¿Por qué es importante para Paraguay una Ley de Protección de Datos Personales?

Uno de los principales problemas a la hora de explicarle a la ciudadanía la necesidad de que Paraguay cuente con una ley de protección de datos personales es justamente ese, que vean como un problema que sus datos estén expuestos, repartidos, comercializados y constantemente trazados por “alguien más”, “con otros fines” y “lucrando” por esto.

Esta falta de concientización viene acompañada de algunos mitos urbanos, dentro de los cuales los más arraigados son:

1) A mí no me va a pasar.

2) Yo no tengo nada en mi celular como para que se interesen en mí.

3) Yo no comparto nada que me comprometa.

4) Apenas uso Internet en el celular.

5) Nada tengo que esconder.

6) Nuestros datos personales ya están en todas partes.

7) Las empresas hacen lo que quieren con nuestros datos personales.

Por supuesto que estos mitos urbanos caen por su propio peso a medida que Internet “deviene” y empieza a relacionar aspectos de la privacidad personal con la vida pública de la gente.Pero, ¿cómo comienza esto?La recolección de datos no es algo nuevo. Prácticamente y, desde los inicios de la Cibernética con Norbert Wiener (1948), se habló del “feedback” como un proceso de análisis en base a datos recolectados, interacción, comunicación y canales. Si bien el objetivo de Wiener era construir máquinas al servicio de la humanidad (de hecho, se adelantó 20 años a la primera PC), el concepto del “control mediante mensajes” siempre estuvo bajo la sombra de la manipulación en manos equivocadas y, con la suficiente dosis de “feedback” basado en recolección de datos, documentación de reacciones, patrones y conductas, esto no era descabellado.

Internet marca un punto de inflexión en todo esto, la puerta a la interconectividad, a la inmediatez y a las nuevas bases de la automatización de la información. Sumado a esta evolución digital tenemos que el costo del Hardware ha bajado considerablemente en los últimos 10 años y allí apreciamos el cierre de la ecuación que da inicio a la problemática de la protección de datos personales.

¿Por qué la ecuación se basa en Internet + Hardware? Lo explico.

Primero definamos qué es un “dato personal”.

La Comisión Europea tiene la siguiente definición: Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal. Particularmente, la definición que más me gusta, es: llamamos dato personal a cualquier información o conjunto de datos que, de forma directa o indirecta, pueden ser alineados como propiedad de una persona física y, de esta forma, identificarla inequívocamente. Se da también el concepto del “Data Owner” o Propietario de Datos, que tiene que ver con aquella persona física (o jurídica) que ejerce la acción de propiedad o dominio del dato. Es decir, ejerce posesión y control sobre el dato mediante la facultad de poder interactuar o modificar a voluntad las tres propiedades de los mismos: integridad, confidencialidad y disponibilidad.Segundo, la historia. Allá por 1992 cuando comienza Internet y comienzan a aparecer los navegadores, sitios web, “buscadores” (con respeto y consideración a los abuelos), también empezaron los problemas de tráfico y para el incipiente comercio electrónico. Es allí cuando el programador Lou Montulli tuvo la idea de utilizar el concepto de las “cookies” en las comunicaciones web, en junio de 1994. ​ En ese momento era un empleado de Netscape Communications, que estaba desarrollando una aplicación de comercio electrónico para MCI. Vint Cerf y John Klensin representaban a MCI en las discusiones técnicas con Netscape Communications. Como no querían que los servidores de MCI tuvieran que retener los estados transaccionales parciales, pidieron a Netscape que encontrase una forma de guardar esos estados en el ordenador de cada usuario. Nacen así las “cookies”, pequeños archivos que ofrecían una solución al problema de implementar de forma fiable un carrito de compras virtual.

