Tipo de contenido (Recurso): Columnas

Coronavirus.Uy: cinco lecciones a casi dos años de pandemia

Durante la emergencia sanitaria provocada por la pandemia Covid-19, en 2020 se desarrollaron diversas herramientas digitales como parte de políticas públicas estatales para detener el contagio. En Uruguay se diseñó e implementó Coronavirus.uy, la primera aplicación móvil de la región en respuesta a la pandemia, presentada a nivel internacional como una exitosa alianza público-privada.

El informe «El caso Coronavirus.Uy» analiza un primer periodo de la pandemia en América Latina, que abarcó desde marzo hasta diciembre de 2020. Es claro que durante 2021 la situación sanitaria en el mundo, y en Uruguay, ha cambiado drásticamente, no solo por los nuevos picos de contagio, hospitalizaciones y fallecimientos, sino por el avance en los planes de vacunación que se han adelantado de manera muy diferenciada en todos los países del mundo.

Qué es la aplicación Coronavirus.uy

Si bien el contexto cambió, el análisis de los primeros pasos en la implementación de la app brinda varias pautas sobre la necesidad una reflexión más detenida: cuáles han sido las tecnologías utilizadas; qué datos se recolectan y para qué; la importancia de contar con un marco legal para el tratamiento de datos; el rol del Estado y su vínculo con privados y sociedad civil.

El objetivo de Coronavirus.uy es proveer información pública relevante sobre estadísticas de contagio y sobre las medidas sanitarias vigentes, así como acompañar casos de posible infección por medio de recolección de información de autodiagnóstico por parte de las personas usuarias, proveer asistencia médica remota durante los periodos de confinamiento y, desde mediados de 2020, alertar a quienes han estado cerca de personas contagiadas.  La app registra fecha de testeo, diagnóstico y recuperación de quienes han contraído la enfermedad.

El sistema apunta a reunir información de manera centralizada para dirigir acciones estatales tanto a nivel general como respecto de casos individuales, donde puede proveer desde recomendaciones de cuidado hasta atención vía telemedicina.

Hoy día, Coronavirus.uy tiene un rol fundamental en el Plan de Vacunación, tanto en su implementación como en la obtención de un certificado para presentar en distintas ocasiones. Es de destacar que Uruguay es el primer país de América del Sur en integrarse al sistema del certificado digital Covid de la Unión Europea, que habilita el intercambio de claves públicas de verificación. Además, es uno de los canales posibles —aunque no el más difundido— para completar el formulario de ingreso al país de personas uruguayas, residentes o extranjeras. 
 
En la “Estrategia digital frente a la pandemia Covid-19” presentada por organismos de gobierno el 16 de diciembre 2021, se afirma que la aplicación Coronavirus.Uy tuvo 2.7 millones de descargas. Ademas, se activaron 1.7 millones de alertas de exposición que emitieron 63.000 alertas por proximidad y eventual seguimiento. Hasta entonces, se había descargado más de 62.000 certificados QR de vacunación.

¿Que puede salir mal en una app sanitaria?

En términos teóricos, no habría indicios para contestar afirmativamente. Tampoco en la presentación de la aplicación, tanto por la velocidad en que fue implementada como por los beneficios para el sistema sanitario uruguayo. Sin embargo, existen varios elementos de su proceso que pueden y deben ser revisados. A continuación, cinco acciones pendientes en el despliegue de Coronavirus.uy:

1. No se realizó un llamado público para su diseño y aplicación

El modelo de implementación y financiamiento fue mixto al estar involucrado el Estado y varios contribuyentes privados. La empresa Genexus lideró el proceso de desarrollo y luego la incorporacion de la API — o aplication protocol interface* — desarrollada por Google y Apple para que los Estados interesados desarrollaran sus propios sistemas de alerta por rastreo de proximidad.

Como observamos en otros países de la región,  la participación del sector privado en el desarrollo de esta tecnología se realizó por trato directo y sin mediar evaluación competitiva entre distintas propuestas. En el caso de Coronavirus.uy, las empresas y colaboradores lo realizaron en forma honoraria. Meses después de la implementación de la API y sin la  presentación de estudios que avalaran la eficacia de la tecnología,  Genexus fue nuevamente contratada de manera directa para el desarrollo del sistema de agenda de vacunación.

2. No asegura la protección de datos sanitarios de las personas

Uruguay cuenta con una robusta legislación e institucionalidad vinculada a la protección de datos personales. Desde 2008, la Ley de Protección de Datos Personales reconoce que “la protección de datos personales es un derecho inherente a la persona humana comprendido en el artículo 72 de la Constitución de la República”. La ley fue actualizada en 2018 y en 2020, por la propia evolución tecnológica y en consonancia con los tratados internacionales firmados por el Estado uruguayo. Allí se incluyen aspectos regulatorios como la recolección y uso de datos de geolocalización. El marco legal establece que los datos vinculados a la salud son particularmente sensibles, pero identifica excepciones para su tratamiento en casos justificados. 

Sin embargo — y a pesar de la información ofrecida a las usuarias de la app —, hay poca claridad sobre que tipo de accesos los distintos agentes involucrados en proveer la tecnología tienen a la información recolectada y que usos futuros podrían hacer de ellos. Mas allá de las protecciones establecidas, el Estado uruguayo no estuvo inmune a los recurrentes ataques cibernéticos registrados en la región. En febrero de 2021, por ejemplo, hubo un  hackeo de Dirección Nacional de Identificación Civil que evidencia la existencia de potenciales fallas de seguridad.

Como punto positivo, en junio 2021, anunciado vía Twitter por uno de sus desarrolladores, la app pasó a funcionar únicamente con datos abiertos provistos por el Ministerio de Salud Pública.

3.No existe una evaluación de su impacto en los derechos humanos

Hace falta una mirada crítica del uso de tecnologías digitales para la gestión de la salud pública durante la pandemia. La premura con que se buscaron soluciones obliga, a casi dos años de pandemia, a evaluar si las medidas implementadas han sido eficaces.

En el caso de Coronavirus.uy: ¿han sido útiles para la gestión sanitaria por parte del gobierno? ¿Habían medidas alternativas menos invasivas en términos de recolección de datos que podrían haber sido implementadas? ¿Han garantizado a la ciudadanía protección en salud al tiempo que se protege su privacidad e identidad digital?  Esta pregunta cobra aún mayor relevancia considerando que en junio 2021 comenzó la vacunación a adolescentes y, en las últimas semanas, a niños y a niñas, lo que implica un punto central a resolver y garantizar en relación a la protección de datos.

Cabe ademas cuestionarse sobre como la aplicación puede terminar facilitando otras formas de discriminación o incluso condicionantes para el acceso a servicios o derechos fundamentales, como ha ocurrido en otros países de la región.

4. No se consideró en su elaboración las brechas de conectividad

Por otro, si bien Uruguay lidera a nivel mundial la cobertura y calidad de conexión a internet, es innegable que las condiciones de acceso a tecnologías y de conectividad todavía son desiguales, limitando el alcance de los mecanismos digitales.

Según la Encuesta de Usos de las Tecnologías de la Información y las Comunicaciones 2020, un 83% del interior del país cuenta con acceso a internet desde algún dispositivo, mientras que en Montevideo el número asciende a 94%. Como punto a destacar, es que a diferencia de otras experiencias internacionales, Coronavirus.Uy permite ingresar más de una persona en su celular, aspecto que fue mejorado tempranamente en sus actualizaciones.
 
Asimismo, existen diferencias más marcadas respecto al uso de banda ancha en el hogar según nivel socioeconómico. Mientras el primer quintil de distribución de ingreso un 51% tiene acceso a internet en casa, en el quinto quintil el porcentaje se eleva a 86%.

Si se tiene preferencia por no usar Coronavirus.Uy y seguir los servicios en línea, implica mayor comodidad el uso una computadora, por lo que los hogares únicamente con celulares y tabletas quedan más limitados en poder elegir. Para el quinto quintil, la tenencia de computadora es de 74%. El 51% de los hogares de menos ingresos cuentan con otros dispositivos más allá del celular, es de destacar que de este conjunto un 20% accedió a través de políticas públicas, sea el Plan Ceibal o el Ibirapitá.

La dependencia a la app es notoria al estar en fase de seguimiento a la espera de un diagnóstico. Es la vía más rápida de acceso y la sugerida vía SMS cuando se espera un resultado, que por sus implicancias de aislamiento y contactos, suele esperarse con ansias.

