En el presente artículo se analiza la relación entre la privacidad y la ciberseguridad, además de que se destaca la importancia de su implementación desde el diseño, en un escenario global complejo de emergencia tecnológica en el cual abundan legislaciones fragmentadas. Asimismo, se introducen algunas percepciones de la situación en Latinoamérica respecto del nivel de cumplimiento normativo internacional existente.
Introducción
En el mundo contemporáneo, la ciberseguridad y la privacidad de datos son fundamentales. La primera pareciera ser un presupuesto indispensable de la segunda, sin embargo, se puede afirmar que mantienen una relación simbiótica. No es posible concebir la privacidad sin la implementación de medidas de ciberseguridad, y la privacidad desde el diseño debe ser la primera medida a considerar para preservar la ciberseguridad. Es imprescindible que este aspecto aborde de manera integral los distintos principios, independientemente del estado en el que se encuentre la información, contemplando personas, procesos y tecnología.
Ante un desafiante y complejo panorama actual, en el que los impactos de la pandemia se siguen replicando en el ciberespacio como si de una zona de alta actividad sísmica se tratara, los riesgos y amenazas continúan aumentando exponencialmente. Las medidas adoptadas por los estados y organizaciones a fin de contener los embates de la coyuntura sanitaria llevaron a que se adoptaran intempestivamente herramientas tecnológicas para las actividades cotidianas de manera masiva. Esta circunstancia dejó en evidencia ciertas carencias en las medidas de seguridad, y expuso los riesgos y amenazas que acechan a los sistemas, infraestructuras y, sobre todo, a los individuos.
El enfoque de “privacy by design” promulgado en 1995 por Ann Cavoukian cuando era comisionada de Información y Privacidad de Ontario en Canadá, pareciera cobrar nuevamente vigencia dadas las recientes tendencias normativas que han surgido y otras que se van gestando a nivel regional e internacional[1].
La privacidad desde el enfoque de la protección de datos personales se encuentra amenazada por riesgos inherentes a los avances tecnológicos. La libertad informática es un derecho fundamental y en el presente escenario de emergencia sanitaria- que se resiste a cesar- es concomitante a una época de innovación y desarrollos tecnológicos que redundan en una combinación que genera una incertidumbre sin precedentes. La ciberseguridad, desde el diseño y por defecto, se erige como la única solución posible para reducir, o al menos contener, los peligros que circundan los derechos, libertades y garantías fundamentales que se vulneran sin solución de continuidad.
Aproximaciones al epicentro del fenómeno de los datos
El foco de toda contienda radica en el valor que han adquirido los datos. Su importancia y el potencial devastador subyacen en el uso y cuidado que sobre ellos se haga.
La historia nos ha enseñado que la pólvora se utilizó con fines industriales y significó un progreso en el sector, pero también causó y sigue causando la muerte de millones de personas durante las guerras o como resultado de actos terroristas.
¿Estamos haciendo lo suficiente para preservar nuestra información personal? ¿Están haciendo lo suficiente los Estados para hacer cumplir las leyes que resguardan la privacidad de los usuarios? ¿Es necesaria la recolección indiscriminada de los datos personales para el progreso y la innovación, o existen técnicas respetuosas de la privacidad en el desarrollo de nuevas tecnologías? ¿Qué amenazas acechan nuestros datos en la actualidad? ¿Será factible torcer el curso de nuestro destino en favor de un futuro en el cual la privacidad y nuestra información personal no siga siendo la moneda de cambio ni defina nuestra reputación?
Es evidente que los múltiples vectores no pueden ni deben ser afrontados individualmente. La responsabilidad es de todos. Empresas privadas, particulares, organismos internacionales y Estados son y seguirán siendo objetivos de ciberataques, por ello, estas cuestiones merecen un tratamiento prioritario. Se requiere un compromiso de todos para evitar que la ambición, negligencia, impericia y el poder ocasionen daños irreparables. La ciberseguridad y el cuidado de la privacidad desde el diseño y por defecto deben ser un presupuesto esencial en todos los ámbitos, aunque implique esfuerzos económicos: el costo de no asumirlo seguirá marcando pérdidas en la cuenta de resultados.
