Tipo de contenido (Recurso): Columnas

DDHH en la primera línea de internet

En noviembre de 2015 el Gobierno de Chile hizo pública su Agenda Digital 2020, cuyo objetivo es desarrollar las capacidades tecnológicas, en todos los sectores y territorios, que permitan insertar al país en la Sociedad de la Información.

Dentro de los cinco ejes que componen la Agenda se contempla, como una de las medidas de Gobierno Digital, el desarrollo una Política Nacional de Ciberseguridad (en adelante PNCS) para Chile, la cual fue presentada por el Comité Interministerial sobre Ciberseguridad (CICS) a finales de 2016.

Pero el documento presentado no es, en sentido estricto, una política de ciberseguridad como se ha solido entender: dista de documentos como el de Estados Unidos o los de países europeos, pues Chile no cuenta con una legislación desarrollada en estas materias. Más bien se trata de una propuesta programática, un conjunto de medidas políticas y legislativas que deben implementarse para contar con una política funcional de ciberseguridad: proyectos de ley, políticas educativas y metas generales de desarrollo del país.

Sin embargo, la PNCS sí contiene diferentes directrices en áreas tradicionales y considera dentro de ellas el mandato del Estado de velar por los derechos fundamentales de las personas en el ciberespacio. Este es quizás uno de los pilares de la nueva política, porque varias son las amenazas que enfrenta la ciudadanía en el área de la seguridad digital: desde cibercrimen, políticas empresariales que no respetan los derechos de las personas en la gestión de datos, brechas de datos en organismos públicos y privados.

Como ciudadanas y ciudadanos nos encontramos expuestos a un gran número de riesgos respecto a los cuales, tanto el sector privado como público han de aunar esfuerzos para desarrollar un entorno digital que respete nuestros derechos, siendo la PNCS el instrumento que guíe tales esfuerzos.

Es en esta línea, han sido varias las declaraciones e instrumentos que han indicado la manera en que la relación entre ciberseguridad y derechos humanos ha de ser llevada. El criterio más claro y general ha consistido en indicar el simple hecho de que las personas contamos con los mismos derechos en ambientes dentro y fuera de línea, y por tanto los Estados tienen la obligación de proteger nuestros derechos fundamentales en los dos ámbitos por igual. Esto sería aplicable también para organizaciones privadas con las que como ciudadanos debemos interactuar en internet.

Pero esta afirmación por sí sola no es capaz de dar cuenta de la complejidad del fenómeno de la seguridad digital, y en este sentido indica la PNCS que “(…) todas las medidas propuestas por la política se deben diseñar y ejecutar con un enfoque de derechos fundamentales, ¿qué debemos entender por enfoque de derechos fundamentales? No basta la simple afirmación de que son reconocidos y respetados dentro y fuera de la red.

En este sentido se han dado recomendaciones que dotan de contenido a esta expresión, señalando que implica comprender el desarrollo tecnológico a partir de los derechos fundamentales de las personas, a través de medidas concretas como:

(…) 4. El desarrollo y la implementación de leyes, políticas y prácticas relacionadas con la ciberseguridad deben ser coherentes con el derecho internacional, incluidas las normas internacionales de derechos humanos y el derecho internacional humanitario.

5. Las leyes, políticas y prácticas relacionadas con la seguridad no deben utilizarse como pretexto para violar los derechos humanos, especialmente la libertad de expresión, asociación, reunión y privacidad.

6. Las respuestas a los incidentes cibernéticos no deben violar los derechos humanos.

7. Las leyes, políticas y prácticas relacionadas con la ciberseguridad deben mantener y proteger la estabilidad y la seguridad de Internet, y no deben socavar la integridad de la infraestructura, hardware, software y servicios. (…)”

También la Comisión Europea ha señalado que el enfoque de derechos humanos constituye uno de los medios ideales para el desarrollo y cooperación internacional en materia de seguridad, dando directrices específicas para su desarrollo en ciberseguridad. Así, las políticas que posean un enfoque de derechos humanos han de tener entre sus objetivos la persecución de un fin legítimo, ha de ser necesaria, proporcionada y considerar remedios efectivos, entre otros.

Al examinar las medidas que contiene la PNCS chilena parte importante de las recomendaciones dadas en materia de derechos humanos se encuentran presentes en algunos de los instrumentos que hemos indicado y creemos que estos criterios son los que han de informar la manera en que Chile se aproxime a los derechos humanos y la ciberseguridad.

Lo anterior no solo para reafirmar el compromiso del país con los derechos humanos y su desarrollo, sino porque la ciberseguridad destaca por una complejidad creciente en el desarrollo técnico de los medios de protección de la información donde el enfoque de derechos humanos podría servir como herramienta para solucionar conflictos.

En diversos países hay instituciones como el NIST o ENISA que ofrecen estándares o directrices técnicas tanto al sector público como privado de protección de la información, pero junto con estas directrices las organizaciones privadas cuentan con normas propias de ciberseguridad como las ISO, o en el sector público hay normas especiales de gestión de la información del Estado hacia sus organismos.

Todo este desarrollo legislativo y técnico hace que la ciberseguridad sea un área en donde existe una gran dispersión de posibles criterios de solución, por lo que llegado el momento de considerar cual ha de prevalecer sobre el otro puede resultar algo complejo. El enfoque de derechos humanos nos otorga un medio para dar una mayor claridad sobre los problemas y cómo solucionarlos.

¿Qué se debería hacer, por ejemplo, en el caso de una brecha de datos? Hay varias soluciones, por ejemplo seguir la norma técnica de mantención del servidor, que prevalezcan las obligaciones del responsable de la base de datos que indica la ley, o sostener otro criterio particular al caso. Una solución que considere el enfoque de derechos humanos nos llevaría a preguntarnos en primer lugar cuál derecho humano se ve afectado, y de qué manera puede y/o debería haber sido protegido. Esto permite dar una meta clara de solución al problema de ciberseguridad presentado, orientando las posibles soluciones a las que podría llegarse en vista de la protección del derecho vulnerado.

Esta clase de consideraciones caben no solo frente a incidentes de ciberseguridad, sino también al desarrollo y diseño de políticas e infraestructuras relacionadas con ciberseguridad. Esto permite orientar de manera clara los objetivos y medios que se consideran en esta materia en conformidad a los derechos humanos, valiéndose no solo de lo establecido en el derecho nacional, sino en el derecho internacional. El enfoque de derechos humanos requiere, en definitiva, un giro en la manera en que las intervenciones en las diferentes materias son conceptualizadas e implementadas.

La relación entre derechos humanos y ciberseguridad es una de las cuestiones de mayor relevancia y complejidad que se avecina para Chile con una nueva ley de protección de datos en camino, y con las medidas de la PNCS en desarrollo. Es el momento de comenzar de buena manera las nuevas políticas y leyes en esta materia.

Internet está jugando con tus sentimientos

De forma asertiva, la organización Coding Rights ha bautizado este fenómeno como el Chupadatos, un monstruo incansable que vive detrás de cada aplicación, cada búsqueda en internet, cada comentario en redes sociales y cada aparato inteligente. Su labor es engullir, cuantificar y subastar nuestros datos al mejor postor. Y para que eso sea posible, no solo se necesita de una robusta infraestructura, sino de una cultura alrededor del uso de internet.

