Gracias a una investigación de Ernesto Cabral para Ojo Público, este mes conocimos más sobre el negocio de venta de datos de sus usuarios que Telefónica viene desarrollando en Perú y otros países de la región. Siguiendo la pista de las grandes compras públicas, Ojo Público encontró varios contratos suscritos por Telefónica con PromPerú y la Autoridad Autónoma del Sistema Eléctrico de Transporte Masivo de Lima y Callao por más de US$ 1 millón de dólares americanos y no precisamente por servicios de telefonía o Internet.
El servicio que Telefónica brinda, a través de su unidad de inteligencia datos llamada LUCA, es la información sobre circulación de personas en Perú en base a cómo se desplazan sus usuarios de telefonía móvil. Así, por ejemplo, Telefónica puede decirle a PromPerú cuántas personas de Independencia visitan Huancayo o Huaraz al mes o señalar a la empresa de publicidad exterior Clear Channel la cantidad de mujeres de nivel socioeconómico B o C que transitan por determinada esquina.
Les queremos contar sobre dos reconocimientos por nuestro trabajo sobre violencia de género en línea (VGL) que hemos recibido la semana pasada. El martes 15 de octubre recibimos un reconocimiento por parte del Ministerio de la Mujer y Poblaciones Vulnerables (MIMP) por nuestro proyecto sobre VGL: Tecnoresistencias.
En marzo el MIMP, a través del Programa Nacional Contra la Violencia Familiar y Sexual (PNCVSF), presentó el Concurso Nacional de Buenas Prácticas para enfrentar la Violencia contra las Mujeres y los integrantes del Grupo Familiar (2019) “Uniendo saberes para una vida libre de violencia”. Este concurso estaba dirigido a instituciones públicas y privadas que desarrollan acciones de atención integral, prevención, promoción de derechos e incidencia, investigación, generación de la información y gestión del conocimiento en el tema.
Como ya les habíamos contado, seguimos trabajando para construir una Internet segura para todas y todos en el Perú. Por eso, desde Tecnoresistencias, nuestro centro de #AutodefensaDigital, estamos organizando una jornada de talleres para combatir las violencias machistas en el espacio digital.
Sabemos que Internet es un espacio donde se reproducen y perpetúan violencias del espacio offline; sin embargo, creemos que también es una herramienta liberadora que puede permitirnos explorar el goce y la diversión. Por eso, nuestro primer taller Mis nudes, mis datos, mi cuerpo estuvo centrado en conversar sobre cómo ejercemos nuestra sexualidad a través de las tecnologías.
El Programa Nacional contra la Violencia Familiar y Sexual (PNCVFS) del Ministerio de la Mujer es el creador y difusor de la plataforma “Nos protegemos del acoso virtual”, espacio de orientación e información sobre el acoso virtual en Perú. Hace unos meses, este Programa presentó nueva cifras sobre acoso virtual pertenecientes al periodo de febrero a diciembre del 2018.
En este post vamos a analizar la información presentada, teniendo en cuenta la metodología, el reporte de resultados, la categorización de violencias y los huecos de información que, desde nuestro reflexión, hemos encontrado.
Resultados más relevantes
Esta plataforma se encuentra disponible a nivel nacional desde hace un par de años. El objetivo es que las personas puedan registrar sus casos, a través de un formulario sencillo, para construir data estadística que sustente de desarrollo de políticas de Estado.
Entre el periodo de febrero a diciembre del 2018, el PNCVFS registró reportes sobre 910 casos de acoso virtual.
Las personas que reportaron se encontraban entre los 18-29 años de edad, la mayoría de personas que registraron sus casos fueron mujeres (89%), la orientación sexual de quienes reportaron en su mayoría fue heterosexual (66%), seguido de bisexual (2%), lesbiana (1%) y gay (1%).
Del total de casos reportados (910), las principales plataformas tecnológicas a través de las cuales se llevó a cabo el acoso fueron: Facebook (76%), WhatsApp (40%) y a través de mensajería de texto (27%).
Se reportaron, principalmente, casos de hostigamiento (708), ciberamenaza (452) e insultos electrónicos (538).
Las personas agresoras fueron en su mayoría hombres (63%).
Las víctimas identificaron a las personas agresoras como desconocidos (57%) y pareja (19%), principalmente.
Estamos acostumbrados a escuchar que los datos son el nuevo petróleo de la economía global. Con frecuencia, nos enteramos que empresas nacionales y extranjeras usan técnicas de procesamiento masivo de datos (conocido como big data) en sus procesos de inteligencia artificial o para crear modelos predictivos que se anticipen a las necesidades de sus mercados. Esta “revolución” comercial se nos presenta al mismo tiempo como irreversible e impostergable en diversos sectores, desde supermercados hasta bancos o empresas de recursos humanos. No obstante, se habla menos sobre de dónde vienen estos datos o qué principios legales y éticos controlan su uso.
