Con la pandemia asistimos al renovado protagonismo del uso de la tecnología con fines sanitarios. El rastreo digital de contactos es una iniciativa adoptada por diversos países del mundo para localizar a las personas contagiadas con el coronavirus, y de este modo limitar el avance y los efectos de la pandemia. Pero muchos de estos ensayos han encendido las alarmas, pues conllevan riesgos de intrusión en derechos fundamentales, como el de la privacidad.
“El seguimiento de contactos por telefonía móvil que se realiza en países de Europa dista mucho de la forma cómo se propone hacerlo en el Perú”, advierte Miguel Morachimo, fundador y director ejecutivo de Hiperderecho, una organización que se dedica a investigar y promover el respeto de los derechos y libertades en entornos digitales. Morachimo asegura que las iniciativas del grupo de trabajo Te cuido Perú y del aplicativo Perú en tus manos adolecen de sustento legal, además de resultar desproporcionados para el fin perseguido.
El 3 de abril, la Secretaría del Gobierno Digital de la Presidencia del Consejo de Ministros (PCM) lanzó el aplicativo Perú en tus manos para detectar casos de COVID-19. Luego de una semana, según sus propios datos, más de un millón de ciudadanos había descargado la aplicación en sus celulares.
Poco después, el 14 de abril, el Poder Ejecutivo constituyó el grupo de trabajo multisectorial Te cuido Perú, liderado por el Ministerio de Defensa. Su misión: ubicar, aislar y asistir a las personas asintomáticas o con síntomas leves del nuevo coronavirus. Contó con una plataforma digital encargada de la geolocalización de las personas sospechosas de infección y de sus familiares directos.
Sin embargo, esta iniciativa originó dos grandes inquietudes: el riesgo al mal uso de los datos personales y la “brecha tecnológica” que existe en el país. Según Morachimo, las limitaciones de la banda ancha, que afectan la velocidad de Internet, es otro de los escenarios que vulnera derechos fundamentales, como el acceso a la educación, teletrabajo y disfrute del tiempo libre. Al respecto, conversamos con él.
La pandemia nos sorprendió con un sistema de salud con muchas carencias y deficiencias. ¿En qué condiciones nos halló en materia de protección de datos y seguridad en la red?
El derecho de la protección de datos personales está reconocido por la Constitución Política del Perú, y con la promulgación de la Ley 29733 ha tenido un desarrollo particular. Sin embargo, llevamos unos cuatro años con decisiones administrativas que interpretan la aplicación de esta ley en el sector privado, con muy pocas experiencias de su cumplimiento en el Estado […]. La Constitución, asimismo, reconoce el secreto de las comunicaciones, pero varias normas de los últimos cinco años están erosionando estas protecciones.
¿Cuáles, por ejemplo?
En el 2015, se autorizó mediante el Decreto Legislativo 1182 la geolocalización de cualquier persona sospechosa de cometer un delito flagrante, sin orden judicial y solo a solicitud de la policía. Y en el 2017, se creó el Registro Nacional de Equipos Terminales Móviles para la Seguridad [para prevenir y combatir el comercio ilegal de equipos terminales]. Incluye una lista negra de los teléfonos celulares robados o perdidos, y una lista blanca de equipos móviles activos. El Estado ha creado una lista paralela de nombres de personas y números de teléfonos celulares a cargo de Osiptel (Organismo Supervisor de la Inversión Privada en Telecomunicaciones). En un país normal, la información de a quién le pertenece una línea telefónica se consulta con la empresa y ésta la entrega mediante orden judicial. De esta manera, la meta data —los datos que describen el contenido de los archivos o la información de estos—, ha ido perdiendo protección y garantía. En ese contexto aparece un nuevo escenario, en el que varios países por el coronavirus intentan alternativas tecnológicas que no son nuevas para el Perú.
¿Cómo evalúa iniciativas como Te cuido Perú y la aplicación Perú en tus manos?
El grupo de trabajo Te cuido Perú fue uno de los primeros en armarse frente a la pandemia. Liderado por el Ministerio de Defensa, tiene la atribución de pedirle a las empresas operadoras de telefonía móvil la ubicación en tiempo real, y de los últimos tres días, de cualquier persona calificada de sospechosa de COVID-19. ¿Quién califica como tal? Puede serlo quien ha llamado al 113 o ha respondido la autoevaluación digital o ha llenado la encuesta sobre el nuevo coronavirus enviada al teléfono celular. El primer problema con esta iniciativa es que requería de un acuerdo o protocolo previo para que pudiera darse esa colaboración. Por otro lado, la aplicación Perú en tus manos muestra el mapa de zonas afectadas por el virus y ha tenido múltiples problemas.