En Tenemos que hablar, internet está jugando con tus sentimientos, Belén Roca aborda el modo en que nuestros afectos son explotados por el mercado de los datos. El miedo, la ansiedad, la soledad, la precariedad y la vanidad son emociones reales, tan reales que se proyectan en el uso que hacemos de los servicios en línea. Son cinco historias de ocurren en Chile pero podrían ocurrir en cualquier otro lugar de América Latina o el mundo, ¿te identificas con alguna de ellas?

Retomando las historias del Chupadatos, continuamos con la descripción y la reflexión alrededor de los mecanismos de persuación y de control que se utilizan en internet para garantizar que sea una economía próspera, ¿estamos siendo abusados emocionalmente allí? Estemos alerta y conscientes de qué es exactamente lo que le estamos dando a la red.

¿Me protege mi huella digital o debo yo protegerla a ella?

En días pasados, con motivo del proceso electoral mexicano, se advirtió a través de redes sociales y medios de comunicación sobre los riesgos de compartir fotos de nuestros dedos manchados de tinta, en un contexto donde nuestra información biométrica es usada constantemente con fines de autenticación. Como principio general de seguridad, sabemos que es una buena práctica no compartir información personal que constituya o pueda formar parte de mecanismos de autenticación o verificación, como -evidentemente- nuestras contraseñas. Sin embargo, ¿qué sucede cuando nuestro cuerpo -nuestras huellas digitales, nuestra voz o nuestro rostro- se han convertido en nuestras contraseñas? ¿Es factible y está en nuestro poder proteger esta información?

En 2014, hackers del gobierno chino ingresaron en los sistemas de computación del gobierno norteamericano, logrando extraer los datos personales de 22 millones de ciudadanos estadounidenses, incluyendo los datos de la huella digital de 5.6 millones de personas. Aunque hasta el presente no existen evidencias de que estos datos hayan sido comerciados en el mercado negro, resulta abismante el riesgo que pueden representar en caso de ser vendidos. En 2016, investigadores de la Universidad Estatal de Michigan fueron capaces de convertir reproducciones de huellas digitales en versiones 3D de las mismas, capaces de engañar a los lectores de huella digital de los teléfonos inteligentes, todo esto con equipamiento por un valor inferior a los 500 dólares. Igualmente, los investigadores del Instituto Nacional de Informática de Tokio afirman que son capaces de reconstruir una huella digital a partir de la fotografía de una persona haciendo el signo de la paz con su dedo índice y medio, tomada a tres metros de distancia. Esta última noticia levantó alertas en diversos sitios de noticias, que señalaron que los avances paralelos en las tecnologías fotográficas y de autenticación por huella digital, aunados al uso continuo de redes sociales para compartir información, convergen en un punto de riesgo incrementado en lo que respecta a la accesibilidad y facilidad para obtener y recrear las huellas digitales de las personas.

Los datos del rostro también son vulnerables: hoy en día, crear una base de datos a partir de fotografías de los rostros de las personas puede ser tan fácil como descargarla de Facebook o LinkedIn, y la tecnología se encuentra fácilmente disponible, no solo para procesar estas imágenes a través de algoritmos de reconocimiento facial, sino incluso para crear modelos en 3D a partir de ellas. De hecho, en el Chaos Communication Congress de 2014, un investigador de seguridad reprodujo un modelo funcional de la huella digital del ministro de Defensa alemán, partiendo de una fotografia en alta resolución de su mano.

El principal problema de seguridad planteado por el uso de tecnologías biométricas para la autenticación es que los datos biométricos no pueden ser reemplazados. Una vez que el patrón de nuestras huellas digitales se ve comprometido, solo tenemos un número limitado de posibilidades de reemplazarla, en caso de que se requiera solo una. Así, como señala nuestro reciente informe, “El cuerpo como dato”:

Dado que los datos biométricos son únicos e irremplazables, la posibilidad de pérdida o robo de estos significa que la identidad legal del individuo se ve comprometida sin posibilidad de que se le provea de una nueva identidad, creando un contexto en el cual, de no existir salvaguardas legales, una persona podría verse privada de su identidad sin recursos para recuperarla ni indemnización a los daños.

En el caso de que, por ejemplo, la huella digital sea la puerta de entrada hacia otra información personal, como los servicios de mensajería o el correo electrónico, el robo de los patrones biométricos no es el único peligro. El riesgo, por ejemplo, de que los cuerpos policiales puedan sortear el cifrado de un dispositivo a través de copias de la huella digital -o simplemente forzando al ciudadano físicamente- es, de suyo, alto, no solo en el contexto latinoamericano, donde el abuso policial es una práctica frecuente. Esto puede suceder incluso cuando se siguen procedimientos judiciales: en Los Ángeles, un juez emitió una orden para forzar el dedo de una mujer en el lector de huella de un teléfono incautado con el fin de desbloquearlo en el contexto de un proceso por robo de identidad.

Más que el riesgo de perder el control sobre nuestros datos biométricos, el verdadero riesgo se encuentra en el hecho de que nunca tuvimos control sobre ellos en primer lugar. La propia naturaleza de nuestro cuerpo implica que este se encuentra en constante contacto e intercambio de información con el mundo que nos rodea: nuestro rostro descubierto es captado por cámaras de vigilancia urbanas, por los teléfonos de las personas en la calle y a través de nuestras cuentas de redes sociales; nuestras huellas digitales entran en contacto un millón de veces al día con objetos cotidianos a partir de los cuales pueden ser reconstruidas; nuestra voz, nuestros ojos o nuestra manera de caminar no son datos que podamos ocultar del mundo sin limitar severamente nuestras rutinas. El cuerpo, por su naturaleza comunicacional, emite constantemente información que es captada por diversos dispositivos, incluyendo datos como nuestra presión sanguínea, nuestro pulso o la cantidad de pasos que damos al día. Las tecnologías modernas, y no solo las biométricas, recaban y transmiten una cantidad de información gigantesca de manera coditiana, no solo para verificar nuestra identidad, sino para determinar factores como el género, edad, estado de salud o nivel de ingresos de una persona determinada.

Lo que deriva de esto no es solo que debamos tener un mayor cuidado al momento de comunicar o entregar nuestros datos personales, especialmente nuestros datos biométricos, sino que todo cuidado será insuficiente si no logramos crear regulaciones y políticas públicas que permitan un manejo mucho más cuidadoso de estos datos por parte de gobiernos y empresas privadas. Por otra parte, la tecnología sigue avanzando, por lo general con mucha más rápidez que la regulación y sin esperar por ella. En 2013, un equipo de investigadores en Berkeley creó un sistema de autenticación biométrica basado en ondas cerebrales, llamado “passthoughts”. Esta técnica combina tres factores de verificación: algo que sabes (un pensamiento), algo que eres (tus ondas cerebrales) y algo que tienes (el sensor para medirlas). Para autenticar tu identidad, debes pensar en tu clave secreta mientras usas el sensor, que transmite una representación matemática de las señales que hace tu cerebro cuando piensas en la clave. En teoría, es imposible falsificar un passthought, dado que cada persona piensa el mismo pensamiento de manera distinta. La única manera de sortear este tipo de seguridad sería forzar a la persona a pensar su clave, capturar la respuesta y luego reproducirla. Sin embargo, un passthought, al igual que cualquier contraseña, puede ser cambiado.

