« ¿Pourquoi la NSA espionne
aussi votre papa? »
Jean Marc MANACH
Periodista
París, 30 de junio 2013
Traducción y Comentarios
Por: Carlos FERREYROS SOTO
1. Traducción
Las
revelaciones de Edward Snowden sobre la amplitud de las operaciones de
espionaje y vigilancia de las telecomunicaciones de las operaciones de la
Agencia de Seguridad Nacional (NSA), han llevado a muchos periodistas a
preguntarse si ello también pudiera aplicarse
a los franceses.
En estos casos, el papá, la
mamá, los abuelos, los hijos, los colegas, los amigos de todos aquellos con
quienes está usted en contacto pueden ser espiados, si no lo han hecho ya. La
explicación aparece en un informe secreto del Inspector General de la NSA
revelado por The Guardian.
A diferencia de las escuchas
telefónicas tradicionales, lo que le interesa a la NSA, no es tanto el contenido de las comunicaciones sino el continente lo que se denomina metadatos:
¿Quién se comunica con quién, cuándo, desde dónde, sobre qué tema, utilizando
qué programas, qué canales, qué proveedores de acceso, cuáles direcciones IP,
etc
El objetivo es constituir un gráfico social de los individuos y de
las organizaciones blancos ("targeted")
para la NSA, la CIA y el FBI, solicitando a sus analistas de realizar lo
que se denomina cadena de contactos “En
general, ellos analizan las redes situadas a dos grados de separación del
blanco”.
En otras palabras, la NSA espía
también a aquellos que comunican con aquellos que comunican con aquellos que
son espiados. El único límite impuesto a
los analistas de la NSA "es de estimar con seguridad que el 51% a los
cuales espía es extranjero... " Así,
son espiables una buena parte de los americanos, y todos los no-estadounidenses.
Lo que no exime de inquietud, en
estos tiempos de grandes volúmenes de datos, de minería de datos sociales, y
consecuentemente, de policía predictiva.
En 1929, el húngaro Frigyes
Karinthy emitió la hipótesis de que habría sólo seis grados de separación entre
todos los seres humanos.
En 1967, el psicólogo
estadounidense Stanley Milgram demostró en su "Estudio sobre el Pequeño
Mundo”, la validez de esta teoría, al pedir a 296 voluntarios de enviar una
postal a un corredor de bolsa de Boston que ellos no conocían.
En 2011, un estudio sobre los
usuarios de Facebook reveló que los
usuarios estaban separados, en promedio por 4,74 grados, es decir, un poco más de 4 personas. En Twitter, no sería sino de 4,67 grados.
El hombre que vio al hombre que vio al oso
Tu papá, tu mamá, tus abuelos,
tus hijos, tus colegas, tus amigos no tienen quizá "nada que
ocultar". Pero probablemente conocen a alguien que conoce a alguien que ha
estado en contacto con Mohamed Merah, o alguno de los 126 terroristas detenidos
en Francia desde 2012 - o con uno de los muchos empleados de la Unión Europea
porque la NSA espía también la Unión Europea.
Por lo general, se tiende a
considerar que el hombre que vió al hombre que vió al oso es poco creíble, y
que su historia sólo puede proceder del chisme, del “se dice” o inclusive del rumor. Para los servicios de
inteligencia, es diferente. Como lo explicó recientemente Daniel Martin,
antiguo responsable informático de la Dirección de la Seguridad Territorial,
DST, su objetivo es: "saber todo, sobre todo, todo el tiempo"
El oficio de los servicios
de inteligencia es ser cauto, incluso
desconfiado. El problema es que desde el 11 de septiembre de 2001, los espías
estadounidenses se han vuelto paranoicos hasta el punto de querer controlar
todo el mundo o a casi todos, como si fuéramos todos sospechosos potenciales.
