Tipo de contenido (Recurso): Columnas

Un vistazo a las potenciales vulnerabilidades de WhatsApp

Simplificado a su mínima expresión, el gran problema que ha planteado el acelerado desarrollo tecnológico es de confianza. Porque está claro que la mejor alternativa que tenemos para un mejor mañana radica en el desarrollo tecnológico, muchas veces olvidamos que no estamos hablando de una entidad única, independiente, todopoderosa y, sobre todo, esencialmente buena. Nuestra necesidad de confiar en la tecnología dificulta nuestra capacidad de desarrollar un sano ejercicio crítico y pensarla no como una unidad homogénea y articulada sincrónicamente, sino como un campo plural: no todas las tecnologías son creadas iguales.

Parte importante del problema de la confianza ciega en la tecnología deriva del hecho de que no sabemos cómo funcionan; no es necesario, la meta de cualquier tecnología con ganas de imponerse es volverse intuitiva al punto de que no requiera esfuerzo alguno hasta del más inexperto de los usuarios. Este desconocimiento nos permite también integrar nuevas tecnologías a nuestras vidas sin pensar demasiado en las implicancias de ese acto: ¿estaríamos tan dispuestos a poner nuestras vidas en un teléfono si supiésemos las diversas formas en que esa información puede ser accedida por otros, recolectada y procesada? Hay ciertas cosas en las que preferimos no pensar mucho, aunque debiésemos.

¿Y qué pasa cuando la tecnología nos traiciona, cuando algo falla? ¿Cómo podemos obtener alguna certeza al respecto? ¿En quién podemos confiar? Estas fueron algunas de las preguntas que se desprendieron en septiembre de 2017, cuando Carabineros de Chile explicó con gran pompa a través de la prensa que gracias a la interceptación de conversaciones de WhatsApp había logrado identificar a los responsables de una serie de ataques incendiarios contra camiones forestales en la novena región del país. Huracán se llamó el operativo.

En su momento, salvo contadas excepciones, todas las voces oficiales asumieron el hecho sin cuestionarlo, sin preguntarse cuáles eran las implicancias de un antecedente fundamental, pero mencionado al paso. Y resultó que las implicancias eran monumentales: cuatro meses más tarde, el Ministerio Público y Carabineros se veían enfrentados en una serie de denuncias que mantienen a funcionarios policiales y un civil acusados de fabricación de pruebas para inculpar inocentes.

El vuelco del caso ha sido extraño y, por momentos, raya en lo tragicómico. Pero, por sobre todo, ha sido increíblemente confuso y complejo: mientras la atención se ha centrado en discutir en torno a la existencia (o no) de un software llamado Antorcha, prácticas como la intervención telefónica ilegal a gran escala han pasado prácticamente desapercibidas en el debate público; el peligro es que muchas interrogantes queden sin una debida explicación.

Como una forma de aportar certezas a una causa extremadamente compleja, el equipo técnico de Derechos Digitales se planteó una pregunta: ¿De qué manera se podrían obtener las conversaciones de WhatsApp de un tercero? En base a información de prensa en torno al caso Huracán y la documentación técnicamente existente, el equipo testeó distintas formas en las que teóricamente se puede acceder al contenido de las comunicaciones de Whatsapp. La idea era poder aproximar una respuesta respecto a la factibilidad del ataque y las capacidades que podría (o no) tener Carabineros de Chile para realizar este tipo de intrusión. Esta información esta contenida en ‘¿Confiable y seguro? un vistazo a las potenciales vulnerabilidades de WhatsApp‘, hoy publicado.

Pero en un sentido mucho más amplio, el objetivo de esta investigación era conocer un poco más respecto al funcionamiento de WhatsApp y sus potenciales vulnerabilidades, como una manera de generar información adicional que las poblaciones en mayor riesgo –activistas, periodistas, defensores de derechos humanos- puedan considerar a la hora de decidir respecto al uso de la aplicación y los cuidados necesarios que deben tener para una experiencia lo más segura posible.

Cabe recordar que ninguna tecnología es infalible, en el mejor de los casos sus vulnerabilidad no son públicamente conocidas. En ese sentido, el estándar de cifrado de WhatsApp es alto y las técnicas analizadas por el equipo de Derechos Digitales revelan que, de ser posible, la intervención es compleja y requiere una serie de pasos previos, siendo en la mayoría de los casos necesario tener acceso físico previo al teléfono. Sin embargo, nunca está de más recordar que el cifrado es una protección contra un tipo determinado de ataque y poco tiene que aportar en caso de que un tercero pueda manipular un equipo o que una de las partes participantes de la conversación entregue la información.

Relevante también es decir que nuestro análisis arroja que, de haberse realizado alguno de los ataques detallados en el informe, estaríamos frente a una ilegalidad. Lo anterior es importante, pues más allá de si las informaciones presentadas en el marco de operación Huracán son verdaderas o falsas, lo que está completamente claro es el deseo expreso de las policías chilenas por utilizar este tipo de técnicas con fines investigativos.

Estamos seguros de que Huracán no es ni el primero ni será el último caso con estas características y lo que hoy puede ser desprolijo, podría ser un paso necesario en una vía hacia el perfeccionamiento de unas técnicas de vigilancia que, de no contar con la adecuada regulación y medidas de control acordes, podría devenir en una amenaza importante a nuestra democracia.

Un sistema que promueve la violencia de género en línea

La violencia en línea se encuentra intrínsecamente ligada a la violencia social. Muchas veces las agresiones digitales son antecedente o subsiguientes a la violencia física, y en América Latina esta situación tiene un matiz particular dado por una situación estructural de discriminación por motivos de etnia, género, clase social, edad o lugar de residencia. La precarización laboral y educativa, la feminización de la pobreza y las culturas sumamente machistas y misóginas contribuyen a aumentar las posibilidades de que las mujeres sufran algún tipo de violencia durante su vida.

Ser mujer es sinónimo de riesgo en cualquier parte del mundo. Según datos de la ONU, el 35 % de las mujeres ha sufrido violencia física en algún momento de su vida: en la salud son vulnerables al ser las más propensas a contraer VIH; en cuanto al pleno desarrollo también porque más de 750 millones de mujeres han sido obligadas a casarse aun siendo niñas; además, la educación está atravesada por 246 millones de niña/os violentada/os en estos espacios, y solo en la Unión Europea, una de cada diez mujeres ha sufrido una acoso en línea.

En América Latina la situación es más compleja: 60 mil mujeres son asesinadas al año en esta región; 14 de los 25 países con mayor índice de feminicidio a nivel mundial, se encuentran en AL; 30 % de las mujeres en la región ha sufrido violencia sexual por parte de un conocido o desconocido y de ellas, solo el 40% ha pedido ayuda después del ataque. Adicional a esto, por motivos de raza, clase, género o etnia, muchas mujeres latinas tienen menores posibilidades de recibir educación o tener acceso a internet.

