Tipo de contenido (Recurso): Columnas

¿Qué es peor: un sistema de reconocimiento facial que no funciona o uno que sí lo hace?

La semana pasada, el portal América Transparente publicó un reportaje realizado por María Fernanda Leiva y Tamara Silva, donde se denuncia una inversión millonaria realizada por dos municipalidades del sector oriente de la ciudad de Santiago de Chile por un sistema de reconocimiento facial que no funciona.

En total, la investigación consigna el pago de USD $582.880 (aproximadamente 390 millones de pesos chilenos) por el software de la empresa francesa INDEMIA, uno de los principales proveedores de esta tecnología en la región. Del total, la comuna de Las Condes habría aportado USD $517.880 y Lo Barnechea USD $65.000.

Cada comuna cuenta actualmente con diez cámaras de vigilancia conectadas al software de INDEMIA. Según la información recopilada por Leiva y Silva, a diciembre de 2020, un año después de su implementación, el sistema habría reconocido a diez personas. Al parecer, la pandemia habría hecho estragos en los modestos resultados del sistema: citado en el reportaje, el alcalde de Lo Barnechea dice que, debido al “uso masivo de mascarillas desde marzo de 2020, no han existido en ese periodo las condiciones necesarias que permitan evaluar la eficacia de las cámaras de reconocimiento facial”.

El reportaje además establece que el contrato se habría gestado por medio de una adjudicación directa, firmada la Asociación de Municipalidades para la Seguridad Ciudadana de la Zona Oriente (AMSZO), entidad que está siendo cuestionada por el manejo de miles millones de pesos sin ningún tipo de control o fiscalización.

Hasta acá, el reportaje es interesante porque contiene prácticamente todos los elementos ya característicos de las polémicas en torno a la implementación de tecnologías de reconocimiento facial en la región: sistemas incapaces de hacer lo que se espera de ellos, poca transparencia respecto a los procesos de contratación y puesta en marcha, la inexistencia de procesos de evaluación adecuados y ni hablar de evaluaciones de impacto en derechos humanos.

Además, toca un punto central que usualmente es dejado fuera del discurso de fabricantes y políticos ávidos de figuración pública: las tecnologías de reconocimiento facial no son mágicas y requieren de ciertas condiciones que permitan hacer capturas adecuadas para efectuar la comparativa de los rostros; cuestiones tan elementales como la ubicación de la cámara o si la persona usa sombrero o lentes pueden alterar la eficacia del sistema, lo que puede traducirse en que el sistema simplemente no sea capaz de reconocer o que reconozca equivocadamente.

Y sin embargo, la pregunta que me parece más importante plantear es la siguiente: ¿sería preferible que el sistema funcionara? ¿Estaríamos hablando de ello si en vez de 10 personas el sistema hubiese reconocido a 100 o a 10 mil? No quiero minimizar la importancia del concepto de transparencia, especialmente respecto al gasto de fondos públicos y todavía más cuando se ha gastado en algo que además no funciona. Pero lo que parece más grave acá es que dos comunas hayan decidido omitir cualquier debate respecto a la legalidad de implementar un sistema de estas características, que además no puede estar escindido de una discusión sobre derechos humanos.  

Como hemos mencionado en otras ocasiones, la ley vigente en Chile sobre datos personales, en su artículo 10, prohíbe el tratamiento de datos sensibles, a menos que esté autorizado por la ley, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. Queda a la vista que la creación de una infraestructura de vigilancia masiva no está considerada en este listado y, por lo tanto, es ilegal. Así, cualquier intención en esa dirección debería canalizarse por medio de una discusión legislativa respecto a si como sociedad estamos de acuerdo con el desarrollo de este tipo de tecnologías en el espacio público. Y no son pocos los municipios y ciudades alrededor del mundo que han respondido a esa pregunta con una prohibición o una moratoria.

Utilizar tecnología de reconocimiento facial para la vigilancia masiva y el combate de delitos comunes implica invertir el principio de presunción de inocencia en favor de un sistema totalitario de control del espacio público, mediante la gestión técnica de la identidad que tiene como consecuencia la alienación del propio cuerpo, por medio de la pérdida de control y autonomía sobre nuestros rostros, los que pueden ser utilizados en contra de nuestros intereses. ¿Es esa la sociedad en la que queremos vivir?

Incluso si la respuesta a esa pregunta es sí, la discusión legislativa permite establecer límites y controles respecto de sus usos, así como el listado de requisitos previos y posteriores a la implementación que deben ser satisfechos. No puede ser una cuestión que quede a la discreción y los recursos disponibles de una autoridad comunal. Más todavía cuando hemos visto que la implementación de este tipo de tecnologías, a pesar de presentar escasos resultados en términos de seguridad pública, sí puede constituir una efectiva técnica de marketing político. El mejor ejemplo de ello en Chile es precisamente el ex alcalde de Las Condes, Joaquín Lavín, como demostró en su más reciente (y fallida) incursión presidencial.

No podemos seguir permitiendo que estas discusiones se realicen por medio de subterfugios, apelando a áreas grises o lisa y llanamente ignorando la ley. Necesitamos responder desde una convicción democrática y comprometida con los derechos humanos. ¡No al reconocimiento facial en el espacio público!

El Caso Ola Bini en primera persona

El 11 de abril de 2019, algunas horas después de que el presidente de Ecuador, Lenin Moreno, retirara el asilo político a Julian Assange, Ola Bini fue detenido cuando se disponía a iniciar un viaje a Japón planificado con meses de anticipación. María Paula Romo, entonces Ministra de Gobierno,  dijo en rueda de prensa: “Desde hace varios años vive en Ecuador uno de los miembros claves de Wikileaks y una persona cercana a Assange. Tenemos evidencia que ha estado colaborando con los intentos de desestabilización del gobierno”. Esa persona era Ola Bini.

Ese fue el inicio de una persecución que le costó a Ola setenta días en la carcel y que no ha terminado. Una vez fuera de prisión no recuperó su libertad: debe presentarse todos los viernes ante fiscalía, tiene prohibición de salir del país y es vigilado constantemente. Además, ha sido víctima de acoso mediático, donde se lo dibujó como un villano capaz de atacar cualquier sistema informático.

Una reciente investigación del portal digital La Posta, hace presumir que Ola Bini fue detenido porque la ministra Romo buscaba a un culpable para la filtración de INAPapers, que incluía correos electrónicos, chats, fotografías y otra información obtenida del teléfono del (ex) presidente Moreno. Según la investigación, se sabía que Ola no era la persona detrás de esta filtración, pero la ministra necesitaba un nombre que entregar al presidente.

Conozco a Ola desde 2013 y tuve el gusto de trabajar con él durante dos años en el Centro de Autonomía Digital – CAD. Este es el relato de su caso desde la perspectiva de alguien que estuvo cerca.

Antes de la Persecución

Ola Bini se mudó a Ecuador en 2013, cuando trabajaba en una empresa que abrió oficinas en Quito. Tuve el gusto de conocerlo ya que a los dos nos preocupaba la privacidad en internet y considerábamos que el software libre con criptografía es una herramienta esencial para las comunicaciones seguras.

Desde la empresa, el equipo liderado por Ola ya había realizado importantes trabajos en relación al desarrollo de herramientas libres para la protección de la privacidad. El cliente de chat seguro CoyIM es un ejemplo, pero también había colaborado con proyectos importantes como Tor, Tails, Enigmail y Let’s Encrypt, entre otros.

En 2017 se fundó el CAD, organización sin fines de lucro con oficinas en Sao Paulo, Brasil, enfocado en el desarrollo de herramientas libres para la protección de la privacidad. Fue durante 2019 cuando las oficinas se trasladan Quito y tuve el privilegio de ser una de las primeras personas en trabajar allí. En un mundo digitalizado, donde el derecho humano a la privacidad es vulnerado constantemente, tener una organización como el CAD en Ecuador es una oportunidad enorme. La creación de herramientas para la protección de la privacidad es importante, pero la formación de talento humano para la protección de la privacidad desde Ecuador lo es aún más.

El que iba a ser el trabajo de mis sueños pronto se convirtió en una pesadilla: nunca imaginamos que el Estado ecuatoriano nos atacaría de esa manera.