En 2001, los investigadores de American
Telephone and Telegraph, AT&T, teorizaron sobre la noción de
"culpabilidad por asociación", a fin de describir las formas de
identificar los números de teléfono de aquellos que estaban en contacto con los
números de teléfonos de los verdaderos sospechosos…
En ese momento, yo (el autor)
estaba participando a la "Jornada de interferencia de Echelon, codificando un pequeño generador de mensajes de correos
electrónicos subversivos con el fin de burlarme de la manera que tiene la NSA
de considerar como " sospechoso ", toda persona que evoca determinadas palabras claves para las orejas
grandes de América:
Incluso anonimizados, los metadatos traicionan
El problema, como explica Julián
Sánchez del Cato Institut, en “The Guardián” es que los metadatos de
vuestras comunicaciones, que no son considerados como parte de vuestra vida
privada por las autoridades estadounidenses, revelan muchas cosas acerca de
usted:
"Las llamadas telefónicas
que usted hace pueden revelar muchas cosas, pero a medida en que nuestras vidas
se encuentran cada vez más mediatizadas por Internet, los rastros IP levantan
como un mapa, en tiempo real de vuestro cerebro: lo que usted lee, lo que le interesa, la
publicidad dirigida a la cual responde,
los debates a los cuales participa, ...
Vigilar los rastros que usted
deja en Internet - aún más cuando estos
son explotados por instrumentos de análisis muy sofisticados - es una manera de
entrar en vuestro cerebro que es, en muchos aspectos, similar a la lectura de
vuestro diario íntimo. "
"Es hora de hablar de
metadatos", escribían recientemente varios investigadores que han
demostrado recientemente que incluso anonimizados "eran suficiente cuatro
informaciones de localización en el tiempo y en el espacio (es decir, conocer
cuatro antenas desde las cuales se conectó un usuario así como la fecha y hora,
datos que son esencialmente compilados en los metadatos de nuestras llamadas
telefónicas) para identificar con precisión a 95% de los usuarios y 2
informaciones son suficientes para identificar al 50 % "
La Dirección General de Seguridad Exterior, DGSE está en "primera división"
Las revelaciones de Edward
Snowden no son tan nuevas. En 2009, escribí que la NSA tenía acceso a todas las
comunicaciones de los estadounidenses (sobre todo aquella de los periodistas),
sabiendo lo que ya sabíamos, desde finales de los años 90, la NSA vigilaba las
comunicaciones de los no estadounidenses con su sistema Echelon.
La explotación de los metadatos?
Los servicios de inteligencia
franceses lo hacen también, pero con menos recursos, a una escala más pequeña,
a pesar que Francia tiene muchas estaciones de interceptación e interferencia de
telecomunicaciones.
En 2010, el director técnico de
la DGSE explicaba que en términos de
espionaje, la DGSE estaba ya en
"primera división" y que, como la NSA, "el continente deviene más
interesante que el contenido":
"Y todos estos metadatos,
se almacenan, años por años, y que solo cuando se interesan a una dirección IP
o un número de teléfono, se busca en la base de datos y se encuentra la lista
de los corresponsales, durante años, y se llega reconstruir toda su red. "
Sin embargo, esto no quiere
decir que los servicios de inteligencia franceses espían tantas
telecomunicaciones como lo hacen los servicios anglosajones: Edward Snowden, ha
revelado también que el Cuartel General de las Comunicaciones del Gobierno,” Government Communications
Headquarters, GCHQ, el
equivalente británico de la NSA, era capaz de tratar 600 millones de eventos
telefónicos... por día, lo que ha llegado a incomodar a algunos expertos de
inteligencia británica, que creen que ello va demasiado lejos.
Esperando ello, ni vuestro papá,
ni vuestra mamá, ni ninguna otra persona, podrá decir más adelante que puesto
que ellos no han hecho nada malo, nada tienen que reprocharse.
El escándalo llega en el peor
momento para las relaciones entre EEUU y Europa. Las autoridades
estadounidenses despliegan, en efecto, después de algunos meses la más vasta
campaña de “lobbying” que haya visto las instituciones europeas. La Unión
Europea ha decidido de adoptar un Reglamento sobre la protección de datos de
carácter personal que apunta específicamente a proteger nuestros datos, lo que
desagrada altamente a los estadounidenses, para quien estos datos son una mina
de oro comercial
La víspera de las primeras
revelaciones de Edward Snowden, la Unión Europea decidió posponer las negociaciones
sobre el proyecto de Reglamento. Ellas no podrán celebrarse como antes. Habrá
probablemente un antes y un después de Snowden, como ha habido un antes y un
después de Watergate, con la creación
de una Comisión de investigaciones que apuntan a un mejor control de los
servicios de inteligencia de Estados Unidos.