La violencia en línea contra mujeres y niñas puede presentarse en forma de acoso, hostigamiento, difusión no consentida de contenido íntimo, expresiones discriminatorias, discursos de odio, extorsión, abuso sexual a través de las tecnologías, entre otras formas de agresiones que han sido documentadas por Luchadoras, APC y SocialTIC en México.

Este tipo de agresiones pueden tener como consecuencia una obstaculización a la inclusión digital de las mujeres pues junto a la exclusión estructural, nos pone en situación de desventaja respecto a la garantía de derechos como la libertad de expresión, el pleno desarrollo, la no discriminación, la salud física y mental.

La coerción de estos derechos repercute directamente en la manera como se desarrollan las mujeres en sus entornos. En una región donde las condiciones de vida están atravesadas por roles de género completamente dicotómicos y binarios -donde las mujeres han sido tradicionalmente educadas para la maternidad tradicional y la formación de una familia- y con una libertad limitada en el acceso al uso de TICs y a la red, se genera un sesgo que puede influir de manera tajante en el pleno desarrollo de las mujeres.

La falta de información gubernamental respecto al acceso de las mujeres a la tecnología, la falta de estadísticas sobre la violencia en línea, la poca inclusión de las mujeres a carreras afines a la ciencia y tecnología, la falta de perspectiva de género en la creación de políticas públicas, así como la brecha digital de género son también formas de violencia estructural contra las mujeres.

Todos estos factores son expresión de una sociedad dividida y dicotómica donde, en términos generales, las mujeres están confinadas a los ámbitos privados (el hogar y la familia) mientras que los hombres ocupan los espacios públicos (la escuela y el acceso a la tecnología). La exclusión e invisibilización de las mujeres, la falta de información y la perpetuación de un sistema patriarcal convierte a la violencia relacionada con el uso de las tecnología en un problema sistémico y de esta manera debe ser combatido y eliminado.

Chile en toma feminista

Ahora mismo en Chile hay 23 universidades en toma y 17 en paro, algo común en este momento del año, con la diferencia de que estas iniciativas son feministas y reclaman, urgentemente, mejorar los protocolos para sancionar el acoso y el abuso sexual al interior de las universidades, así como establecer campañas de acompañamiento psicológico para las víctimas. Con esta movilización se ha logrado visibilizar las situaciones de abuso que tradicionalmente han sido normalizadas y ocultadas en los entornos académicos y laborales, pero que en estos días ocupan un lugar central en la discusión pública.

En este proceso, internet ha sido una herramienta útil para amplificar la convocatoria, fortalecer los procesos de organización y difundir información sobre casos y demandas concretas. Sin embargo, al mismo tiempo se ha convertido en un espacio para las amenazas y el amedrentramiento de quienes poco a poco se han ido sumando a este movimiento, cuya fuerza pone en evidencia la deuda enorme que tiene la sociedad con las mujeres: garantizar nuestro derecho a una vida libre de violencias.

Sabemos que, en términos generales, el hecho de ser mujeres y participar en espacios digitales, implica exponernos a mucha violencia de género. Pero protestar es también nuestro derecho y no podemos permitir que el miedo y la costumbre nos confinen al silencio. Por eso, hemos organizado algunos consejos para hacer frente a las agresiones digitales que buscan debilitar nuestras acciones feministas, para identificarlas a tiempo, responder colectivamente e impedir que sus efectos sobre nuestros cuerpos, nuestras voces y acciones, sean mayores.

En las últimas semanas muchas mujeres han tenido que soportar el acoso y el discurso de odio en redes sociales, a veces enmascarado en explicaciones y ‘críticas constructivas’ sobre por qué las tomas feministas son una medida extrema que violenta al conjunto de la sociedad. Aunque sabemos que a estas alturas es casi inaceptable una expresión tan grande de ignorancia, consideramos que la mejor opción es concentrarnos en nuestro propio cuidado colectivo, procurarnos un poco de humor, exigir a los machitroles más esfuerzo en sus estrategias de crítica y recomendarles una mejor alimentación, al tiempo que generamos alertas que evidencien su agresión.

Sin embargo, hay quienes han ido más allá. Las mujeres que han denunciado a nombre propio el acoso y el abuso en sus entornos cercanos, han debido enfrentar el señalamiento y las amenazas directas, basadas en sus datos personales y su información íntima, el chantaje y la extorsión (por ejemplo, bajo amenaza de publicar información o imágenes íntimas) y el acceso no autorizado a sus cuentas y perfiles de redes.

Este es un asunto más delicado, pues busca producir en las víctimas una sensación de soledad y aislamiento del movimiento, así como angustia por los efectos que dichas amenazas puedan tener sobre su vida social y privada. Por eso, resaltamos cuatro niveles donde estas acciones violentas deben ser neutralizadas socialmente:

1. Las plataformas de redes sociales y las autoridades deben dar una respuesta efectiva para la protección de las víctimas y para detener las acciones que las están poniendo en situación de vulnerabildad. Si la respuesta no es efectiva -y probablemente así sea- debemos tener claro que la falta es de ellos, no de nosotras.

2. Las instituciones como universidades, centros de trabajo, medios de comunicación y figuras públicas deben reconocer los legítimos derechos de las mujeres movilizadas y comprometerse con su protección y acompañamiento. Las amenazas sobre difusión no consentida de imágenes e información personal no debería tener efectos negativos sobre la red de contactos de las víctimas. En la medida que la sociedad deje de culpar a las mujeres que exigen sus derechos, y de juzgar sus comportamientos privados, el efecto de las amenazas y el chantaje asociados a la difusión no consentida de contenidos íntimos, se reducirá hasta desaparecer.

3. Ante el señalamiento social y el evidente machismo estructural que ha obligado a cientos de universitarias en el país a movilizarse para exigir sus derechos, la primera y más necesaria respuesta es el acompañamiento incondicional y libre de juicios, entre nosotras mismas. Ninguna agresión será tan fuerte si contamos con una red de apoyo a nuestro alrededor. Eso lo entiende este movimiento y sin duda, es su más grande potencia.

4. Aunque esperamos que no siga pasando, si tú o alguna de tus compañeras ha sufrido este tipo de agresiones, hay algunas estrategias concretas que puedes tomar. Si los ataques se mantienen y en caso de que quieras iniciar alguna acción, es recomendable llevar una triste bitácora de los ataques y registrar con una captura de pantalla, y en una tabla de excel agregar la fecha, hora, tipo de ataque, link, contenido, el nivel de riesgo y las acciones de seguimiento. Cuando tú o una amiga tuya es víctima de chantaje, manipulación o sextorsión, acoso.online ofrece claves para denunciar y resistir dichos ataques.

