia de las comunicaciones seguras por medios digitales, el Supremo Tribunal Federal de Brasil (STF) está por decidir dos acciones judiciales sobre los bloqueos de WhatsApp que conmocionaron a usuarias de internet en todo el mundo hace algunos años. Al centro de esa discusión está el debate en torno al valor del cifrado, piedra angular de la seguridad en las tecnologías digitales.

Ese valor, no obstante, es puesto en tela de juicio frente a los requerimientos de los Estados por acceder a comunicaciones e información privadas. Y en esa contraposición de narrativas sobre la tecnología, sobre la seguridad de personas o instituciones, sobre el poder, y sobre derechos fundamentales, la decisión en Brasil puede significar una nueva etapa en la discusión del cifrado en América Latina y el sur global.

Del uso de aplicaciones al derecho al cifrado

La situación de Brasil se remonta a sucesos conocidos en el mundo entero. Entre 2015 y 2016, cuatro órdenes judiciales de distintos juzgados dieron lugar a tres bloqueos de WhatsApp en Brasil. En todos esos casos, el bloqueo era adoptado como una sanción por el incumplimiento de órdenes judiciales relativas a la entrega de información por parte de WhatsApp, información que a su vez no era provista por WhatsApp, por estar cifrada. En todos esos casos, los bloqueos eran mundialmente rechazados como actos contrarios a la libertad de expresión y contrarios al uso de herramientas de comunicación más protectoras de la privacidad.

Dos acciones judiciales ante el STF mantienen viva la discusión en Brasil. La primera es una acción directa de inconstitucionalidad, ADI 5527, que sostiene que el Marco Civil de Internet contiene disposiciones inconstitucionales, en atención al uso de las mismas para el bloqueo de aplicaciones completas, con consecuencias desproporcionadas. Los jueces, al ordenar el bloqueo de aplicaciones (no solamente WhatsApp), estarían dando una interpretación equivocada al Marco Civil de Internet, al ampararse en su articulado para bloquear aplicaciones, basados en causales que no correspondían según la ley. Es decir, una sanción que es parte de las reglas sobre privacidad y protección de datos, usada a propósito del incumplimiento de reglas procesales. A su vez, el impacto del bloqueo se extendió desproporcionadamente a personas dentro y fuera del país, a personas no involucradas en el proceso judicial, en el ejercicio de sus derechos a la libertad de expresión y comunicación.

La segunda acción, la alegación de incumplimiento de precepto fundamental, ADPF 403, apunta asimismo a la defensa de los derechos fundamentales, con el bloqueo judicial de WhatsApp como el acto cuestionado por infringir derechos de libertad de comunicación, libertad de expresión y privacidad. A diferencia de la ADI 5527, que alega la inconstitucionalidad de las disposiciones que autorizan bloqueos en general, la ADPF 403 apunta a los bloqueos de WhatsApp como las medidas infractoras de derechos.

Con ocasión de los bloqueos, se suscitó una enorme preocupación mundial sobre el impacto de decisiones judiciales que impiden la comunicación privada, y la libre elección de las formas en las que se produce, especialmente tratándose de aplicaciones que a la vez son populares y ofrecen mayor seguridad. Pero a nivel judicial, los debates centraban especial atención en los motivos detrás de los bloqueos, como la necesidad de acceder a información como condición para el éxito de investigaciones criminales. Es decir, las disputas entre las narrativas sobre criptografía se movieron también desde el debate político al ámbito jurisdiccional. Y en ese debate, los ministros del STF discuten directamente sobre el valor del cifrado.

Hasta el momento, cuando no hay aún sentencias, los ministros relatores han emitido sus opiniones en ambas causas, con el propósito de informar la posterior votación del STF como cuerpo colegiado. Respecto de la ADPF 403, para la ministra relatora Rosa Weber, no se justifica el uso de Marco Civil de Internet para el bloqueo de WhatsApp, lo que no implica su inconstitucionalidad sino una aplicación errada de la ley. Pero a la vez, agregó expresamente que “sería inadmisible, y a la vez un retroceso, volver ilegal o limitar de ese modo [mediante el bloqueo] el uso de criptografía”. En cuanto a la ADI 5527, el ministro relator Edson Fachin estima que es inconstitucional prohibir a las personas utilizar criptografía de punto a punto, y menciona expresamente el impacto desproporcionado sobre las personas más vulnerables. Para el ministro, el cifrado es “un medio de asegurar la protección de derechos que, en una sociedad democrática, son esenciales para la vida pública”. Lo que la sociedad civil global ha sostenido continuamente, encuentra reconocimiento expreso en las voces de los ministros.

