El 29 de marzo, en el marco del proyecto Después de la Ley, participé de la mesa “Re-conocer para defender: enfoque de género en la formación jurídica y la atención en casos de VGL” junto con Angie Muñoz, miembro del Bloque Universitario Feminista; Beatriz Ramírez, abogada y profesora universitaria; Dilmar Villena, director legal de Hiperderecho; y Patricia Bravo, abogada del equipo de Después de la Ley. A partir de nuestras experiencias en las aulas de distintas facultades de Derecho, nos reunimos a conversar sobre la violencia de género en línea (VGL) y las herramientas que nuestra formación nos había dado para abordarla y combatirla.
Por supuesto, tener un diálogo honesto sobre el rol del Derecho en un país con tantas desigualdades requiere analizar cómo está compuesto realmente. El primer paso para ello es reconocer que el Derecho no es neutral;de hecho, muchas veces, su pretensión de neutralidad esconde parámetros hechos a la medida de unos grupos en desmedro de otros. Cuando nos preguntamos si el Derecho está en posición de solucionar las brechas de género existentes, nos falta la otra cara de la moneda: el Derecho también es parte de su origen, tanto por su dimensión estrictamente normativa, como por la institucional y cultural.
Hemos hablado de cómo las tecnologías de los últimos 10 años han contribuido con el entorno de identidad digital en el Perú, pero es imposible ignorar la evolución de la tecnología en el campo de los teléfonos inteligentes (smartphones). Actualmente los smartphones tienen tanta capacidad de procesamiento como una computadora personal. Esto ha permitido que tecnologías como reconocimiento facial o de huellas dactilares sean posibles y se muestran como alternativas al DNIe en entornos digitales para la autenticación. Esto es posible también porque RENIEC guarda en su base de datos fotografías de nuestro rostro y nuestras huellas dactilares que pueden pasar por un proceso para clasificar nuestras características biométricas.
Entonces sería posible desarrollar una aplicación móvil capaz de reconocer algún patrón como nuestro rostro o nuestra huella dactilar, identificar sus parámetros biométricos, compararla con la existente en la base de datos del RENIEC y darnos acceso a diferentes servicios que tengan disponible. Como resultado, RENIEC ha desarrollado diversas herramientas móviles (apps) que permiten acceder a servicios muy parecidos a los que ofrece el Portal del Ciudadano.
El pasado 3 de abril se publicó en Business Insider que un usuario de un foro de hacking compartió información personal de más de 500 millones de usuarios de Facebook, incluyendo números de teléfono, correos electrónicos, última localización, estado sentimental y algunos datos más. Es importante prestar atención a este tipo de situaciones porque esta información puede ser utilizada para fines políticos, comerciales o suplantación de identidad, por ejemplo.
Una manera de comprobar si nuestro número de teléfono ha sido parte de ese filtrado de datos es haciendo uso de HaveIBeenPwned ingresando nuestro número de teléfono en formato internacional. Esto quiere decir que si nuestro número en Perú es 987654321, debemos agregarle el +51 por delante y hacer la consulta como se muestra en la imagen. Puedes consultar el código de tu país en esta web.
De acuerdo al informe que publicamos hace unos meses, se define Identidad Digital como el conjunto de mecanismos utilizados para verificar la identidad de una persona en un entorno digital. Para los ciudadanos, estos entornos serían principalmente páginas web o aplicaciones móviles. Entonces nos podríamos plantear las siguientes preguntas: ¿Qué me hace único como persona? y ¿quién decide o de quién depende afirmar que realmente soy yo la persona que está utilizando una web o aplicación? Antes de entrar en el contexto peruano y su infraestructura de Identidad Digital, respondemos a la primera pregunta.