Esto es solo un ejemplo de maneras en las cuales la tecnología de autenticación biométrica puede cambiar en el futuro próximo. Entretanto, en la mayor parte del mundo seguimos debatiendo sobre cuál es el paradigma correcto para enfrentar desde el punto de vista jurídico a una tecnología cuyo avance no se detendrá a esperar por nosotros.

Encarcelado por tuitear

Mientras el mundo debate cómo contener la vigilancia masiva de las comunicaciones de parte de gobiernos y empresas, en Venezuela, sin necesidad de métodos sofisticados, decenas de personas han sido encarceladas y en algunos casos enjuiciadas por sus actividades en línea.

¿Cómo es que se habla de cárceles sin pasar por juicios? Porque en Venezuela no se siguen los pasos que indica el debido proceso cuando hay estado de derecho, sino que se impone la lógica de la arbitrariedad. Los tuiteros son detenidos de forma caprichosa y son sometidos a malos tratos hasta que en algún momento son excarcelados sin dar muchas explicaciones. Veamos algunos casos.

El 28 de abril de 2017, el comunicador Dan Elliot Zambrano, de 34 años de edad, abrió la puerta de su casa porque había funcionarios de la Dirección General de Contrainteligencia Militar buscándolo. Le dio tiempo de tuitear y señalar a la DGCIM antes de que se lo llevaran detenido.

Desde su casa en la ciudad de Cagua, hasta Caracas, la capital de Venezuela hay más de 100 kilómetros. Allí lo encontraron al día siguiente, cuando su esposa y un grupo de abogados iniciaron su búsqueda porque negaban su paradero en cada sede a la que fueron en Aragua, su estado originario. Durante varias semanas Dan Zambrano estuvo aislado, a lo sumo le permitieron pedirle productos de higiene personal y cambios de ropa a su madre por teléfono, porque los centros de detención no proveen eso. Su esposa denunció 40 días después de la detención que no lo había podido ver ni una sola vez. A la quinta semana de presidio ni siquiera había sido presentado en un tribunal para saber al menos de qué se le acusaba.

Dan Zambrano había sido detenido por los uniformados a raíz de haber hecho tweets y retweets de mensajes críticos al régimen de Nicolás Maduro. No era una cuenta relevante, tenía apenas 1.300 seguidores en ese momento, pero era un perfil con nombre y apellido cuya ubicación los uniformados pudieron encontrarla fácilmente. Meses después, Zambrano fue liberado sin cargos. Al ser consultado sobre el episodio, mantiene las reservas del caso porque aunque se encuentra en el exilio, su familia aún permanece en Venezuela y corre el riesgo de represalias. Sin embargo apuntó algo importante sobre las autoridades y su seguimiento de contenidos en redes sociales: “El uso de ellos de intervenir en las redes es absolutamente caprichoso. Estando en detención me di cuenta que el uso de las redes es 60% contrainteligencia hacia la milicia y el resto contra la población, los políticos”.

Se refiere al monitoreo de publicaciones. No hay detrás de esto un software particularmente especializado ni la posibilidad de detectar las IP ni las ubicaciones geográficas de la gente, sino de monitorear sus contenidos hasta detectar al próximo cautivo y llegar a ellos por ingeniería social. Lo misterioso es el criterio para escogerlos, porque otros casos revelan un azar espeluznante. Pareciera que la intención del poder es remarcar que literalmente pueden llevarse a cualquiera en cualquier momento.

 Tras las rejas
Por ejemplo, Skarlin Duarte, fue detenida en agosto de 2014, cuando tenía 23 años de edad, y liberada 858 días después, a finales de 2016. Permaneció encarcelada en El Helicoide, sede del Servicio Bolivariano de Inteligencia (Sebin) y una de las peores cárceles de presos políticos en Venezuela. Fue acusada de delitos como “instigación al odio”, “acceso indebido a sistemas protegidos”, “espionaje informático” y “ultraje”. Sin embargo nunca fue llevada a juicio, así que tampoco se mostraron evidencias. Al menos hasta noviembre de 2016, un mes antes de su excarcelación, su audiencia en tribunales había sido suspendida 33 veces consecutivas, mientras perdía más de dos años de su vida tras las rejas. Skarlin estuvo en el lugar equivocado.

Era cliente de un cibercafé en Caracas, uno de los dos que fue allanado por los uniformados un día que anunciaron un operativo para encontrar a los autores de mensajes contra el gobierno en redes sociales. Así que se llevaron algunas computadoras del lugar y los datos de la joven bailarina de danza latina, sin conocimientos sobre espionaje informático, a quien le allanaron su casa en la noche para detenerla.

Sin embargo, en las decenas de casos más registrados en Venezuela, no todos han sido fruto del capricho de algún funcionario. Algunas detenciones han servido para acusar culpabilidades en medio de alguna tragedia, como cuando en 2014 fue asesinado el diputado Robert Serra, del Partido Socialista Unido de Venezuela. A la cárcel fue a parar el periodista Víctor Ugas, por publicar una foto del cadáver del diputado. La imagen corría desde hacía horas por WhatsApp, filtrada desde la morgue en Caracas, pero nadie la había publicado en redes hasta que lo hizo Ugas. También detuvieron a dos personas vinculadas a una cuenta esotérica, bajo el seudónimo Negra Hipólita. La cuenta hacía adivinaciones y ofrecía lectura de cartas y otros sortilegios a cambio de dinero. Semanas antes del asesinato de Serra a manos de su propio escolta, la cuenta publicó que habría “luto” en la Asamblea Nacional, así que como las autoridades también creen en brujos y videntes, se hicieron pasar por un cliente, contrataron sus servicios y al momento del contacto físico (y los datos de cuentas bancarias) detuvieron a quienes la administraban.

Otro tuitero detenido en 2014 fue Leonel Sánchez Camero (AnonymusWar), acusado de hackear las cuentas de Twitter de algunos funcionarios gubernamentales y preparar un plan de fuga para el político Leopoldo López. Ninguna de las acusaciones se comprobó en juicio. Además, Sánchez fue detenido en Barinas, a 470 kilómetros de la cárcel de Ramo Verde.

Igualmente, Abraham David Muñoz (AbraahamDz), de 18 años de edad, también fue detenido por tuitear “Muerto Robert Serra, ajá ¿para cuándo Diosdado y Jorge Rodríguez?”. Se lo llevaron de su casa sin una orden de aprehensión ni un procedimiento en su contra.

Los tuiteros presos llegaron a rondar la veintena, en un país que ha llegado a tener más de 600 presos políticos y presos de conciencia según han reportado organizaciones no gubernamentales como Amnistía Internacional, Provea y el Foro Penal. Muchos de ellos son detenidos que dependen directamente de un funcionario del chavismo, como el líder estudiantil Villca Fernández, que escribió en su tuiter que no le tenía miedo a Diosdado Cabello, segundo al mando del PSUV, tras unas amenazas que le hiciera el funcionario en televisión.