¿Como cuáles?
Nadie sabía exactamente qué mostraba. Se pensaba que eran zonas de calor o la ubicación exacta de los contagiados. Al no actualizar los puntos en el mapa ni alertar sobre la cercanía de una persona infectada, impactó en la confianza de la gente. Además, la información no procedía del Ministerio de Salud sino del Ministerio de Defensa. Éste pasaba una versión disociada (los datos de identificación del titular son convertidos en números o códigos) a la PCM y ésta, a su vez, debía limpiar esa base de datos para evitar los registros dobles. Al final, los puntos que se muestran en el mapa —unos 18.000— son solo una parte de un universo de cientos de miles de contagiados.
¿Fue solo un problema de diseño de la aplicación?
Perú en tus manos recopila información de zonas de riesgo. También registra el desplazamiento de todas las personas que han autorizado el acceso al GPS de su equipo. Seguir a estas personas todo el tiempo es una forma de intervención en el derecho a la privacidad que, como cualquier otra, debe ser evaluada. En términos absolutos, no hay una actividad estatal de vigilancia legal o ilegal. Pero desde la necesidad y proporcionalidad para el fin que se persigue, debes preguntarte qué tanto puede servir recopilar todos tus desplazamientos, todo el día y a toda hora. Un juez analizará la utilidad de la aplicación en términos teóricos y prácticos, pues no toda la población tiene un teléfono celular, y no todas las personas con equipo móvil instalarán la aplicación. Eso hace que la premisa sobre la que teorizas su efectividad sea errada.
Habrá que ver los resultados obtenidos.
Hasta donde sé, esa información no es pública. Ahora el Gobierno se propone realizar una segunda etapa. Consiste en el seguimiento de contactos digital con el uso de Bluetooh de baja energía. Esta tecnología registra los identificadores únicos de todos los equipos móviles con los que te cruzas en el camino. Preocupa que toda esa información vaya a un servidor central del Estado y quede un registro. En otros países, la información va al teléfono celular de las personas. Para ese fin, utilizan la plataforma desarrollada por Apple y Google, que permite la comunicación entre smartphones y equipos Android para el rastreo de contactos. Pero para usar este sistema no puedes recopilar información de GPS. De esta manera, las dos compañías tecnológicas tratan de minimizar el alcance e impacto de un sistema centralizado de datos. Una de las razones del Estado para empujar este modelo es controlar la narrativa y las alertas de quien está expuesto al virus.
¿Cómo queda el ejercicio de nuestro derecho a la protección y seguridad desde la data?
El primer problema es la legalidad del sistema. En otros países han requerido una ley del Congreso o una base legal clara para llevarse a cabo. En Perú nada de eso ha pasado. De hecho, casi no hay referencias en las normas legales a la aplicación Perú en tus manos. En el decreto de la nueva convivencia y en el de levantamiento de la cuarentena se reconoce en algunos numerales el uso las tecnologías de la información como parte de una respuesta estratégica a la emergencia. Recordemos que el Estado no puede hacer nada mientras una ley no se lo autorice. El segundo problema es de necesidad y proporcionalidad. Muchas de estas iniciativas carecen de proporcionalidad para el fin que persiguen y eso, por ende, las hace anticonstitucionales de pleno derecho. En tercer lugar, el Estado tiene que dar garantías de que la información por recopilar no sea aprovechada por terceros.
En Te cuido Perú advertiste riesgos de seguridad.
En una foto [divulgada por el grupo Te cuido Perú] se mostraba la dirección web y el usuario para ingresar a ella. Resultó que la contraseña y el usuario eran los mismos y alerté de ellos al Centro de Emergencia y Respuesta Temprana de la PCM, con copia a la Autoridad de Protección de Datos Personales. Sabemos que esta última ha iniciado un procedimiento administrativo sancionador contra Essalud por desarrollar una plataforma con tanta información sensible y sin haber tomado la precaución de impedir que el nombre del usuario sea el mismo de la contraseña. Si el Estado no protege lo mínimo, ¿qué nos garantiza que hará mejor todo lo demás?
¿Esa perspectiva es por desconocimiento del mismo Estado?