5. No contó con participación de la sociedad civil

Finalmente, la aplicación Coronavirus.uy no cuenta con participación de la sociedad civil organizada sea del ámbito de la salud o los derechos digitales. Si bien cuenta con mecanismos de transparencia, como las múltiples peticiones que ha realizado la Red de Gobierno Abierto en Uruguay, la sociedad civil no ha sido debidamente considerada en la primera fase de implementación y desarrollo.

Para finalizar

La aplicación Coronavirus.uy ha transcurrido por varias actualizaciones y facilita los procesos, no es la única vía para resolver las gestiones vinculadas al Covid-19, pero si es una muy relevante, que sin dudas ha llevado a un porcentaje alto de descargas y con ello a una enorme base de datos sensibles. Por ese motivo, teniendo en cuenta la proyección del avance de la telemedicina y los eventos transcurridos en casi dos años de pandemia, exigen a la ciudadanía uruguaya reflexionar respecto a qué procesos son indispensables en la gestión de datos sensibles en la era digital.

De esta manera, la hipótesis de múltiples conflictos planteado por el informe “El caso Coronavirus UY” cobra especial vigencia, así como las reflexiones sacadas del análisis regional realizado por el Consorcio Al Sur en la publicación “Tendencias regionales en el despliegue de tecnologías en pandemia en América Latina: Reflexiones iniciales a partir de los datos del Observatorio Covid-19 de Al Sur”.

Comprender las violencias facilitadas por las tecnologías

Cuando hablamos de privacidad en internet estamos hablando también de confianza. La privacidad es eso que nos permite actuar libremente sin temor a los juicios por parte de otras personas o instituciones. Para hacernos una idea, en las ciudades contemporáneas los baños pueden ser esos lugares donde esperamos tener privacidad plena: que nadie nos esté observando, que nadie nos moleste. Cuando entramos al baño en un local comercial, confiamos en que sus dueños no estarán espiándonos y cuidan que nadie más lo haga.

En internet, la confianza es la garantía de que nuestra privacidad está resguardada cuando utilizamos servicios que son ofrecidos por terceros como las apps, plataformas de redes sociales o sistemas de pago en línea. Con el desarrollo permanente de las tecnologías digitales, cada tanto es bueno volver a preguntarnos, ¿existe algún lugar en internet donde tengamos plena confianza de que nadie nos está observando?

Hace poco, en una sesión de trabajo de protocolos de internet donde se conversaba sobre distintos escenarios de conectividad, el presentador afirmó que en una conexión casera puede haber total confianza: “porque no me preocupa si mi perro ve mi dirección MAC, o mi esposa o mis hijos. No creo que ellos vayan a atacarme”. Por supuesto, aclaró, “soy un usuario ingenuo que vive en los Estados Unidos y cuyo vecino más cercano se encuentra a una milla y media de distancia”.

La dirección MAC es un identificador único para cada uno de los aparatos que se conectan a internet. En esa sesión se estaba discutiendo sobre la posibilidad de que la dirección MAC se asigne de manera aleatoria a los aparatos cada vez que se conectan, de manera que no permita la identificación de la persona que está utilizando cierto aparato para conectarse a internet. Supongamos que ese aparato es un celular y la persona que se conecta está buscando información sobre aborto seguro, o cómo denunciar violencia doméstica. Si la dirección es única y estática, alguien con capacidad de ver el tráfico de red en el hogar puede saber desde el aparato de quién se están haciendo dichas búsquedas.

Para el presentador “ingenuo” solo su vecino sería un posible atacante, es decir alguien con capacidad suficiente para conocer el tráfico de red en su hogar, y es evidente que su esposa, sus hijos o su perro, no. Pero como bien sabemos, esta situación puede ser completamente diferente para otras personas. La privacidad y la confianza, tanto en el hogar como en internet, están determinadas por relaciones de poder. Por ejemplo, ¿quién contrata el servicio de internet? ¿quién puede configurar los aparatos instalados? ¿cuántas personas acceden a cada aparato conectado, y en qué condiciones? ¿quién conoce y quién controla las credenciales de acceso?

La idea de que el hogar es un lugar de “total confianza” (o que la familia es un grupo de “mucha fraternidad”, parafraseando al actual presidente de México) ha sido ampliamente cuestionada por grupos feministas que combaten las violencias de género normalizadas en nuestra sociedad. Sin embargo, quienes diseñan las tecnologías que utilizamos y quienes gobiernan los países donde vivimos continúan pensando que una declaración es suficiente para garantizar espacios seguros y libres de violencias, tanto dentro como fuera de línea.

Pero concentrémonos en las tecnologías digitales. En esa misma sesión de trabajo, varias personas señalaron que, en términos de seguridad, el hogar no es un escenario de confianza pero una empresa sí lo es. ¿De qué confianza estamos hablando?, ¿y de qué seguridad? ¿Para quién?, ¿para qué? En una empresa, en una institución militar o de gobierno, es necesario proteger la información que se comparte. La confianza está mediada por contratos de trabajo, acuerdos de confidencialidad, políticas y protocolos de procedimiento que han sido meticulosamente diseñados para garantizar el correcto funcionamiento institucional.

La seguridad es una característica necesaria en cualquier sistema informático y quienes han estado a cargo de esta labor en los contextos empresariales e institucionales son principalmente ingenieros hombres, que viven en familias consideradas “normales”, en condiciones económicas muy cómodas, en países del norte. Pero hoy, cuando a través de un mismo dispositivo conectado a internet sostenemos por igual relaciones laborales, académicas, burocráticas e íntimas, la seguridad digital se ha quedado corta en responder a las necesidades de las -cada vez más y más diversas- personas que nos conectamos.

El campo de la ciberseguridad se ha construido sobre la base de identificar adversarios, amenazas y riesgos asociados al uso de tecnologías digitales, así como de garantizar la confidencialidad, integridad y disponibilidad de la información. Pero muy poco se ha estudiado sobre cómo el diseño de las tecnologías digitales afecta a las diferentes personas, y qué tipos de amenazas aparecen en los entornos privados e íntimos. Quienes trabajan en seguridad suelen pensar que estas amenazas son poco sofisticadas porque técnicamente son fáciles de ejecutar y no dependen de un diseño tecnológico complejo. Nada más alejado de la realidad.

Estas amenazas están basadas en una profunda conflictividad social que difícilmente es experimentada en el día a día por quienes diseñan, mantienen y analizan sistemas de seguridad: en su mayoría hombres cis, heterosexuales, no racializados en su contexto local y con cierta comodidad financiera. Hacerle frente a esta conflictividad implica entender, no solo la complejidad técnica de los ataques, sino las condiciones sociales en que configuraciones técnicas muy sencillas facilitan la ejecución y amplificación de prácticas normalizadas que son violentas, por ejemplo, la vigilancia y el control de los cuerpos de las mujeres por parte de sus familiares o parejas sentimentales. 

A tiempo que construimos tecnologías para acabar el patriarcado necesitamos hablar más de las violencias facilitadas por las tecnologías que hoy día estamos usando, esa condición de facilidad y simpleza con que permiten a los agresores (principalmente hombres allegados a las personas agredidas) ejercer violencia. No solo se trata de las aplicaciones para descubrir una infidelidad, que cada día se hacen más comunes en las tiendas de descarga, sino de las características de muchas aplicaciones que usamos cotidianamente, y que incitan a la vigilancia, el seguimiento y el abuso sobre la privacidad de quienes tienen (por condiciones estructurales que ya mencionamos aquí) menos habilidades o posibilidades de conocer el trasfondo del funcionamiento de estas aplicaciones.

Tecnología y derechos humanos en la nueva Constitución: esperanzas y riesgos

En Chile, los veranos son usualmente aburridos en materias políticas. Sin embargo, la Convención Constitucional, con su ajustado plazo de 12 meses para escribir la nueva constitución, nos tienen viviendo tiempos interesantes en el mes de enero.

El miércoles 5 de enero María Elisa Quinteros y Gaspar Domínguez fueron elegidos como presidenta y vicepresidente de la Convención respectivamente, tras dos jornadas un tanto caóticas que requirieron nueve rondas de votación antes de alcanzar un consenso. Quinteros y Domingues sucederán entonces a Elisa Loncon y Jaime Bassa, quienes dirigieron la primera fase del trabajo constitucional, supervisando la elaboración de los reglamentos de funcionamiento, la instalación de las comisiones temáticas y un proceso de audiencias públicas ante dichas comisiones.