Entonces, una “cookie” es un archivo que contiene información de intercambio entre el usuario y el proveedor de servicios. Hoy día este concepto ha tenido una importante evolución y muchas empresas hacen de las “cookies” un verdadero repositorio de información personal. Ahí tenemos una de las bases de la ecuación. Digitalmente se desarrolló una herramienta (“cookie”) que recolectaba datos personales en aras de mejorar la calidad de experiencia del usuario (en realidad ese eufemismo se sigue utilizando), sumando así a la recolección tradicional de datos personales (nombre, teléfono, domicilio, lugar de trabajo), las “cookies” (datos de navegación, IP, preferencias, etc.).

Tercero, el Hardware. El concepto de datos personales tiene una arista muy filosa que es la identificación de las personas. Para que la persona física sea identificable el dato debe ser tratado, esto es, recolectado, guardado, mirado, comparado, procesado, mostrado, etc. Hasta antes de Internet estos procesos eran manuales, eventualmente digitalizados, poco compartidos y mucho menos interconectados. Internet rompe con ese paradigma y comienza no solo a interconectar datos sino también a cambiar el criterio de “personal” agregando al grupo cosas como la IP, el historial de navegación, las preferencias, cumpliendo todos los antes mencionados con el criterio de permitir identificar a alguien.Con la caída del precio del Hardware se suma el segundo actor a la ecuación de la problemática de la protección de datos personales, dado que los nuevos dispositivos (interconectados o no a Internet) permiten recolectar información que fácilmente hacen identificable a una persona. De esa manera pasamos de tratar datos de navegación en un archivo de texto a reconocimiento biométrico o biométrico gestual, pudiendo el tratamiento de toda esta información hacernos plena e inequívocamente identificables. ¿Se dan cuenta? Pasamos de poder ser identificados por el nombre, en número de documento o de celular a ser identificados por sistemas de Inteligencia Artificial que puedan recoger biometría gestual y señalarnos por la forma de caminar, la forma de firmar autógrafa, las reacciones de expresión o la velocidad de tipeo en un teclado.¿En serio el Hardware bajó tanto de precio como para sostener el panorama anterior?La respuesta es sencilla: cualquier Smartphone de medio pelo tiene al menos los siguientes sensores que, hace 10 años atrás, eran impensados, y que recolectan información personal de los usuarios: acelerómetro, barómetro, giroscopio, GPS, lector de huella dactilar, lector de iris, podómetro, sensor Hall o magnetómetro, sensor de proximidad, sensor de luz ambiental, sensor de ritmo cardíaco, sensor infrarrojo/bluetooth… Impresionante ¿no?

De esta manera está planteada la ecuación de la problemática en la protección de datos personales porque la gente ha decidido (conscientemente o no), ser parte de esta era hiperconectada a costa de sacrificar su privacidad.Los Smartphones marcaron un ritmo de vida y hoy el Internet de las Cosas (IoT) pone en nuestros hogares dispositivos conectados entre sí y a Internet que, con el mismo concepto de facilitarnos la existencia, siguen recolectando información sensible. Dejamos entrar así a las Smart Tv, los Smart Car, los Smart…. hornos, cocinas, cortinas, A.A., filtros de piscina, luces, collares para mascotas y asistentes digitales que la gente sigue llamando solo “parlantes” a pesar que les hablan y ellos ejecutan órdenes…Por todo esto ya hace varios años se empezó a tratar en varios países y organismos el problema de la privacidad, de la protección de datos personales y los mecanismos legales que debían asegurársele a la gente, no solo para protegerla de las empresas y los Estados sino también de los delincuentes y ciberdelincuentes.Como punto de partida, el artículo 12 de la Declaración Universal de Derechos Humanos (10 de diciembre de 1948) establece lo siguiente:“Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. https://dudh.es/12/

Dos años después, el Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales del Consejo de Europa 2 establece en su artículo 8:“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia”.La protección de datos personales es considerada un derecho humano, íntimamente ligada a la esencia misma de la historia de las personas, a su huella digital en Internet, a su devenir como actor inalienable de dos mundos reales: el físico y el digital.Paraguay no tiene una ley de protección de datos personales y por ello nos hemos perdido cosas tan básicas quizás, pero que hoy en día se hacen imprescindibles para la ciudadanía.