Los monstruosos casos recientes

El modus operandi del poder sólo se han hecho más retorcido. No hay mayor sofisticación en el uso de herramientas digitales para detectar mensajes, pero sí se han usado métodos más brutales que las detenciones arbitrarias. En 2018 hemos reportado dos casos más:

@DolarPro: Carlos Eduardo Marrón es el dueño del portal DolarPro y vivía fuera de Venezuela. El Gobierno ha prohibido publicar el precio del dólar paralelo porque mantiene un férreo control cambiario desde 2003, sin embargo el mercado negro necesita información y hay decenas de páginas web y cuentas en redes con ese contenido. En un hecho insólito en la historia reciente del país, las autoridades fingieron un secuestro del padre de Marrón, como si fuesen una banda delictiva, y negociaron la entrega con su hijo. Cuando Carlos Eduardo regresó al país a pagar el rescate de su padre y recuperarlo, le informaron que se trataba de una detención oficial y fue enviado a la cárcel. Aún su juicio está pendiente, la web está desactivada y a pesar de eso el dólar paralelo sigue multiplicando su precio cada semana.

@AeroMeteo: Pedro Patricio Jaimes Criollo tiene una cuenta dedicada al tráfico aéreo y la meteorología en Venezuela. La tarde del 3 de mayo publicó en su Twitter una información de fácil acceso en cualquier portal especializado: el único avión sobrevolando el centro del país era el presidencial, que hizo una ruta desde Caracas hasta el estado Aragua. Por divulgar ese dato, que no representa ninguna información clasificada, el 12 de mayo fue detenido y no se ha sabido nada de él hasta el cierre de este artículo, un mes después.* Ni familiares ni abogados saben dónde está y ninguna autoridad responde por su paradero. Las ONG de derechos humanos califican el hecho como una desaparición forzosa y reclaman saber el destino de @AeroMeteo.

Los efectos de las detenciones arbitrarias de tuiteros en Venezuela ha significado un aumento en la presencia de cuentas con seudónimos para ocultar la identidad de sus autores, además de una migración de conversaciones digitales a espacios más privados como WhatsApp y otros servicios de mensajería. El terreno digital es importante para las comunicaciones del gobierno de Maduro, sin embargo al ser un espacio con mayores libertades, ha sido más difícil imponer la hegemonía comunicacional que propone la revolución desde la era Chávez. En redes no ha disminuido la crítica, aunque los venezolanos se saben monitoreados.

 

* El 15 de junio Pedro Jaimes se comunicó con su familia, como ha señalado la organización Espacio Público. Organizaciones de América Latina se manifestaron condenando la que consideran una detención arbitraria.

Error 402 ¿Terrorismo Cibernético en Guatemala?

Hablar de terrorismo cibernético en Guatemala me hace pensar en una novela de ficción de Margaret Atwood situada en el año 3000. Luego recuerdo que vivo en el país de las distopías y me tranquilizo. La Iniciativa de Ley 5239, contra actos terroristas, se dio a conocer ante el Congreso el 23 de febrero de 2017; fue analizada por la comisión de Gobernación y recibió dictamen favorable en noviembre del mismo año. En estos momentos está en espera de una segunda y tercera lectura para ser aprobada.

¿Qué es el ciberterrorismo? ¿Por qué está incluído en la ley? ¿Por qué ha generado críticas de periodistas, activistas y defensores de derechos humanos? Recordar la historia reciente del país ayuda a entender mejor el contexto y los peligros potenciales del proyecto.

¿Ciberterrorismo?

La definición de ciberterrorismo que expone el proyecto parece sacada de una novela de apocalípsis tecnológico: el terrorismo cibernético lo comete “quien con fines económicos, políticos, religiosos, utilice los medios de comunicación, informática, tecnologías de información, electrónica o similar con el objeto de infundir temor, causar alarma, intimidar a la población, o compeler a un Estado o Gobierno u organismo nacional o internacional”, sancionándolo con entre diez a veinte años de prisión.

La Cámara de Periodistas de Guatemala rechazó la iniciativa, argumentando que el artículo 22 sobre ciberterrorismo es “pretensión velada y descarada de restringir el ejercicio de la libertad de emisión del pensamiento”.

“El solo hecho de que compeler al Estado por medios electrónicos configura un delito terrorista es una definición excesivamente amplia y puede ser utilizada como forma de reprimir discursos disidentes”, explica Pablo Viollier, analista de políticas públicas de Derechos Digitales, quien además recalca que “la tipificación de este tipo de delitos debe ser particularmente precisa” para evitar su uso con fines represivos.

Para Sara Fratti, abogada y directora de Políticas Públicas de IPANDETEC, “los riesgos son enormes, principalmente por la criminalización del movimiento ciudadano, que incluirá la penalización de actos como convocar a manifestaciones, críticas a funcionarios públicos, etc.”.

En paralelo existe un riesgo que pocas veces se menciona y “es que la gente genere autocensura en espacios donde antes no la había, por la sola existencia de este tipo de leyes”, explica David Oliva, consultor en seguridad digital de la Fundación Acceso.

El poder de las redes

“Es importante contextualizar brevemente el momento social y político que atraviesa Guatemala”, explica Sara Fratti: “la lucha contra la corrupción promovida desde la Comisión Internacional Contra la Impunidad en Guatemala (CICIG), el Ministerio Público (MP) y la ciudadanía han generado que las élites y grupos de poder vinculados a la corrupción inicien una campaña de desprestigio, principalmente a través de redes sociales. Como consecuencia, esta iniciativa de ley se presentó con la finalidad, entre otras cosas, de silenciar las voces de líderes, activistas, defensores y población en general”.

David Oliva considera que “estas leyes surgen alrededor del incremento en la sonoridad de las redes sociales, y es lamentable que a falta de profesionales probos se legislen leyes que buscan censurar masivamente expresiones de distintos tipos”. Así, esta ley puede ser leída como una forma de silenciar a la sociedad civil, detener las movilizaciones ciudadanas y criminalizar a los y las defensoras de derechos humanos.

Una nueva red de inteligencia

Por si esto fuera poco, la Iniciativa de Ley 5239 contempla además la creación de una Red de Comunicación “integrada por autoridades de seguridad, migratorias y aduaneras, que permita optimizar los procedimientos de control sin afectar el flujo del comercio”. Esta red tecnológica de información no solo será fundamental para la prevención de actividades terroristas, sino que intensificará el flujo de información entre países, sobre aquellas personas u organizaciones que se consideren bajo investigación.

“El proyecto no define las funciones específicas que tendrá esta red, básicamente es la creación de una red de inteligencia para vigilar a la ciudadanía. Además, carece de salvaguardas y estándares mínimos de aplicación. Lo cual, facultará al Gobierno establecer una red de vigilancia masiva”, explica Fratti.

Lo grave no es solamente la creación de un nuevo aparato de control estatal, sino que bajo el discurso de seguridad ciudadana este tipo de proyectos nacen desvinculados del deber de garantizar los derechos humanos.

