Ecuador hacia una nueva ley de libertad de prensa, opinión y expresión

El 11 de enero de 2022, la Asamblea Nacional de Ecuador llevó a cabo el primer debate sobre el Proyecto de Ley Orgánica para la Garantía, Promoción y Protección de la Libertad de Prensa, de Opinión, de Expresión y de la Comunicación. Esta propuesta surgió como necesidad de derogar la Ley Orgánica de Comunicación (LOC), herramienta para la persecución y hostigamiento a medios de comunicación y periodistas desde 2013. En contraste, la nueva propuesta hace el intento por acercarse a los estándares internacionales y regionales de derechos, aunque quedan elementos por clarificar y plausibles de mejora.

El nuevo proyecto se encuentra en proceso de ajuste por la Comisión de Relaciones Internacionales y Movilidad Humana de la Asamblea, para ser debatido por segunda vez en el pleno. En este marco, se realizan una serie de reflexiones sobre los principales elementos del texto y promueven un análisis sobre el componente “digital”.

Alcance del proyecto: una ley de medios

El primer punto a precisar es el alcance de esta ley. De acuerdo con el texto, el objeto es “garantizar, promover y defender el ejercicio de las libertades de prensa, de opinión, de expresión y, los derechos de información y comunicación”, tal como se establece en el artículo 1. Aunque la libertad es la meta final, este proyecto es una legislación que regula los medios de comunicación, tanto tradicionales como digitales, por lo que resulta vital definir principios, actores y procesos adecuados.

En la misma línea de importancia, se encuentra clarificar quiénes serán objeto de los derechos y obligaciones. El artículo 4 del proyecto carece de criterios y definición de medios digitales y tradicionales. Se presta especial atención en los medios digitales porque la connotación “digital” conlleva diversos significados, especialmente, en un contexto de alta conectividad a internet, donde se promueven distintas formas de circulación de la información. Cabe resaltar que la elaboración de una definición debe ser cuidadosa, pues una mala aproximación podría tener consecuencias negativas y usarse en la práctica para extender control de forma arbitraria.

Libertad de expresión en internet

En el artículo 4, es señalado el derecho a recibir información “veraz, verificada, oportuna, contextualizada”, lo que estaría representando condicionamientos sobre la información, como fue expresado por la organización Fundamedios. Sin embargo, garantizar la libertad de expresión implica eliminar toda condicionante, tal como lo expresa el principio 7 de la Declaración de Principios sobre Libertad de Expresión de la Comisión Interamericana de Derechos Humanos. El flujo de la información de forma libre es indispensable, tanto en espacios físicos como digitales.

En términos de libertad de expresión en internet, este proyecto la instaura como un principio en su artículo 5. Asimismo, establece la promoción de acceso a internet para toda la ciudadanía. En este sentido, se debe resaltar que no solo la libertad de expresión, sino todos los derechos humanos que las personas tienen fuera de línea deben protegerse dentro de ella, tal como lo ha reconocido el Consejo de Derechos Humanos de las Naciones Unidas.

Además, se observa que el debate tiene que ser profundizado desde una perspectiva de género en el artículo 5. Tal como lo sistematiza el informe de la Relatora Especial de la ONU para la Libertad de Expresión, Irene Khan, las mujeres periodistas se enfrentan a retos como la censura o la violencia en línea por razón de género, entre muchos otros, por lo que se vuelve prioritario buscar el cierre de brechas que se han construido de manera sistemática.

Neutralidad de la red y censura en línea

En el mismo artículo 5, es una señal favorable la mención sobre la neutralidad de la red. No se considera que este proyecto deba profundizar más —por tratarse de un principio que trasciende a su ámbito— pero sí se vislumbra como una oportunidad para inspirar una normativa más amplia.

El artículo 11 prohíbe “cualquier tipo de censura” en internet por parte del Estado ecuatoriano, pero no está explicitado qué se entiende como tal, lo que resulta preocupante debido a los antecedentes en varios gobiernos en el mundo en coartar la libertad de expresión de forma directa o indirecta. Algunos ejemplos son: cortes de internet en contextos de manifestaciones sociales, cierres de medios digitales, amenazas en línea y nuevas leyes contra ciertas expresiones en internet. Asimismo, en internet conviven distintos grupos involucrados en las etapas que la hacen posible, tal es el caso de las empresas intermediarias de conexión y las plataformas, quienes también pueden verse impactadas si no hay reglas claras.

La real malicia en el ámbito digital

Por otro lado, se utiliza el término de real malicia como factor que permite la responsabilidad de los medios por las expresiones usadas en ellos, de lo que surgen varias reflexiones.

En primer lugar, la real malicia es, en principio, razonable como una exigencia especial para la procedencia de la persecución penal, porque dificulta la persecución de medios y periodistas, pero es necesario contar con una definición clara. El proyecto de ley no brinda una redacción que precise los requisitos y límites de dicha exigencia, lo que termina siendo redundante con la regulación de los delitos. Es decir, es una garantía contra la persecución a los medios, que incluso la jurisprudencia de la Corte Interamericana de Derechos Humanos (CIDH) ha reconocido en varios casos, pero que debe ser precisada. Razón por la cual se sugiere ampliar este debate en la Asamblea ecuatoriana.

En segundo lugar, se reafirma la necesidad de delimitar los medios sujetos a regulación en consideración de los medios digitales, pues se corre el riesgo que cualquier publicación, incluso en redes sociales, pueda ser objeto de persecución, entendiendo que la sola judicialización, aunque termine en absolución, representa un alto costo para periodistas y medios independientes.

Finalmente, el Código Penal del país establece a la calumnia como un delito contra el derecho al honor y buen nombre. Si bien en caso de aprobarse esta ley se modificaría el Código para que no haya responsabilidad penal para quienes hablen sobre el desempeño o gestión de funcionarios públicos, seguiría habiendo sanción penal por imputación de delito.

Protección a periodistas incluyendo la perspectiva de género

La legislación pondría en marcha al Consejo de Comunicación (CC), un órgano público cuyas funciones serían de garantía de los derechos, capacitación, investigación, creación de indicadores y protección de periodistas. En este sentido, se enfatiza la necesidad de autonomía e independencia de este organismo, así como contar con el financiamiento adecuado para su operación. Además, se hace un llamado a que incluya procesos participativos con la diversidad de actores.

La protección a profesionales de la comunicación es un tema fundamental que queda ambiguo en el proyecto de ley. No se logra percibir qué acciones implementará el CC para la protección de la vida de periodistas, tampoco se identifica una lista completa de actividades de riesgo en el artículo 27. El primer paso es el reconocimiento legal de la protección, luego queda lo más importante: diseñar una ruta de acciones adecuadas para ello.

Un ejemplo de ruta de acción adecuada, sería un mecanismo de protección con enfoque de género y reconociendo la violencia en línea que puede traducirse en la violencia en espacios físicos. En un contexto regional y nacional de violencia creciente y a menudo dirigida contra comunicadoras, esas medidas son cruciales.

Además, sería interesante que la figura del “Defensor de audiencia” (que incluye el proyecto como intermediaria entre el medio y las audiencias) no sea una medida obligatoria para los medios comunitarios, incluidos los medios digitales, sino una decisión voluntaria para que no afecte su sostenibilidad y permanencia.

Consideraciones finales

Una futura ley de libertad de prensa, de opinión y de expresión debe tener en cuenta que los estándares internacionales de derechos humanos son la guía para elaborarla legislación, y que los derechos fuera de línea también tienen que adjudicarse a los espacios en línea.

Sin dudas, la Asamblea Nacional se encuentra en un punto clave. Este segundo debate que está en puerta, representa una gran oportunidad para retomar los aportes de la sociedad civil, periodistas, academia y todos los sectores involucrados. El objetivo central es construir una ley que incorpore una perspectiva de derechos humanos. Sería un avance fundamental en Ecuador donde por años se ha perseguido periodistas y medios. Ya es momento de garantizar las libertades de quienes comunican y de la sociedad ecuatoriana en su conjunto.

Brasil: nuevas reglas de juego para evitar la difusión de noticias falsas

En el marco de las elecciones generales que se llevarán a cabo en Brasil en octubre de este año, el Tribunal Superior Electoral (TSE) emitió sus reglamentaciones. Entre ellas, se encuentra la Resolución 23.671 que trata sobre propaganda electoral y conductas ilícitas en la campaña. Además, incorpora un horario electoral gratuito; esta norma es una actualización de las reglas contenidas en la Resolución 23.610/2019. En esta columna, nos referiremos a los dos primeros tópicos, principalmente porque estas medidas buscan afrontar un problema complejo como la desinformación y los disparos en masa, desde una óptica que podría resultar lesiva a derechos, como es el caso de la libertad de expresión.

Fake news, otra vez bajo la lupa

Uno de los puntos importantes es el referido al combate a la desinformación, reportad a ampliamente como fenómeno a propósito de la elección presidencial anterior, como también desde la llegada y permanencia de la pandemia de COVID-19. En este caso, la Resolución 23.671 prohíbe la difusión o el intercambio de hechos falsos o gravemente descontextualizados que socaven la integridad del proceso electoral. Según la norma, el tribunal electoral a pedido del Ministerio Público, deberá ordenar el cese del ilícito, sin perjuicio de determinar la responsabilidad penal, abuso de poder y uso indebido de los medios de comunicación.

Es necesario recalcar que, siempre que se trate de alguna medida en la que esté involucrada la libertad de expresión, es necesario que se haga un análisis detallado de la colisión de derechos que se pretende tutelar, algo que debería ser dirimido en sede judicial, para evitar limitaciones desproporcionadas y fuera del ámbito permitido por la normativa constitucional y los tratados de derechos humanos suscritos por Brasil.

Por otra parte, la regulación respecto a la prohibición de los “disparos en masa” o mensajes masivos de propaganda a través de aplicaciones de mensajería instantánea, fue modificada en dos sentidos: por un lado, se modificó el supuesto en el que el disparo ocurre “sin anuencia de la persona destinataria”, cambiando el texto a “sin consentimiento de la persona destinataria”. Asimismo, se añadió el supuesto donde el disparo se da “a partir de la contratación de procedimientos, tecnologías o servicios no provistos por la proveedora de la aplicación y en violación de sus términos de uso”.