El arresto

El 11 de abril de 2019 revisé Twitter temprano en la mañana y vi que el presidente de Ecuador había publicado un video durante la madrugada, anunciando que Ecuador retiraba el asilo político a Julian Assange y lo entregaba a las autoridades de Londres. Ese día estuvimos pendientes de las noticias. Durante la mañana, el Canciller y la Ministra de Gobierno hablaron de “un miembro clave de Wikileaks” y de dos “hackers rusos” que pronto serían detenidos.

Los hackers rusos nunca aparecieron. En ese momento no sabíamos que Ola había sido detenido, pensábamos que estaba de viaje. De regreso en casa, escuché  a la ministra Romo en la radio, que dijo que el colaborador  de Wikileaks había sido detenido “cuando se disponía a escaparse al Japón”. “¡Ojalá no sea Ola!”, era lo único que pensaba. Por la noche recibí un mensaje de mi papá preguntando si conocía a “un tal Ola Bini”; los medios habían anunciado su detención en un caso relacionado con Julian Assange. En ese momento me entró el miedo, mucho miedo, como nunca antes lo había sentido.

Con esa información, las declaraciones de la Ministra adquirieron para mí un tono mucho más fuerte y :  “no vamos a permitir que Ecuador se convierta en un centro de piratería informática.” Ola Bini había sido detenido por supuestos intentos de desestabilización al gobierno y yo trabajaba con él. “¿Será que me van a investigar? ¿Van a ir a mi casa o a la oficina y nos van a allanar como a Ola?”, pensé, asustado.

Durante dos días casi no dormí y lo único que ingerí fue agua de Guayusa. La detención fue un jueves y desde el CAD se decidió trabajar desde casa, por miedo a que nos allanaran la oficina. No sé si fue buena o mala idea, pero aguantar lo que acontecía en soledad fue difícil. Tuve algunas llamadas vía Signal con colegas del trabajo, amigos y amigas, donde intentábamos entender qué pasaba y calmarnos los unos a los otros.

Esta sensación de miedo y estrés nos acompañó durante varios meses. Cuando sentíamos que las cosas se calmaban, venía un reportaje de prensa con un titular escandaloso que traía el temor de vuelta a nuestras vidas.

La prensa

Mi expectativa era que la prensa investigara, que la verdad saliera a la luz y así poder explicar a la ciudadanía lo que estaba sucediendo. No fue así. La prensa decidió hacer las relaciones públicas del gobierno y estigmatizar a Ola Bini. Dos ejemplos:

En agosto de 2019,  el Portal 4 Pelagatos publicaba:

“Fiscalía pudo ingresar al celular de Ola Bini. Esto pone en evidencia dos hechos: es un hacker que vino al país para trabajar con el gobierno de Correa y, dos, es un mentiroso que contó cuentos chinos a la opinión. 4P les trae la historia en exclusiva”. 

Esa fue una de las veces en las que se me heló la sangre.  “Ahora sí se acabó todo, pero ¿qué es lo que hizo Ola?” —pensé. Cuando leí el artículo, lo único relevante que pude entender fue que habían desbloqueado su teléfono y tenían información respecto al ingreso a los sistemas de la Corporación Nacional de Telecomunicaciones (CNT). Dos días después publicaron una famosa foto de la pantalla de Telnet, considerada por los periodistas como una la prueba irrefutable de que Ola habría ingresado a los sistemas informáticos de CNT. La EFF, organización experta en estos temas, realizó un análisis de la imagen publicada, donde explican claramente que nunca se ingresó al sistema.

La segunda historia sucedió algunos meses después. El 4 de marzo de 2020, el portal Código Vidrio publicó un reportaje titulado “El hacker Müller, cercano a Assange, se reunió en Quito con Ola Bini y capacitó a informáticos ecuatorianos.” Andy es un reconocido informático, experto en seguridad, defensor de derechos humanos y con quién tuve el honor de trabajar durante 2 años administrando la infraestructura del CAD. Éramos responsables del funcionamiento de nuestras herramientas de colaboración, correo electrónico y sitios web.

Además de la persecución de Andy y Ola por trabajar con Assange, me descolocó el hecho de saber que habíamos sido espiados durante la semana de Kickoff del CAD. Antes temíamos haber sido espiados, pero ahora lo sabíamos, lo que por cierto es una sensación muy desagradable. Por algún motivo, este portal tuvo acceso a información de la inteligencia ecuatoriana. De hecho, pude encontrar en el sitio de Código Vidrio una foto donde estoy regresando a la oficina luego del almuerzo. ¿Por qué un portal tenía acceso a estas fotos? ¿Por qué nos estaban espiando?

Para finalizar

En este relato no he hablado de las irregularidades del caso, las audiencias fallidas, los robos a la oficina y otras situaciones desagradables que nos tocó vivir a la gente cercana a Ola; han sido tantas que se podría escribir un libro al respecto. Muchas veces nos enteramos de noticias en las redes sociales, tomamos partido y juzgamos. En esta ocasión, quería compartir un testimonio desde el lado humano de esta persecución y como cada situación similar tiene un impacto en muchas personas

Si bien soy un actor secundario de esta historia, la vivencia ha sido muy fuerte. No puedo imaginar como es estar en la situación de Ola, cuando desde el Estado y desde la prensa se lo ha hostigado con tanta saña.  

Solo espero que esta pesadilla termine pronto.

¿Es la censura de contenidos una protección efectiva para la niñez y la adolescencia?

La discusión en Colombia de un proyecto de ley para la protección de niños, niñas y adolescentes es otro capítulo de intentos desmedidos por proteger derechos amenazando internet.

El proyecto de ley 600 de 2021 fue presentado por el Ministerio de Tecnologías de la Información y las Comunicaciones y aprobado en primer debate en comisión de la Cámara de Representantes de Colombia. Declara tener por objeto la regulación de las responsabilidades especiales de los medios de comunicación frente a los derechos de la niñez, la infancia y la adolescencia. Como se ha reiterado en varias ocasiones, se trata de una deuda del Estado colombiano con la implementación de una orden de su Corte Constitucional.

El PL 600 propone la adopción de mecanismos destinados a prevenir la producción y difusión de contenidos que atenten contra los derechos de NNA, tanto en medios de comunicación masiva como en internet. Establece un conjunto de obligaciones para los medios, además de un régimen sancionatorio aplicable en caso de materializarse un presunto comportamiento reprochable respecto de cualquiera de las medidas incorporadas al ordenamiento a través del referido proyecto de ley.

Aunque en principio el objetivo sea loable, es necesario hacer un acercamiento al contenido de tal normativa, con el fin de evaluar si en el afán de alcanzar el objetivo declarado no se están poniendo en riesgo derechos fundamentales de terceros, que ya han sido advertidos.

El contenido preocupante del PL 600

En el capítulo IV el proyecto crearía una comisión de expertos, compuesta por personas de distinta índole y pericias, entre cuyas funciones está la de proponer “iniciativas técnicas y administrativas sobre sistemas o mecanismos de detección, control parental, filtro y clasificación de contenidos”. Para ello, se elaborará un catálogo de contenidos “que pueden atentar contra la integridad psíquica, física de la niñez o adolescencia o derechos preestablecidos en la Constitución y ley, mediante el acceso, uso y aprovechamiento del internet” (Art. 13).

A los proveedores de servicios de internet (PSI), pobremente definidos en la ley para cubrir desde conexión hasta plataformas en línea, les aplican las disposiciones referentes a “Deberes” y “Medidas Técnicas” que deben cumplir, que incluyen el bloqueo y filtrado de contenidos (Art. 15.4 y 16.2) bajo la amenaza de incurrir en infracciones y recibir las sanciones descritas en el Capítulo V. Esta disposición traslada a los PSI la responsabilidad por el contenido de terceros que sea considerado infractor, lo que a la larga constituye una forma de censura previa.

Todas estas disposiciones resultan problemáticas ya que chocan con el derecho a la libertad de expresión, pues dichos artículos limitan contenidos sin estar en armonía con las condiciones establecidas en la Convención Americana sobre Derechos Humanos. Atentan a la vez con el principio de neutralidad de la red, por pretender la imposición de barreras a la libre circulación de expresiones en línea; afectan también a la garantía del debido proceso, por establecer una medida restrictiva de derechos fundamentales, como es el bloqueo de contenido, sin proceso previo ni orden judicial.

