Nuestros datos expuestos a empresas y Estado: en debate una ley para la protección
Fabiola Chambi
¿Cuando descargas una app o quieres acceder a una plataforma que te pide previo registro, revisas a detalle las condiciones y políticas de esa empresa? -La verdad antes intentaba leer pero es tanto que se hace tedioso, así que después de esa vez solo coloco “sí acepto”.
¿No te preocupa qué puedas estar aceptando y que información tuya se esté registrando? -Supongo que no estoy consciente y me preocupo poco porque no comparto mucho de información personal o trato de no hacerlo.
Respuestas de Osber Sullcani, joven universitario asiduo a internet.
El año pasado la revista GQ publicó un artículo denominado “Google sabe más de ti que tu propia madre” basado en un hilo de Twitter que difundió el consultor en seguridad digital Dyan Curran en el que develó la impresionante cantidad de información suya que estaba almacenada en esta plataforma.
Más de 5 gigas de datos y un mapa que detallaba lo que hizo los últimos años de su vida, resultó inquietante sobre todo por el hecho de que no era consciente de la magnitud del registro que esta compañía tenía de él.
Como internautas aprovechamos las múltiples posibilidades de conexiones digitales cada día en diferentes actividades dejando rastros de información de los cuales no somos totalmente conscientes.
¿Cuánto sabemos del uso que se hace de nuestros datos personales en la red? ¿Realmente nos importa?
Daniela Pereira, una joven que vive mucho tiempo conectada a su móvil y descarga constantemente aplicaciones para mantenerse actualizada en las redes sociales, asegura que sí es consciente de la información que deja en Internet, pero “al mismo tiempo pienso que es el precio que pago por los beneficios o ciertas facilidades que me ofrecen. Aunque me gustaría que las plataformas me den opciones para que no sea así y yo pueda regular mi grado de exposición dependiendo de las plataformas”.
Los datos personales están entendidos como la “información de alguien” en términos jurídicos es una información que hace identificable a una persona.
“Puede ser información muy básica como el nombre, dirección, correo electrónico, también otras no tan visibles como los gustos, preferencias ya sea religiosas o de partidos políticos, hábitos y costumbres. Y en este mar de datos personales hay un subgrupo que es el de los datos sensibles que son por su carácter están relacionados con la intimidad de la persona, por ejemplo su situación médica o datos biométricos”, explica la experta peruana Verónica Arroyo, asociada de Políticas Públicas para América Latina en Access Now, una organización internacional sin ánimo de lucro, dedicada a tratar temáticas sobre derechos humanos, política pública, y activismo en defensa del Internet abierto y libre.
Esta guía elaborada por Access Now presenta la siguiente clasificación:
Datos sensibles
Es la información delicada y de carácter íntimo, son datos que preferimos mantener en reserva y que pueden causar daños graves si son difundidos o mal utilizados. Ejemplos de estos datos sensibles son los concernientes a la salud, la genética, la religión, las preferencias políticas, y hasta aquellos que denotan ingresos económicos o preferencias sexuales.
En el país se registró un caso donde se difundió que una autoridad era portadora del Virus de la Inmunodeficiencia Humana (VIH) sin haber requerido previamente su consentimiento o autorización, esto orilló a esta persona a la depresión y a otros efectos dañinos en su vida.
Datos anonimizados o disociados
Se llaman así por la forma en la que son obtenidos o procesados, reciben otras denominaciones. Son datos que en principio permiten identificar a personas pero que gracias a mecanismos de anonimización o disociación terminan teniendo poca o nula relación con la persona que antes identificaban. Utilizados por ejemplo en investigaciones científicas donde, con el fin de proteger la identidad de las personas que participaron en el estudio, se elimina de los conjuntos de datos personales la información que permita la identificación. Sin embargo, esta práctica no quita que los principios de protección de los datos personales, deban ser aplicados, en especial el de minimización de la recolección y análisis, pues existen procedimientos técnicos para revertir la anonimización y volver a identificar a las personas, en algunos casos.
Los metadatos
Estos son los llamados “datos sobre los datos” y se obtienen al analizar otros conjuntos de datos.Incluye, por ejemplo, información de navegación en internet y sobre comunicaciones entre personas (a qué hora se mandó un SMS, en qué ubicación GPS se tomó una foto, etc). Si bien estos datos por sí solos no identifican a una persona, un análisis conjunto de los mismos sí podría hacerlo ya que brinda información importante y detallada sobre alguien.