De acuerdo a Internet L ab, la primera modificación permite armonizar el texto de la resolución con el lenguaje de la Ley General de Protección de Datos (LGPD). Sin embargo, la segunda se origina en que el uso de herramientas o servicios ilegítimos externos a las plataformas de mensajería puede afectar la transparencia de la comunicación político-electoral, e incluso, distorsionar el debate público.

La regulación de los “disparos en masa” busca garantizar la integridad del debate público mediante el combate a la difusión de noticias falsas. Esta es una respuesta al uso de este mecanismo durante las elecciones parlamentarias de 2018, corroborado por decisión del TSE, que rechazó el pedido de cancelación de mandato del presidente Jair Bolsonaro y del vicepresidente Hamilton Mourão, luego que se comprobara un esquema ilícito para la propagación de noticias falsas a través de WhatsApp, en beneficio de Bolsonaro. A pesar de rechazar la pretensión de cancelación de mandato, la decisión se convierte en un precedente hacia los comicios de este año.

Colaboración público-privada

Una de las medidas del TSE para combatir la desinformación divulgada contra el proceso electoral en redes sociales es la firma de memorandos de entendimiento con las plataformas digitales, bajo la consideración que su cooperación es indispensable. La iniciativa es parte del “Programa permanente de enfrentamiento de la desinformación” que la Justicia Electoral implementa desde el año 2018. En tal sentido, en los próximos días se realizará la firma de estos documentos con TikTok, Twitter, WhatsApp, Facebook, Google, Instagram, YouTube y Kwai, de acuerdo a informaciones del organismo.

Otra acción es la colaboración con WhatsApp para combatir la divulgación masiva de noticias falsas, que ya que la aplicación ha sido utilizada en elecciones municipales del año 2020. Esta herramienta permite a la persona que recibe mensajes sospechosos durante las elecciones a hacer una denuncia a través de un formulario en la web del TSE. Si el mensaje es catalogado como un “disparo en masa”, la Corte pedirá a WhatsApp que la cuenta que lo originó sea suspendida, con la posibilidad eventual que el perfil responsable sea expulsado de la aplicación, y que, si la práctica se identifica con alguna candidatura en marcha, el TSE puede imponer sanciones y hasta revocar la boleta de la campaña responsable.

El caso Telegram

No figura en estas medidas la aplicación Telegram, que es vista por el TSE como una pieza fundamental para la propagación de noticias falsas y un medio para organizar la diseminación de discurso de odio en la red, además de servir como canal para el propio presidente. Estas situaciones, sumada a la falta de representante de la empresa en Brasil, hacen que la aplicación corra riesgo de ser bloqueada en el presente año.

Pero, aunque el propósito de prevenir la difusión de desinformación es comprensible, es necesario señalar que una medida así, en el afán de eliminar cuentas que promueven ilícitos, puede ser excesiva: el bloqueo de una aplicación en todo el país es una medida desproporcionada, ya que también se privaría de su uso a muchas personas que utilizan la aplicación para fines lícitos, lo cual generaría una limitación en el debate público en una sociedad democrática. A su vez, este supuesto se convierte en un mal precedente, en tanto otros Estados podrían aplicar las mismas medidas, invocando la defensa de la integridad del evento electoral, cuando en realidad podrían únicamente responder a deseos de anular las ideas contrarias al pensamiento oficial de las autoridades de turno.

Datos personales y publicidad electoral

En la Resolución 23.671 también fueron regulados aspectos referidos al tratamiento de datos personales en el contexto electoral. En este apartado destacan, primeramente, la prohibición expresa de desviar el fin para el cual los datos fueron obtenidos, en la hipótesis de su tratamiento para propaganda electoral. En el mismo sentido, hace referencia expresa a la importancia de observar los demás principios contenidos en la LGPD, alineando la acción del TSE con los propósitos de protección contra el abuso de los datos personales con fines políticos.

Otros aspectos relevantes es la adecuación del tratamiento de datos sensibles a lo dispuesto en la LGDP; así como la mención expresa a la garantía del derecho de oposición en favor del titular de datos personales tornados públicos, que fueran tratados para finalidades político-electores. Por último, la obligación de las candidaturas en informar a la persona titular sobre cómo sus datos han sido tratados, además de proporcionar un canal de comunicación que permita a las personas confirmar o no la presencia de sus datos. Eventualmente, es posible formular pedidos de eliminación o darse de baja de una base, en concordancia con el art. 18 de la LGDP.

Por último, en este mismo contexto, la Autoridad Nacional de Protección de Datos Personales (ANPD) y el TSE publicaron la Guía Orientadora para la aplicación de la LGPD por organismos involucrados en el proceso electoral.

¿Desinformación, libertad, o falsos dilemas?

Recurrir a medidas extremas como el bloqueo de cuentas es, en la mayoría de casos, una medida desproporcionada y que no toma en cuenta soluciones alternativas que sean menos restrictivas. El debate público y el proceso electoral forman parte de un proceso comunicacional amplio que no puede zanjarse con una sola medida, sino que debe ser abordada desde la óptica de la implementación de múltiples estrategias que interactúen entre ellas, para que, de esa interacción, emerja una mejor política que sea una barrera contra la desinformación.

A su vez, estas propuestas no pueden venir únicamente de los funcionarios gubernamentales, sino que deben ser ampliamente discutidas con la mayor cantidad de partes interesadas, quienes aportaran una amplia variedad de enfoques, incluyendo los relacionados al respeto a los derechos humanos. A la vez, es necesario basarse en evidencias para cualquier propuesta de medida que pueda tener impactos contrarios a la libertad de expresión.

Una apuesta que debería figurar siempre en los planes de los gobiernos, es la inversión en programas de alfabetización mediática; de tal suerte que la imposición de restricciones a través de la ley, cuyo propósito es combatir los desórdenes informativos y el discurso de odio, sea el último recurso y no una solución inmediatista que solo busca responder al falso dilema en el que parecen encontrarse las autoridades: libertad de expresión o elecciones tranquilas.

No existen pócimas mágicas, ni soluciones unidireccionales. Tomar este camino conduce a los Estados a implementar con facilidad, medidas desproporcionadas que finalmente afectan a la democracia y a la libertad en internet.

¿Cómo y quiénes cuidan nuestros datos? Legislaciones vigentes en países Latinoamericanos

El 28 de enero de 1981, en Francia, fue suscrito el “Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal” (Convenio 108), y posteriormente, el 8 de noviembre de 2001, el protocolo adicional relativo a las autoridades de control y a los flujos transfronterizos de datos.

Si bien este instrumento internacional fue elaborado por el Consejo de Europa (organización internacional de cooperación regional compuesta por 47 Estados de Europa), se determinó que una vez que entrara en vigencia, cualquier Estado no miembro del Consejo de Europa podría ser invitado a adherir al Convenio. En Latinoamérica solo Argentina, México y Uruguay son oficialmente parte del Convenio 108.

Con todo, aunque le debamos el día internacional de la protección de datos personales al Convenio 108, no fue el Consejo de Europa que marcó la pauta latinoamericana en materia de datos personales, sino el Consejo de la Unión Europea (UE) con su “Directiva de Protección de Datos” de 1995 (Directiva 95/46/CE). Conforme a sus lineamientos, fuera de la UE, sus países miembros sólo podían transferir datos personales a países que garantizaran un “nivel de protección adecuado”. Esta restricción obligó a los países de nuestra región a buscar lograr dicho nivel mediante la formulación de leyes de materia de datos personales y así no ver trabados sus intercambios comerciales.

En la actualidad la Directiva 95/46/CE se encuentra superada, tras ser sustituida por el “Reglamento general de protección de datos de la Unión Europea” (RGPD), una nueva y más exigente pauta en materia de datos personales. Y en Latinoamérica, ¿cuál es la realidad actual en materia de datos personales?

Chile

Chile fue pionero en la región al ser el primer país latinoamericano en promulgar una ley de protección de datos personales: la ley 19.628 sobre protección de la vida privada de 1999. Desde entonces han pasado más de 20 años, y si bien la realidad es muy distinta a la de aquella época, en el país se sigue aplicando la misma ley, incapaz de hacer frente a las necesidades actuales surgidas de los avances tecnológicos y la capacidad de procesar grandes volúmenes de datos en forma automatizada. Aunque esta situación podría cambiar pronto de aprobarse el proyecto de ley sobre protección de datos personales, en actual discusión legislativa. El pasado 25 de enero, tras cuatro años en el Senado, dicho proyecto fue despachado a la Cámara de Diputados, pasando a segundo trámite constitucional. Se trata de un proyecto de ley fuertemente inspirado en el RGPD, aunque con algunas modificaciones que, lejos de ser adaptaciones a la realidad local, muestran la falta de conocimiento de los/as legisladores/as en la materia. Ejemplo de lo anterior, es la eliminación del principio de lealtad, uno de los principios esenciales de la normativa europea que se busca imitar.

A nivel constitucional, en 2018 el derecho a la protección de los datos personales fue incorporado a la Constitución chilena, como un derecho autónomo e independiente del derecho a la privacidad. Por otra parte, en el marco del proceso constituyente que vive actualmente Chile diversas iniciativas sobre la materia han sido presentadas, entre las cuales destacamos la propuesta del Centro de Estudios en Derecho Informático.

Argentina

En el 2000 Argentina tomó la cabecera en materia de datos, al dictar su Ley de protección de datos personales 25.326 (PDPA), y tres años después se transformó en el primer país latinoamericano en lograr una decisión de adecuación por la Comisión Europea. Esto último significa —en términos resumidos— que Argentina es un país apto para la transferencia internacional de datos desde los países de la Unión Europea, sin necesidad de cumplir con mayores requisitos. Además de la Ley PDPA, la legislación argentina sobre la materia está compuesta por normas contenidas en su Constitución, y por el Decreto reglamentario 1558/2001.