Desde esa perspectiva, Víctor Quilaqueo, historiador y director del Centro de Política Públicas para el Socialimo, señala que “la creación de una Red de Comunicación es un atentado contra las garantías ciudadanas mínimas. Queda así como una medida arbitraria, que no define alcances ni modos de aplicación. Es crear una ley en cuyo centro no está la salvaguarda de nuestros derechos”.

Como vemos, el proyecto tiene un carácter eminentemente cohercitivo, sin perspectiva de derechos fundamentales. La tendencia a la criminalización de la diferencia es profunda y se materializa en iniciativas de este tipo.

“Creo que hay dos problemas con este tipo de legislaciones -explica David Oliva-: en primer lugar, están tipificando delitos digitales antes de tipificar derechos digitales de las personas, eso es una clara manifestación de criminalización. Por otro lado, cuando se legislan este tipo de leyes sin ninguna vista técnica ni de derechos humanos, el resultado son legislaciones totalitarias que de ninguna manera buscan hacernos crecer como sociedad, sino al contrario, generan control. El solo hecho de que una persona se sepa vigilada por el Estado la limita de ejercer su libre derecho de expresión o de generar puntos de vista diferentes”.

La ley sugiere un panorama que nos recuerda al gran hermano de Orwell. Según Sara Fratti, la iniciativa permitirá que el Gobierno tenga acceso y control a las publicaciones en redes sociales y plataformas digitales que realicen los usuarios del país, “con la finalidad de vigilar y castigar a ciudadanos que se opongan a la forma en la que se está llevando a cabo la administracion pública”.

En un país como Guatemala, que tuvo 36 años de conflicto armado y aparatos de inteligencia estatal y paraestatal represivos, hablar sobre crear una sistema de control y vigilancia masiva debe considerarse una agresión, no solo porque está en peligro nuestro derecho constitucional a la privacidad y a la libertad de expresión, sino también porque pende de un hilo la débil democracia que nos queda.

Un vistazo a las potenciales vulnerabilidades de WhatsApp

Simplificado a su mínima expresión, el gran problema que ha planteado el acelerado desarrollo tecnológico es de confianza. Porque está claro que la mejor alternativa que tenemos para un mejor mañana radica en el desarrollo tecnológico, muchas veces olvidamos que no estamos hablando de una entidad única, independiente, todopoderosa y, sobre todo, esencialmente buena. Nuestra necesidad de confiar en la tecnología dificulta nuestra capacidad de desarrollar un sano ejercicio crítico y pensarla no como una unidad homogénea y articulada sincrónicamente, sino como un campo plural: no todas las tecnologías son creadas iguales.

Parte importante del problema de la confianza ciega en la tecnología deriva del hecho de que no sabemos cómo funcionan; no es necesario, la meta de cualquier tecnología con ganas de imponerse es volverse intuitiva al punto de que no requiera esfuerzo alguno hasta del más inexperto de los usuarios. Este desconocimiento nos permite también integrar nuevas tecnologías a nuestras vidas sin pensar demasiado en las implicancias de ese acto: ¿estaríamos tan dispuestos a poner nuestras vidas en un teléfono si supiésemos las diversas formas en que esa información puede ser accedida por otros, recolectada y procesada? Hay ciertas cosas en las que preferimos no pensar mucho, aunque debiésemos.

¿Y qué pasa cuando la tecnología nos traiciona, cuando algo falla? ¿Cómo podemos obtener alguna certeza al respecto? ¿En quién podemos confiar? Estas fueron algunas de las preguntas que se desprendieron en septiembre de 2017, cuando Carabineros de Chile explicó con gran pompa a través de la prensa que gracias a la interceptación de conversaciones de WhatsApp había logrado identificar a los responsables de una serie de ataques incendiarios contra camiones forestales en la novena región del país. Huracán se llamó el operativo.

En su momento, salvo contadas excepciones, todas las voces oficiales asumieron el hecho sin cuestionarlo, sin preguntarse cuáles eran las implicancias de un antecedente fundamental, pero mencionado al paso. Y resultó que las implicancias eran monumentales: cuatro meses más tarde, el Ministerio Público y Carabineros se veían enfrentados en una serie de denuncias que mantienen a funcionarios policiales y un civil acusados de fabricación de pruebas para inculpar inocentes.

El vuelco del caso ha sido extraño y, por momentos, raya en lo tragicómico. Pero, por sobre todo, ha sido increíblemente confuso y complejo: mientras la atención se ha centrado en discutir en torno a la existencia (o no) de un software llamado Antorcha, prácticas como la intervención telefónica ilegal a gran escala han pasado prácticamente desapercibidas en el debate público; el peligro es que muchas interrogantes queden sin una debida explicación.

Como una forma de aportar certezas a una causa extremadamente compleja, el equipo técnico de Derechos Digitales se planteó una pregunta: ¿De qué manera se podrían obtener las conversaciones de WhatsApp de un tercero? En base a información de prensa en torno al caso Huracán y la documentación técnicamente existente, el equipo testeó distintas formas en las que teóricamente se puede acceder al contenido de las comunicaciones de Whatsapp. La idea era poder aproximar una respuesta respecto a la factibilidad del ataque y las capacidades que podría (o no) tener Carabineros de Chile para realizar este tipo de intrusión. Esta información esta contenida en ‘¿Confiable y seguro? un vistazo a las potenciales vulnerabilidades de WhatsApp‘, hoy publicado.

Pero en un sentido mucho más amplio, el objetivo de esta investigación era conocer un poco más respecto al funcionamiento de WhatsApp y sus potenciales vulnerabilidades, como una manera de generar información adicional que las poblaciones en mayor riesgo –activistas, periodistas, defensores de derechos humanos- puedan considerar a la hora de decidir respecto al uso de la aplicación y los cuidados necesarios que deben tener para una experiencia lo más segura posible.

Cabe recordar que ninguna tecnología es infalible, en el mejor de los casos sus vulnerabilidad no son públicamente conocidas. En ese sentido, el estándar de cifrado de WhatsApp es alto y las técnicas analizadas por el equipo de Derechos Digitales revelan que, de ser posible, la intervención es compleja y requiere una serie de pasos previos, siendo en la mayoría de los casos necesario tener acceso físico previo al teléfono. Sin embargo, nunca está de más recordar que el cifrado es una protección contra un tipo determinado de ataque y poco tiene que aportar en caso de que un tercero pueda manipular un equipo o que una de las partes participantes de la conversación entregue la información.

Relevante también es decir que nuestro análisis arroja que, de haberse realizado alguno de los ataques detallados en el informe, estaríamos frente a una ilegalidad. Lo anterior es importante, pues más allá de si las informaciones presentadas en el marco de operación Huracán son verdaderas o falsas, lo que está completamente claro es el deseo expreso de las policías chilenas por utilizar este tipo de técnicas con fines investigativos.

Estamos seguros de que Huracán no es ni el primero ni será el último caso con estas características y lo que hoy puede ser desprolijo, podría ser un paso necesario en una vía hacia el perfeccionamiento de unas técnicas de vigilancia que, de no contar con la adecuada regulación y medidas de control acordes, podría devenir en una amenaza importante a nuestra democracia.

