SANTIAGO.- "El desarrollo de herramientas que faciliten a las personas solicitar por vía remota su Clave Única no puede implicar un relajo de los altos estándares de ciberseguridad". Fue el duro juicio emitido por el Consejo para la Transparencia (CPLT) frente a la App que el Registro Civil lanzó para que los ciudadanos pudieran obtener su contraseña sin necesidad de trámites presenciales.
El motivo de la crítica se debe al método elegido por la entidad para confirmar la identidad de las personas: un análisis biométrico, que usa reconocimiento facial. "Va en contra de los estándares de seguridad que el Estado debe tener en pos de una óptima protección de un dato personal como el rostro de una persona", dijo el CPLT.
En redes sociales, algunos usuarios buscaron exponer debilidades del sistema ingresando datos de rostros de televisión y confirmando la identidad con fotos sacadas de internet. El método funcionaba. Pero además de la "hackeabilidad" de la herramienta, las organizaciones de protección de datos advirtieron otros riesgos asociados.
"No solo puede afectar la privacidad por el acceso a información privada, sino que se genera toda una cadena de otros impactos: hay posibilidad de suplantar identidad o de que esa información sea utilizada con finalidades discriminatorias, por ejemplo al momento de acceder a beneficios sociales. Se produce una cascada de situaciones que no solamente importan en la privacidad, sino en el ejercicio de otros derechos en su conjunto", explica a Emol la directora ejecutiva de Derechos Digitales, María Paz Canales.
Canales se refiere no solo a la App en particular del Registro Civil, sino a muchas herramientas virtuales que surgen como una solución en un momento en que la presencia física está limitada. "Por una circunstancia extraordinaria se puede caer en la tentación de implementar tecnologías sin los resguardos debidos, y una vez que pase esta emergencia, se van a haber recogido datos y generado dinámicas de interacción que se pueden transformar en un aparato de control y vigilancia que, una vez que ya está armado, es muy difícil de controlar", advierte.
La realidad se repite en otros países: en Corea del Sur, por ejemplo, existe una aplicación que registra con geolocalización el desplazamiento de los casos confirmados con covid-19. En paralelo, aplicaciones o programas que se utilizan para hacer videoconferencias empiezan a mostrar sus fallas a nivel global.
El tema preocupa a intelectuales en todo el mundo, como al autor de "Sapiens: De animales a dioses", Yuval Noah Harari, quien manifestó su preocupación ante la posibilidad de que la epidemia normalice "el despliegue de herramientas de vigilancia masiva". Lo que se preguntan los expertos es cómo hacer para que la vulneración de los datos personales no sea el precio a pagar para controlar la pandemia.
El riesgo online
Fueron dos nombres que comenzaron a circular fuertemente desde que se implementaron medidas de distanciamiento social: Houseparty, una App que permite realizar videoconferencias grupales al tiempo en que ofrece juegos online, y Zoom, otro programa para mantener conversaciones por videollamada, usado principalmente para reuniones de trabajo.
En el caso de la primera, miles de usuarios eliminaron sus cuentas esta semana luego de que se reportaran problemas de seguridad asociados a hackeo de cuentas en otras plataformas, como Spotify o Netflix. "Zoom ha sido especialmente problemática, filtrando datos hacia Facebook, permitiendo que usuarios extraigan información de un contexto privado a un contexto público o facilitando intercambio de archivos con malware", relata la directora ejecutiva de Fundación Datos Protegidos, Jessica Matus.
Se trata, asegura, de empresas que "continúan con modelos de negocios que a veces arriesgan la privacidad de usuarios o explotan sus datos personales, muchas veces a cambio de ser 'gratuitos'". "Hoy se incrementa el riesgo porque hay más usuarios nuevos y falta tiempo, entonces casi nadie lee los términos de uso o comprende el potencial de su huella de datos", señala.
En estas aplicaciones, particularmente, afirma que "los datos de los usuarios han sido coleccionados sin que ellos sepan cuáles son, para qué sirven y en manos de quién terminan". También señala que se vuelve especialmente preocupante "en el ámbito de la educación, al involucrar a menores de edad". "No son problemas irreparables, pero requieren cuidado de parte de empresas, usuarios y autoridades", agrega. En Chile, dice, la regulación está desactualizada y no existe una institucionalidad que vele por ello.
Pero el panorama cambia también cuando se trata de aplicaciones para realizar videoconferencias y cuando lo que aparece es una vía oficial del Estado para entregar herramientas a los ciudadanos. En el caso de Chile, además de la App del Registro Civil se discutieron otras soluciones tecnológicas a problemas presenciales, como una eventual implementación del voto electrónico.