Y para proteger nuestro activismo

El programa ‘mujeres en sintonía’ de la Red chilena contra la violencia hacia las mujeres realizó una serie de consejos para estudiantes en toma. Aquí aportamos una serie de recomendaciones y apoyo en materia de protección y autocuidado digital.

  • Proteger nuestros dispositivos es proteger a nuestras compañeras.

Si eres parte de un grupo movilizado y todavía no has activado la contraseña de inicio en tu celular, este es el momento de hacerlo. Mucho más si ahí tienes los teléfonos de tus compañeras, los grupos de coordinación en WhatsApp u otras apps de mensajería, fotos e información personal que podrían verse vulneradas. Proteger tu información personal es también proteger a tu red de amigas y compañeras. En Ciberseguras compilamos una serie de consejos para la movilización feminista.

  • Distribuir nuestras comunicaciones para que la tecnología nos apoye y no nos ponga en riesgo

¿Necesitamos coordinarlo todo a través de Facebook, aún sabiendo la cantidad de información personal que está expuesta ahí? Hagamos el ejercicio de separar nuestras comunicaciones de acuerdo a los diferentes objetivos, y resolvamos: ¿quiénes sí deberían tener acceso a las redes de coordinación interna?¿A través de qué plataforma nos conviene realizar exclusivamente la convocatoria a acciones? ¿Cuáles serán nuestros canales de difusión y qué datos personales no deberíamos publicar jamás en espacios o grupos de Facebook que son públicos? ¿Es tu número de teléfono personal o tu nombre completo en Facebook una información que podría exponerte a ataques?¿En qué casos es el anonimato una estrategia de lucha que descentraliza y fortalece el movimiento?

Este es el mejor momento para hacer del movimiento feminista una apuesta hacker: revisa tus configuraciones de privacidad y tus redes, comparte tus aprendizajes con tus amigas y no las juzgues por no saber. Acompáñalas. La seguridad digital es un aprendizaje constante; usemos la tecnología para nosotras sin exponer nuestros cuerpos o nuestras luchas. Estamos con ustedes.

¿Quién defiende nuestros datos?

Las empresas

Cuando lanzamos la primera versión de este informe hace un año, la principal conclusión fue que a la industria de las telecomunicaciones le preocupaba poco o muy poco la protección de datos y la privacidad de los usuarios. Nuestra segunda conclusión fue que las empresas controladas por capitales extranjeros fueron levemente mejor evaluadas que sus pares, probablemente por cumplir con estándares fijados por su casa matriz.

Un año después, la versión 2018 pinta un panorama un poco más auspicioso. Un sector de la industria (en particular Claro y WOM) parece haber reaccionado ante los cuestionamientos del informe y avanzó sustantivamente en sus condiciones de privacidad y prácticas en pos de la defensa de los usuarios. Por otra parte, VTR y Movistar parecen haberse dormido en los laureles de su evaluación relativamente positiva del año pasado, y no avanzaron sustantivamente. Por último, Entel y Manquehue se mantienen al fondo de la tabla, no habiendo mostrado mayor interés en mejorar.

Una de las principales mejoras, y que resulta particularmente positiva a la luz de la polémica por la aprobación del llamado Decreto Espía, es que un número importante de empresas anunció públicamente que exige orden judicial previa, no solo cuando la autoridad solicita interceptar comunicaciones, sino para entregar acceso a los metadatos del usuario.

También resulta llamativo que las dos empresas que más avanzaron (Claro y WOM), son justamente las empresas más presentes en el segmento móvil del mercado, que hoy presenta mayores niveles de competencia. Esto puede indicar que el bajo nivel de competencia que enfrentan las empresas más afianzadas en el mercado entrega pocos incentivos para que estas ofrezcan mejoras en las condiciones de privacidad de sus usuarios.

La sociedad civil

Cuando nos preguntamos quienes recolectan, tratan y abusan de nuestros datos, los dardos generalmente apuntan al Estado y las empresas. Sin embargo, muchas organizaciones de la sociedad civil, como ONGs, partidos políticos, sindicatos y otros cuerpos intermedios también manejan grandes bases de datos personales, los que por un interés activo o por negligencia pueden ser mal utilizados.

Por su volumen, las bases de datos que los partidos políticos manejan al momento de desplegar sus campañas electorales son de particular importancia. Este año, nos enteramos que el mal uso de nuestros datos personales por parte de los partidos políticos va más allá de la compra de bases de datos y de mensajes de texto no solicitados.

En un extenso reportaje, CIPER dio a conocer que distintos partidos políticos han contratado los servicios de la empresa Instagis. A través de su software, la empresa permitiría identificar el RUT, domicilio y preferencia política de una persona, y de esta forma entregar publicidad personalizada durante las campañas políticas. Cabe recordar que las preferencias políticas de una persona constituyen un dato personal sensible, y por tanto su tratamiento no puede ampararse en haberse obtenido los datos de una fuente accesible al público. En otras palabras, estos partidos políticos están haciendo campaña a través de una herramienta que abusa de nuestros datos personales y está al margen de la legalidad.

Aun así, al igual que en el caso de las empresas de telecomunicaciones, hay un sector de los partidos políticos que ha decidido avanzar en la materia. Recientemente, el Frente Amplio ha buscado asesoría entre distintos expertos, con el fin de que su plataforma de participación no solo cumpla con la legislación, sino que entregue términos de privacidad que promuevan los derechos de sus participantes.

El Estado

Lamentablemente, y como hemos expresado en el pasado, los organismos público no solo no están cumpliendo con su deber de proteger los datos personales de los ciudadanos, sino que muchas de las iniciativas del gobierno activamente los exponen innecesariamente, o incluso como una forma de castigo.

De esta forma, la Ley Electoral todavía mandata que nuestros datos personales estén públicamente disponibles en el sitio web del SERVEL. Por otro lado, el próximo 5 de junio entrará a regir el denominado “DICOM del Transantiago”, una iniciativa que busca combatir la evasión del transporte público a través de un registro abierto cuyo objetivo es que los datos personales de los infractores sean expuestos, y así se vean discriminados en su acceso al trabajo, crédito y otros beneficios estatales.

¿El camino a seguir?

Si bien muchas de las mejoras antes descritas pueden resultar loables, lo cierto es que no bastan las iniciativas individuales. Necesitamos de una nueva legislación que impulse una cultura de la protección de datos a nivel transversal en nuestra sociedad.

El proyecto que hoy se encuentra actuamente en tramitación en el Senado se presenta como una oportunidad necesaria para mejorar nuestro estándar de protección y poder contar con una legislación cuyo objetivo sea proteger a las personas y no solo legitimar el tráfico de datos personales.

