El 12 de octubre, el Consejo de Europa publicó el reporte “Soluciones digitales en la lucha contra el Covid” que analiza las medidas adoptadas por los países firmantes del Convenio 108 y 108+ sobre protección de datos personales entre los que se encuentra Argentina, México y Uruguay. Las conclusiones que se pueden extraer de dicho análisis evidencian la necesidad de retomar la agenda en materia de privacidad y protección de datos en América Latina.
El informe proporciona un análisis del impacto en los derechos a la privacidad y la protección de datos personales de las leyes y políticas adoptadas por los gobiernos, así como una revisión técnica y en profundidad de las aplicaciones de rastreo de contactos digitales y herramientas de seguimiento. Para hacer esta evaluación, el Consejo envió un cuestionario a los países parte para que brindaran información acerca de las medidas adoptadas.
Al mismo tiempo, el Consejo establece una serie de recomendaciones para los gobiernos al momento de utilizar soluciones tecnológicas. Entre ellas podemos mencionar:
- limitación en el tiempo,
- limitación de la finalidad y proporcionalidad,
- cooperación con las Autoridades de Protección de Datos Personales nacionales,
- transparencia y explicación,
- rendición de cuentas,
- privacidad por diseño y por defecto, y la realización de evaluaciones de impacto de datos personales.
Con este mismo objetivo de colaborar en encontrar una solución a la crisis de salud pública utilizando herramientas tecnológicas, Access Now elaboró recomendaciones en materia de protección de datos y puntualmente para el desarrollar aplicaciones de rastreo de contactos.
Análisis de las aplicaciones desarrolladas en América Latina
Según el Consejo, el Convenio 108+ contiene suficientes excepciones para el tratamiento de datos en situaciones de emergencia manteniendo el equilibrio entre la privacidad y el interés público. Pese a ello, algunos países han optado por establecer excepciones más amplias a través de leyes especiales o decretos. En los casos de los países latinoamericanos, ninguna ley especial fue dictada. En la mayoría de los casos dictaron decretos que disponen la utilización de una tecnología (Argentina) o se ajustaron a las excepciones dispuestas por las leyes internacionales y nacionales (Uruguay).
El informe del Consejo hace especial énfasis en las aplicaciones desarrolladas para combatir el COVID-19, en especial aquellas que realizan rastreo de contacto. Una de las condiciones fundamentales para el respeto del derecho a la protección de datos personales, de acuerdo al Convenio 108, es que estas aplicaciones sean de uso voluntario. En oposición a este requerimiento, Argentina dispuso el uso obligatorio de una aplicación para las personas que ingresen desde el exterior del país. La provincia de Santa Fe del mismo país, exige que quienes hayan violado la cuarentena bajen una aplicación para monitorear sus movimientos. A esto se suma que, de acuerdo a su respuesta al Consejo, Argentina sería el único de los tres países que planea utilizar la aplicación para el control de masas, establecer patrones de movimientos y asegurar el cumplimiento de las medidas de aislamiento.
Otra de las condiciones para cumplir con la normativa es la realización de estudios de impacto en la privacidad de los usuarios y las usuarias, y la intervención de auditorías externas para garantizar la seguridad de los sistemas. Argentina, México y Uruguay no cumplieron con este mandato.
Algunas de las recomendaciones compartidas entre el Consejo y nuestra guía son desarrollar aplicaciones de código abierto, establecer cláusulas explícitas de caducidad y utilizar protocolos descentralizados (la información es almacenada y procesada en mayor medida en los mismos dispositivos). De los tres países, solo Uruguay utilizó el protocolo descentralizado (pero no de código abierto) y estableció una cláusula explícita de caducidad. Argentina y México no siguieron ninguna de estas condiciones.
