A la mierda el algoritmo

Una de las principales razones esgrimidas para justificar la inclusión de tecnologías en procesos sociales complejos dice relación con la eficiencia y eficacia que tales soluciones podrían ofrecer. Ante realidades complejas, la promesa tecnológica se articula en torno a la oferta de soluciones simples. Sin que por ello se entienda cómo es que el dispositivo llegó a tal resolución: el ya conocido problema de las “cajas negras “algorítmicas y su opacidad ante el escrutinio público.

Así, por ejemplo, a la hora de evaluar los méritos de las y los postulantes a la educación superior, o al momento de determinar quiénes estarán primeros en la fila para recibir la vacuna contra la COVID-19, no pocos han sugerido que tales decisiones sean delegadas hacia dispositivos tecnológicos y, entre estos, la etiqueta más convencional es la de “algoritmo”.

Los algoritmos, que no son más que sets de instrucciones concatenadas entre sí para articular un resultado, son erigidos como mecanismos “científicos”, “objetivos” y “neutrales” capaces de determinar cuestiones tan relevantes como el límite entre quiénes son inmunizados, y quiénes no, en medio de la pandemia más grande de los últimos 100 años.

Entonces, ¿Cómo podemos comprender que el algoritmo implementado por el hospital universitario de Stanford (Estados Unidos) haya excluido de la inmunización a las y los médicos internos que se enfrentan día a día al COVID-19?, y más importante todavía: ¿Sobre quién recae la responsabilidad de tal decisión y sus consecuencias?

Tal como explican Eileen Guo y Karen Hao, “los algoritmos se usan comúnmente en la atención médica para clasificar a los pacientes por nivel de riesgo, en un esfuerzo por distribuir la atención y los recursos de manera más equitativa. Pero cuantas más variables se utilicen, más difícil será evaluar si los cálculos son defectuosos”. En el caso particular de Stanford, la exclusión de las internas e internos se debió al modo en que se ponderó la exposición a pacientes por COVID-19. En el esfuerzo por hacer un modelo que integrase más variables, se perdieron de vista cuestiones que, sin mediar más que el sentido común, podrían haber tenido una resolución distinta.

La respuesta de las y los trabajadores del hospital no se hizo esperar: “Fuck the algorithm!” fue una de las principales consignas.

Tal grito de protesta ya no es novedoso. Fue exactamente la misma proclama que sostuvieron las y los estudiantes ingleses ante el proceso de selección universitaria, que mediante la aplicación de un algoritmo de selección favoreció a las y los postulantes de las élites inglesas. Louise Amoore auguró con claridad que la protesta contra el algoritmo estará en el corazón de la protesta política del futuro.

Así, día a día “los algoritmos” comienzan a tener un rol significativo en el modo en que configuramos nuestras relaciones sociales y, en especial, sobre los criterios decisionales que articulan la implementación de políticas públicas. De todas formas, hemos de saber que tras cada resultado algorítmico existe una decisión humana. Y, las más de las veces, tal decisión humana es también una decisión política (esto es, con contenidos normativos tácitos o explícitos), que muchas veces es diluida por la pretensión científica del dispositivo tecnológico.

Es por ello que debemos tomar especiales precauciones a la hora de favorecer la implementación de soluciones tecnológicas ante problemas complejos. No solamente atendiendo a la capacidad de éstas para arrojar un resultado, sino considerando las implicancias que subyacen a tal aplicación: por ejemplo, la reproducción de sesgos raciales que llevó, entre otras cuestiones, a abandonar el algoritmo de admisión para las y los postulantes del doctorado en ciencias de la computación de la universidad de Austin, en Texas.

Tal como señala María Paz Canales, “necesidad, adecuación y proporcionalidad en la respuesta tecnológica es lo que separa una crisis de salud global de una renuncia de los derechos fundamentales”. Es posible extender tal juicio más allá de la crisis de salud global y situar la consideración por la necesidad, adecuación y proporcionalidad como principios rectores para la aplicación de tecnologías en el concierto de la resolución de problemáticas públicas.

Por cierto, este tipo de fenómenos no son ajenos a nuestra región. Durante el segundo semestre de 2020, Derechos Digitales junto a un equipo de investigadoras e investigadores latinoamericanos, realizó una investigación destinada a conocer las distintas formas en que se implementan este tipo de tecnologías en cuatro países de América Latina (Brasil, Chile, Colombia y Uruguay). Esperamos poder compartir los resultados de nuestra indagación durante el primer trimestre de 2021.

En el ínterin, y a modo de avance, resulta importante comprender la forma en que son promocionadas estas tecnologías versus cuáles son sus aplicaciones efectivas. Sobre todo, si de su aplicación dependerá el entrar a una bolsa de empleo o ser considerado como una persona cuyos derechos pueden ser vulnerados. Este tipo de aplicaciones tecnológicas en América Latina son crecientemente populares, es fundamental, entonces, mantener el horizonte en la evaluación crítica de su necesidad, adecuación y proporcionalidad.

Sobre la (in)violabilidad de las comunicaciones

El derecho a la inviolabilidad de las comunicaciones privadas es un derecho fundamental contemplado en las principales convenciones internacionales sobre derechos humanos. En Latinoamérica, la mayoría de sus países reconoce a nivel constitucional la inviolabilidad de las comunicaciones como un derecho fundamental y que, por tanto, solo puede ser suspendido en casos excepcionales y bajo las condiciones establecidas en una ley. O, al menos, así debería ser.

Los estudios, sin embargo, muestran que el uso de medidas investigativas intrusivas de la privacidad de las personas, entre ellas, la interceptación de las comunicaciones, es una práctica que está lejos de ser excepcional.

Interceptación de las comunicaciones

Dado su carácter de derecho fundamental, la regla general es que el derecho a la inviolabilidad de las comunicaciones solo pueda ser limitado en los casos y bajo las circunstancias establecidas expresamente por ley, lo que se da, generalmente, en el marco de investigaciones penales o por motivos de seguridad del Estado.

Adicionalmente, estas medidas intrusivas suelen ir acompañadas por algunos mecanismos de control para evitar su principal riesgo: que terminen siendo ocupadas como herramientas de vigilancia estatal, especialmente en contra de ciudadanos y disidentes del gobierno de turno. Esto no es conspiranoia, la protección de las comunicaciones privadas frente a la vigilancia estatal se remonta a varios años en el pasado, siendo uno de los primeros antecedentes el caso de Giuseppe Mazzini, activista por la unificación italiana que descubrió que agentes estatales leían sus cartas.