Un sistema que promueve la violencia de género en línea

La violencia en línea se encuentra intrínsecamente ligada a la violencia social. Muchas veces las agresiones digitales son antecedente o subsiguientes a la violencia física, y en América Latina esta situación tiene un matiz particular dado por una situación estructural de discriminación por motivos de etnia, género, clase social, edad o lugar de residencia. La precarización laboral y educativa, la feminización de la pobreza y las culturas sumamente machistas y misóginas contribuyen a aumentar las posibilidades de que las mujeres sufran algún tipo de violencia durante su vida.

Ser mujer es sinónimo de riesgo en cualquier parte del mundo. Según datos de la ONU, el 35 % de las mujeres ha sufrido violencia física en algún momento de su vida: en la salud son vulnerables al ser las más propensas a contraer VIH; en cuanto al pleno desarrollo también porque más de 750 millones de mujeres han sido obligadas a casarse aun siendo niñas; además, la educación está atravesada por 246 millones de niña/os violentada/os en estos espacios, y solo en la Unión Europea, una de cada diez mujeres ha sufrido una acoso en línea.

En América Latina la situación es más compleja: 60 mil mujeres son asesinadas al año en esta región; 14 de los 25 países con mayor índice de feminicidio a nivel mundial, se encuentran en AL; 30 % de las mujeres en la región ha sufrido violencia sexual por parte de un conocido o desconocido y de ellas, solo el 40% ha pedido ayuda después del ataque. Adicional a esto, por motivos de raza, clase, género o etnia, muchas mujeres latinas tienen menores posibilidades de recibir educación o tener acceso a internet.

La violencia en línea contra mujeres y niñas puede presentarse en forma de acoso, hostigamiento, difusión no consentida de contenido íntimo, expresiones discriminatorias, discursos de odio, extorsión, abuso sexual a través de las tecnologías, entre otras formas de agresiones que han sido documentadas por Luchadoras, APC y SocialTIC en México.

Este tipo de agresiones pueden tener como consecuencia una obstaculización a la inclusión digital de las mujeres pues junto a la exclusión estructural, nos pone en situación de desventaja respecto a la garantía de derechos como la libertad de expresión, el pleno desarrollo, la no discriminación, la salud física y mental.

La coerción de estos derechos repercute directamente en la manera como se desarrollan las mujeres en sus entornos. En una región donde las condiciones de vida están atravesadas por roles de género completamente dicotómicos y binarios -donde las mujeres han sido tradicionalmente educadas para la maternidad tradicional y la formación de una familia- y con una libertad limitada en el acceso al uso de TICs y a la red, se genera un sesgo que puede influir de manera tajante en el pleno desarrollo de las mujeres.

La falta de información gubernamental respecto al acceso de las mujeres a la tecnología, la falta de estadísticas sobre la violencia en línea, la poca inclusión de las mujeres a carreras afines a la ciencia y tecnología, la falta de perspectiva de género en la creación de políticas públicas, así como la brecha digital de género son también formas de violencia estructural contra las mujeres.

Todos estos factores son expresión de una sociedad dividida y dicotómica donde, en términos generales, las mujeres están confinadas a los ámbitos privados (el hogar y la familia) mientras que los hombres ocupan los espacios públicos (la escuela y el acceso a la tecnología). La exclusión e invisibilización de las mujeres, la falta de información y la perpetuación de un sistema patriarcal convierte a la violencia relacionada con el uso de las tecnología en un problema sistémico y de esta manera debe ser combatido y eliminado.

Chile en toma feminista

Ahora mismo en Chile hay 23 universidades en toma y 17 en paro, algo común en este momento del año, con la diferencia de que estas iniciativas son feministas y reclaman, urgentemente, mejorar los protocolos para sancionar el acoso y el abuso sexual al interior de las universidades, así como establecer campañas de acompañamiento psicológico para las víctimas. Con esta movilización se ha logrado visibilizar las situaciones de abuso que tradicionalmente han sido normalizadas y ocultadas en los entornos académicos y laborales, pero que en estos días ocupan un lugar central en la discusión pública.

En este proceso, internet ha sido una herramienta útil para amplificar la convocatoria, fortalecer los procesos de organización y difundir información sobre casos y demandas concretas. Sin embargo, al mismo tiempo se ha convertido en un espacio para las amenazas y el amedrentramiento de quienes poco a poco se han ido sumando a este movimiento, cuya fuerza pone en evidencia la deuda enorme que tiene la sociedad con las mujeres: garantizar nuestro derecho a una vida libre de violencias.

Sabemos que, en términos generales, el hecho de ser mujeres y participar en espacios digitales, implica exponernos a mucha violencia de género. Pero protestar es también nuestro derecho y no podemos permitir que el miedo y la costumbre nos confinen al silencio. Por eso, hemos organizado algunos consejos para hacer frente a las agresiones digitales que buscan debilitar nuestras acciones feministas, para identificarlas a tiempo, responder colectivamente e impedir que sus efectos sobre nuestros cuerpos, nuestras voces y acciones, sean mayores.

En las últimas semanas muchas mujeres han tenido que soportar el acoso y el discurso de odio en redes sociales, a veces enmascarado en explicaciones y ‘críticas constructivas’ sobre por qué las tomas feministas son una medida extrema que violenta al conjunto de la sociedad. Aunque sabemos que a estas alturas es casi inaceptable una expresión tan grande de ignorancia, consideramos que la mejor opción es concentrarnos en nuestro propio cuidado colectivo, procurarnos un poco de humor, exigir a los machitroles más esfuerzo en sus estrategias de crítica y recomendarles una mejor alimentación, al tiempo que generamos alertas que evidencien su agresión.

Sin embargo, hay quienes han ido más allá. Las mujeres que han denunciado a nombre propio el acoso y el abuso en sus entornos cercanos, han debido enfrentar el señalamiento y las amenazas directas, basadas en sus datos personales y su información íntima, el chantaje y la extorsión (por ejemplo, bajo amenaza de publicar información o imágenes íntimas) y el acceso no autorizado a sus cuentas y perfiles de redes.

Este es un asunto más delicado, pues busca producir en las víctimas una sensación de soledad y aislamiento del movimiento, así como angustia por los efectos que dichas amenazas puedan tener sobre su vida social y privada. Por eso, resaltamos cuatro niveles donde estas acciones violentas deben ser neutralizadas socialmente:

1. Las plataformas de redes sociales y las autoridades deben dar una respuesta efectiva para la protección de las víctimas y para detener las acciones que las están poniendo en situación de vulnerabildad. Si la respuesta no es efectiva -y probablemente así sea- debemos tener claro que la falta es de ellos, no de nosotras.

2. Las instituciones como universidades, centros de trabajo, medios de comunicación y figuras públicas deben reconocer los legítimos derechos de las mujeres movilizadas y comprometerse con su protección y acompañamiento. Las amenazas sobre difusión no consentida de imágenes e información personal no debería tener efectos negativos sobre la red de contactos de las víctimas. En la medida que la sociedad deje de culpar a las mujeres que exigen sus derechos, y de juzgar sus comportamientos privados, el efecto de las amenazas y el chantaje asociados a la difusión no consentida de contenidos íntimos, se reducirá hasta desaparecer.

