Protección de la privacidad

Comparte:



Los Estados tienen la obligación de respetar y proteger el derecho a la privacidad en la era digital, y en esa medida deben adaptar su legislación a los retos que presenta el desarrollo de Internet.

Con internet, la capacidad técnica para reunir, almacenar e intercambiar información personal que brindan las tecnologías digitales generó un nuevo desafío en la protección de la privacidad. Las empresas de redes sociales se basan en un modelo de negocios que ofrecen servicios ‘gratuitos’ a cambio de la propiedad de los datos que generen los usuarios, y ello necesariamente implica la generación de datos y ‘rastros digitales’.

Esto complica el derecho de las personas a determinar cuándo, cómo y en qué medida se comparte la información sobre ellas mismas. El creciente poder de procesamiento de las computadoras permite recabar información desde múltiples fuentes, procesar y re-procesar para luego venderse. Es claro que el modelo de negocios de las empresas más exitosas incide directamente sobre el derecho a la privacidad.

Puntos clave

  • Protección de la privacidad

    • Los Estados tienen la obligación de respetar y proteger el derecho a la privacidad en la era digital, y en esa medida deben adaptar su legislación a los retos que presenta el desarrollo de Internet.

    • La capacidad de reunir, almacenar e intercambiar información personal genera un nuevo desafío en la protección de la privacidad. Las empresas ofrecen servicios “gratuitos” a cambio de datos. Esto complica el derecho de las personas a determinar la forma y momento en que se procesa su información.

    • Hoy en día es posible localizar y rastrear datos personales en línea, además de extraer información que identifica o puede identificar al usuario. Dirección IP, GPS, cookies, web bugs etc.

  • Datos personales

    • En América Latina hay una noción amplia de datos personales. Es fundamental que se desarrollen regímenes de protección de datos que regulen el almacenamiento, procesamiento, uso y transferencia de datos personales, ya sea entre entidades estatales o entre terceros.

    • Los Estados deben adoptar políticas que tiendan a prohibir el tratamiento de datos, salvo cuando exista una legitimación para hacerlo o exista consentimiento del titular. También debe haber medidas de educación de las personas con respecto a sus derechos.

    • Los Estados deben garantizar la transparencia en la legislación aplicable al manejo de datos, procedimientos y autoridades. Es fundamental que las personas puedan acceder a la información sobre ellas, actualizarla, corregirla y eliminarla cuando sea necesario.

    • Cuando los Estados realizan tareas de recolección de datos deben observar estrictos criterios de necesidad y proporcionalidad al momento de determinar qué datos recolecta y cómo lo hace.

  • Vigilancia, monitoreo e interceptación

    • La vigilancia individualizada se ampara en procesos penales o investigaciones de otra índole. La vigilancia masiva supone la interceptación e inspección de cables, redes, equipos, compra de datos o colaboración con intermediarios.

    • Las tecnologías desarrolladas en las últimas décadas han simplificado y reducido dramáticamente los costos –tanto humanos como financieros– de la vigilancia digital.

    • La vigilancia de internet es una injerencia en la vida privada de las personas. Su ejercicio ilegítimo y masivo puede afectar el debido proceso, la libertad de expresión y el acceso a la información.

    • El terrorismo y la lucha contra la delincuencia organizada, por ejemplo, suponen una obligación estatal de prevención y protección que constituye un objetivo legítimo para el uso excepcional y supervisado de tecnologías y mecanismos de vigilancia.
    • Las medidas de vigilancia en internet deben ser ordenadas por un juez u órgano jurisdiccional competente, independiente e imparcial, y la orden debe estar debidamente fundada y observar el debido proceso.

    • No todas las injerencias en la privacidad son ilegítimas. Hay circunstancias excepcionales en las que se permiten. Se debe garantizar la adecuación de las medidas a los derechos humanos.

    • La recolección sistematizada de datos públicos también es una injerencia. La medida se debe analizar a partir del test tripartito.

    • En vista del riesgo intrínseco de abuso de cualquier sistema de vigilancia, estas medidas deben basarse en legislación particularmente precisa, con reglas claras y detalladas.