Mecanismos de control de la vigilancia estatal

El principal mecanismo de control es la autorización judicial previa, pero algunos países han ido un poco más allá. Por ejemplo, en el caso de Brasil, una vez realizada la diligencia de interceptación, el juez debe decidir si los resultados son relevantes para la investigación. Otro caso interesante es el de Chile, cuya legislación exige, además de la autorización judicial previa, que la medida de interceptación sea notificada al afectado con posterioridad a su realización (artículo 224 del CPP). Sin embargo, la evidencia indica que los mecanismos de control existentes no son suficientes.

En el caso chileno, el mecanismo judicial ha mostrado ser mucho menos estricto de lo que debiera. De acuerdo a números recientes, se realizan alrededor de 66 interceptaciones diarias, por lo que es difícil que jueces estén analizando el mérito de las solicitudes. Estas solo debieran ser autorizadas bajo sospechas fundadas, basadas en hechos determinados, y para persecución de delitos que merezcan pena de crimen). En cuanto a la notificación del artículo 224, tampoco se cumple.

Actualmente el único mecanismo fiable de control que existe para comprobar cómo funcionan las interceptaciones del CPP es la entrega voluntaria que las principales empresas de telecomunicaciones realizan de datos anonimizados, lo que ha permitido evidenciar los problemas del sistema.

Pero el proyecto de ley sobre delitos informáticos pondría en riesgo este último mecanismo, al aumentar la sanción que arriesgan las empresas en caso de incumplir el deber secreto respecto de los requerimientos de interceptación que reciben. Con las nuevas reglas, bajo la amenaza de una sanción penal – hoy, multa administrativa-, difícilmente las empresas querrán colaborar con instancias de control ciudadano, como la encuesta Quién Defiende Tus Datos.

Una explicación posible para la falta de cumplimiento de esta obligación legal es la falta de capacidades técnicas para realizar las notificaciones exigidas por la ley. De ser este el caso, la dificultad podría ser fácilmente solucionada con la ayuda de las mismas empresas de telecomunicaciones que reciben las órdenes de interceptación.

Estas empresas fácilmente podrían comunicar a sus usuarios el hecho de haber sido objeto de escuchas telefónicas, una vez terminado el plazo de la investigación. Pero actualmente están impedidas de hacerlo. Esto, porque mientras no se formalice la investigación en su contra, el usuario afectado por una escucha telefónica no tiene calidad de interviniente en el proceso penal y, por tanto, el deber de secreto que pesa sobre las empresas de telecomunicaciones alcanza al propio usuario afectado. Esto último, por aplicación del secreto relativo del proceso penal chileno: las investigaciones del Ministerio Público sólo pueden ser conocidas por los intervinientes del proceso (artículo 182 CPP), es decir, fiscal, imputado, defensor, víctima y querellante (artículo 12 CPP).

¿Significa esto que las personas afectadas por interceptaciones no tienen derecho a saberlo? En ningún caso. El artículo 224 establece el deber de notificar al “afectado”, no al “interviniente”. Pero la falta de mecanismos de control eficaces y el desconocimiento de los afectados por esta clase de medidas permite que las mismas sean abusadas, llegando a usarse incluso para la creación de pruebas. Lo anterior es particularmente grave, considerando que ni siquiera el Congreso ha logrado que el Ministerio Público informe sobre el cumplimiento de sus obligaciones legales.

La solución

Dado que el Ministerio Público no está cumpliendo con el deber de notificación del artículo 224, y que se niega a entregar información al respecto, en una sesión reciente de la Cámara de Diputados de Chile, donde se discute el proyecto de ley sobre delitos informáticos, se propuso un mecanismo de control que pareciera ser una solución eficaz y eficiente: que sean las telcos las que cumplan con el referido deber de notificación.

Sin embargo, tanto los representantes del Ministerio del Interior y Seguridad Pública como del Ministerio Público se opusieron a la medida, sin ofrecer una alternativa, aún cuando durante la misma sesión admitieron no estar cumpliendo con la obligación legal de notificar al afectado.

Ante la falta de soluciones alternativas, lo razonable sería que se volviera a discutir la que, hasta ahora, pareciera ser la única solución efectiva.

Ni conspiranoia ni exageración. No necesitamos viajar cientos de años en el tiempo, recordando a Mazzini para justificar nuestra preocupación. Basta pensar en Edward Snowden, cuyo caso – lejos de ser el único- permitió develar la extensión de la vigilancia estatal.

La invasión de los dispositivos usurpadores de cuerpos

Tu smartphone sabe cuántas horas duermes, en qué plataformas de redes sociales pierdes tu tiempo y qué sitios visitas. Hay refrigeradores que no solo saben qué contienen, sino que son capaces de hacer la lista de compra por ti. Si tomas clases o exámenes a distancia debido a la pandemia, puede que la plataforma que tu escuela o universidad ha decidido usar quiera saber cuántas veces mueves los ojos y si los tienes fijos en la pantalla durante toda la clase. La nueva pulsera de Amazon no solo registra tu ejercicio o tus horas de sueño, sino que también tiene opiniones sobre tu voz, tu cuerpo y tu estilo de vida.

Parece que hace ya largo rato que, como sociedad, decidimos dar por superada la falsa dicotomía entre privacidad: hemos decidido que, mientras más datos tengan los dispositivos, aplicaciones y plataformas sobre nosotros, más fácil nos será hacer las compras, sincronizar todas las cosas y tomar la menor cantidad de decisiones posible.

Esta característica —que se denomina “function creep” y describe el hecho de que un determinado sistema sea usado para una finalidad distinta a aquella para la cual fue diseñado originalmente— es típica de las tecnologías modernas, que al “poder” llevar a cabo ciertas funciones o recoger ciertos datos (como la ubicación de una persona, su velocidad de movimiento o incluso, en el caso del Halo, su temperatura) terminan buscando posteriormente qué nuevas funciones pueden ofrecerse con los datos recabados, y no a la inversa.

Lo más importante es que estos datos son recolectados por empresas como Amazon con el objetivo primario de “ajustar sus recomendaciones”, es decir, de venderte más cosas, puesto que su negocio se basa en la pretención de querer conocer al usuario incluso más de lo que el usuario se conoce a sí mismo.