Dentro de este espacio, Derechos Digitales expuso y ha tenido contactos con dos comisiones, la de principios constitucionales, donde hablamos de materias relacionadas a voto electrónico y sus riesgos en relación a los principios constitucionales en materias de sufragio, y la necesidad de fomentar la participación a través del aseguramiento de un derecho a la conectividad universal; y en la comisión de sistemas de conocimientos, donde hablamos de derechos culturales, propiedad intelectual y acceso a las ciencias y las artes, y sobre otros derechos fundamentales agrupados dentro del concepto de “derechos digitales”.

Con el cambio de liderazgo, comienza también la fase de de proposición y discusión de normas constitucionales, las que tienen dos fuentes principales. La primera corresponde a las iniciativas de normas que cuenten con el patrocinio de 8 a 16 convencionales, que opera de manera similar a la presentación de un proyecto de ley. Por otro lado, tenemos las iniciativas populares de norma, que pueden ser postuladas por cualquier persona y que requieren del patrocinio de 15 mil personas a través de la suscripción con las credenciales del sistema de Clave Única del Estado para ser discutidas por la convención.

Si bien la etapa de presentación de iniciativas de normas constitucionales aún está en curso, a la fecha no se han publicado muchas propuestas de normas en las materias de interés de nuestra organización, por lo que las próximas semanas serán cruciales para conocer las posturas de los convencionales y de la ciudadanía en materias relacionadas con temas de tecnología y derechos humanos.

A la fecha, solo se han publicado dos iniciativas de constituyentes en materias relevantes a nuestros intereses, correspondientes a los boletines 9-2 “que establece el principio de interculturalidad y consagra el derecho a participar en la vida cultural”, y 24-7 “que incorpora el derecho a beneficiarse de los conocimientos y sus aplicaciones, y a gozar de sus beneficios, libertad de investigación y protección contra usos indebidos de los conocimientos y la tecnología”.

Ambas iniciativas fueron presentadas por convencionales constituyentes de la comisión de sistemas de conocimientos y se centran en temas de derechos culturales, los que habían sido ignorados de manera casi absoluta por la constitución de 1980, elaborada durante la dictadura militar, y que solo habían sido tocados de manera tangencial por la reforma constitucional de 2001 que estableció el derecho a la libertad de creación artística.

Por otra parte, se han postulado 25 iniciativas populares de norma en materias relevantes para nuestra organización. Sin perjuicio de que a la fecha ninguna de ellas cuenta con un número de patrocinios que haga viable su discusión, estimamos que es interesante tener en consideración los temas que ha postulado la ciudadanía.

Del análisis de las iniciativas populares, notamos una tendencia a propuestas de sistemas de democracia directa digital y de votaciones electrónicas, incluyendo votaciones a través de internet, utilizando sistemas de credenciales tales como la Clave Única del Estado de Chile. Desde Derechos Digitales, consideramos que, si bien es un fin noble fomentar la participación popular a través de la creación de instancias de influencia directa en los procesos legislativos y de diseño e implementación de políticas públicas, esto no puede suponer debilitar instituciones democráticas como el sistema electoral, que durante más de 30 años han demostrado que pueden funcionar de manera eficiente y que cuenta con la confianza de la ciudadanía.

En relación a estos mismos temas, consideramos que la creación de instancias de democracia participativa no debe olvidar a los ciudadanos que aún no se suman del todo al uso de tecnologías, y que toda instancia de participación digital debe tener correlatos analógicos. Pues, si bien Chile es uno de los países de la región latinoamericana con mejores tasas de acceso a internet, aún existen grandes desafíos en materia de conectividad, en especial en zonas rurales y aisladas, y dentro de las periferias de los núcleos urbanos. Asimismo, existen grandes desafíos en materia de alfabetización digital que también deben ser resueltos.

Finalmente, estamos a la espera de las iniciativas de normas constitucionales en materias de derechos fundamentales relacionados a materias de tecnologías. Así, a la fecha no se han publicado propuestas de norma en materias tan relevantes como los derechos a la privacidad, la inviolabilidad de las comunicaciones, protección de datos personales, libertad de expresión, entre otras.

Los tiempos de la convención constitucional serán bastante acotados en atención al escaso tiempo que tiene por diseño, por lo que estimamos que la discusión constitucional será bastante intensa y acelerada en los meses que se vienen. Sin perjuicio de esto, también hemos visto que el órgano constituyente ha logrado producir resultados dentro de sus calendarios, por lo que esperamos que ningún tema relevante quede debajo de la discusión.

Enfatizamos que los derechos digitales no son más que derechos humanos aplicados en el entorno digital y que no es necesario reinventar la rueda, sino que basta con normas flexibles pero robustas que permitan hacerse cargo de estos nuevos desafíos, y manifestamos nuestra intención de seguir colaborando con nuestras experiencias en materias de tecnologías digitales y derechos humanos, para que el proceso constituyente llegue a buenos resultados.

Derechos digitales en 2021: un último vistazo al año que nos deja

«Es navidad y ¿que has hecho?» nos pregunta una famosa canción navideña cada fin de año. Intentar responder nos obliga recordar y reflexionar.

La pandemia del COVID-19 hizo evidentes las escandalosas desigualdades que atraviesan nuestras sociedades y los límites de un modo de producción que debemos repensar si queremos construir un futuro más respetuoso y justo para todos los seres que habitamos este planeta. Ese contraste sigue vívido frente a nuestros ojos.

En América Latina, el deterioro de las condiciones de vida como resultado de una serie de crisis que se superponen —sanitaria, económica, política, climática y ambiental—se hace visible en los paisajes de muchas ciudades. Sin embargo, la fuerza de la solidaridad, la colaboración y la resistencia una vez más dejará su marca en nuestra historia. En 2021, la gigantesca marcha de mujeres indígenas en Brasil, los fuertes movimientos de protesta en Colombia y en Cuba, la movilización en los períodos de elecciones en Chile, y la resistencia ante la crisis en Venezuela, Nicaragua, Honduras y El Salvador, fueron muestras de una intensa lucha por derechos, en una región tan marcada por la dificultad de los cambios.

Son innumerables las iniciativas locales que buscaron garantizar y promover derechos, desde grupos grandes y pequeños, desde comunidades y redes de solidaridad a nivel local, regional y global. Desde Derechos Digitales, pudimos apoyar algunas por medio del Fondo de Respuesta Rápida: fueron 20 proyectos apoyados durante el año, con acciones en 11 países. Y sabemos que hay mucho más por hacer.

En este contexto, la vida en internet se ha vuelto aun más importante que los vaticinios tecnoptimistas de principios de siglo. Por la misma razón, defender la libertad de expresión, el acceso a la información, la privacidad, los derechos a la protesta y participación en línea se hizo aún más fundamental. La posibilidad de conectarse a una internet de calidad, sin interferencias excesivas y arbitrarias fue lo que le permitió a algunas personas trabajar, estudiar y mantener una vida social de manera segura. Sin embargo, no fue así para todas. Algunos gobiernos aprovecharon la crisis sanitaria para intentar establecer mayores controles sobre discursos legítimos.

En Bolivia y Brasil, la sociedad civil movilizada logró impedir iniciativas peligrosas para la libertad expresión en línea. En Chile, junto con reconocidas expertas y expertos internacionales criticamos firmemente el proyecto de ley para regular las plataformas digitales, que tiene un enorme potencial de daño al ejercicio de derechos fundamentales; además de sus errores de conceptuales, el proyecto ignora desarrollos importantes de derechos humanos a nivel internacional. En Colombia, asistimos al Congreso a detener una iniciativa legal que, en nombre de los derechos de niños, niñas y adolescentes, buscaba implementar una serie de disposiciones para el control de la circulación de contenidos en internet, contrarias a las condiciones establecidas en la Convención Americana sobre Derechos Humanos; una medida que probablemente tenía buenas intenciones, pero que constituía una amenaza peligrosa.  

