La abogada Jessica Matus, directora ejecutiva y fundadora de la ONG Datos Protegidos, cuenta que cuando empezó a trabajar temas de privacidad de datos en internet, en la segunda mitad de la década pasada, se preguntó qué pasaba con los datos almacenados por Club Metro, el programa de fidelización del tren subterráneo de Santiago, o con los de los usuarios de la Feria del Disco, cuando la disquera cambió de dueños. "Todos me miraban como si hablara chino", recuerda.

Hoy, en un mundo hiperconectado, con 4.388 millones de usuarios de internet en el mundo y 15 millones solo en Chile, los desafíos son distintos. "Cada cierto tiempo empiezan a aparecer noticias referidas a privacidad, que en algún minuto pasaron inadvertidas. Es algo más cíclico, porque los conflictos de privacidad hoy son vistos a diario", dice la abogada.

Ejemplos hay varios. Se puede mencionar el caso del exfuncionario de la CIA John Snowden, quien en 2013 denunció en The Guardian y Washington Post que el gobierno de Estados Unidos accedía a los servidores de las principales compañías de internet buscando indicios de terrorismo. O cuando el 2018 explota lo de Cambridge Analytica, la consultora política contratada para la campaña presidencial de Donald Trump que utilizó información de millones de usuarios de Facebook sin su consentimiento para enviarles publicidad política personalizada.

El último capítulo fue FaceApp, una de las aplicaciones más populares del año, creada por Wireless Lab, empresa emplazada en San Petersburgo, Rusia. Cuando los medios comenzaron a difundir que la aplicación recogía los datos faciales de los usuarios, el escándalo se tomó las redes sociales. "Nosotros decimos que cuando el servicio es gratuito, el producto eres tú", dice el abogado y analista de políticas públicas de la organización Derechos Digitales, Pablo Viollier, refiriéndose a FaceApp, pero también a Facebook y Google. El especialista dice que el modelo de negocios es el de la recolección de datos, donde se rastrean y monitorean los hábitos, comportamientos e interacciones de los usuarios con el fin de entregar una publicidad dirigida.

Viollier plantea que esto gatilló un cambio en relación con la era de Snowden: antes los miedos eran en base a lo que podían rastrear los gobiernos, pero en los últimos años la preocupación se trasladó a lo que pueden rastrear las empresas. Según el abogado, la discusión hoy es hasta qué punto se les entrega poder a las plataformas para rastrear todos y cada uno de nuestros movimientos, y hasta qué punto se les aplica control a esas empresas respecto de nosotros.

"Por ningún motivo usaría FaceApp", reconoce María Isabel Hayes, directora de ciberseguridad, riesgo y continuidad de la empresa Everis Aeroespacial, Defensa y Seguridad (ADS). Explica que las condiciones de uso de la aplicación rusa le otorgan una licencia perpetua, irrevocable, gratuita y transferible para usar, reproducir, modificar, adaptar, publicar y traducir tu contenido de usuario. "Es un contrato leonino. Estoy dejando la puerta abierta para que hagan lo que quieran con la información, con mi cara, la información de mis contactos, con muchas cosas", detalla.

Para la especialista, la aplicación rusa reabrió este debate: "Anteriormente se le dio muy poca importancia a esto y en los últimos meses, con la aparición de FaceApp y los mensajes publicados en redes sociales respecto de que los datos personales estén siendo utilizados para distintos fines sin que los usuarios explícitamente lo hayan consentido, ha generado una preocupación importante". Eso es algo que también detectó el informe anual "¿Quién defiende tus datos?", de la ONG Derechos Digitales América Latina y Electronic Frontier Foundation, el cual dentro de sus conclusiones observó que la agenda política chilena de 2018 estuvo marcada por el interés creciente en la protección de datos.

Según Viollier, uno de los mayores problemas se centra en los "términos y condiciones" de las plataformas. Primero, según él, porque nadie lee los detalles que se plantean -"yo soy un activista de la privacidad y no lo leo", comenta-. Y segundo, porque esa lectura requiere tiempo y tiene la dificultad de un lenguaje técnico y legislativo que los usuarios difícilmente entenderían. "Si logras leerlos y no te gustan, vas a la plataforma del lado y son los mismos. No existe una competencia que ofrezca un mejor servicio", dice el analista. Agrega que no existe libertad de elección en el usuario, pues hay asimetrías de información y poder: "¿Qué tan voluntario es para un adolescente de 15 años tener Instagram? Es parte de su vida social. ¿Qué tan voluntario es para una pyme tener una fanpage de Facebook? No es voluntario".

Matus coincide en que el tema de fondo es la poca transparencia de los términos y condiciones del almacenamiento excesivo de datos. "Es una especie de colonialismo de datos", dice. Por eso, explica que es necesario avanzar con el proyecto de ley que regula la protección y el tratamiento de los datos personales, actualmente en el Congreso (ver recuadro). Dicho proyecto incluye el principio de minimización de datos, que exige que las empresas almacenen solo los datos estrictamente necesarios para el cumplimiento de su finalidad. Por ejemplo, las aplicaciones de delivery de comida pueden geolocalizar para que llegue el pedido al usuario, pero no es necesario que consigan otra información, como su lista de contactos o tengan acceso a la cámara o el micrófono de su teléfono.

Sin embargo, las empresas de tecnología logran burlarlo, con servicios que requieren extraer más información del usuario. "Facebook hoy entrega un sitio de citas, un marketplace y otro espacio para buscar trabajo. En la medida en que las plataformas incorporan más servicios, terminan monopolizando toda la información del usuario y burlan el principio de minimización", explica Matus.

Por eso, los especialistas entregan algunos consejos para proteger los datos. Hayes dice que -aunque es difícil- hay que tratar de siempre leer los "términos y condiciones", mientras Matus recomienda mantener en el teléfono solo las aplicaciones que se usan, si no, eliminarlas y borrar la información.

El proyecto de ley

Desde marzo de 2017, en el Congreso se discute un proyecto de ley que regula la protección y el tratamiento de los datos personales en Chile, además de la creación una agencia de protección de datos personales. "Me parece que es un gran avance que haya un proyecto de ley, pero lleva harto rato ya siendo discutido. Mientras el proyecto no se concrete, todavía es letra muerta y seguimos desprotegidos", opina María Isabel Hayes, de Everis Aeroespacial, Defensa y Seguridad (ADS).

Jessica Matus, de la ONG Datos Protegidos, quien como abogada experta en el tema ha participado en la discusión en el Congreso, lamenta que dentro de las indicaciones del proyecto se haya quitado una sanción que equivalía al 4% de las ventas anuales para las empresas que infrinjan gravemente la ley. "Ese artículo se eliminó en la discusión y eso perjudica al proyecto, porque pierde la eficacia para sancionar faltas gravísimas. En los casos más graves, ahora son 10 mil UTM, unos 490 millones de pesos. Y la empresa termina incorporando ese gasto dentro de su operación", explica.

Para Hayes, los parlamentarios no necesitan "inventar la rueda". "Hay una ley de protección de datos en Europa que funciona hace bastante rato y creo que hay que basarse en esa y no darles tantas vueltas a detalles e ir mejorándolos en el camino", explica, refiriéndose al Reglamento General de Protección de Datos (RGPD), que fue promulgado en 2016 y se terminó de poner en práctica en 2018.

La otra gran incógnita del proyecto chileno es la creación de una institucionalidad que se dedique a fiscalizar y sancionar este tipo de casos. Dice Matus: "Nosotros somos de la opinión de que debe ser un organismo autónomo que se dedique de manera exclusiva a la protección de los datos personales".