Existen características físicas y biológicas que nos diferencian de otras personas. Por ejemplo, podríamos pensar en nuestra estatura, color de ojos o algunas manchas en nuestra piel. Sin embargo, el problema con estas características es que a pesar de parecer únicas en nuestro entorno, otras personas también las pueden tener. Por otro lado, existen características que realmente nos hacen únicos y que se utilizan en todo el mundo para identificar a personas de manera individual. Algunos ejemplos son nuestras huellas dactilares, nuestro rostro o nuestra voz. Este conjunto de características están clasificadas como datos biométricos, que a pesar de no ser los únicos son los más utilizados por los sistemas computacionales a nivel global.
En el Perú, el Registro Nacional de Identificación y Estado Civil (RENIEC) es la institución encargada de organizar y mantener el registro único de identificación de las personas, y por lo tanto, se encarga también de emitir el Documento Nacional de Identidad (DNI) que acredita la identidad de las personas. La importancia de RENIEC en el contexto de identidad digital se debe a que también tiene la facultad de emitir certificados digitales para personas naturales o jurídicas que lo soliciten. Estos certificados digitales vendrían a ser un análogo del DNI o del pasaporte en un entorno digital; dándonos la seguridad de que el intercambio de información es entre personas o entidades que realmente son quien dicen ser y que la comunicación entre ellos estará segura y protegida. Este sistema de certificados digitales es válido y confiable porque es parte de una infraestructura más grande y compleja que involucra hardware, software, políticas y procedimientos de seguridad que tienen como base la criptografía asimétrica. Esta infraestructura se llama Infraestructura de Clave Pública PKI por sus siglas en inglés (Public Key Infraestructure).
Con la tecnología de los últimos diez años y teniendo como referencia la implementación de identidad digital en otros países, en el Perú se desarrollaron diferentes plataformas o soluciones orientadas al ciudadano para acelerar procesos o trámites que en persona tomarían días o debían seguir un proceso burocrático muy lento y agotador. Esto aprovechando nuestros datos biométricos o certificados digitales en caso contemos con ellos. A continuación, describimos algunos proyectos desarrollados por el estado que serían parte del primer lote de soluciones de identidad digital orientado a los ciudadanos.
DNI electrónico
El DNI electrónico o DNIe también es emitido por RENIEC y su principal diferencia con el DNI convencional es que es una tarjeta inteligente que contiene un chip que almacena nuestros certificados digitales – emitidos también por RENIEC- que nos permite identificarnos en diferentes plataformas y firmar documentos de manera digital. El DNIe no se adquiere por defecto sino que es únicamente expedido a solicitud de las personas interesadas.
Los certificados vencen cada dos años y pueden ser renovados sin necesidad de renovar el DNIe completamente. Al tener un dispositivo físico que almacena de manera segura nuestros certificados digitales, tendríamos la posibilidad de identificarnos, en un entorno digital, ante cualquier entidad que haya implementado lo necesario para validar esta conexión, como es el caso del Portal del Ciudadano, que analizaremos más adelante. Idealmente serán entidades del gobierno que están interconectadas con RENIEC.
Haber apostado por una tecnología de tarjetas inteligentes como medio de identificación en medios digitales, implica que las personas debemos cumplir con un conjunto de condiciones para hacer uso de ella.
Un lector de tarjeta inteligente.
Una computadora con sistema operativo Microsoft Windows 7, 8 o 10 (32 bits o 64 bits).
Java JRE 8 (32 bits o 64 bits)
Portal del Ciudadano
El Portal del Ciudadano podría ser la plataforma con mayor publicidad de parte de RENIEC como muestra de los avances en identidad digital en los últimos años. Esta plataforma cubre muchas necesidades de las personas como trámites o acceso a información importante.
Inscribir el nacimiento de tu hijo o solicitar duplicado de su DNI.
Acceso a información pública.
Trámite de inscripción de nacimiento de hijo.
Solicitar la devolución de tasas pagadas y no utilizadas.