La privacidad y la seguridad digital son considerados por el Estado como los toques finales del pastel. No los toman en serio. El mal diseño de una página web permitió que beneficiarios del bono económico fueran suplantados. En este caso, como en la aplicación Te cuido Perú, el Estado asume que la seguridad digital se limita a contratar servidores caros, antivirus y ese tipo de cosas. Pero no se plantea escenarios de seguridad cotidianos, como una falla que permite errar la fecha de emisión del DNI en una plataforma sin bloquearse. Esto refleja el poco interés por invertir tiempo, dinero y esfuerzo en tecnología. En otros países, en cambio, se ha gastado dinero en esto. Tú no dejarías que alguien te done algo que es indispensable para el país. Harías un concurso público y contratarías al mejor, pero no ha sido el caso.
Otro aspecto relacionado con el uso de la tecnología es la violencia en Internet. ¿El problema se ha agudizado durante la pandemia?
En Hiperderecho, hemos desarrollado una taxonomía de cómo se dan estas formas de violencia, que van desde el insulto directo hasta formas más sofisticadas, que mis colegas llaman ataques coordinados. En este caso, un grupo de personas se pone de acuerdo para ejercer violencia contra otra. Es un problema más visible ahora porque afecta a una artista de televisión o a una periodista, como hemos visto durante estos meses. Pero esto demuestra que todos estamos expuestos. Por otro lado, la cobertura en los medios de estos casos es tendenciosa, pues se enfoca en los victimarios. Usan poco tiempo para entender las técnicas que estos emplean y contra quienes dirigen sus ataques. Hablar mucho de los victimarios resulta pernicioso porque los muestras como personas con mucho conocimiento de tecnología y que el resto siempre vamos a estar en desventaja.
¿Qué hacer?
Los peligros en Internet vienen en todos los colores. Quizá no puedes prevenir que el Gobierno compre un software para vigilar tus desplazamientos, pero puedes adoptar buenas prácticas en materia de seguridad digital. No necesitas comprar o instalar nada raro, solo debes pensar en algunas cosas, como entender tu nivel de riesgo o el modelo de amenaza que podrías tener según sea la actividad que realizas.
¿Cuál consideras es el principal beneficio del uso de la tecnología?
Es un instrumento para el ejercicio de derechos. Nos afecta cuando es tratada como se hace hoy: para vigilarnos innecesariamente y cuando pone en riesgo nuestra información respecto del Estado y de terceros. Estoy convencido de que la tecnología puede traernos grandes cosas, pero los despliegues mediocres y falsos intentos [de aplicar la tecnología] erosionan la confianza de la gente. Si el Estado no se preocupa en solucionar bien esto, está quemando una oportunidad de oro para la transformación digital a futuro.
Y más ahora que necesitamos mejorar el acceso a Internet.
Las brechas en infraestructura digital, como el ancho de banda, afectan también el ejercicio de derechos. ¿Cómo recibes clases, teletrabajas o, si eres autoridad, reportas datos de personas contagiadas y fallecidos por COVID-19? A los notarios, por ejemplo, se les ha pedido que, como parte de las normas de convivencia, hagan sus trámites online, pero no pueden trabajar porque la velocidad del servicio de Internet es inestable en las ciudades del interior. Soy profesor y muchos de mis estudiantes en Lima también tienen problemas con Internet. Las brechas en infraestructura son la otra gran emergencia.
¿Y cómo podemos afrontar de manera eficaz esta emergencia?
Se necesita diseñar estrategias no solo de cara ante una emergencia sanitaria sino frente a otros escenarios, como un terremoto. No deberíamos encontrarnos de nuevo en la situación de inventar las cosas de la noche a la mañana. Por ejemplo, había una ley de teletrabajo, pero tenía muchos requisitos y fue preciso sacar otra norma. Ojalá aprendamos lo mejor de esta experiencia para que, en el futuro, quien quiera teletrabajar pueda hacerlo sin que la ley sea un impedimento. Otro ejemplo es la obligación del Estado de hacer pública la información sobre el progreso de la enfermedad y los casos registrados. Esta obligación ha sido interpretada desde las leyes de principios generales. Las normas en salud no especifican qué puede comunicar la autoridad sanitaria, a pesar de que hay emergencias todo el tiempo, como el dengue. Lamentablemente, poca gente echó en falta esta información, hasta hoy. Nuestro sistema ha sido analógico y ahora hay paradigmas que se han roto. Tenemos que extraerle valor a eso y demostrar que ha sido un cambio para mejor.