"Hay que distinguir entre conveniencia real y obnubilación por la tecnología o 'aprovecharse del pánico'. Es indudable que generar salvoconductos online ha tenido un enorme valor, mientras que es muy cuestionable que el voto electrónico sea necesario. Si algo no es necesario, o sus consecuencias negativas son mayores que las positivas, hay que preguntarse si vale la pena correr el riesgo", dice Matus.
"Si algo no es necesario, o sus consecuencias negativas son mayores que las positivas, hay que preguntarse si vale la pena correr el riesgo"
Jessica Matus
En el caso del voto online, asegura que "representa muchos más riesgos que beneficios para nuestra democracia". "Incorporar sistemas informáticos en procesos que hasta ahora son análogos y auditables por cualquier ciudadano representa un problema para el control y la publicidad de una elección", comenta. Además menciona otros factores, como la brecha en el acceso a internet o el entendimiento de estos sistemas.
En cambio, la App de Registro Civil buscaba solucionar un problema inmediato. Para Canales, no hay duda de que la entidad tenía una "muy buena intención" al crear la herramienta. "El problema es que esas soluciones no se pueden adoptar en la premura, sin evaluar cuáles son los riesgos colaterales y sin implementar sistemas que técnicamente sean robustos para evitarlos", asegura. Entonces, ¿cómo hacerlo?
Tomar los resguardos
"No nos oponemos a que algunas tecnologías puedan ser utilizadas, pero el análisis tiene que ser paso por paso", dice Canales. Antes de crear una herramienta de estas características, explica, se deben analizar tres factores que todas las organizaciones que defienden los derechos digitales promueven permanentemente.
"Lo primero es que tienen que ser útiles y adecuadas para solucionar un problema efectivo que exista", expone. "También tiene que haber una necesidad de que sea a través de la tecnología, porque no hay otro mecanismo que sea más útil", dice. Por último, se analiza la proporcionalidad.
"En el caso de Chile, tendría que haber una normativa específica que estableciera el marco legal de funcionamiento de esa tecnología, estableciendo límites claros"
María Paz Canales
"Las soluciones tecnológicas siempre tienen que ser proporcionadas, en términos de que también tienen que mirar que pueden generar impactos colaterales. ¿Va a afectar el ejercicio de otros derechos? ¿Representa riesgos en términos de cómo esa información va a ser utilizada después, como por ejemplo que caiga en malas manos, que sea utilizada por terceros o que signifique discriminación para los usuarios?", se pregunta.
En el caso del Registro Civil, por ejemplo, Canales opina que ninguno de esos criterios se cumplía. "Había otras opciones que eran útiles, tenían menos riesgos y no implicaban implementar todo un sistema que generaba un riesgo adicional para la población. ¿Cuál era la necesidad de tramitarlo con un nivel de confidencialidad como el que te garantiza la Clave Única? Si era un trámite simple y sencillo, ¿no era suficiente hacerlo con el RUT?", opina.
Sin embargo, Canales agrega que si en un determinado momento se llega a la conclusión de que cierto sistema sí es útil, adecuado, necesario y proporcional, lo mejor es "incorporar en su diseño los elementos técnicos y jurídicos que permitan precaver que estos efectos secundarios no se produzcan".
Para evaluar la pertinencia de un sistema tecnológico, las organizaciones especializadas recomiendan analizar si son útiles, adecuadas, necesarias y proporcionales
"En el caso de Chile, tendría que haber una normativa específica que estableciera el marco legal de funcionamiento de esa tecnología, estableciendo límites claros: en qué condiciones se va a utilizar, quién va a acceder a la información, cómo se va a resguardar, cuál va a ser el periodo de funcionamiento del sistema, cuándo se le va a poner término, cómo se va a destruir la información recopilada, cómo se va a anonimizar si hay que hacer estudios posteriores", enumera.
Para Matus, en tanto, la manera óptima de proceder sería que cualquier App sea "totalmente gestionada por el Ministerio de Salud, aunque hubiera sido desarrollada por terceros". "Puede tener un origen comercial, pero la App y su software deben corresponder a tecnología 'llave en mano', donde los datos sean gestionados por la autoridad competente y responsable, en ningún caso por privados y menos todavía en otros países, pues el tráfico transfronterizo de datos incrementa más todavía el riesgo", concluye.