¿No reviste gravedad acaso el hecho de que, como usuarios, no tengamos la agencia necesaria para ejercer resistencia al enfrentarnos con la implementación de tecnologías como el reconocimiento facial y el rastreo de la mirada en el sector educativo? ¿No es grave que hayamos normalizado el hecho de que una aplicación “de salud” o “de menstruación” posea información íntima sobre nuestros cuerpos y pueda venderla con fines publicitarios? La pandemia, como toda crisis, ha sido el caldo de cultivo ideal para facilitar que la sociedad acepte más rápidamente medidas de vigilancia que se le ofrecen como tablas de salvación, como las coronapps, propiciando que se instalen soluciones que hacen retroceder la línea limítrofe de la privacidad de un modo que luego será sumamente difícil restaurar.

Se hace no solo necesario, sino urgente, replantearnos el orden de prioridades que, como sociedad, hemos asignado a nuestra privacidad y a los datos que existen sobre nuestro cuerpo y nuestra actividad en línea. En la era de lo público, en la que más que nunca parecemos estar viviendo conectados a una cámara, no es cierto que la privacidad sea una cosa del pasado a la que debemos renunciar: muy por el contrario, es cada vez más indispensable que rescatemos lo privado, el espacio donde nuestra humanidad, y por ende nuestra democracia y nuestra cultura cívica, pueden florecer de manera más libre.

La opacidad afecta la confianza en las agendas digitales

En enero de 2020, el gobierno salvadoreño presentó su Agenda Digital de País 2020-2030, en un contexto de enfrentamiento entre el presidente Nayib Bukele y la Asamblea Legislativa, a raíz de la solicitud del Ejecutivo de la aprobación de un préstamo por $109 millones para financiar la segunda etapa del denominado “Plan Control Territorial”.

La Agenda Digital de País 2020-2030 propone utilizar las tecnologías para implementar lo que denomina una “nueva gobernanza”. Esta agenda contiene 4 ejes programáticos, que básicamente se resumen en: 1. Identidad Digital; 2. Innovación, Educación y Competitividad; 3. Modernización del Estado; y 4. Gobernanza Digital.

Desde su lanzamiento, algunas dudas surgieron sobre la viabilidad de este ambicioso plan. En particular, aquellas referidas a los contrapesos y regulaciones necesarias para minimizar las afectaciones a los derechos y libertades que el uso de las tecnologías puede representar en una sociedad como la salvadoreña, en la que la conciencia de los derechos digitales y su ejercicio aún dista de ser ideal; en un país que aún no cuenta con una ley especializada en protección de datos personales y que tampoco cuenta con una política pública de ciberseguridad, entre otros riesgos.

En ese sentido, no era descabellado dudar sobre la protección y regulación en el uso de los datos que serán colectados para alimentar las soluciones tecnológicas que propondrá el gobierno, sobre quién tendrá acceso a ellos, qué destino tendrán esos datos, qué medidas de ciberseguridad se usarán para proteger los sistemas informáticos y la tecnología a implementar, cómo se evitará que las tecnologías implementadas y los datos colectados sean usados para la vigilancia indiscriminada, para la violación de los derechos o para favorecer intereses privados.

No obstante, era natural esperar que estas incertidumbres encontraran solución a medida que la actuación gubernamental pudiera ser evaluada. De ahí que el actual contexto de la pandemia de COVID-19 y la respuesta del Ejecutivo a la misma, haya servido para hacer una breve reflexión sobre estos temores.

Los temores se incrementan

En el marco de las acciones para enfrentar la pandemia de la COVID-19, el Ejecutivo salvadoreño tuvo a su disposición más de 3 mil millones de dólares, según informó el ex presidente del Banco Central de Reserva a la Comisión Especial de la Asamblea Legislativa, que investiga los gastos realizados por el gobierno de Bukele en este contexto.

Durante este mismo periodo, numerosos artículos periodísticos han revelado indicios de corrupción en los gastos realizados por el gobierno, como compras a empresas de familiares de funcionarios gubernamentales, compras a sobreprecios, compras de insumos médicos a empresas sin relación con el rubro, etc.

Ante estas revelaciones, lejos de corregir la opacidad en la rendición de cuentas, el gobierno de Bukele ha optado por obstaculizar el acceso a la información, al hacer un uso abusivo de las declaraciones de reserva contempladas en la Ley de Acceso a la Información Pública (Art. 19), sin cumplir con una adecuada fundamentación (Art. 21) para tal declaratoria.

Así, por ejemplo, el Ministerio de Agricultura y Ganadería puso en reserva la información relativa a la confección de paquetes alimenticios para ser entregados a personas en situación de vulnerabilidad, afectadas por la COVID-19, que esa cartera de Estado lideró. También, el Ministerio de Salud, uno de los que más señalamientos de compras anómalas ha recibido, declaró reservada la información contenida en memorándums y correspondencia producidos por el Laboratorio Nacional que realiza las pruebas COVID-19, así como los documentos relativos a la transición que el Centro Internacional de Ferias y Convenciones experimentó, para convertirse en el Hospital El Salvador. En ambos casos, las declaraciones de reserva fueron realizadas bajo una interpretación antojadiza de los preceptos legales que facultan esta declaratoria.

Aunque esta artimaña no es nueva, pues ya había sido utilizada para evitar rendir cuentas sobre gastos antes de la pandemia, su implementación recurrente en estas últimas semanas parece ser una pieza más de una estrategia del Ejecutivo de escapar, tanto del control de las instancias que constitucionalmente deben auditarlo, como del escrutinio de la sociedad. A esto se suma el interés del Ejecutivo por minar la independencia del Instituto de Acceso a la Información Pública –ente encargado de garantizar el acceso a la información pública y la protección de los datos personales– mediante el nombramiento de funcionarios afines a sus intereses políticos. Ese mismo interés se expresa en la flagrante desobediencia de los titulares de los ministerios señalados por indicios de corrupción a atender las demandas de explicación exigidas por la Asamblea Legislativa, y la negativa de la Policía Nacional Civil a cumplir su obligación constitucional cuando se ha requerido el apremio de los funcionarios que han ignorado estas solicitudes de la Asamblea.

