Paulina Gutiérrez

Es indiscutible plantear que los gobiernos necesitan información para responder a la pandemia, particularmente para diseñar medidas basadas en evidencia que permitan controlar el contagio y salvar vidas. De la misma manera, es innegable reconocer que la recopilación de esa información a través del uso de la tecnología tiene implicaciones sustantivas en los derechos humanos de las personas. Cualquier argumento contrario ocultaría la carga que tienen los gobiernos de demostrar que las limitaciones impuestas a nuestros derechos son legales, necesarias y proporcionales, particularmente las restricciones a la libre circulación, la privacidad, la protección de datos personales y la libertad de expresión.

Pero ¿qué significa y en qué consiste esa carga?, y lo más importante, ¿cómo nos aseguramos de que durante y después de la pandemia las restricciones a nuestros derechos se limiten estrictamente al fin para el cual se adoptaron? ¿con qué protecciones contamos ante cualquier abuso y violación a nuestros derechos humanos?

El despliegue de iniciativas centradas en la tecnología para atender problemas públicos no es novedoso y ha sido cuestionado en el pasado. La diferencia en el contexto de la pandemia radica en la invisibilidad y desconocimiento de un virus cuyo impacto social, económico y sanitario aspira a una atención inmediata y focalizada. Sin embargo, pese a que ya fue superado el planteamiento bajo el cual los medios tecnológicos deben ser complementarios a una diversidad de medidas no tecnológicas, la necesidad de hacer al virus visible y prevenible ha colocado en la tecnología una apariencia alternativa como única vía para controlarlo.

Entre las respuestas destacan herramientas que, por un lado, abarcan aplicaciones móviles de carácter informativo, “chatbots” generadores de diagnósticos basados en los síntomas identificados por las personas usuarias, lectores de temperatura corporal y monitoreo de síntomas, y por el otro, dispositivos de control y trazabilidad de movimiento, contacto y aislamiento a través de servicios de telefonía móvil, georreferenciación y uso de drones, por mencionar algunos.

Todas y cada una de las herramientas y medidas tecnológicas orientadas a controlar y prevenir la pandemia se benefician de distintos niveles de intrusión en la vida privada de las personas. Registran accesos, actividades, interacciones, síntomas y enfermedades cuyo procesamiento tecnológico y digital implica compartir información personal con terceros – generada por la recolección, almacenamiento, transmisión, utilización, estudio y gestión de datos –. En el imaginario más sencillo, estaríamos ante una fórmula en la cual la solución a los impactos de la pandemia es producto de la información que proporcionamos al renunciar a nuestra privacidad y protección de datos personales. Notablemente, la fórmula es mucho más compleja. Especialmente si iniciamos por reconocer que las restricciones no se agotan en el acceso a nuestra información por parte del Estado, también debemos agregar la participación activa del sector privado.

Nos enfrentamos entonces a intrusiones en la privacidad en el nombre de la salud pública. Aun cuandoésta sea invocable para imponer restricciones a los derechos humanos, nunca será una justificación legítima de ser adoptada de manera aislada. Es decir, combatir la crisis sanitaria a través del acceso y uso de nuestra información individual, personal y colectiva significa imponer un sistema de vigilancia inadmisible, salvo que las medidas para obtenerla sean practicadas al margen de una serie de protecciones convencionales y legales. Específicamente aquellas que salvaguarden la inmunidad con la que cuenta el ámbito de privacidad de las personas contra invasiones arbitrarias o abusivas por parte de la autoridad o entidades no públicas.

Lo anterior se traduce en la obligación que tienen los Estados de superar la prueba de legitimidad intrínseca en las prácticas de vigilancia, especialmente aquellas cuya finalidad es trazar y contener un virus. Todos aquellos gobiernos que decidan apostar por respuestas tecnológicas centradas en información generada por las actividades de las personas deben  asegurar (a) la claridad y precisión de la restricción legalmente estipulada y la existencia de un marco legal de protección a los derechos afectados, así como recursos legales efectivos ante abusos y violaciones a los derechos restringidos por parte de actores públicos y privados – legalidad – ; (b) la idoneidad y efectividad de la medida restrictiva para alcanzar el fin que persigue, demostrar que es el único medio disponible – necesidad -; y (c) la inexistencia de medidas y métodos menos lesivos para el derecho a la privacidad y otros derechos, así como estrictos límites en la temporalidad de la medida invasiva – proporcionalidad-. 

