La ley de “protección” de datos, no nos protege
La legislación que regula el resguardo de datos personales en Chile es de 1999 y no considera áreas como el reconocimiento facial. Según expertos, además de ser antigua e ineficiente, no está pensada para proteger la privacidad de las personas, sino que facilita el acceso de terceros a la información.
Por María Fernanda Leiva
La ley cuyo objetivo es proteger la vida privada en Chile (Ley N° 19.628) data de 1999 y su misión es regular el trato de los datos de carácter personal en registros o bancos de datos de organismos privados y públicos. En el informe El estado de la protección de datos personales en Chile, realizado por la organización Derechos Digitales en 2017, se menciona que entre las principales falencias de la legislación actual se encuentran: la autorización del uso de datos para marketing directo sin consentimiento del titular, la falta de registro de bancos de datos privados, la falta de una autoridad pública de control, y la ausencia de sanciones efectivas y de regulación del flujo transfronterizo de datos personales.
En 2017, Susana Poblete decidió emprender en el negocio del té, para lo que se comunicó con la marca Riston Tea, ubicada en Sri Lanka (Asia). Ese mismo año empezó a mensajear a Rozana Kitchilan, quien fue la ejecutiva encargada de coordinar la importación del producto a Chile, mediante Webmail, servicio que usan instituciones como la Universidad de Concepción e INACAP.
Susana decidió usar esta plataforma, porque podía personalizar el dominio de su correo electrónico con el nombre de su empresa gratuitamente. Sin embargo, no le fue fácil usarla, por lo que respondió todos los mensajes de Kitchilan en una sola cadena de conversación, es decir, no redactaba diferentes correos para hablar con ella. Lo anterior permitió que, a principios de 2018, un desconocido interceptara la conversación sin ser percibido, al ingresar con un correo que solo se diferenciaba en una letra con la dirección original de Kitchilan, es decir, su correo oficial terminaba en “.lk”, pero el de la persona que suplantó su identidad en “.tk”.
El extraño, que fingió ser Rozana, le solicitó a Susana que transfiriera el dinero del negocio a una cuenta bancaria, en Inglaterra, utilizando como argumento problemas de seguridad internacional en su banco de Sri Lanka. Esto le hizo sentido a Poblete, porque durante el tiempo en que estaba realizando el pago, el Banco de Chile, que ella usaba, se vio involucrado en un caso de violación de ciberseguridad. Transfirió 4 millones de pesos a la nueva cuenta y un mes después Rozana, la ejecutiva original de la empresa con la que buscaba cerrar el negocio, le mandó un correo para informar que el pago no había llegado aún. Susana respondió que ella había realizado la transferencia a la nueva cuenta que ella le había indicado y Rozana le contestó que, por favor, detuviese el pago, porque eso era una estafa.
Poblete interpuso una denuncia en la fiscalía de delitos cibernéticos en la PDI, pero la respuesta del fiscal asignado fue que no tenían injerencia ni autoridad en delitos económicos cibernéticos internacionales, por lo que no iba a proceder la causa. Así, quedó el caso sin investigación y sin culpables.
Desde ese suceso, Poblete determinó evitar usar Webmail y realizar transferencias electrónicas en casos puntuales y a través de métodos seguros. “Desconfié de ahí en adelante de todos los medios de comercio electrónico . Ahora lo pienso bastante antes de hacer una compra o alguna transacción electrónica y evito poner mis datos bancarios en algún lugar antes de la compra”, menciona.
Francisca Zenteno (29) es comunicadora audiovisual y trabaja como guionista. Al igual que Poblete, reemplazó su plataforma de correo electrónico, tras descubrir que empresas como Google, conocían más información sobre ella de la que pensaba.
A principios de 2018, estaba escribiendo una serie para la que tenía que investigar sobre tecnologías vanguardistas. Uno de los capítulos se trataba sobre el Big Data, por lo que estuvo una charla con el académico alemán Richard Weber, experto en minería de datos, un campo de la informática y la estadística que busca encontrar patrones y grupos en una gran cantidad de datos, manera en la que las empresas forman descripciones de sus clientes. “Una de las cosas que me quedó muy marcada fue cuando dijo que el GPS del celular siempre está encendido, independiente de que tú lo habilites o no. O sea Google, siempre se va a saber dónde tú estás parado. No hay forma de evitar eso”, dice.
Francisca se preocupó cuando sumado a saber lo del GPS, le empezó a pasar lo que, según ella, le sucede a todo el mundo. “Que empezai’ a ver en todas tus redes sociales que te están ofreciendo productos o cosas que necesitas, casi antes de que tú sepas que las necesitas”, señala.
Tras la charla investigó sobre el tema y llegó al video de un chico en YouTube, quien descargó y analizó toda la información que Google tenía de él, gracias a una opción que ofrece la misma empresa: https://takeout.google.com/?pli=1. Video que la motivó a imitarlo y averiguar qué tanto sabía Google de ella. “Descubrí exactamente lo mismo que este tipo, tenían todos mis recorridos de todos mis días, fotos del año cero, que para mí estaban totalmente borradas supuestamente. Todos mis chats por Gmail, por Twitter, Facebook, todas mis conversaciones privadas guardadas”, afirma Zenteno, quien asegura que no podía creer que en todas esas carpetas se encontrase gran parte de su vida.