Uno de los temas que también preocupa es el aceleramiento del trabajo y la educación a distancia sin tener en cuenta el significativo procesamiento de datos personales, incluso sensibles, que ello implica. Si bien el Consejo no analiza este punto respecto de los países americanos, es importante mencionar que Argentina implementó un sistema de reconocimiento facial para acreditar la identidad de los y las estudiantes.
Análisis de otras “soluciones tecnológicas”
Decisiones automáticas
El Artículo 9 de la Convención 108+ protege a los individuos frente a la toma automática de decisiones. Este derecho, por ejemplo, aplicaría para aquellos países que proyectan el uso de pasaportes de inmunidad como es el caso de Argentina. El objetivo de estos pasaportes es permitirle a las personas moverse libremente asumiendo que están protegidas de un posible nuevo contagio por COVID-19. Sin embargo, al momento no existen pruebas suficientes de que quienes se hayan recuperado del virus no puedan infectarse por segunda vez. Esto afecta a la lógica y a la validez que hay detrás de la toma de esta decisión.
Datos de empresas de telecomunicaciones
La Unión Europea creó una “Hoja de ruta europea para el levantamiento de las medidas de contención del coronavirus” donde aconseja a los Estados solicitar información agregada y anonimizada a las compañías de telecomunicaciones para establecer patrones en el movimiento de los ciudadanos y predecir potenciales focos de infección. Algunos países, como Alemania y Dinamarca, expresaron su preocupación por esta recomendación dada la posibilidad de que la información sea re-identificada y por potenciales accesos de terceras partes no autorizadas. Las medidas adoptadas por México fueron aún más problemáticas. Las empresas de telecomunicaciones están obligadas a brindar acceso a las antenas de telefonía móvil a la Agencia Digital de Innovación Pública para monitorear el movimiento de la población y el contacto entre las personas.
Cámaras térmicas
Otra preocupante tecnología adoptada por Argentina son las cámaras térmicas instaladas en aeropuertos que miden la temperatura de los pasajeros entrantes. Las críticas a estos sistemas han sido variadas. Las autoridades de protección de datos personales de diversos países europeos las consideran ilegales o al menos cuestionan las bases legales en la que justifican su utilización.
Páginas web de autodiagnóstico
Uruguay y México desarrollaron páginas web donde las personas responden un cuestionario informando si muestran síntomas de Covid-19. De acuerdo al Consejo, esta información puede ser útil para desarrollar un mapa de zonas de contagio. Es una medida que puede ser útil, sin embargo, es necesario que se adopten las medidas necesarias para proteger la integridad de los sistemas y los datos personales almacenados. Esto quedó demostrado cuando una web similar creada por Alemania tuvo que ser dada de baja dos veces por problemas de seguridad estructural del sistema.
Proteger la privacidad hoy más que nunca
Producto de la situación de emergencia, la mayoría de los países de América Latina han abandonado la agenda de actualización de las leyes de protección de datos personales y han omitido peligrosamente la aplicación de las normas vigentes. No solo ello, según el Consejo, estas circunstancias excepcionales han dejado en evidencia la necesidad de regulaciones específicas para casos de emergencia que permita asegurar el cumplimiento de los derechos y principios generales de protección de datos personales.
Como fue demostrado, la adopción masiva de estas herramientas tecnológicas son lo que permitiría que tengan éxito, y para ello la confianza de los ciudadanos y ciudadanas es fundamental. Las normas internacionales en la materia, como el Convenio 108, y las recomendaciones elaboradas por el Consejo de Europa y nuestra organización apuntan justamente a lograr dicho objetivo.
Es necesario que los países Latinoamericanos (no solo aquellos firmantes del Convenio) reasuman su compromiso con las normas y estándares internacionales de protección de datos personales para evitar que esta crisis de la salud pública derive en una crisis de derechos humanos. Al mismo tiempo, pedimos a los parlamentos continuar con su labor de elaborar leyes modernas de protección de datos. Proteger los derechos de la población, y en particular el derecho a la privacidad, tiene que ser una prioridad en esta crisis, no una opción.