Por ejemplo, la redes sociales generan registros de visitas, reacciones (likes), compras en línea, entre otros. Al analizar y estudiar estos datos podemos conocer los gustos y preferencias de los usuarios de esas redes sociales; deducir dónde viven, trabajan, van de vacaciones y quienes son sus familiares y amigos.
El problema de que estos datos estén expuestos sin regulación es que luego tienen una incidencia directa en las personas que entre otras cosas, reciben publicidad no deseada con varias ofertas a partir de la deducción de sus hábitos de consumo o en casos más complejos de discriminación o manipulación en contextos electorales.
Desde el escándalo de Cambridge Analytica, la consultora británica que fue acusada de manipular en 2016, los datos de 50 millones de usuarios de Facebook para influir en la campaña electoral del actual presidente de EEUU, Donald Trump, las alertas se encendieron.
La Unión Europea emitió un Reglamento General de Protección de Datos Personales (RGPD) para aplicar herramientas que garanticen un uso adecuado de los datos personales más allá de los límites geográficos, poniendo énfasis en los derechos de los usuarios. Entró en vigencia el 2018.
A partir de esto surgió con más fuerza la necesidad de pensar en una normativa que esté a la altura de los desafíos tecnológicos y de conectividad en cada país, ya sea que cuenten o no con una ley de datos personales.
En Bolivia este año cobraron fuerza las iniciativas que impulsan una Ley de Protección de Datos Personales. Una propuesta es la de la diputada de oposición del Partido Demócrata Cristiano (PDC), Jhovana Jordán Antonio que presentó en noviembre de 2018 un proyecto de “Ley de Datos Personales”, que destaca como finalidad “dotar a las ciudadanas y ciudadanos bolivianos de una normativa específica que garantice y proteja sus datos personales que son tan valiosos”.
El 13 de marzo, Jordán junto a la legisladora de Unidad Demócrata Rose Marie Sandóval, solicitaron al presidente de la Cámara de Diputados, Víctor Borda, considerar esta normativa en la gestión 2019-2020.
La diputada Jordán promueve el debate porque considera que Bolivia tiene un rezago de casi 40 años respecto a la normativa internacional. Recuerda que el derecho de protección de los datos personales ha sido reconocido por la Declaración Universal de Derechos Humanos (1948), y Convención Americana sobre Derechos Humanos (Pacto de San José de Costa Rica 1969) y el Pacto Internacional de Derechos Civiles y Políticos, y otros 13 instrumentos internacionales ponen en agenda permanente esta problemática.
El último fue el acuerdo “Estándares de Protección de Datos Personales para los Estados Iberoamericanos” para iniciativas regulatorias en aquellos países que aún no cuentan con estos ordenamientos, o en su caso, sirvan como referente para la modernización y actualización de las legislaciones existentes.
Por otro lado, la Fundación Internet Bolivia, desde febrero empezó una serie de actividades de socialización en el eje central del país para poner en debate esta temática que está siendo traducida en un anteproyecto de ley. Se prevé sea entregado en los próximos días.
“Lo que queremos es que más gente entienda lo que implica una Ley de Datos Personales, cómo se está gestionando, cómo se está administrando y a partir de eso tener criterio. Hasta ahora hemos visto un nivel de debate muy bueno, aunque no creo que estemos llegando a un público masivo todavía (…) Es un proceso que recién está comenzando”, asegura Eliana Quiroz, ciberactivista y parte de la Fundación Internet Bolivia.
Para enriquecer el debate, se ha difundido en la red una guía con datos básicos sobre esta temática para que ayude a enriquecer el conocimiento de los ciudadanos.
Muchas personas saben que sus datos están expuestos, pero no tienen mayor interés en saber de qué manera puedan estar siendo usados.
Según Quiroz, una ley de este tipo no solo mira el manejo de los datos personales que hace el Gobierno, “porque las bases de datos que tiene el Gobierno no son ni de lejos las bases de datos que tienen las empresas transnacionales. Además, otra preocupación son las empresas locales que están manejando datos sin ninguna regulación”.
El exbloguero y analista de datos, Hugo Miranda, asegura que “el Gobierno ya está utilizando nuestros datos para fines que no son necesariamente honestos”.
Por ejemplo en el reciente caso de la app del Doble Aguinaldo, el especialista en derecho de nuevas tecnologías y propiedad intelectual, David Oliva, expresó su preocupación de no contar con una normativa de datos personales y aun así ofrecer una aplicación móvil capaz de registrar información personal “sin una clara restricción por parte del Estado”.
