Desde este mes, Hiperderecho es oficialmente miembro de la Global Network Initiative (GNI) como parte del grupo de sociedad civil. Se trata de un espacio de trabajo internacional que reune a empresas de tecnología y telecomunicaciones, organizaciones de la sociedad civil, académicos e inversionistas de África, Europa, América Latina, Norteamérica y el Medio Oriente. Todos sus miembros han suscrito su compromiso a los Principios de la GNI sobre derechos humanos y colaboración de múltiples partes interesadas para la solución de problemas comunes en el entorno digital.
En palabras de Judith Lichtenberg, su Directora Ejecutiva, “GNI le da la bienvenida a Hiperderecho, sus diversas aproximaciones de incidencia y su experiencia monitoreando y analizando políticas públicas de Internet y legislación con un enfoque de género y sociedad civil.”
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
A pocas semanas de empezar la segunda vuelta de las Elecciones Generales 2021, es importante recordar la cantidad de propaganda política que nos ha llegado durante este periodo electoral.Mucha de esta propaganda puede haber sido dirigida específicamente a miembros de nuestra comunidad, nuestro género, nuestro perfil socioeconómico o nuestra región mediante Facebook, Whatsapp, correo o mensaje de texto. Esto se debe a que muchos de los partidos han demostrado contar con acceso a bases de datos en las que figuran nuestros datos personales sin que hayamos dado consentimiento explícito de ello.
Es por eso que en Hiperderecho queremos empoderar a que la ciudadanía recupere el control sobre sus datos personales haciendo uso de la Solicitud ARCO. Las siglas ARCO se refieren a los cuatro tipos de derechos que podemos ejercer cada vez que un titular de banco de datos personales trata nuestra información:
Derecho de acceso: Toda persona tiene el derecho de conocer qué datos se tienen sobre sí mismo, cómo y por qué esta información fue recopilada y qué transferencia se hicieron con ellos.
Derecho de rectificación: Toda persona tiene derecho a que sus datos sean actualizados cuando no lo están o sean rectificados cuando son inexactos.
Derecho de cancelación: Los datos personales deben ser eliminados cuando estos datos hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hayan sido recopilados.
Derecho de oposición: Toda persona tiene el derecho a solicitar que sus datos personales ya no sigan siendo utilizados, cuando no haya prestado el consentimiento para ello o cuando existan motivos fundados para ello.
Al enviar una solicitud ARCO a una empresa o partido político, estamos enviando una comunicación legalmente vinculante que nos permite saber cómo es que se están recopilando, tratando y utilizando nuestros datos personales. En el contexto de estas elecciones, es importante enviar solicitudes ARCO a aquellos partidos que nos han contactado directa o indirectamente con propaganda política y exigir que nos den acceso a los datos que tienen sobre nosotros y solicitar que los borren.
Estamos buscando voluntarios que hayan recibido propaganda en este proceso electoral y busquen conocer qué datos suyos manejan los partidos políticos para exigir transparencia mediante una solicitud ARCO. ¡Escríbenos a mariajose@hiperderecho.org para hacerte llegar un formulario y ayudarte en el proceso!
El presente año electoral nos ha ido dejando algunos aprendizajes en torno al uso de datos personales y el marco regulatorio electoral. Tanto los organismos del sistema electoral como las organizaciones políticas utilizan nuestros datos al momento de realizar un proceso electoral. Pero, ¿qué dice nuestro marco legal? Para esclarecer estas dudas, desde Hiperderecho estamos publicando nuestro informe: Datos Personales y Elecciones.
¿De qué trata el informe Datos Personales y Elecciones?
En este informe se analiza la Ley de Protección de Datos Personales peruana y qué obligaciones genera en las entidades públicas relacionadas directamente a los procesos electorales y en las organizaciones políticas. Así, a partir de las funciones constitucionales y legales que estos tienen, se podrá identificar qué datos y bases de datos tienen bajo su poder, lo cual permite identificar estándares mínimos de protección legales, organizacionales y técnicos.
Hiperderecho, gracias al apoyo de la National Endowment For Democracy, realiza este primer informe que tiene como objeto estudiar el uso de datos personales en contextos de elecciones.
¿Qué conclusiones se obtuvieron?
