¿Qué sabemos sobre nuestros datos?
En este episodio, abordamos la temática de datos personales, y de la mano de Estelle Massé, la experta en protección de datos personales de AccessNow, hablamos sobre la importancia de contar con una ley de protección de datos integral, que tenga en cuenta la protección de los derechos humanos.
Esta es una producción realizada por Paloma Lara Castro y Belén Giménez para Radio Cyborg, bajo licencia CC. Para este episodio usamos las siguientes canciones con licencia CC: Where I Was, Decompress, Cloudloop, All the Answers y Here’s Where Things Get Insteresting, de Lee Rosevere, y Systematic, de Blue Dot Sessions. Para más información sobre nuestro trabajo en relación a datos personales, podés visitar nuestro sitio web. Y para saber más sobre Estelle y el trabajo de AccessNow, podés visitar www.accessnow.org
Guión de episodio
INTRODUCCIÓN
Paloma: ¿De qué hablamos cuando decimos datos personales?
Los datos personales son todo dato, o información, con capacidad de identificarnos. Va desde cuestiones más públicas como el nombre hasta elementos privados como el historial médico, orientación sexual, preferencias políticas, entre otras.
La recolección de datos es algo que pasa desde hace mucho tiempo. Desde dejar anotado tu número de celular y dirección en un súper, hasta la ficha de admisión a una universidad donde consta información más extensa como nombres de padre y madre, antecedentes académicos.
¿Qué sabemos sobre nuestros datos? Con el avance de la tecnología, aceleraron los medios de obtener datos y su procesamiento. En cuanto a la recolección, ya no hace falta llenar un formulario donde constan los datos requeridos para la obtención de tus datos, sino que con un solo click al uso de una app como FaceApp o en una prueba de personalidad, o de cual comida sos, o quién fuiste en tu vida pasada, estás dando acceso a tu perfil y todo lo que está ahí dentro.
Lo mismo ocurre cuando utilizamos alguna app de operaciones diarias que da acceso sin consentimiento a cierta información almacenada dentro de tu celular.
El almacenamiento en sí no es tan problemático como su uso. Es decir, la finalidad para la cual se usan esos datos recabados y la falta del consentimiento por parte del usuario: ahí es donde recae el peligro.
Para ello, existen marcos legales de protección de datos personales que velan por el resguardo de los mismos, la transparencia respecto a la finalidad y la potestad del ciudadano de poder controlar y oponerse a su divulgación o uso. En Paraguay… no contamos con dicha ley.
Más de una vez seguramente recibiste una o varias llamadas de distintas empresas ofreciendo servicios que no solicitaste.¿Te preguntaste cómo obtuvieron tu número telefónico? O ¿porqué te ofrecen ciertos productos y no otros?
La divulgación de datos con fines comerciales es solo un ejemplo de los riesgos que acarrea la falta de marco legal de protección; pudiendo escalar a cuestiones mucho más complejas que refieren a datos sensibles, como por ejemplo un diagnóstico de VIH positivo o historiales psiquiátricos que den lugar a posibles situaciones de discriminación.
Actualmente se encuentra en trámite en el senado un proyecto de ley referente a esta temática. El problema en su contenido, recae en que se focaliza únicamente en protección de datos crediticios. Si bien esto es importante, es necesario que el marco legal contenga un abordaje integral
que asegure el cumplimiento del derecho a la intimidad; es un derecho consagrado en la constitución nacional y en las normativas de derechos humanos.
Desde TEDIC somos parte de una coalición de protección de datos personales, desde donde se han impulsado una serie de reuniones; además de presentación de posicionamientos. Esto a fin de visibilizar la importancia de que el proyecto se aborde desde una mirada integral.
Con miras a lograr un diálogo que involucre a las múltiples partes interesadas en referencia a la importancia de la protección de datos personales en general, y el proyecto de ley en particular, desde TEDIC – en alianza con la organización internacional Access Now– invitamos al país a la Estelle Massé, la Analista Senior de Políticas Públicas y líder de Protección de Datos Personales de dicha organización.