Pero muchos años han pasado desde entonces, y hoy la normativa argentina no solo se encuentra desactualizada, sino que es posible observar un notable deterioro en su sistema de protección de datos personales. Recientemente, se ha denunciado que el sector público argentino sería el mayor infractor de la Ley PDPA, y el año pasado la autoridad en la materia renunció tras el escándalo de la filtración de la información de los documentos nacionales de identidad desde el Registro Nacional de las Personas (RENAPER), sin que a la fecha se haya designado su reemplazo. Además, el gobierno anunció que el censo previsto para el año 2022, como novedad, incluirá información de identificación unívoca como el DNI, cuestión incompatible con la garantía del anonimato necesaria para proteger la información sensible.

Perú

En Perú, el fuerte de la protección de datos personales está dado por la Ley de protección de datos personales (29733) del año 2011, y su reglamento del año 2013. Entre los aspectos a destacar, encontramos la obligación de inscribir los bancos de datos en el Registro nacional de protección de datos personales, para que la ciudadanía pueda conocer qué categorías de datos personales son recolectadas por una determinada entidad y con qué finalidad. Otro punto destacable, es la existencia y actividad de la Autoridad nacional de protección de datos personales, que mediante distintas actividades, tales como campañas y charlas, busca promover la cultura de protección relativa a los datos personales.

Uruguay

En 2012 Uruguay se transformó en el segundo y último país de Latinoamérica en ser declarado “país adecuado”. Entre las consideraciones para su decisión de adecuación, la UE destacó que, a pesar de que la Constitución uruguaya de 1967 no reconoce expresamente el derecho a la vida privada y la protección de datos personales, sí reconoce que su catálogo de derechos fundamentales no es una lista cerrada; el hecho que la ley uruguaya 18.331 de Protección de datos personales y acción de habeas data, de 2008, donde establece expresamente que “El derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República”; y que la misma se basara en gran medida en la Directiva 95/46/CE. La ley uruguaya se complementa con el Decreto 414/009, de 2009, que clarificó ciertos aspectos de la ley y reguló en detalle la organización, facultades y funcionamiento de la autoridad de protección de datos.

Brasil

Así como Chile fue pionero al promulgar su ley de protección de datos basándose en la normativa europea en 1999, Brasil fue el primer país de la región en promulgar una ley de protección de datos personales inspirada directamente en el modelo europeo del RGPD de 2016: la Ley general de protección de datos – LGPD (13.709/2018).

Brasil cuenta con una Autoridad nacional de protección de datos (ANPD), la que recientemente realizó el lanzamiento de la “Guía de Orientación – Aplicación de la Ley General de Protección de Datos Personales” por parte de los agentes de tratamiento de datos, en el contexto de las próximas elecciones en octubre 2022. La ANPD anteriormente ya había publicado una guía de seguridad de la información dirigida a los pequeños agentes de tratamiento, además de otras publicaciones de herramientas y plantillas en cumplimiento de su rol orientador, para apoyar a las distintas organizaciones en el cumplimiento de la LGPD.

Ecuador

El 26 de mayo de 2021, finalmente se promulgó la tan esperada Ley orgánica de protección de datos personales de Ecuador (LOPD). Recién el pasado 26 de enero fue presentado ante el Ejecutivo el Proyecto de reglamento a la ley de protección de datos Personales, un documento de 107 artículos inspirado en el RGPD. Access Now, Asociación para el Progreso de las Comunicaciones (APC) y Derechos Digitales colaboraron en este proceso legislativo desde sus inicios, enviando sugerencias sobre los presupuestos básicos para la elaboración de la ley, así como comentarios para mejorar el proyecto que hoy son ley.

Bolivia

Bolivia es uno de los pocos países del mundo que no cuenta con una ley específica para la protección de datos personales, a pesar que su Constitución Política contempla el derecho a la privacidad, intimidad, honra, honor, propia imagen (artículo 21), y a la autodeterminación informativa (artículo 130).

Sin embargo, desde hace ya algunos años que Bolivia comenzó su proceso de transformación digital. Este proceso contempla —entre otras cosas— la interoperabilidad de datos entre organismos públicos, algunos avances en materia de ciudadanía digital, economía digital y gobierno electrónico. Todos estos procesos implican la recolección y tratamiento de grandes volúmenes de datos, por lo que contar con una ley que regule de manera integral la protección de datos personales, estableciendo obligaciones claras para quienes traten datos personales, y derechos en favor de los titulares de los datos, resulta urgente para Bolivia.

Venezuela

Venezuela es otro de los países que no cuenta con una ley de protección de datos personales, ni políticas estructurales que protejan este derecho. Esta situación tiene lugar a pesar que su Constitución reconoce el derecho a la privacidad y el derecho de las personas a “acceder a la información y a los datos que sobre sí misma o sobre sus bienes consten en registros oficiales o privados”.

El caso de Venezuela es particularmente preocupante, ya que existen indicios de acceso indebido a datos personales, que involucra recursos públicos, así como la incursión directa de entidades públicas en las prácticas de robo de información. El pasado 28 de enero se presentó el informe Privacidad y datos personales en Venezuela: una aproximación a la legislación y práctica vigentes, cuya elaboración se apoyó en una compilación representativa de leyes, regulaciones y casos que retratan patrones estructurales de vulneración a la libertad de expresión e información, en conexión con la protección de datos y la privacidad.

Casos de espionaje con Pegasus en El Salvador: una nueva estocada al derecho a la libertad de expresión

Algunos ejemplos como la toma del Instituto de Acceso a la Información Pública (IAIP) volviéndolo una institución irrelevante; la destitución ilegal de los 5 magistrados de la Sala de lo Constitucional y del Fiscal General, sustituidos también de manera ilegal por abogados leales a Bukele; así como la remoción de jueces incomodos al oficialismo, son solo parte de esta ofensiva que busca socavar los controles inter orgánicos, que en el fondo pretenden, según algunos analistas, proteger a su círculo de los señalamientos de corrupción que pesan sobre su gestión.

En este afán de disolver los controles sobre su administración, Bukele también finalizó abruptamente el convenio con la Comisión contra la Corrupción y la Impunidad en El Salvador (CICIES) que él mismo había instaurado y su Fiscal impuesto, disolvió la Unidad Anticorrupción de la Fiscalía General de la República (FGR) cuando se hizo público que investigaban algunos de los múltiples señalamientos de corrupción en el manejo de los fondos destinados para el combate a la pandemia, así como el pacto con la pandilla MS13.

Todo quien contradice a Bukele es un enemigo

Una de las principales características de Bukele y su maquinaria de propaganda es su desprecio por todo aquello que implique control y críticas a su gestión. Periodistas, académicos, universidades, organizaciones de la sociedad civil (OSC), defensores de derechos humanos, miembros de partidos políticos de oposición, etc., han sido víctimas, la mayoría de veces, de acoso digital. En otras, de persecución por parte de las instituciones que son usadas para acallar las voces disonantes.

El caso de Mario Gómez, detenido arbitrariamente por la Policía Nacional Civil (PNC) luego de manifestar críticas a la implementación del Bitcoin como moneda de curso legal; la violación a derechos humanos de personas encarceladas, llevada a cabo por la Dirección de Centros Penales contra el ex Alcalde de San Salvador, del partido Alianza Republicana Nacionalista (ARENA) y contra ex funcionarios de gobiernos del Frente Farabundo Martí para la Liberación Nacional (FMLN); la investigación abierta por el Fiscal impuesto a fiscales que formaron parte de la Unidad Anticorrupción de la FGR —que era liderada por el ex fiscal German Arriaza, hoy exiliado— son muestras de lo peligroso que se está volviendo el clima en El Salvador en lo referente al respeto a los Derechos Humanos en general y, en particular, al derecho a la libertad de expresión.

A estas acciones se suman dos casos más que retratan la naturaleza del régimen de Bukele en cuanto a la persecución de quienes considera sus “enemigos”: 1) la intención de aprobar una Ley de Agentes Extranjeros, por la cual se pretendía retener el 40% de cada transacción que recibieran las OSC y medios de comunicación, desde el exterior; y, 2) el caso del espionaje con el software Pegasus, realizado a por lo menos, 35 periodistas y miembros de OSC, recién hecho público.

Si bien la aprobación de Ley de Agentes Extranjeros fue detenida a raíz de las múltiples críticas que recibió, que incluyeron un llamado de la CIDH y la RELE para que el Estado salvadoreño se abstuviera de aprobarla, la intención de darle vida aún no ha sido descartada totalmente.

En el caso del espionaje con Pegasus, el informe que corrobora la existencia de la vigilancia con dicho software destaca que la infección ha sido especialmente insistente, con numerosos y prolongados accesos a algunos de los dispositivos intervenidos. Estas infecciones coinciden con los momentos en los que las víctimas de espionaje reporteaban sobre temas delicados que involucraban a la administración Bukele, como el caso del pacto con la pandilla MS-13 en el que esta se comprometía a reducir los homicidios a cambio de dar apoyo electoral a Bukele.

Aunque el gobierno ha intentado desligarse de este ataque, parte del informe señala que, si bien es cierto no ha podido establecerse el vínculo entre una infección particular con un usuario específico de Pegasus, si ha podido identificarse a un usuario que opera casi exclusivamente en El Salvador desde noviembre de 2019, el cual ha sido identificado como Torogoz.

Con todo este contexto, no es descabellado las pronunciaciones de alerta cuando son presentadas iniciativas de ley desde el Ejecutivo, como las reformas a la Ley de Delitos Informáticos y Conexos (LDIC) y al Código Procesal Penal (CPP).

En las reformas a la LDIC, que han sido aprobadas por la Asamblea Legislativa, pero aún no sancionadas por el Presidente, se reformó el art. 25 que penaliza la obtención y transferencia de información confidencial por medio de las tecnologías de la información, en un sentido distinto al articulado antes vigente. Mientras que la ley del año 2016 señalaba que la información obtenida de manera ilegal debería servir para vulnerar un sistema o datos informáticos, la actual reforma únicamente contempla el hecho de obtener o transferir información confidencial, eliminando el otro requisito del tipo penal: la vulneración de un sistema con esa información.