Nuevos riesgos para la libertad de expresión en línea

Tal como miembros de la academia, el sector privado y la sociedad civil han hecho ver en reuniones cerradas y audiencias públicas frente al Ministerio TIC y el Congreso de Colombia, un derecho especialmente afectado es la libertad de expresión, en los términos del Art. 20 de la Constitución de Colombia y el Art. 13 de la Convención Americana sobre Derechos Humanos, incluyendo a la libertad de buscar, recibir y difundir informaciones e ideas de toda índole. Como sabemos, no es un derecho absoluto y está sujeto a limitaciones.

La jurisprudencia interamericana desarrolló un test para fijar ese marco de limitaciones legítimas, que deben cumplirse todas: 1) haber sido definida en forma precisa y clara a través de una ley formal y material; 2) estar orientada al logro de objetivos imperiosos autorizados por la Convención; y 3) debe ser necesaria en una sociedad democrática para el logro de los fines imperiosos que se buscan; estrictamente proporcionada a la finalidad perseguida.

Dentro de ese marco, aquellas disposiciones del PL 600 que establecen bloqueos y filtro de contenidos representan la implementación de mecanismos de censura previa, prohibido por la Convención Americana, en tanto constituyen medidas de control preventivo y no responsabilidades posteriores a quienes abusen de ese derecho. Además, se trata un mecanismo amplio, no restringido a las hipótesis de limitaciones legítimas, como cuando se trata de contenidos abiertamente ilícitos y aquellos discursos que no están resguardados bajo la protección del derecho a la libertad de expresión, como la propaganda de la guerra y la apología del odio, la incitación directa y pública al genocidio, y el contenido de explotación sexual a NNA.

Incluso si el PL 600 estableciera solo responsabilidades ulteriores, habría que analizar si las limitaciones a este derecho cumplen con el test mencionado. En este caso, pueden señalarse dos puntos que resultan problemáticos para cumplir con el primer requisito. Por un lado, las causas para limitar contenidos que se encuentran en forma de catálogo, son ambiguas y podrían permitir una interpretación arbitraria de la autoridad, incumpliendo el paso de legalidad estricta del test (Art. 13 del PL 600). Por otro lado, está sujeto a sanciones que, además de afectar a intermediarios de comunicaciones, condiciona su acción y traslada a ellos responsabilidad por el ejercicio de la censura.

Sobre el cumplimiento del requisito de necesidad dentro del test tripartito, no puede asegurarse que las disposiciones del PL 600 tengan por fin cualquiera de los objetivos enumerados que ha desarrollado la jurisprudencia interamericana. Tampoco puede señalarse que las disposiciones que pretenden bloquear o filtrar contenidos contra la integridad psíquica, física de NNA o sus derechos preestablecidos en la Constitución y ley, sean necesarios, idóneos y proporcionales, ni siquiera para ese fin.

¿Qué va a pasar con el PL 600?

La iniciativa parece estar interrumpida debido al escándalo por irregularidades contractuales que hoy envuelve al Ministerio TIC, lo que resta su peso en impulsar proyectos como el PL 600.

Esperamos que el debate sobre la conveniencia de proyectos de ley que apunten a la protección de los derechos de NNA continúe y se profundice, no sólo en Colombia sino a nivel regional. La finalidad es obtener mejores insumos que permitan una normativa respetuosa de los derechos fundamentales, sin buscar soluciones en la restricción de la circulación de contenidos en internet.

Este caso un comienzo de una conversación que nos desafía para el genuino resguardo de todos los derechos de las nuevas generaciones de internautas.

Afganistán: cuando lo que compartes en internet te puede costar la vida

Una de las cosas más difíciles de tomar acciones para proteger nuestra información es convencernos de que estamos frente a un problema real, que se trata de algo cuyas probabilidades de afectarnos no son bajas y que no se trata de esas cosas que solo le pasan a los demás, nunca a nosotros. ¿A quién le puede interesar mi información? Es la típica pregunta de los escépticos, junto con el conocido “quien nada hace nada teme” o “no tengo nada que esconder”.

Pero no necesitamos ser personajes públicos para que nuestra información sea recolectada, almacenada, procesada y compartida por terceros. La tecnología actual permite el tratamiento automatizado de grandes volúmenes de datos, de manera que poco importa que los detalles de nuestra vida nos parezcan o no de interés. La información que pongamos a disposición de terceros será tratada, inevitablemente.

Todos tenemos algo que esconder, lo queramos o no. Es normal. Un placer culpable, alguna adicción, algo de lo que nos arrepintamos, aunque no sea ilegal; alguna mentira, compras irracionales, un pariente cercano que preferimos ocultar, un amante, una historia que no queremos contar, una opinión políticamente incorrecta, nuestras deudas o lo que buscamos en internet. Incluso puede ser algo que en un momento y contexto determinado era —personal y socialmente—aceptado, pero ya no.

Sin embargo, hoy, de diferentes maneras e incluso sin saberlo, compartimos nuestras vidas con internet y vamos dejando un que podría volverse en nuestra contra, con efectos que ni siquiera somos capaces de dimensionar. Esa es la situación de muchas personas en Afganistán, especialmente gente joven que nació y creció en un país ocupado por fuerzas militares estadounidenses y que, de la noche a la mañana, se vieron gobernados por un régimen que creían superado; y con ello, la necesidad de borrar todo rastro que pudiera hacerlos objeto de represalias por parte del régimen Talibán. Todo aquello que hicieron cuando las reglas eran otras.

No se trata aquí únicamente de disidentes políticos que serán perseguidos, sino de padres, madres, hijes y hermanes que serán castigados por haber apoyado a los gobiernos anteriores o incumplir reglas impuestas por fanáticos religiosos. Y aquí —cómo siempre— las mujeres son las que mayor riesgo corren, porque a ellas se les castiga simplemente por existir.

Por ello, la fundación Human Rights First ha puesto a disposición de la comunidad distintos documentos para que las personas puedan proteger su historial digital de abusos. Pero no es una tarea fácil: el trabajo de eliminación de historial implica revisar email, redes sociales, aplicaciones de mensajería, buscadores y muchas otras plataformas a las que probablemente ni siquiera recordemos haber accedido. Y en el caso de Afganistán, el solo hecho de haber creado una cuenta en una aplicación usada por organizaciones extranjeras podría ser considerado sospechoso.

Algunas de las recomendaciones

Algunas plataformas, como Google, permiten elevar solicitudes para la eliminación de información, pero debe tratarse de casos justificados relacionados con enlaces perjudiciales, por lo que no pareciera ser la medida más efectiva. En relación a las aplicaciones o páginas web cuyo uso no recordemos, una de las recomendaciones es revisar el listado de contraseñas guardadas en el navegador. Otra opción es buscar en el correo electrónico los emails recibidos al momento de registrarse en aplicaciones o páginas en internet.

Por su parte, Access Now ha puesto a disposición de las usuarias una guía para “autoidentificarse”, que sirve para hacer el camino que probablemente recorrería alguien que quisiera obtener información sobre una cuenta anónima.

Sin duda habrá quienes piensen que lo más fácil sería borrarlo todo y deshacerse del teléfono y el computador. Pero en la actualidad no tener tecnología ni vida digital resulta de por sí sospechoso. Por ello podría ser recomendable crear una vida digital paralela, para lo cual Human Rights First también dispone de un documento con recomendaciones. Aunque sin duda es algo que resulta complejo pues requiere tiempo y recursos con los que no todos cuentan en el marco de la emergencia.

Datos personales colectivos

Nuestra historia no solo se cuenta gracias a la información que nosotros damos a conocer. Cualquiera que haya sido etiquetado por Facebook en una foto subida por un desconocido sabe que su privacidad también depende de la información que comparten otras personas. Y así, por mucho que nos esforcemos por eliminar nuestro pasado digital, necesitamos de un esfuerzo colectivo. De ahí el llamado hecho en Twitter por la directora de Democracia y Tecnología de la organización National Democratic Institute, Moira Whelan, a los encargados de redes sociales del Gobierno de EEUU para conseguir permiso para purgar todas las cuentas y canales con imágenes y pies de foto de socios afganos.

El peligro existe también en aquella información que puede ser obtenida sin más intervención por nuestra parte que el hecho de salir a la calle. Tal es el caso de la tecnología de videovigilancia, la misma que en los últimos años hemos visto tomarse los espacios públicos en América Latina sin mayor resistencia, protegida por el discurso anti delincuencia. Pero esta tecnología no ataca a la delincuencia, solo invierte el principio de inocencia: todos somos sospechosos hasta que probemos lo contrario y por ello debemos aceptar ser vigilados

En el caso de Afganistán todo apunta a que los talibanes se han apoderado de los dispositivos biométricos de los militares estadounidenses y que están haciendo uso de los datos biométricos recolectados durante años para encontrar a quienes colaboraron con los gobiernos anteriores y las ONGs extranjeras. No son sospechas, son hechos: los talibanes ya comenzaron la búsqueda casa a casa de sus disidentes.