A diferencia de la mayoría de secciones que son opciones para hacer trámites y gestionarlos desde la plataforma, la opción de saber quién consultó nuestros datos RENIEC es una alternativa con mucho poder desde el punto de vista de transparencia y privacidad de nuestra información. La sección que muestra las personas que han consultado la ficha RENIEC del usuario también nos dice a qué institución pertenecen, la fecha de la consulta y el medio por el cual accedieron a esos datos. Un grupo de 5 personas colaboraron de manera voluntaria con nosotros dándonos acceso a esta lista y como resultado se presenta el siguiente gráfico a partir del tipo de consulta que se realizó sobre sus datos personales entre el año 2017 y febrero del 2020 previo al confinamiento por pandemia.
Esto muestra un gran porcentaje de consultas provenientes del servicio de datos por línea dedicada. Este es un servicio de RENIEC donde cualquier persona jurídica puede acceder a nuestros datos haciendo un pago correspondiente. Otro gran porcentaje de consultas se deben a consultas de verificación biométrica que pueden ser tomadas en aeropuertos, al firmar un acuerdo notarial o cuando solicitamos una nueva licencia de conducir.
Una observación importante a tener en cuenta para el uso del Portal del Ciudadano es que los requisitos para tener acceso a esta información son muy específicos al punto que llegaría a ser restrictivo como el uso del sistema operativo Windows, o una versión puntual de los drivers a instalar. Para una persona con capacidad promedio de uso de tecnologías, le sería complicado y confuso el proceso para configurar, instalar y acceder a esta información.
ID Perú – Plataforma de autenticación de la Identidad Digital Nacional
Esta plataforma pretende ser un espacio único donde los ciudadanos con DNIe accedan a servicios desarrollados por el estado o por desarrolladores autorizados en cuyo proceso deban utilizar el DNIe. La propuesta de esta plataforma es permitir desarrollar soluciones que involucren DNIe de una manera más simple en las distintas entidades del estado, poniendo a disposición demos y código fuente ejemplo para distintos lenguajes de programación.
Las campañas electorales, hoy en día, se han trasladado en cierta medida a espacios como Internet y redes sociales. Usando estos medios se pretende captar la atención de la ciudadanía y obtener resultados electorales favorables. ¿Qué nuevas formas de proselitismo políticos podemos observar?
Las redes sociales como vehículo de información política
Hemos podido observar en el último año que distintos actores políticos y candidatos presidenciales utilizan redes sociales para hacer llegar sus mensajes. De entre estos, podemos destacar las transmisiones en vivo (o lives) que puedan utilizar para interactuar con la ciudadanía y/o hacer llegar sus propuestas. Este supuesto es especialmente interesante porque encajaría dentro de la definición de proselitismo político realizada por el Jurado Nacional de Elecciones (Resolución Nº 0306-2020-JNE):
Proselitismo político
Cualquier actividad destinada a captar seguidores para una causa política.
Cabe tomar en cuenta que el sentido original de dicha norma estaba más centrada en el ámbito del proselitismo político “tradicional”: mítines, caminatas, caravanas, encuentros, cenas, etcétera. Ahora bien, cabe realizarse la pregunta si actividades hechas en Internet por los candidatos, tales como streams o lives también calzan en dicha definición. Somos de la opinión de que sí: en la medida que las acciones realizadas en espacios digitales son también plasmación de las realizadas en espacios físicos, lo realizado a través de Internet también cabe dentro del ámbito de aplicación en la medida que cumpla con la finalidad y los supuestos establecidos en la norma.
El Tribunal de Transparencia y Acceso a la Información Pública concluyó hace unas semanas que la información relativa a la ubicación de cámaras de videovigilancia y de dispositivos electrónicos de identificación de placas vehiculares (así como sus detalles técnicos) es información pública, al ser relativa a la gestión municipal y que las cámaras son plenamente visibles al estar en espacios públicos.
El contenido de dichas solicitudes era, básicamente:
Ubicación de las cámaras de videovigilancia de titularidad de la municipalidad ubicadas en espacios públicos.
Ubicación de los dispositivos electrónicos de identificación de placas de vehículos automotores de titularidad de la municipalidad en espacios públicos.
Sus características técnicas.
Informes, memorándums, contratos o cualquier otro documento referido a la instalación de estos.