En Latinoamérica, la prueba de legitimidad para restringir la privacidad nunca ha sido más relevante. Principalmente por la capacidad tecnológica instalada previo a la pandemia y su abuso en prácticas de vigilancia masiva y focalizada documentadas ampliamente en los últimos seis años. Argentina, Bolivia, Chile, Colombia, Ecuador, Guatemala, México, Paraguay, Perú son algunos ejemplos en donde los gobiernos han decidido adoptar medidas tecnológicas de vigilancia y obtención de datos para responder a la crisis sanitaria. Aún no existe evidencia que sustente su efectividad, por lo tanto, el escrutinio público, unido al control legal y judicial, son críticos para contener arbitrariedades por parte de autoridades y entidades no públicas.

El estado actual de los marcos legales de protección de datos personales en la región parece ser insuficiente para el reto impuesto por la pandemia. Sin embargo, si los evaluamos como una ruta perfectible, será invaluable para imponer controles tanto a gobiernos como a particulares. Consciente de que su desarrollo y aplicación en la región latinoamericana es asimétrico e inconsistente – en algunos países inexistente -, una regulación especial en la materia puede proveer vías para exigir la justificación de los límites impuestos en el poder que tienen las personas de saber qué información tienen terceros sobre ella, de limitar la temporalidad y el fin de su tratamiento y de decidir si proporciona su información más sensible – entendida como aquella susceptible a revelar particularidades de las personas en materia de salud, raza o preferencia sexual, por mencionar unos ejemplos-.

Si bien estos marcos legales incluyen excepciones de protección en materia sanitaria, los principios de temporalidad, necesidad y legalidad le son aplicables. Sobre todo, son indispensables para conocer el destino, fin y uso que tuvo la información recopilada y procesada, así como impedir que las prácticas se tornen permanentes una vez exista mayor control sobre la pandemia.

Debemos entonces obtener respuestas que claramente nos indiquen si el empleo de medidas y herramientas tecnológicas contribuye a contener el virus de manera efectiva; si solicitan o acceden a más información de la que alegan necesitar para contener el virus; a qué marco legal o recurso podemos apelar para conocer y reclamar en caso de que nuestros datos fueran compartidos con autoridades o actores no públicos irrelevantes para contener la pandemia; en un intento por especificar algunas.

Existen algunos ejemplos en Latinoamérica y en otras regiones del mundo en donde la prueba de legitimidad y la protección de datos personales han impedido el uso invasivo, innecesario y desproporcionado de la tecnología para controlar la crisis sanitaria:

• En Brasil, la Medida Provisória (MP) 954/2020 fue suspendida por el Supremo Tribunal Federal el 7 de mayo de 2020 para evitar daños irreparables en la intimidad y privacidad de las personas. La medida 954/2020 fue decretada por el Poder Ejecutivo con el fin de ordenar a las empresas de telecomunicaciones proporcionar la información de las personas usuarias de telefonía al Instituto Brasileño de Geografía y Estadística (IBGE), quien elaborará estadística sobre la pandemia. Bajo un análisis de necesidad, idoneidad y proporcionalidad, una jueza del Supremo Tribunal planteó que, sin subestimar la gravedad de la crisis sanitaria y la necesidad de formular políticas públicas basadas en datos específicos, los derechos constitucionales de las personas no deben ser atropellados y, en consecuencia, era necesario suspender la vigencia de la medida al no proveer ni existir mecanismos aptos para proteger los datos de las personas contra accesos no autorizados o utilización indebida de su información.
• En Chile, se ha propuesto una ley corta o especial que salvaguarde los datos de las personas cuyo estado de salud es expuesto y sujeto a tratamiento por una diversidad de actores durante la pandemia. El Consejo para la Transparencia propuso esta iniciativa en abril al reconocer que los datos sobre la salud no solo tienen protección constitucional sino que también cuentan con un margen especial de protección por la información que revelan. Algo similar sucedió en Reino Unido donde el Comité Conjunto de Derechos Humanos del Parlamento presentó una propuesta de legislación especial centrada en regular con precisión el fin  y los limites de la obtención y tratamiento de la información recopilada a través del uso de una aplicación de monitoreo de contacto; obligar al gobierno a eliminar la información recolectada una vez termine la crisis sanitaria e imponer medidas contra abusos por parte de las autoridades y de terceros.
• En India, la Alta Corte de Kerala admitió tres peticiones contra el uso obligatorio de la aplicación de monitoreo de contacto y la imposición de sanciones criminales por no utilizarla. Asimismo, el 24 de abril de 2020, emitió una orden instruyendo la implementación de medidas que salvaguarden la confidencialidad de los datos de pacientes susceptibles al coronavirus,  recolectados por un sistema digital operado por el gobierno de Kerala y la empresa Sprinklr Inc. También prohibió a esta última cometer cualquier acto que comprometa la confidencialidad de los datos.
• En Eslovaquia, la Corte Constitucional suspendió la legislación especial que permitía el acceso de las autoridades a los datos de usuarios recolectados por las empresas de telecomunicaciones con el fin de monitorear a las personas infectadas con el coronavirus. El 13 de mayo de 2020, la Corte consideró que la legislación era ambigua y los fines del procesamiento no eran suficientemente claros, permitía un tratamiento de datos personales sin claridad en las intenciones y carecía de las salvaguardas necesarias contra el abuso de la información recolectada y procesada.