Vacilaciones regionales

La discusión de la temática, tanto en Brasil como en el resto de la región, es también consecuencia de regulaciones mayormente anticuadas o altamente problemáticas. En Colombia, una ley de 1997 con amplísimo lenguaje pone en duda la licitud del cifrado en redes celulares. Leyes de telecomunicaciones en Ecuador (Art. 77) y El Salvador (Art. 42-D) hablan explícitamente de descifrado por empresas en cooperación con investigaciones estatales. Un decreto en Cuba, hoy derogado, mencionaba la encriptación con el propósito de exigir aprobación previa para su uso en redes digitales privadas. Una investigación fraudulenta en Chile esgrimía la supuesta interceptación de comunicaciones cifradas sin ofrecer información fidedigna sobre el modo de obtención.

En todos estos casos, nociones variadas de seguridad defendida por el Estado justifican una visión a menudo anticuada y en todos los casos adversa a la seguridad de las comunicaciones privadas. En otros países, la ausencia de regulación específica en torno a la investigación es parte de características generales de vacíos en la delimitación de los poderes estatales. De este modo, la inteligencia estatal parece depender de su capacidad de infringir la privacidad, aun sin reglas suficientes para asegurar su ajuste a reglas constitucionales vigentes.

La influencia de un fallo en Brasil no se limita a las cuestiones relativas a la presencia o ausencia de cifrado, sino que se inserta en un contexto más amplio de uso de potestades estatales para la investigación, y de los intentos de forzar a una empresa privada a cooperar con las autoridades públicas, además de seguir un patrón de intento de control sobre aplicaciones disruptivas. Es decir, aun cuando pueda haber un buen precedente a seguir tanto en Brasil como en el extranjero en un aspecto de estas herramientas, queda todavía camino por recorrer, especialmente en la legislación, pero también en la discusión pública, en la interacción con las empresas, y a nivel de cooperación entre estados.

La forma en que el debate político se ha producido globalmente en torno a la criptografía a nivel mundial, pone en entredicho la real probabilidad de prevalecer de los derechos individuales y colectivos por sobre los intereses de vigilancia total de los Estados. Sin perjuicio de las decisiones de la judicatura, los ejemplos latinoamericanos demuestran que todavía es el poder político el que tiene la capacidad de regular las potestades estatales de manera contraria a los derechos fundamentales, como demuestra el caso australiano en torno al cifrado, o más ampliamente en torno a la privacidad de comunicaciones en el propio caso brasileño del proyecto de ley de “fake news”.

El futuro de la criptografía

A pesar de la esperanza que otorgan los informes de los ministros relatores del STF, particularmente en la expresa defensa del ejercicio de derechos fundamentales por medio del uso de cifrado de comunicaciones, tampoco existe certeza de que los resultados finales sean favorables. Pero observar de manera más concreta y cercana debates que tan frecuentemente observábamos a distancia entre poderosos gobiernos del norte global y poderosas empresas del norte global, traen a nuestro lado del mundo la posibilidad de discutir cambios necesarios en torno a las formas en que los intereses de seguridad inciden en nuestros derechos fundamentales, y las formas en que los Estados asumen su responsabilidad en ese equilibrio.

La inminente decisión del STF brasileño sirve así como aliciente a seguir persiguiendo un objetivo crucial para el ejercicio de derechos a través de las herramientas tecnológicas: que las tareas investigativas y de inteligencia sean reguladas y ejercidas sin tratar de forzar la mano de la tecnología, sin buscar la expansión del estado vigilante, y sin alterar significativamente la vida privada de las personas. Mientras intentamos reconducir este debate a soluciones democráticas, basadas en evidencia y análisis de riesgos, y respetuosas de los derechos fundamentales, esperamos que el Supremo Tribunal Federal reafirme lo que indicó el ministro Fachin: que los derechos digitales son derechos fundamentales.