    • Las leyes y políticas de interceptación y monitoreo deben ser públicas y debe aplicarse el principio de máxima divulgación. El concepto de seguridad nacional debe definirse desde una perspectiva democrática.

    • Los Estados deben publicar estadísticas sobre solicitudes de recolección de información y permitir que los intermediarios difundan información de los procesos y el número y alcance de solicitudes.

  • Encriptación y anonimato

    • El anonimato protege la privacidad y potencia la libertad de expresión. Los Estados y empresas deben respetar el discurso anónimo y solo pedir autentificación o identificación en casos excepcionales, aplicando un criterio de proporcionalidad.

    • Los Estados pueden tomar medidas para identificar una persona en el marco de una investigación judicial. El anonimato se puede levantar en casos no amparados por la libertad de expresión.

    • La encriptación protege la privacidad de la información en la era digital. Las medidas que restringen o limitan ese mecanismo de protección reducen la habilidad de las personas para defenderse frente a invasiones a la privacidad e intimidad.

  • Big Data

    • El análisis de ‘big data’ permitiría evaluar necesidades y tendencias sociales para mejores políticas públicas. Las empresas están desarrollando tecnologías que permite analizar datos a gran escala para evaluar tendencias de mercado, preferencias, perfiles demográficos e inclinaciones políticas y culturales.

  • Internet de las cosas

    • En el futuro, los objetos serán capaces de comunicarse entre sí sin intervención humana. Internet será una experiencia física de objetos que recogerán información personal.

    • Los Estados deben comprender lo que implican las nuevas tecnologías en materia de políticas públicas y asegurar que funcionen en aras del interés público con las suficientes protecciones para los usuarios y sus derechos humanos.

Las nuevas tecnologías también crean la posibilidad de localizar y rastrear datos personales, algo que antes no era posible. Cada computadora, teléfono móvil u otro dispositivo conectado a internet tiene una dirección única (dirección IP) que le proporciona un identificador específico al dispositivo y posibilita su rastreo. Los sistemas GPS, adicionalmente, permiten rastrear a través de distintas aplicaciones la ubicación exacta de una persona. Por otra parte, existen diversas herramientas para extraer información personal del usuario o que permite identificarlo –como las cookies y los web bugs o beacons–.

El informe de la Relatoría Especial desarrolla cinco desafíos relacionados con la privacidad en el entorno digital.

A. Datos personales

En América Latina en general se ha adoptado una noción amplia de datos personales, que incluye cualquier dato propio de personas físicas o jurídicas, identificadas o identificables. Resulta fundamental que se desarrollen regímenes de protección de datos que regulen el almacenamiento, procesamiento, uso y transferencia de datos personales, ya sea entre entidades estatales o entre terceros. Debido a la naturaleza transfronteriza de internet, la necesidad de regular el tratamiento de datos no se limita al ámbito nacional.

Los Estados deben adoptar políticas tendientes a regular el tratamiento de datos, incluido el almacenamiento, análisis, y divulgación de datos personales salvo cuando estén legitimados para hacerlo o exista consentimiento informado de la persona afectada. Además, deben adoptar medidas positivas tendientes a educar a las personas en torno a sus derechos y para entender las condiciones legales para el tratamiento de datos personales (recolección, almacenamiento, tratamiento o divulgación de datos).

Los Estados deben garantizar una política de transparencia respecto a la legislación aplicable al manejo de datos tanto por parte del estado como del sector privado. Las prácticas en torno a su tratamiento, los procedimientos para cuestionar dicho tratamiento y la autoridad competente para resolver cualquier planteo. Resulta fundamental que las personas puedan acceder a la información almacenada sobre sí mismas, actualizarla, corregirla y, llegado el caso, eliminarla cuando fuera necesario.

El derecho de acceso y la obligación de transparencia en torno a los datos personales almacenados por el Estado incluye también los datos biométricos, que son aquellos que permiten “el reconocimiento sistemático de individuos basado en sus características conductuales y biológicas”.

La sistematización de todos esos datos, combinada con otras fuentes de información conductual, permiten, bajo un sistema de probabilidad, identificar a las personas.

