
Tecnologías para combatir el COVID-19: una implementación apresurada
AUTOR: Daniela Rojas y Santiago Sáenz (FLIP)
Diferentes Estados en Latinoamérica han desarrollado “soluciones tecnológicas” que prometen ayudar en la lucha contra el COVID-19. Se crearon dispositivos médicos, aplicaciones móviles, software de rastreo de síntomas y de contagio, herramientas para sistematizar información y un sin número de tecnologías que ayudarían a disminuir el impacto del virus.
En el proyecto #EstamosVigilando, coordinado por CEJIL en alianza con la FLIP de Colombia, Derechos Digitales de Chile, Open Knowledge de Brasil e IDHUCA de El Salvador, se analizaron diferentes herramientas tecnológicas con capacidades de vigilancia que fueron implementadas en estos países con ocasión de la pandemia. El proyecto promueve una mayor transparencia y debida diligencia en la implementación de tecnologías con capacidad de vigilancia.
Para hacer esta investigación, las organizaciones que participaron en el proyecto enviaron solicitudes simultáneas de acceso a la información para conocer sobre la adquisición e implementación de algunas tecnologías. En las solicitudes, un punto de interés para las organizaciones fue determinar si los Estados realizaron evaluaciones de impacto en derechos humanos al implementar estas tecnologías.
Propagación de tecnologías y ausencia en su regulación
En principio, es legítimo el uso de tecnologías con la finalidad de ayudar a combatir el COVID-19. Sin embargo, existe una tendencia preocupante a nivel regional respecto a la viralización del uso y adquisición de tecnologías como forma de generar respuestas a una serie de desafíos sociales, incluyendo la gestión de la pandemia. Los Estados suelen omitir consideraciones sobre datos personales, libertad de expresión o privacidad, más allá de afirmar que se cumplen con las normativas de cada país. Es decir, no se hace una ponderación que demuestre un análisis desde los derechos humanos. Resulta inquietante la implementación precipitada de tecnologías sin evaluaciones previas de su impacto en derechos humanos y sin suficiente supervisión por parte de organismos de control.
Algunos organismos internacionales de derechos humanos han alertado sobre los riesgos del creciente uso de tecnologías para la vigilancia masiva y selectiva por parte de gobiernos y actores privados cuando no se cumple con estándares de legalidad, necesidad y proporcionalidad. Además, según las Relatorías de Libertad de Expresión de las Naciones Unidas y la CIDH “la vigilancia debería ser una opción para los gobiernos únicamente bajo las reglas más estrictas en el contexto de cumplimiento con la ley, esto es, que estén disponibles y sean adoptadas públicamente y operando sobre principios de necesidad y proporcionalidad y con supervisión judicial de cerca”.
Los antecedentes regionales de perfilamiento masivo y vigilancia en la región contra periodistas, líderes sociales y defensores de derechos humanos son un grave indicador del potencial riesgo para las garantías mínimas de la libertad de expresión, datos personales y privacidad de la población. Por ello, es necesario poner la lupa sobre estas tecnologías para verificar que los Estados no reincidan en estas violaciones de derechos humanos y, por el contrario, atiendan a estándares internacionales que establecen que la vigilancia estatal puede restringir derechos fundamentales, siempre y cuando sea legal, necesario y proporcional.
Adicionalmente, el contexto actual pone de presente que las tecnologías adquiridas e implementadas por los Estados no cuentan con regulación suficiente para asegurar el cumplimiento de criterios de legalidad, necesidad y proporcionalidad. Para suplir este vacío, es indispensable que los Estados hagan una evaluación de impacto en derechos humanos con anterioridad, durante y posterior a la implementación de tecnologías para asegurar que: (i) cumplan con reglas estrictas establecidas en la ley; (ii) sean necesarias para alcanzar un objetivo legítimo; y (iii) que su implementación no interfiera de forma desproporcionada con otros derechos fundamentales.