Propuesta de regulación de desinformación puede aumentar brechas y exponer las comunicaciones de millones de personas en Brasil

Actualización: Ayer, jueves 25 de junio, se presentó una nueva versión del proyecto de ley. En consecuencia, la votación se aplazo al 30 de junio. En Derechos Digitales estamos estudiando el detalle la propuesta actualizada.

En Brasil, el proyecto de ley conocido como “Ley de Fake News” (PL 2630/2020), destinado en un principio a limitar la circulación de desinformación en internet, se ha transformado en una propuesta de regulación que cede a grupos interesados mayor control sobre la información disponible en línea. ¿Lo peor? El proyecto lo hace en un régimen de urgencia y mientras el Congreso opera de manera remota, con limitadas posibilidades de participación de la sociedad.

Nuevas brechas en contexto ya desigual

Las versiones anteriores de la propuesta ya eran preocupantes, pues ampliaban las obligaciones de retención de datos personales de las usuarias de internet y autorizaban el bloqueo de aplicaciones. Sin embargo, la última versión impone el registro y la identificación de las usuarias de plataformas en línea, por medio de un documento de identidad y de un número de teléfono celular válido. Esta exigencia podría impedir que millones de personas puedan acceder a información y servicios que, en contexto de cuarentena, son más esenciales que nunca. Por ejemplo, una medida de este tipo podría significar que niñas y adolescentes — especialmente de los grupos más marginados de la población— no podrían acceder a aquellas plataformas que hoy son fundamentales para el acceso a la educación.

En un país donde gran parte de la población utiliza internet exclusivamente desde dispositivos móviles y por medio de planes de conexión limitados, las redes sociales y las aplicaciones de mensajería se han tornado esenciales para la comunicación, el acceso a la información y a los servicios esenciales. Durante la pandemia del COVID-19, estos servicios se han utilizado para satisfacer diversas necesidades, como la coordinación de desde redes de apoyo solidario para la distribución de insumos básicos y la denuncia de abusos y violencia doméstica.

La imposición de este registro conlleva la recolección desproporcionada de datos por agentes privados, violando tanto los principios internacionales de derechos humanos como la normativa nacional de protección de datos, y exponiendo a las usuarias de internet a la explotación indebida de su información personal con fines comerciales.

Así también, la obligación de los proveedores de servicios en internet de chequear y suspender aquellas cuentas registradas con números de celular deshabilitados por las compañías telefónicas implica un intercambio innecesario de datos personales entre empresas, afectando también la libertad de expresión, al impedir repentinamente el acceso de las usuarias a toda su red de comunicaciones y contenidos compartidos.

Exponiendo a las más vulnerables

Igualmente preocupante es la imposición de nuevas exigencias a las aplicaciones de mensajería, que se verían obligadas a limitar el número de veces en que un mensaje puede ser reenviado y a almacenar los datos de todas las personas que lo han compartido.

Esta medida busca restringir la capacidad de acción de grupos maliciosos organizados. Sin embargo, junto con ello, pone trabas y límites a la circulación y distribución de contenidos verdaderos y de interés público a través de internet.

La obligación de retención de datos sobre el reenvío de mensajes implica además la asociación directa entre contenidos de una comunicación y las personas involucradas en ella, resultando en una violación al secreto de todas las comunicaciones, y que es fundamental para todas aquellas comunicaciones legítimas que demandan confidencialidad. Si a eso sumamos la ya comentada obligación de registrar a todas las personas que utilizan servicios de redes sociales o mensajería privada, el resultado es un esquema masivo de vigilancia sobre la identidad de las personas y su actividad en redes digitales.

Es previsible que las personas más afectadas por estas medidas serán las defensoras de derechos humanos, ambientalistas, periodistas, participantes en movimientos sociales y activistas en general, principalmente si sus opciones para comunicarse son limitadas. Estas son personas que de manera recurrente sufren amenazas y abusos debido a su trabajo, tanto por parte de agentes del Estado como de los privados, y, por lo tanto, tienen una especial necesidad de comunicarse de manera segura. A la vez, la información que producen a menudo es valiosa, capaz de desafiar a las fuentes de información oficial, asumiendo muchas veces un riesgo a la seguridad personal, por lo que una medida de este tipo puede tener un efecto inhibitorio y conducir a la disminución de la circulación de información.

