Faltas en materia de transparencia y protección de datos personales en el despliegue de tecnologías de vigilancia para combatir el Covid-19
AUTOR: Michelle Bordachar (Derechos Digitales)
Del análisis de los procesos de acceso a la información, se identifica una grave negligencia de los Estados respecto al tratamiento de datos personales por falta de cumplimiento de la normativa, evidenciando la necesidad de mejores prácticas estatales en protección de datos personales.
El 18 de marzo de 2021 las organizaciones señaladas presentaron en simultáneo solicitudes de acceso a la información pública en Brasil, Chile, Colombia, y El Salvador para obtener información sobre los procesos llevados a cabo por esos países para adquirir e implementar tecnologías con capacidad de vigilancia durante la pandemia del COVID-19 y evaluar su impacto en los derechos humanos de las personas. Mediante estas solicitudes se buscaba conocer distintos aspectos asociados a las tecnologías, incluyendo sus funcionalidades, políticas de privacidad, condiciones de almacenamiento de datos, entre otras.
Hoy, 7 meses más tarde, y luego de numerosos requerimientos ante el silencio de varias de las autoridades consultadas, respuestas parciales o derivaciones múltiples (y en casos, interminables), no estamos más tranquilas con la información que tenemos. Por el contrario, gran parte de estas tecnologías con capacidad de vigilancia siguen siendo desplegadas bajo una opacidad que riñe con los derechos humanos, en la ausencia de estudios de impacto que permitan anticipar -o, al menos, imaginar- potenciales consecuencias indeseadas y/o documentos contractuales (v.gr.: políticas de privacidad, términos y condiciones, etc) que no entregan información suficiente -ni siquiera mínima-.
Aquí, analizamos distintas infracciones detectadas durante el desarrollo de este trabajo en materia de transparencia y leyes de protección de datos personales, y cómo estas afectan el derecho a la autodeterminación informativa.
El tratamiento de datos como característica común y esencial de estas tecnologías
Si hay algo que tienen en común todas las tecnologías analizadas -además de su capacidad de vigilancia- es que son esencialmente tecnologías de tratamiento de datos, principalmente datos personales. De ahí que lo primero que llame profundamente la atención es habernos encontrado con algunas respuestas que negaran la existencia de tratamientos de datos por parte de las autoridades a cargo de estas tecnologías. En efecto, en el caso chileno, tanto para CoronApp como Comisaría Virtual, recibimos respuestas en que derechamente se señaló “que no hay operación o tratamiento de los datos sometidos a la aplicación” y que “no se realiza tratamiento de datos”, respectivamente.
Independiente de lo que quisieron significar las autoridades, las respuestas, en sí mismas, dan cuenta de la profunda ignorancia en materia de protección de datos personales bajo la cual fueron operadas algunas de estas tecnologías. Y difícilmente estas autoridades están preocupadas por cumplir con la normativa de protección de datos personales si, en primer lugar, desconocen que las operaciones por ellos realizadas caben dentro de su campo de aplicación.
Denegación de información y otras prácticas dilatorias
La mayoría de las solicitudes no fueron plenamente atendidas, cuestión que riñe con el derecho de acceso, uno de los atributos esenciales del derecho a la protección de los datos personales. A diferencia de los casos analizados en Brasil y Colombia, en el caso chileno sólo se obtuvo acceso parcial a la información sobre formalización para el uso de tecnologías basadas en datos personales por el Estado para combatir la pandemia, información que además resultó insuficiente, imprecisa o directamente incorrecta. Ejemplo de lo anterior fue la falta de coherencia entre los datos que informaron recolectar y los datos efectivamente recolectados.
Inexistencia de evaluaciones de impacto y vulneración del principio de legalidad
En ninguno de los tres países analizados se realizaron estudios de impacto del uso de las tecnologías en forma previa a su despliegue, ni de su idoneidad para lograr los objetivos tenidos en mente para su implementación. En este sentido, preocupa que no se hayan utilizado mecanismos de análisis para determinar si efectivamente las tecnologías en cuestión eran las adecuadas en el contexto específico, ni para determinar su potencial impacto en materia de protección de datos personales o la posibilidad de afectación a otros derechos antes de su puesta en marcha.
En todos los casos se hizo primar un criterio de urgencia, en virtud del cual se habrían postergado dichos estudios, situación esta última que se mantuvo en el tiempo, hasta la actualidad, excepto en el caso de la CoronApp colombiana. Este criterio de urgencia se sustenta en el falso dilema de pensar que la premura de la urgencia sanitaria implica, necesariamente, tener que seguir adelante sin adoptar las medidas apropiadas, cuestión que, en el contexto internacional, se ha demostrado no ser cierta.