Sin embargo, para ello el proyecto debe modificar sustancialmente varias de sus disposiciones. Como hoy está contemplada, la futura Agencia de Protección de Datos Personales no cuenta con la autonomía e independencia necesaria del gobierno de turno para asegurar que sus decisiones sean de carácter exclusivamente técnico. Del mismo modo, resulta imperioso volver a incorporar los hábitos de las personas en la definición de dato personal sensible y restringir sustantivamente la figura del “interés legítimo” como causal para el tratamiento de datos personales sin el consentimiento del titular. Por último, es necesario aumentar el monto de las multas en casos graves o reincidentes, de forma tal que resulte un real desincentivo para las empresas de mayor tamaño. Tal vez emular la fórmula adoptada por la nueva versión Reglamento General de Protección de Datos, pronto a publicarse este mes, y que las multas asciendan hasta un 4% de los ingresos anuales de la empresa infractora resulte una buena idea a emular.

Los senadores tienen plazo hasta el 7 de junio para ingresar indicaciones al proyecto de ley, esperamos que las mejoras antes descritas puedan ser incorporadas a la discusión y debatidas, y de esta forma que sea la protección de los derechos de las personas el principal objetivo de nuestra legislación. Solo de esta forma podremos asegurar que la protección de los datos personales se transforme en la regla general en Chile, y no esté sujeta simplemente a la buena voluntad de los distintos actores involucrados.

Lejos de proteger nuestros datos en América Latina

Estamos a pocas semanas de que el Reglamento General de Protección de Datos (RGPD) entre en plena vigencia en la Unión Europea, y los efectos comienzan a notarse. La reglamentación contempla un entramado de normas que facilita el resguardo de los datos personales, incluyendo el tránsito de información personal que ocurre en el uso de tecnología digital. Varias empresas ya están luciendo nuevas políticas de manejo de datos, y haciendo saber a sus usuarias que han cambiado sus términos y condiciones de uso. Todo ello, para evitar las fuertes sanciones que imponen las nuevas reglas.

Ese cambio de conducta es significativo. No se trata solamente de una cuestión de cumplimiento legal, sino que se vincula directamente con el modelo de negocios de muchas de las empresas más grandes del mundo y que operan en internet. La monetarización basada en la recolección y el procesamiento de los datos personales enfrenta, al menos en la Unión Europea, algo más que un reproche ético y político, sumando ahora la necesidad de respetar una serie de reglas que devuelven un poco de control sobre los datos propios.

El nuevo estándar

El RGPD, aprobado en 2016, representa una evolución de la normativa de la Unión Europea para la protección de datos personales, pensada en el impacto de las tecnologías de información, y las condiciones actuales de recolección y procesamiento de datos personales. Entre otras cosas, el RGPD exige que la recolección de datos sea hecha mediando consentimiento previo, explícito, informado, libre y verificable; permite la portabilidad de los datos desde un controlador a otro; incorpora y regula el derecho a la supresión (u “olvido” desde índices); limita el uso de datos obtenidos de terceras personas a aquel obtenido bajo las condiciones propias del Reglamento; establece principios como el de privacidad por diseño y por defecto; regula más estrictamente la recolección y uso de la información de menores de edad, y más.

De forma quizás más relevante para los gigantes de internet, el RGPD los somete a un sistema de observancia particularmente duro. Además de la obligación de notificar en casos de fugas de datos o quiebres de seguridad, y de variar en las reglas sobre responsabilidad, las sanciones pueden elevarse hasta un 4% de los ingresos globales de la entidad infractora (o 20 millones de euros, según lo que sea mayor). Y ese nivel de impacto monetario es un serio desincentivo: los ingresos de Facebook no fueron seriamente mermados cuando en 2016 fueron multados por € 110 millones por proveer información incompleta tras la adquisición de WhatsApp. La sanción por infringir el RGPD podría ser muchísimo mayor. La pregunta que cabe, entonces, es si ese riesgo es suficiente para cambiar prácticas de uso de información personal y con ello los modelos de negocios a nivel global.

¿Nuevo estándar global?

La aplicación directa del RGPD en la Unión Europea se condice con la estrategia del bloque para agilizar el comercio, manteniendo un mismo nivel de protección en todos los países de la UE. Las transferencias internacionales quedan también sujetas a la existencia de certificación del nivel adecuado de protección de datos personales en los países con los que exista ese flujo de datos, o bien a la existencia de garantías adecuadas.

Por cierto, rigen tales reglas dentro del territorio de la Unión y para sus ciudadanos donde se encuentren, sin que para ello importe la ubicación comercial formal de las empresas, quedando estas obligadas por el hecho de operar allí o alcanzar con sus servicios a ciudadanos de la Unión. Esto es una obligación para quienes deseen continuar prestando servicios a una audiencia europea, sin embargo, ello no significa necesariamente que todos los cambios vayan a ser aplicables alrededor del mundo donde tales empresas también prestan sus servicios. Después de la audiencia de su CEO ante miembros del Senado estadounidense, Facebook tuvo que salir a aclarar que aplicará iguales condiciones de protección para la UE que para el resto del mundo, y no solamente los “controles” a los que obliga el RGPD; no obstante, subsiste la duda sobre si fuera de la UE esta y otras empresas abandonarán sus prácticas de recolección de datos masiva y su modelo de negocios basado en servicios a terceros a partir de los datos recolectados, o si adoptará por fin la privacidad por diseño.

Entonces, ¿se aplicarán estas reglas de protección allí donde el servicio alcanza igualmente a usuarios europeos y latinoamericanos? En parte, podríamos esperar que sí. Pero eso no es en absoluto suficiente para asegurar el pleno respeto de los derechos de las internautas en América Latina. Los cambios introducidos por el RGPD sirven como una demostración adicional del relativo abandono en que buena parte de la región mantiene sus reglas de protección de datos personales. Porque no existen, porque llevan años de tramitación como en Brasil y Chile, o porque sus alcances operativos son limitados.

La autorregulación, a estas alturas, es deseable pero insuficiente. En el espacio que brinda la ausencia de reglas protectoras, han nacido prácticas con décadas de asentamiento, como la recolección de huellas dactilares o números de identidad para condicionar la entrega de servicios, la formación de bases de datos opacas, fugas de datos sin compensación alguna, y un constante desdén por la idea del consentimiento y la finalidad. Si las reglas del RGPD contribuyen al establecimiento de un nuevo estándar global, es exigible a los gobiernos de América Latina que contemplen ese estándar como la guía para la protección de sus propias ciudadanías. No es una cuestión de mera información o transparencia, sino de igualdad, libertad, autonomía y dignidad.

Feliz día de la propiedad intelectual

Sin lugar a dudas se trató de una instancia sumamente grata e interesante. Pero casi al final del evento, durante una revisión mundial de los procesos de reforma a las leyes de derecho de autor, comenzó a tomar forma en mi cabeza una idea que hace un tiempo viene y va, sin terminar de definirse por completo: ¿será posible que la lucha en América Latina por un régimen de derecho de autor más justo descanse excesivamente en el argumento legal? Yo sé, no es la mejor pregunta del mundo y necesita ser matizada varias veces antes de poder llegar al fondo de lo que – creo – estoy tratando de plantear. Por favor, paciencia.