Fortaleciendo la censura privada

Por medio de una redacción confusa, la propuesta parece obligar la remoción de contenido y cuentas de redes sociales que violen los términos de uso de las aplicaciones de redes sociales, por medio de la apertura de un procedimiento de moderación que incluya el derecho a la defensa. A pesar de que la garantía de debido proceso en la aplicación de normativas privadas respecto a la moderación de contenidos apunta en la dirección correcta, es preocupante que el texto no solo legitime la remoción de contenido, sino que la vuelva obligatoria, sin miramientos por atender adecuadamente estándares internacionales de derechos humanos.

La confusión entre los contenidos que deben ser removidos por violar normas nacionales y aquellos que pueden ser eventualmente removidos por las plataformas —de acuerdo a los estándares establecidos en los Principios Rectores de Empresas y Derechos Humanos de las Naciones Unidas— puede devenir en un ambiente de efectiva censura privada, dado que las plataformas definen sus políticas según intereses comerciales propios.

Un ejemplo de la aplicación desproporcionada de políticas internas es la prohibición de publicar imágenes de personas desnudas en Facebook, que llevó a la remoción de contenidos oficiales del patrimonio cultural brasileño en 2015. En aquella ocasión la imagen fue restituida, pero quizás eso no habría sido legalmente posible si hubiese habido una obligación de remoción como la prevista en el proyecto en discusión. La existencia de un mecanismo de moderación de ningún modo garantiza que este tipo de situaciones dejará de ocurrir, si es que efectivamente existe una limitación a este tipo de contenido en la política de la plataforma.

En el extremo opuesto, la obligatoriedad de moderación podría generar retrasos que comprometan gravemente los derechos de las usuarias que tengan dificultades para acceder a la Justicia, o en aquellos casos en que esta no pueda responder de manera ágil. Ejemplos de este tipo son las amenazas en redes sociales o la exposición de información personal en internet, cuyas víctimas son principalmente mujeres y personas LGBTTTIQ+.

Un debate apresurado

Si bien es fundamental pensar en la implementación de medidas en un marco de responsabilidades, rendición de cuentas y transparencia de las empresas de internet, con el objetivo de mitigar los daños a los derechos humanos que resulten de su actuación, el texto propuesto puede acentuar tales daños, al aumentar su poder de regulación privada en las plataformas de redes sociales. Las problemáticas señaladas en el proyecto de ley reflejan una discusión apresurada sobre el combate a la desinformación, desarrollada en el medio de una grave crisis política y de salud.

El proyecto de ley evidencia un desconocimiento de las recomendaciones internacionales en la materia y una falta de madurez en el debate. La normativa propuesta es desproporcionada para los fines que persigue y va en sentido opuesto a la histórica demanda por universalizar el acceso a internet en Brasil, y disminuir las múltiples brechas digitales que agudizan el problema de la desinformación.

Ni el contexto de pandemia ni la persecución de la desinformación justifican la vulneración de los compromisos asumidos por Brasil con la protección de derechos humanos.

Junto a más de 40 organizaciones internacionales exigimos que el Congreso brasileño rechace la llamada “Ley de Fake News” y convoque un diálogo amplio para discutir cómo responder a los desafíos de la desinformación en línea, acorde a los compromisos del Estado brasileño con el respeto a los derechos humanos.

La herejía tecno-optimista florece en pandemia: un repaso crítico a las tecnologías disponibles (2020)

Descargar PDF

Un repaso crítico a los distintos roles que ha asumido la tecnología en la lucha contra la pandemia por enfermedad de coronavirus, desde una óptica de afectación de los derechos humanos y con un énfasis particular en América Latina.

Boletín n° 12234-02 Proyecto de ley que fortalece y moderniza el Sistema de Inteligencia del Estado (2020)

Descargar PDF

¿Inteligencia a espaldas de la ciudadanía? Sobre el proyecto Santiago Ciudad Inteligente

Actualización: dos días después de la publicación de esta columna, Interferencia reportó que la Intendencia había retirado el proyecto. La razón es el alto costo de la iniciativa. A pesar de ello, como la misma nota sugiere, este no significa que las ansias de implementar un sistema de vigilancia más robusto hayan sido abandonadas. Lamentablemente, es muy probable que las lógica detrás de este proyecto reaparezcan de una forma u otra.