La violencia en línea —especialmente la violencia de género—se multiplicó como estrategia para silenciar las críticas. Como reconoció la Relatora Especial de Naciones Unidas sobre libertad de expresión, Irene Kahn, este tipo de práctica representa una forma de censura y muchas veces obliga a las víctimas a desconectarse para sentirse seguras. Reiteramos lo dicho por incontables activistas y expertas a nivel mundial: la violencia de género en línea es un atentado contra los derechos humanos

Los distintos impactos de la brecha digitales se hicieron más evidentes que nunca: miles de personas se vieron excluidas por la digitalización de servicios públicos, al no tener ningún tipo de conexión o por la precariedad de su forma de acceso, incluidos los servicios vinculados al control de la pandemia o de sus efectos sobre la vida de las personas en la región. Algunas de estas iniciativas abrieron espacio para nuevas formas de  discriminación y para una vigilancia diferenciada hacia las personas que se encuentran en situación de mayor vulnerabilidad y, por lo tanto, dependen del apoyo del Estado, como apuntamos en nuestro análisis de los sistemas de sistemas de protección social en Bolivia y Venezuela.

Para quienes lograron conectarse, la digitalización del sector público también ha implicado una mayor recolección de datos, en muchos casos, sin las debidas garantías de protección. Con el consorcio Al Sur, analizamos el uso de tecnologías para el combate al virus y concluimos que su implementación se basó en escasas evidencias de efectividad, sin considerar tampoco procesos de evaluación o auditorías participativas. Debido a la ausencia de estudios previos de impacto y de medidas suficientes de seguridad, estas iniciativas se constituyeron como riesgos al ejercicio de derechos humanos y fallaron en el cumplimiento de estándares de legalidad, necesidad y proporcionalidad.

La vigilancia floreció en América Latina durante el último año: observamos con preocupación el avance del uso de tecnologías de reconocimiento facial, especialmente en espacios públicos, sin mayores cuestionamientos sobre sus consecuencias. En Uruguay una ley aprobada en abril autorizó la creación de una base de datos de identificación facial para uso en la seguridad pública, a pesar de la manifestación de docenas de organizaciones de la sociedad civil y de crecientes cuestionamientos a este tipo de tecnologías.

Junto a otras organizaciones, colaboramos en la investigación y denuncia del uso de tecnologías en el contexto del control de la pandemia como vía para acumular información de las personas y la gestión de los datos por fuera de estándares de derechos humanos.

También asistimos al trabajo de tribunales en la región. En Argentina participamos como amicus curiae  en una acción que cuestiona constitucionalidad del “Sistema de Reconocimiento Facial de Prófugos” (SRFP) de la ciudad de Buenos Aires. En Perú el proyecto “Ni un examen virtual más” cuestionó la obligatoriedad de esos sistemas para la participación en exámenes de ingreso en universidades públicas. En Brasil y Paraguay la sociedad civil también se ha organizado para resistir la implementación del reconocimiento facial, y participamos en un amicus curiae en este último país en defensa de la transparencia en el uso de estas tecnologías. En Colombia, intervinimos dos veces en apoyo a organizaciones locales en el cuestionamiento del uso de datos personales para la pandemia, relevando la importancia de los estándares que la ley ya contempla.

La movilización no ha sido solo resistencia: en Ecuador se ha logrado aprobar finalmente una ley de protección de datos, donde fuimos activos partícipes; en Brasil se han presentado propuestas para la prohibición del reconocimiento facial; Nos sumamos también al movimiento global para cuestionar la forma en que una empresa con amplia base de usuarias en la región ha procurado cambiar sus reglas, con la reacción positiva de la autoridad de libre competencia en Chile.

Pasaron demasiadas cosas como para listarlo todo. Ello nos trae orgullo y satisfacción, pero a la vez nos muestra los desafíos hacia el futuro. Al mismo tiempo, nos mueve a observar nuestra acción hacia afuera, como también nuestra situación como grupo de personas. Las organizaciones de derechos humanos como Derechos Digitales no hemos estado excluidas de los impactos generados por la pandemia en los últimos dos años, que van más allá de situaciones nacionales y globales.

Mantenernos activas ha implicado también hacer una mirada hacia adentro y pensar cómo nos cuidamos y fortalecemos, cómo nos auxiliamos mutuamente para generar la fuerza que requiere nuestra labor. Y así, mantenemos nuestra convicción de cara al año que comienza. Ante los desafíos enfrentados, esperamos para 2022 no solo hacer, sino también recuperar nuestro derecho a imaginar.

Nueva ley de delitos informáticos

Dentro de las próximas semanas Chile debiera contar con una nueva ley sobre delitos informáticos. La discusión del proyecto de ley Boletín 12192-25 que busca modificar la normativa vigente (Ley 19.223 que tipifica figuras penales relativas a la informática) está en su recta final.

Con la mayoría de su articulado ya aprobado queda pendiente que la Comisión Mixta —compuesta por senadores y diputados— termine de revisar aquellos artículos donde no hubo acuerdo en las etapas legislativas previas. Como es de esperarse, los pendientes implican los temas más polémicos: la criminalización de la investigación informática, y la modificación del Código Procesal Penal (CPP) para ampliar y flexibilizar algunas de las medidas investigativas más intrusivas de nuestro sistema. Entre ellas, se encuentra el artículo 219 del CPP sobre interceptación de las comunicaciones privadas.

La excusa del Convenio de Budapest para reducir el control de la actividad estatal

No cabe duda de que Chile necesita con urgencia una normativa adaptada a la realidad actual. A 30 años de la entrada en vigor de la ley 19.223 es una excelente noticia. Sin embargo, este proyecto ha servido de excusa para cambiar las reglas del CPP chileno en materia de técnicas de investigación de una manera que nada tiene que ver con el Convenio de Budapest, cuya implementación dio origen a este proyecto, como ya hemos explicado.   

A pretexto de combatir el ciberdelito, el proyecto busca reducir aquellos mecanismos que fueron diseñados para evitar el abuso de las medidas intrusivas de investigación, limitando las posibilidades de control democrático. Así, hemos llegado al absurdo que una cuestión tan relevante como normas procesales penales de aplicación general, puedan terminar siendo discutidas en forma incidental, como una cuestión accesoria, a pesar de tratarse de una materia que evidentemente requiere de una discusión particular.

Así como la separación de poderes es un elemento imprescindible de toda democracia, también lo es el control de su ejercicio. En este punto, el texto propuesto por el Senado contiene una propuesta extremadamente peligrosa: flexibiliza las herramientas para el uso de medidas investigativas profundamente intrusivas. Algunos ejemplos son el uso de agentes encubiertos, la interceptación de las comunicaciones, y ampliar las facultades de investigación a las policías.

En términos resumidos, el proyecto busca modificar la regla general bajo la cual funcionan la mayoría de los sistemas penales del mundo, incluido el chileno: la necesidad de contar con una autorización judicial previa. Además, si consideramos que la normativa contempla el secreto por tiempo ilimitado de estas actividades de investigación, sumado al histórico incumplimiento de la obligación de informar a las personas afectadas por una medida de interceptación de sus comunicaciones (cuando sea posible hacerlo), el resultado que tenemos es la entrega de un poder de intrusión ilimitado y descontrolado.

Por otra parte, preocupa la falta de claridad con que fue redactado el texto que busca reemplazar el actual artículo 219 del CPP, donde no queda claro cuáles serían los casos en que el Ministerio Público podría hacer uso de las facultades que le otorga la ley.

Investigación en seguridad informática

Otro de los aspectos polémicos del proyecto es la criminalización de la comunidad de seguridad informática. A pesar que el trabajo de los investigadores en seguridad informática es detectar vulnerabilidades e informarlas, de manera que los dueños de los sistemas de información puedan hacer los ajustes que sean necesarios, sobre ellos pesa el estigma ser “ciberdelincuentes” y mal llamados hackers. Además, en varias oportunidades son perseguidos por los propios beneficiados por su trabajo (quienes son informados sobre las vulnerabilidades) a quienes les resulta más cómodo perseguir al mensajero.

Pero no todo está perdido. El Congreso logró comprender la significación de esta importante labor, y al menos existiría consenso en establecer una eximente de responsabilidad penal para quienes realicen esta actividad en el contexto de una investigación académica de seguridad informática previamente registrada. En todo caso, sujeto a ciertas condiciones: que no haya mediado actuación policial, judicial o del Ministerio Público de ninguna especie; y que tanto el acceso como la vulnerabilidad informática detectada hayan sido reportadas al responsable del sistema informático y a la autoridad competente.