Privacidad por diseño como paradigma contemporáneo
La noción de privacidad, concebida como un derecho inherente a toda persona humana, ha sido foco de grandes debates a lo largo de la historia. Aun hoy resulta difícil encontrar un concepto que satisfaga todas las acepciones y complejidades que trae aparejada.
El concepto tan polivalente de privacidad se asociaba antiguamente más al derecho a la intimidad. Se destaca el trabajo publicado por Warren y Brandeis, en la Harvard Law Review, titulado: “The right to privacy” en el que se planteó la idea de que toda persona tiene el derecho a “ser dejado en paz” o a “que lo dejen solo”. Estos términos encuentran su antecedente en la obra: “The elements of torts” del juez Thomas Cooley, en la cual definió el concepto de “intimidad” como: “the right to be let alone” o, en su traducción al español, “el derecho a ser dejado solo”.
Se ha sostenido que “El derecho a la intimidad ha ido evolucionando en su concepción, acorde con los cambios tecnológicos que se han producido en la humanidad, de tal forma que su concepción inicial de restringir el acceso de los terceros a una determinada parte de la vida de las personas, que era una posición negativa —un no hacer por parte de la sociedad— ha cambiado por la concepción actual que, básicamente, consiste en el derecho de controlar la información que en relación a una persona existe en el medio”[2].
Alentado por los avances tecnológicos, el derecho a la privacidad fue avanzando sobre nuevos horizontes hasta llegar a la consolidación del derecho fundamental a la protección de datos, el cual representa un derecho más amplio e independiente que el de la intimidad, que debe ser garantizado por organismos públicos y privados de manera insoslayable desde el diseño y por defecto a todo proyecto, política y estrategia que se pretenda implementar. Valga recordar la Sentencia 292/2000, de 30 de noviembre de 2000, del Tribunal Constitucional español, que se sostuvo: “La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad, y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada «libertad informática» es el derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención”[3]. Implementar la seguridad en los datos es una forma de respetar la privacidad y debe garantizarse, además, el libre ejercicio de los derechos de protección de datos de los individuos.
Hoy en día, se utilizan tecnologías sofisticadas para analizar, parametrizar, reutilizar y exprimir datos sin tener la certeza del verdadero impacto que esto podrá tener en el futuro. El fenómeno de la “datatización” se asumió de manera poco respetuosa a la privacidad, y las noticias diarias de incidentes de seguridad ratifican que aún queda mucho por hacer en materia de ciberseguridad.
Los ataques cibernéticos y atentados contra la privacidad aumentan y evolucionan drásticamente cada año; se van reinventando, haciéndose más sofisticados y complejos. Las consecuencias que pueden derivarse de los incidentes son variadas y multifacéticas, ya que los impactos trascienden a las organizaciones que los padecen. Los datos personales e información que se exponen y difunden pueden ocasionar daños irreparables. Por lo tanto, los efectos de estos eventos son globales y con un potencial dañino multiplicador.
La rentable mercantilización de los datos evidenciada en las grandes tecnológicas contagió las ambiciosas estrategias de pequeñas y medianas empresas, que aun sin presupuesto suficiente, imitan parcialmente los modelos de negocios de aquellas que sí cuentan con estructuras que pueden permitirse ciertas protecciones, lo cual amplifica el riesgo de los interesados. Al mismo tiempo, los usuarios- menores y adultos- utilizamos los servicios de Internet sin ningún reparo, de manera descuidada y negligente. Los responsables de las tecnologías, en su mayoría, no aplican medidas de protección a la privacidad desde el diseño y por defecto, o postergan su implementación de manera reactiva luego de algún llamado de atención, sanción o, lo que es peor, tras un incidente de seguridad.
Por otro lado, los Estados en Latinoamérica van adoptando tímidamente parámetros legislativos robustos para evitar la sanción de leyes, pero no han demostrado, hasta el momento, un compromiso suficiente que garantice el control de cumplimiento normativo existente. La imitación de normas al estilo europeo de nada sirve si no se vela por garantizar su aplicación.
Desafíos para la privacidad y ciberseguridad
En un mundo hiperconectado donde abunda la información y la fragmentación normativa, nuestros datos son altamente cotizados, se encuentran diseminados en servidores de distintos organismos, empresas, países y gobiernos con diversas concepciones de privacidad que varían según la cultura, política, leyes, estrategias y presupuesto de cada actor presente en el ciberespacio. Resulta lógico que, como consecuencia, los usuarios nos encontremos más expuestos y en ocasiones más vulnerables a las decisiones de responsables y encargados, abstraídos del manejo y ciclos de vida que recorren nuestros datos personales. Hay economía en los datos y, si tienen valor, entonces habrá quienes quieran hacerse de ellos.