Por el contrario, muchos países intentaron -por lo menos con algún nivel de satisfacción-, generar esas medidas de protección, aunque fuera de manera concomitante al despliegue de la tecnología, siendo el caso más emblemático es el de la Unión Europea, donde las autoridades de protección de datos personales acompañaron todo el trabajo que se hizo de diseño para el despliegue tecnológico de las aplicaciones, las que fueron desarrolladas en base a protocolos elaborados por académicos de múltiples universidades dentro de la región que, desde su diseño, se abocaron a generar condiciones de protección de la privacidad y la autodeterminación informativa.
Nada de esto lo vimos en las tendencias analizadas en la región. Por el contrario, aquí no hubo marcos previos ni se desarrollaron medidas específicas que acompañarán el desarrollo de estas tecnologías, o técnicas que apuntaran hacia la protección de los datos personales y, con ello, a mejores mecanismos de protección para los derechos en general.
Pero, además, de las respuestas recibidas pareciera que la inexistencia de una pauta de ponderación responde más a una falta de consideración que a un sentido de urgencia, como si ni siquiera lo hubiesen pensado como un elemento necesario de incorporar dentro del desarrollo de estas tecnologías, porque tampoco existieron mecanismos de auditoría posterior. En este sentido, la tendencia que vemos es que estas tecnologías no hayan sido sometidas a ningún tipo de revaluación posterior, ni estén considerados mecanismos de apertura para efectivamente generar posibilidades de que el sistema pueda recibir críticas o apoyo desde lo externo, desde la sociedad civil.
Adicionalmente, no podemos dejar de lado en este análisis las reglas especiales que en materia de consentimiento fueron aplicadas por los organismos públicos de los países analizados, para tener acceso a los datos y utilizarlos en el ejercicio de las funciones públicas, todas excepciones de carácter más o menos amplio que permitieron un tratamiento intensivo de datos personales. Esta situación debió haber sido tenida en consideración a la hora del despliegue de estas tecnologías, especialmente considerando la posibilidad práctica de reutilizar la información y de generar mecanismos de interoperabilidad para compartir datos con otras agencias del Estado. Este era un elemento que debió haber sido de particular precaución al momento de implementar estas tecnologías, por ejemplo, para analizar si era necesario tomar medidas específicas y adicionales para limitar la amplitud de dichas reglas especiales otorgadas por defecto a los órganos públicos, especialmente considerando que Brasil, Chile y Colombia son países que derechamente no requieren el consentimiento del titular de los datos ante una emergencia médica o riesgo para la salud pública debidamente justificado.
Información ambigua e incompleta sobre el tratamiento de datos
Directamente relacionado con lo anterior, están los problemas en la calidad de la información entregada a la ciudadanía en relación a la utilización y funcionamiento de estas normativas. En este sentido, preocupa que en algunos casos no se cumpla con informar debidamente la finalidad para la cual los datos serían utilizados, sobre todo considerando que muchas de estas tecnologías incorporan tecnología de geolocalización. Así, por ejemplo, en el caso de Brasil y Colombia las finalidades para el tratamiento de datos que fueron informadas en varios casos eran sumamente amplias. E, incluso, consultadas en virtud de los derechos de petición, las entidades respectivas se limitaron a dar respuestas tan ambiguas como «atender la pandemia» y «disminuir el contagio», cuestión que no se condice con un uso delimitado y restrictivo de los datos de los usuarios.
El caso de la CoronApp chilena es particularmente paradigmático en este sentido. En su política de privacidad se hacía referencia a la facultad legal de los organismos públicos para tratar datos personales como los requeridos, pero en ningún caso se delimitaba claramente las finalidades y categorías de datos comprendidos en dicha potestad legal, en circunstancias que con la aceptación de los términos y condiciones se autorizaba a un tratamiento mucho más amplio e intensivo que el legal. Por ejemplo, se autorizaba a la comunicación de los datos a organismos privados con finalidades poco claras.
Por cierto, informar debidamente implica hacerlo en forma previa a la realización del tratamiento de datos. En el caso de Colombia, sólo era posible conocer la política de tratamiento de datos de CoronApp una vez descargada la aplicación y luego de creado un usuario.