El trabajo de Estelle se centra en las políticas de protección de datos, privacidad, vigilancia y telecomunicaciones. En particular, lidera el trabajo de Access Now sobre protección de datos en la Unión Europea y en todo el mundo.
Estelle: Pues estuvimos toda la semana en Paraguay, para tratar de avanzar la agenda en tema de protección de datos personales que venía un poco acerca de una reforma que se está dando ahora en el congreso ahora; sobre una ley que más bien tiene que ver sobre datos crediticios y lo que nosotros veníamos a hacer es apoyar a los amigos y amigas de TEDIC para que se enfoque eas reforma hacia una ley más integral de protección de datos personales. Y lo que veníamos a hacer entonces es venir a hablar y crea un poco este espacio donde se puede hablar con jueces, abogados, con gente del congreso para que se inicie esta discusión y este periodo de reflexión un poquito más amplio.
Una ley de protección de datos, en términos generales, es una ley que proteger al ciudadano, al usuario para que cuando se usen sus informaciones en línea o hasta no en línea,siempre quede protegido y permanezca en control de esta información. Entendemos que en la era digital pero inclusive antes para tener acceso a un servicio público y ahora muchos servicios privados en línea se requiere algún intercambio de datos.
Tiene sentido, por ejemplo si tu vas comprando por amazon, claro necesitan tu dirección porque te tienen que mandar lo que has comprado; entonces hay un uso que es necesario. Lo que viene a pasar es con el eje de era digital y la economía digital pues han venido muchas empresas y ahí se ha enfocado el sector público, recolectando cada vez más datos pero sin dar el nivel de protección necesario a las personas para ir protegiendo estos datos para asegurarse que se recolecte solamente lo necesario para esta servicio y se ha creado una especie de economía de datos donde ya no sería la persona detrás; se trata el dato como algún tipo de moneda, a lo mejor y se sacaba valor de ahí pero se olvidaba que estos datos son informaciones personales que se tienen que ir protegiendo, entonces una ley de protección de datos personale viene a hacer eso.
Lo que hablamos sobre ley integral es cuando viene a proteger a la persona, pone el derecho de la persona en el centro, va creando derechos para esa persona y va creando obligaciones para las entidades privadas y públicas que va creando estos datos.
Paloma: Una ley integral entonces protege todo tipo de datos referentes a una persona y otorga la potestad del control por parte de la ciudadanía sobre el uso y finalidad de los mismos.
Regionalmente, hemos visto que existe una confusión generalizada sobre este punto, ya que muchas personas consideran a esto como derecho al consumidor. Pero, existe una diferencia, y Estelle nos comenta más al respecto:
Estelle: Claro, ahí es donde se ve la diferencia, entre la manera en que abordamos en Europa los datos personales y la manera en que, hasta hoy se abordó en Estados Unidos, pero hace la diferencia. Cuando hablamos de protección del consumidor se requiere que exista algún especie de contrato entre la plataforma y un usuario entonces, eso es muy evidente cuando hay un intercambio de dinero, cuando compras algo en línea eres consumidor de algo y a lo mejor hay una protección al consumidor para lo que has comprado este en buen estado, etc. Pero cuando se trata de protección de protección de datos personales que es un derecho, no siempre hay un intercambio, a veces se usa nuestros datos pero no hay un intercambio económico por nuestra parte, usamos facebook, por ejemplo, pero no lo vamos pagando, y el servicio va sacando dinero a base de nuestros datos entonces se limita solamente a una protección del consumidor no se va protegiendo todos los usos de datos que se está dando.
Y al darle un valor económico también a veces se pierde esa base de que es información personal que viene a ser un derecho, entonces no se puede dejar que el uso de datos caiga en un nuevo tipo de “comercio” , no, es un derecho que se debe ir protegiendo.