En un contexto en el que las instituciones públicas abusan de la declaratoria de reserva que la Ley de Acceso a la Información Pública (LAIP) permite, la obtención de información pública que a veces incluye información que debería ser oficiosa, se logra a través de fuentes que deciden colaborar con periodistas. Por ejemplo, el artículo en cuestión más parece ser una medida de disuasión para que las fuentes se abstengan de seguir dando información y que los/as periodistas se abstengan de publicar información obtenida en contra de este artículo. Esto constituye una clara violación al derecho de acceso a la información, en tanto que todas las vías información sobre la gestión gubernamental están siendo cerradas de manera acelerada.

Por su parte, en las reformas al CPP se contempla la inclusión de la “evidencia digital” que genera muchas dudas, principalmente sobre la autoridad responsable para autorizar y monitorear la operatividad del “agente digital encubierto”. También se cuestiona la forma en la que, para dar validez a la evidencia obtenida en la intervención de dispositivos tecnológicos en la investigación de un delito, no se requiere que quien intervenga el aparato sea un perito. Otro de los cuestionamientos tiene que ver con las medidas cautelares, que incluyen el bloqueo de cuentas, perfiles o sitios web que se estén investigando por algún delito.

A primera vista, preocupa la falta de referencia en el texto de la reforma a la idoneidad y proporcionalidad de este tipo de medidas propuestas. Sin embargo, uno de los temores más acuciantes es el contexto en el que se están proponiendo estas medidas: el de un gobierno que está intentando, por todos los medios, restringir el derecho de acceso a la información pública, esencial para el control ciudadano, y que, en el camino, tampoco tiene reparo en vulnerar la privacidad de sus ciudadanos/as.

En el marco de la derogatoria de la celebración de los Acuerdos de Paz, que puso fin al conflicto armado del país, los temores sobre la deriva autoritaria del régimen de los Bukele continúan haciéndose realidad a pasos agigantados.

Coronavirus.Uy: cinco lecciones a casi dos años de pandemia

Durante la emergencia sanitaria provocada por la pandemia Covid-19, en 2020 se desarrollaron diversas herramientas digitales como parte de políticas públicas estatales para detener el contagio. En Uruguay se diseñó e implementó Coronavirus.uy, la primera aplicación móvil de la región en respuesta a la pandemia, presentada a nivel internacional como una exitosa alianza público-privada.

El informe «El caso Coronavirus.Uy» analiza un primer periodo de la pandemia en América Latina, que abarcó desde marzo hasta diciembre de 2020. Es claro que durante 2021 la situación sanitaria en el mundo, y en Uruguay, ha cambiado drásticamente, no solo por los nuevos picos de contagio, hospitalizaciones y fallecimientos, sino por el avance en los planes de vacunación que se han adelantado de manera muy diferenciada en todos los países del mundo.

Qué es la aplicación Coronavirus.uy

Si bien el contexto cambió, el análisis de los primeros pasos en la implementación de la app brinda varias pautas sobre la necesidad una reflexión más detenida: cuáles han sido las tecnologías utilizadas; qué datos se recolectan y para qué; la importancia de contar con un marco legal para el tratamiento de datos; el rol del Estado y su vínculo con privados y sociedad civil.

El objetivo de Coronavirus.uy es proveer información pública relevante sobre estadísticas de contagio y sobre las medidas sanitarias vigentes, así como acompañar casos de posible infección por medio de recolección de información de autodiagnóstico por parte de las personas usuarias, proveer asistencia médica remota durante los periodos de confinamiento y, desde mediados de 2020, alertar a quienes han estado cerca de personas contagiadas. La app registra fecha de testeo, diagnóstico y recuperación de quienes han contraído la enfermedad.

El sistema apunta a reunir información de manera centralizada para dirigir acciones estatales tanto a nivel general como respecto de casos individuales, donde puede proveer desde recomendaciones de cuidado hasta atención vía telemedicina.

Hoy día, Coronavirus.uy tiene un rol fundamental en el Plan de Vacunación, tanto en su implementación como en la obtención de un certificado para presentar en distintas ocasiones. Es de destacar que Uruguay es el primer país de América del Sur en integrarse al sistema del certificado digital Covid de la Unión Europea, que habilita el intercambio de claves públicas de verificación. Además, es uno de los canales posibles —aunque no el más difundido— para completar el formulario de ingreso al país de personas uruguayas, residentes o extranjeras.

En la “Estrategia digital frente a la pandemia Covid-19” presentada por organismos de gobierno el 16 de diciembre 2021, se afirma que la aplicación Coronavirus.Uy tuvo 2.7 millones de descargas. Ademas, se activaron 1.7 millones de alertas de exposición que emitieron 63.000 alertas por proximidad y eventual seguimiento. Hasta entonces, se había descargado más de 62.000 certificados QR de vacunación.

¿Que puede salir mal en una app sanitaria?

En términos teóricos, no habría indicios para contestar afirmativamente. Tampoco en la presentación de la aplicación, tanto por la velocidad en que fue implementada como por los beneficios para el sistema sanitario uruguayo. Sin embargo, existen varios elementos de su proceso que pueden y deben ser revisados. A continuación, cinco acciones pendientes en el despliegue de Coronavirus.uy:

1. No se realizó un llamado público para su diseño y aplicación

El modelo de implementación y financiamiento fue mixto al estar involucrado el Estado y varios contribuyentes privados. La empresa Genexus lideró el proceso de desarrollo y luego la incorporacion de la API — o aplication protocol interface* — desarrollada por Google y Apple para que los Estados interesados desarrollaran sus propios sistemas de alerta por rastreo de proximidad.

Como observamos en otros países de la región, la participación del sector privado en el desarrollo de esta tecnología se realizó por trato directo y sin mediar evaluación competitiva entre distintas propuestas. En el caso de Coronavirus.uy, las empresas y colaboradores lo realizaron en forma honoraria. Meses después de la implementación de la API y sin la presentación de estudios que avalaran la eficacia de la tecnología, Genexus fue nuevamente contratada de manera directa para el desarrollo del sistema de agenda de vacunación.

2. No asegura la protección de datos sanitarios de las personas

Uruguay cuenta con una robusta legislación e institucionalidad vinculada a la protección de datos personales. Desde 2008, la Ley de Protección de Datos Personales reconoce que “la protección de datos personales es un derecho inherente a la persona humana comprendido en el artículo 72 de la Constitución de la República”. La ley fue actualizada en 2018 y en 2020, por la propia evolución tecnológica y en consonancia con los tratados internacionales firmados por el Estado uruguayo. Allí se incluyen aspectos regulatorios como la recolección y uso de datos de geolocalización. El marco legal establece que los datos vinculados a la salud son particularmente sensibles, pero identifica excepciones para su tratamiento en casos justificados.

Sin embargo — y a pesar de la información ofrecida a las usuarias de la app —, hay poca claridad sobre que tipo de accesos los distintos agentes involucrados en proveer la tecnología tienen a la información recolectada y que usos futuros podrían hacer de ellos. Mas allá de las protecciones establecidas, el Estado uruguayo no estuvo inmune a los recurrentes ataques cibernéticos registrados en la región. En febrero de 2021, por ejemplo, hubo un hackeo de Dirección Nacional de Identificación Civil que evidencia la existencia de potenciales fallas de seguridad.

Como punto positivo, en junio 2021, anunciado vía Twitter por uno de sus desarrolladores, la app pasó a funcionar únicamente con datos abiertos provistos por el Ministerio de Salud Pública.

3.No existe una evaluación de su impacto en los derechos humanos

Hace falta una mirada crítica del uso de tecnologías digitales para la gestión de la salud pública durante la pandemia. La premura con que se buscaron soluciones obliga, a casi dos años de pandemia, a evaluar si las medidas implementadas han sido eficaces.

En el caso de Coronavirus.uy: ¿han sido útiles para la gestión sanitaria por parte del gobierno? ¿Habían medidas alternativas menos invasivas en términos de recolección de datos que podrían haber sido implementadas? ¿Han garantizado a la ciudadanía protección en salud al tiempo que se protege su privacidad e identidad digital? Esta pregunta cobra aún mayor relevancia considerando que en junio 2021 comenzó la vacunación a adolescentes y, en las últimas semanas, a niños y a niñas, lo que implica un punto central a resolver y garantizar en relación a la protección de datos.

Cabe ademas cuestionarse sobre como la aplicación puede terminar facilitando otras formas de discriminación o incluso condicionantes para el acceso a servicios o derechos fundamentales, como ha ocurrido en otros países de la región.

4. No se consideró en su elaboración las brechas de conectividad

Por otro, si bien Uruguay lidera a nivel mundial la cobertura y calidad de conexión a internet, es innegable que las condiciones de acceso a tecnologías y de conectividad todavía son desiguales, limitando el alcance de los mecanismos digitales.

Según la Encuesta de Usos de las Tecnologías de la Información y las Comunicaciones 2020, un 83% del interior del país cuenta con acceso a internet desde algún dispositivo, mientras que en Montevideo el número asciende a 94%. Como punto a destacar, es que a diferencia de otras experiencias internacionales, Coronavirus.Uy permite ingresar más de una persona en su celular, aspecto que fue mejorado tempranamente en sus actualizaciones.

Asimismo, existen diferencias más marcadas respecto al uso de banda ancha en el hogar según nivel socioeconómico. Mientras el primer quintil de distribución de ingreso un 51% tiene acceso a internet en casa, en el quinto quintil el porcentaje se eleva a 86%.

Si se tiene preferencia por no usar Coronavirus.Uy y seguir los servicios en línea, implica mayor comodidad el uso una computadora, por lo que los hogares únicamente con celulares y tabletas quedan más limitados en poder elegir. Para el quinto quintil, la tenencia de computadora es de 74%. El 51% de los hogares de menos ingresos cuentan con otros dispositivos más allá del celular, es de destacar que de este conjunto un 20% accedió a través de políticas públicas, sea el Plan Ceibal o el Ibirapitá.

La dependencia a la app es notoria al estar en fase de seguimiento a la espera de un diagnóstico. Es la vía más rápida de acceso y la sugerida vía SMS cuando se espera un resultado, que por sus implicancias de aislamiento y contactos, suele esperarse con ansias.