Tratamiento por parte de terceros
Relacionado también con la calidad de la información entregada, encontramos el problema de la falta de información disponible acerca de cómo se iban a producir estos desarrollos por parte de terceros en muchos de los casos analizados: falta de información sobre las distintas finalidades con que podrían tratarse los datos recolectados mediante las tecnologías analizadas, sobre el intercambio de información entre los diferentes organismos y sus vínculos con empresas privadas, o el destino de la información recopilada por su intermedio. Esto, en un contexto en que el régimen de excepciones al régimen legal de protección de datos personales se vio reforzado para facilitar su acceso, tratamiento y reutilización por parte de organismos estatales y de que privados que estaban prestando servicios afines al Estado, de manera que pudieran acceder de manera más libre y sin necesidad de dar cumplimiento a este consentimiento informado.
Impacto de las prácticas descritas al derecho a la autodeterminación informativa
Lo primero que debe quedar claro es que la idea de una colisión irreconciliable entre el derecho a la protección de los datos personales y el derecho a la salud es un falso dilema. El derecho a la protección de datos personales en ningún caso es un derecho absoluto que impida todo tratamiento de datos sin consentimiento de su titular. Por el contrario, todos los países de procedencia de las tecnologías analizadas cuentan con normas legales que habilitan al tratamiento de datos personales sin la autorización de su titular bajo ciertas circunstancias. En este orden de cosas, la protección de los datos personales no se traduce en una obligación de no hacer (no tratar datos), sino en la de respetar los límites legales para ello y cumplir con ciertas condiciones básicas, como lo son la transparencia, la información, etc.
Sin embargo, en los tres países analizados esta idea de colisión de derechos, potenciada por la excusa de la urgencia sanitaria, fue utilizada para justificar el despliegue de tecnologías de vigilancia y/o el debilitamiento de las normas de protección de datos personales. En este orden de ideas, el de Brasil nos parece un caso de particular interés, pues en dicho país se llegó al limite de intentar detener la entrada en vigencia de su nueva ley de protección de datos dictada en 2018, utilizando la pandemia como excusa, sobre la base que la normativa que se estaba implementando generaría restricciones adicionales en algunos de los usos de los datos.
Por otra parte, fue ese mismo sentido de urgencia el que posibilitó el despliegue de las tecnologías analizadas en ausencia de marcos normativos específicos, tanto en forma previa como posterior. Nos enfrentamos a un panorama de inexistencia de evaluaciones de impacto y, por tanto, de la información contextual necesaria, principal elemento de análisis, para poder determinar si la restricción de derechos y la inversión requerida por estas tecnologías eran justificadas en el beneficio que se busca lograr. Todo lo anterior, en un contexto de tratamiento intensivo de datos personales en base a ampliadas excepciones legales para el acceso a los datos, sin necesidad de dar cumplimiento a los regímenes de consentimiento informado, y en circunstancias en las que se registraron variadas limitaciones al derecho a la protección de datos personales mediante normativa administrativa orientada a un mayor compartimiento de datos entre organismos del Estado, y de estos con empresas del sector privado que prestaban servicios a los Estados.
En definitiva, nos vimos enfrentados a un falso dilema que suponía la renuncia de derechos para el despliegue de tecnologías de vigilancia, en circunstancias que las mismas perfectamente pudieron ser implementadas en una forma que compatible con los derechos de los ciudadanos y en una forma que favoreciera el ejercicio, cuestión que dependía de la calidad del diseño y despliegue de las políticas públicas. Por lo demás, en todos los casos se trata de tecnologías cuya idoneidad, necesidad y efectividad no ha podido ser probada por la ausencia de estudios de impacto.
Lo anterior se traduce en una afectación directa al derecho a la autodeterminación informativa al dificultar el ejercicio de aquellos derechos que conforman el núcleo central de todo régimen de protección de datos personales: los derechos de acceso, rectificación, cancelación y oposición. En el panorama descrito estos derechos se vuelven ilusorios o impracticables, pues difícilmente pueden ser ejercidos si no se tiene claridad sobre quién tiene nuestros datos, qué datos tiene, para qué y por qué. En este orden de ideas, no podemos perder de vista que el derecho a la protección de los datos personales es un elemento habilitante para el ejercicio de muchos otros derechos básicos y, por lo tanto, el verdadero sentido de urgencia no debiera estar puesto en el despliegue de las tecnologías, si no en su evaluación y utilización conforme un marco que garantice el respeto de los derechos de los ciudadanos.