Este esmero en optar por la opacidad en la gestión del erario público, así como el proceso de desmantelamiento de la institucionalidad del Estado, reafirmado el 9 de febrero del presente año con la invasión de la Fuerza Armada al recinto Legislativo, y recrudecido con la desobediencia a las resoluciones del Órgano Judicial (incluyendo las de la Sala de lo Constitucional de la Corte Suprema de Justicia), son suficientes señales para incrementar los temores iniciales sobre la implementación de una Agenda Digital por parte del actual gobierno.

Y es que, con estos antecedentes, no puede confiarse la protección de los datos personales, de la privacidad, la libertad de expresión y la seguridad, a gobiernos capaces de ocultar sistemáticamente la información pública, de huir de la rendición de cuentas y de instrumentalizar a las fuerzas de seguridad del Estado con fines políticos. No podemos obviar el temor a que gobiernos opacos, que blanden el uso de las tecnologías como estandarte de modernidad, sientan el deseo de utilizarlas para la persecución política, la censura y el control de nuestros datos

En tal sentido, un estado de vigilancia permanente por parte de la sociedad civil nacional e internacional se vuelve necesario para prevenir el uso malicioso de las tecnologías desde el Estado, y para combatir agendas que busquen aumentar el control gubernamental sobre el despliegue de esas tecnologías. Considerando la muy probable victoria del oficialismo en las próximas elecciones de diputados, una nueva configuración del poder político podría darle un poder peligrosamente enorme a Bukele, lo cual vuelve urgente la contraloría social en el país. Esta actitud vigilante, claro está, aplica frente a cualquier mandatario o poder estatal, presente o futuro.

La vigilancia por reconocimiento facial se extiende en la región

El fuerte impacto social y económico que la pandemia de COVID-19 ha tenido y seguirá teniendo en los países de América Latina se ha sentido también en la concepción que tenemos sobre el uso de tecnologías, en particular aquellas que permiten a las personas comunicarse a distancia. No obstante, la inclinación por soluciones tecnológicas y vigilantes a la emergencia sanitaria, no ha frenado la implementación de uno de los fetiches de la seguridad pública: el reconocimiento facial automatizado en el espacio público.

Aparece así una aparente paradoja, en tanto las medidas sanitarias a menudo exigen o recomiendan el confinamiento y, en caso de estar en la calle, el uso de mascarillas que limitan el reconocimiento. Sin embargo, al mismo tiempo se ha apostado por tecnologías de vigilancia biométrica como el reconocimiento facial, que además de ser presentada como extremedamante útil para cuestiones relativas a la seguridad pública, sería también necesaria para controlar la posibilidad de contagios en las ciudades, para fiscalizar el transito entre países (como si no se les identificara en los controles policiales), además de ser lo suficientemente avanzada como para aprender a reconocer a personas con barbijo. Y dado que las necesidades de seguridad se mantienen o aumentan (según sectores políticos, al menos), cabría seguir instalando tecnología de punta para observar a la población. A aquello que ya hemos sabido, se han sumado múltiples iniciativas para implementar la sospecha sobre la totalidad de las personas en el espacio público.

Más ojos sobre las ciudades

En Argentina, la Ciudad de Buenos Aires está usando un sistema de reconocimiento facial automatizado, el Sistema de Reconocimiento Facial de Prófugos (SFRP). Ese sistema, implementado en abril de 2019 y que la Asociación por los Derechos Civiles combate en tribunales por su inconstitucionalidad, llegó hasta las calles a pesar de su aparente falta de respaldo normativo. Esta imposición del gobierno de la Ciudad, en lugar de retroceder frente al rechazo de los grupos defensores de derechos humanos, fue fortalecida mediante un proyecto de ley para regular su funcionamiento como parte de los sistemas ya existentes de vigilancia. El rechazo de la sociedad civil no se hizo esperar.

El mismo mes de octubre en que se discutía el proyecto, Human Rights Watch acusó al gobierno federal de exponer información de niños, niñas y adolescentes, y al gobierno de la Ciudad de Buenos Aires de usar esa información en su propio SFRP, pese a la mala calidad de la información. A pesar de la escandalosa situación, la aprobación por la Legislatura de la Ciudad de la regulación legal del sistema, sirvió para validar su funcionamiento más que para restringirlo. Como acusaba la sociedad civil, se trató de una legitimación de un sistema ya implementado al margen de la legalidad, creando un estado de permanente sospecha sobre la ciudadanía en una de las ciudades más grandes de la región. En el resto del país también observan con interés la tecnología, omitiendo los peligros que involucra.

En México, varias localidades hacen sus propios esfuerzos por erigirse como defensores de la seguridad pública mediante la intrusión extrema en el espacio público. En Ecatepec, en el estado de México, el Proyecto Jaguar promete a la vez vigilancia de alta resolución y conectividad pública. No muy distinta es otra iniciativa en la Ciudad de México, enmarcada en contexto de pandemia (pero con antecedentes muy anteriores). En tanto, en el estado de Coahuila, se anunciaba que la reglamentación para un avanzado sistema de reconocimiento facial estaría lista, a pesar de que la tecnología misma ya estaba disponible. Es más, según relata Quinto Elemento, el sistema fue adquirido por compra directa a mediados de 2019, con la esperanza de desplegarlo a pesar de no contar ni con los datos necesarios para su eficacia, ni con la autorización legal suficiente. Una vez más, la tecnología aparece como un hecho consumado, aun cuando no puede operar, y su regulación como una formalidad secundaria.

En Uruguay, uno de los países más seguros en la región, igualmente avanza con fuerza el uso de reconocimiento facial con fines de seguridad en el espacio público. Ya en febrero de 2020, la misma empresa que mantiene cámaras en la entrada de recintos deportivos se adjudicó la licitación del Ministerio del Interior uruguayo para instalar cámaras con capacidad para el reconocimiento facial, 8 400 en todo el país. La autorización legal faltante, introducida después de esa compra mediante artículos en la Ley de Presupuesto Nacional, ha seguido avanzando recientemente en el Congreso, pese a la fuerte oposición de la sociedad civil.

Con el apoyo de decenas de organizaciones, el mensaje de rechazo a esta forma de vigilancia llegó a los legisladores. A pesar de que el mensaje ha sido también oído por miembros del Congreso, han avanzado medidas para el traspaso de bases de datos personales, facilitando así el funcionamiento técnico del sistema. Y ante la interpelación por los aspectos negativos del sistema, el gobierno ha respondido que las preocupaciones deberían haberse formulado antes del gasto de un millón de dólares en el software. Es decir, la tecnología termina siendo más importante que los derechos de las personas, y su adquisición un hecho entendido como consumado e irreversible. Una respuesta indefendible ante la exposición de un riesgo inaceptable.