El reto no es sencillo pero las obligaciones de los gobiernos son muy claras. Nuestros derechos a la privacidad y la protección de datos personales continúan vigentes durante la crisis sanitaria. La carga de demostrar que nuestros derechos pueden ser limitados no debe centrarse únicamente en la tecnología, cuyos beneficios necesitamos para ejercer nuestros derechos humanos. La exigencia debe concentrarse en las obligaciones del Estado en materia de transparencia y rendición de cuentas, así como en la carga que tiene de demostrar la legitimidad de las medidas, permitir el abuso las convierte en arbitrarias.

Ramiro Álvarez Ugarte
Universidad de Buenos Aires
Universidad de Palermo

El movimiento por la privacidad siempre disputó la batalla en un terreno difícil, marcado por la objetiva voluntad ciudadana de ceder sus datos a cambio de beneficios que percibe como útiles. La pandemia del Covid-19 implica un nuevo desafío que debe insertarse en esa larga historia para ser comprendido cabalmente. Y creo, también, que éste desafío nunca fue tan grande.

Déjenme comenzar presentando al adversario bajo la mejor luz posible: existe una tecnología de vigilancia masivamente adoptada en la sociedad, sobre la cual se propone desplegar una capa adicional a cambio de dos beneficios concretos: ralentizar la circulación del virus y levantar las medidas de cuarentena de manera más eficiente. La promesa es significativa y no debería desecharse rápidamente. Menos muertes y daños económicos aplacados parecen objetivos deseables en el marco de una situación bastante aterradora que nos tiene—literalmente—a toda la población encerrada en nuestras casas.

La nueva capa de vigilancia que se ofrece podría asumir distintas formas. En China, se trató de un pasaporte digital montado sobre una popular billetera electrónica que clasifica a las personas de acuerdo a criterios enigmáticos. Para occidente, las grandes compañías prometen soluciones más respetuosas de la privacidad de la ciudadanía. Mientras tanto, diversos gobiernos han buscado algún tipo de solución tecnológica al problema. Todos estos escenarios tienen sus problemas: los específicos vinculados a América Latina ya fueron señalados por organizaciones locales. En este breve espacio me gustaría llamar la atención sobre una dimensión estructural que—creo—debería guiarnos en la reacción al desafío. Utilizaré para ello un viejo concepto del “mundo Internet”: el de las capas o layers — en inglés.

En efecto, creo que la mejor forma de acercarse a las nuevas propuestas de vigilancia es entenderlas como “una capa más” que se desplegaría sobre una serie de capas subyacentes. La imagen es útil porque las capas subyacentes definen, en gran medida, cómo opera la capa superior. Ellas determinan lo que ésta última puede lograr y lo que nos pide a cambio. Así, por ejemplo la nueva capa de vigilancia se despliega sobre cierta infraestructura que ya existe, sobre situaciones socioeconómicas específicas, y—de manera crucial—sobre ciertos patrones de funcionamiento de las instituciones democráticas, tanto en su dimensión de toma de decisiones como en su dimensión de mecanismos de rendición de cuentas.

Es sobre esta capa de “gobernanza democrática” que quiero enfocarme, porque intuyo que la nueva capa de vigilancia que se nos ofrece es más o menos inevitable, en parte porque ya existe: toda la comunidad usuaria del mundo de Google Maps ya ceden sus datos de localización a cambio de una experiencia de uso más rica. ¿Quién no los cedería a cambio de que nuestros vecinos no se mueran? Este foco nos pide—entonces—un giro táctico con el objeto de reducir los daños o incidir sobre el proceso de toma de decisiones que lleve (o no) a una nueva capa que incluiría datos sensibles y la manifiesta intención de hacerlos “compartibles”, para que otras personas y/o las autoridades sanitarias puedan tener un mejor control de la población en tiempos de cuarentena.

El primer paso en esta dirección exige asumir que—en efecto—las tecnologías de vigilancia operan de una u otra forma de acuerdo con cómo funcionan las capas subyacentes. Así, por ejemplo, un sistema invasivo de vigilancia masiva de las comunicaciones puede ser cuestionable en sí mismo, pero sus consecuencias serán distintas si quien lo implementa es—simplifico—una dictadura o una democracia. De la misma manera, un sistema de CCTV puede tener consecuencias diversas si la autoridad a su cargo debe, por ejemplo, rendir cuentas periódicas ante una comisión legislativa de control o goza de las más absoluta discrecionalidad para expandir, usar y potenciar ese sistema.