Desde Derechos Digitales creemos que, si bien esta consideración es un avance, no es suficiente. La investigación en seguridad informática es esencial para la detección y solución de brechas de seguridad: de lo contrario solo conoceremos vulnerabilidades una vez que sean explotadas por terceros. Por el contrario, las leyes que criminalizan la investigación informática suelen ser abusadas para perseguir a quienes investigan, ya sea por motivos políticos, o como reacción de las empresas privadas ante el impacto reputacional que significa que alguien revele sus brechas de seguridad, tal como se puede ver claramente en el informe elaborado por Access Now.

Por último, a quienes más perjudican este tipo de leyes es a las personas. Solo las grandes empresas cuentan con los medios económicos necesarios para poder costear investigadores privados que revisen sus sistemas constantemente. La actividad de la comunidad de seguridad informática permite a pequeñas empresas ser advertidas de la existencia de brechas, y reaccionar antes que su información y la de sus clientes sea expuesta. Acompañada de estrictos mecanismos de resguardo, una autorización amplia para la investigación en seguridad informática no debería generar problemas.

Llamado a rechazar la modificación del artículo 219

Un proyecto de ley que busca modificar la normativa penal debe ofrecer ciertas garantías mínimas para impedir el abuso de aquellas técnicas de investigación que resultan lesivas de derechos fundamentales.

Considerando que en la actualidad no contamos con un sistema que se haga cargo de todas las vulneraciones del debido proceso, al no tener capacidad para controlar el uso de las medidas en cuestión, ni conocimiento para la rendición de cuentas una vez que termina una entrega de información o una interceptación, pareciera que aumentar las hipótesis de medidas intrusivas de investigación sin control suficiente ex ante y ex post solo pone en mayor riesgo la institución del debido proceso y derechos sin los cuales es imposible pensar en una democracia: el derecho a la privacidad, a la protección de los datos personales y a la inviolabilidad de las comunicaciones privadas.

Por ello, creemos que cualquier reforma del CPP en este sentido requiere, ineludiblemente, una reforma transversal a las normas sobre entrega de datos personales y privacidad de las comunicaciones, y el establecimiento de fuertes sanciones para el uso abusivo de medidas como las propuestas, cuestión que solo es posible mediante una discusión de fondo.

Dado lo anterior, no parece prudente intentar regular una materia tan compleja como esta en forma anexa e incidental a un proyecto de ley que no se refiere específicamente al CPP. En el marco actual, ya han sido identificados diversos riesgos asociados al uso abusivo de este tipo de técnicas investigativas. Sumado a esto, la norma propuesta contraviene la regla general sobre principios básicos del proceso penal contenida en el artículo 9 de nuestro CPP, por lo que no parece prudente aumentar las facultades de las policías sin una revisión del sistema completo.  

Llamamos a rechazar la modificación del artículo 219, y dejar dicha discusión para una instancia en que se pueda analizar el tema con la dedicación necesaria, que englobe una mirada integral a nuestro sistema procesal penal, evitando introducir reglas contrarias al debido proceso.

Garantías mínimas

Con todo, para el caso de optar por insistir en la modificación del artículo 219, a lo menos debiesen tomarse los siguientes resguardos como un mínimo necesario:

  1. Necesidad de contar con autorización judicial, idealmente previa, pero al menos en forma posterior;
  2. Modificar la redacción del § 3 del artículo 219 propuesto, en orden a dar mayor claridad sobre los casos en que el Ministerio Público podría hacer uso de las facultades que se busca otorgarle;
  3. Establecer que toda orden que imponga la reserva de una medida investigativa debe señalar un límite del tiempo para dicha reserva;
  4. Establecer que, una vez cumplido el plazo indicado para la reserva de la medida investigativa, termine el deber de secreto que pesa sobre las empresas de telecomunicaciones, de manera que estas sean libres de notificar a sus usuarias, en los términos establecidos en el artículo 224 del CPP; y,
  5. Reforzar el deber de notificación al afectado por una medida de interceptación establecido en el referido artículo 224, de forma que el mismo sea efectivamente cumplido, pues no existen antecedentes que muestren que dicha norma esté siendo cumplida en la actualidad.

Inteligencia artificial 2021: desarrollos importantes en el marco legal internacional

Versão em português disponível

Gran parte de lo que se discute sobre inteligencia artificial (IA) nos remite a películas y libros de ciencia ficción. Robots muy humanoides y brillantes están en las fotos de muchas páginas que hablan de este tipo de tecnología. Daniel Leufer señala este y otros mitos en el uso y discusión de la IA en un sitio web que vale la pena revisar. A este mito de la representación se suma una definición muy amplia, que serían tecnologías dotadas de súper inteligencia, cuyo uso puede ser objetivo, sin prejuicios y que no podrían resolver nada más que un montón de cosas.

Pero lejos de estar cerca de los robots como en las películas de Steven Spielberg o en las protagonizadas por Will Smith, muchas partes de nuestras vidas ya se ven afectadas por el uso de la IA: ya sea por su uso por parte del Estado para llevar a cabo las más variadas tareas y en su toma de decisiones, o incluso por empresas.

Dos elementos del mito de la «gobernanza de la IA» nos llevan a algunas preguntas. Es cierto que muchos países de América Latina, como Colombia, Chile, Brasil y Uruguay, ya están regulando estrategias nacionales para hacer frente a la IA, además de intentar aprobar proyectos de ley específicos sobre regulación, como estamos viendo en las discusiones actuales.

En el caso de Brasil, el proyecto de ley 21/2020 ha recibido una serie de críticas mordaces, como la de Coalizão Direitos na Rede en esta semana, por su aprobación en la Cámara de Diputados sin una discusión efectiva con la sociedad, que implican un debilitamiento de las garantías existentes. En Europa, las discusiones también son candentes y la sociedad civil organizada está pidiendo una Ley de Inteligencia Artificial (EIA) que dé prioridad a los derechos fundamentales.

Esta semana, se lanzó el “Índice global de inteligencia artificial responsable”, un proyecto de Research ICT Africa y la Red Data 4 Development. Este índice tiene como objetivo rastrear la implementación de los principios de IA responsable en más de 120 países, a través de una red internacional de equipos de investigación independientes, para evaluar en qué grado se están aplicando los principios. El nombre del evento de lanzamiento transmite el deseo de gran parte de la sociedad: pasar de los principios a la práctica, ante tantos potenciales riesgos y violaciones de los derechos humanos.

Aquí, queremos analizar los nuevos desarrollos en el tema de la regulación de la IA dentro de los organismos internacionales, a los que se agregaron, por ejemplo, los principios de la OCDE sobre IA, que habían sido aprobados en 2019.

Impactos negativos y catastróficos, con graves riesgos para la privacidad y exigiendo acciones urgentes

Michelle Bachelet, Alta Comisionada de las Naciones Unidas para los Derechos Humanos, publicó recientemente un importante informe sobre los graves riesgos para la privacidad derivados del uso de herramientas de IA (A/HRC/48/31).

Según Bachelet, la creación de perfiles, la toma de decisiones automatizadas y las tecnologías de aprendizaje automático (machine learning) tienen impacto en el derecho a la privacidad y varios otros derechos que asociados, en al menos cuatro sectores específicos.  Para los sectores de aplicación de la ley —seguridad nacional, justicia penal y gestión de fronteras— las implicaciones son múltiples. Por mencionar algunas: amplias bases de datos que dañan o restringen la privacidad, alta probabilidad de predicción para búsquedas, investigaciones y enjuiciamientos penales, sumado a una alta opacidad de los sistemas que impiden la verdadera rendición de cuentas del Estado en áreas que históricamente han sufrido de falta de transparencia.

El uso de la IA en el reconocimiento biométrico remoto (reconocimiento facial y de emociones) también es severamente criticado por el informe, ya que perjudica “la capacidad de las personas para vivir sus vidas sin ser observadas y tiene como resultado un efecto negativo directo en el ejercicio de los derechos a la libertad de expresión, reunión pacífica y asociación, así como libertad de circulación”.

El informe había sido solicitado por la ONU en 2015, en la Resolución 42/15, y se basó en una reunión con expertos en mayo de 2020, así como los aportes recibidos de una convocatoria específica para tal fin en 2021. Analiza el tema principalmente con base en el artículo 12 Declaración Universal de Derechos Humanos y en el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (ICCPR).

