Páginas

domingo, 13 de septiembre de 2020

Protección de datos personales: ¿La Era Digital nos hace vulnerables o siempre lo hemos sido?

 


Ante el avance arrollador de la tecnología, presente en prácticamente cada uno de los órdenes de nuestra vida, el tema de la protección de datos personales ha alcanzado un gran protagonismo.

Y no es para menos. Mientras más informatizada está la administración, industria, academia y ciudadanía, en fin, la sociedad en su conjunto, obviamente más susceptible somos todos sus componentes de ser afectados por un uso inadecuado de nuestra información.

Pero, ¿esa vulnerabilidad ocurre ahora en que vivimos en la “Era Digital” o desde hace mucho más tiempo hemos estado expuestos? De eso trataremos en este artículo.

Algunos conceptos generales

Primero definamos algunos conceptos basándonos en la Organización para la Cooperación Económica y Desarrollo (OCDE)[1] y la Comisión Económica para América Latina y el Caribe (CEPAL)[2]:

  • Datos personales: Se refieren a aquellos registros que por sí mismos o vinculados a otros datos pueden revelar la identidad de una persona viva. Es el caso del nombre, cédula de identidad, teléfono, edad, dirección de domicilio o trabajo, centros educativos donde estudió, etc.
  • Datos personales sensibles: Son todos aquellos datos asociados a los anteriores cuya divulgación podría hacer que el individuo sufra algún tipo de discriminación o afectación de derechos, como raza, religión, ideología política, membresía gremial, salud física o mental, vida sexual, historial delictivo, etc.
  • Controlador de datos personales: Persona u organización que determina los propósitos y forma en que se procesan los datos personales.
  • Privacidad: Es el derecho de toda persona a estar libre de intrusiones o perturbaciones de la vida privada o en asuntos personales.
  • Confidencialidad: Se refiere a la propiedad de la información, por lo que se garantiza que el acceso a ésta solo será realizado por el personal autorizado para ello.
  • Consentimiento informado: Es cuando antes de solicitar el consentimiento al ciudadano se le informa cuáles datos le serán recolectados, quién tendrá acceso a ellos y cómo serán publicados.
  • Anonimización de los datos: Es el proceso de convertir los datos a un formato en el que no se pueda identificar a la persona a quien se refieren. Cuando los datos son anonimizados, el controlador de datos personales no tiene que pedir consentimiento de los individuos para compartir o publicar los datos que ha procesado.
  • Principios básicos en la protección de datos personales: Estos son los principios que ha definido la OCDE para facilitar la protección de la privacidad y de las libertades individuales:
    • Principio de limitación de la recolección de datos. Los datos deben ser recolectados por medios legales y, cuando aplique, con el conocimiento de la persona.
    • Principio de calidad de los datos. Los datos personales deben ser actualizados y  relevantes para el propósito de su uso.
    • Principio de especificación de propósito. Siempre debe ser especificado el propósito de la recolección de los datos personales y su uso se verá limitado al cumplimiento de ese propósito.
    • Principio de limitación de uso. No se deberá divulgar, poner a disposición de terceros, ni utilizar para fines diferentes a los originalmente declarados durante su recolección, a menos que se cuente con el consentimiento de la persona o que exista una imposición legal para fines de investigaciones, estadísticas o planificación social.
    • Principio de salvaguarda de la seguridad. Quien recolecte y almacene datos personales deberá garantizar la protección de dicha información contra pérdida, acceso no autorizado, destrucción, modificación o divulgación de los mismos.
    • Principio de transparencia. Deberá existir una política clara y específica sobre la protección de datos personales, contando con medios ágiles para que un ciudadano pueda comprobar cuáles datos suyos han sido recolectados y almacenados, su propósito y la identidad de la entidad que los ha recopilado.
    • Principio de participación individual. Todo individuo tiene derecho a que se le confirme si una entidad tiene datos sobre su persona, a que se le comuniquen cuáles datos han sido recolectados, a requerir una explicación en caso de denegación y a que sus datos sean eliminados o corregidos en caso de ser incorrectos o desactualizados.
    • Principio de responsabilidad. Sobre todo controlador de datos personales recae la responsabilidad del cumplimiento de los principios anteriores.

Estos principios son aplicables en el intercambio de información entre las naciones para promover el desarrollo económico y la cooperación, aunque, como plantea la OCDE[3], las únicas excepciones admisibles serían en el ámbito de la información crediticia, investigaciones criminales y banca, para de esa forma contribuir al combate del comercio ilícito, actividad criminal y lavado de dinero.

Protección de Datos Personales antes de la Era Digital

En la Grecia Clásica los derechos individuales estaban supeditados a los intereses de las Polis o ciudades. Es con los romanos que los individuos desarrollan el concepto de “derecho a la propiedad” y “dignidad”. De hecho, en el Derecho Romano se establecía el principio “Alterum non laedere[4] o “no dañar al otro”, porque quien lesionaba a los demás, en lo físico o moral, lesionaba sus derechos y era sancionable.