Algunas conclusiones del informe son:
Los organismos del sistema electoral (Jurado Nacional de Elecciones, Oficina Nacional de Procesos Electorales y el Registro Nacional de Identificación y Estado Civil) están bajo el ámbito de aplicación de la Ley de Protección de Datos Personales. Si bien para el tratamiento de datos personales no requieren el consentimiento en virtud de habilitación legal, no están exentos de cumplir los otros principios recogidos en la ley, tales como los de proporcionalidad, finalidad y seguridad.
El Padrón Electoral es la base de datos de mayor importancia en un proceso electoral. La posibilidad de que organizaciones políticas puedan acceder a este les hace extensivo el cumplimiento de la Ley de Protección de Datos Personales al tratarlos.
Las organizaciones políticas, al elaborar sus bases de datos, deben implementar medidas de seguridad y procedimientos para ejercer los derechos ARCO. Tomando en cuenta las recomendaciones de la Comisión Europea, estos deberían verificar además que, si acceden a datos por terceros, estos sean obtenidos de manera lícita. Finalmente, el tratamiento debe ser específico para la finalidad que fueron recopilados y, una vez estos ya no sean necesarios, deberían ser eliminados.
El 29 de marzo, en el marco del proyecto Después de la Ley, participé de la mesa “Re-conocer para defender: enfoque de género en la formación jurídica y la atención en casos de VGL” junto con Angie Muñoz, miembro del Bloque Universitario Feminista; Beatriz Ramírez, abogada y profesora universitaria; Dilmar Villena, director legal de Hiperderecho; y Patricia Bravo, abogada del equipo de Después de la Ley. A partir de nuestras experiencias en las aulas de distintas facultades de Derecho, nos reunimos a conversar sobre la violencia de género en línea (VGL) y las herramientas que nuestra formación nos había dado para abordarla y combatirla.
Por supuesto, tener un diálogo honesto sobre el rol del Derecho en un país con tantas desigualdades requiere analizar cómo está compuesto realmente. El primer paso para ello es reconocer que el Derecho no es neutral;de hecho, muchas veces, su pretensión de neutralidad esconde parámetros hechos a la medida de unos grupos en desmedro de otros. Cuando nos preguntamos si el Derecho está en posición de solucionar las brechas de género existentes, nos falta la otra cara de la moneda: el Derecho también es parte de su origen, tanto por su dimensión estrictamente normativa, como por la institucional y cultural.
Hemos hablado de cómo las tecnologías de los últimos 10 años han contribuido con el entorno de identidad digital en el Perú, pero es imposible ignorar la evolución de la tecnología en el campo de los teléfonos inteligentes (smartphones). Actualmente los smartphones tienen tanta capacidad de procesamiento como una computadora personal. Esto ha permitido que tecnologías como reconocimiento facial o de huellas dactilares sean posibles y se muestran como alternativas al DNIe en entornos digitales para la autenticación. Esto es posible también porque RENIEC guarda en su base de datos fotografías de nuestro rostro y nuestras huellas dactilares que pueden pasar por un proceso para clasificar nuestras características biométricas.
Entonces sería posible desarrollar una aplicación móvil capaz de reconocer algún patrón como nuestro rostro o nuestra huella dactilar, identificar sus parámetros biométricos, compararla con la existente en la base de datos del RENIEC y darnos acceso a diferentes servicios que tengan disponible. Como resultado, RENIEC ha desarrollado diversas herramientas móviles (apps) que permiten acceder a servicios muy parecidos a los que ofrece el Portal del Ciudadano.
El pasado 3 de abril se publicó en Business Insider que un usuario de un foro de hacking compartió información personal de más de 500 millones de usuarios de Facebook, incluyendo números de teléfono, correos electrónicos, última localización, estado sentimental y algunos datos más. Es importante prestar atención a este tipo de situaciones porque esta información puede ser utilizada para fines políticos, comerciales o suplantación de identidad, por ejemplo.
Una manera de comprobar si nuestro número de teléfono ha sido parte de ese filtrado de datos es haciendo uso de HaveIBeenPwned ingresando nuestro número de teléfono en formato internacional. Esto quiere decir que si nuestro número en Perú es 987654321, debemos agregarle el +51 por delante y hacer la consulta como se muestra en la imagen. Puedes consultar el código de tu país en esta web.