3. Ante el señalamiento social y el evidente machismo estructural que ha obligado a cientos de universitarias en el país a movilizarse para exigir sus derechos, la primera y más necesaria respuesta es el acompañamiento incondicional y libre de juicios, entre nosotras mismas. Ninguna agresión será tan fuerte si contamos con una red de apoyo a nuestro alrededor. Eso lo entiende este movimiento y sin duda, es su más grande potencia.

4. Aunque esperamos que no siga pasando, si tú o alguna de tus compañeras ha sufrido este tipo de agresiones, hay algunas estrategias concretas que puedes tomar. Si los ataques se mantienen y en caso de que quieras iniciar alguna acción, es recomendable llevar una triste bitácora de los ataques y registrar con una captura de pantalla, y en una tabla de excel agregar la fecha, hora, tipo de ataque, link, contenido, el nivel de riesgo y las acciones de seguimiento. Cuando tú o una amiga tuya es víctima de chantaje, manipulación o sextorsión, acoso.online ofrece claves para denunciar y resistir dichos ataques.

Y para proteger nuestro activismo

El programa ‘mujeres en sintonía’ de la Red chilena contra la violencia hacia las mujeres realizó una serie de consejos para estudiantes en toma. Aquí aportamos una serie de recomendaciones y apoyo en materia de protección y autocuidado digital.

  • Proteger nuestros dispositivos es proteger a nuestras compañeras.

Si eres parte de un grupo movilizado y todavía no has activado la contraseña de inicio en tu celular, este es el momento de hacerlo. Mucho más si ahí tienes los teléfonos de tus compañeras, los grupos de coordinación en WhatsApp u otras apps de mensajería, fotos e información personal que podrían verse vulneradas. Proteger tu información personal es también proteger a tu red de amigas y compañeras. En Ciberseguras compilamos una serie de consejos para la movilización feminista.

  • Distribuir nuestras comunicaciones para que la tecnología nos apoye y no nos ponga en riesgo

¿Necesitamos coordinarlo todo a través de Facebook, aún sabiendo la cantidad de información personal que está expuesta ahí? Hagamos el ejercicio de separar nuestras comunicaciones de acuerdo a los diferentes objetivos, y resolvamos: ¿quiénes sí deberían tener acceso a las redes de coordinación interna?¿A través de qué plataforma nos conviene realizar exclusivamente la convocatoria a acciones? ¿Cuáles serán nuestros canales de difusión y qué datos personales no deberíamos publicar jamás en espacios o grupos de Facebook que son públicos? ¿Es tu número de teléfono personal o tu nombre completo en Facebook una información que podría exponerte a ataques?¿En qué casos es el anonimato una estrategia de lucha que descentraliza y fortalece el movimiento?

Este es el mejor momento para hacer del movimiento feminista una apuesta hacker: revisa tus configuraciones de privacidad y tus redes, comparte tus aprendizajes con tus amigas y no las juzgues por no saber. Acompáñalas. La seguridad digital es un aprendizaje constante; usemos la tecnología para nosotras sin exponer nuestros cuerpos o nuestras luchas. Estamos con ustedes.

¿Quién defiende nuestros datos?

Las empresas

Cuando lanzamos la primera versión de este informe hace un año, la principal conclusión fue que a la industria de las telecomunicaciones le preocupaba poco o muy poco la protección de datos y la privacidad de los usuarios. Nuestra segunda conclusión fue que las empresas controladas por capitales extranjeros fueron levemente mejor evaluadas que sus pares, probablemente por cumplir con estándares fijados por su casa matriz.

Un año después, la versión 2018 pinta un panorama un poco más auspicioso. Un sector de la industria (en particular Claro y WOM) parece haber reaccionado ante los cuestionamientos del informe y avanzó sustantivamente en sus condiciones de privacidad y prácticas en pos de la defensa de los usuarios. Por otra parte, VTR y Movistar parecen haberse dormido en los laureles de su evaluación relativamente positiva del año pasado, y no avanzaron sustantivamente. Por último, Entel y Manquehue se mantienen al fondo de la tabla, no habiendo mostrado mayor interés en mejorar.

Una de las principales mejoras, y que resulta particularmente positiva a la luz de la polémica por la aprobación del llamado Decreto Espía, es que un número importante de empresas anunció públicamente que exige orden judicial previa, no solo cuando la autoridad solicita interceptar comunicaciones, sino para entregar acceso a los metadatos del usuario.

También resulta llamativo que las dos empresas que más avanzaron (Claro y WOM), son justamente las empresas más presentes en el segmento móvil del mercado, que hoy presenta mayores niveles de competencia. Esto puede indicar que el bajo nivel de competencia que enfrentan las empresas más afianzadas en el mercado entrega pocos incentivos para que estas ofrezcan mejoras en las condiciones de privacidad de sus usuarios.

La sociedad civil

Cuando nos preguntamos quienes recolectan, tratan y abusan de nuestros datos, los dardos generalmente apuntan al Estado y las empresas. Sin embargo, muchas organizaciones de la sociedad civil, como ONGs, partidos políticos, sindicatos y otros cuerpos intermedios también manejan grandes bases de datos personales, los que por un interés activo o por negligencia pueden ser mal utilizados.

Por su volumen, las bases de datos que los partidos políticos manejan al momento de desplegar sus campañas electorales son de particular importancia. Este año, nos enteramos que el mal uso de nuestros datos personales por parte de los partidos políticos va más allá de la compra de bases de datos y de mensajes de texto no solicitados.

En un extenso reportaje, CIPER dio a conocer que distintos partidos políticos han contratado los servicios de la empresa Instagis. A través de su software, la empresa permitiría identificar el RUT, domicilio y preferencia política de una persona, y de esta forma entregar publicidad personalizada durante las campañas políticas. Cabe recordar que las preferencias políticas de una persona constituyen un dato personal sensible, y por tanto su tratamiento no puede ampararse en haberse obtenido los datos de una fuente accesible al público. En otras palabras, estos partidos políticos están haciendo campaña a través de una herramienta que abusa de nuestros datos personales y está al margen de la legalidad.

Aun así, al igual que en el caso de las empresas de telecomunicaciones, hay un sector de los partidos políticos que ha decidido avanzar en la materia. Recientemente, el Frente Amplio ha buscado asesoría entre distintos expertos, con el fin de que su plataforma de participación no solo cumpla con la legislación, sino que entregue términos de privacidad que promuevan los derechos de sus participantes.

El Estado

Lamentablemente, y como hemos expresado en el pasado, los organismos público no solo no están cumpliendo con su deber de proteger los datos personales de los ciudadanos, sino que muchas de las iniciativas del gobierno activamente los exponen innecesariamente, o incluso como una forma de castigo.

De esta forma, la Ley Electoral todavía mandata que nuestros datos personales estén públicamente disponibles en el sitio web del SERVEL. Por otro lado, el próximo 5 de junio entrará a regir el denominado “DICOM del Transantiago”, una iniciativa que busca combatir la evasión del transporte público a través de un registro abierto cuyo objetivo es que los datos personales de los infractores sean expuestos, y así se vean discriminados en su acceso al trabajo, crédito y otros beneficios estatales.