En primer lugar, evidentemente el aspecto legal es ineludible en la discusión sobre el derecho de autor, porque aunque los principios y consecuencias políticas que instala exceden la ley, es en ella donde se plasman. Es, por lo tanto, fundamental seguir esa pista y participar de esos debates, más cuando varios países de la región (Colombia, Panamá, Uruguay) están enfrentando procesos de reforma a ley de derecho de autor, de modo que es un espacio que no hay que descuidar.

A eso se suman los tratados de libre comercio que distintos países de la región están negociando y que involucran también una discusión sobre el régimen de derecho de autor; es el caso del tratado entre Mercosur y la Unión Europea.

Habrá que mantenerse atentos también a lo que pueda pasar con el TPP (¿CPTPP?) ahora que Donald Trump ha manifestado intensiones de volver a las negociaciones. Recordemos que todas las disposiciones sobre derecho de autor fueron congeladas, esperando al día que Estados Unidos decidiera volver a discutir. La espera podría ser muchísimo más corta de lo que imaginamos.

La lucha en esas instancias es importantísima y bajo ninguna circunstancia estoy planteando lo contrario, Más bien, lo que creo que quiero decir es que la relación que los países latinoamericanos mantienen con el ámbito de lo legal, tanto desde las prácticas individuales como desde las institucionales, no se condice de forma literal con la de los países desarrollados, cuyos argumentos hemos seguido.

“El miedo a la ley” como argumento, la posibilidad de que la infracción particular al derecho de autor sea efectivamente castigada, muchas veces no funciona acá, simplemente porque muchas infracciones pequeñas quedan impunes, ya sea porque no hay ánimo de fiscalizar o porque no existen formas de hacerlo. Evidentemente, descansar en la inoperancia de la ley es una posición frágil y cortoplacista: bastaría con que ciertos actores decidan poner manos a la obra para que las injusticias del derecho de autor se hagan evidentes. Pero eso puede llevar a un martirio inesperado e indeseable.

Por otro lado, muchas veces la gente simplemente no entiende que está infringiendo la ley, porque esta es sumamente compleja, no está diseñada para ser entendida por humanos y muchas de sus disposiciones no dan cuenta de las prácticas hoy cotidianas (razón por la cual los proceso de reforma a la ley son tan relevantes).

Pero lo que esto supone es un espacio ambiguo, donde la práctica admite aquello que la ley no. Y en este terreno incierto, cualquier gesto por intentar solucionar esta falta de claridad puede tornarse incluso peligroso, llevando la atención a esas pequeñas trasgresiones a las que hoy se les hace la vista gorda.

Lo evidente acá es que la argumentación no puede venir simplemente del miedo al castigo. Es necesario dotar de sentido la discusión sobre el derecho de acceder a la cultura desde las prácticas que los diversos actores realizan. El enfoque debe ser positivo y propositivo no solo respecto a aquello que es legal o ilegal, sino respecto a lo que es justo y deseable.

Quiero ser enfático al respecto: no estoy alumbrando un momento de inspiración divina con el fin de recetar una fórmula, no estoy descubriendo que el agua moja; estoy seguro que una parte importante de la comunidad que es parte de estos debates sabe todo esto y lo aplica a su trabajo.

Esto es más bien un mea culpa.

Artistas, científicos, académicos, funcionarios públicos, trabajadores de archivos y museos, bibliotecarios. Mucha gente está teniendo estos debates y está trabajando en pos de la democratización del acceso a la cultura y al conocimiento desde sus propias trincheras. La pregunta es como articular esos esfuerzos y sumar otros.

Con algo de suerte, la obligación de replantear la estructura de los capítulos nacionales de Creative Commons, siguiendo el mandato de la organización, podrá ser una oportunidad precisamente para enfrentar estas preguntas, que creo que son las que más importan ahora.

Exigimos mayor transparencia cuando negocien sobre nuestros datos

Bajo los estándares actuales de protección de derechos humanos, la vigilancia de las comunicaciones y actividades en línea requiere ciertas precondiciones, una de las cuales es la existencia de una orden judicial. Sin embargo, de acuerdo con la normativa que se discute actualmente en Europa y en Estados Unidos, muchas cosas estarían por cambiar, en especial la garantía de que nuestros datos personales no terminen en manos de otros gobiernos sin que las leyes de protección de datos personales de nuestro país nos protejan.

Así, la llamada Ley CLOUD en Estados Unidos expande las posibilidades de las agencias policiales para acceder a los datos de personas que están fuera de sus límites territoriales, al permitir a las autoridades estadounidenses acceder a los contenidos de una comunicación y a sus metadatos sin importar dónde vivan o dónde se encuentre almacenada esa información. Además de esto, de ser aprobada, la ley permitiría a los Estados Unidos formar acuerdos ejecutivos con otros países que permitirían a ambos gobiernos acceder a estos datos de manera bilateral, independientemente de las leyes locales.

Simultáneamente, el Comité sobre Cibercrimen del Consejo de Europa negocia el segundo protocolo adicional al Convenio de Budapest sobre cibercrimen, que trata específicamente sobre el acceso transfronterizo a datos. A principios de abril, una larga lista de organizaciones no gubernamentales de todo el mundo, entre las que se incluye Derechos Digitales, suscribieron una carta al Consejo de Europa exigiendo una mayor transparencia en el proceso de estas negociaciones, dado que la sociedad civil en conjunto no ha tenido acceso al texto actual que contiene el inventario de las medidas que se están preparando.

Para Latinoamérica, esto significa -como ha significado hasta ahora en cuanto a otros instrumentos legales de carácter internacional, como al propia Convención de Budapest- enfrentar las consecuencias del desbalance de poder geopolítico de la región y de los países de manera individual. Cuando un país como Chile o Colombia entra a discutir su adhesión a un convenio internacional negociado por Europa, o a un pacto bilateral con los Estados Unidos, no entra en una relación de igualdad que le permita ejercer un contrapeso suficiente a las posibles ventajas a las que accede su contraparte. Así, por ejemplo, la adhesión de países latinoamericanos a la Convención de Budapest ha significado adaptar las legislaciones nacionales en materia de cibercrimen a un instrumento normativo en cuya discusión participaron únicamente los países de la Unión Europea, y que por tanto constituye un acuerdo de “tómalo o déjalo” donde poco cabe negociar, incluso en casos en que el país se acoge al tratado con reservas, como en el caso chileno o el costarricense.