De acuerdo al informe que publicamos hace unos meses, se define Identidad Digital como el conjunto de mecanismos utilizados para verificar la identidad de una persona en un entorno digital. Para los ciudadanos, estos entornos serían principalmente páginas web o aplicaciones móviles. Entonces nos podríamos plantear las siguientes preguntas: ¿Qué me hace único como persona? y ¿quién decide o de quién depende afirmar que realmente soy yo la persona que está utilizando una web o aplicación? Antes de entrar en el contexto peruano y su infraestructura de Identidad Digital, respondemos a la primera pregunta.
Existen características físicas y biológicas que nos diferencian de otras personas. Por ejemplo, podríamos pensar en nuestra estatura, color de ojos o algunas manchas en nuestra piel. Sin embargo, el problema con estas características es que a pesar de parecer únicas en nuestro entorno, otras personas también las pueden tener. Por otro lado, existen características que realmente nos hacen únicos y que se utilizan en todo el mundo para identificar a personas de manera individual. Algunos ejemplos son nuestras huellas dactilares, nuestro rostro o nuestra voz. Este conjunto de características están clasificadas como datos biométricos, que a pesar de no ser los únicos son los más utilizados por los sistemas computacionales a nivel global.
En el Perú, el Registro Nacional de Identificación y Estado Civil (RENIEC) es la institución encargada de organizar y mantener el registro único de identificación de las personas, y por lo tanto, se encarga también de emitir el Documento Nacional de Identidad (DNI) que acredita la identidad de las personas. La importancia de RENIEC en el contexto de identidad digital se debe a que también tiene la facultad de emitir certificados digitales para personas naturales o jurídicas que lo soliciten. Estos certificados digitales vendrían a ser un análogo del DNI o del pasaporte en un entorno digital; dándonos la seguridad de que el intercambio de información es entre personas o entidades que realmente son quien dicen ser y que la comunicación entre ellos estará segura y protegida. Este sistema de certificados digitales es válido y confiable porque es parte de una infraestructura más grande y compleja que involucra hardware, software, políticas y procedimientos de seguridad que tienen como base la criptografía asimétrica. Esta infraestructura se llama Infraestructura de Clave Pública PKI por sus siglas en inglés (Public Key Infraestructure).
Con la tecnología de los últimos diez años y teniendo como referencia la implementación de identidad digital en otros países, en el Perú se desarrollaron diferentes plataformas o soluciones orientadas al ciudadano para acelerar procesos o trámites que en persona tomarían días o debían seguir un proceso burocrático muy lento y agotador. Esto aprovechando nuestros datos biométricos o certificados digitales en caso contemos con ellos. A continuación, describimos algunos proyectos desarrollados por el estado que serían parte del primer lote de soluciones de identidad digital orientado a los ciudadanos.
DNI electrónico
El DNI electrónico o DNIe también es emitido por RENIEC y su principal diferencia con el DNI convencional es que es una tarjeta inteligente que contiene un chip que almacena nuestros certificados digitales – emitidos también por RENIEC- que nos permite identificarnos en diferentes plataformas y firmar documentos de manera digital. El DNIe no se adquiere por defecto sino que es únicamente expedido a solicitud de las personas interesadas.
Los certificados vencen cada dos años y pueden ser renovados sin necesidad de renovar el DNIe completamente. Al tener un dispositivo físico que almacena de manera segura nuestros certificados digitales, tendríamos la posibilidad de identificarnos, en un entorno digital, ante cualquier entidad que haya implementado lo necesario para validar esta conexión, como es el caso del Portal del Ciudadano, que analizaremos más adelante. Idealmente serán entidades del gobierno que están interconectadas con RENIEC.
Haber apostado por una tecnología de tarjetas inteligentes como medio de identificación en medios digitales, implica que las personas debemos cumplir con un conjunto de condiciones para hacer uso de ella.
Un lector de tarjeta inteligente.
Una computadora con sistema operativo Microsoft Windows 7, 8 o 10 (32 bits o 64 bits).
Java JRE 8 (32 bits o 64 bits)
Portal del Ciudadano
El Portal del Ciudadano podría ser la plataforma con mayor publicidad de parte de RENIEC como muestra de los avances en identidad digital en los últimos años. Esta plataforma cubre muchas necesidades de las personas como trámites o acceso a información importante.
Inscribir el nacimiento de tu hijo o solicitar duplicado de su DNI.
Acceso a información pública.
Trámite de inscripción de nacimiento de hijo.