En cualquier caso, si usted no
desea que sus datos sensibles puedan ser espiados por cualquier persona (a
sabiendas de que al menos siete países europeos tienen acuerdos con la NSA),
existe un manual de empleo que escribí hace unos meses: ¿Cómo (no) ser (cyber)
espiado? Comment (ne pas) être (cyber)espionné ?
2.
Comentarios
El artículo del periodista Jean
Marc MANACH, provoca una serie de reflexiones e inquietudes sobre la Protección
de los Datos Personales en el Perú, vinculados con la: a. Preservación de
los derechos y libertades de la persona humana, b. Acompañar la
innovación, y c. Proteger el bien informacion.
a.
Preservación de los derechos y libertades de
la persona
El debate pendiente entre la
vigencia y aplicación de la Constitución de 1979 y aquella del 1993, debiera
ser el primer punto a observarse cuanto a la preservación de los
derechos y libertades de la persona humana.
El debate gira alrededor de dos ideas centrales. La primera, se refiere a la legitimidad por el
origen de la Constitución Política de 1993, aprobada por el Congreso
Constituyente instalado tras el golpe de Estado del 5 de abril de 1992;
mientras que la primera, fue la conclusión del mandato a una Asamblea
Constituyente. La segunda idea, se
relaciona con las implicancias económicas ultra liberales de la última carta
política.
Las principales diferencias estriban en el modelo
económico propuesto en cada una de las Constituciones y el rol
subsidiario o intervencionista del Estado en el aprovechamiento
de sus recursos naturales. Pero así como la Constitución del 1993 ha procedido
con su rol subsidiario en aprovechamiento de los recursos naturales lo ha hecho
de manera similar, mediante terceros, con los derechos de protección de la persona
humana, patrimonializando los datos personales, aprobando, por ejemplo, la Ley N° 27489 de Centrales Privadas de
Información de Riesgos y de
protección al titular de la información (Cepirs)
o similares; la Ley N° 29733,
Ley de Protección de Datos Personales, y probablemente lo hará en la
Reglamentación de la Ley N° 30024, que crea el Registro Nacional de Historias
Clínicas Electrónicas[1].
Un segundo punto, es el
relativo a la estructura orgánica y funcional para la preservación de los
derechos y libertades de la persona humana. Ni fáctica ni doctrinariamente
puede asegurarse que el Perú dispone de un organismo autónomo ni independiente capaz
de regular coherente y transversalmente la protección y el tratamiento de los
datos personales. La aprobación en julio de 2011, de la Ley N° 29733 de
Protección de Datos Personales propuesta por el Ministerio de Justicia, MINJUS,
y su Reglamento D.S. 0033-2013-JUS, dos años más tarde, en marzo de 2013, que
crea la Autoridad Nacional de Protección de Datos Personales resultan por lo
menos tardías cuanto a la regulación de las CEPIRS, y prematuras cuanto a la
aprobación de la Ley N° 30024[2].
Ello no es culpa de la administración actual sino de sucesivos desencuentros y políticas,
no necesariamente imputables al Poder Ejecutivo.
El iter seguido para la
elaboración de la Ley N° 29733, fue someter un primer borrador a un cierto
número de funcionarios y expertos, congregándolos bajo la forma de una Comisión
Multisectorial permanente, la misma que por cambios gubernamentales y
consecuentemente de los titulares del MINJUS, como de mayorías parlamentarias ,
desde 2004 recién pudo aprobarse en 2011. Para el Reglamento, un borrador de
Proyecto fue sometido a consulta, publicado en el sitio web del MINJUS, y re elaborado con los aportes recibidos por una Comisión Multisectorial presidida
por la Autoridad Nacional de Protección de Datos Personales. La Ley y el
Reglamento peruanos resultaron, sin embargo,
casi copia conforme de la Ley de Protección de Datos Personales
Española. La ley ibérica se estructuro bajo la forma de una Agencia de
Protección de Datos - Organismo Autónomo e Independiente - y su orientación fue
encargada a un Director y un Consejo
Consultivo, cuyas decisiones - de éste
último -no resultaron vinculantes para la Dirección.