Por otra parte, dada la influencia de los Estados Unidos con respecto a gran parte del tráfico mundial de datos de internet a causa de la localización de la mayor parte de las grandes compañías tecnológicas, cuando otro país ingresa en uno de estos acuerdos, esto le permitiría acceder a los datos de prácticamente cualquier persona localizada en cualquier país, independientemente de que el lugar donde esta persona se encuentra haya participado o no de estos acuerdos, una circunstancia que constituye una grave amenaza a la privacidad de las comunicaciones en todo el mundo. Esto, claro, con la excepción de los ciudadanos estadounidenses, los únicos que quedarían -relativamente- a salvo al estar protegidos por las leyes locales sobre privacidad.

Lamentablemente, en la mayor parte de los países latinoamericanos, los legisladores y creadores de políticas públicas entienden poco y nada sobre la materia que regulan cuando se trata de internet y tecnología. Esta brecha puede significar un enorme obstáculo al momento de suscribir esta clase de tratados y acuerdos, no permitiéndoles comprender los detalles relativos a la implementación efectiva de la norma y cómo podría afectar protecciones preexistentes en las leyes internas y en tratados internacionales sobre derechos humanos previamente suscritos. Tal como señala la carta de la sociedad civil, esto hace más indispensable aún que este tipo de procesos legislativos se hagan con participación abierta de todas las partes interesadas, lo que incluye no solo al sector no gubernamental, sino a los sectores técnicos, académicos y empresariales, cada uno de los cuales cuenta con intereses afectados y conocimientos específicos que deben incidir en la creación de este tipo de normas.

Entre tanto, la discusión de estos acuerdos internacionales -que afectarán a Latinoamérica independientemente de que ésta participe con peso específico en las negociaciones o no- sigue adelante, incrementando cada vez más las capacidades de los gobiernos del mundo para vigilarnos más y mejor.

La brecha oculta en las estadísticas de acceso a internet en México

El pasado 5 de abril presentamos la investigación donde “medimos” la brecha digital de género en México. Pongo la palabra con comillas porque en 2016, 51.5% de las mujeres estaban conectadas en el país. En teoría.

En el panel nos acompañaron colegas y compañeras que han trabajo el tema fuera de las estadísticas desde APC Women, Artículo 19, Luchadoras y Data Cívica. Todas coincidimos en una cosa: las estadísticas y definiciones bajo las cuales se levantan los datos sobre acceso a internet en México, esconden la realidad de muchas mujeres.

Primero que nada hay que definir un acceso funcional. El acceso a internet y a la tecnología va mucho más allá de tener datos en el celular o WiFi en una computadora. La autoridad que mide el acceso a internet en México lo define como “conexión en el hogar”. Para nosotras, hay acceso a internet cuando la red sirve como una herramienta para aprender y conocer; cuando como mujeres podemos pagarla sin abandonar otras prioridades; si tiene contenidos que nos interesen y sean relevantes para nosotras; si podemos producir y co-crear estos mismos; si un espacio seguro para compartir y disentir, en comunidad, en su propio idioma.

Segundo, las estadísticas que recogen los datos no tienen perspectiva de género. Por consiguiente, las políticas públicas que surjan a partir de dichas estadísticas también ignorarán la realidad de mujeres en el país, sobre todo en zonas rurales o indígenas. No importa lo que digan las cifras, la brecha digital aún existe. “Las estadísticas solo miden que exista conexión en los hogares”, dijo Lulú Barrera de Luchadoras en el panel de presentación, “pero si una mujer vive violencia en su casa y el único celular para conectarse es del esposo que la maltrata, no puede entrar a internet para encontrar solución. Entonces tenemos un problema.”

Para Paulina Gutiérrez de Artículo 19, en comunidades tales como Tabasco y Chiapas «tener un dispositivo o tener acceso a una herramienta tecnológica con conectividad no significa que haya un acceso sustancial”. Si la desigualdad es estructural, poco podrá cambiar.

Por todo lo anterior, no podemos decir que la revolución de las tecnologías de información y comunicación está transformando la vida de la mayor parte de las mujeres. Las soluciones también tienen que ser amplias, y van desde combatir la violencia de género (en línea y fuera de línea) hasta redefinir los propios estereotipos de género que nos codifican socialmente.

Las mujeres tenemos menos acceso por muchas razones. Estas van desde los estereotipos machistas del tipo “las damitas no deben usar internet” hasta la falta de tiempo; las mujeres tienen carga triple de trabajo, el doméstico, el relacionado con los hijos y el trabajo laboral profesional. La autocensura que proviene de la violencia de género en línea también es un problema: a las mujeres disidentes, que decidimos salirnos de nuestros roles de género y opinar de política o deportes, nos llegan amenazas de muerte y violación por expresarnos. Por otro lado, la brecha salarial de género disminuye la capacidad de las mujeres para pagar acceso a internet, sin mencionar la falta de conocimiento o las pocas mujeres que hay en el campo de la tecnología en México: en el nivel más alto del Sistema Nacional de Investigadores (SNI) solo el 22% eran mujeres en el 2012. Se considera “una cosa para chicos”.

La brecha digital de género no va a cerrarse mientras la sigamos abordando en casillas separadas denominadas «fuera de línea» y «en línea», sino que requiere un progreso en varios frentes a la vez. Con esto en mente proponemos cinco cosas: 1) evaluar y reformar México Conectado –el programa para ampliar la conectividad en México- desde una perspectiva de género; 2) terminar con la violencia de género en plataformas digitales; 3) hacer énfasis en la construcción y modernización de la infraestructura de internet y habilitar legalmente el uso de redes comunitarias; 4) priorizar la educación digital en todas las escuelas y comunidades; 5) crear programas educativos para que más mujeres participen en tecnología.

La igualdad digital es fundamental para realizar los importantes beneficios potenciales que internet puede aportar a las mujeres, sus comunidades y la economía en general. Esperemos esta investigación sea un primer paso para medirla y tomar cartas en el asunto.

¿Nuestra privacidad en manos del mercado?

Más allá del vendaval de memes que generó la audiencia, la pregunta por la privacidad de los usuarios en el contexto de Cambridge Analytics sigue abierta. Sin embargo, las extenuantes horas de audiencia dejaron varias cuestiones en claro.

Primero, que pese a las disculpas ofrecidas por Zuckerberg el modelo de negocios de la compañía seguirá afirmándose en los datos que sus usuarios generan. La diferencia sería, esta vez, que habría mayores recaudos respecto al acceso de tal información por parte de terceros. Pero, tal como dijo Zuckerberg, Facebook no vende datos, vende publicidad, así que vender los datos generados por sus usuarios sería enajenar su principal capital a la hora de segmentar audiencias. Pero la decisión de Facebook de no vender nuestros datos no es altruista, se trata de resguardar su modelo de negocios. Sobre la marcha, al ser preguntado por una senadora respecto a la posibilidad de cambiar el modelo de negocios para resguardar la privacidad de los usuarios, Zuckerberg respondió que no sabía a qué se refería.