Por lo mismo, Human Rights First publicó un documento sobre cómo evitar ser reconocidos por sistemas de reconocimiento facial, aunque lograrlo es inmensamente complejo.

Todo suma

Sin duda, resulta desgastante intentar proteger nuestra información y la tentación de ceder por agotamiento está siempre latente. Resulta extenuante revisar las políticas de cookies cada vez que ingresamos a una página o discutir con desconocidos por no querer entregar nuestro número de identificación único, cuando no hay motivo para ello.

Pero eliminar información es mucho más difícil que evitar entregarla, porque aquello que compartimos con terceros suele ser compartido con otros, que a su vez la vuelven a compartir. Por eso, siempre más vale intentarlo. Aun si hasta ahora nos hemos descuidado, nunca es tarde para empezar a proteger nuestra información ni para exigir que nuestro derecho a la privacidad y a la protección de nuestros datos sean respetados.

#CriptoAgosto: Nuevos ataques al cifrado

Mientras la sociedad civil brasileña celebra por segunda vez el #Criptoagosto, una invitación a defender y promover el uso de las tecnologías de cifrado, parece ser que las figuras del poder hacen un esfuerzo significativo por atacarlo.

¿De dónde nacen todas estas amenazas? Si revisamos noticias, vemos que la pugna ocurre paralelamente ante tribunales, en la discusión legislativa, en la pretensión de vigilancia y hasta en los planes comerciales globales de un fabricante de teléfonos a sobreprecio.

Hace un año comentábamos que se acercaba el fin de dos importantísimas causas judiciales críticas para la supervivencia de comunicaciones cifradas de punto a punto, pese a los discursos gubernamentales que lo asocian a la actividad criminal o exigen herramientas para desactivarlo. Existen todavía esfuerzos legislativos en Brasil, a nivel federal, que reflejan ese discurso a favor de la seguridad nacional o del orden público, a costa de la seguridad de las comunicaciones.

Al mismo tiempo, se mantenía una presión importante por desactivar las peores provisiones del proyecto de «Ley de fake news», que exigían la trazabilidad de las fuentes de los mensajes vitalizados en mensajería privada, aun tratándose de comunicaciones cifradas. Esta última amenaza no ha desaparecido: el artículo 10 de la propuesta aún significaría la exigencia de que los proveedores de aplicaciones de mensajería mantengan registros de «reenvíos masivos» de mensajes por tres meses, con el fin de trazar el origen de posibles fuentes de desinformación en redes de mensajes cifrados. Registros que incluirían no solo datos del mensaje, sino de quienes lo han reenviado con fecha y hora y número de receptoras.

Aunque el proyecto mantiene resguardos a favor del contenido de los mensajes y restricciones al acceso a los registros, sigue tratándose de un arma de vigilancia masiva en manos privadas: implica mantener un registro de los reenvíos al menos por 15 días en caso de que puedan convertirse en «reenvíos masivos» y, si lo son, cada mensaje registrado estará vinculado a cada usuaria que lo haya enviado o recibido. Con ese nivel de acceso a la información sobre la circulación del mensaje, el cifrado mismo se vuelve inútil.

Adicionalmente, encontramos el avance del Código de Procedimiento Penal, también objeto de atención de la sociedad civil para asegurar una mejor protección de los derechos fundamentales en la persecución criminal. La amenaza al cifrado se produjo mediante propuestas para incorporar mecanismos de intercepción de dispositivos y la explotación de vulnerabilidades, como medios para generar evidencia, lo que generó inmediato rechazo: la reforma amenazaba así con requerir la creación de puertas traseras y con legalizar la rotura del cifrado.

Aun cuando todo lo anterior estuviera restringido al debate jurídico y técnico, los intentos reales por comprometer la seguridad de los equipos también son parte de la historia reciente: hace algunos años el Citizen Lab identificó a Brasil como posible cliente de NSO Group; ahora un reporte señala que durante 2021 la empresa israelí participó de un proceso de licitación del Ministerio de Justicia y Seguridad Pública para la adquisición de Pegasus, para luego retirarse cuando se reportó que el hijo del presidente intervino en la negociación con la aparente intención de crear un aparato de inteligencia (y de vigilancia) paralelo a la institucionalidad de inteligencia actual.

Todo eso ocurre en momentos en que la búsqueda de alternativas —es decir, puertas traseras—para el acceso a comunicaciones y datos cifrados es defendida por las propias compañías fabricantes de equipos, con el objetivo loable de prevenir la circulación de material audiovisual de abuso sexual infantil. Pero las puertas traseras no sirven: comprometen la privacidad y la seguridad de todas las personas sin hacerse cargo del abuso real que ocurre más allá de pantallas y nubes de almacenamiento. Esta es la clase de medidas que abre aún más el apetito de los Estados por conocer el contenido de las comunicaciones de las personas, probablemente bajo los mismos discursos falaces sobre seguridad que se usan hasta para las peores conductas de vigilancia.

Con un panorama global tan complejo y tantas discusiones en curso dentro de Brasil, se hace más necesario que nunca que en los niveles local, regional y global exista mayor coordinación, no solamente de sociedad civil, sino de todas las partes interesadas en la promoción y la defensa del cifrado, la seguridad y la privacidad. Que el #CriptoAgosto brasileño sirva como motivación para avanzar en ello.

Las puertas traseras no protegen la privacidad

Para frenar la difusión de material de abuso sexual infantil (CSAM), Apple ha anunciado importantes cambios y nuevas funcionalidades en sus sistemas, incluyendo el análisis de las imágenes enviadas y recibidas por parte del software instalado en los dispositivos, un mecanismo de clasificación de imágenes con contenido sexual para el control parental en cuentas familiares y cambios en algunas funciones de Siri y Search para bloquear términos de búsqueda que tengan relación con el abuso sexual infantil. Estas funciones, que inicialmente regirán para usuarios en Estados Unidos de las versiones más recientes de iOS, iPadOS, watchOS y macOS, sientan un peligroso precedente para la privacidad y la seguridad de las personas en todo el mundo.

El uso de sistemas de identificación de contenidos por medio de inteligencia artificial para levantar alertas supone un tratamiento por lo menos opaco del problema. Por último, aunque sea legítima la búsqueda de soluciones frente a crímenes como el abuso sexual infantil, cualquier funcionalidad técnica que permita que terceros accedan a contenidos privados pone en riesgo a todas las personas que utilizan dichos sistemas. En este caso, a quienes utilizan cualquier dispositivo conectado a internet.  

Escaneo de imágenes en el dispositivo

Una de las funcionalidades presentadas consiste en la detección de imágenes que se capturan y comparten entre dispositivos Apple mediante un algoritmo hash, es decir, una cadena fija de caracteres que identifica de manera única cada imagen.

A partir de ahora los dispositivos analizarán todas las imágenes que pasen por ellos, generarán un hash para cada una y lo contrastarán con una base de datos dispuesta por el National Center for Missing and Exploited Children(NCMEC), organización estadounidense que colabora con la justicia en la persecución de delitos de abuso sexual infantil. Así, dentro de cada dispositivo el sistema se encargará de escanear y contrastar todas las imágenes con esa base de datos, para identificar cualquier coincidencia. Una vez las imágenes se suben a iCloud, se agregan los resultados del cotejo a través del hash. Si se supera un umbral predefinido en la cantidad de coincidencias, un humano dentro de la compañía revisará manualmente el caso, luego de descifrar el contenido. Vale decir que, hasta hoy, Apple ofrece cifrado e2e en todos los contenidos que se comparten en sus sistemas.

Esta implementación es problemática porque la base de datos de hash de imágenes preparada por el NCMEC no es auditable, y si es manipulada arbitrariamente no hay manera de detectar dicho cambio, por lo que podría utilizarse, por ejemplo, para fines de persecución política, cultural o de género. Una vez el sistema está diseñado para cumplir una función, los fines y medios para ejecutarla pueden fácilmente salirse de las manos de quienes la diseñaron.