La inmensa cantidad y variedad de datos que hoy explotan empresas y gobiernos, en muchos casos, han sido extraídos de nosotros mismos. Pensemos solo en los datos vinculados o que podrían vincularse a nuestra identidad que generamos en nuestra vida diaria: al comprar en muchos establecimientos comerciales, al pedir una boleta electrónica en un restaurante, al usar un medio de transporte masivo con tarjetas inteligentes como el Tren Eléctrico o simplemente por llevar un teléfono celular en el bolsillo. Diariamente, dejamos un rastro de datos constante que, vistos individualmente, pueden parecer triviales pero agregados pueden revelar nuestros hábitos, preferencias, relaciones sociales, nivel socioeconómico y hasta nuestro estado sentimental. Se puede aprender a hablar en claves, se puede usar un disfraz o ser puede ser discreto, pero la data que dejamos diariamente no miente sobre quiénes somos ni lo que hacemos.
Las tecnologías digitales han tomado un papel muy importante en las comunicaciones y en el desarrollo individual y colectivo de las poblaciones; se han introducido progresivamente en nuestro tejido social, cultural, económico y político. Junto con este desarrollo las violencias digitales han crecido exponencialmente al igual que el alcance de las TICs. Por esto, es de suma importancia nombrarlas y visibilizarlas.
Las poblaciones latinoamericanas hemos sufrido diversos tipos de afectaciones a nuestros derechos fundamentales en el espacio digital. Sin embargo, las mujeres y las personas LGBTIQ+ afrontamos situaciones de riesgo adicionales porque el espacio digital está construido y constituido bajo lógicas machistas, androcéntricas y patriarcales que perpetúan sistemas de discriminación y violencia estructural que nos colocan en una posición más vulnerable en línea.
La violencia a través de las tecnologías de la información, violencia en línea, ciberviolencia o violencia digital son formas de agresiones sistemáticas contra los usuarios/as que se pueden presentar a través de espionaje estatal o privado, monitoreo, filtración de datos, brechas digitales, acoso y extorsión por parte de actores público y privados.
En Hiperderecho creemos que la tecnología es una herramienta para la liberación social de las personas. También que internet debe construirse de manera colectiva bajo un enfoque crítico, antiracista, diverso y feminista. Es por eso que desde el 2018 decidimos contribuir a visibilizar una problemática que aqueja a mujeres y personas LGBTIQ+ en el espacio digital. La violencia de género en línea es un problema mundial y Perú no está exento de reproducir estas formas de violencia sistemática.
El año pasado realizamos la primera investigación sobre violencia de género en línea del país y como resultado de estos hallazgos creamos Tecnoresistencias, nuestro centro de #AutodefensaDigital desde donde brindamos información en torno a las formas de violencia digitales más comunes en el Perú. También buscamos proporcionar asesoría legal y generamos espacios de diálogo y capacitación para habitar Internet de una manera más segura.
A través de nuestro nuevos talleres de enseñanza-aprendizaje colectivo queremos contribuir a construir una Internet basada en los principios feministas. Por eso, las invitamos a participar en nuestras Jornadas de talleres de Feminismo y tecnologías que realizaremos durante los meses de octubre y noviembre.
¿Qué reclamamos exactamente? La LPDP es la norma que establece el régimen aplicable al tratamiento de los datos personales en el país. Entre otras cosas, allí se señala qué principios y condiciones debe respetar quien solicite, almacene o utilice los datos de terceros. En nuestra denuncia señalamos que la filtración de la ONPE infringió hasta tres principios de la LPDP, además de la Directiva de Seguridad dictada por la APDP. Los principios cuyo desconocimiento denunciamos fueron los de consentimiento, proporcionalidad y seguridad. En el caso del consentimiento, sostuvimos que aunque la ONPE tiene como fin llevar un registro del padrón electoral, utilizar esta base de datos para su plataforma de inscripción a la Hackatón era un uso diferente al que está autorizado por ley. Por lo tanto, no tenía el consentimiento expreso de los ciudadanos para dicho uso. Ya en el pasado la APDP ha multado a entidades públicas y privadas por este motivo.
Respecto de la proporcionalidad, sostuvimos que, aun asumiendo que la ONPE podía usar los datos personales del padrón electoral para la plataforma de la Hackatón, este uso era desproporcionado. ¿Por qué? La plataforma de la Hackatón tenía un formulario de inscripción que, cuando se colocaba el número de DNI, automáticamente completaba otros datos como nombres y apellidos, sexo y fecha de nacimiento. Ahora bien, dado que los números de DNI en Perú son correlativos, bastaba con cambiar un dígito para poder acceder a los datos de otras personas. Con un simple programa, esta operación se podía automatizar y descargar el padrón entero en algunas horas. Frente a este potencial peligro, la ganancia propuesta por la ONPE resultaba pírrica: validar la identidad de quien se inscribía y ahorrar tiempo llenando el formulario.