5. No contó con participación de la sociedad civil

Finalmente, la aplicación Coronavirus.uy no cuenta con participación de la sociedad civil organizada sea del ámbito de la salud o los derechos digitales. Si bien cuenta con mecanismos de transparencia, como las múltiples peticiones que ha realizado la Red de Gobierno Abierto en Uruguay, la sociedad civil no ha sido debidamente considerada en la primera fase de implementación y desarrollo.

Para finalizar

La aplicación Coronavirus.uy ha transcurrido por varias actualizaciones y facilita los procesos, no es la única vía para resolver las gestiones vinculadas al Covid-19, pero si es una muy relevante, que sin dudas ha llevado a un porcentaje alto de descargas y con ello a una enorme base de datos sensibles. Por ese motivo, teniendo en cuenta la proyección del avance de la telemedicina y los eventos transcurridos en casi dos años de pandemia, exigen a la ciudadanía uruguaya reflexionar respecto a qué procesos son indispensables en la gestión de datos sensibles en la era digital.

De esta manera, la hipótesis de múltiples conflictos planteado por el informe “El caso Coronavirus UY” cobra especial vigencia, así como las reflexiones sacadas del análisis regional realizado por el Consorcio Al Sur en la publicación “Tendencias regionales en el despliegue de tecnologías en pandemia en América Latina: Reflexiones iniciales a partir de los datos del Observatorio Covid-19 de Al Sur”.

Comprender las violencias facilitadas por las tecnologías

Cuando hablamos de privacidad en internet estamos hablando también de confianza. La privacidad es eso que nos permite actuar libremente sin temor a los juicios por parte de otras personas o instituciones. Para hacernos una idea, en las ciudades contemporáneas los baños pueden ser esos lugares donde esperamos tener privacidad plena: que nadie nos esté observando, que nadie nos moleste. Cuando entramos al baño en un local comercial, confiamos en que sus dueños no estarán espiándonos y cuidan que nadie más lo haga.

En internet, la confianza es la garantía de que nuestra privacidad está resguardada cuando utilizamos servicios que son ofrecidos por terceros como las apps, plataformas de redes sociales o sistemas de pago en línea. Con el desarrollo permanente de las tecnologías digitales, cada tanto es bueno volver a preguntarnos, ¿existe algún lugar en internet donde tengamos plena confianza de que nadie nos está observando?

Hace poco, en una sesión de trabajo de protocolos de internet donde se conversaba sobre distintos escenarios de conectividad, el presentador afirmó que en una conexión casera puede haber total confianza: “porque no me preocupa si mi perro ve mi dirección MAC, o mi esposa o mis hijos. No creo que ellos vayan a atacarme”. Por supuesto, aclaró, “soy un usuario ingenuo que vive en los Estados Unidos y cuyo vecino más cercano se encuentra a una milla y media de distancia”.

La dirección MAC es un identificador único para cada uno de los aparatos que se conectan a internet. En esa sesión se estaba discutiendo sobre la posibilidad de que la dirección MAC se asigne de manera aleatoria a los aparatos cada vez que se conectan, de manera que no permita la identificación de la persona que está utilizando cierto aparato para conectarse a internet. Supongamos que ese aparato es un celular y la persona que se conecta está buscando información sobre aborto seguro, o cómo denunciar violencia doméstica. Si la dirección es única y estática, alguien con capacidad de ver el tráfico de red en el hogar puede saber desde el aparato de quién se están haciendo dichas búsquedas.

Para el presentador “ingenuo” solo su vecino sería un posible atacante, es decir alguien con capacidad suficiente para conocer el tráfico de red en su hogar, y es evidente que su esposa, sus hijos o su perro, no. Pero como bien sabemos, esta situación puede ser completamente diferente para otras personas. La privacidad y la confianza, tanto en el hogar como en internet, están determinadas por relaciones de poder. Por ejemplo, ¿quién contrata el servicio de internet? ¿quién puede configurar los aparatos instalados? ¿cuántas personas acceden a cada aparato conectado, y en qué condiciones? ¿quién conoce y quién controla las credenciales de acceso?

La idea de que el hogar es un lugar de “total confianza” (o que la familia es un grupo de “mucha fraternidad”, parafraseando al actual presidente de México) ha sido ampliamente cuestionada por grupos feministas que combaten las violencias de género normalizadas en nuestra sociedad. Sin embargo, quienes diseñan las tecnologías que utilizamos y quienes gobiernan los países donde vivimos continúan pensando que una declaración es suficiente para garantizar espacios seguros y libres de violencias, tanto dentro como fuera de línea.

Pero concentrémonos en las tecnologías digitales. En esa misma sesión de trabajo, varias personas señalaron que, en términos de seguridad, el hogar no es un escenario de confianza pero una empresa sí lo es. ¿De qué confianza estamos hablando?, ¿y de qué seguridad? ¿Para quién?, ¿para qué? En una empresa, en una institución militar o de gobierno, es necesario proteger la información que se comparte. La confianza está mediada por contratos de trabajo, acuerdos de confidencialidad, políticas y protocolos de procedimiento que han sido meticulosamente diseñados para garantizar el correcto funcionamiento institucional.

La seguridad es una característica necesaria en cualquier sistema informático y quienes han estado a cargo de esta labor en los contextos empresariales e institucionales son principalmente ingenieros hombres, que viven en familias consideradas “normales”, en condiciones económicas muy cómodas, en países del norte. Pero hoy, cuando a través de un mismo dispositivo conectado a internet sostenemos por igual relacione s laborales, académicas, burocráticas e íntimas, la seguridad digital se ha quedado corta en responder a las necesidades de las -cada vez más y más diversas- personas que nos conectamos.

El campo de la ciberseguridad se ha construido sobre la base de identificar adversarios, amenazas y riesgos asociados al uso de tecnologías digitales, así como de garantizar la confidencialidad, integridad y disponibilidad de la información. Pero muy poco se ha estudiado sobre cómo el diseño de las tecnologías digitales afecta a las diferentes personas, y qué tipos de amenazas aparecen en los entornos privados e íntimos. Quienes trabajan en seguridad suelen pensar que estas amenazas son poco sofisticadas porque técnicamente son fáciles de ejecutar y no dependen de un diseño tecnológico complejo. Nada más alejado de la realidad.

Estas amenazas están basadas en una profunda conflictividad social que difícilmente es experimentada en el día a día por quienes diseñan, mantienen y analizan sistemas de seguridad: en su mayoría hombres cis, heterosexuales, no racializados en su contexto local y con cierta comodidad financiera. Hacerle frente a esta conflictividad implica entender, no solo la complejidad técnica de los ataques, sino las condiciones sociales en que configuraciones técnicas muy sencillas facilitan la ejecución y amplificación de prácticas normalizadas que son violentas, por ejemplo, la vigilancia y el control de los cuerpos de las mujeres por parte de sus familiares o parejas sentimentales.

A tiempo que construimos tecnologías para acabar el patriarcado necesitamos hablar más de las violencias facilitadas por las tecnologías que hoy día estamos usando, esa condición de facilidad y simpleza con que permiten a los agresores (principalmente hombres allegados a las personas agredidas) ejercer violencia. No solo se trata de las aplicaciones para descubrir una infidelidad, que cada día se hacen más comunes en las tiendas de descarga, sino de las características de muchas aplicaciones que usamos cotidianamente, y que incitan a la vigilancia, el seguimiento y el abuso sobre la privacidad de quienes tienen (por condiciones estructurales que ya mencionamos aquí) menos habilidades o posibilidades de conocer el trasfondo del funcionamiento de estas aplicaciones.

Tecnología y derechos humanos en la nueva Constitución: esperanzas y riesgos

En Chile, los veranos son usualmente aburridos en materias políticas. Sin embargo, la Convención Constitucional, con su ajustado plazo de 12 meses para escribir la nueva constitución, nos tienen viviendo tiempos interesantes en el mes de enero.

El miércoles 5 de enero María Elisa Quinteros y Gaspar Domínguez fueron elegidos como presidenta y vicepresidente de la Convención respectivamente, tras dos jornadas un tanto caóticas que requirieron nueve rondas de votación antes de alcanzar un consenso. Quinteros y Domingues sucederán entonces a Elisa Loncon y Jaime Bassa, quienes dirigieron la primera fase del trabajo constitucional, supervisando la elaboración de los reglamentos de funcionamiento, la instalación de las comisiones temáticas y un proceso de audiencias públicas ante dichas comisiones.

Dentro de este espacio, Derechos Digitales expuso y ha tenido contactos con dos comisiones, la de principios constitucionales, donde hablamos de materias relacionadas a voto electrónico y sus riesgos en relación a los principios constitucionales en materias de sufragio, y la necesidad de fomentar la participación a través del aseguramiento de un derecho a la conectividad universal; y en la comisión de sistemas de conocimientos, donde hablamos de derechos culturales, propiedad intelectual y acceso a las ciencias y las artes, y sobre otros derechos fundamentales agrupados dentro del concepto de “derechos digitales”.

Con el cambio de liderazgo, comienza también la fase de de proposición y discusión de normas constitucionales, las que tienen dos fuentes principales. La primera corresponde a las iniciativas de normas que cuenten con el patrocinio de 8 a 16 convencionales, que opera de manera similar a la presentación de un proyecto de ley. Por otro lado, tenemos las iniciativas populares de norma, que pueden ser postuladas por cualquier persona y que requieren del patrocinio de 15 mil personas a través de la suscripción con las credenciales del sistema de Clave Única del Estado para ser discutidas por la convención.

Si bien la etapa de presentación de iniciativas de normas constitucionales aún está en curso, a la fecha no se han publicado muchas propuestas de normas en las materias de interés de nuestra organización, por lo que las próximas semanas serán cruciales para conocer las posturas de los convencionales y de la ciudadanía en materias relacionadas con temas de tecnología y derechos humanos.