En las últimas semanas se ha conocido el plan Santiago Ciudad Inteligente, impulsado por el Gobierno Regional Metropolitano de Santiago. El proyecto tiene como objetivo “resolver las limitaciones de cooperación y coordinación entre las distintas entidades públicas y privadas”, buscando aprovechar la instalación de una central de televigilancia en la Intendencia Metropolitana en 2019. Así, el proyecto busca actualizar los mecanismos de gestión urbana a partir del despliegue de infraestructura destinada a la vigilancia. Por cierto, este proyecto busca afincar una idea que hace años ronda a las distintas administraciones gubernamentales: cómo hacer de Santiago una “ciudad inteligente”.

Pero, ¿qué hay de inteligente en las denominadas “ciudades inteligentes”? “Smart city” es un concepto que muchas veces opera como un atajo ante el objetivo de revestir las dinámicas urbanas de un halo de eficiencia tecnológica, sin necesariamente indicar con precisión a qué nos estamos refiriendo con el término.* Sin embargo, existe relativo consenso en la comunidad científica respecto a que una “ciudad inteligente” es aquella donde se aplican las tecnologías de la información y comunicación como estrategias para la resolución de problemas urbanos relativos a la economía, movilidad, energía, medio ambiente, gobernanza y calidad de vida.** Lo anterior, mediante la gestión de los múltiples indicadores que provee una ciudad “sensorizada”, una ciudad donde existen diversos medios tecnológicos de generación de información en tiempo real.

El problema central del referido proyecto es que, en realidad, no supone una reconfiguración de los modos de abordar problemáticas urbanas como las arriba referidas. Se trata, más bien, de coordinar capacidades e infraestructura que ya están disponibles en Santiago, mediante la centralización de las diversas fuentes de datos e instituciones de alcance metropolitano. Así, el proyecto apunta a revestir las mejoras en coordinación y cooperación institucional, como si fuera una nueva manera de pensar la ciudad; cuestión valiosa en sí misma, pero que difícilmente alcanza a justificar la etiqueta de “inteligente”.

Por el contrario, el proyecto presenta una dislocación importante en lo que se refiere a los objetivos propuestos –todos muy loables, por cierto– y las medidas efectivas orientadas al logro de estos.

Existen tres aspectos particularmente problemáticos del proyecto que deben ser considerados. Por un lado, están cuestión como la de la infraestructura a partir de la cual se configura la idea de Santiago Ciudad Inteligente. Como se señaló, el proyecto busca aprovechar la infraestructura de televigilancia para, desde ahí, favorecer la coordinación y cooperación que llevaría a configurar una urbe inteligente. La problemática relación entre ciudades “inteligentes” y vigilancia ha sido ampliamente discutida. Para investigadoras como Fernanda Bruno, esfuerzos como el que supone la mencionada central pueden ser comprendidas como prácticas de vigilancia distribuida, que tendría efectos negativos en ámbitos como el derecho a la manifestación pública.

Un segundo ámbito problemático del proyecto dice relación con el manejo de datos personales. Atendiendo a que se busca recolectar, centralizar, compartir y procesar información para el mejoramiento de la gestión urbana, no se establecen los resguardos esperados en lo referente a la centralización de información potencialmente de carácter privada. Especialmente, el plan no considera problemático que distintas instituciones compartan datos entre ellas, más allá de sus propias competencias, omitiendo que los datos han de ser utilizados solo para la finalidad con la que fueron recolectados y no en vistas de un fin distinto al explícitamente señalado. Peor aun, el proyecto parece tratar la centralización e intercambio de datos entre organismos públicos y privados como un fin en sí mismo, cuestión que además genera eleva serias consideraciones respecto a la seguridad en el manejo de la información.

Adicionalmente, resulta sumamente problemático que el proyecto no considere mecanismos activos de participación ciudadana para el diseño y evaluación de los programas que darían pie al surgimiento de la “inteligencia” urbana. Antes bien, el rol de la ciudadanía aparece circunscrito a la provisión de datos e información a través de diversas plataformas. Resulta imperativo que la discusión en torno a estas materias sea objeto de un diálogo transparente y participativo a través de canales institucionales –como el Consejo Regional–, así como mediante la incorporación activa de representantes de la sociedad civil.