Paloma: La protección de datos personales es un derecho. En Europa, cuentan con una ley de protección de datos personales que entra en vigor en mayo de 2018. Esta ley es conocida como el GDPR, el Reglamento General de Protección de Datos de la Unión Europea.
Estelle es miembro del Grupo de expertos de múltiples partes interesadas de la Comisión Europea para respaldar la aplicación este reglamento. Le preguntamos a Estelle sobre los antecedentes de esta ley y la experiencia de la aplicación de la misma en la Unión Europea:
Estelle: Tenemos en Europa una nueva ley de protección de datos personales. Sigo llamándola “nueva” aunque está muy basada en la ley que teníamos en Europa desde los años 1995, es nueva en el sentido que solo llevamos un año de aplicación de esta ley. Se empezó a negorciar en el 2012 se aprobó en el 2016 y luego tuvimos un periodo de transición de su aplicación durante dos años y desde mayo del “año pasado “ 2018 se va aplicando.
Tenemos una buena experiencia con esta ley porque existe también esa cultura en Europa de tener leyes de protecciones de datos desde hace mucho tiempo, pero hemos visto que antes, a lo mejor, era un ámbito más bien de expertos; solamente un 11% de la población conocía la existencia de leyes de protecciones de datos y de autoridades que venían a protegerlos. O sea quiere decir, que aunque teníamos leyes para proteger los datos antes, solamente un 11% de la población sabía dónde acudir en caso de violación de datos, por ejemplo no tenía ese conocimiento desde la aplicación del GDPR hubo un aumento hasta el 42/43% hasta algún caso de este conocimiento.
Aún queda bajo para nosotros pero queda muchos procesos que hacer para que la gente tenga conciencia y sepa que es un derecho y que lo pueden ir usando pero hemos visto un aumento del 70% de quejas que han llevado los ciudadanos a sus autoridades para reportar problemas en el uso de sus datos personales.
Eso para nosotros es la victoria más grande que estamos viendo ya con el primer año de la ley, que la gente lo está usando, que puede ir a pedir que las empresas y las entidades públicas vayan cambiando la manera en que usen sus datos sin protección y vienen a pedir sus derechos.
Paloma: Con este logro en cuestiones de aumento de conciencia y participación ciudadana en cuanto a la protección de sus datos personales, le preguntamos a Estelle: ¿Puede el GDPR ser una matriz para América Latina?
Estelle: El GDPR es como.. es ahora la ley que más se ha hablado alrededor del mundo. Ha creado una especie de discusión global de, a ver, Europa ha dado este paso, ¿no? Ha ido aplicando cada vez más fuerte su ley de protección de datos, qué significa para el resto del mundo porque es una economía digital muy integral donde se ha iniciado este debate a nivel global y muy importante también se ha visto a través de América latina porque hay muchos intercambios entre Europa y América latina.
Yo creo que claro, la región queda siempre un poco pendiente entre a ver lo que hace Europa y también a ver lo que se está haciendo desde los Estados Unidos que son modelos bastante distintos. Pero incluso como en los Estados Unidos están hablando ahora en seguir modelos europeos como hemos podido ver en alguno intentos de ley en California, pues el debate en América Latina también ha ido reforzándose.
Yo creo que la ley puede ser como base de reflexión en Latino América porque ahí compartimos una historia bastante fuerte y hay un sistema judicial que es algo parecido, pero también vamos siendo distintos, entonces yo creo que no convendría la ley Europea se fuese a aplicar así tal cual en todos los países del mundo incluso aquí porque hay momentos culturales bastantes y Europeos dentro de esta ley que no irían funcionando en otra parte así que no necesariamente lo fundamental que para mí, es proteger los datos. Pero sí que tiene bases interesantes dentro que sea cual sea el lugar en donde sea, incluido para Latino América puede ser interesante usar como base de reflexión.