El momento histórico

Sabemos que hay más iniciativas, como también que grandilocuentes anuncios a veces parecen no ser tan reales. La oferta de tecnología de reconocimiento facial en el espacio público, tanto con supuestos fines de seguridad como para combatir la pandemia, mediante la identificación de rostros con cubrebocas y todo. No se trata de un camino inevitable; sin embargo, una y otra vez hemos visto a gobiernos locales y nacionales priorizar la adquisición de una tecnología riesgosa y falible, y luego preocuparse de su regulación. Los gobiernos no han entendido que no es necesario prescindir de la privacidad y la libertad en nombre de la seguridad, y que las garantías fundamentales exigen una regulación estricta que no cree esa clase de riesgos.

Mientras así sea, debemos seguir exigiendo el rechazo y la prohibición del reconocimiento facial.

La negociación internacional de nuestros datos personales

Desde enero de 2019 se está negociando en la Organización Mundial de Comercio (OMC) la Declaración Conjunta sobre el Comercio Electrónico, con la que 82 de los 164 países miembros de la OMC se han propuesto definir un conjunto de normas globales con el objeto de hacerlo más sencillo tanto para los consumidores como para las empresas.

Entre las materias que la iniciativa propone regular, una de las más relevantes es la transferencia internacional de datos personales, pues el tratamiento de datos es un requisito de existencia para el comercio electrónico: el solo hecho de seleccionar y comprar un producto constituye una comunicación de nuestros datos personales, en tanto “información referida a una persona identificada o inidentificable”.

Se trata de una encrucijada única, que plantea tanto la posibilidad de otorgar protección internacional a la privacidad de las personas y a la protección de sus datos personales (o a la autodeterminación informativa, como prefiero llamarle), como la de minar sus derechos.

Tres posiciones en disputa

Como en toda negociación, hay distintas cartas sobre la mesa, pero es posible identificar tres posiciones principales: la de Estados Unidos, la de Europa y la de China. Así —en un acto de reduccionismo y perdonando las imprecisiones que de ello puedan surgir— podríamos decir que para Estados Unidos la protección de los datos personales es posible solo en la medida en que no afecte el comercio. Para Europa el desarrollo del comercio es sumamente importante, pero no hay interés económico que esté por sobre los derechos de las personas. Para China, la protección de los datos personales es fuente de preocupación por motivos estratégicos y no de derechos humanos: China entienden los riesgos asociados a que terceros almacenen información sobre sus ciudadanos.

Considerando las posturas de China y la Unión Europea (UE), lograr un acuerdo parece difícil y el riesgo del fracaso de las tratativas es alto. Más todavía si tenemos en cuenta que tanto la normativa europea de protección de datos personales como el proyecto de ley chino tienen pretensiones extraterritoriales. En el caso de la UE, además, se ponen trabas para la transferencia de datos a países que no ofrezcan un nivel de protección equivalente al de su normativa. En esta materia la UE pareciera ser intransigente y no se ve cómo podrían sumarse a un proyecto que no contemple normas fuertes sobre protección de datos personales, ya sea desde el punto de vista de la protección del derecho a la autodeterminación informativa de los ciudadanos o de la soberanía de los datos. Un proyecto carente de dichas protecciones no solo contradice la normativa actualmente vigente en Europa, sino que además implica posicionar al comercio por sobre el individuo, posición incómoda y que podría socavar la confianza y, paradójicamente, desincentivar el comercio electrónico.

El llamado internacional de organizaciones de la sociedad civil

En este contexto ha surgido un llamado por parte de distintos grupos de consumidores y de derechos digitales, que están pidiendo que los países participantes de la Declaración Conjunta sobre el Comercio Electrónico velen por los derechos de sus ciudadanos, específicamente por la protección de su privacidad y de sus datos personales.

En concreto, lo que se busca es que —en caso de avanzar en la posibilidad de regular—se sigan los lineamientos europeos, desechando las posturas que proponen reproducir cláusulas de acuerdos de libre comercio, donde domina por la postura estadounidense —como las del Acuerdo México-Estados Unidos-Canadá (TMEX) y la Asociación Transpacífica Integral y Progresiva (TPP11)— que prioriza el libre flujo transfronterizo de datos personales por sobre el derecho de las personas a decidir y conocer sobre el tratamiento de sus datos personales.

Si lo anterior no es posible, se insta a los países negociantes a excluir toda norma referida al tratamiento de datos personales y a la protección del derecho a la privacidad de cualquier acuerdo sobre comercio electrónico. Así, los países miembros de la OMC quedarían en libertad de adherirse al único acuerdo internacional existente en esta materia, el Convenio 108+5. Este acuerdo, nacido al alero del Consejo de Europa y abierto a suscripción para terceros países, pone su enfoque en el individuo y en el respeto de sus derechos y libertades

En Derechos Digitales nos hacemos parte de este llamado, instando a Chile a participar de la discusión en la OMC, velando por la protección de los derechos y libertades de sus ciudadanos.

Derecho de autor y acceso abierto al filo de la pandemia

Una de las principales circunstancias que la pandemia por COVID-19 ha puesto de manifiesto es la tensión entre el acceso abierto al conocimiento y las estructuras persistentes de la propiedad intelectual. La necesidad del acceso a formas de cultura y entretenimiento ha probado ser uno de los puntos de mayor tensión en el contexto de las restricciones al movimiento y a la reunión, que han encontrado respuesta en la inventiva de instituciones públicas y privadas como bibliotecas, museos, teatros y un sinfín de otros entes culturales, que han creado mecanismos para la difusión (en muchos casos gratuita, en otros paga, pero siempre requiriendo la existencia de un acceso confiable a internet) de bienes culturales.

Más que nunca, la pandemia ha demostrado que el acceso a la cultura no es un lujo, sino un derecho humano básico: un proceso restaurador, una protección contra el estrés, una forma de resistencia y en resumen, un acto de creación y comunicación fundamental para preservar aquello que nos hace humanos.