Un proyecto que busca orientarse hacia el mejor gobierno de la ciudad no puede partir por la exclusión de la propia ciudadanía. Por el contrario, y especialmente en contextos de baja confianza hacia las instituciones como el que presenciamos en Chile, la legitimidad de las medidas dispuestas por la autoridad requiere de un fuerte afincamiento en la propia ciudadanía. Difícil resulta pensar que tal objetivo puede ser alcanzado si el atributo “inteligente” no considera a las y los ciudadanos como agentes relevantes para la gestión de la ciudad.

* Anna Visvizi, Miltiadis D. Lytras, (2019) “Smart cities research and debate: what is in there?” págs. 1-14. En Smart Cities: Issues and Challenges. Editores: Anna Visvizi, Miltiadis D. Lytras. Elsevier

** Calderón M., López G., Marín G. (2017) “Smart Cities in Latin America”. En: Ubiquitous Computing and Ambient Intelligence. Editores: Ochoa S., Singh P., Bravo J. Lecture Notes in Computer Science, vol 10586. Springer

Minuta boletín N° 12234-02 Proyecto de ley que fortalece y moderniza el Sistema de Inteligencia del Estado

Descargar PDF

La otra crisis: cómo el COVID-19 se está utilizando en Brasil para despojar a las poblaciones más vulnerables de sus derechos

Brasil es actualmente el sexto país del mundo en número de víctimas del COVID-19, con más de 13 mil muertes hasta el momento.La manera como el presidente brasileño ha respondido al avance del coronavirus en el país ha llamado atención internacional. Como si no bastara con la sostenida negación de la gravedad de la enfermedad y la falta de compasión con las más de 10 mil víctimas y sus familias, Jair Bolsonaro insiste en hacer apariciones públicas contrariando las recomendaciones de aislamiento social de las expertas en salud y los gobiernos locales. Al avance del COVID-19 se suma una crisis política que incluye la dimisión de dos ministros – incluso el ministro de salud responsable por las primeras respuestas a la pandemia – y una denuncia de intentar manipular la policía federal en beneficio personal.

Menos transparencia, más intrusión

A pesar de las declaraciones del presidente en contra de la cuarentena y a favor de dudosas soluciones al COVID-19, en su ya tradicional estrategia de polarización política, el Gobierno Federal no ha perdido la oportunidad de usar la emergencia de salud para atentar contra los derechos conquistados. El 23 de marzo, por medio de una medida provisional, ha intentado restringir los mecanismos existentes de transparencia y acceso a la información al suspender por tiempo indeterminado los plazos máximos de respuesta a solicitudes a instituciones públicas. La acción fue considerada desproporcionada e inconstitucional por organizaciones nacionales e internacionales de la sociedad civil y terminó anulada por la Suprema Corte Federal.

Mientras intenta ocultar sus acciones del ojo público y se muestra incapaz de ofrecer informaciones oficiales de calidad sobre el avance de la crisis, el gobierno busca obtener más poderes sobre los datos personales de la ciudadanía. Nuevamente aprovechando la emergencia de salud, por medio de otra acción unilateral, ha retrasado la entrada en vigencia de la primera ley de protección de datos del país para mayo de 2021 – casi un año después de lo inicialmente previsto.

La acción dialoga con el intento del gobierno de apoderarse de información privada por medio de una medida provisional del 17 abril que autorizaba el acceso de la autoridad estadística nacional a datos telefónicos de millones de personas. Según el texto, las empresas telefónicas deberían entregar el nombre, número de teléfono y dirección de todos sus clientes para facilitar la realización de encuestas en el período de emergencia de salud pública. La reacción fue inmediata, con la presentación de cinco acciones de inconstitucionalidad ante la Suprema Corte, que rápidamente decidió por suspender sus efectos. La mayoría de los ministros entendió que la transferencia de los datos de empresas telefónicas viola el derecho a la intimidad, vida privada y secreto de datos previsto en la Constitución.

Aunque algunas medidas hayan sido acertadamente anuladas por el Poder Judicial, estas se contraponen directamente a las recomendaciones de expertas y expertos en derechos humanos de las Naciones Unidas, con respecto a que “cualquier respuesta de emergencia al coronavirus debe ser proporcionada, necesaria y no discriminatoria”.