Paloma: En el contexto actual de acuerdos internacionales entre la Unión Europea y el Mercosur, se vuelve vital contar con la implementación de los estándares internacionales del GDPR a nuestro derecho local.
Así también, atendiendo a la digitalización de gestiones públicas a través del proyecto de Agenda Digital, la vigencia de una ley de acceso a la información pública sin un contrapeso que aclare de manera precisa cuáles datos no son de naturaleza pública y corresponden a la esfera privada, demuestran la necesidad de que nuestro país trate a la protección de datos como una cuestión prioritaria.
Considerando los nuevos desafíos que presenta la implementación de nuevas tecnologías como la inteligencia artificial, ¿cómo se protege al consentimiento y en consecuencia a nuestros datos personales?
Estelle: La relación entre inteligencia artificial y protección de datos personales, es en realidad un desafío que aún estamos intentando conciliar e ir viendo cómo se va a desarrollar. Cuando se desarrolla una ley de protección de datos, se hace una ley general o integral que va protegiendo el uso de datos en cualquier caso, o sea cualquier tipo de tecnología que se use, que crea una base de datos hasta escrita a mano o inteligencia artificial, hay conceptos que se tienen que ir protegiendo.
Y uno de esos conceptos es la idea del consentimiento; eso que quiere decir que cuando antes que se use una tecnología o nuestros datos para alguna razón se tiene que pedir la autorización previa y explícita. No siempre se tiene que ir pidiendo eso, es una de las bases que se usa pero con el uso de inteligencia artificial viene a crear un desafío porque una vez que tu has dado tu autorización a que se usen tu datos para un sistema automatizado, y con la inteligencia artificial viene a ser difícil de reiterar este consentimiento si luego no quieres el uso porque todos los datos se van mezclando con otros para crear nuevas informaciones en probabilidades. Entonces son nuevo desafíos que se van planteando y que estamos desarrollando ahora el cómo hacer que los dos sistemas vaya cuadrando juntos y que se sigan protegiendo los datos personales de un individuo en estos casos.
Una de las respuestas que hemos estado pensado de desde Europa es siempre incluir a un humano que debe ir verificando que está pasando con la información para poder permitir dar puntos de acceso en que se puede ir garantizando los derechos de los ciudadanos.
Paloma: Sin dudas, es un gran desafío navegar un ecosistema tecnológico que va evolucionando a un ritmo exponencial. El aprendizaje que tenemos por delante es inmenso, y es crucial empezar por las herramientas que ya tenemos a mano y usamos en nuestro cotidiano.
Por ejemplo, sistemas bancarios o aplicaciones móviles de empresas de transporte. Estos sistemas tienen la obligación de cumplir con ciertos lineamientos de privacidad desde la fase inicial de planificación, desarrollo e incluso eliminación de cualquier aplicación, programa o plataforma que contenga datos personales.
Estos lineamientos se conocen como privacidad por diseño. Este término se conceptualiza de manera muy genérica, pero..¿qué quiere decir? ¿y cómo se aplica en términos concretos en los casos del banco o una aplicación móvil de una empresa de transporte?
Estelle: La ley de Europa, ahora vienen a ser un reglamento. Durante mucho años fue una directiva que significa que cada estado luego puede tener sus diferencias y ahora lo pasamos a un reglamento que quiere decir que toda Europa tiene que tener la misma ley. Eso es positivo porque asegura que todos los ciudadanos de Europa, sea cual sea de donde vengas de Francia o Rumania, tienes el mismo derecho y tu Estado no puede a dar diferencias y también se va a aplicar de manera directa. Entonces va creando obligaciones sobre todo el territorio europeo que son las mismas, en teoría, y una de esas obligaciones es el tema de privacidad por defecto y de privacidad by design.