Una ley de protección de datos personales te abre las puertas a los derechos ARCO.

¿Qué son?

Son aquellos que tiene la ciudadanía para proteger sus datos personales.

¿Cuáles son?

1. Acceso: conocer qué datos tienen asociados y registrados a tu persona.
2. Rectificación: actualizar tus datos personales.
3. Cancelación: eliminar tus datos personales cuando ya no tengas ningún producto o servicio activo.
4. Oposición: bloquear el uso de tus datos para fines distintos a la contratación de tus productos o servicios, por ejemplo, el envío de publicidad y promociones.

Una ley de protección de datos personales es un punto de enfoque para datos físicos, digitales, crediticios, financieros, médicos, esto es, se constituye en una solución global, abarcativa, para todos.No es absurdo pensar que podemos como país tener una Agencia Nacional de Protección de Datos, que vele por nuestros intereses, de forma independiente, con profesionales preparados, recursos y mecanismos acordes a este siglo.Proteger nuestros datos personales no significa solamente saber qué hacen las empresas con la información sensible que recolectan de nosotros, no, significa también pedir al Estado que rinda cuentas, significa involucrarnos como ciudadanos en la construcción de la Soberanía Digital del país, proteger a nuestros hijos de los peligros de la interconectividad, y sanear la salud de la sociedad digital paraguaya.Hoy estamos expuestos, desprotegidos y a merced de mucha confusión legislativa que malentiende la tecnología como la panacea de muchos problemas que, más bien, requieren antes una concertación social.

Algunas malas prácticas en nuestro país para que pienses en todo lo que leíste:

1) Hay seguros médicos que recolectan datos biométricos de sus clientes, niños inclusive, sin que haya un marco contractual que le permita a los asegurados saber de qué manera se tratan sus datos. Los seguros médicos a los que me refiero son privados y públicos.

2) Estamos inaugurando el billetaje electrónico y, a la fecha, 24 de octubre de 2019, no hay políticas de privacidad, ni en las páginas web, ni en las Apps de las prestadoras y no queda claro si es el Estado Paraguayo el responsable de manejar los datos de la gente que registra las tarjetas.

3) Hay planes de interconexión de hospitales, clínicas y centros de salud, pero nuestro país no tiene ni ley de protección de datos personales, ni ley de expediente médico digital. A la fecha, 24 de octubre de 2019, ninguna autoridad competente ha respondido bajo qué marco legal hacen las interconexiones y el tratamiento de datos médicos.

4) Hay planes de digitalización de Pymes y MiPymes paraguayas mediante Partners de Google en alianza con el Ministerio de Industria y Comercio, concediéndoles un sitio web que nuestro Ministerio tilda de “gratuito”, pero en cuyo contrato se leía que la propiedad intelectual de lo contenido en esas webs pertenecería al Partner de Google. Hasta la fecha, 24 de octubre de 2019, y desde junio, no nos han respondido a nuestra consulta sobre la propiedad intelectual de los datos contenidos en esas webs.

5) Las personas están inundadas de mensajes de ofertas de crédito, antenas de TV, electrodomésticos y celulares.

6) El Estado está instalando cámaras de reconocimiento facial a mansalva y no hay manera de que los ciudadanos podamos saber quién, por qué y de qué manera acceden a esa información.

7) Muchos supermercados y tiendas siguen recurriendo a la doble pasada de las tarjetas de crédito y débito, en dos pos diferentes. Un pos es el autorizado y otro es el de la empresa para su contabilidad. Lo que no te cuentan es que la pasada lee todos los datos contenidos en la tarjeta, que los almacenan y que los usan.

Por todo esto necesitamos una Ley de Protección de Datos Personales, porque nuestros datos valen, porque hoy les generan fortunas a terceros e incluso su uso negligente pone en peligro al país.

Miguel Angel Gaspar
CEO & FOUNDER Tekhnos ITSD
Director Paraguay Ciberseguro