Segundo, que la compañía está tomando el camino equivocado a la hora de asumir responsabilidad en sus acciones, al tiempo que Zuckerber repite, como mantra, que Facebook es una comunidad. A efectos prácticos, las y los usuarios no cuentan con mayor control de los datos que entregan a la red social; vaya comunidad aquella donde sus miembros no pueden discutir los fundamentos de su vínculo. Peor aún, al ser inquirido por asuntos como el discurso de odio en la plataforma, Zuckerberg apuntó al desarrollo y uso de herramientas de Inteligencia Artificial, como si estas fueran suficientes y sin cuestionar sus implicaciones políticas.

Este tipo de discursos, centrados en la potencial eficacia de los desarrollos tecnológicos -que autores como Morozov han catalogado de tecnosolucionismo- desplaza la pregunta sustantiva (¿qué constituye un discurso de odio?) hacia una pregunta formal (¿está adecuadamente programada la máquina que determina tal categoría?). Tales posiciones sitúan a desarrollos como la Inteligencia Artificial en el fundamento de las certezas, naturalizando su actuar. Como señaló Ryan Calo, Profesor de Derecho de la Universidad de Washington, “‘La inteligencia artificial solucionará esto’, es el nuevo ‘lo solucionará el mercado’».

Tercero, que necesitamos, con urgencia, un mayor desarrollo institucional para abordar problemáticas como las que surgieron tras el escándalo de Cambridge Analytica. No se trata solo de la existencia de agencias estatales dedicadas al resguardo de los datos personales; tampoco a la necesidad de una legislación que reconozca el cambio en los modos de registro de la vida cotidiana. Además es importante puntualizar la necesidad de que las y los representantes democráticamente elegidos desarrollen un juicio crítico sobre las implicaciones asociadas a las nuevas tecnologías. Bajo ese rasero las preguntas de las y los congresistas norteamericanos dejaron bastante que desear. Como contrapunto, la imagen de una situación semejante en el contexto latinoamericano llega a ser pavorosa. Basta recordar que una de las congresistas acabó discutiendo con Zuckerberg cuán bueno sería que Facebook desarrollase proyectos de fibra óptica en su distrito.

A la luz de lo anterior es necesario que repensemos la pregunta en torno a la privacidad. Durante siglos resultó habitual considerar que la publicidad, considerada la contra cara de la privacidad en tanto capacidad de alcanzar a otros con nuestro mensaje, suponía un esfuerzo activo. Actualmente, por el contrario, pareciera que estamos situados en un contexto donde, como señaló Danah Boyd, lo público se asume por defecto, lo privado por necesidad. Si la privacidad es una necesidad, ha de ser también reconocida como una construcción, como algo por ser resuelto. No significa que tengamos que renunciar a ella, en lo absoluto, sino que debemos hacer esfuerzos conscientes a nivel individual y colectivo por construirla.

Esto se traduce en las “nuevas” preocupaciones que, por ejemplo, deben enfrentar madres y padres al verificar que sus hijas e hijos “conocen” personas a través de redes sociales. Tales preocupaciones suponen un esfuerzo activo por señalar a las y los niños cómo pueden construir su privacidad. Lo mismo que hacemos día a día, a través de las distintas redes sociales, al determinar a quién permitimos acceder a los contenidos que generamos. A nivel colectivo, sin embargo, esto supone un esfuerzo mayor. Toda vez que hemos de reconocer que la construcción de la privacidad será uno de los grandes desafíos de una era que, como nunca en la historia, ha generado mecanismo de registro pasivo de nuestras acciones cotidianas. Me refiero con esto, a cuestiones como el hecho de que nuestros teléfonos saben cuántos pasos hemos dado día a día, sin nosotros tener -las más de las veces- noticia de ello.

Finalmente, es importante no caer en la tentación de situar a Facebook como el chivo expiatorio de las tensiones que generan las nuevas tecnologías. En este sentido, Facebook no es sino, literalmente la punta del iceberg de un problema mayor: el comercio de datos sobre el que se cimenta la nueva economía de internet. Es imperioso que comprendamos que nuestros datos son valiosos, aunque no sean tangibles, aunque no sepamos que se están generando.

¿Cambridge Analytica? El próximo escándalo está a la vuelta de la esquina

Hace pocos días, el Guardian Observer y el New York Times, en una investigación conjunta, dieron a conocer una noticia que ha dado ya varias veces la vuelta al mundo: cincuenta millones de perfiles de Facebook habían sido explotados por Cambridge Analytica, la firma de análisis de datos que fue parte de las campañas previas a la elección de Donald Trump en los Estados Unidos y la votación para que el Reino Unido abandonara a la Unión Europea. Una enorme “fuga” de datos personales, que tiene hoy a la red social, una de las compañías más grandes del mundo, en una difícil posición ante la opinión pública.

La trama de las revelaciones (ya contada hasta el cansancio) involucra desde jóvenes investigadores hasta poderosos millonarios; desde interesantes postulados académicos aplicados al avisaje microdirigido (micro-targeting) de votantes hasta el escepticismo sobre el efecto real en los potenciales votos. También, la intervención de ex empleados tanto de Facebook como de Cambridge Analytica, que al modo de tardíos denunciantes (tratados hasta en la prensa como whistleblowers), han entregado detalles de la operación de Facebook sobre los datos personales al menos hasta 2014.

El escándalo es justificado: una firma privada, acumulando decenas de millones de perfiles, a partir de aplicaciones aparentemente inocentes y desarrolladas con fines académicos, montadas sobre Facebook. Una situación de abuso sobre datos personales, recordando el valor de nuestra información personal. No es más que la consecuencia lógica del continuo funcionamiento de la poderosa máquina de vigilancia que ha sido Facebook en los últimos años, alimentada por el legítimo interés por conectarse con familiares, amistades, colegas y más. Una máquina que funciona sobre perfiles construidos incluso sobre quienes no usan la plataforma.

Business as usual

Esta interesante historia es solo un ejemplo de los límites, cada vez más lejanos, a los que llega la industria de los datos. En el capitalismo de la vigilancia, no es del todo cierto que si no pagas por un servicio eres el producto. Aunque pagues, a menudo eres el producto. Aunque no tengas una cuenta, muy probablemente eres el producto. Y las conexiones personales recogidas por Cambridge Analytica dan cuenta de ello, pero están lejos de ser los únicos en tener tal clase de conexiones: Facebook está al centro de un ecosistema que involucra a muchos más actores, invisibles ante la opinión pública.