Hay un problema crónico en la implementación de nuevas tecnologías
Es sumamente alarmante que los países analizados no realizaron evaluaciones de los impactos que pueden generar con la implementación de las tecnologías, en cuanto a datos personales, vigilancia de la población o incluso para verificar si son adecuadas y cumplen con su finalidad. Sobre este punto, resaltamos algunas conclusiones que generan especial preocupación respecto a las tecnologías estudiadas en Brasil, Colombia y Chile:
- Las finalidades aludidas para el uso de tecnologías son muy genéricas. Esta amplitud, se presta para arbitrariedades. Ese es el caso de Brasil con Conecte Sus, Monitora COVID-19, Saúde Digital MG, al igual que Colombia con ArcGIS, PAIWEB 2.0 y Mi Vacuna, donde las entidades consultadas se limitaron a responder que las tecnologías “buscan proteger los derechos a la salud y vida de las personas”, la “atención de la pandemia” o “protección de la salud de los ciudadanos”. En el caso de Brasil, el Ministerio de Salud indicó que Conecte SUS cumple con todos los requisitos legales y protege los derechos de las personas.
Es especialmente preocupante que la amplitud con la que se definen las finalidades de las tecnologías da vía libre para que puedan ser malversadas para otros fines. La situación actual respecto a la implementación de tecnologías genera una preocupación respecto a su reutilización para propósitos diferentes al de atender la pandemia. Por ejemplo, CoronApp es una tecnología que existía con anterioridad, pero tuvo desarrollos posteriores que incorporaron nuevas funcionalidades intrusivas respecto a derechos fundamentales, tales como el contact tracing. Además, en el desarrollo de Dados do Bem en Brasil, hay empresas involucradas que operan en el mercado de big data y que cuentan con experiencia en monetización de grandes conjuntos de datos de perfil de los usuarios. A pesar de que hay compromisos adquiridos en políticas de privacidad, confidencialidad y protección de datos, la amplitud en sus finalidades y la falta de evaluación de impacto en derechos humanos es una debilidad que expone a sus usuarios a riesgos. Lo mismo sucede con Saúde Digital en Brasil debido al volumen y variedad de datos recopilados, pues la herramienta recopila datos biométricos y puede rastrear información detallada sobre la ubicación de las personas.
- Se omite una ponderación para verificar el impacto que podría tener el uso de las tecnologías adquiridas sobre otros derechos fundamentales. En general, las entidades mencionan que la tecnología tiene un impacto frente a la salud y vida de las personas, pero omiten hablar sobre otros derechos como libertad de expresión, privacidad o habeas data. Por ejemplo, en el caso de PAIWEB 2.0 en Colombia, las entidades consultadas respondieron la pregunta sobre evaluación de impacto en derechos humanos mencionando que la tecnología tiene un efecto positivo sobre la vida y salud de las personas por la protección que ofrecen las vacunas contra el COVID-19.
- Ausencia de entidades de control y Ministerio Público en la fiscalización de las tecnologías. En general, no se identificaron mecanismos que demuestren estructuraciones de planes de inspección, algo que es fundamental para asegurar buenas prácticas por parte de las instituciones públicas. En las diferentes respuestas a las solicitudes de información, tanto en Colombia, Chile y Brasil, se pudo constatar que los organismos de control no hicieron una revisión de las características, funcionalidad y alcance de las tecnologías y, de los posibles impactos que podrían tener sobre los derechos de la población.
El único caso en el que el Estado realizó una evaluación de impacto en derechos humanos y una fiscalización por parte de organismos de control fue en Colombia con la aplicación CoronApp, pero únicamente tras la presión ejercida por la sociedad civil debido a sus evidentes riesgos. Esto demuestra que la actividad de la sociedad civil es indispensable como generador de cambio. El tratamiento de datos personales a través de la aplicación fue estudiado por la Superintendencia de Industria y Comercio (SIC). La entidad recomendó redactar una Política de Tratamiento de Información (PTI) especial para CoronApp, por tratarse de un proyecto excepcional que recolecta datos sensibles de millones de personas. Es importante destacar que, aunque es positivo que se haya hecho una evaluación de impacto, esta sólo se dio como consecuencia de la movilización social y las alertas realizadas por varias organizaciones de derechos humanos y expertos sobre los riesgos de esta tecnología en relación con los datos personales de los usuarios. Incluso se realizó una audiencia pública sobre los riesgos de esta aplicación en el Congreso. Esto fue un catalizador para que las entidades de control hicieran una evaluación de impacto que no estaba prevista inicialmente para CoronApp, lo cual demuestra que la adquisición y uso de tecnologías está siendo abordada por el Estado de manera reactiva a las denuncias.