Solicitar la devolución de tasas pagadas y no utilizadas.
A diferencia de la mayoría de secciones que son opciones para hacer trámites y gestionarlos desde la plataforma, la opción de saber quién consultó nuestros datos RENIEC es una alternativa con mucho poder desde el punto de vista de transparencia y privacidad de nuestra información. La sección que muestra las personas que han consultado la ficha RENIEC del usuario también nos dice a qué institución pertenecen, la fecha de la consulta y el medio por el cual accedieron a esos datos. Un grupo de 5 personas colaboraron de manera voluntaria con nosotros dándonos acceso a esta lista y como resultado se presenta el siguiente gráfico a partir del tipo de consulta que se realizó sobre sus datos personales entre el año 2017 y febrero del 2020 previo al confinamiento por pandemia.
Esto muestra un gran porcentaje de consultas provenientes del servicio de datos por línea dedicada. Este es un servicio de RENIEC donde cualquier persona jurídica puede acceder a nuestros datos haciendo un pago correspondiente. Otro gran porcentaje de consultas se deben a consultas de verificación biométrica que pueden ser tomadas en aeropuertos, al firmar un acuerdo notarial o cuando solicitamos una nueva licencia de conducir.
Una observación importante a tener en cuenta para el uso del Portal del Ciudadano es que los requisitos para tener acceso a esta información son muy específicos al punto que llegaría a ser restrictivo como el uso del sistema operativo Windows, o una versión puntual de los drivers a instalar. Para una persona con capacidad promedio de uso de tecnologías, le sería complicado y confuso el proceso para configurar, instalar y acceder a esta información.
ID Perú – Plataforma de autenticación de la Identidad Digital Nacional
Esta plataforma pretende ser un espacio único donde los ciudadanos con DNIe accedan a servicios desarrollados por el estado o por desarrolladores autorizados en cuyo proceso deban utilizar el DNIe. La propuesta de esta plataforma es permitir desarrollar soluciones que involucren DNIe de una manera más simple en las distintas entidades del estado, poniendo a disposición demos y código fuente ejemplo para distintos lenguajes de programación.
Las campañas electorales, hoy en día, se han trasladado en cierta medida a espacios como Internet y redes sociales. Usando estos medios se pretende captar la atención de la ciudadanía y obtener resultados electorales favorables. ¿Qué nuevas formas de proselitismo políticos podemos observar?
Las redes sociales como vehículo de información política
Hemos podido observar en el último año que distintos actores políticos y candidatos presidenciales utilizan redes sociales para hacer llegar sus mensajes. De entre estos, podemos destacar las transmisiones en vivo (o lives) que puedan utilizar para interactuar con la ciudadanía y/o hacer llegar sus propuestas. Este supuesto es especialmente interesante porque encajaría dentro de la definición de proselitismo político realizada por el Jurado Nacional de Elecciones (Resolución Nº 0306-2020-JNE):
Proselitismo político
Cualquier actividad destinada a captar seguidores para una causa política.
Cabe tomar en cuenta que el sentido original de dicha norma estaba más centrada en el ámbito del proselitismo político “tradicional”: mítines, caminatas, caravanas, encuentros, cenas, etcétera. Ahora bien, cabe realizarse la pregunta si actividades hechas en Internet por los candidatos, tales como streams o lives también calzan en dicha definición. Somos de la opinión de que sí: en la medida que las acciones realizadas en espacios digitales son también plasmación de las realizadas en espacios físicos, lo realizado a través de Internet también cabe dentro del ámbito de aplicación en la medida que cumpla con la finalidad y los supuestos establecidos en la norma.
El Tribunal de Transparencia y Acceso a la Información Pública concluyó hace unas semanas que la información relativa a la ubicación de cámaras de videovigilancia y de dispositivos electrónicos de identificación de placas vehiculares (así como sus detalles técnicos) es información pública, al ser relativa a la gestión municipal y que las cámaras son plenamente visibles al estar en espacios públicos.
El contenido de dichas solicitudes era, básicamente:
Ubicación de las cámaras de videovigilancia de titularidad de la municipalidad ubicadas en espacios públicos.
Ubicación de los dispositivos electrónicos de identificación de placas de vehículos automotores de titularidad de la municipalidad en espacios públicos.
Sus características técnicas.
Informes, memorándums, contratos o cualquier otro documento referido a la instalación de estos.