Eso el cambio de paradigma que se quiere hacer con esta ley: que se deje de ver protección de datos como algo solo de abogades que vengan ahí en un último momento cuando uno ha desarrollado un proyecto y decir : “¡ah! lo siento, muy bien con la idea pero no va cumpliendo con esta ley entonces lo tienes que ir quitando y que sería entonces la protección de datos como una especie de barrera que no se va entendiendo el ¿por qué era importante? y como una molestia, que si en algunos casos, en cambio hay conceptos así que se protegen de privacidad por by design viene a ser que los desarrolladores de productos, cuando hay las primeras reuniones de “¡ah! quiero crear este producto, este servicio!” “el banco quiere crear este nuevo tipo de cuentas o hacer estas nuevas ofertas”, desde este momento tiene que ir pensando que: ¡vale! para hacer este producto qué tipo de datos necesito recolectar, cuáles son los necesarios, cuánto tiempo les tengo que robar, cómo se relacionan con el objetivo que tengo yo y vale.
Al hacer eso se va a desarrollando el producto para recolectar solamente lo que sea necesario para que funcione en donde sea integrada la protección de datos desde el principio, en el periodo de concepción y no solo un poco antes de que se vaya a poner en el mercado y luego se tengan que cambiar productos. O lo que pasaba antes que muchos lo iban ignorando, es cambiar un poco la visión que se tiene de privacy y ponerlo desde el principio, de privacidad perdón, y ponerlo desde el método de concepción para también, eso esperamos, que se desarrollen nuevos productos y servicios que tengan este enfoque.
Con el primer año del GDPR hemos visto que se han ido impulsado muchas plataformas que iban existiendo antes pero que ahora que existe esta obligación, pues, les da como más enfoque que estén existiendo y la gente las va utilizando cada vez más. La privacidad ya se ha vuelto como un argumento casi de “marketing” en Europa que es algo muy interesante de ver.
Paloma:Si bien en circunstancias en las cuales nuestros datos o información financiera se ven vulnerados, tenemos la opción de reemplazarlos, como, digamos, el caso de robo de tarjetas de crédito. Pero, ¿qué pasa con datos únicos que se relacionan con nuestra identidad, como nuestras huellas dactilares, por ejemplo, y que no son intercambiables? Estos datos se conocen como datos biométricos. En nuestro episodio anterior “La salud de nuestros datos, nuestra compañera Maricarmen nos comenta qué son los datos biométricos”:
Maricarmen: Datos biométricos, los datos biométricos son métodos automatizados que permiten reconocer a un individuo de manera precisa con base en características físicas o de comportamiento. La tecnología usada en la biometría incluye el reconocimiento de huellas dactilares, huella palmar, facial, patrones de vena, iris, voz y otras exposiciones del cuerpo incluyendo ADN o la secuencia de la pulsación de la teclas entre otros. Es decir, la biometría se refiere a la medición de distintivos físicos, características biológicas y conductuales utilizadas para la identidad de personas.
Paloma: ¿Cómo regula el GDPR los datos biométricos? Los considera datos sensibles? Cómo lo regula? Tienen una mayor protección?
Estelle: Lo que viene a ser los datos Biométricos, son los datos que en Europa, bajo la ley Europea se consideran sensibles vienen a ser a tu huella dactilar, el iris de tus ojos, también el mapa de sus venas, porque eso es único también y se viene creando proyectos en que se puede ir identificando a las gente en base al mapa de sus venas, el latido también de su corazón. Todos los aspectos que tienen que ver con nuestros únicos rastros físicos, vinculados que permiten identificarnos, Entonces porque es tan único y tan vinculado a nuestro ser tienen una protección más alta bajo la ley y es ahí cuando hacemos la diferencia entre datos personales y datos sensibles, siguen siendo un dato personales pero tienen este agregado que hace que sean tan únicos y si se van perjudicando el riesgo para la persona es más alto que necesitan un nivel de protección también más alto.