- Los Estados no están monitoreando la eficacia de las tecnologías implementadas. Por ejemplo, en el caso de Colombia, hubo graves fallas respecto al monitoreo de la eficacia de CoronApp. Esta aplicación fue promovida inicialmente como la solución para mitigar el contagio mediante el rastreo de síntomas. En un principio, CoronApp utilizó un protocolo centralizado de contact tracing de la empresa Hyplelabs. Después de presentar problemas con este protocolo anunciaron que harían uso del protocolo descentralizado desarrollado por Apple y Google, pero finalmente decidieron implementar el protocolo centralizado de Bluetrace, desarrollado por el gobierno de Singapur. Actualmente, la aplicación no hace contact tracing, a pesar de que fue el principal motivo por el cual se creó. Una serie de problemas y dificultades en la implementación de protocolos de contact tracing demostraron que no se pudo hacer un verdadero rastreo de contagios. Adicionalmente, para garantizar que el contact tracing sirva para la finalidad de controlar los casos de COVID-19, el 60% de la población debe hacer un uso constante de la aplicación con el Bluetooth encendido. El caso de CoronApp demuestra cómo se implementan tecnologías sin un verdadero análisis previo sobre su funcionalidad y eficacia, pues para que la aplicación sirviera para esta finalidad, primero el Estado debía asegurar cerrar la brecha digital, ya que es imposible conseguir que el 60% de la población descargue la aplicación con la enorme inequidad en acceso a conectividad en el país.
- Se están dando desarrollos tecnológicos desde los Estados. En Colombia todas las tecnologías, salvo ARCGIS 2.0, fueron desarrolladas internamente por diferentes entidades públicas y la información recolectada queda en cabeza de las mismas entidades. Esta es una situación diferente al caso de Brasil, donde la mayoría de tecnologías fueron desarrolladas por empresas privadas. Colombia es un país con un grave contexto de vigilancia ilegal por parte del Estado, pues se han presentado varios escándalos de vigilancia y perfilamientos contra personas defensoras de derechos humanos, periodistas y políticos. En el 177 periodo de sesiones, la CIDH reiteró que la vigilancia ilegal en Colombia es sistemática y que ha persistido la impunidad al igual que la falta de esclarecimiento sobre las motivaciones y estructuras que operan detrás de estas actuaciones. El hecho de que el Estado colombiano desarrolle sus propias tecnologías sin regulaciones para su diseño e implementación le otorga al Estado enormes facultades para realizar actuaciones de vigilancia, perfilamiento y recolección masiva de datos personales, más aún considerando que los datos son recolectados por el mismo Estado.
Del análisis de las respuestas a las distintas solicitudes de información muestran la necesidad de que se generen metodologías concretas de cómo hacer una evaluación de impacto en derechos humanos al momento de adquirir o desarrollar nuevas tecnologías. Aunque los estándares de legalidad, proporcionalidad y legalidad son aplicables a los países estudiados, en un contexto de rápido crecimiento de tecnologías y falta de control respecto a su uso, estos criterios son insuficientes para prevenir afectaciones a derechos fundamentales. Por eso, es necesario que se generen estándares y metodologías concretas para realizar evaluaciones de impacto en derechos humanos, lo cual promovería la debida diligencia al interior de los Estados en materia de derechos humanos y la transparencia en la implementación y uso de tecnologías.