Ha pasado un año desde que la Organización Mundial de la Salud declaró la enfermedad causada por el nuevo coronavirus como una pandemia. Desde entonces, son muchos los cambios y medidas que hemos visto pasar, incluyendo disposiciones sobre quiénes pueden entrar y salir del país, y cómo pueden hacerlo.
Una de las primeras medidas que se tomó fue establecer la obligatoriedad, para todo viajero que ingrese al país, de declarar su estado de salud (Decreto Supremo 008-2020-SA, art. 2.1.1.b). Con el objetivo de “detectar riesgos y amenazas” que produjeran brotes epidémicos, el 7 de marzo de 2020 se aprobó la “Declaración Jurada de Salud del Viajero para prevenir el coronavirus (COVID-19)”, a través de la Resolución Viceministerial 086-2020/MINSA. Además de los datos personales de rutina y algunos otros sobre fecha y detalles del viaje, la Declaración Jurada recogía información sobre (i) contacto con alguna persona enferma de coronavirus, y (ii) sintomatología existente, de ser el caso.
Sin embargo, con el pasar de los días, la preocupación por una inminente propagación del virus aumentaba. Con más de setenta casos confirmados, el 15 de marzo se declaró Estado de Emergencia Nacional, lo que incluyó el cierre total de fronteras y la consiguiente suspensión del transporte internacional por medio terrestre, aéreo, marítimo y fluvial (art. 8.1. del Decreto Supremo 044-2020-PCM).
Durante meses, las únicas posibilidades de ingreso o salida del país fueron los vuelos humanitarios y/o de repatriación. En ese entonces, los viajeros estaban obligados a declarar su compromiso de realizar aislamiento social obligatorio. Sin embargo, con el aumento de vuelos humanitarios y la posterior reapertura de vuelos internacionales, conforme a la fase 4 de la reactivación económica, los requisitos de ingreso al país comenzaron a variar.
El año 2020 fue un año difícil en todos los sentidos. A pesar de ello, logramos llevar a cabo el proyecto Historial.pe, el primer repositorio peruano sobre jurisprudencia nacional en torno a Internet y las nuevas tecnologías, cuyo lanzamiento oficial se dio a inicios de octubre del año pasado.
Ahora bien, además de presentar el repositorio quisimos incentivar a la comunidad jurídica, especialmente a los estudiantes de Derecho del país, a conocer esta herramienta y para ello lanzamos un concurso de artículos jurídicos. A la fecha de cierre del mismo, que se realizó el domingo 3 de enero de 2021 (luego de una prórroga con motivo del COVID-19), se habían recibido más de una decena de trabajos, algunos escritos en coautoría, de diferentes universidades públicas y privadas de Lima, Cajamarca y Puno.
El Grupo Parlamentario Acción Popular, a iniciativa del congresista Luis Carlos Simeón Hurtado, presentó un proyecto de ley (Proyecto de Ley N° 7222/2020-CR para regular “el uso debido de medios tecnológicos en telecomunicaciones como las redes sociales y aplicaciones” y proteger a los usuarios de “la extralimitación o uso inadecuado de las redes sociales virtuales”. Como muchas otras iniciativas legislativas que pretenden establecer mecanismos de control de las conductas en Internet, esta también tiene varios problemas de constitucionalidad. Les contamos porqué creemos que debería de ser archivada.
“Principios” generales de pésimo entendimiento
El proyecto recoge, en su artículo 3, una serie de principios generales que regirán el uso debido de las redes sociales y aplicaciones. Uno de ellos es el principio “Del Respeto”, según el cual en redes sociales nos encontramos en un terreno propio de la ciudadanía “y aquí, cada usuario tiene su opinión, que no siempre tenemos que compartir, pero sí respetar” (sic). Esta definición, no es propia de un texto legal que busca establecer un régimen general de regulación de un ámbito específico. Tampoco lo es el principio de “inmediatez de la información”.