Bachelet señala que el riesgo de discriminación derivado del uso de decisiones basadas en inteligencia artificial es muy alto. Enumera posibles enfoques para hacer frente a los desafíos, haciendo una serie de recomendaciones sobre el diseño y la implementación de salvaguardas para prevenir y minimizar los daños. Si bien las áreas de salud, educación, vivienda y servicios financieros necesitan un mayor escrutinio, según el informe, el área de identificación biométrica necesita con urgencia orientación para defender los derechos humanos.

Dos de las nueve recomendaciones de Bachelet a los Estados son muy significativas. En primer lugar, trata de prohibir expresamente las aplicaciones de IA que no respeten los derechos humanos. Asimismo, impone una moratoria en la venta y compra de sistemas de IA que representan un alto riesgo para los derechos humanos hasta que se adopten las protecciones adecuadas.

La segunda recomendación implica que los Estados prorroguen el uso del reconocimiento biométrico remoto en los espacios públicos, hasta que las autoridades puedan demostrar el cumplimiento de los estándares de privacidad, protección de datos y que no existen problemas de precisión e impactos discriminatorios. Es interesante notar que este tema de la moratoria del reconocimiento facial ya ha sido expresada en la narrativa 2020 producida por Bachelet sobre el impacto de las nuevas tecnologías en la promoción y protección de los derechos humanos en el contexto de las asambleas, incluidas las protestas pacíficas (A/HRC/44/24).

Las recomendaciones para empresas y Estados enfatizan la necesidad de la debida diligencia en todo el ciclo de los sistemas de IA, desde el diseño, desarrollo, implementación, venta, adquisición y operación, con un fuerte enfoque en las evaluaciones de impacto sobre los derechos humanos.

Impacto en la privacidad, vigilancia masiva y otros derechos humanos

En octubre de este año, el Consejo de Derechos Humanos de la ONU revisó la Resolución sobre el derecho a la privacidad en la era digital (A/HRC/RES/48/4). Este es un paso importante, considerando que no solo actualizó, sino que también dejó en claro los riesgos y peligros de adoptar IA. El nuevo texto fue presentado por Brasil y Alemania, tuvo una serie de reuniones informales entre Estados con la participación de la sociedad civil  y fue aprobado por consenso. Si bien la revisión de la Resolución no fue más incisiva, no hay duda de que la resolución exige mayores esfuerzos a los Estados, principalmente, a respetar de inmediato el derecho a la privacidad y otros derechos humanos afectados.

La Resolución 48/4 reconoció que la IA puede plantear graves riesgos para el derecho a la privacidad, «especialmente cuando se utiliza para identificación, seguimiento, creación de perfiles, reconocimiento facial, predicción de comportamiento y para establecer puntuaciones para individuos». También solicita a los Estados que adopten medidas preventivas y remedios para las violaciones y abusos del derecho a la privacidad, comprendido el deber de adoptar medidas preventivas y reparadoras para las violaciones y abusos, incluidos los relacionados con el derecho a la privacidad, que pueden afectar a las personas, pero que tiene efectos particulares contra mujeres, niños y niñas, y personas en situación históricamente vulneradas. También enfatiza en que los Estados desarrollen y fortalezcan políticas públicas sensibles al género que promuevan y protejan el derecho de todas las personas a la privacidad.

Había una gran expectativa respecto a que esta resolución dejaría algunas cuestiones mejor delimitadas, sobre todo debido a la fuerte posición de la Alta Comisionada para los Derechos Humanos al proponer una moratoria sobre ciertas tecnologías de reconocimiento biométrico y facial. En particular, por la recomendación más fuerte para que los Estados cumplan con la moratoria en la compra y venta de sistemas de IA.

No obstante, entendemos que aún habrá novedades de esta resolución, dado que ordenó a la Alta Comisionada para los Derechos Humanos a presentar un informe escrito, hacia el 51° período de sesiones del Consejo de Derechos Humanos. Se espera que informe contemple las tendencias y desafíos en el tema, identificar y aclarar principios, salvaguardas y mejores prácticas de derechos humanos, asegurando una amplia participación de múltiples partes interesadas para su producción.

Aproximación a las recomendaciones éticas en IA

El 24 de noviembre de este año, la Conferencia General de la UNESCO adoptó la recomendación sobre la Ética de la Inteligencia Artificial. El documento, avalado por 193 países, presenta un preámbulo con más de 20 consideraciones, definiendo su ámbito de aplicación, propósitos, objetivos, valores, principios y áreas de aplicación.

Como valores, la recomendación de la UNESCO enumera: el respeto, la protección y la promoción de los derechos humanos, las libertades fundamentales y la dignidad humana, el florecimiento del medio ambiente y el ecosistema, la diversidad y la inclusión, sociedades pacíficas, justas e interconectadas. Los principios rectores son: proporcionalidad y no causar daño, seguridad y protección, justicia y no discriminación, sostenibilidad, derecho a la privacidad y protección de datos, supervisión y determinación humana, transparencia y explicabilidad, responsabilidad y rendición de cuentas, conciencia y alfabetización, además de gobernanza de múltiples partes interesadas.

Además, la Recomendación reúne 11 áreas principales de política pública y, entre ellas, una específica sobre evaluación de impacto ético (ethical impact assessment). A pesar de parecer un avance, entendemos que este punto puede ser preocupante y necesita mayor explicación. Primero, porque la evaluación de impacto ético antes mencionada tiene como uno de sus elementos la evaluación de impacto en derechos humanos. En este sentido, existe una posible superposición errónea de las dos herramientas, ya que la evaluación de los impactos sobre los derechos humanos es más amplia y profunda que la evaluación del impacto ético.

En segundo lugar, porque la herramienta de evaluación del impacto en los derechos humanos y la diligencia debida en materia de derechos humanos ya están presentes en los instrumentos jurídicos internacionales y “se han convertido en la herramienta más recomendada de la ONU para que las empresas comiencen el proceso continuo de debida diligencia en materia de derechos humanos”, según CELE, mientras que las directrices éticas carecen de «mecanismos de aplicación y definición: qué instituciones invocan y cómo empoderan a las personas», como sostiene la organización Artículo 19.

Aunque se trata de un gran comienzo, no basta con establecer recomendaciones éticas para el uso de tecnologías de IA. Como ya lo destacó María Paz Canales, “la ética no es suficiente, en Estados democráticos donde existe un compromiso normativo para promover y proteger los derechos humanos”. Es necesario darle más normatividad al uso de la IA, pues ya tiene efectos desastrosos para una parte de la población que ya es vulnerable.

Como señaló Daniel Leufer, citado al comienzo de este artículo, a pesar del auge de la ética de la IA cuando nos enfrentamos a peligros muy graves, un equilibrio entre beneficios y daños puede llevar a cuestionar un enfoque utilitario de la ética. Sin embargo, un enfoque centrado en los derechos humanos simplemente comienza con el punto de partida de que ciertos daños son inaceptables.

Si bien la recomendación de UNESCO proporciona un importante marco ético compuesto por valores y principios, debe entenderse como un complemento a las obligaciones internacionales de derechos humanos para orientar las acciones de los Estados en la formulación de su legislación, políticas u otros instrumentos relacionados con la IA, en conformidad con el derecho internacional ya vigente.

Por una internet descentralizada

WhatsApp es la plataforma utilizada en América Latina para los chats familiares, de estudios, de trabajo, para comercio y más. De repente, durante casi un día todas estas personas quedan incomunicadas. Seguramente habrá quiénes se alegraron por la paz de un día de desconexión. Sin embargo, para una parte no despreciable, dicho evento significó inconvenientes varios y posiblemente no cumplir sus actividades con normalidad.

A nivel mundial, WhatsApp sirve para comunicar a dos mil millones de personas, casi tres veces la población de América Latina. ¿Qué habría pasado si en lugar de caerse las plataformas de Meta, se hubieran caído Claro y Movistar? Seguramente esto habría sido un escándalo y estas empresas habrían sido multadas por los Estados de varios países y por no miles, sino millones de clientes. No es para menos: las telecomunicaciones son un recurso esencial en la sociedad actual. Además, consideremos que WhatsApp utiliza como estrategia el zero rating, es decir, no precisa comprar previamente un paquete de datos por lo que afecta especialmente a las personas con menor poder adquisitivo.

Se podría decir que “si no pagamos por el servicio tampoco podemos quejarnos”, pero la realidad es que sí pagamos cuando aceptamos que nuestros datos sean recolectados y analizados por estas empresas. Esta vez no hablaremos sobre privacidad, sino sobre la concentración de las comunicaciones en la red. Internet fue pensada originalmente como una red de redes. En la que, si una de estas redes fallaba, no se tenía un fallo a nivel global. Cada vez más internet ya no es una red de redes, sino una red de pocas redes dominadas por pocas empresas de Estados Unidos.