Cuando los Estados realizan tareas de recolección de datos deben observar estrictos criterios de necesidad y proporcionalidad al momento de determinar qué datos recolecta y cómo lo hace. Deben establecer protocolos en torno a la recolección, respetuosos de los derechos humanos y garantizar el derecho de acceso a la información respecto de las políticas y prácticas vigentes en la materia. Este proceso debe estar sujeto a control tanto administrativo como judicial.

B. Vigilancia, monitoreo e interceptación

La vigilancia individualizada está generalmente amparada en procesos penales o de investigaciones de otra índole, y comprende la interceptación o el monitoreo de comunicaciones. La vigilancia masiva de comunicaciones y datos, por su parte, supone la interceptación e inspección de cables enteros, redes, o equipos, o la compra de datos de servidores o intermediarios a un tercero.

Las tecnologías desarrolladas en las últimas décadas han simplificado y reducido dramáticamente los costos –tanto humanos como financieros– de la vigilancia digital. De ahí que su uso se haya incrementado radicalmente. Considerando estos y otros peligros que traen consigo los desarrollos tecnológicos, es mayor el compromiso que deben asumir los Estados para proteger la vida privada de los ciudadanos.

La vigilancia en internet, en cualquiera de sus formatos o matices, constituye una injerencia en la vida privada de las personas y, de ejercerse ilegítimamente y de manera masiva, puede afectar además los derechos al debido proceso y a un juicio justo, a la libertad de expresión y al acceso a la información.

No toda injerencia es per se ilegítima. Existen supuestos excepcionales que justifican distintos niveles de injerencia de acuerdo a las circunstancias. El terrorismo y la lucha contra la delincuencia organizada, por ejemplo, suponen una obligación estatal de prevención y protección que constituye un objetivo legítimo para el uso excepcional y supervisado de tecnologías y mecanismos de vigilancia. Sin embargo, los Estados deben garantizar la adecuación de estas medidas a los derechos humanos.

En la misma línea, la recolección sistematizada de datos públicos –voluntariamente expuestos por el propietario de dichos datos, como publicaciones en blogs redes sociales, o cualquier otra intervención de dominio público- constituye una injerencia en la vida privada de las personas. El hecho de que la persona deje rastros públicos de sus actividades no habilita al Estado a recolectarla sistemáticamente, salvo en las circunstancias específicas donde dicha injerencia estuviera justificada. Es necesario, en esos casos, analizar la medida a la luz del test tripartito –la medida debe ser legal, en sentido formal y material, necesaria y proporcionada–.

En vista del riesgo intrínseco de abuso de cualquier sistema de vigilancia, estas medidas deben basarse en legislación particularmente precisa, con reglas claras y detalladas. Los objetivos conforme a los cuales se habilite el monitoreo o la interceptación de comunicaciones deben constar expresamente en la ley y en todos los casos deberán establecer la necesidad de una orden judicial previa. La naturaleza de las medidas, al igual que su alcance y duración han de estar reguladas, estableciendo los hechos que podrían dar lugar a dichas medidas y los organismos competentes para autorizarlas, implementarlas y supervisarlas.

Algunos Estados en la región han adquirido nuevas tecnologías de vigilancia cuyo proceso de adquisición, uso, disposición y supervisión carecen de regulación o difusión suficiente. Las leyes y políticas en torno a la naturaleza, alcance, e implementación de mecanismos de interceptación y monitoreo deben ser públicas y el Estado está obligado a aplicar el principio de máxima divulgación en el acceso a esa información. Esto abarca tanto las políticas y prácticas en torno a la vigilancia electrónica, como la adquisición, desarrollo, o actualización de los sistemas disponibles para ello.

Al establecer una restricción al acceso a la información sobre los sistemas de vigilancia, los Estados deben demostrar la necesidad de cualquier medida tendiente a mantener en secreto cierta información para proteger la seguridad nacional y el orden público. El concepto de seguridad nacional no puede ser interpretado de cualquier forma y debe ser definido desde una perspectiva democrática.

Cabe reiterar que las medidas de vigilancia deben ser ordenadas por un juez u órgano jurisdiccional competente, independiente e imparcial, y la orden debe estar debidamente fundada y observar el debido proceso.