Además, se reconoce el “principio de transparencia”, según el cual:
Es la norma básica de los medios sociales, es la capacidad que tiene un ser humano para que los otros entiendan claramente sus motivaciones, intenciones y objetivos, se enfoca en llevar a cabo prácticas y métodos a la disposición pública, sin tener nada que ocultar. (sic)
La redacción del principio no permite tener claro qué es lo que busca la norma. No obstante, parece ser que, al momento de usar las redes sociales, las personas deben hacer públicas y dejar claramente cuáles son sus motivaciones cuando utilizan una red social. Es decir, al crear una cuenta en alguna red social, tenemos que evidenciar, en algún lado y de algún modo, qué hacemos en dicha red social, qué buscamos y para qué.
Prohibiciones y obligaciones inconstitucionales y/o redundantes
En el artículo 4 y 5 de dicho proyecto de Ley se establecen una serie de prohibiciones y obligaciones que, o bien son inconstitucionales, o bien terminan siendo redundantes porque ya existe normativa específica que lo regula. Así, podemos apreciar que está prohibido “(p)edir o publicar datos de un menor de 14 años, sin consentimiento expreso de sus padres”, situación ya regulada en el Código de los Niños y Adolescentes.
De la misma manera, se prohíbe “(p)ublicar cualquier tipo de dato, información, archivo, fotos, videos de otras personas de cualquier edad, sin el consentimiento expreso o escrito de las mismas”, situación ya regulada por la Ley de Protección de Datos Personales y su Reglamento. Además, llama especialmente la atención que no se prevea ningún supuesto de excepción, especialmente los referidos al ejercicio de la libertad de información y expresión, según los cuales por cuestiones de interés público sí se podría publicar datos de terceros sin su consentimiento.
Respecto del ámbito de los derechos de autor, también se prohíbe “(d)escargar libre y gratuitamente contenidos que tengan derechos de autor”. Nuevamente, las infracciones a los derechos de autor ya están reguladas en el ámbito administrativo y penal, por lo que estamos ante supuesto de sobreregulación. Además, es especialmente llamativo que esté prohibido el descargar libre y gratuitamente contenidos que “tengan” derechos de autor. ¿Qué pasa si es un contenido que está protegido por derechos de autor pero que su descarga gratuita está habilitada (derechos patrimoniales no exclusivos, por ejemplo)? Bajo esta prohibición, si descargamos un videojuego free to play (como Dota 2), pero protegido por derechos de autor, estaríamos incurriendo en infracción a la ley.
También se incluye una prohibición que, aunque mal redactada, podemos asociar a una amenaza a la anonimato en redes sociales. Así, se prohíbe crear cuentas que “no representen a una personal real”. La capacidad de expresarnos libremente, ya sea bajo seudónimos, anónimamente o bajo nuestro propio nombre es una elección propia que realizamos, sabiendo que las leyes penales y administrativas correspondientes pueden ser aplicables en caso no se haga uso lícito de ello. También estarían prohibidas las cuentas parodias, cuentas de contenidos específicos, cuentas “out of context”, fan accounts, etc.
Otra prohibición esencialmente polémica es la referida a que se prohíbe a las personas “(s)obreexponer su intimidad o revelar información personal y sensible dentro del perfil como información económica, financiera, dirección de residencia, teléfono o información sentimental”. ¿Qué se entiende por “sobreexponer la intimidad”? ¿Acaso publicar una foto propia en ropa interior o realizando un desnudo propio estaría prohibido? ¿Tampoco podría publicar dónde es mi dirección o número telefónico? ¿Puedo publicar mi Código QR para que me realicen una transferencia bancaria? Recordemos que estamos ante derechos (intimidad) y datos personales que son plena disposición nuestra, por lo que el Estado no debería tener ningún nivel de injerencia en cómo una persona, libre y sin coacciones, decide qué información personal publicar o no.