La Directiva Europea 95/46/CE
aprobó ya en 1995, que cada Estado miembro designará una o varias autoridades
públicas independientes encargadas de controlar la aplicación en su territorio
de las disposiciones adoptadas por los Estados miembros en aplicación de la
presente directiva.
La Directiva 2002/58/CE 2002
completo la Directiva 95/46/CE en lo relativo al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas. Antes de la aprobación de ambas Directivas europea, las
autoridades de los países nórdicos fueron precursoras en la materia; ya en los años sesenta, promulgaron sendas
normas relativas a la protección de los datos personales.
En los años setenta, Francia, por
sus antecedentes en la Declaración de los Derechos Humanos de 1789, los
principios de la separación y equilibrio de poderes sobre los cuales se
sustenta su Constitución actual, aprobaron en 1978, la Ley de protección de
datos personales, llamada también, Ley de Informática y Libertades, la misma
que fue modificada por la ley n° 2004-575 de 21 junio de 2004 por la confianza
en la economía numérica. Esta modifica transversalmente el conjunto legislativo
francés al integrar diferentes nociones relacionadas a la economía numérica en
cada una de los diferentes códigos sustantivos y adjetivos.
La Comisión Nacional de
Informática y Libertades, CNIL, es su organismo autónomo e independiente de
dirección centralizada y control de la protección de los datos personales; cuenta
diecisiete miembros, los mismos que representan a los tres Poderes del Estado,
miembros de la sociedad civil, expertos y personalidades sobre la materia. La
Comisión elige en su seno a un Presidente y a dos Vicepresidentes, entre los
cuales un Vicepresidente delegado.
Frente a las experiencias de la Unión
Europea, nórdicas y francesas, la Ley y el Reglamento de protección de datos
peruanos presenta una inadecuada estructura organizativa y funcional que impide
a la Autoridad Nacional de Protección de Datos Personales su independencia y autonomía
de los Poderes Públicos. Además, de una fuerte presunción de “lobbying”
institucional, de alguno de sus promotores[3].
Su principal dificultad es no haber optado por un organismo existente Ad hoc[4]
o por crear, que reuniera las características de independencia y autonomía
necesarias a asegurar una apropiada protección de los datos personales.
El resultado fue tal, que ni
siquiera se conservó la estructura independiente y autónoma de la referencia española
al optarse por la Agencia Nacional de Protección de Datos Personales, ni
tampoco fue retenido el Consejo Consultivo. Tampoco la forma de un Comisionado de
Datos Personales, planteado en el Proyecto presentado por el congresista Flores
Araoz, y el grupo parlamentario del Partido Popular Cristiano en los años 2000.
Solo se ha creado una Dirección General de Protección de Datos Personales, dependiente
en su organización y funciones al Ministerio de Justicia, subordinada a las políticas
de su titular; sometida así a la tutela de la Presidencia del Consejo de
Ministros de la cual depende el MINJUS, y en última instancia, al Presidente de
la República, titular del Poder
Ejecutivo. Finalmente, la preservación de los derechos y libertades de la
persona humana relacionados a la protección de los datos personales se resuelven
en el Poder Ejecutivo. Y ello, en desmedro de los otros Poderes del Estado, de
la sociedad civil, y privado de expertos y personalidades nacionales.
El otro aspecto de la cuestión
es, que si bien la Autoridad
Nacional de Protección de Datos Personales es competente para salvaguardar los
derechos de los titulares de la información administrada por las Centrales
Privadas de Información de Riesgos y de protección al titular de la información (Cepirs) o
similares - conforme a lo establecido en
la Ley N° 29733 -; en materia de infracción a los derechos de los consumidores
en general, mediante la prestación de los servicios e información, la institución
competente es el INDECOPI[5].
Este es el ente competente de manera exclusiva y excluyente para la supervisión
de su cumplimiento vía la Comisión de Protección al Consumidor, la que debe
velar por la idoneidad de los bienes y servicios en función de la información
brindada a los consumidores[6].