Por otra parte, existe la probabilidad matemática de que dos imágenes totalmente distintas o lejanamente similares coincidan en el hash generado, provocando falsos positivos, que solamente serán verificados luego de la intervención humana de alguien afiliado a la compañía, y habiendo roto la promesa de cifrado e2e, esto es, la promesa de privacidad sobre la que sustenta su oferta de valor.

Aprendizaje automático para clasificación de imágenes

Otra funcionalidad es la implementación de un algoritmo de aprendizaje automático que se aplicará a las cuentas de iMessage para menores de 18 años y sus tutores, en el marco de una cuenta “Familiar”. El algoritmo clasificará las imágenes, enviadas o recibidas, en cuanto al contenido sexual explícito que puedan contener. El sistema enviará una alerta a las personas usuarias menores de 18 años sobre el tipo de contenido que están compartiendo. Si la persona es menor de 13 años, el sistema alertará también a sus tutores y la imagen quedará almacenada en el dispositivo del menor, sin posibilidad de remoción.

Como se ha demostrado muchas veces en el pasado, los algoritmos de aprendizaje automático, sin supervisión humana, presentan muchos problemas de funcionamiento en la clasificación de contenidos. Así, los tutores de niños, niñas y adolescentes que no estén compartiendo contenidos sexuales explícitos pueden recibir alertas y los menores pueden ser sujetos de vigilancia e intromisión a su privacidad. Además, frente a una definición vaga de “infancia” —como menores de 18 y 13 años—existe el riesgo de atentar contra la normal expresión sexual y corporal, así como al acceso a la información, por ejemplo, en el caso de personas LGBTQ+.

Además, tal como está planteado el funcionamiento del sistema podría ocurrir la siguiente paradoja: en caso de que un menor que no tiene una cuenta Familiar enviare una fotografía calificada por el sistema como “sexualmente explícita” a un menor de 13 años que sí es parte de un plan Familiar,  la fotografía del primer menor quedaría indeleblemente almacenada en el dispositivo del segundo menor y podría ser revisada por sus tutores, sin que el emisor original lo supiera. ¿En manos de quién queda definir la legitimidad de las imágenes compartidas en el marco de una comunicación que se garantiza como privada?

Finalmente, como hemos mencionado, el desarrollo de una tecnología con fines legítimos puede ser perfectamente aplicable a otros fines. Así, la modificación mínima de parámetros en el algoritmo de aprendizaje automático permitiría identificar, bloquear y perseguir, contenidos no solamente ilegales, sino que necesarios, con fines represivos.  

Algunas conclusiones

Bajo la premisa de su compromiso en la lucha contra la explotación sexual infantil, y aunque defiendan la idea de que sus soluciones técnicas respetan la privacidad y el principio de cifrado extremo a extremo, la verdad es que Apple está abriendo una brecha de seguridad importante, con el potencial de atentar contra el derecho a la intimidad de niños, niñas y adolescentes, así como generando un precedente que podría facilitar la persecución política y la vigilancia a todo tipo de grupos vulnerables y emisores de discursos incómodos.

Cabe recordar que uno de los principales ganchos publicitarios de Apple ha sido precisamente ofrecer los más altos estándares de privacidad y seguridad en las comunicaciones, lo que sin duda ha llevado a muchas personas a preferirles. Un ecosistema cerrado, no interoperable era lo que había que transar en favor de dicha protección. Sin embargo, hoy, cuando la continuidad de esa promesa está en entredicho, a aquellas personas que confiaron en la marca les será muy difíciles migrar a alternativas más respetuosas de su privacidad. Así, el monopolio de los sistemas operativos (OS, iOS, iPadOS) genera una dependencia directa que ata a las personas a las arbitrariedades del fabricante.

Criptomonedas en América Latina: ¿hacia dónde ir… y por qué?

Hace unas semanas, el presidente de El Salvador, Nayib Bukele, anunció una nueva ley para regular el uso de la criptomoneda Bitcoin. La iniciativa generó críticas de manera inmediata, a nivel nacional e internacional, formuladas por economistas, la comunidad técnica y opositores políticos, entre otros comentaristas.

Pero antes de que la polémica permitiera asentar un mejor camino en la materia, la propuesta se había convertido en ley de la República, aprobada por un cuerpo legislativo particularmente favorable al Gobierno. El episodio ha dado un nuevo impulso al intento por participar del  mercado de las criptomenodas y regular estos activos en América Latina, no sin una serie de preocupaciones importantes como demuestra el caso salvadoreño.

¿Criptomonedas?

Entendemos por “criptomonedas” a los sistemas de tokens que simbolizan unidades de valor, destinados al intercambio con poder liberatorio general (como el dinero de curso legal) o limitado, que constan de un registro digital (ledger) con uso de criptografía, mantenido de manera distribuida en lugar de centralizada por alguna institución financiera.

En la base de las criptomonedas está usualmente la tecnología de la cadena de bloques o blockchain: una lista de registros en forma de bloques, vinculados entre sí por medio de criptografía. Las transacciones se registran sin intermediarios, de manera cronológica y formando una cadena inmutable que permite la agregación de datos nuevos, pero no su alteración posterior. Cada nodo de la red guarda, de manera descentralizada, una copia de las cadenas de bloques. Con esto se busca superar problemas con la confiabilidad de registros centralizados de transacciones de distinto tipo, tales como la falsificación, el doble pago de un bien o el doble uso simultáneo. Por eso, según se reporta, se le promociona como un registro seguro, descentralizado e inmutable que guarde una copia de todas las transacciones realizadas sobre dicho activo digital.

Entonces, las criptomonedas son un tipo de activo digital que puede ser transado con registro en una cadena de bloques, tratándoselo como una moneda, en tanto se valorizan en unidades de ese activo, bienes o servicios, y fungiendo como activo de inversión especulativa si no se utiliza como moneda. Se caracterizan por su descentralización e independencia de intermediarios. Según alguna doctrina, las características propias les permitirían “tener aplicación universal y más extendida”.

Actualmente, la criptomoneda más conocida e importante es Bitcoin, que permite el intercambio de activos valiosos sin la intermediación o aprobación de una autoridad que ejerce control centralizado. Sin embargo, si bien Bitcoin es una criptomoneda popular, está sujeta a múltiples críticas: su valor como activo tiene una alta volatilidad, se cree que puede constituir una “burbuja especulativa” más que un sistema afín a las monedas de curso legal y la red Bitcoin presenta un problema de escalabilidad de la red para transacciones de pagos, lo cual representa altos tiempos de espera y elevadas tarifas por cada transacción, que debe ser verificada mediante complicadas operaciones matemáticas (proof of work) previo a incorporarse a la cadena de bloques. A la vez, el costo energético de cada una de esas operaciones conlleva posibles riesgos medioambientales ampliamente reportados. Estas y muchísimas otras críticas son parte habitual de la fuerte atención pública sobre el Bitcoin, sea tomado como oportunidad de inversión o como grave amenaza al ecosistema global en nombre de la codicia especulativa.

La “Ley Bitcoin” en El Salvador: el Decreto Legislativo Nro. 57

La Ley Bitcoin se convirtió en realidad tres días después de la viralización de un video en el que Bukele anunciaba en la Conferencia Bitcoin 2021 en Miami que la criptomoneda se convertiría en moneda de curso legal en El Salvador. La aprobación de la Ley Bitcoin tuvo una celeridad inusual: entre su presentación pública y su aprobación por la Asamblea pasaron apenas 5 horas. Más debate sobre el Bitcoin existe cualquier día en foros de Reddit o redes sociales. Mientras la Asamblea realizaba el proceso legislativo, el presidente Nayib Bukele, impulsor de la Ley, explicaba a inversionistas extranjeros la normativa en un chat virtual de Twitter, en inglés.

La aprobación de la Ley Bitcoin se da en un contexto particular. El Salvador vive un momento económico adverso, tal como el de otros países afectados por la pandemia. Pero además en un contexto político particular: la Asamblea Legislativa, dominada por el partido del presidente, ha aprobado gran cantidad de préstamos al Estado salvadoreño, que han incrementado en niveles históricos la deuda del país. Por otra parte, el contexto social en el que la Ley fue aprobada presenta dos caras: por un lado, la aun elevada popularidad del presidente y por otro, señalamientos de corrupción por parte del Departamento de Estado de Estados Unidos a una de sus principales funcionarias y la decisión de dar por finalizado el convenio con la Organización de los Estados Americanos que había creado la Comisión contra la Impunidad en El Salvador (CICIES). De acuerdo a los considerandos de la Ley Bitcoin, la misma pretende, entre otras cosas, facilitar la inclusión financiera de los ciudadanos, así como impulsar el crecimiento económico del país.