“El uso correcto de las nuevas tecnologías por parte del Estado debería planificarse de tal manera que, antes de brindar servicios digitales puedan llegar a comprometer la información de los ciudadanos, se debería contar con una normativa que garantice el tratamiento de datos personales; caso contrario, pudiera generarse una desconfianza por parte de los usuarios al ver que el Estado accede a datos tan sensibles como gastos personales de consumo”, manifiesta Oliva.
Esta aplicación fue calificada como exitosa por parte de la Agetic, que se encargó de desarrollar la aplicación, pero también tuvo muchas observaciones por parte de la población.
La Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación (Agetic) también está llevando adelante una serie de talleres que apuntan a la construcción de un proyecto de ley.
“Una vez concluidos los talleres con la sociedad civil se iniciará un trabajo técnico en el marco del Concejo para las Tecnologías de Información y Comunicación del Estado Plurinacional de Bolivia (CTIC – EPB), donde participan el Estado y la sociedad civil”, explica la Agetic.
El 19 de junio de 2018, el director de esta institución, Nicolás Laguna, anunció, citado por la agencia ABI, la elaboración de un proyecto de ley para proteger los datos personales.
"Hoy precisamente hablamos con los presidentes de las cámaras de Diputados y Senadores, y hemos iniciado con ellos el proceso de elaboración de una ley de protección de datos personales, esta es una ley ampulosa (...), tendrá varias decenas de artículos", dijo.
Laguna explicó, en aquella oportunidad, que ese proyecto de ley será elaborado en cuatro o cinco meses en coordinación con profesionales en derecho, especialistas en protección de datos informáticos, activistas digitales y la sociedad civil, entre otros.
En abril de este año, Laguna se volvió a referir al tema:
A la fecha, Agetic Aún no tiene elaborado un proyecto de ley, de acuerdo la respuesta que envió la agencia a Los Tiempos a través de un cuestionario.
Sin embargo, a pesar de que se avanza con estas iniciativas es importante tomar en cuenta que hay varias otras leyes en el país que están relacionadas a proteger datos personales.
Roxana Pérez del Castillo, directora de la unidad de privacidad y protección de datos de la Fundación Internet Bolivia explica que a pesar de que no hay en Bolivia una legislación completa sobre protección de datos personales, existen otras disposiciones que abordan el tema, de alguna manera.
En la Constitución el Artículo 21.2 que señala que “las y los bolivianos tienen derecho a la privacidad, intimidad, honra, propia imagen y dignidad”. Otro artículo es el 130 llamado Acción de Protección de Privacidad, una acción constitucional que estaba prevista desde el 2004 pero que aparece con ese nombre en la nueva constitución del 2009.
Durante esos años dos sucesos marcaron el avance en este tema: la sentencia constitucional 0965/2004-R de junio de 2004 donde se menciona a los datos sensibles y a las personas jurídicas y la ley del 2005 sobre acceso a la información. Conforme a esta nueva acción constitucional, los ciudadanos pueden ejercer esta acción cuando consideren que están siendo impedidos de conocer, objetar la eliminación o rectificar los rectificar los datos registrados en un banco de datos ya sea público o privado y que estén afectado la intimidad, privacidad, imagen honra y reputación.
Actualmente, el Código procesal Constitucional prevé cómo deberá desarrollarse una Acción de Protección de Privacidad.
Por otro lado, otras leyes y códigos tiene menciones sobre la privacidad; entre ellos el artículo 54 de la Ley General de Telecomunicaciones y Tecnologías de la información y Comunicación, sobre los derechos de los usuarios a la privacidad, y a decidir sobre los datos que se incluyen en las guías de números telefónicos que están disponibles al público. Asimismo, la modificación al Artículo 79 de la Ley del Órgano Electoral que permite interoperar el Servicio de Registro Cívico (Sereci) con el Servicio General de Identificación (Segip) contiene disposiciones sobre la seguridad de los datos personales que permite consultar los datos personales almacenados para poder autenticar y validar la información.
También el Artículo 56 del Reglamento para el Desarrollo de Tecnologías de la Información y Comunicación, el cual al referirse al certificado digital le brinda a la persona un marco de control sobre sus datos basándose en la idea del consentimiento.
Finalmente, la reciente Ley de Ciudadanía Digital en su Artículo 12 dispone el tratamiento de los datos personales y que debe limitar a la finalidad que establece la ley.