Como refiere Juan Vicente Oltra de la Universidad Politécnica de Valencia[5], ya en la Edad Media teólogos de la estatura de San Agustín y Santo Tomás de Aquino hablaban de que los hombres eran “portadores de valores” y de que la intimidad era un “bien sagrado”, y no es hasta la Edad Moderna que el concepto evoluciona hasta la forma que adopta hoy en día cuando John Locke establece la privacidad como una “libertad negativa” (que no debe ser coartada por impedimentos externos) y Jean Jacques Rousseau establece la “intimidad” desde el ámbito de la persona.

Lo que queda claro es que, desde muchos siglos antes de que surgiera la informática, la privacidad de los individuos y su “buen nombre” podían verse afectados por rumores, panfletos, artículos periodísticos o libros publicados que divulgaran información que afectaran su dignidad o imagen pública.

La violación de la correspondencia era algo común en el pasado


Por igual ocurría con la violación de la correspondencia, único medio de comunicación personal a distancia antes de la invención del teléfono, práctica usual en tiempos de guerra o dictadura que atentaba contra la privacidad de las personas.

Es decir, mucho tiempo antes de llegar la 4ta Revolución Industrial, entidades públicas y privadas recolectaban, procesaban y utilizaban los datos personales sin que necesariamente las personas tuvieran conocimiento ni control de lo que hacían con sus datos: Censos, llamadas telefónicas y telegramas recibidos o enviados, compras y ventas realizadas, trámites públicos, registros médicos, patentes registradas, entradas y salidas por puertos y aeropuertos, etcétera. Toda esa información estaba al alcance de entidades y personas que no necesariamente se tenía claro de quiénes eran. Hasta en el directorio telefónico (con el nombre, dirección y número telefónico de todos los habitantes de una ciudad) era público el domicilio y número de contacto de las personas.

Es a partir de 1948 que de forma global empieza a establecerse el principio de protección de los datos personales, con la Declaración Universal de los Derechos Humanos[6], que enuncia “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. Es por tal razón que el derecho a la privacidad es considerado un derecho humano de 1ra generación[7], ya que se corresponde al grupo de derechos civiles y políticos derivados de la Revolución Francesa.

Por tanto, antes de 1948 el tratamiento de los datos personales de los individuos no estaba suficientemente regulado y es desde entonces que se ha venido fortaleciendo el marco jurídico internacional y en cada uno de los países para proteger la privacidad de los ciudadanos y evitar su violación. Claro, la necesidad de protección de los datos personales cambió de prioridad con el surgimiento del Internet en los años 1990s.

La Sociedad Digital y las nuevas vulnerabilidades

Con el desarrollo de la informática, se sucedieron dos revoluciones industriales en las que la información pasó de ser de uno de los más importantes al principal activo de las economías. Es así que empieza a surgir el concepto de Sociedad de la Información y el Conocimiento, cuando se cuantificó que los empleos relacionados con la producción, recolección, almacenamiento y procesamiento de la información son el grupo de más rápido crecimiento en las economías desarrolladas[8].

El advenimiento de las tecnologías emergentes y exponenciales multiplicó la capacidad de recolección, almacenamiento, procesamiento y distribución de la información, por lo que las vulnerabilidades ya existentes previamente lo que hicieron fue magnificarse, y la llegada del Internet lo que produjo fue la posibilidad de que personas no autorizadas pudieran acceder a información sensible desde cualquier lugar del planeta.

Es así que surgen los nuevos villanos de la Sociedad Digital, dedicados a acceder a información privada para monetizarla, vendiéndola al mejor postor, los hackers. Es por esto que las legislaciones de todos los países, además de fortalecer la protección de los datos personales de los individuos, han robustecido su marco jurídico para combatir este nuevo tipo de ilícito, estableciendo estrategias de ciberseguridad y fomentando buenas prácticas para que individuos y entidades protejan la información: creación de centros de respuesta a incidentes informáticos (CSIRT por sus siglas en inglés), encriptación de los datos, instalación de firewalls o cortafuegos, complejización de los mecanismos de autenticación , etc.

La domótica y el IoT puede exponer muchos personales

Por supuesto, es evidente que la creciente sofisticación y desarrollo de nuevas tecnologías, abren nuevos frentes que desafían la protección de los datos, incluyendo los personales. Por ejemplo, el Internet de las Cosas (IoT) está haciendo crecer de manera exponencial la cantidad de información personal que los dispositivos transmiten entre ellos sobre sus usuarios, desde sensores y asistentes virtuales (como Alexa o Google Home) instalados en las casas, hasta los móviles, relojes y gafas inteligentes. En teoría sería posible, si se pudiera compilar toda la información generada por los dispositivos inteligentes de una persona, saber todo lo que ella hace, dice, escribe y recorre durante el día.

En otras palabras, no es solamente un tema de que los controladores de datos tengan la intención de proteger nuestros datos personales, es que se necesita que, urgentemente, se perfeccionen y estandaricen los protocolos de seguridad de los innumerables dispositivos, no solo de los sistemas de información, que recolectan y procesan información personal sensible, eso incluye la regularización de toda la información personal que los gigantes tecnológicos como Google, Facebook, Amazon, entre otros, procesan sobre nosotros y nuestras interacciones sociales, actividades que están todavía muy escasamente reguladas.