A la fecha, solo se han publicado dos iniciativas de constituyentes en materias relevantes a nuestros intereses, correspondientes a los boletines 9-2 “que establece el principio de interculturalidad y consagra el derecho a participar en la vida cultural”, y 24-7 “que incorpora el derecho a beneficiarse de los conocimientos y sus aplicaciones, y a gozar de sus beneficios, libertad de investigación y protección contra usos indebidos de los conocimientos y la tecnología”.

Ambas iniciativas fueron presentadas por convencionales constituyentes de la comisión de sistemas de conocimientos y se centran en temas de derechos culturales, los que habían sido ignorados de manera casi absoluta por la constitución de 1980, elaborada durante la dictadura militar, y que solo habían sido tocados de manera tangencial por la reforma constitucional de 2001 que estableció el derecho a la libertad de creación artística.

Por otra parte, se han postulado 25 iniciativas populares de norma en materias relevantes para nuestra organización. Sin perjuicio de que a la fecha ninguna de ellas cuenta con un número de patrocinios que haga viable su discusión, estimamos que es interesante tener en consideración los temas que ha postulado la ciudadanía.

Del análisis de las iniciativas populares, notamos una tendencia a propuestas de sistemas de democracia directa digital y de votaciones electrónicas, incluyendo votaciones a través de internet, utilizando sistemas de credenciales tales como la Clave Única del Estado de Chile. Desde Derechos Digitales, consideramos que, si bien es un fin noble fomentar la participación popular a través de la creación de instancias de influencia directa en los procesos legislativos y de diseño e implementación de políticas públicas, esto no puede suponer debilitar instituciones democráticas como el sistema electoral, que durante más de 30 años han demostrado que pueden funcionar de manera eficiente y que cuenta con la confianza de la ciudadanía.

En relación a estos mismos temas, consideramos que la creación de instancias de democracia participativa no debe olvidar a los ciudadanos que aún no se suman del todo al uso de tecnologías, y que toda instancia de participación digital debe tener correlatos analógicos. Pues, si bien Chile es uno de los países de la región latinoamericana con mejores tasas de acceso a internet, aún existen grandes desafíos en materia de conectividad, en especial en zonas rurales y aisladas, y dentro de las periferias de los núcleos urbanos. Asimismo, existen grandes desafíos en materia de alfabetización digital que también deben ser resueltos.

Finalmente, estamos a la espera de las iniciativas de normas constitucionales en materias de derechos fundamentales relacionados a materias de tecnologías. Así, a la fecha no se han publicado propuestas de norma en materias tan relevantes como los derechos a la privacidad, la inviolabilidad de las comunicaciones, protección de datos personales, libertad de expresión, entre otras.

Los tiempos de la convención constitucional serán bastante acotados en atención al escaso tiempo que tiene por diseño, por lo que estimamos que la discusión constitucional será bastante intensa y acelerada en los meses que se vienen. Sin perjuicio de esto, también hemos visto que el órgano constituyente ha logrado producir resultados dentro de sus calendarios, por lo que esperamos que ningún tema relevante quede debajo de la discusión.

Enfatizamos que los derechos digitales no son más que derechos humanos aplicados en el entorno digital y que no es necesario reinventar la rueda, sino que basta con normas flexibles pero robustas que permitan hacerse cargo de estos nuevos desafíos, y manifestamos nuestra intención de seguir colaborando con nuestras experiencias en materias de tecnologías digitales y derechos humanos, para que el proceso constituyente llegue a buenos resultados.

Derechos digitales en 2021: un último vistazo al año que nos deja

«Es navidad y ¿que has hecho?» nos pregunta una famosa canción navideña cada fin de año. Intentar responder nos obliga recordar y reflexionar.

La pandemia del COVID-19 hizo evidentes las escandalosas desigualdades que atraviesan nuestras sociedades y los límites de un modo de producción que debemos repensar si queremos construir un futuro más respetuoso y justo para todos los seres que habitamos este planeta. Ese contraste sigue vívido frente a nuestros ojos.

En América Latina, el deterioro de las condiciones de vida como resultado de una serie de crisis que se superponen —sanitaria, económica, política, climática y ambiental—se hace visible en los paisajes de muchas ciudades. Sin embargo, la fuerza de la solidaridad, la colaboración y la resistencia una vez más dejará su marca en nuestra historia. En 2021, la gigantesca marcha de mujeres indígenas en Brasil, los fuertes movimientos de protesta en Colombia y en Cuba, la movilización en los períodos de elecciones en Chile, y la resistencia ante la crisis en Venezuela, Nicaragua, Honduras y El Salvador, fueron muestras de una intensa lucha por derechos, en una región tan marcada por la dificultad de los cambios.

Son innumerables las iniciativas locales que buscaron garantizar y promover derechos, desde grupos grandes y pequeños, desde comunidades y redes de solidaridad a nivel local, regional y global. Desde Derechos Digitales, pudimos apoyar algunas por medio del Fondo de Respuesta Rápida: fueron 20 proyectos apoyados durante el año, con acciones en 11 países. Y sabemos que hay mucho más por hacer.

En este contexto, la vida en internet se ha vuelto aun más importante que los vaticinios tecnoptimistas de principios de siglo. Por la misma razón, defender la libertad de expresión, el acceso a la información, la privacidad, los derechos a la protesta y participación en línea se hizo aún más fundamental. La posibilidad de conectarse a una internet de calidad, sin interferencias excesivas y arbitrarias fue lo que le permitió a algunas personas trabajar, estudiar y mantener una vida social de manera segura. Sin embargo, no fue así para todas. Algunos gobiernos aprovecharon la crisis sanitaria para intentar establecer mayores controles sobre discursos legítimos.

En Bolivia y Brasil, la sociedad civil movilizada logró impedir iniciativas peligrosas para la libertad expresión en línea. En Chile, junto con reconocidas expertas y expertos internacionales criticamos firmemente el proyecto de ley para regular las plataformas digitales, que tiene un enorme potencial de daño al ejercicio de derechos fundamentales; además de sus errores de conceptuales, el proyecto ignora desarrollos importantes de derechos humanos a nivel internacional. En Colombia, asistimos al Congreso a detener una iniciativa legal que, en nombre de los derechos de niños, niñas y adolescentes, buscaba implementar una serie de disposiciones para el control de la circulación de contenidos en internet, contrarias a las condiciones establecidas en la Convención Americana sobre Derechos Humanos; una medida que probablemente tenía buenas intenciones, pero que constituía una amenaza peligrosa.

La violencia en línea —especialmente la violencia de género—se multiplicó como estrategia para silenciar las críticas. Como reconoció la Relatora Especial de Naciones Unidas sobre libertad de expresión, Irene Kahn, este tipo de práctica representa una forma de censura y muchas veces obliga a las víctimas a desconectarse para sentirse seguras. Reiteramos lo dicho por incontables activistas y expertas a nivel mundial: la violencia de género en línea es un atentado contra los derechos humanos

Los distintos impactos de la brecha digitales se hicieron más evidentes que nunca: miles de personas se vieron excluidas por la digitalización de servicios públicos, al no tener ningún tipo de conexión o por la precariedad de su forma de acceso, incluidos los servicios vinculados al control de la pandemia o de sus efectos sobre la vida de las personas en la región. Algunas de estas iniciativas abrieron espacio para nuevas formas de discriminación y para una vigilancia diferenciada hacia las personas que se encuentran en situación de mayor vulnerabilidad y, por lo tanto, dependen del apoyo del Estado, como apuntamos en nuestro análisis de los sistemas de sistemas de protección social en Bolivia y Venezuela.

Para quienes lograron conectarse, la digitalización del sector público también ha implicado una mayor recolección de datos, en muchos casos, sin las debidas garantías de protección. Con el consorcio Al Sur, analizamos el uso de tecnologías para el combate al virus y concluimos que su implementación se basó en escasas evidencias de efectividad, sin considerar tampoco procesos de evaluación o auditorías participativas. Debido a la ausencia de estudios previos de impacto y de medidas suficientes de seguridad, estas iniciativas se constituyeron como riesgos al ejercicio de derechos humanos y fallaron en el cumplimiento de estándares de legalidad, necesidad y proporcionalidad.

La vigilancia floreció en América Latina durante el último año: observamos con preocupación el avance del uso de tecnologías de reconocimiento facial, especialmente en espacios públicos, sin mayores cuestionamientos sobre sus consecuencias. En Uruguay una ley aprobada en abril autorizó la creación de una base de datos de identificación facial para uso en la seguridad pública, a pesar de la manifestación de docenas de organizaciones de la sociedad civil y de crecientes cuestionamientos a este tipo de tecnologías.

Junto a otras organizaciones, colaboramos en la investigación y denuncia del uso de tecnologías en el contexto del control de la pandemia como vía para acumular información de las personas y la gestión de los datos por fuera de estándares de derechos humanos.

También asistimos al trabajo de tribunales en la región. En Argentina participamos como amicus curiae en una acción que cuestiona constitucionalidad del “Sistema de Reconocimiento Facial de Prófugos” (SRFP) de la ciudad de Buenos Aires. En Perú el proyecto “Ni un examen virtual más” cuestionó la obligatoriedad de esos sistemas para la participación en exámenes de ingreso en universidades públicas. En Brasil y Paraguay la sociedad civil también se ha organizado para resistir la implementación del reconocimiento facial, y participamos en un amicus curiae en este último país en defensa de la transparencia en el uso de estas tecnologías. En Colombia, intervinimos dos veces en apoyo a organizaciones locales en el cuestionamiento del uso de datos personales para la pandemia, relevando la importancia de los estándares que la ley ya contempla.

La movilización no ha sido solo resistencia: en Ecuador se ha logrado aprobar finalmente una ley de protección de datos, donde fuimos activos partícipes; en Brasil se han presentado propuestas para la prohibición del reconocimiento facial; Nos sumamos también al movimiento global para cuestionar la forma en que una empresa con amplia base de usuarias en la región ha procurado cambiar sus reglas, con la reacción positiva de la autoridad de libre competencia en Chile.