Esta doble relación de control
administrativo, de un lado, y mercantilización de los datos personales, del
otro; infringe la preservación de derechos y libertades de la persona. Ello ya había
sido percibido en el Proyecto de Ley de Protección de Datos Personales
propuesto por el MINJUS y que motivara un artículo en ese sentido.[7]
El MINJUS asume así, unilateralmente, desde la perspectiva del Poder
Ejecutivo, la autoridad y el control
sobre la protección de los datos personales, incluyendo los registros y
archivos físicos y electrónicos de los otros dos Poderes del Estado y de todos
los otros organismos públicos e instituciones privadas, marchando en sentido
contrario a la doctrina y legislación internacionales en la materia. Pero no
solo eso, también asume implícitamente, la autoridad y control de la protección
de datos personales en el sector de las comunicaciones electrónicas. El poder real de administración de la Autoridad
Nacional de Protección de Datos Personales: intervención, control y sanción, cubre así tanto el
soporte como el tránsito de los datos personales en los ámbitos físicos,
digitales y de telecomunicaciones, en la práctica, comprende los datos
personales existentes en: sitios Web, correos electrónicos, telefónica fija y
digital y todo otro dispositivo nómada. Su único límite lo fija la estructura orgánica
y funcional del Poder Ejecutivo.
En conclusión, una consecuencia directa de las normas peruanas relativas a la
protección de datos personales es que ellas no responden a una visión
legislativa-reglamentaria integral ni menos transversal, no son coherentes en
el tiempo ni normalizadas, ni menos responden a imperativos nacionales o constitucionales,
en los cuales la persona humana es la finalidad última de la sociedad y del
Estado[8].
Las normas peruanas han fragmentado los datos personales patrimoniales y no
patrimoniales, de consumo o no[9].
Dos ejemplos de fragmentación e informalidad de la noción de datos personales que
ya hemos mencionado, son:
- el otorgamiento
de competencia exclusiva y excluyente al Instituto Nacional de Defensa de la
Competencia y de la Protección de la Propiedad Intelectual, INDECOPI, para la
supervisión de cumplimiento de las CEPIRS o similares, en la prestación de los
servicios e información en el marco de las relaciones de consumo por infracción
a los derechos de los consumidores.
- la ley N°
30024, denomina indiferentemente “datos de filiación”, “datos de
identificacion”, datos personales, el Art° 6, los llama así, al referirse al
tema de confidencialidad previsto en la ley 29733.
b.
Acompañar la innovación[10]
Las revelaciones de Edward Snowden y los artículos de Jean Marc Manach, dan
cuenta de innovaciones importantes desarrolladas de la relacion transversal
entre el instrumento informático - particularmente en telecomunicaciones -, la documentación
y el archivamiento electronico, y las ciencias del lenguaje.
No se trata solamente que los datos personales son generadores de recursos innovativos
de velocidad, nuevos materiales y componentes electrónicos, ni menos de
convergencia de disciplinas, instrumentos tecnológicos, procesos o metodologías
integradoras, ni menos aun de la manera
de organizar, tratar los datos e informaciones o imágenes; asistimos a una
nueva etapa social del hombre: la etapa de la conexión permanente.
Dos consecuencias se extraen de ello: la sociedad de la información y del
conocimiento tiene por sustento principal la innovación, la misma que es
permanentemente superada, y pareciera que el solo elemento durable sea la
conexión[11].
La principal materia prima de esta nueva sociedad son los datos personales, relacionados
con los intereses económicos globales que ellos representan para la producción,
comercio, en una palabra, para el mercado global.
Hoy en día, todo usuario de los recursos numéricos sabe que el efecto producido
por una información/conocimiento depende menos de la fuente que de la manera
como ella circula (y los metadatos son una muestra), ya no es necesario que dos
personas se encuentren para compartir y difundir una información, la presencia
ha sido reemplazada por la virtualidad, la proximidad física por la proximidad
numérica. Internet a través de las redes ha dado a estos intercambios una
amplitud, una frecuencia, una instantaneidad jamás vista.