Además, la ley prohíbe acceder a contenidos “inadecuados o ilegales”. Si es ilegal el contenido, es obvio y redundante prohibir su acceso. De otro lado, ¿qué es un contenido inadecuado? ¿quién lo determina? ¿Contenidos que critiquen al Gobierno de turno serían inadecuados? Estas prohibiciones vagas y genéricas ponen en grave peligro a la libertad de expresión e información.
De otro lado, podemos apreciar que se prohíbe “(d)ifundir noticias falsas para atacar a un oponente político o comercial”. Si bien la problemática de las fakenews es una que se debe discutir y establecer los mecanismos más idóneos para evitar sus efectos perniciosos, el realizarlo de manera tan ambigua y poco precisa es lo que menos se necesita. Más áun, teniendo en cuenta que ello se podría utilizar para controlar legítimas críticas a determinados actores políticas.
Finalmente, se establece una serie de prohibiciones que ya podemos encontrar recogidas en la Ley de Delitos Informáticos, el Código Penal (delito de discriminación, delito de acoso, etcétera), la Ley del derecho de rectificación o protegidas por el derecho al secreto e inviolabilidad de las comunicaciones.
Responsabilidad de intermediarios y afectación a la libertad de expresión
El establecer mecanismos de retiro de contenidos que no respeten garantías mínimas de debido proceso es contrario a ello ya que “los Estados deben promover la adopción de regímenes que permitan a los intermediarios funcionar como verdaderos promotores de la libertad de expresión”. De otro lado, cabe preguntarnos cuán dispuestas están estas grandes plataformas de suscribir acuerdos o códigos de conductas con el Estado peruano, teniendo en cuenta que sus Términos y Condiciones de Uso son, más bien, de alcance de global: ¿es realmente viable esta propuesta.
Sanciones desproporcionadas e irrealizables
El artículo 14 del Proyecto establece que Osiptel sancionará a quienes realicen conductas ilícitas o prohibidas en el marco del uso de las redes sociales. Así, prevé que podrá multar con hasta 100 UIT (S/. 440 000 en el año 2021) a usuarios o administradores que incumplan lo dispuesto en la ley. Esto significa que, el publicar tu propia intimidad o publicar información relativa a tu situación sentimental en redes sociales podría recibir dicho monto de sanción. También podrían ser sancionados con dicho monto quienes no utilicen una red social con su propio nombre.
Además, también prevé que OSIPTEL cancelará o suspenderá la correspondiente página electrónica o perfil en red social que incumpla lo dispuesto en la Ley. Esta sanción es ampliamente irrealizable puesto que el suspender o cancelar una cuenta en alguna red social no depende ni del organismo regulador en telecomunicaciones ni de la empresa proveedora de acceso a Internet (como Movistar o Claro). Ello está en el ámbito de la propia plataforma. No es posible que Osiptel suspenda una cuenta de Twitter o Facebook.
Respecto de la canción o suspensión de páginas electrónicas, suponiendo que ello se realice a través del bloqueo de IPs, también tendría graves problemas de constitucionalidad. Los estándares más amplios de protección de la libertad de expresión exigen que restricciones a la libertad de expresión (como el bloqueo de paginas web, etc), deben ser realizados bajo las máximas garantías como la de un orden judicial. Una decisión administrativa no sería suficiente para cumplir dichos estándares.
“No es plagio, es copia”
Es también importante señalar que la propuesta legislativa no es invención original de nuestros legisladores. En efecto, estaríamos ante un plagio realizado a un Proyecto de Ley similar en Colombia. Además de la grave falta ética que implica realizar plagio, traer una norma de otro país y proponerla tal cual implica desconocer una serie de leyes y sistemas ya vigentes en el país. Así, por ejemplo, la Comisión de Ciberseguridad que propone el Proyecto de Ley no está concordado con el Marco de Confianza Digital promovido por el Ejecutivo desde el año pasado.
¿Cuándo será que nuestros legisladores puedan imitar lo realmente bueno en otros países y no realizar simples copias de propuestas que levantan preocupación internacional? Desde Hiperderecho, estaremos haciéndole seguimiento a este proyecto.