El segundo paso es, entonces, analizar y estudiar los aspectos de la gobernanza democrática que van a determinar el funcionamiento de la nueva capa de vigilancia y actuar sobre ellos de manera directa.

• La infraestructura de datos personales. ¿Qué tipo de protección existe en nuestro país? ¿Es efectiva? La normativa vigente, ¿está actualizada? ¿Cómo funcionan los órganos de garantía o implementación? En muchos países las respuestas a estas preguntas son decepcionantes, pero también existe una protección especial para los datos “sensibles”. Otra cuestión que es necesario analizar se vincula con los mecanismos de rendición de cuentas existentes. El poder judicial, por ejemplo: ¿podría ejercer un control efectivo sobre los sistemas de rastreo de contagios? ¿Qué ocurre con los poderes legislativos?
• Los alcances de la excepción. Resulta fundamental evaluar en qué medida nuestras instituciones son capaces de crear regímenes “de excepción” y respetar ese carácter excepcional. En mi país, por ejemplo, muchas veces se han creado reglas para situaciones excepcionales que luego se han normalizado. ¿Podemos prevenir que eso suceda? Por otro lado, también es importante prestar atención a los distintos instrumentos con los que la emergencia pueda limitarse (en el tiempo, con base en criterios objetivos como p.ej., niveles de contagio, etcétera). Allí resulta fundamental analizar los mecanismos constitucionales vigentes que permiten “producir” legalmente a la emergencia y los mecanismos para controlarlos.
• La ciencia. Otro foco posible es aliarse con la epidemiología, que sabe que un app no podría nunca administrar por sí sólo una pandemia, una compleja ecuación de la cual el “rastreo de contactos” es sólo una pequeña parte. Así, por ejemplo, todo indica que sin un incremento sustantivo de la capacidad de tests en la sociedad un aplicativo de rastreo podría arrojar resultados erróneos (falsos positivos y negativos). Este es una típica aproximación táctica: enfocarse en la vulnerabilidad subyacente de la propuesta que parece más sencilla y barata, que aparece como alternativa de acción cuando la propuesta más compleja y efectiva es demasiado costosa.
• El constitucionalismo. No hay motivos por los cuales ante el despliegue de herramientas tecnológicas no se pueda exigir la menor intromisión posible. Allí los argumentos constitucionales que exigen que las medidas restrictivas de derechos sean acotadas sin perder idoneidad para satisfacer el objetivo perseguido deberían ser de ayuda. Este análisis de acotación debería atender a la cantidad de información recolectada, las garantías establecidas, el carácter voluntario de los programas de monitoreo, etcétera. El derecho constitucional local debería ser el punto de apoyo de estas estrategias indirectas, incluso más—creo—que los estándares internacionales de DDHH.
• Transparencia. Todas las acciones por adoptar de parte de los gobiernos deben ser transparentes, diseñadas e implementadas de cara a la ciudadanía y con controles políticos, legales y sociales suficientes. Asimismo, resulta fundamental analizar la forma en que sobre la nueva capa de vigilancia puede rápidamente—sin costo alguno—montarse una capa adicional de control, por ejemplo, laboral o de circulación en la vía pública, a cargo de las fuerzas públicas o de actores privados ejerciendo—por ejemplo—el derecho de admisión. Así, si se estableciese un sistema de pasaporte digital, ¿qué impide que un supermercado no exija mostrar el certificado antes de ingresar? Esa posibilidad nos debería llevar a una segunda y vital cuestión: los múltiples impactos discriminatorios que este tipo de tecnologías podrían tener.

Quienes llevan años trabajando en derechos digitales en América Latina verán que lo dicho hasta aquí se parece bastante a una reedición apresurada de viejos desafíos. Pero ocurre que éstos son persistentes: a pesar los esfuerzos y de la mayor conciencia ciudadana, de los cambios legales y los ocasionales escándalos, el avance de la tecnologías invasivas parece acelerarse. El Covid-19 plantea un escenario aún más difícil, que promete profundizar los modelos vigentes a cambio de beneficios concretos. Nunca la promesa de quienes nos piden ceder nuestra privacidad a cambio de algún beneficio posible fue tan tentadora. Sería de una inocencia política inaceptable no ver la cuestión desde el punto de vista de los liderazgos políticos de turno, que afrontan una situación inesperada, de impacto aún incierto, pero masivo. Y sería torpe no ajustar las tácticas (y las estrategias) para estar a la altura del nuevo desafío.

Sigue de cerca la discusión en nuestras redes sociales.