Pasaron demasiadas cosas como para listarlo todo. Ello nos trae orgullo y satisfacción, pero a la vez nos muestra los desafíos hacia el futuro. Al mismo tiempo, nos mueve a observar nuestra acción hacia afuera, como también nuestra situación como grupo de personas. Las organizaciones de derechos humanos como Derechos Digitales no hemos estado excluidas de los impactos generados por la pandemia en los últimos dos años, que van más allá de situaciones nacionales y globales.

Mantenernos activas ha implicado también hacer una mirada hacia adentro y pensar cómo nos cuidamos y fortalecemos, cómo nos auxiliamos mutuamente para generar la fuerza que requiere nuestra labor. Y así, mantenemos nuestra convicción de cara al año que comienza. Ante los desafíos enfrentados, esperamos para 2022 no solo hacer, sino también recuperar nuestro derecho a imaginar.

Nueva ley de delitos informáticos

Dentro de las próximas semanas Chile debiera contar con una nueva ley sobre delitos informáticos. La discusión del proyecto de ley Boletín 12192-25 que busca modificar la normativa vigente (Ley 19.223 que tipifica figuras penales relativas a la informática) está en su recta final.

Con la mayoría de su articulado ya aprobado queda pendiente que la Comisión Mixta —compuesta por senadores y diputados— termine de revisar aquellos artículos donde no hubo acuerdo en las etapas legislativas previas. Como es de esperarse, los pendientes implican los temas más polémicos: la criminalización de la investigación informática, y la modificación del Código Procesal Penal (CPP) para ampliar y flexibilizar algunas de las medidas investigativas más intrusivas de nuestro sistema. Entre ellas, se encuentra el artículo 219 del CPP sobre interceptación de las comunicaciones privadas.

La excusa del Convenio de Budapest para reducir el control de la actividad estatal

No cabe duda de que Chile necesita con urgencia una normativa adaptada a la realidad actual. A 30 años de la entrada en vigor de la ley 19.223 es una excelente noticia. Sin embargo, este proyecto ha servido de excusa para cambiar las reglas del CPP chileno en materia de técnicas de investigación de una manera que nada tiene que ver con el Convenio de Budapest, cuya implementación dio origen a este proyecto, como ya hemos explicado.

A pretexto de combatir el ciberdelito, el proyecto busca reducir aquellos mecanismos que fueron diseñados para evitar el abuso de las medidas intrusivas de investigación, limitando las posibilidades de control democrático. Así, hemos llegado al absurdo que una cuestión tan relevante como normas procesales penales de aplicación general, puedan terminar siendo discutidas en forma incidental, como una cuestión accesoria, a pesar de tratarse de una materia que evidentemente requiere de una discusión particular.

Así como la separación de poderes es un elemento imprescindible de toda democracia, también lo es el control de su ejercicio. En este punto, el texto propuesto por el Senado contiene una propuesta extremadamente peligrosa: flexibiliza las herramientas para el uso de medidas investigativas profundamente intrusivas. Algunos ejemplos son el uso de agentes encubiertos, la interceptación de las comunicaciones, y ampliar las facultades de investigación a las policías.

En términos resumidos, el proyecto busca modificar la regla general bajo la cual funcionan la mayoría de los sistemas penales del mundo, incluido el chileno: la necesidad de contar con una autorización judicial previa. Además, si consideramos que la normativa contempla el secreto por tiempo ilimitado de estas actividades de investigación, sumado al histórico incumplimiento de la obligación de informar a las personas afectadas por una medida de interceptación de sus comunicaciones (cuando sea posible hacerlo), el resultado que tenemos es la entrega de un poder de intrusión ilimitado y descontrolado.

Por otra parte, preocupa la falta de claridad con que fue redactado el texto que busca reemplazar el actual artículo 219 del CPP, donde no queda claro cuáles serían los casos en que el Ministerio Público podría hacer uso de las facultades que le otorga la ley.

Investigación en seguridad informática

Otro de los aspectos polémicos del proyecto es la criminalización de la comunidad de seguridad informática. A pesar que el trabajo de los investigadores en seguridad informática es detectar vulnerabilidades e informarlas, de manera que los dueños de los sistemas de información puedan hacer los ajustes que sean necesarios, sobre ellos pesa el estigma ser “ciberdelincuentes” y mal llamados hackers. Además, en varias oportunidades son perseguidos por los propios beneficiados por su trabajo (quienes son informados sobre las vulnerabilidades) a quienes les resulta más cómodo perseguir al mensajero.

Pero no todo está perdido. El Congreso logró comprender la significación de esta importante labor, y al menos existiría consenso en establecer una eximente de responsabilidad penal para quienes realicen esta actividad en el contexto de una investigación académica de seguridad informática previamente registrada. En todo caso, sujeto a ciertas condiciones: que no haya mediado actuación policial, judicial o del Ministerio Público de ninguna especie; y que tanto el acceso como la vulnerabilidad informática detectada hayan sido reportadas al responsable del sistema informático y a la autoridad competente.

Desde Derechos Digitales creemos que, si bien esta consideración es un avance, no es suficiente. La investigación en seguridad informática es esencial para la detección y solución de brechas de seguridad: de lo contrario solo conoceremos vulnerabilidades una vez que sean explotadas por terceros. Por el contrario, las leyes que criminalizan la investigación informática suelen ser abusadas para perseguir a quienes investigan, ya sea por motivos políticos, o como reacción de las empresas privadas ante el impacto reputacional que significa que alguien revele sus brechas de seguridad, tal como se puede ver claramente en el informe elaborado por Access Now.

Por último, a quienes más perjudican este tipo de leyes es a las personas. Solo las grandes empresas cuentan con los medios económicos necesarios para poder costear investigadores privados que revisen sus sistemas constantemente. La actividad de la comunidad de seguridad informática permite a pequeñas empresas ser advertidas de la existencia de brechas, y reaccionar antes que su información y la de sus clientes sea expuesta. Acompañada de estrictos mecanismos de resguardo, una autorización amplia para la investigación en seguridad informática no debería generar problemas.

Llamado a rechazar la modificación del artículo 219

Un proyecto de ley que busca modificar la normativa penal debe ofrecer ciertas garantías mínimas para impedir el abuso de aquellas técnicas de investigación que resultan lesivas de derechos fundamentales.

Considerando que en la actualidad no contamos con un sistema que se haga cargo de todas las vulneraciones del debido proceso, al no tener capacidad para controlar el uso de las medidas en cuestión, ni conocimiento para la rendición de cuentas una vez que termina una entrega de información o una interceptación, pareciera que aumentar las hipótesis de medidas intrusivas de investigación sin control suficiente ex ante y ex post solo pone en mayor riesgo la institución del debido proceso y derechos sin los cuales es imposible pensar en una democracia: el derecho a la privacidad, a la protección de los datos personales y a la inviolabilidad de las comunicaciones privadas.

Por ello, creemos que cualquier reforma del CPP en este sentido requiere, ineludiblemente, una reforma transversal a las normas sobre entrega de datos personales y privacidad de las comunicaciones, y el establecimiento de fuertes sanciones para el uso abusivo de medidas como las propuestas, cuestión que solo es posible mediante una discusión de fondo.

Dado lo anterior, no parece prudente intentar regular una materia tan compleja como esta en forma anexa e incidental a un proyecto de ley que no se refiere específicamente al CPP. En el marco actual, ya han sido identificados diversos riesgos asociados al uso abusivo de este tipo de técnicas investigativas. Sumado a esto, la norma propuesta contraviene la regla general sobre principios básicos del proceso penal contenida en el artículo 9 de nuestro CPP, por lo que no parece prudente aumentar las facultades de las policías sin una revisión del sistema completo.

Llamamos a rechazar la modificación del artículo 219, y dejar dicha discusión para una instancia en que se pueda analizar el tema con la dedicación necesaria, que englobe una mirada integral a nuestro sistema procesal penal, evitando introducir reglas contrarias al debido proceso.

Garantías mínimas

Con todo, para el caso de optar por insistir en la modificación del artículo 219, a lo menos debiesen tomarse los siguientes resguardos como un mínimo necesario:

Necesidad de contar con autorización judicial, idealmente previa, pero al menos en forma posterior;
Modificar la redacción del § 3 del artículo 219 propuesto, en orden a dar mayor claridad sobre los casos en que el Ministerio Público podría hacer uso de las facultades que se busca otorgarle;
Establecer que toda orden que imponga la reserva de una medida investigativa debe señalar un límite del tiempo para dicha reserva;
Establecer que, una vez cumplido el plazo indicado para la reserva de la medida investigativa, termine el deber de secreto que pesa sobre las empresas de telecomunicaciones, de manera que estas sean libres de notificar a sus usuarias, en los términos establecidos en el artículo 224 del CPP; y,
Reforzar el deber de notificación al afectado por una medida de interceptación establecido en el referido artículo 224, de forma que el mismo sea efectivamente cumplido, pues no existen antecedentes que muestren que dicha norma esté siendo cumplida en la actualidad.

Inteligencia artificial 2021: desarrollos importantes en el marco legal internacional

Versão em português disponível

Gran parte de lo que se discute sobre inteligencia artificial (IA) nos remite a películas y libros de ciencia ficción. Robots muy humanoides y brillantes están en las fotos de muchas páginas que hablan de este tipo de tecnología. Daniel Leufer señala este y otros mitos en el uso y discusión de la IA en un sitio web que vale la pena revisar. A este mito de la representación se suma una definición muy amplia, que serían tecnologías dotadas de súper inteligencia, cuyo uso puede ser objetivo, sin prejuicios y que no podrían resolver nada más que un montón de cosas.

Pero lejos de estar cerca de los robots como en las películas de Steven Spielberg o en las protagonizadas por Will Smith, muchas partes de nuestras vidas ya se ven afectadas por el uso de la IA: ya sea por su uso por parte del Estado para llevar a cabo las más variadas tareas y en su toma de decisiones, o incluso por empresas.

Dos elementos del mito de la «gobernanza de la IA» nos llevan a algunas preguntas. Es cierto que muchos países de América Latina, como Colombia, Chile, Brasil y Uruguay, ya están regulando estrategias nacionales para hacer frente a la IA, además de intentar aprobar proyectos de ley específicos sobre regulación, como estamos viendo en las discusiones actuales.