Acompañar la innovación implica identificar y analizar algunas áreas
relacionadas con la protección de los datos personales: mediante el ocultamiento
de atributos de la personalidad:
1.- el anonimato y el pseudonimato,
2.- las redes sociales distribuidas o descentralizadas,
3.- Internet y telefonía móvil,
4.- el concepto de Web ID y
5.- la gestión de múltiples identidades.
1.- Anonimato y Pseudonimato.
Hay una distinción entre el simple pseudonimato,
vinculado a la e-Reputación o a
una protección simple de la vida privada y la vida profesional y el verdadero anonimato relacionado a la
protección de las fuentes y la noción
de secreto (no dejar
rastros, no ser identificable). Sin embargo, son más
las interrogantes que las respuestas.
No obstante, el anonimato puede ser a veces contra productivo: algunos se
niegan a ser identificados, dialogar o intercambiar con sujetos anónimos. Ello
bosqueja la libertad de tener una otra identidad? De la misma manera que se ha
impuesto el concepto de derecho al olvido, no debería haber un derecho a ocultar
u omitir, como el derecho al silencio, en el derecho penal? Pero, y en los
casos de pedofilia, pornografía y otros?
Pero estos temas sublevan también otros referidos a la biometría, a la
facilidad de disponer de elementos biológicos vitales, únicos para establecer o
confirmar la identidad, pero también de las inquietudes del repudio, en los
casos de pérdida de bases de datos en los cuales se consignan éstas?
Detrás de estas interrogantes, existen ya recursos innovativos de
anonimización: Thor, I2P, VPN.
Pero incluso si estos son cada vez más accesibles, no son fácilmente utilizables
masivamente. Ello esboza otra cuestión: ¿Hasta qué punto podemos confiar en
estas herramientas? Por ejemplo, el aplicativo Thor habría sido “quebrado” por algunos “crackers” hace unos meses. Responden estos actos a una
cierta lógica económica y securitaria, de mantenimiento de posiciones hegemónicas,
de acceso a la materia prima “datos personales”, de normalización técnica, y/o
de competitividad empresarial? Porque cada vez que se innova para proteger
algo, aparecen diversas instrumentos, procesos, formas de "desanonimizar", "desproteger" la identidad.
Hasta ahora, la herramienta más corrientemente utilizada para la preservación
del anonimato y pseudonimato es el "modo de navegación privada" de
los navegadores (Firefox, por
ejemplo) que elimina los trazadores, “cookies”,
y el historial de navegación. Pero es qué debemos resignarnos a ello? De todas
maneras, sabemos que eso no es suficiente para ser verdaderamente anónimo en
línea porque dejamos muchas trazas en los servidores de los sitios que
visitamos y que pueden ser recuperados mediante metadatos.
2.- Redes sociales distribuidas o descentralizadas
El rol de las redes sociales Facebook, Twiter, en las recientes intervenciones de la NSA no ofrecen las garantías
de acceder, destruir, recuperar la información de los abonados.
Facebook, Twiter y otras redes sociales entrañan la cuestión de la revocación de datos: cómo recuperar
los datos que fueron enviados, publicados por los usuarios? Ello supone la
posible de retornar a una lógica entre pares para los servicios de redes sociales? Varias soluciones innovativas se exploran: diáspora, XMPP, FoA,
Freedom Box,
bootstrapper,...
El objetivo es permitir a las personas de retomar el control sobre sus datos,
voz, imágenes publicadas. Pero las alternativas de solución suponen, al
menos, diseñar nuevas arquitecturas innovativas que respondan a
las finalidades de los usuarios, diferentes de la lógica, únicamente
comerciales. Se quiere una red social distribuida en la
que se pueda ubicar
a cualquiera persona, incluyendo a aquellas que
no se conocen? O ¿Una red social distribuida que funciona solo de par conocido
a par conocido, teóricamente más segura en términos de
privacidad? O redes mixtas?
La participación de los usuarios y de los
proveedores de acceso Internet es imprescindible para que
cada usuario adapte y administre su propio servidor. Se requiere, igualmente, resolver la cuestión de
la legibilidad de los nombres e identidades, como en el caso de los nombres de dominio,
centralizados y legibles (DNS) o descentralizados, pero no legibles (hashes). De la misma manera, son
indispensables formación y conocimientos para administrar una red donde sea posible tener múltiples identidades contextuales? Y de ser posible,
dotadas de las seguridades y protecciones necesarias para
que no sea viable relacionar estas identidades entre ellas?