A los fines del análisis que nos concierne, las legislaciones robustas en la materia imponen a los creadores de tecnologías la adopción de la privacidad y la protección de datos desde las instancias previas a la creación del producto o prestación del servicio de que se trate, y se aseguran de que estén disponibles las funcionalidades técnicas pertinentes por defecto. Todo debe asegurarse manteniendo una responsabilidad proactiva: preventiva y no reactiva. Si los organismos públicos y las entidades privadas cumplen, las personas físicas no tendrán que realizar esfuerzos en torno a la protección de su privacidad, ya que estaría garantizada por los desarrolladores de los productos y servicios.
Por eso, es imprescindible que el enfoque “privacy by design”[4] deba extrapolarse también a la ciberseguridad. En octubre de 2010, en la conferencia internacional de comisionados de protección de datos y privacidad, se reconoció que el concepto de “privacy by design” es un componente esencial de la protección fundamental de la privacidad[5]. Pero, como se aseveró, a pesar de los recaudos indicados por las normas, en la actualidad la base de los negocios más rentables parece circundar en torno al tratamiento de los datos, lo que aumenta su relevancia, y debería, por consiguiente, demandar una atención más precisa y exigente, sobre todo en el control del cumplimiento efectivo.
La privacidad desde el diseño se erige también como un presupuesto indispensable de la ciberseguridad, para afrontar y contener los efectos adversos de los avances tecnológicos ante las dificultades de previsión de la envergadura de los impactos que tendrán en nuestras vidas. Por otro lado, la importancia de la ciberseguridad radica en que, si no se adoptan medidas en este sentido, los derechos y libertades fundamentales se encontrarán en riesgo y en un estado de amenaza constante e indefinida. Al respecto, la Unión Internacional de Telecomunicaciones expresó: “Pueden utilizarse técnicas de ciberseguridad para garantizar la disponibilidad, integridad, autenticidad, confidencialidad y no repudio del sistema. La ciberseguridad puede emplearse para garantizar el respeto de la privacidad de los usuarios”[6]
La implementación y desarrollo de la inteligencia artificial, la explotación masiva de datos, los proyectos basados en tecnología blockchain, la proliferación de artefactos conectados a Internet (IOT) y los avances en la computación cuántica, son solo algunas de las preocupaciones con las que convivimos en el escenario actual.
A medida que se desarrollan estas tecnologías y que se instalan en nuestra vida cotidiana, lidiamos primero con los retos de entenderlas, luego de identificar qué impacto tienen en nuestra privacidad, para después regularlas.
Los desafíos para la privacidad y la ciberseguridad, en un contexto de tecnologías emergentes, ante una coyuntura actual pospandemia – en la que se implementaron medidas de posicionamiento por GPS, seguimiento de contactos y recolección masiva de datos sensibles, entre otras decisiones con implicaciones en la privacidad- se proyectan con un grado de magnitud inconmensurable.
En caso de no tomar prontas medidas, nos enfrentaremos a un escenario de total incertidumbre en el cual los algoritmos definirán nuestro destino con base en datos recolectados y analizados, poniendo en riesgo el acceso a diferentes servicios, frustrando proyecciones laborales o académicas anheladas, padeciendo el incremento de primas en materia de seguros, o rechazando el acceso a posibilidades de índole financiero, entre otros. Es nuestra responsabilidad evitar que las generaciones futuras sean condenadas a discriminaciones por no haber hecho lo suficiente en la gestión adecuada y sostenible de la privacidad y la ciberseguridad.
Llamado a la acción
Encontrándonos en épocas de desarrollos tecnológicos y tendencias regulatorias robustas, las medidas protectoras de la privacidad y ciberseguridad que no se realicen de manera previa o embebida en los sistemas, derivarán para las empresas, Estados e individuos en costos adicionales por implementaciones tardías, costos que podrán devenir como consecuencia de medidas reactivas ante incidentes de seguridad o de sanciones administrativas o decisiones judiciales.
