2017/08/28

El problema de vigilancia con metadatos y el "decreto espía" 866


Pancho Mahmud Aleuy, actual subsecretario del interior de Chile, ha creado una normativa de recolección de datos, aparentemente a pedido de la Policía de Investigaciones, de espalda al país y que convertiría a las compañías de telecomunicaciones en amenazas explícitas para la privacidad de millones de personas.

En principio, querer datos para los efectos que interesan a Aleuy no tendría nada de malo. Es consensual que entre los terrenos para la prevención del delito y persecución de delincuencia se debe incluir el paisaje de la comunicación electrónica, donde transcurre una proporción creciente y significativa de toda actividad, y en consecuencia también actividad ilícita. Lo que es cuestionable es que haya que interceptar a todos los usuarios de servicios de telecomunicaciones a priori, lo que se vislumbra al examinar el contenido del decreto 866.


Recolección excesivamente amplia: 

En la propuesta del subsecretario, la información de usuarios se guarda por al menos dos años e incluye datos sensibles como localización, servicios utilizados y quién se comunica con quién. El plan, que según El Mostrador fue elaborado tras consulta con compañías de telecomunicaciones, asigna a dichas empresas la responsabilidad de recolectar continuamente datos de todos sus usuarios, de manera constante, sin necesidad de orden judicial, en forma contraria al principio de presunción de inocencia y poniendo en la práctica a todo el país bajo libertad vigilado, como bien ha caracterizado Juan Rodrigo Anabalón.


Nuestra privacidad como moneda de cambio para cooperación público-privada: 

Esta situación genera varias dudas que ni la autoridad ni las compañías involucradas han abordado hasta hoy. Una es quién paga. Colectar y guardar información sobre millones de usuarios presenta un costo significativo. Las empresas no lo van a hacer porque sí, van a tener que o cobrarle al Estado, o cobrarle a los usuarios (incrementando precios) o hallar una manera de hacer que la vigilancia se pague a si misma.

Aquí es donde puede estar el problema mayor, pues la inciativa facilitaría que las compañías usen los datos con sus propios fines, algo que si bien sería ilegal, es prácticamente imposible de conocer y fiscalizar para usuarios y autoridades, tal como ya ocurre sin que tengan la facultad de recolectar tantos datos ni guardarlos por tanto tiempo.

¿A quién no le ha pasado recibir llamadas de estas mismas compañías, de bancos, de aseguradoras y otras empresas, ofreciendo servicios en base a análisis de comportamiento personal?

Dicho de otra manera: se vislumbra una perversa cooperación público-privada, donde el Estado habilita al proveedor de telecomunicaciones para recoger, guardar y usar datos personales de millones de personas, a cambio de que la autoridad pueda acceder a esa huella de datos cuando sea necesario, con fines de seguridad pública.

Quienes hayan seguido en detalle el caso de Edward Snowden sabrán que en EEUU hubo un gran debate cuando se reveló que sus organismos de inteligencia estaban haciendo algo similar. Fue tal escándalo que la adminstración de Obama y el aparato de seguridad más grande del mundo tuvieron que recular en sus mecanismos y detener la recolección masiva.


Peor que lo revelado por Snowden:

En esta rincón del mundo, lo que está ocurriendo puede ser todavía peor, porque los datos no serían recolectados por un aparato de seguridad con altos estándares de resguardo y el interés público como mandamiento principal. Serían privados, específicamente las compañías de telecomunicaciones, cuya responsabilidad ante accionistas es sencillamente el mayor lucro posible, quienes tendrían el rol de "gatos cuidando la carnicería".

Algunos, ya acostumbrados a que su banco y su proveedor de telecomunicaciones sepan tanto sobre ellos, se preguntan cuál es el problema. El problema es que las compañías celulares tienen la posibilidad de recoger tanta información sobre nuestro comportamiento, que de esa información se pueden inferir cosas que no queremos que se sepan tan fácilmente.