Sobre la aprobación de la Ley Bitcoin se han vertido críticas que abarcan el área jurídica, en particular sobre el proceso de formación de Ley, la obligatoriedad de la aceptación del uso de Bitcoin por “todo agente económico” (art. 7) y la ambigüedad de las disposiciones aparentemente redactadas por un interesado. En el área económica, se anotan críticas como la incompatibilidad respecto de la definición de Bitcoin como moneda y no como activo digital, así como de los inconvenientes de adoptar la criptomoneda como moneda de circulación legal a la par del dólar, la actual moneda de curso legal.

La Fundación Salvadoreña para el Desarrollo Económico y Social (Fusades) la calificó como una ley inconsulta e improvisada. De la misma forma se han pronunciado varios académicos y profesionales del país, quienes señalan, además, la carencia de un estudio técnico y la falta de debate parlamentario. Otro riesgo identificado es la posibilidad de que las Bitcoin que “ingresen” a El Salvador provengan de actividades ilícitas como el narcotráfico, la trata de personas o la venta de armas; y que, además, con la oferta del presidente Bukele de brindar facilidades migratorias y de adquisición de bienes en territorio nacional a los inversionistas, El Salvador pueda convertirse en un paraíso fiscal apto para el lavado de dinero.

También se habla del problema del fideicomiso que será constituido para respaldar el cambio de Bitcoin a dólares, considerando que ese dinero podría ser usado para otras áreas prioritarias como la salud y la educación; además, que dada la volatilidad del Bitcoin, los costos de esta deficiencia serían pagados por la población.

Otras de las preocupaciones de la ciudadanía incluyen la falta de transparencia sobre el funcionamiento y los niveles de seguridad informática de bases de datos, herramientas y medios que se utilizarán para la realización de transacciones en Bitcoin, y respecto del tratamiento que estas harían de datos personales sensibles y biométricos en un país que carece de regulación adecuada en materia de protección de datos personales y ciberseguridad.

Por otro lado, instituciones financieras han expresado su recelo ante la medida. El Fondo Monetario Internacional, con el que el gobierno de Bukele negocia un préstamo, ha señalado que esta medida requiere análisis más cuidadosos; por su parte, el Banco Mundial, a quien el gobierno solicitó ayuda técnica para la implementación de la criptomoneda, ha declinado dadas las deficiencias medioambientales y de transparencia que la medida contiene.

Cómo avanzar en América Latina

El caso de El Salvador ha reavivado el ánimo por, a lo menos, regular estos activos digitales. Así, en Paraguay ya hay un proyecto de ley con el propósito de regular el mercado de las criptomonedas y la minería de “criptoactivos”, que se suma a otras iniciativas de investigación, tributación o regulación. Entre el escepticismo y el entusiasmo, se mantienen desafíos importantes para la región.

La tecnología blockchain en general y las criptomonedas en particular se presentan a menudo como la tecnología del futuro para transacciones de toda clase. Sin embargo, sus características intrínsecas presentan retos, sobre todo, frente a la garantía de seguridad jurídica por la que deben velar los estados, en particular si se pretendiera implementar su uso como una moneda de curso legal. Tanto la desregulación, la descentralización y la volatilidad de su valor son elementos que restan seguridad jurídica frente a fraudes o a riesgos derivados de cambios bruscos de valor. De ello surgen tendencias a reconocer la validez de las transacciones mediante criptomonedas solo bajo supervisión estatal, regulación específica y fortalecimiento de las instituciones públicas, o bien a su prohibición. Desde un punto de vista económico, especialistas apuntan al desafío que plantea la trazabilidad de los ingresos en criptomonedas en un país para la creación de las políticas públicas monetarias.

Finalmente, tres puntos fundamentales para la adopción de la tecnología blockchain, y particularmente, las criptomonedas es que debemos aprender de las lecciones y desafíos que ha significado el desarrollo, gobernanza y apertura de internet. No recurrir al solucionismo tecnológico, motivar la innovación, y adoptar y regular las tecnologías desde un enfoque de respeto a los derechos humanos. Debemos valorar los logros alcanzados con internet, motivar la discusión inclusiva de los diversos sectores de la sociedad que contribuyan a brindar claridad sobre los desafíos y posibles efectos de la implementación de las criptomonedas y, principalmente, debemos considerar la deuda que aún tiene Latinoamérica respecto de las brechas en acceso a tecnologías digitales. Adoptar la más reciente moda de activos digitales está muy lejos de cumplir con esos objetivos.

El padrón del mal: irregularidades, inconstitucionalidad y vigilancia estatal de los datos telefónicos

Cómo en las películas de terror, el pasado 18 de mayo revivió de forma inesperada y con urgencia inmediata decretada por el presidente un proyecto de ley que dormía en el Congreso desde su nacimiento, en agosto de 2018.

Se trata del Boletín n° 12.042-15 que modifica la ley N° 18.168, General de Telecomunicaciones, en materia de individualización y registro de datos de los usuarios de servicios de telefonía en la modalidad de prepago. La idea del proyecto es la creación de un padrón de usuarios para combatir la delincuencia, imitando un método que ha fracasado a nivel mundial y que en algunos casos incluso ha empeorado la situación: en México el primer padrón tuvo que ser eliminado en 2011, después de la vulneración y venta en el mercado negro de la base de datos, lo que vino acompañado del aumento de los delitos de extorsión y de secuestro (+40% y +8% respectivamente. Para más información sobre el nuevo padrón en México, revisar aquí).

Una tramitación acelerada y desequilibrada

Tan pronto resucitó, el proyecto se puso en tabla para su discusión parlamentaria. Una semana después la Comisión de obras públicas de la Cámara de Diputados estaba sesionando para su votación, aunque finalmente se haya acordado postergarla con el objeto de escuchar previamente algunas exposiciones.

En sesión del 15 de junio expuso la Policía de Investigaciones, el Ministerio Público y la Subsecretaría de Telecomunicaciones, y se acordó gestionar la postergación de la Urgencia de discusión inmediata para escuchar también a la Subsecretaría de Prevención del Delito y al OS9 de Carabineros de Chile.

Hasta aquí, ningún representante de la academia o de la sociedad civil había sido invitada a participar de la discusión. Y como en pedir no hay engaño, los partidarios del proyecto aprovecharon la oportunidad para hacer particulares requerimientos.

En su primera exposición ante la Comisión, el Jefe Nacional de Delitos Económicos y Medio Ambiente hizo tres requerimientos, para su incorporación al proyecto de ley en discusión:

  • Uso de un sistema de autentificación biométrico en línea, proponiendo para ello el uso de las bases de datos del Registro Civil.
  • Un padrón de celulares, mediante el registro de su número IMEI (International Mobile Equipment Identity).
  • Reducir el tiempo dispuesto en el proyecto para su entrada en vigencia, de 2 años a 6 meses.

En cuanto a las dificultades económicas asociadas a propuestas de este tipo, señaló que ello se resolvía mediante el traspaso de sus costos y en cuanto al problema que se suscitaría para la población migrante que no cuenta con documentos de identificación, valoró que ello obligaría a los inmigrantes a acreditar su situación migratoria. De los problemas de proporcionalidad e inconstitucionalidad de este tipo de padrones y tecnologías de vigilancia, ni una sola palabra.

Un acto de fe

El 29 de junio se llevó a cabo una nueva sesión, la que por fin contó con la participación de una voz crítica. Daniel Álvarez Valenzuela, académico de la Facultad de Derecho de la Universidad de Chile, fue el encargado de mostrar la otra cara del proyecto.

El académico e investigador expuso sobre los problemas de ciberseguridad, proporcionalidad e inconstitucionalidad de la medida y sobre la ausencia de un marco normativo adecuado para asegurar que el pretendido registro termine sirviendo a intereses distintos a los tenidos en vista por el legislador en su proyecto. Además, y en caso de que la Comisión quisiera seguir avanzando con el proyecto a pesar de estas advertencias, planteó la necesidad de incorporar un sistema de responsabilidades y fuertes sanciones que prevengan y castiguen el mal uso de este tipo de medidas.