¿Eso qué significa? Que si una entidad, pública o privada, quiere requerir que vayamos utilizando nuestra huella dactilar o nuestro iris para entrar a un lugar o para identificarnos tienen que hacerlo si o si con el consentimiento explícito. Es una distinción bajo la ley porque si uno quiere tratar datos personales que no sean biométricos o que no sean sensibles puede hacerlo a lo mejor bajo consentimiento pero si no también decir “ah, bueno, pero yo tengo un contrato con esta persona entonces el contrato requiere que yo use sus datos personales entonces no voy a pedir consentimiento” puede ser un contrato o un interés para hacerlo y otras bases para poder usar el dato. Pero cuando hablamos de datos sensibles, como los datos biométricos, se requiere del consentimiento explícito a la persona y requiere que le informe que va a hacer con esos datos.
Porque claro si luego se va perdiendo su huella dactilar puede haber un fraude de identidad, bueno, nuestro número de teléfono se va filtrando y es un problema porque tiene todo el mundo acceso, como un recurso que tengo a lo peor, si de verdad molestan mucho cambio mi numero de móvil, ¿pero cómo voy a cambiar la huella dactilar? ahí se explica porque el nivel de protección tiene que ser más alto no puedes cambiar partes físicas así, por eso también en datos sensibles bien entendido también sus creencias personales y sus gustos y hasta sus preferencias sexuales porque es algo que forma parte de tu ser que nadie te puede ir robando y no puedes ir cambiando si se te van dando.
Y también hay que decir, es cierto que, a veces,hay datos hasta personal clasicos que no son sensibles que también pueden ser dificil, no sé, se filtra tu dirección y tampoco quiere decir que te vayas mudando cada dos por tres porque eso significa tener recursos también para hacer eso, entonces, hay datos personales que no son sensibles que a lo mejor se deberían proteger un poco más pero si esos datos sensibles vienen a hacer que, al consecuencias tan graves para la persona, si se van filtrando o si se van usando de manera no correcta requieren ese uso específico.
CONCLUSIÓN
Paloma: En Paraguay, no estamos lejos del uso y aplicación de tales tecnologías. La instalación de cámaras de reconocimiento facial desplegándose en todo el país y la circulación de datos sensibles como ser portación de VIH que posteriormente es utilizado de forma discriminatoria por ciertas empresas, son solo algunos ejemplos que demuestran que al día de hoy, la ciudadanía no tiene una herramienta jurídica que la proteja de abusos cometidos por el sector público como el privado.
Por otro lado, cuando pensamos sobre el consentimiento desde una perspectiva de género, tenemos que tener en cuenta que el consentimiento va mucho más allá de aceptar a los términos y condiciones porque ello no considera estructuras sociales e históricas pre existentes. Al igual que en el mundo físico, en el mundo digital no tenemos todes la misma autonomía y capacidad de decir no. Es así que además del marco legal de protección, necesitamos reconocer que las asimetrías de poder, que ocasionan desigualdad de género, se producen de igual forma en este ambiente y por ende deben ser combatidas, también, culturalmente.
Agradecemos a Estelle y AccessNow por el el intercambio de experiencias y saberes en apoyo en esta temática, reforzando que la protección de datos es un derecho humano. Paraguay necesita de una ley de protección integral de datos personales YA.
Esto fue “¿Qué sabemos sobre nuestros datos?”, una producción de Paloma Lara Castro y Belén Giménez para Radio Cyborg de TEDIC Paraguay. Para más información sobre nuestro trabajo en relación a Datos Personales y la venida de Estelle, podés visitar nuestro blog en nuestro sitio web, www.tedic.org
También, para informarte más sobre el trabajo de Estelle y de AccessNow, podés visitar el sitio www.accessnow.org.
Este audio está disponible bajo la licencia Creative Commons. Reconocimiento compartir igual 4.0. Esto quiere decir que vos podés reutilizar, remezclar y crear a partir de esta obra, incluyendo fines comerciales, siempre y cuando le den el crédito al autor y la nueva creación lleve una licencia igual a esta.