En una audiencia temática ante la CIDH sobre tecnologías de vigilancia celebrada este año, organizaciones de la sociedad civil alertaron sobre el enorme riesgo que representa la adquisición e implementación de tecnologías con capacidades de vigilancia sin un escrutinio adecuado. La investigación realizada en #EstamosVigilando demuestra que estos riesgos no son eventuales y tampoco especulaciones. Por eso, es necesario que los Estados implementen procesos de debida diligencia en materia de derechos humanos para quienes diseñan, desarrollan, despliegan, venden, obtienen o explotan tecnologías con capacidad de vigilancia. Un elemento primordial en la diligencia debida en materia de derechos humanos debe ser las evaluaciones periódicas y exhaustivas del impacto sobre los derechos humanos.
(1) A/HRC/48/L.9/Rev.1, del 7 de Octubre de 2021: OP6. Calls upon all States: (h quarter) to refrain from the use of surveillance technologies in a manner that is not compliant with international human rights obligations, including when used against journalists and human rights defenders, and to take concrete actions to protect against violations of the r
(2) Relatoría Especial de la ONU para la Protección y Promoción del Derecho a la Libertad de Opinión y de Expresión & Relatoría Especial para la Libertad de Expresión de la CIDH (21 de junio de 2013). Declaración conjunta sobre programas de vigilancia y su impacto en la libertad de expresión. Obtenido de: https://www.oas.org/es/cidh/expresion/showarticle.asp?artID=927
(3) Relatoría Especial de la ONU para la Protección y Promoción del Derecho a la Libertad de Opinión y de Expresión & Relatoría Especial para la Libertad de Expresión de la CIDH (21 de junio de 2013). Declaración conjunta sobre programas de vigilancia y su impacto en la libertad de expresión. Obtenido de: https://www.oas.org/es/cidh/expresion/showarticle.asp?artID=927
(4) Necesarios y Proporcionados. Principios internacionales sobre la aplicación de los derechos humanos a la vigilancia de las comunicaciones. Obtenido de: https://necessaryandproportionate.org/files/2016/03/04/spanish_principles_2014.pdf
(5) Ibídem.
(6) Hay dos formas de hacer contact tracing: el centralizado y el descentralizado. El descentralizado es mejor porque se hace directamente desde la aplicación en cada celular y nunca llega a un servidor. Por su parte, el contact tracing centralizado de CoronApp se gestiona desde un servidor en el Ministerio de Salud y los datos son transferidos y guardados a una base de datos centralizada. Este sistema es un riesgo para la privacidad porque el servidor central puede desanonimizar los identificadores y se podría, en últimas, rastrear personas.
(7) Karisma. CoronApp: muchos datos y pocos beneficios. Obtenido de: https://web.karisma.org.co/coronapp-muchos-datos-pocos-beneficios/; Science. Quantifying SARS-CoV2 transmission suggests epidemic control with digital contact tracing. Obtenido de: https://www.science.org/doi/10.1126/science.abb6936
(8) Estos son algunos hechos de vigilancia ilegal que han ocurrido en Colombia: (i) en el 2014 la Revista Semana reveló que en una sala de operaciones de inteligencia del Ejército conocida como “Andrómeda” se adelantaron seguimientos contra periodistas, defensores de derechos humanos y oficiales del Gobierno; (ii) en el 2020 la Revista Semana reveló que el Ejército ejecutó un programa de seguimiento informático con un aproximado de 130 víctimas a través de un software llamado “Hombre Invisible”; (iii) en el 2020 la FLIP reveló que el Gobierno, en conjunto con la firma DuBrands, clasificó a 468 influenciadores de Twitter en positivo, negativo o neutro con base en su afinidad al Gobierno. En la lista aparecen periodistas, políticos, opinadores en redes y medios de comunicación.
(9) Comisión Interamericana de Derechos Humanos. Prácticas de interceptaciones ilegales en Colombia. Audiencia No. 10 del 177 periodo de sesiones. Obtenido de: https://www.youtube.com/watch?v=29yEBvjY3ZM