La reacción de las policías no se hizo esperar: criticaron la desconfianza, desmintieron la necesidad de contar con este tipo de sanciones y llamaron a confiar en las instituciones. Pero en un país donde el ejército espía a periodistas por investigar casos de corrupción y las policías realizan montajes burdos y vigilan sindicatos, organizaciones sociales como la Red Chilena Contra la Violencia hacia la Mujer, e incluso a la Agrupación Nacional de Empleados Públicos (ANEF), lo que piden, más que un acto de confianza, es un acto de fe.

Test de Proporcionalidad

Pero más allá de la confianza que podamos tener o no en nuestras instituciones, el proyecto no cumple con ninguno de los tres criterios del test de proporcionalidad que, conforme estándares internacionales, debiese cumplir cualquier medida susceptible de afectar derechos o garantías fundamentales: idoneidad, necesidad y proporcionalidad.

La medida no es idónea para alcanzar los objetivos propuestos, por cuanto existen otras formas de cometer delitos en el anonimato y la experiencia comparada ha demostrado que iniciativas similares no han logrado disminuir el tipo de delitos que se propone combatir. Tampoco resulta necesaria, según reconoció la misma PDI al señalar, en sesión legislativa del 15 de junio, que existen otros medios para lograr identificar a los delincuentes, pero que la medida en cuestión lo haría “mucho más fácil”. Y en ningún caso resulta proporcional, al implicar el sacrificio del derecho al anonimato de todos los chilenos, con la única finalidad de poder identificar —en el mejor de los casos—a un grupo de personas que representa el 0,05% de la población.

Así, el registro de usuarios de telefonía móvil que se discute en el Congreso tiene serios vicios de constitucionalidad y no cumple con ninguno de los tres criterios del test de proporcionalidad. Por si lo anterior no fuera suficiente, en el último tiempo se han registrado suficientes casos de vigilancia estatal como para comprender el peligro que significa una medida de este tipo en un país cuya infraestructura y normativa no entregan siquiera garantías mínimas para su uso restringido, seguro y adecuado.

En síntesis, existen razones de sobra para sostener que un registro como el propuesto no debiese existir y mucho menos incorporar tecnologías que, lejos de protegernos, entrega al Estado capacidades que menoscaban nuestros derechos.

Vivir internet siendo queer: Autoexpresión, comunidad y problemáticas

En un grupo de Facebook cerrado alguien escribe para consultar por dudas legales. Cuenta que quiere cambiarse el nombre registral y que le gustaría acceder a una mastectomía. Comenta que se siente cómode con pronombres femeninos y masculinos, pero plantea lo siguiente: “¿Algune lo ha hecho siendo no binarie? ¿Cómo ha solucionado el tema con su nombre?”. Les participantes del grupo dan consejos amables.

Este tipo de situaciones se replica en otras redes, es un intercambio que ocurre en algunos barrios de TikTok cuando alguien muestra un binder –prenda de ropa interior usada para comprimir el pecho–, y en los comentarios se leen recomendaciones de cómo usarlos y dónde conseguirlos. A pesar de que internet es un espacio en que la comunidad LGBTQIA+ puede apoyarse para construir confianzas (a veces complejas de emular en el mundo físico), la estructura de los servicios web, es limitada porque no considera una diversidad más allá de lo binario y reproducen problemas de la vida offline. Tanto al llenar formularios de inscripción en las que se consideran género masculino o femenino únicamente, o al intentar editar tu nombre visible, entre otras. 

Antes de reconocerme como una persona queer, sentía miedo de ser aceptada. Primero por mi familia, entre mis amigues, en mi trabajo y de igual modo en internet. ¿He sentido miedo de exponer que me identifico como parte de las disidencias sexuales y de género en redes sociales? Sí. ¿He temido por mi seguridad en la vía pública por expresar mi orientación de género o por manifestar mi sexualidad de forma libre? Sí. Con el paso del tiempo, aprendí a desenvolverme con más confianza, porque existo todo el año (no solo en junio) y estoy orgullosa de amar y ser amada. 

Una vez que se toma conciencia de la interseccionalidad de las problemáticas que aquejan a la comunidad LGBTQIA+, es posible entender que el mundo online no está exento de una mirada heterocispatriacal, donde en términos género prima lo masculino y lo femenino, pero también la heteronorma obviando otras identidades. Lo vemos en las grandes compañías de servicios de internet, que acaparan la mayor cantidad de tráfico, como Facebook, Google y terminan dominando las interfaces y algoritmos de los dispositivos que excluyen otras experiencias.

Entonces, ¿qué podemos exigir a las tecnologías para visibilizar, incluir y proteger las experiencias de la comunidad LGBTQIA+? ¿qué problemáticas, riesgos, amenazas, existen? y ¿qué posibilidades ofrece internet para nuestras vivencias? Estas son algunas reflexiones.

Búsqueda de espacios seguros

Según un estudio de discriminación y violencia hacia personas LGBTQIA+ (2020) de la Dirección de Estudios Sociales (DESUC) para la Subsecretaria de Prevención del Delito de Chile, un 89% de les encuestades dijo haber sufrido algún tipo de discriminación en su vida. Más de un 38% de les encuestades ha sido víctima de algún “delito cibernético, como hostigamiento por redes sociales”, y más de un 22% declaró que este tipo de vulneraciones habría ocurrido en el último año. 

En un intento por averiguar la visión de mis seguidores en Instagram, hice una encuesta a través de historias para conversar acerca de la forma en que las personas queer habitamos internet. Spoiler: la vida online no difiere mucho de la vida offline. 

A pesar de las posibilidades de conectarnos y construir espacios seguros, hay quienes se enfrentan a violencias en el entorno digital, como acoso digital, doxing, la proliferación de discursos transodiantes, descalificaciones por lesbodio o biodio, cuestionamientos y ataques a la visibilidad a diario. En este contexto, es pertinente citar el estudio de la Agrupación Lésbica Rompiendo el Silencio, tras la agresión que sufrió Carolina Torres en Chile en 2019. En el caso de Estados Unidos, esta temática se advierte en el Índice de seguridad en redes sociales de la Alianza de Gays y Lesbianas contra la difamación (GLAAD). Es por eso que es relevante exigir la urgencia de la moderación de contenidos en las plataformas digitales, para combatir ejércitos de trolls, evitar que proliferen discursos odiantes, que se siembre la desinformación, o la viralización de mitos en torno a las disidencias. 

Al momento de configurar las biografías de Twitter, Instagram, aplicaciones de citas o plataformas, incluir o no el emoji de la banderita LGBTQIA+, compartir fotos o usar ciertos hashtags puede involucrar lidiar con ansiedades debido a la exposición. En ocasiones, es una forma de autoexpresión, una reafirmación y, así mismo, una forma de encontrarse, pero también un riesgo que muches no quieren correr. Si bien la visibilidad puede ser una opción, pero no una obligación como pretenden las plataformas web. Es necesario entender el derecho al anonimato como una forma de tener control sobre esa visibilidad. 

Entre los testimonios que recopilé (en su mayoría identidades lésbicas, no binarias  y bisexuales), hubo una lesbiana que dijo que tras googlear “lesbiana”, la llevaron a una psicóloga para que se rehabilitara. Según su relato, encontrar espacios en internet antes de 2008 era complicado, pero logró dar con un foro en el conoció a sus primeras parejas. Otra persona, cuyos pronombres son ella/elle, aseguró que cuando era niña todas las actividades las realizaba en soledad. Escuchaba programas de radios gays a escondidas, antes que existieran los podcasts. “Ahora se pueden hacer redes de una forma muy sencilla y bonita. Es fácil encontrar a alguien que esté pasando por lo que tú, nunca estás sola”, escribió. Alguien bisexual comentó que se siente fuera del closet con amigues, en su entorno laboral, pero que no así con su familia. Aunque cree que en los últimos años gracias a infografías en Instagram, ahora hay más bi-visibilidad.

Otras problemáticas

Cuando hablamos de internet, las brechas de acceso y conectividad son una clara barrera. De acuerdo a cifras de la Alliance for Affordable Internet, a nivel mundial cerca de 4 mil millones de personas no cuentan con conexión. La dificultad para mantenerse conectade en algunas latitudes se suma a bloqueos de internet, a censura y respuestas desde violencias a multas por difusión de contenido LGBTQIA+ .