¿El camino a seguir?

Si bien muchas de las mejoras antes descritas pueden resultar loables, lo cierto es que no bastan las iniciativas individuales. Necesitamos de una nueva legislación que impulse una cultura de la protección de datos a nivel transversal en nuestra sociedad.

El proyecto que hoy se encuentra actuamente en tramitación en el Senado se presenta como una oportunidad necesaria para mejorar nuestro estándar de protección y poder contar con una legislación cuyo objetivo sea proteger a las personas y no solo legitimar el tráfico de datos personales.

Sin embargo, para ello el proyecto debe modificar sustancialmente varias de sus disposiciones. Como hoy está contemplada, la futura Agencia de Protección de Datos Personales no cuenta con la autonomía e independencia necesaria del gobierno de turno para asegurar que sus decisiones sean de carácter exclusivamente técnico. Del mismo modo, resulta imperioso volver a incorporar los hábitos de las personas en la definición de dato personal sensible y restringir sustantivamente la figura del “interés legítimo” como causal para el tratamiento de datos personales sin el consentimiento del titular. Por último, es necesario aumentar el monto de las multas en casos graves o reincidentes, de forma tal que resulte un real desincentivo para las empresas de mayor tamaño. Tal vez emular la fórmula adoptada por la nueva versión Reglamento General de Protección de Datos, pronto a publicarse este mes, y que las multas asciendan hasta un 4% de los ingresos anuales de la empresa infractora resulte una buena idea a emular.

Los senadores tienen plazo hasta el 7 de junio para ingresar indicaciones al proyecto de ley, esperamos que las mejoras antes descritas puedan ser incorporadas a la discusión y debatidas, y de esta forma que sea la protección de los derechos de las personas el principal objetivo de nuestra legislación. Solo de esta forma podremos asegurar que la protección de los datos personales se transforme en la regla general en Chile, y no esté sujeta simplemente a la buena voluntad de los distintos actores involucrados.

Lejos de proteger nuestros datos en América Latina

Estamos a pocas semanas de que el Reglamento General de Protección de Datos (RGPD) entre en plena vigencia en la Unión Europea, y los efectos comienzan a notarse. La reglamentación contempla un entramado de normas que facilita el resguardo de los datos personales, incluyendo el tránsito de información personal que ocurre en el uso de tecnología digital. Varias empresas ya están luciendo nuevas políticas de manejo de datos, y haciendo saber a sus usuarias que han cambiado sus términos y condiciones de uso. Todo ello, para evitar las fuertes sanciones que imponen las nuevas reglas.

Ese cambio de conducta es significativo. No se trata solamente de una cuestión de cumplimiento legal, sino que se vincula directamente con el modelo de negocios de muchas de las empresas más grandes del mundo y que operan en internet. La monetarización basada en la recolección y el procesamiento de los datos personales enfrenta, al menos en la Unión Europea, algo más que un reproche ético y político, sumando ahora la necesidad de respetar una serie de reglas que devuelven un poco de control sobre los datos propios.

El nuevo estándar

El RGPD, aprobado en 2016, representa una evolución de la normativa de la Unión Europea para la protección de datos personales, pensada en el impacto de las tecnologías de información, y las condiciones actuales de recolección y procesamiento de datos personales. Entre otras cosas, el RGPD exige que la recolección de datos sea hecha mediando consentimiento previo, explícito, informado, libre y verificable; permite la portabilidad de los datos desde un controlador a otro; incorpora y regula el derecho a la supresión (u “olvido” desde índices); limita el uso de datos obtenidos de terceras personas a aquel obtenido bajo las condiciones propias del Reglamento; establece principios como el de privacidad por diseño y por defecto; regula más estrictamente la recolección y uso de la información de menores de edad, y más.

De forma quizás más relevante para los gigantes de internet, el RGPD los somete a un sistema de observancia particularmente duro. Además de la obligación de notificar en casos de fugas de datos o quiebres de seguridad, y de variar en las reglas sobre responsabilidad, las sanciones pueden elevarse hasta un 4% de los ingresos globales de la entidad infractora (o 20 millones de euros, según lo que sea mayor). Y ese nivel de impacto monetario es un serio desincentivo: los ingresos de Facebook no fueron seriamente mermados cuando en 2016 fueron multados por € 110 millones por proveer información incompleta tras la adquisición de WhatsApp. La sanción por infringir el RGPD podría ser muchísimo mayor. La pregunta que cabe, entonces, es si ese riesgo es suficiente para cambiar prácticas de uso de información personal y con ello los modelos de negocios a nivel global.

¿Nuevo estándar global?

La aplicación directa del RGPD en la Unión Europea se condice con la estrategia del bloque para agilizar el comercio, manteniendo un mismo nivel de protección en todos los países de la UE. Las transferencias internacionales quedan también sujetas a la existencia de certificación del nivel adecuado de protección de datos personales en los países con los que exista ese flujo de datos, o bien a la existencia de garantías adecuadas.

Por cierto, rigen tales reglas dentro del territorio de la Unión y para sus ciudadanos donde se encuentren, sin que para ello importe la ubicación comercial formal de las empresas, quedando estas obligadas por el hecho de operar allí o alcanzar con sus servicios a ciudadanos de la Unión. Esto es una obligación para quienes deseen continuar prestando servicios a una audiencia europea, sin embargo, ello no significa necesariamente que todos los cambios vayan a ser aplicables alrededor del mundo donde tales empresas también prestan sus servicios. Después de la audiencia de su CEO ante miembros del Senado estadounidense, Facebook tuvo que salir a aclarar que aplicará iguales condiciones de protección para la UE que para el resto del mundo, y no solamente los “controles” a los que obliga el RGPD; no obstante, subsiste la duda sobre si fuera de la UE esta y otras empresas abandonarán sus prácticas de recolección de datos masiva y su modelo de negocios basado en servicios a terceros a partir de los datos recolectados, o si adoptará por fin la privacidad por diseño.

Entonces, ¿se aplicarán estas reglas de protección allí donde el servicio alcanza igualmente a usuarios europeos y latinoamericanos? En parte, podríamos esperar que sí. Pero eso no es en absoluto suficiente para asegurar el pleno respeto de los derechos de las internautas en América Latina. Los cambios introducidos por el RGPD sirven como una demostración adicional del relativo abandono en que buena parte de la región mantiene sus reglas de protección de datos personales. Porque no existen, porque llevan años de tramitación como en Brasil y Chile, o porque sus alcances operativos son limitados.

La autorregulación, a estas alturas, es deseable pero insuficiente. En el espacio que brinda la ausencia de reglas protectoras, han nacido prácticas con décadas de asentamiento, como la recolección de huellas dactilares o números de identidad para condicionar la entrega de servicios, la formación de bases de datos opacas, fugas de datos sin compensación alguna, y un constante desdén por la idea del consentimiento y la finalidad. Si las reglas del RGPD contribuyen al establecimiento de un nuevo estándar global, es exigible a los gobiernos de América Latina que contemplen ese estándar como la guía para la protección de sus propias ciudadanías. No es una cuestión de mera información o transparencia, sino de igualdad, libertad, autonomía y dignidad.