Suscribo íntegramente lo que escribió Carissa Véliz[7]: “las decisiones que tomemos sobre privacidad hoy y en los próximos años, determinarán el futuro de la humanidad”. Además, esas decisiones determinarán, también, de cuánta privacidad disfrutaremos en el futuro.
La protección de la privacidad y la promoción de la ciberseguridad es una labor colectiva; requiere de la colaboración de todos los sectores de la sociedad global. Lo primero es tomar conciencia y no subestimar las consecuencias nocivas sobre los derechos y libertades individuales que pueden tener las tecnologías. Mientras más cuidadosos seamos los usuarios, más instruidos estemos para reclamar nuestros derechos y más protegidos nos encontremos de las consecuencias dañinas de los desarrollos tecnológicos sobre la privacidad, menos margen de acción tendrán los ciberdelincuentes.
Debemos generar espacios de debate sobre privacidad y seguridad; aumentar la formación y concientización digital; los Estados deben regular y controlar adecuadamente en pos de la coherencia normativa internacional, respetando estándares mínimos de ética y seguridad en los desarrollos, de lo contrario, corremos un grave riesgo de construir dispositivos y programas que no podamos controlar, condenando a un futuro incierto -pero sin duda perjudicial- a las próximas generaciones.
Palabras finales
Considero que los datos seguirán siendo el combustible del desarrollo e, inclusive, puede especularse un aumento de su valoración en este contexto de tecnologías emergentes en una economía basada en ellos. Como se expuso, el respeto por la privacidad no impide la innovación. El panorama actual exige observar los principios de privacidad y seguridad desde el diseño y por defecto, junto con el que surge de las legislaciones más robustas, valorando los derechos y libertades de todas las personas y el bienestar de las próximas generaciones. Se requiere una armonización legal, responsabilidad por parte del sector empresarial y que los Estados velen por su cumplimiento. Se debe trabajar en la promoción del desarrollo de tecnologías con una mirada sostenible en materia de privacidad.
Agradecimiento: se agradece a la profesora. Patricia Prandini por su vocación docente, acompañamiento y generosidad incondicional a lo largo de la investigación que motivó la presente publicación.
[1] Anne Cavoukian, “The 7 Foundational Principles”, Information and Privacy Commissioner of Ontario, Canada. Recuperado el 23 de noviembre del 2020 de https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf.
[2] Altmark Daniel R. -Molina Quiroga, Eduardo, “Tratado de Derecho Informático”, Ed. La Ley, tomo 2, 2012, p.492.
[3] Tribunal Constitucional Español, 30 de noviembre de 2000, Sentencia 292/2000, BOE Núm. 4. Suplemento, publicado el jueves 4 enero de 2001-104.
[4] El concepto fue introducido para abordar el creciente y sistémico efecto de las tecnologías de la información y de la comunicación y de los sistemas de datos en red a gran escala. El modelo fue materializado en un informe conjunto sobre tecnologías para la mejora de la privacidad (“PET” privacy enhencing technologies) conformado por el Comisionado de Información y Privacidad de Ontario (Canadá), la Autoridad Holandesa de Protección de Datos (the Registratiekamer) y la Organización de los Países Bajos para Investigación Científica aplicada en 1995.
[5] Resolution on Privacy by Design. 32nd International Conference of Data Protection and Privacy Commissioners Jerusalem, Israel 27-29 October, 2010. Consultado el 23 de noviembre de 2020 de [https://edps.europa.eu/sites/edp/files/publication/10-10-27_jerusalem_resolutionon_privacybydesign_en.pdf]
[6] Unión Internacional de Telecomunicaciones- ITU-, Recomendación X.1205: “Aspectos generales de la ciberseguridad” aprobada el 18/04/2008 recuperado el 2 de diciembre de 2020 de https://www.itu.int/rec/T-REC-X.1205-200804-I/es
[7] VÉLIZ, Carissa, “Privacy is power”. Ed. Penguin Random House. Bentam press. Gran Bretaña, 2020. P.4.
Excelente artículo. El Dr. Grigera del Campillo nos tiene acostumbrados a este tipo de publicaciones .
Buenas noches Cristian.
Gracias por leernos, qué bueno que fue de tu agrado el artículo del Dr. Grigera.
Saludos
Carpe diem