En el caso de Brasil, el proyecto de ley 21/2020 ha recibido una serie de críticas mordaces, como la de Coalizão Direitos na Rede en esta semana, por su aprobación en la Cámara de Diputados sin una discusión efectiva con la sociedad, que implican un debilitamiento de las garantías existentes. En Europa, las discusiones también son candentes y la sociedad civil organizada está pidiendo una Ley de Inteligencia Artificial (EIA) que dé prioridad a los derechos fundamentales.

Esta semana, se lanzó el “Índice global de inteligencia artificial responsable”, un proyecto de Research ICT Africa y la Red Data 4 Development. Este índice tiene como objetivo rastrear la implementación de los principios de IA responsable en más de 120 países, a través de una red internacional de equipos de investigación independientes, para evaluar en qué grado se están aplicando los principios. El nombre del evento de lanzamiento transmite el deseo de gran parte de la sociedad: pasar de los principios a la práctica, ante tantos potenciales riesgos y violaciones de los derechos humanos.

Aquí, queremos analizar los nuevos desarrollos en el tema de la regulación de la IA dentro de los organismos internacionales, a los que se agregaron, por ejemplo, los principios de la OCDE sobre IA, que habían sido aprobados en 2019.

Impactos negativos y catastróficos, con graves riesgos para la privacidad y exigiendo acciones urgentes

Michelle Bachelet, Alta Comisionada de las Naciones Unidas para los Derechos Humanos, publicó recientemente un importante informe sobre los graves riesgos para la privacidad derivados del uso de herramientas de IA (A/HRC/48/31).

Según Bachelet, la creación de perfiles, la toma de decisiones automatizadas y las tecnologías de aprendizaje automático (machine learning) tienen impacto en el derecho a la privacidad y varios otros derechos que asociados, en al menos cuatro sectores específicos. Para los sectores de aplicación de la ley —seguridad nacional, justicia penal y gestión de fronteras— las implicaciones son múltiples. Por mencionar algunas: amplias bases de datos que dañan o restringen la privacidad, alta probabilidad de predicción para búsquedas, investigaciones y enjuiciamientos penales, sumado a una alta opacidad de los sistemas que impiden la verdadera rendición de cuentas del Estado en áreas que históricamente han sufrido de falta de transparencia.

El uso de la IA en el reconocimiento biométrico remoto (reconocimiento facial y de emociones) también es severamente criticado por el informe, ya que perjudica “la capacidad de las personas para vivir sus vidas sin ser observadas y tiene como resultado un efecto negativo directo en el ejercicio de los derechos a la libertad de expresión, reunión pacífica y asociación, así como libertad de circulación”.

El informe había sido solicitado por la ONU en 2015, en la Resolución 42/15, y se basó en una reunión con expertos en mayo de 2020, así como los aportes recibidos de una convocatoria específica para tal fin en 2021. Analiza el tema principalmente con base en el artículo 12 Declaración Universal de Derechos Humanos y en el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (ICCPR).

Bachelet señala que el riesgo de discriminación derivado del uso de decisiones basadas en inteligencia artificial es muy alto. Enumera posibles enfoques para hacer frente a los desafíos, haciendo una serie de recomendaciones sobre el diseño y la implementación de salvaguardas para prevenir y minimizar los daños. Si bien las áreas de salud, educación, vivienda y servicios financieros necesitan un mayor escrutinio, según el informe, el área de identificación biométrica necesita con urgencia orientación para defender los derechos humanos.

Dos de las nueve recomendaciones de Bachelet a los Estados son muy significativas. En primer lugar, trata de prohibir expresamente las aplicaciones de IA que no respeten los derechos humanos. Asimismo, impone una moratoria en la venta y compra de sistemas de IA que representan un alto riesgo para los derechos humanos hasta que se adopten las protecciones adecuadas.

La segunda recomendación implica que los Estados prorroguen el uso del reconocimiento biométrico remoto en los espacios públicos, hasta que las autoridades puedan demostrar el cumplimiento de los estándares de privacidad, protección de datos y que no existen problemas de precisión e impactos discriminatorios. Es interesante notar que este tema de la moratoria del reconocimiento facial ya ha sido expresada en la narrativa 2020 producida por Bachelet sobre el impacto de las nuevas tecnologías en la promoción y protección de los derechos humanos en el contexto de las asambleas, incluidas las protestas pacíficas (A/HRC/44/24).

Las recomendaciones para empresas y Estados enfatizan la necesidad de la debida diligencia en todo el ciclo de los sistemas de IA, desde el diseño, desarrollo, implementación, venta, adquisición y operación, con un fuerte enfoque en las evaluaciones de impacto sobre los derechos humanos.

Impacto en la privacidad, vigilancia masiva y otros derechos humanos

En octubre de este año, el Consejo de Derechos Humanos de la ONU revisó la Resolución sobre el derecho a la privacidad en la era digital (A/HRC/RES/48/4). Este es un paso importante, considerando que no solo actualizó, sino que también dejó en claro los riesgos y peligros de adoptar IA. El nuevo texto fue presentado por Brasil y Alemania, tuvo una serie de reuniones informales entre Estados con la participación de la sociedad civil y fue aprobado por consenso. Si bien la revisión de la Resolución no fue más incisiva, no hay duda de que la resolución exige mayores esfuerzos a los Estados, principalmente, a respetar de inmediato el derecho a la privacidad y otros derechos humanos afectados.

La Resolución 48/4 reconoció que la IA puede plantear graves riesgos para el derecho a la privacidad, «especialmente cuando se utiliza para identificación, seguimiento, creación de perfiles, reconocimiento facial, predicción de comportamiento y para establecer puntuaciones para individuos». También solicita a los Estados que adopten medidas preventivas y remedios para las violaciones y abusos del derecho a la privacidad, comprendido el deber de adoptar medidas preventivas y reparadoras para las violaciones y abusos, incluidos los relacionados con el derecho a la privacidad, que pueden afectar a las personas, pero que tiene efectos particulares contra mujeres, niños y niñas, y personas en situación históricamente vulneradas. También enfatiza en que los Estados desarrollen y fortalezcan políticas públicas sensibles al género que promuevan y protejan el derecho de todas las personas a la privacidad.

Había una gran expectativa respecto a que esta resolución dejaría algunas cuestiones mejor delimitadas, sobre todo debido a la fuerte posición de la Alta Comisionada para los Derechos Humanos al proponer una moratoria sobre ciertas tecnologías de reconocimiento biométrico y facial. En particular, por la recomendación más fuerte para que los Estados cumplan con la moratoria en la compra y venta de sistemas de IA.

No obstante, entendemos que aún habrá novedades de esta resolución, dado que ordenó a la Alta Comisionada para los Derechos Humanos a presentar un informe escrito, hacia el 51° período de sesiones del Consejo de Derechos Humanos. Se espera que informe contemple las tendencias y desafíos en el tema, identificar y aclarar principios, salvaguardas y mejores prácticas de derechos humanos, asegurando una amplia participación de múltiples partes interesadas para su producción.

Aproximación a las recomendaciones éticas en IA

El 24 de noviembre de este año, la Conferencia General de la UNESCO adoptó la recomendación sobre la Ética de la Inteligencia Artificial. El documento, avalado por 193 países, presenta un preámbulo con más de 20 consideraciones, definiendo su ámbito de aplicación, propósitos, objetivos, valores, principios y áreas de aplicación.

Como valores, la recomendación de la UNESCO enumera: el respeto, la protección y la promoción de los derechos humanos, las libertades fundamentales y la dignidad humana, el florecimiento del medio ambiente y el ecosistema, la diversidad y la inclusión, sociedades pacíficas, justas e interconectadas. Los principios rectores son: proporcionalidad y no causar daño, seguridad y protección, justicia y no discriminación, sostenibilidad, derecho a la privacidad y protección de datos, supervisión y determinación humana, transparencia y explicabilidad, responsabilidad y rendición de cuentas, conciencia y alfabetización, además de gobernanza de múltiples partes interesadas.

Además, la Recomendación reúne 11 áreas principales de política pública y, entre ellas, una específica sobre evaluación de impacto ético (ethical impact assessment). A pesar de parecer un avance, entendemos que este punto puede ser preocupante y necesita mayor explicación. Primero, porque la evaluación de impacto ético antes mencionada tiene como uno de sus elementos la evaluación de impacto en derechos humanos. En este sentido, existe una posible superposición errónea de las dos herramientas, ya que la evaluación de los impactos sobre los derechos humanos es más amplia y profunda que la evaluación del impacto ético.

En segundo lugar, porque la herramienta de evaluación del impacto en los derechos humanos y la diligencia debida en materia de derechos humanos ya están presentes en los instrumentos jurídicos internacionales y “se han convertido en la herramienta más recomendada de la ONU para que las empresas comiencen el proceso continuo de debida diligencia en materia de derechos humanos”, según CELE, mientras que las directrices éticas carecen de «mecanismos de aplicación y definición: qué instituciones invocan y cómo empoderan a las personas», como sostiene la organización Artículo 19.

Aunque se trata de un gran comienzo, no basta con establecer recomendaciones éticas para el uso de tecnologías de IA. Como ya lo destacó María Paz Canales, “la ética no es suficiente, en Estados democráticos donde existe un compromiso normativo para promover y proteger los derechos humanos”. Es necesario darle más normatividad al uso de la IA, pues ya tiene efectos desastrosos para una parte de la población que ya es vulnerable.

Como señaló Daniel Leufer, citado al comienzo de este artículo, a pesar del auge de la ética de la IA cuando nos enfrentamos a peligros muy graves, un equilibrio entre beneficios y daños puede llevar a cuestionar un enfoque utilitario de la ética. Sin embargo, un enfoque centrado en los derechos humanos simplemente comienza con el punto de partida de que ciertos daños son inaceptables.

Si bien la recomendación de UNESCO proporciona un importante marco ético compuesto por valores y principios, debe entenderse como un complemento a las obligaciones internacionales de derechos humanos para orientar las acciones de los Estados en la formulación de su legislación, políticas u otros instrumentos relacionados con la IA, en conformidad con el derecho internacional ya vigente.