En fin, no es que los ciudadanos ayer no eran vulnerables y hoy sí lo son. La realidad es que siempre hemos sido susceptibles de que nuestra información personal sea mal utilizada. Pero la realidad es que, así como se ha elevado el nivel de concientización de la sociedad sobre la importancia de proteger su privacidad, también se ha multiplicado el nivel de exposición.

Ya no basta con que las entidades que funjan como controladores de datos apliquen protocolos y mecanismos de salvaguarda de la información personal de los usuarios, sino que también todos los eslabones de la cadena cumplan con su función. Una brecha de seguridad puede ser ocasionada por el individuo al acceder a su propia información y hacerlo desde un computador de acceso público infectado con un malware o por simplemente utilizar claves de acceso no robustas o mal protegidas.

Es por eso que ahora se habla de impulsar Derechos Humanos de 4ta generación, donde se plantee que todo ser humano nace con el derecho a acceder a la Sociedad de la Información y Conocimiento, a la conectividad, a desarrollar sus competencias digitales, a aprovechar las nuevas tecnologías para acceder, construir y distribuir el conocimiento, a beneficiarse de la transformación digital para mejorar su nivel de vida, en igualdad de condiciones. Declarar este nuevo tipo de derecho humano también obligará al establecimiento de nuevos deberes y responsabilidades.

Límites del derecho a la privacidad

En un mundo cada vez más interconectado, donde casi ningún ámbito escapa a la informatización, la abundante información generada permite explorar áreas del conocimiento desde enfoques completamente nuevos. Por esos grandes volúmenes de información es que surgió la tecnología del Big Data, que permite procesar grandes cantidades de información no estructurada, ni organizada, para descubrir patrones y hacer pronósticos.

Eso obliga a replantear los marcos normativos vigentes en materia de protección de datos personales, aunque ya en muchas legislaciones se plantean ciertas limitaciones y excepciones.

Lo acontecido con la pandemia del COVID-19 ha demostrado la importancia de contar con información precisa sobre los infectados y su movilización, utilizando métodos de rastreo como el Contact Tracing[9]. Su efectividad ha sido demostrada en todas partes, pero al mismo tiempo ha levantado alertas en todo el mundo sobre si la proliferación de este tipo de mecanismos violenta o no la protección de datos personales y el derecho a la privacidad.

El uso de las TIC para el Contact Tracing ha generado polémica

En Estados Unidos, que cuenta con una legislación desde 1996 para la protección del historial clínico de los ciudadanos, denominada HIPAA, su ministerio de salud tuvo que emitir en marzo 2020 un waiver o renuncia a ciertos componentes de dicho protocolo para poder facilitar la recolección de información de los contagios y así controlar la propagación de la pandemia en su territorio[10].

Y es que está claro de que, en el contexto de epidemias, planificación sanitaria, lucha contra el terrorismo y crimen organizado, lavado de dinero, planificación urbana, y un amplio espectro todavía pendiente de ser mejor definido, la recolección y procesamiento de la abundante información personal que de los individuos generan en el ciberespacio puede conseguir que se implementen políticas públicas más efectivas. Aunque estamos conscientes que se corre el riesgo de atravesar una línea muy fina, que más nos vale redefinir y volver a dibujar con marcador grueso.

El secreto está en cómo conciliar el interés particular con el interés general, el bien individual con el bien común, utilizando procedimientos de discusión y debate transparentes y participativos. Al final se vuelve en un dilema casi filosófico, que al final servirá para moldear el modelo de sociedad que queremos para el futuro de nuestros hijos.

www.reysonl.blogspot.com

 

 

 

 



[1] Directrices de la OECD sobre protección de la privacidad y flujos transfronterizos de datos personales: resumen, disponible en http://dspace.uma.es/xmlui/handle/10630/11792

[2] Guía de Datos de Investigación (2020) de CEPAL, disponible en https://biblioguias.cepal.org/gestion-de-datos-de-investigacion

[3] The OECD Privacy Framework (2013), disponible en http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf

[4] Precepto jurídico enunciado por el jurista romano Domicio Ulpiano (siglo III dC)

[5] Oltra, J.V. (28 de enero de 2016). Historia de la protección de datos personales | | UPV [Archivo de vídeo]. Recuperado de: https://www.youtube.com/watch?v=S7uXyCyOwyw

[6] Aprobada en París en 1948 en la Asamblea General de las Naciones Unidas

[7] Ya en el transcurso del siglo XX se impulsaron los derechos humanos de 2da generación, correspondientes a la construcción a un Estado Social de Derecho (derecho a la vivienda, a la salud, a la educación, etc.) y los de 3ra generación, correspondientes a los derechos a la justicia, paz, solidaridad y a disfrutar de un medio ambiente limpio.

[8] Ver los trabajos de Machlup (The production and distribution of knowledge in the United States, 1962), Bell (The coming of post-industrial society, 1973) y Porat (The Information Economy, 1977).

[9] Mecanismo de rastreo de contactos a través del GPS o Bluetooth de los móviles

No hay comentarios:

Publicar un comentario

Tus comentarios son bienvenidos!