En el mismo sentido, el acceso abierto a la investigación y los datos científicos ha sido central en la lucha contra la pandemia. En abril, una coalición internacional conformada por científicos, abogados y empresas echó a andar el proyecto denominado “Compromiso COVID Abierto” (Open Covid Pledge), instando a los autores de investigaciones científicas a permitir el acceso a la información bajo propiedad intelectual de manera abierta y gratuita con la finalidad de ayudar a acabar con la pandemia, mientras que la Comisión Europea estableció el Portal de Datos sobre COVID-19, con la misión de “acelerar las investigaciones mediante el acceso compartido a los datos”.

La propia Organización Mundial de la Propiedad Intelectual (OMPI) ha señalado que cuando los países no tienen la capacidad de recurrir a la innovación en condiciones adecuadas y accesibles, la propiedad intelectual se constituye en una barrera al acceso. Si bien es cierto que -en palabras de la OMPI- “existen disposiciones a escala nacional e internacional para facilitar el acceso cuando la PI representa un obstáculo”, la pandemia, como toda situación extrema, ha acentuado las desigualdades preexistentes hasta generar una crisis. Como expresó la Federación Internacional de Coaliciones por la Diversidad Cultural, la pandemia ha agravado desigualdades locales como la brecha digital, que se expresa no solo en el acceso asequible y confiable a internet, sino en el acceso a dispositivos tecnológicos que permitan contar con los recursos que se ofrecen: un ejemplo claro es el de la educación a distancia, donde factores como exigir video a alumnos que solo cuenten con dispositivos móviles de gama baja, probablemente obsoletos, pueden constituirse en un obstáculo injusto e insalvable para el acceso a un derecho básico.

La OCDE ha señalado como un obstáculo en el contexto del virus que “Los compromisos positivos actuales de los editores expirarán en tres meses y la sostenibilidad a largo plazo es incierta”. Esta aseveración, cierta por demás, debería resonar en nuestras cabezas cuando pensamos en el acceso a la investigación en otros ámbitos, en el acceso a la cultura, al arte, a la literatura, y en el acceso al conocimiento en general.

En América Latina, las “flexibilidades” al derecho de autor que están ahora bajo consideración únicamente a causa de la pandemia, deberían haberse convertido en norma desde hace mucho tiempo, por cuanto son indispensables para ayudar a los países de nuestra región a salvar la brecha de acceso que constituye una crisis mucho más larga y continua, que mantiene a sectores enteros de la población sometidos a condiciones de pobreza y desigualdad que violentan sus derechos humanos fundamentales.

El interés superior (¿en los datos?) de los niños y niñas

El uso de algoritmos de reconocimiento facial puede tomar distintas formas técnicas. En términos muy generales, podemos distinguir el uso de esta tecnología para la verificación de un individuo y para la la identificación de la identidad de un individuo. Así, la verificación facial y la identificación mediante el reconocimiento facial son técnicas diferentes, que a su vez tienen formas distintas de ser utilizadas en la práctica.

En la primera, el usuario se somete voluntariamente a la comprobación de su identidad mediante la identificación de sus rasgos biométricos, para acceder u obtener algo a cambio, como el acceso a un servicio o el desbloqueo de su teléfono. La identificación mediante reconocimiento facial no siempre es voluntaria e implica el uso de inteligencia artificial y cámaras alimentadas de grandes bases de datos que rastrean los rasgos biométricos de las personas, como ocurre en las cámaras con reconocimiento facial en el espacio público. En todos estos casos se está tratando datos sensibles: aquella información personal referida a características físicas de las personas.

En El Salvador, el Ministerio de Educación ha propuesto que más de 75,000 estudiantes, de escuelas públicas y privadas, realicen a través de una plataforma digital la prueba AVANZO para evaluar su aprendizaje. Años atrás, la prueba –conocida como PAES- era presencial y sin el auxilio de tecnologías. Este año se usará verificación facial con la finalidad declarada de evitar fraudes. El gobierno anunció que comprará almacenamiento en la nube, sin especificar si se usará para la realizar la prueba o para resguardar los datos biométricos; cada estudiante podrá acceder a una cuenta de Google for Education para ser evaluados a través de la plataforma ‘AVANZO’ – software desarrollado por la Secretaria de Innovación-.

A través del Plan Cuscatlán: Innovación y Tecnología, el Presidente Nayib Bukele prometió en 2018 transformar tecnológicamente al país y entregar servicios públicos más eficaces. Las instituciones y mecanismos de control en El Salvador son muy débiles y no existen los marcos regulatorios que garanticen el ejercicio y protección de los derechos de los ciudadanos frente a la adopción de las tecnologías. La ausencia de regulación, supervisión y seguridad significa, en otras palabras, la ausencia de los controles y balances que ayudarán a proteger los derechos y las libertades civiles y, en general, hacer valer el Estado de Derecho.

Esa promesa ambiciosa choca de frente con recientes casos de exposición de datos confidenciales de miles de contribuyentes, estudiantes y ciudadanos, evidenciando aún más la falta de regulación, estándares y protocolos básicos de protección de datos personales y seguridad de la información en el sector público, y aumentando el riesgo para cualquier persona que deba entregar su información personal. Preocupa aún más que gobiernos desarrollen y adopten tecnologías sin transparencia y regulación adecuada, como el caso de la prueba AVANZO. ¿Qué resguardos se han tomado en su formulación? ¿Cómo puede hoy la ciudadanía auditar o evaluar la creación y la adopción de esos sistemas?

De acuerdo con el Secretario General de la ONU, desde hace 30 años a través de la ratificación de la Convención de las Naciones Unidas sobre los Derechos del Niño, casi 200 países han reconocido que “los niños tienen los mismos derechos humanos que los adultos”. Las tecnologías pueden impactar de diversas maneras sus vidas y sus derechos, sea positiva o negativamente. La Ley de Protección Integral de la Niñez y Adolescencia (LEPINA) de El Salvador, basada en la Convención de los Derechos de los Niños, reconoce el derecho al honor, imagen, vida privada e intimidad, protección de datos y el interés superior de los niños y niñas. Y, en su articulado, prohíbe el uso de la imagen o en contra de la voluntad del niño o niña, o sin el consentimiento de sus padres. Imponer la verificación facial es grave, pues implica que miles de niños y niñas deberán entregar sus datos biométricos como la única alternativa para rendir la prueba.