Muchos al ver la caída de WhatsApp decidieron cambiarse a plataformas como Telegram o Signal. Esto tampoco es una solución mientras Telegram y Signal no puedan hablar entre sí y con otros proveedores, de manera similar a como funciona el correo electrónico. Si existen varios proveedores que funcionen de forma interconectada va a ser más difícil generar una estructura de poder centralizada y fuerte que, tarde o temprano, será abusiva.

Es innegable que para el correo electrónico existen grandes proveedores como Gmail, Yahoo u Outlook.  De todas maneras, contamos con disposición de miles de servidores de correo electrónico provistos por empresas más pequeñas; autogestionados por empresas, organizaciones o individuos. No ha existido nunca una caída de correo electrónico como tal. Si bien en diciembre de 2020 se registró una falla de Gmail y otros servicios de Google (una importante: afectó a más de mil millones de personas) no implicó la suspensión de los servicios de todas las redes de correos electrónicos en el mundo.

El concepto de tener varios proveedores que se comunican entre sí es conocido como federación. Si el correo electrónico es un servicio federado, ¿por qué no pueden serlo los sistemas de mensajería instantánea? Esta pregunta se la planteó un grupo de técnicos a finales de los años noventa y trabajaron en lograr un estándar que permita la comunicación de varios servidores de chat para que se puedan comunicar entre sí. Así es que en octubre de 2004 nació la primera versión del protocolo XMPP (protocolo extensible de mensajería y comunicación de presencia, por su sigla en inglés) que desde entonces permite la mensajería instantánea federada.

Este protocolo con un nombre difícil de recordar fue adoptado de forma parcial por WhatsApp en sus inicios. Es más, WhatsApp no inició desde cero, sino que utilizó el popular sistema de software libre Ejabberd para brindar el servicio. La implementación de XMPP fue parcial, puesto que no implementaron la federación. Es decir, que, si bien la tecnología permitía interactuar de forma igual con otros sistemas, WhatsApp no la quiso implementar.

WhatsApp no fue la única empresa grande que apoyó sus sistemas de chat con el protocolo XMPP: el sistema Google Talk funcionó de manera federada entre los años 2005 al 2013. Durante ese periodo de tiempo, se podría chatear desde la interfaz web de Gmail con cualquier persona dentro de la red XMPP. Lamentablemente, para Google la interoperabilidad dejó de ser una prioridad, por lo que esta opción no se encuentra en funcionamiento.

Si es técnicamente posible que los sistemas de chat sean federados, ¿por qué los principales sistemas no lo son? A inicios de los años dos mil, antes de WhatsApp, era común el uso de SMS. En Ecuador, hasta octubre de 2004 era imposible enviar SMS entre diferentes operadoras celulares, pero esto cambió gracias a una regulación estatal, y fue un suceso tan importante que el primer SMS recibido entre operadoras fue realizado por el entonces presidente de la república.

No es necesario tener Gmail para enviar un correo a alguien que tiene cuenta en este servicio. No debería ser necesario tener WhatsApp para poder contactarse con alguien de esta red desde otra plataforma como Signal, Telegram o cualquier otra. En este artículo se habló sobre XMPP, pero hay otras tecnologías que permiten tener sistemas de chat federados, por ejemplo, Matrix, un estándar similar a XMPP que se viene desarrollando desde 2014.

Desde sus orígenes, las tecnologías detrás de internet han permitido tener una red descentralizada con muchas redes pequeñas que se comunican entre sí. En los últimos años, internet se ha convertido en un espacio centralizado donde pocas empresas controlan las comunicaciones de miles de millones de personas. Esto da demasiado poder a las empresas y les quita autonomía a las personas. Las soluciones técnicas no son suficientes: es necesario contar con políticas que obliguen a las plataformas a interactuar entre sí y con proveedores pequeños para que las personas decidan qué servicio quieren usar o, de ser el caso, implementarlo en su propia infraestructura.

Una internet feminista no es un ideal lejano, sino una realidad que debe ser construida a diario

La violencia de género en línea se inserta en un contexto de violencia estructural que en América Latina ha buscado alejar a las mujeres (especialmente las mujeres racializadas) y personas LGBTQ+ de espacios y debates públicos. Este tipo de violencia se suma y da continuidad a brechas y otras formas de violencia físicas o psicológicas que persisten y se intensifican en la región.

Si internet tiene el potencial de amplificar el acceso a la información y las posibilidades de expresión libre y democrática, las distintas formas de violencia en línea generan trauma y exclusión, cuando las víctimas se sienten forzadas a desconectarse para sentirse seguras. Como señaló en su más reciente informe la Relatora Especial para la Libertad de Expresión de la ONU, Irene Khan, la equidad de género sigue un objetivo distante cuando se trata de libertad de expresión. “En la era digital, internet se ha convertido en un nuevo campo en la disputa por derechos de las mujeres, aumentando las oportunidades para que se expresen, pero a la vez multiplicando las posibilidades de represión”.

Según datos de Unesco, de una muestra de 901 periodistas de distintos países que se identifican como mujeres, 73% ha experimentado alguna forma de violencia en línea – siendo la amenaza de agresiones físicas y sexuales dirigidas a ellas o sus familiares una de las más comunes. Más grave: 20% reporta haber sufrido ataques o abusos consecuentes de violencia en línea. 

Los daños son reveladores: además de afectar sus derechos a la libertad de pensamiento, expresión, asociación, protesta y de participación en la vida pública, la exclusión digital restringe las posibilidades de las personas afectadas por la violencia de pedir ayuda y trae limitaciones al ejercicio de sus derechos sociales. Estos incluyen el derecho a la información —por ejemplo, información relevante sobre salud, incluida la salud sexual y reproductiva— el acceso a beneficios sociales, el derecho a la educación, acceso al conocimiento y cultura, entre muchos otros. Más todavía durante la pandemia en curso, cuando todos estos derechos pasaron a depender de manera mucho más dramática de la tecnología. 

Por otro lado, toda la sociedad pierde con el silenciamiento de voces, especialmente aquellas de defensoras de derechos humanos, activistas y organizaciones feministas, artistas y periodistas que ofrecen opiniones críticas a los poderes económicos y políticos establecidos. Mientras aumenta la represión, persecución y criminalización de discursos disidentes, la violencia de género representa una forma más de censura contra las mujeres y personas LGBTQ+.

En el día que marca la lucha contra la violencia contra la mujer nos parece fundamental recordar la urgencia de hacer de internet no solo un espacio seguro para la expresión de las mujeres en toda su diversidad, como un ambiente en el que tal expresión se dé de manera libre de la interferencia arbitraria de agentes públicos y privados.

Es inaceptable que la protección de grupos vulnerables sea utilizada como excusa para más vigilancia, criminalización y control. Al contrario: es crucial que las mujeres puedan participar activamente en las discusiones y la formulación de políticas relacionadas a las tecnologías y que se dé prioridad a fortalecer las iniciativas de acompañamiento a víctimas de violencia en línea y fuera de línea en la región, así como proteger aquellas que utilizan las redes para defender sus derechos.

Una internet feminista no es un ideal lejano, sino una realidad que debe ser construida a diario.

Cuerpos y datos: Las tecnologías de identificación biométrica aumentan en América Latina

Si has caminado por el centro de Santiago de Chile durante los últimos meses, probablemente los has visto afuera de algún centro comercial, a la entrada de un parque o frente a un semáforo concurrido: dos personas con una esfera metálica, ofreciéndote dinero a cambio de una imagen de tu ojo. O algo así. El dinero no es dinero per se, sino el equivalente a 20 USD en Worldcoin, una criptomoneda. Y la imagen de tu ojo no es una simple imagen de tu ojo, sino un escaneo de tu iris, dato biométrico utilizado para identificarte. Todo con un aire a pacto faustiano muy de película sci-fi de bajo presupuesto. El propio Edward Snowden salió a criticar la iniciativa, que en Chile contabiliza alrededor de 10 mil inscritos. 10 mil iris escaneados.