“Es importante una legislación especifica para poder determinar quién es el titular de esos datos personales, cómo se van a gestar, además de la necesidad de alfabetización digital que debe partir del Gobierno y que servirá para atenuar la brecha de asimetría entre el conocimiento y el poder. Necesitamos una agencia que haga una auditoría a las empresas públicas y privas en cuanto al empleo de nuestros datos personales”, asegura Pérez del Castillo.
El planteamiento de quién debe hacerse cargo de la regulación de esta ley o en quién debe caer la responsabilidad directa para que se garantice su cumplimiento es motivo de un debate muy profundo entre miembros de la sociedad civil. La mayoría coincide en que debe tratarse de un ente totalmente independiente, aunque también hay algunas voces que cuestionan las denominadas “superintendencias” en materia de regulación.
En este cuadro se ve las distintas percepciones sobre el tema de la autoridad.
A pesar de que muchos internautas no consideran una preocupación lo que las empresas y Estado hagan con sus datos, es parte de un principio de libertad saber qué derechos se tienen no por el dato en sí, sino por la persona detrás del dato.
Sobre el proyecto de protección de datos personales en Bolivia
Un primer problema que veo en las propuestas que se están planteando es que tratan de emular los enfoques de regulación de otro contextos, donde el ecosistema de empresas digitales es incluso más vigoroso que los propios Estados que son de corte más liberal.
En cambio, en latinoamérica y particularmente en Bolivia, tenemos gobiernos más populistas, de corte más interventor y poco respetuosos por las normas jurídicas, que justifican acciones arbitrarias en nombre de un “cambio” que enlazan al carisma de un líder (características presentes en cualquier populismo de izquierda o de derecha).
Entonces debemos pensar en contexto. Los primeros que deben ser regulados son las instituciones gubernamentales.
¿Cómo hacemos que los datos personales que poseen no sean usados para fines partidarios, de manipulación, control y de preservación del poder? Por ejemplo, a partir de la modificación del artículo 79 de la ley Órgano Electoral Plurinacional, existe interoperabilidad entre la base de datos del Sereci y del Segip, con la Agetic en medio, entonces queda discutir ¿realmente están mejorando la atención a la ciudadanía como se prometió? ¿cómo hacemos para que esos datos se usen de manera correcta? ¿qué sanciones deben haber para su mal uso? Lo mismo con el caso más antiguo del registro de celulares mediante el emparejamiento del IMEI de los celulares con nuestros CI, que se dijo que era para “evitar el robo de celulares”.
Esa información es muy delicada y puede usarse en contra de activistas o periodistas, ¿qué mecanismos jurídicos pero también tecnológicos existen para que esa información personal no se use en nuestra contra?
Un segundo problema tiene que ver con la sobreregulación del campo de los datos digitales. Por un lado, esto podría tener el efecto de estrangular la emergente economía de datos en el país. Esto no es algo alejado a la realidad si tomamos en cuenta las excesivas regulaciones para los emprendimientos o el reciente interés desde el gobierno de regular el comercio electrónico y el cobro de impuestos a servicios digitales como el streaming de video (Netflix, Amazon Prime, etc.).
Por el otro, podría crear un cuello de botella en el uso legítimo de datos digitales, donde se encuentran el periodismo de datos y el activismo a partir de datos, que dado el caso de aprobación de una ley sobrereguladora, podrían ser ralentizados por procedimientos burocráticos, amenazas o temores a posibles sanciones. La información es poder, pero ese poder debe estar distribuido en la sociedad civil, y no en los gobernantes de turno que son simples representantes.
Sobre qué institución debería estar a cargo de velar por el cumplimiento de esta ley, he escuchado propuestas de crear una “autoridad”, en lo posible independiente. Pero aquí debemos ser más creativos y aprender sobre las lecciones pasadas.
En Bolivia en materia de regulación sectorial hemos pasado de las denominadas “superintendencias” en la etapa neoliberal a las “autoridades” en la etapa actual. Las primeras dan énfasis y facilidad a las empresas y las segundas al gobierno.
¿Y la ciudadanía? Debemos ser capaces de pensar en en un diseño institucional novedoso para garantizar los derechos de la ciudadanía en materia de datos personales, y que incluso use tecnologías nuevas y descentralizadas, como el blockchain, que podría servir para auditar las transacciones que se hacen de nuestros datos. Repetir modelos de regulación que se probaron poco efectivos, burocratizados o favorables a los gobernantes, no me parece la vía adecuada.
Alex Ojeda
Sociólogo digital