En un contexto global de pandemia, que ha atacado fuertemente a países como El Salvador, parece ser que se acelera la marcha hacia “soluciones” tecnológicas que, entre otras cosas, asistan a los procesos educativos de los países. Pero frente a este apuro por digitalizar procesos, no hay una prisa similar por resguardar la información de las personas sujetas a esos procesos. Ni siquiera por el hecho de tratarse de personas menores de edad. A la fecha se desconoce el destino final y como serán almacenados esos datos. ¿Qué promovemos con este tipo de medidas? ¿El interés superior de los niños y niñas, o la colecta y uso de sus datos?

2020 o una oportunidad para repensar nuestras prácticas digitales

Este año ha sido particularmente significativo en la ocurrencia de acontecimientos disruptivos de nuestras prácticas cotidianas. La pandemia nos obligó a confinarnos e intentar reproducir mediante pantallas aquellas cuestiones que anteriormente resolvíamos cara a cara. En esta línea, Martín Caparrós ha puntualizado de forma correcta cómo se distingue nuestra forma de relacionarnos al estar desapegados de la profundidad del propio cuerpo.

Mientras el alcance de la pandemia fue global, en Chile a ello sumábamos el despliegue de un proceso de cambio institucional sin precedentes. Así, el domingo 25 de octubre más de siete millones de chilenas y chilenos sufragaron en favor de la discusión de una nueva Constitución, mediante una Convención Constituyente paritaria y elegida por la ciudadanía.

En principio, ambos eventos parecen no mantener un vínculo explícito. Sin embargo, pueden ser interpretados desde un concepto que le resulta particularmente valioso a la sociología. Tanto la pandemia como el proceso de discusión constitucional son instancias en las cuales se produce abiertamente un proceso de reflexivización de los vínculos e interacciones sociales. Esto es, inquirimos explícitamente porqué hacemos lo que hacemos. Por ejemplo, nos preguntamos sobre la pertinencia de las reuniones presenciales en contexto de pandemia y evaluamos la eficacia de los medios disponibles en vistas de alcanzar el fin pretendido; resolución que, como sabemos, ha significado un aumento explosivo de las videollamadas a través de plataformas digitales, como sucedáneo de los encuentros presenciales.

Son estas instancias de reflexivización las que ofrecen una oportunidad para racionalizar el mundo y (eventualmente) proveerlo de sentido ante el pavoroso desconcierto de la circunstancia.

Algo semejante ocurre con el proceso de discusión Constitucional en el caso chileno. Nos hallamos frente a la oportunidad histórica de inquirir y resolver sobre el modo en que configuramos las relaciones entre el estado y la ciudadanía. Mientras, se abre la discusión respecto de la determinación del ordenamiento institucional y sus contrapesos, así como la pregunta por qué bienes y derechos debería garantizar el nuevo acuerdo social que supone el proceso de sanción constitucional.

Todas estas cuestiones son fundamentales a la hora de abordar la relación entre derechos fundamentales y tecnologías: ¿Cuál será el estatuto de protección a los datos personales en el nuevo orden institucional y qué principios que orientarán su resguardo?, ¿Qué tipo de orientaciones es necesario establecer en vistas de la provisión de infraestructura de comunicaciones para favorecer la accesibilidad a internet?

Vistos en perspectiva, tanto la pandemia como la discusión constitucional nos ofrecen una alternativa común en aras de abordar críticamente nuestras interacciones mediadas por dispositivos digitales. Para ello, resulta fundamental partir por el reconocimiento de que no existe algo así como un salto discreto entre el denominado «mundo real u offline» y el «mundo virtual u online«. La contingencia que nos ha impuesto 2020, en el afán por buscar recrear un mundo en otro, para mantener alguna sensación de normalidad y productividad, nos han señalado que atestiguamos la consagración de un proceso de extendida y profunda mediatización de las relaciones sociales, que supone un contínuo entre las interacciones presenciales y las que se desarrollan a través de dispositivos y plataformas.

La ingenua idea de una diferencia radical entre lo «virtual» y lo «real» omite una de las consideraciones más ilustrativas del comportamiento social, aquella expuesta en el teorema de Thomas: «Si las personas definen las situaciones como reales, éstas son reales en sus consecuencias». Así, las consecuencias sociales (y políticas) de un hecho no se encuentran necesariamente determinadas por el espacio en que ocurren, sino por las condiciones que favorezcan su plausibilidad para las y los agentes involucrados. Lamentablemente, esta comprensión supone también resultados homólogos a fenómenos como el de la desinformación. Esto supone un desafío significativo al modo en que pensemos nuestro orden normativo.

De esta forma, tanto la pandemia como la discusión por el orden institucional en cualquier país de la región pueden ser vistos como puntos de inflexión, funcionales a la articulación de indagaciones críticas sobre nuestras prácticas digitales, sus efectos y el debido resguardo de nuestros derechos fundamentales involucrados. En Derechos Digitales hemos reflexionado al respecto, desde orientaciones para la realización de videollamadas hasta el análisis crítico de las tecnologías como respuesta a la pandemia. Nos resta, por cierto, proyectar este trabajo en el contexto de la discusión constitucional.

Una forma de abordar esta tarea es comenzar por plantear una conversación que indague más allá de los derechos que han de ser protegidos por la Carta Fundamental. Es también requerido articular tales orientaciones normativas con una mirada crítica de las infraestructuras existentes, el nivel de desarrollo y las capacidades de nuestras instituciones y, en especial, la necesidad de replantear el rol de la ciudadanía como un agente determinante en los procesos de diseño y evaluación de planes y políticas públicas. Todo ello en vistas de favorecer relaciones e interacciones sociales tecnológicamente mediadas que permitan disputar, y no meramente reproducir, las desigualdades sociales de base que los extraordinarios acontecimientos de este año nos han permitido evidenciar.

Arrestos más, arrestos menos

La puesta en prisión preventiva de un ingeniero dedicado a la seguridad informática es el suceso más reciente desde que fuera conocido el hackeo sufrido por servicios estatales en Chile. La atención mediática y la intensidad de la medida cautelar aparecen como respuesta a un acto de vastas proporciones: la vulneración de los servidores de la página web de Gobierno Digital, de responsabilidad del Ministerio de la Secretaría General de la Presidencia, que habría significado el acceso a una enorme cantidad de información personal de chilenas y chilenos.