Así como hablamos de identidad y representación, también vale la pena mencionar otros obstáculos que tienden a la exclusión, relacionados al abordaje de políticas públicas. Así se documenta en “Sistemas de identificación y protección social en Venezuela y Bolivia: Impactos de género y otras formas de discriminación”. Este reporte de Derechos Digitales, plantea cómo los sistemas biométricos afectan de forma directa a mujeres y población LGBTQIA+, familias homoparentales y en mayor medida a personas transgénero. No solo en cuanto a derechos a la identidad, a la privacidad de datos, si no también afecta directamente el acceso a ítems de desarrollo social como el acceso a la alimentación, la salud, la integridad y la dignidad, entre otros. 

No es un secreto que en lo que respecta al uso de tecnologías de reconocimiento facial, las que se vuelven más cada vez más cotidianas, solemos tenerlas a mano, pero también se utilizan a nivel de gobiernos e incluso en aeropuertos. El principal problema es que se construyen en base a sesgos de diseño, que discriminan a la población no hegemónica y entran en conflicto aspectos como género y raza, según reportes de Coding Rights en Latinoamérica. 

En un mundo en que cada vez más la tecnología determina cómo se organiza la sociedad, los sesgos en los sistemas como tecnologías automatizadas, inteligencia artificial, o en base a algoritmos, moldean y disciplinan las identidades a partir de los cuerpos. Esto determina qué corporalidades están permitidas, y cuáles no, dejando fuera a personas trans, o no binarias. Así, la forma de subvertir las estructuras vigentes, es cambiarlo todo, o en palabras de Audre Lorde: “las herramientas del amo nunca desmantelarán la casa del amo”. Desde ahí, la concepción del diseño es la clave para abolir las desigualdades entre grupos excluidos, con el objetivo de co-crear herramientas y prácticas de transformación social, tal como explica Sasha Costanza-Chock en Design Justice.

Ante las diversas problemáticas vigentes, el escenario se vuelve complejo y desesperanzador. Pero a pesar de los obstáculos, decido creer en un futuro más auspicioso, que se construirá únicamente de la mano de una perspectiva feminista interseccional, que busque hackear los parámetros que limitan las posibilidades de ser de las personas. 

Para ello, es vital construir espacios seguros, en el mundo online y en el offline, que nos permitan aprender y encontrarnos. Identificando problemas, documentando violencias, visibilizando nuestras vivencias y liderando conversaciones, a fin de descolonizar el impacto de las estructuras que han sido gestadas desde la mirada del hombre blanco y heterocis. 

La protección social debe incluir a los datos personales

El pasado 22 de abril, se publicó en el Diario Oficial de Chile la Ley Nº 21.322, que crea un Sistema denominado “Red Integral de Protección Social”, el cual consiste en un modelo de gestión intersectorial, dependiente del Ministerio de Desarrollo Social y Familia, cuyo propósito es coordinar intersectorialmente la oferta programática relacionada a eventos adversos que podrían conducir a personas, grupos y/o familias a una situación de vulnerabilidad, entregar información clara, oportuna y personalizada para así simplificar su acceso.

Pero dentro de ese objetivo, la reforma entrega un poder muy peligroso: crea una habilitación legal muy amplia al Ministerio de Desarrollo Social y Familia para recolectar información en general, de fuentes públicas y privadas. Naturalmente, esto incluiría datos personales, posiblemente datos sensibles, sin requerir de la manifestación expresa de voluntad de sus titulares, sin expresar con precisión el tipo de datos ni su finalidad, y sin el resguardo de una nueva legislación de protección de datos robusta y rigurosa.

En medio de las consecuencias económicas y sociales que ha ocasionado la pandemia COVID-19, surge la necesidad de un Estado capaz de asignar eficientemente los recursos para la entrega de beneficios y ayudas directas a las familias. En este sentido, el objetivo del proyecto, tal como señala el mensaje de la iniciativa, es asegurar una orientación eficaz, una derivación oportuna hacia otros servicios especializados del Estado y un seguimiento de casos complejos, cuando sea necesario, con foco en las familias de clase media.

Sin embargo, pareciera ser que esta nueva normativa –en particular, el Título IV de la “Solicitud de Datos y su Uso y Tratamiento”– entrega al Ministerio de Desarrollo Social y Familia, facultades muy amplias y poco definidas para solicitar información a organismos privados y públicos y tratar los datos. Por ejemplo, puede requerir antecedentes contenidos en el Registro de Información Social (RIS), así como en la caracterización socioeconómica, sin mediar un consentimiento previo, expreso e informado, y sin mediar una habilitación legal de los titulares de dichos datos personales. En un momento en que el gobierno insiste en las ayudas focalizadas, esto significa concentrar mucha información sobre personas y familias, incluso sin que ellas se enteren.

Como si lo anterior no fuera grave, la publicación de esta ley es especialmente riesgosa, al menos, en los siguientes dos sentidos: primero, se realiza mientras se encuentra pendiente en el Senado la discusión de una nueva ley de datos personales. Existe la necesidad imperiosa que nuestro país fortalezca su nivel de protección y resguardo de la autonomía informativa de las personas, pues la actual Ley Nº 19.628 es insuficiente para hacer valer obligaciones de transparencia, seguridad, custodia y eliminación de datos personales. Por otra parte, no basta con reglas sustantivas: se requiere la creación de un organismo público especializado, una autoridad pública de control capaz de fiscalizar su cumplimiento. En consecuencia, no se explica la amplitud de las facultades otorgadas al ministerio, sin un marco normativo que resguarde una serie de aspectos que hoy se encuentran en una nebulosa, y que ordene la actuación de los servicios públicos en materia de intercambio de datos personales.

Mediante la administración del RIS, el Ministerio de Desarrollo Social consigna, almacena y procesa información de los atributos sociales, civiles y socioeconómicos de la población del país, susceptible de participar de la red de servicios y beneficios de la protección social. Con esto, el RIS contiene información de potenciales beneficiarios que quizás no han solicitado o no han declarado su intención de integrarlo, por ejemplo, pero que igualmente tendrían acceso a beneficios.  Así se plantean diversos conflictos que van más allá de la eficiencia del sistema. Por un lado, se diluyen los límites y los alcances que puedan tener el tratamiento de dichos datos personales, así como la proporcionalidad y legitimidad social del sistema. Sin ir más lejos, en el ámbito de las ayudas sociales, se vislumbran los mismos riesgos que los casos de Alerta Niñez en Chile y de Auxilio al Empleo en Brasil. Especialmente, con las problemáticas asociadas al uso de datos y algoritmos para perpetuar políticas publicas potencialmente discriminatorias o “focalizadas”.

Según el Ministerio de Desarrollo Social y Familia, Alerta Niñez es un instrumento preventivo que “identifica el conjunto de condiciones individuales, familiares, del entorno y de los pares de los niños y niñas y adolescentes, que tienden a presentarse cuando existe un riesgo de vulneración de derechos”. El sistema se basa en el procesamiento estadístico de grandes cantidades de datos provenientes de organismos públicos para calificar a la población menor de 18 años, ordenando a las personas según su probabilidad de sufrir vulneraciones. Nuevamente se trata de una iniciativa invasiva de recolección de datos sensibles, que conlleva el gran riesgo de profundizar situaciones de prejuicio e implican la transferencia de datos personales a terceros y la posibilidad de que esos datos sean usados para fines distintos a los que permitieron su recolección. Estos mismos peligros se profundizan mediante las facultades otorgadas al Ministerio de Desarrollo Social y Familia mediante la Ley Nº 21.322.

Cabe hacer presente que el Estado es el mayor recolector, almacenador y procesador de datos personales, no solo en términos de cantidad; también es el que maneja más datos de carácter sensible. Esto crea importantes desafíos de seguridad de la información. Aumenta así la posibilidad que por fallas de seguridad se vulneren los derechos de los titulares de los datos, o incluso que sean objetos de filtraciones o fugas. Son amenazas reales, ya que muchas veces el Estado ha sido muy negligente en el resguardo y manejo de esos datos.

En definitiva, una vez más estamos frente a un diseño de política pública que facilita la acción del Estado vigilante, comprometiendo el respeto de los derechos de las personas que se verán afectadas por la recolección y uso de su información personal, sin las suficientes garantías. Sí: necesitamos un Estado capaz de asignar bien las ayudas sociales, de manera rápida y oportuna. El problema que esta ley no incluye condiciones explícitas que restrinjan el acceso y la transferencia de datos a terceros, exponiendo a la población a nuevas formas de discriminación, en favor de un supuesto bien mayor.