Sin límites para vigilar

La ausencia de una respuesta coordinada de parte de la autoridad federal ha dejado la responsabilidad de desarrollar estrategias para contener el avance del COVID-19 a los estados de la unión. A pesar de algunas variaciones en la rigidez de las medidas de aislamiento social, las soluciones adoptadas combinan restricciones de movilidad con monitoreo y control tecnológico.

Cuando se trata del uso de datos de conexión a la red celular, la municipalidad de Rio de Janeiro fue pionera en establecer un acuerdo con una operadora para identificar flujos de movimiento. La estrategia se complementa con el uso de drones para emitir alertas en caso de aglomeraciones en la ciudad, que cuenta con un aparato de vigilancia heredado de los megaeventos deportivos realizados en Brasil. El estado de São Paulo también estableció una alianza que involucra no a una, sino a todas las empresas de telefonía celular operando nacionalmente. Siguiendo su ejemplo, hasta fines de abril 15 estados y dos ciudades habían buscado soluciones similares.

Otras localidades han obtenido informes de movilidad basados en datos de geolocalización ofrecidos por una empresa especializada en su recolección y uso para fines de vigilancia y publicidad. La empresa, una start-up nacional llamada In Loco, dispone de una base de datos de alrededor de 60 millones de dispositivos monitoreados por medio de códigos incorporados en aplicaciones de celular. Además de calcular índices de aislamiento social, la solución permite alertar personas individualmente en caso de que se identifique un nivel de movimiento superior a la media esperada.

Llama la atención la adopción de estrategias que pueden facilitar acciones discriminatorias. En Florianópolis, por ejemplo, el sistema implementado permite notificar por SMS a las habitantes de una región si una persona en las cercanías de su casa fue diagnosticada con COVID-19. Este tipo de alerta puede incentivar intentos por ubicar el caso o levantar sospechas que lleven a actos de exclusión. La herramienta fue desarrollada por un grupo de empresas locales de tecnología y usa datos de la municipalidad para identificar a quien destinar los mensajes. La solución permite suponer que las empresas tienen acceso a informaciones sensibles, como la identificación y dirección de personas infectadas, lo que también es preocupante debido al desconocimiento de potenciales usos futuros de los datos y sus consecuencias.

Un grupo adicional de aplicaciones ha sido lanzado por estados y municipalidades para brindar información a la población y permitir el autodiagnóstico. Este tipo de solución también busca apoyar al Estado a identificar y hacer una estimación de los nuevos casos en un contexto de escasez de tests. Un estudio desarrollado por InternetLab muestra preocupantes niveles de intrusión de algunas aplicaciones de este tipo y sus deficiencias en términos de consentimiento, necesidad, transparencia y seguridad.

Una crisis más allá de la salud

La falta de transparencia sobre los términos de las alianzas público-privadas detrás de gran de parte de las iniciativas de monitoreo mencionadas tiene como consecuencia la ausencia de garantías expresas de que los datos no serán utilizados para otros fines o de que medidas suficientes de seguridad serán implementadas. En el caso de São Paulo, incluso hay sospechas de que el acceso a la información de datos de celular por parte del gobierno se inició antes de la firma del acuerdo con las empresas.

Sumada a la postergación de la ley de protección de datos personales y la ausencia de una autoridad nacional de protección de datos hasta la fecha, se abre el margen de posibilidad de abusos por agentes públicos y privados, dejando la población más vulnerable aún más expuesta a la discriminación durante y después de la pandemia. Es decir, lejos de ser una crisis que golpea a todos por igual, la crisis de gobernanza y de protección de derechos que ha producido la acción conjunta de estados y empresas ha asegurado que los mayores perjudicados sean las personas más vulnerables del país.

Como hemos señalado anteriormente, “necesidad, adecuación y proporcionalidad en la respuesta tecnológica es lo que separa una crisis de salud global de una renuncia de los derechos fundamentales, tejido básico de sociedades como las nuestras, que se han jugado su sangre e historia por escapar del autoritarismo y garantizar una vida digna para todos”. La ausencia de esos criterios también puede ser, y es, literalmente fatal. Las víctimas no se distribuirán uniformemente en la sociedad brasileña. Ellas ya tienen género, color y lugar de origen.