En términos de transparencia, los Estados deben publicar estadísticas respecto al número de solicitudes realizadas, aprobadas y rechazadas, el tipo de investigación de la que hacen parte, la duración de dichas medidas y el desglose de solicitudes por proveedor, entre otros. Los intermediarios, por su parte, tienen un rol particularmente importante en esta materia. Los Estados muchas veces dependen de la aquiescencia o colaboración de estos actores privados, y existen numerosas iniciativas tendientes a obligarlos a llevar registros, o a que controlen o monitoreen las actividades de sus usuarios.

Los intermediarios deben difundir información respecto a los procesos que implementen, indicando por lo menos de manera agregada el número y alcance de las solicitudes que reciben para entregar datos por solicitud oficial.

C. Encriptación y anonimato

Para muchos individuos, la expresión de una opinión en Internet pueden conllevar represalias. Es por ello, que los Estados tienen la obligación de respetar el discurso anónimo como ejercicio de la privacidad y la libertad de expresión, y solo excepcionalmente exigir la autenticación o identificación fehaciente de quien se expresa, aplicando un criterio de proporcionalidad.

El sector privado también debe proteger el discurso anónimo, evitando imponer en sus plataformas requisitos de identificación que la propia ley no establece. El anonimato protege la privacidad de los individuos y potencia la libertad de expresión al permitir la participación no identificada en el debate público.

Sin perjuicio de lo anterior, los Estados pueden tomar medidas para identificar a una persona en el marco de una investigación judicial en los términos que señala este informe. El anonimato puede levantarse, por ejemplo, cuando el discurso no estuviera amparado por el derecho a la libertad de expresión –como es el caso del discurso que hace propaganda en favor de la guerra, la apología del odio que incite a la violencia, la incitación al genocidio y la explotación sexual de menores–.

En la misma medida, la encriptación es un recurso tendiente a proteger la privacidad de la información en la era digital, y consiste en la codificación de los datos para que solo los destinatarios puedan acceder a ellos. Las medidas que restringen la encriptación reducen entonces la habilidad de las personas para protegerse frente a invasiones ilegítimas de su privacidad e intimidad. Estas medidas no deben ser adoptadas por los Estados salvo excepcionalmente y en tanto sean legales, necesarias y proporcionales.

D. Big Data

Big Data es un término que refiere a la inmensa cantidad de datos generados en la red, susceptibles de ser almacenados, administrados, analizados y sistematizados en busca de tendencias y perfiles.

El análisis de datos permitiría evaluar necesidades y tendencias sociales que potencialmente permitirían la adopción de más y mejores políticas públicas en aras de garantizar los derechos humanos de las personas. Pero, en la misma medida, grandes empresas privadas están actualmente dedicadas al desarrollo de tecnologías que les permitan analizar datos a gran escala para evaluar tendencias de mercado, preferencias, perfiles demográficos e inclinaciones políticas y culturales, entre muchas otras variables.

Muchas de las tecnologías que se están utilizando no solo permiten el análisis objetivo de datos y tendencias, sino que inescindiblemente permiten la identificación de los usuarios que conforman la masa crítica analizada, o generan riesgos de discriminación y arbitrariedad. Los Estados deben procurar que tanto en el ámbito público como en el privado la tecnología y desarrollos del Big Data garanticen la protección de los derechos humanos en internet.

E. Internet de las Cosas

En el futuro próximo los objetos serán capaces de comunicarse entre sí sin intervención humana. Internet se convertirá entonces en una experiencia física de objetos que recogerán constantemente información sobra las personas –un internet de las cosas (internet of things)–. La Relatoría Especial reconoce que el rápido cambio tecnológico que caracteriza esta época dificulta la comprensión anticipada de las consecuencias sociales que tiene una tecnología. Corresponde a los Estados, en nombre de sus ciudadanos, comprender lo que implican las nuevas tecnologías en materia de políticas públicas y asegurar que funcionen en aras del interés público con las suficientes protecciones para los usuarios y sus derechos humanos. delitos deben contemplar penas más rigurosas que aquellos perpetrados en el contexto ‘offline’.