Un ejemplo de inferencia con metadatos:

Este excelente ejemplo fue utilizado por la Electronic Frontier Foundation en una presentación sobre el peligro de los metadatos:

La empresa celular no puede saber que un usuario tiene VIH, pero sí puede saber
  • que ese usuario recibió  una comunicación de un servicio que realiza exámenes, 
  • que después de esto hizo búsquedas sobre el VIH, 
  • visitó sitios sobre el VIH, 
  • vio videos sobre el VIH, 
  • pidió hora con su médico
  • y también con un médico especialista en VIH. 
El valor de esta información para una empresa de seguros es muy alto, porque le podría generar grandes ahorros deshacerse del cliente antes que comunique su enfermedad, o podría evitar contratar con ese potencial cliente en primer lugar, o podría contratarle pero cobrarle el doble. Similarmente, un banco podría negarle un préstamo, o cobrarle mayor interés. Estos son ejemplos bastante inocuos, comparados con las posibilidades de chantaje si alguien inescrupuloso accede a estos metadatos o lo que se infiere de ellos... por ejemplo alguien que trabaje para las compañías de telecomunicaciones.

El riesgo se puede incrementar todavía más si dichas empresas además externalizan el servicio de colección de datos, como ya lo hacen para la interception de llamadas cuando el Estado emite una orden judicial.

Hay ejemplos peores y lamentablemente, menos hipotéticos. En China y México los servicios estatales de espionaje masivo se han utilizado para amedentrar e incluso encarcelar periodistas y activistas.

El tema da para largo, pero aquí hay algo bueno para leer sobre aquello: lo que tu móvil devela de ti.  Y es precisamente que el usuario no sabe todo lo que su móvil sabe lo que podría desmoronar este proyecto, si le hacemos casos a la Constitución.


La Constitución y la Privacidad:

La Constitución de Chile contiene una definición bastante moderna sobre la privacidad y su defensa. Dicho en simple, establece que independiente del contexto, soporte o medio, lo que importa es la expectativa de privacidad que tenga ciudadano. El usuario de servicios de telecomunicaciones tiene una expectativa de privacidad alta, no es consciente de que su comunicación y ubicación pueden estar siendo analizadas y registradas, no comprende que la compañía telefónica sabe en todo momento dónde se encuentra, y puede inferir por ejemplo con quién se encuentra, además de saber con quién se comunica.

El abogado especialista Daniel Alvarez V. ha escrito algo interesante sobre esto: Vida privada en Chile: precisando los límites, y de su descripción se desprende que un proyecto como el mencionado no está la altura de lo que la Constitución exige.


Entonces, ¿Qué se puede hacer?

Una primera respuesta que es la clásica: escríbele a tu legislador. Pero hay un problema. Aleuy quiere modificar la normativa e imponer este mecanismo a través de un decreto, sin pasar por el proceso legislativo regular. Esto, como han dicho ya algunos expertos en la tribuna pública, podría ser inconstitucional. Un cambio de políticas públicas que genere efectos tan significativos no debe ocurrir sin la participación de la ciudadanía, sus representantes y expertos.

Una segunda respuesta es lo que estás leyendo. Hay que conversar del tema, no permitir que pase piola y ejercer presión mediante los mecanismos disponibles, esto incluye expresarse en social media, por ejemplo en torno al hashtag #DecretoEspía, para crear consciencia y emplazar directamente a las autoridades a través de sus presencias en estas plataformas. Un ejemplo en la imagen:


Y por último una tercera respuesta es usar servicios anónimos. Una de las razones por que la recolección de datos crea vulnerabilidad es porque la compañía de telecomunicaciones sabe quién eres, y por lo tanto puede asociar tu tráfico a tu identidad. Una manera de evitar esto es que la compañía no sepa quién eres. Para esto se puede usar una conexión móvil de prepago (o idealmente más de una), a través de equipos que también hayan sido adquiridos de manera anónima.

En Chile aún no existe obligación de que el usuario entregue su identidad a proveedores de prepago (aunque algunos piden el RUT al activar el chip o para solicitar asistencia técnica). Además hay que pagar la cuenta asociada a dichos chips en efectivo, para evitar la relación de identidad vía medios de pago electrónicos, otro elemento incluido en el decreto. Esto no hace imposible que los datos sean relacionados con tu identidad, pero lo dificulta bastante.

La ONG Derechos Digitales ha presentado un recurso en la Contraloría para detener esto. Es posible que entre dicho recurso y la presión pública, logremos que Aleuy y su ministerio vean la luz y esta iniciativa no llegue a implementarse en su forma conocida hasta ahora. Ojalá.

Recomiendo leer también lo que han escrito Christian Leal8gigasDerechos Digitales y el Instituto Chileno de Derecho y Tecnologías sobre el tema.