Sobre el principio de seguridad, sostuvimos que no se habían implementado suficientes medidas de seguridad para proteger los datos personales. Aún asumiendo que la ONPE tenía permiso para usar los datos para su plataforma y que valía la pena emplearlos para autocompletar formularios, es imposible dejar de señalar que no existía ninguna medida de protección en la plataforma que impidiera que alguien usara ese sistema para bajarse la base de datos completa. No hace falta decir que un agente malicioso en poder de esa información (un acto de por sí ilegal) podía utilizarla para diferentes fines, desde enviar SPAM hasta ejecutar fraudes.
Finalmente, sostuvimos que la ONPE infringió también la Directiva de Seguridad dictada por la APDP pues esta disposición señala expresamente las medidas mínimas de seguridad que deben tomar entidades públicas y privadas que almacenen o traten datos personales. En este caso en específico, cuando se trata de datos tratados por entidades públicas en cumplimiento de una ley, el nivel de seguridad asignado es el crítico, que es el grado más alto. En dicha situación, se exige que se adopten medidas como la autenticación de identidad, los niveles de permisos, las contraseñas seguras, etc. Nada de esto se hallaba presente en la plataforma de la Hackatón cuando descubrimos el filtrado.
La decisión de la Autoridad
Cuando se realiza un procedimiento de fiscalización a partir de una denuncia, la APDP procede a evaluar a la organización denunciada con el fin de conocer los hechos, tras lo cual realiza un evaluación técnica y legal que determina si es necesario iniciar un procedimiento administrativo. En el caso de la filtración de la ONPE, ante la claridad de lo ocurrido, dicho procedimiento se inició por las infracciones antes descritas, tras lo cual la APDP emitió su pronunciamiento.
Dado que nuestra denuncia señalaba diferentes infracciones a la LPDP que la ONPE habría cometido, la APDP se ha pronunciado sobre cada una, estableciendo si efectivamente se cometió la infracción o no. En resumen, la APDP ha dicho en su Resolución Final que la ONPE es responsable por infringir el principio de seguridad establecido en la LPDP y también algunas disposiciones de la Directiva de Seguridad. Por ello, además de ordenar diferentes medidas correctivas, ha impuesto una multa simbólica para dicha entidad pues afirma que la falta cometida no es grave. Respecto de los principios de consentimiento y proporcionalidad, ha determinado que estos no han sido infringidos y por lo tanto ha desestimado esa parte de la denuncia.
El razonamiento de la APDP para descartar que se haya infringido el principio de consentimiento fue que la ONPE sí tenía derecho a emplear la base de datos del padrón electoral, pues eventos como la Hackatón forman parte de las funciones que esta entidad tiene autorizados por ley. En el caso del principio de proporcionalidad ha dicho algo similar, que debido a que esta entidad solo estaba cumpliendo con sus funciones, no se ha extralimitado al emplear sus bases de datos, aunque lo hubiera hecho de forma insegura.
No sabemos aún si la ONPE apelará esta decisión. Independiente de ello, esperamos que este suceso sea un primer paso para lograr un mayor claridad respecto de las obligaciones de las entidades públicas sobre la protección de nuestros datos. Es una pequeña pero importante victoria para todos los ciudadanos.
En los últimos años, nuestra leyes sobre ciberseguridad han avanzado lentamente. Desde la última ley de delitos informáticos aprobada el 2013, el tema nunca había vuelto a encontrar un espacio propio en la agenda regulatoria. Hasta hace unos meses, cuando el Congreso presentó dos proyectos de ley sobre ciberseguridad y ciberdefensa que crean un nuevo punto crítico en el desarrollo de políticas públicas sobre el tema.
Pese a la expectativa, este primer momentum no duró mucho. A diferencia de otros espacios como la CODESI (Comisión para el Desarrollo de la Sociedad de la Información), que naufragaron por falta de voluntad política, el problema con la SEGDI es de tipo orgánico. La SEGDI es solo una de las cinco secretarías de la Presidencia del Consejo de Ministros, su presupuesto y personal son limitados, y no tiene autonomía o jerarquía suficientes para hacer todo lo que debe hacerse en materia de seguridad digital. No es que no lo intente, pero todo avanza más lento de lo que debería. Este es un escenario perfecto para que otros actores decidan tomar la iniciativa y así fue.
¡Nuestra familia crece! Por eso, en Hiperderecho estamos buscando a alguien que esté listo para dar el siguiente paso en su desarrollo profesional y quiera liderar nuestro trabajo tecnológico. La persona que resulte elegida para el puesto podrá trabajar a tiempo completo al desarrollo de tecnología ciudadana para el ejercicio de derechos y la investigación de cómo la tecnología que usamos los peruanos pone en riesgo nuestros derechos. Este puesto también coordinará el trabajo con nuestra área legal y de investigación para el desarrollo de intervenciones conjuntas para cerrar la brecha de acceso a la justicia en Perú.
Si crees que encajas en perfil o conoces a alguien que lo haga, avísanos para ponernos en contacto. La convocatoria estará abierta hasta este viernes 20 de septiembre. Idealmente, la persona elegida debe de estar disponible para trabajar desde octubre.