Pablo Viollier, abogado de la organización Derechos Digitales, opina que el principal problema de la Ley N° 19.628 no es su antigüedad, sino que su objetivo: “nunca buscó regular la protección de datos personales desde una perspectiva de derechos fundamentales, sino que fue, más bien, regular el comercio de éstos”.
Zenteno cuenta que lo que la atemorizó no fue ver toda la información que había aceptado entregar, sino que pensar en cómo las empresas utilizaban sus datos. “Es heavy cachar que de conversaciones muy tontas que pudiste haber tenido con amigos, igual están tomando nota de cuántas veces dijiste qué palabra o qué lugar”, expresa la guionista.
Una encuesta realizada por Centro UC reveló que cerca del 40% de los chilenos dice nunca o rara vez estar informados respecto de las condiciones de recopilación de los datos personales que entregan en línea y de sus usos. No obstante, Pablo Viollier opina que no basta con leer los términos y condiciones de servicios para entender el poder que tienen terceros sobre éstos. “Esta narrativa de que es culpa de las personas que aceptan, a mí me parece errada. Lo que hay que hacer es quitarnos esta idea de que en la medida en que las personas consientan, se puede abusar de sus datos personales, y establecer requisitos y garantías de forma tal que las empresas no puedan tener cláusulas abusivas”, concluye.
Francisca decidió tomar cartas en el asunto y comenzó a deshacerse de Google, reemplazando uno a uno los servicios que entrega. El buscador de Google lo reemplazó por Duckduckgo (motor de búsqueda que no recopila información personal), Google Chrome por Brave (navegador web) y cambió Gmail por Protonmail (servicio de correo electrónico cifrado), perdiendo gran parte de su información, pero asegurando su privacidad en sitios que prometen ser más seguros.
El principio general para proteger a las personas es que un tercero no puede recolectar ni procesar sus datos sin su consentimiento y este tiene muchas excepciones en la Ley N° 19.628. Por ejemplo, el artículo 4 menciona que no se requiere la autorización del tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico, financiero, bancario o comercial. “Las excepciones son tan amplias que finalmente la regla general se transforma en la excepción y la desprotección se termina transformando en la regla general”, afirma Pablo Viollier.
Sin embargo, Sofía Bustos, coordinadora de Políticas Públicas de la Fundación Datos Protegidos, cree que el problema principal de esta legislación no son las excepciones a esta regla general, las que sí están establecidas en la ley, sino que: “no está actualizada para lo que se necesita proteger hoy”.
“Cada día hay más datos, entonces necesitamos una legislación que los abarque de la manera más amplia posible para asegurar su protección”, argumenta Bustos. Además, opina que una de las aristas que se deberían considerar en la legislación es el reconocimiento facial. Como se menciona al inicio de este reportaje, actualmente existen softwares que permiten reconocer las expresiones faciales de personas ante productos, situación que no está regulada por la Ley N° 19.628.
En los últimos años han existido polémicos casos de violación a la privacidad relacionados al reconocimiento facial como el de FaceApp, aplicación rusa que le mostraba a sus usuarios el rostro que iban a tener cuando envejecieran, entre otras opciones. “En el caso de FaceApp, en la que las políticas de privacidad eran draconianas (muy rígidas), tú renunciabas a tu imagen y mucha gente se encontraba con que su foto estaba en una publicidad y decían: ¿Por que mi foto está ahí? La ley no está abarcando todos los escenarios posibles en que se pueden tratar datos y en la responsabilidad de las empresas en cuanto a éstos”, afirma Sofía Bustos, investigadora en ciberseguridad de la Universidad Mayor.
Viollier destaca: “no contamos con una agencia de protección de datos personales y eso hace que la ley no se cumpla, porque básicamente nadie la fiscaliza”. En marzo de 2017 ingresó al Senado un proyecto de ley que modifica la actual legislación de protección de la vida privada en el país. Sofía Bustos cuenta que está inspirado en el Reglamento General de Protección de Datos de la Unión Europea. Una de las principales modificaciones que incluye el proyecto es que ahora Chile contará con una agencia de protección de datos personales, la que debería encargarse de que las sanciones sean efectivas.
En agosto de 2019, la comisión de Constitución del Senado aprobó el texto que establece al Consejo para la Transparencia (CPLT) como órgano fiscalizador. Esta corporación funciona desde 2009 en Chile y se encarga del cumplimiento de la Ley de Transparencia. Sin embargo, Bustos opina que éste “no tiene la expertise necesaria para los datos de organismos privados. Actualmente ve transparencia en el sector público y es muy distinto trabajar los datos con empresas privadas que con el sector público. Si tenemos un órgano que no va a ser capaz de sancionar como corresponde, la ley va a quedar como está ahora, no va a servir para nada”.
Sobre la autora: María Fernanda Leiva es estudiante de Periodismo y escribió este artículo en Taller de Prensa. Fue editado por Bianca González en Taller de Edición en Prensa.
0 comentarios