Una cifra como esa es preocupante y un poco desmoralizante, la verdad. Pero a pesar de ello, comprensible: en un país con una ley de protección de datos personales del siglo pasado, donde el cliché de los-datos-son-el-nuevo-petróleo se repite como mantra, pero donde no se hace nada al respecto (al menos, para proteger mejor esos datos) y donde la información personal parece pasar de un lado a otro con absoluta promiscuidad, no es raro que para algunas personas entregar el iris a cambio de una cantidad potencial de dinero, por poco que sea, no es la gran cosa.  

Y, sin embargo, debería ser una gran cosa. Más allá de lo anecdótico del caso, la creciente normalización del uso, recolección y exigencia de datos biométricos es una tendencia preocupante. De muestra un ejemplo: esta semana nos enteramos de que una administradora de fondos de pensión (AFP) está exigiendo validar la identidad de sus clientes a través de biometría facial. La excusa es siempre la misma: seguridad. ¿Pero la seguridad de quién? Saber que mis datos sensibles, relativos a mi cuerpo, están siendo almacenados y procesados quién sabe dónde, bajo quién sabe qué condiciones, por quién sabe quién, no me transmite ninguna seguridad. Al contrario, me da escalofríos.

Si una empresa dedicada a la gestión de dinero no es capaz de encontrar otras maneras de asegurar la recaudación que no impliquen generar y almacenar un modelo algorítmico de mi rostro, quizás a esa empresa no debería confiársele tal tarea. Porque el día de mañana, cuando esa base de datos se filtre, no hay nada que puedan hacer para devolverme el control sobre mi cara. Ese es el gran tema con los datos biométricos: una vez entregados, no hay vuelta atrás.

En la práctica, la identificación biométrica requiere ceder control sobre el propio cuerpo.

Reconocimiento facial

Cualquier discusión sobre identificación biométrica quedaría incompleta sin hablar de reconocimiento facial. Recientemente, las organizaciones reunidas en el consorcio Al Sur publicaron “Reconocimiento facial en América Latina: tendencias en la implementación de una tecnología perversa”, una investigación colectiva que identifica 38 sistemas de reconocimiento facial desarrollados en la región, al alero de distintas políticas públicas.

Alguna de la información recopilada, aunque poco sorprendente, constata sospechas fundadas: el número de sistemas de reconocimiento facial se ha incrementado de manera importante durante los últimos años, su finalidad principal es la vigilancia del espacio público y los procesos de auditorías externas para fiscalizar el funcionamiento de los sistemas casi no está considerando en ninguna parte, ni hablar de estudios de impacto en derechos humanos. Tampoco sorprende la dificultad para acceder a información básica respecto a las tecnologías utilizadas y sus proveedores, que ha sido la tónica en la mayoría de los esfuerzos realizados en la región a la hora de lidiar con este tipo de políticas públicas. Por ello es destacable el esfuerzo por recopilar información sobre proveedores y los países en los que operan. Una cuestión llamativa es una tendencia a la adopción de  tecnologías por medio de donaciones, característica de algunas empresas chinas.

Pero más allá de la información recogida en el estudio (disponible además en un sitio web especialmente dispuesto para ello, que pueden visitar aquí), llama la atención cómo la región parece ir a contrapelo de la tendencia mundial, donde se parece haber alcanzado algún consenso respecto de la necesidad de tomar medidas contra este tipo de tecnologías, al menos hasta tener mayor certeza de sus efectos negativos y cómo sopesarlos desde una perspectiva de derechos humanos. Pero a pesar de la declaración de la Alta Comisionada de la ONU para los Derechos Humanos, las distintas localidades que han impuesto moratorias o prohibiciones de utilizar sistemas de reconocimiento facial hasta incluso el anuncio de Facebook de dejar de utilizar el sistema de reconocimiento facial en su plataforma, parece ser que esas noticias no han llegado a los oídos de los tomadores de decisiones en América Latina.

La pregunta es qué es lo que se requiere para poder hacer entender tanto a las autoridades como a la población en general sobre la necesidad de tomarnos este asunto en serio, cuando parece haber conciencia de los riesgos, existe experiencia internacional relevante, declaraciones de organismos internacionales y, sin embargo, la región parece un campo cada vez más fértil para la implementación de este tecnologías de identificación biométrica para cualquier cosa.

Coronavirus, tecnología y privacidad

El 11 de marzo del año 2020, la Organización Mundial de la Salud declaró la pandemia de COVID-19, originada por el coronavirus SARS-CoV-2. A medida que la enfermedad se iba expandiendo, saturando los sistemas de salud, los gobiernos declararon  estados de emergencia, restringiendo algunos derechos e implementaron diversas medidas para intentar contener la expansión del virus, incluyendo el cierre de aeropuertos y fronteras terrestres, de escuelas y de los lugares de ocio, llegando incluso al confinamientos de la población.

La emergencia sanitaria obligó a los gobiernos de todo el mundo a buscar soluciones para contener la expansión del virus. Y la tecnología jugó un papel importante en el afán por minimizar el contagio y mantener vigilada a la población en los momentos de las restricciones de movilidad. En América Latina y el resto del mundo se desarrollaron una gran cantidad de aplicaciones que ofrecían información oficial sobre el desarrollo de la enfermedad, realizaban test de autodiagnóstico, intentaban hacer rastreo de contagios, entre varios otros usos. Se utilizaron técnicas de Big Data para monitorear las aglomeraciones y los movimientos de la población a través de datos de conexión de teléfonos celulares a torres de telefonía, datos de geolocalización y datos del bluetooth de los dispositivos celulares.

Uno de los principales puntos de debate se centra en la tensión entre el derecho a la salud y el derecho a la privacidad, en relación al uso que han dado los gobiernos a distintas tecnologías que capturan datos personales y sensibles, en el marco de estrategias para contener la enfermedad; cuando solicitan a las empresas privadas la entrega de los datos que recolectan, y cuando esas tecnologías se emplazan sin un ejercicio de prudencia sobre los impactos que pueden causar en los derechos humanos de la población

Con el objetivo de conocer cómo fue implementado este abordaje en la región, particularmente con relación al uso y protección de los datos personales, Derechos Digitales juntó a la Global Network Initiative realizaron un estudio para conocer de qué manera fueron usadas las tecnologías y si se puso en riesgo la privacidad de las personas. El objetivo era realizar también un primer acercamiento a los casos en los cuales los gobiernos solicitaron datos a las empresas de telefonía móvil, para entender el modo en que se realizó esa colaboración, desde una perspectiva de derechos humanos.

El estudio, titulado El uso de tecnologías para el combate de la pandemia: Datos personales en Latinoamérica, está disponible en inglés y castellano, y analiza los casos de 6 países de Latinoamérica: Argentina, Bolivia, Brasil, Colombia, Ecuador y El Salvador.

De las respuestas tecnológicas estudiadas salen a la luz algunos problemas que deben ser revisados si las futuras estrategias de salud echarán mano nuevamente de ellas. Problemas de seguridad y riesgos a la privacidad en el diseño de aplicaciones; idoneidad frente a la realidad socioeconómica de los países de la región; problemas de apego irrestricto a la normativa de protección de datos personales y ausencia de normas especializadas en algunos países; limitada transparencia respecto del desarrollo y la implementación de las soluciones tecnológicas, así como en los convenios firmados entre empresas privadas y administración pública; y falta de coherencia en el uso de aplicaciones con una estrategia general de salud, son algunas de las falencias que se han podido constatar a través de la función de contraloría que ejercen numerosas organizaciones en la región.

Queda claro que el derecho a la privacidad no es absoluto y que, en el marco de la emergencia, algunas intrusiones a este derecho, cuando está en juego la salud de la población, son tolerables. Sin embargo, eso no quiere decir que estas intromisiones deban socavar la privacidad y el derecho de autodeterminación informativa de las personas. Para ello, es necesario que cualquier respuesta en el combate a la pandemia y a cualquier futura emergencia, sea adecuada, proporcional, con una finalidad clara, delimitada en el tiempo, consentida y necesaria. Aunque parezca evidente, debe también contar con habilitaciones legales suficientes, en respeto del principio de legalidad.

Algunas de estas recomendaciones adquieren una mayor importancia para países con situaciones sociopolíticas convulsas en desarrollo, como Colombia y El Salvador, por el riesgo que representa la recolección desproporcionada de datos personales en un contexto en el que estos pueden utilizarse para la persecución de rivales políticos, defensores de derechos humanos o para mantener el control de la libertad de expresión de la población en general.

Esta columna resume parte del contenido de la investigación, que puedes revisar aquí.