En particular, se trataría de un acceso no autorizado a datos de sistemas que procesan datos personales, incluyendo datos del servicio ClaveÚnica (para trámites personales en línea) y de la Comisaría Virtual de la policía (para trámites relacionados a permisos, de especial importancia durante la pandemia). No obstante, aunque el acceso se habría producido el 8 de octubre de 2020, no fue sino hasta la semana posterior que el hecho fue conocido públicamente, sin información clara sobre la magnitud del incidente ni sobre la información que habría sido filtrada, y apenas conociéndose que no habría contraseñas de ClaveÚnica comprometidas.

Como episodio solitario, el hackeo del Gobierno Digital de Chile parece suficientemente grave. No obstante, es apenas un capítulo más en una lista sobre incidentes de seguridad que sigue extendiéndose, y que solo en el último año han afectado ya a un importante banco de propiedad estatal y a la misma policía uniformada, y que ha demostrado falencias de diseño y de seguridad en los servicio del Gobierno Digital. ¿Está haciendo algo el gobierno chileno por mejorar la seguridad de la información?

La política en deuda con la seguridad

Como ha repetido una serie de expertas y de interesados frente al descalabro de seguridad del Gobierno Digital del Estado chileno, hay una serie de iniciativas legislativas supuestamente destinadas a prevenir y enfrentar esta clase de incidentes. Ninguna está cerca de convertirse en ley. A la vez, deudas institucionales del gobierno impiden dar pasos decididos hacia una mejor institucionalidad.

Una de esas es la reforma integral a la ley de datos personales chilena, la primera de América Latina. El actual proyecto lleva años en el Congreso, con larguísimos períodos de tiempo sin avances, y corriendo el riesgo de convertirse en otro conjunto de buenas intenciones que no pueden ser llevadas a la práctica por la falta de una autoridad de control independiente y con facultades suficientes. Aun cuando el proyecto conocido todavía es susceptible de mejoras, siguen siendo rescatables aspectos de actualización largamente en deuda, como el deber de notificación de brechas de seguridad que afecten a datos personales dentro de un muy breve plazo de tiempo. Otras consecuencias, como el aprovechamiento de la información personal que circula en la red después de estas filtraciones, pueden ser también objeto de alguna reclamación. Hoy no parece haber prisa alguna en fijar esos resguardos en torno a la información personal.

Por el contrario, el proyecto de ley que implementa en Chile el Convenio de Budapest sobre ciberdelincuencia sí está avanzando, aunque todavía de manera algo errática. También se trata de una actualización en deuda desde la primera ley en Chile de 1993, con positivos avances en la sanción de delitos complejos. Como ya hemos detallado, el primer intento de implementación de Budapest era peligroso; luego partes del mismo fueron corregidos y hasta hoy el proyecto conserva algunos de los vicios de los intentos de regulación de la persecución del delito en Chile: una expansión desproporcionada e injustificada de los poderes estatales para la intromisión en la vida de las personas bajo la excusa de la investigación criminal, sin siquiera mencionar el intento por expandir la retención de metadatos hoy vigente.

A la vez, la discusión legislativa en torno a los ciberdelitos todavía alberga una ardua oposición de los órganos policiales contra cualquier exención de responsabilidad a favor de quienes descubren vulnerabilidades de sistemas, en el marco de actividades de investigación, aun bajo requisitos estrictos para esa posible exención, a efectos de mantener bajo sanción penal actos que en otras latitudes son reconocidos como expresión de hacking ético.

La contumaz oposición a esa exención, de manera errada, conlleva la penalización una actividad seria y fundamental en la formación de capacidades de ciberseguridad y prevención de ataques. Al mismo tiempo, ignora que el crecimiento en cantidad y en sofisticación de los ciberataques, incluidos los ejecutados desde el extranjero, no va a detenerse porque haya sanciones penales más altas en Chile.

Finalmente, las carencias y falencias en los aspectos institucionales de ciberseguridad siguen siendo responsabilidad del gobierno. A acciones positivas como la entrada en vigencia de la Política Nacional de Ciberseguridad en 2017, la formación de un Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) de gobierno, y la creación del Comité Interministerial de Ciberseguridad (CICS), se han sucedido demoras significativas en el nombramiento de un encargado presidencial de ciberseguridad (siete meses de vacancia, y contando), la insistencia en un proyecto de ley de protección de infraestructura crítica que poco aporta en un resguardo significativo de instalaciones clave, y la eterna promesa incumplida de presentación de un proyecto de Ley Marco de Ciberseguridad que fije responsabilidades y procedimientos.

Por cierto, avanzar de manera sensible en todas esas áreas sería apenas un paso inicial: todavía estaría pendiente un real esfuerzo del Estado en transparentar y mejorar las medidas para garantizar la seguridad de la información y la respuesta a incidentes. Los despidos de alto nivel poco y nada aportan a mejorar las condiciones de seguridad; la imposición de urgencias sobre proyectos de ley deficientes tampoco ayudan. Los ataques seguirán ocurriendo, por lo que los esfuerzos y recursos puestos en educación y en prevención deben ser también prioritarios y continuos.

¿Y mientras tanto?

Pese a la celebración de autoridades políticas por el inicio de un proceso penal por el hackeo al Gobierno Digital, no hay nada que celebrar desde la perspectiva de la ciudadanía. Todavía es incierta la magnitud del acceso, todavía no se notifica individualmente a las personas afectadas, todavía no comenzamos a conocer los efectos de las filtraciones, todavía no hay certeza que el gobierno de Chile tenga la capacidad o la voluntad para enfrentar riesgos a los que está expuesta la ciudadanía. Es decir, todavía no hay razones entregadas por el Estado para que exista confianza de la ciudadanía en la gestión de riesgos en el ciberespacio. Más presuntos autores tras las rejas no es, y nunca ha sido, garantía de seguridad futura.

¿Qué queda hacer mientras tanto? Se ha insistido en la conveniencia del cambio de contraseñas para la ClaveÚnica, así como las prácticas de seguridad digital en general. Se ha reiterado la necesidad de mejorar las prácticas y elevar los estándares de ciberseguridad a los que se sujetan instituciones públicas y privadas. Pero la mayor responsabilidad todavía recae en la autoridad política, para materializar las aspiraciones de la Política Nacional de Ciberseguridad y reconducir una agenda hoy disgregada.

Mientras tanto, arrestos más y arrestos menos, seguimos tanto o más expuestas que antes al ciberdelito.