Los incentivos para operar son múltiples, y los costos ínfimos. Por una parte, las reglas sobre datos personales han sido lo suficientemente permisivas como para permitir instancias de dudosa entrega de consentimiento sobre los datos, bajo condiciones en que es imposible gozar de una opción sin entrega de datos para acceder a un servicio, o bien bajo la sujeción a términos de uso y políticas de privacidad ilegibles. La ausencia de suficiente conocimiento o educación sobre los derechos que existen, como consumidoras y como titulares de datos, hace aun más intensa la disparidad de poder entre compañías y usuarias.

Y todo ello se ha visto reflejado en la respuesta de Facebook: no se trataría de una “fuga” de datos personales, porque los datos recolectados fueron entregados voluntariamente por quienes usan Facebook. Claro, esto ignora a las decenas de millones de personas que no entregaron su información a los investigadores tras la app thisisyourlife; pero, más gravemente, transfiere la responsabilidad a las mismas personas, titulares de datos personales, por una pérdida masiva del manejo y control sobre los mismos. Aunque las condiciones que permitieron el abuso se remontan a 2014, y en teoría no existirían hoy, la respuesta importa: los marcos de funcionamiento ético, en la práctica, no parecen ser distintos de un apego al mínimo legal.

Democracia y control social

Una arista que ha recibido particular atención desde que Cambridge Analytica ganó notoriedad pública es su vocación para la operación en contextos electorales. Ayudada ante la imaginación pública, por cierto, por el éxito imprevisto de las campañas electorales de Donald Trump y de #VoteLeave. Este funcionamiento, basado tanto en el alcance de la red social como en el exitoso algoritmo, que mantienen a cientos de millones de personas pendientes de sus dispositivos, implicaría una capacidad de persuasión con efectos ya no sobre personas individuales, sino sobre grupos completos.

Aunque no sea del todo cierto que esa influencia es real y comprobable (o que esa sea la situación hoy), la noción de que movilizar y desmovilizar a las masas puede lograrse de forma más efectiva mediante herramientas tecnológicas, tiene un efecto significativo sobre los mercados de la información personal y el perfilamiento para las campañas políticas. Un marco atractivo para gobiernos que enfrentan sus propios, posiblemente adversos, contextos electorales. Como mostraban las -poco discretas- revelaciones de Channel 4 en el Reino Unido, la manipulación alcanzaba a varios niveles. Todo como demostración, ante la posibilidad de clientes futuros, del poder que pueden ejercer quienes tienen información personal a manos llenas. Cambridge Analytica aseguró así un jugoso contrato con el gobierno estadounidense.

En América Latina esa estrategia parece también haber tenido efectos. Un contrato en Brasil fue rescindido esta semana. También habría operado en el Perú. En Argentina se investiga si tuvo influencia. Habría tenido efecto en México, donde también cesó un contrato. Una empresa en Chile se jacta de servicios similares, pero niega operar como la firma británica.

Aun si no hay evidencia de una manipulación efectiva mediante el algoritmo, sí podemos vislumbrar que los mecanismos de administración de nuestra atención sí van ganando en complejidad y efectividad. Los contextos electorales, en que (según se nos permite) solamente es necesaria una línea sobre un papel cada cierto tiempo para mover ámbitos de poder, ponen estas herramientas en una atractiva vitrina para quienes quieren y pueden pagar por ellas. La gran afectada por esta operación masiva de vigilancia, minería y venta de datos e influencia es, finalmente, la democracia.

Retomando el control

Cuando por fin reaccionó Mark Zuckerberg, fundador y CEO de Facebook, la suspicacia ya estaba instalada. Se trataba de una instancia más en un largo historial de disculpas a nombre de la compañía por situaciones vergonzosas. Pero mientras los escándalos y las disculpas se acumulan, la empresa sigue creciendo, porque el negocio se mantiene vivo. El problema no es Cambridge Analytica, ni es tal empresa un villano corporativo único. El problema es una economía que permite e incentiva el tratamiento masivo y abusivo de datos personales, para vendernos productos y para vendernos como productos.

¿Qué hacer frente a estos escándalos? La propuesta de cerrar las cuentas de Facebook frente a este incidente puntual se muestra como una solución parcial; al menos, un pequeño alivio frente al potencial abuso para los (escasos) usuarios de internet que no tienen una cuenta abierta (pero que siguen siendo seguidos a través la red). No obstante, las posibilidades de interacción hacen que para muchos esa solución sea costosa; por lo demás, como usuarias sí debemos contar con la posibilidad de acceder a servicios sin que nuestros datos sean abusados por ello, sin que nuestras decisiones individuales o colectivas estén dirigidas por algoritmos o por intereses políticos. Existen algunas medidas de autocuidado que permiten limitar el alcance brutal de la recolección de información. Pero también podemos exigir más de las instituciones y empresas.

Por otra parte, es urgente contar con marcos legales que protejan suficientemente los datos personales, entregando herramientas a los titulares de datos para ejercer sus derechos de manera efectiva y sancionando los abusos. No parece haber disenso al respecto. Sin embargo, la lenta marcha de las reformas legales a nivel nacional, sumada a la ausencia de regulación en varios países, dejan a América Latina una vez más a merced de grandes empresas extranjeras, y a la espera de que la institucionalidad comercial y estatal de otros países adopte medidas efectivas. Por ello, frente a riesgos masivos, corresponde a su vez insistir en que se adopten reglas fuertes de protección de datos personales en cada uno de nuestros países, que faciliten el control por las personas.

La responsabilidad de las empresas en casos como el actual tampoco puede dejarse pasar. Ya hay anuncios de demandas civiles y de acciones de agencias administrativas tanto en el Reino Unido como en los Estados Unidos. A ello se suma lo que las propias empresas pueden adoptar como prácticas respetuosas de los derechos de sus usuarias. Que las propias redes sociales digitales reconozcan tales derechos es a la vez una muestra de respeto como una forma de mejorar su propia imagen corporativa. Que las condiciones en que operan los desarrolladores de apps que interactúan con los datos, permitan prevenir el riesgo de abusos. En fin, el involucramiento de personas al formar marcos de interacción, incluyendo a las usuarias, como también de las organizaciones de la sociedad civil que representan sus intereses, para desarrollar y hacer evolucionar conjuntamente las políticas que rigen aspectos fundamentales de las vidas de las personas, es también un paso necesario.

Finalmente, el escándalo adquiere dimensiones de relevancia que son consecuencia del enorme poder que tiene hoy Facebook, cuya base de usuarias (al menos, con cuentas abiertas) es tal que llega a los miles de millones de personas. Una empresa que opera a esa escala sobre la humanidad es evidentemente un foco de atención por la influencia que puede llegar a tener. Poder a esa escala es ejercido apenas por un puñado de compañías, y es necesario abordar alternativas para reducir el riesgo que implica, más allá de la urgencia por reglas sensatas de protección de datos personales. El próximo escándalo está a la vuelta de la esquina, y los riesgos son cada vez más grandes.