3.- Internet y dispositivos móviles
Al instar de la problemática de
la protección de datos en Internet, ella
es aún más permeable en los dispositivos móviles, particularmente en los teléfonos inteligentes.
Existen cada vez más
dispositivos que permiten de interceptar
e interferir señales, contenidos y aplicaciones de los dispositivos móviles de
manera más o menos sibilina o violenta, con importantes diferencias tratándose
de sistemas operativos y configuraciones.
Aparte de la función de
comunicación a distancia, un dispositivo móvil es un soporte de almacenamiento
y todo el contenido existente en la carta madre o memoria de esos dispositivos
es recuperable en un ordenador, por lo que el conjunto es legible y vulnerable,
inclusive tratándose de sistemas cerrados. Y se dispone cada vez más de herramientas
de observación y vigilancia, asociadas a las funciones de conexión sin cable (Wifi) y auriculares (Bluetooth) los mismos que activados, representan
una amenaza es mayor.
De otros lado, los datos técnicos en los dispositivos móviles
son a menudo pocos seguros (inutilización de códigos PIN), identificantes bancarios
anotados en el block de notas... Estas fallas técnicas son explotables de forma
remota y el enfoque de los conceptores y desarrolladores de estos dispositivos
es de paliar o corregir parcialmente, reaccionando a la emergencia publica de
un problema. En muchos casos actúan por miedo a la mala publicidad, riesgo de la
imagen o marca que vehiculan. Hoy en día pueden enviarse SMS (Short Message Service) "blancos", que
permiten de recuperar información del usuario (sobre todo geolocalización). Pero también mediante el envío de correo electrónico, se puede conocer y difundir
el identificador único del teléfono móvil, la compañía telefónica,...
Las configuraciones por defecto
son igualmente importantes puesto que la mayoría de los usuarios cambia poco o nunca
los ajustes originales. Es el caso de Android,
cuya configuración inicial no es segura,...
Por otro lado, el usuario de los
dispositivos móviles está familiarizado con las aplicaciones Internet, las
mismas que no tienen acceso a una gran cantidad de datos. El usuario no realiza
que las aplicaciones, particularmente los teléfonos móviles, permiten el acceso a muchos más datos, y que el tipo de
datos difiere, dependiendo del tipo de conexión (3G, Wifi). Para la
geolocalización, por ejemplo, iPhone
espera conectarse por WiFi para
ahorrar ancho de banda.
El GSM (Global System for Mobile Communications)
es mucho más acucioso que el Wifi. El tramado de radio envía comunicaciones
de forma continua, y si hasta ahora no ha habido muchos ataques en masa, es
porque el material era caro. El material básico de 1800 US$, hace dos años, cuesta ahora 50 US$; aunque su principal
limite es que debe estarse próximo a la persona (sin conexión al operador), restringiendo
así los ataques masivos.
No obstante, la forma de ataque más
barata sigue siendo aun la ingeniería o cultura social, y los riesgos más
importantes a futuro, pudieran emerger de los pagos-retiros vía teléfonos
inteligentes, o smartphones.
Una de las consecuencias de acompañar
la innovación es que el “Homo Connecticus” [12]
ha devenido "Homo radiens", seres que no sólo están conectados permanente
y personalmente, sino que irradian datos, informaciones, conocimiento, mediante
los dispositivos que portan o utilizan. En consecuencia, resulta imprescindible
su reingeniería.
4. - El concepto de Web ID
El Web ID es un proyecto de la
W3C (World Wide Web Consortium )[13]
para crear una agenda de direcciones
distribuida.
El problema
de las redes sociales es que son almacenes aparentemente
herméticos de datos, pero no responden sino a una determinada arquitectura
y a una línea de gestión de los mismos. Facebook, por ejemplo, tiene elementos atractivos en el tratamiento de los datos personales: un sistema panóptico y centralizado; y otros menos, sobre la protección de datos personales,
derivados de la desconfianza, del acceso multifuente, como de presuntos
manejos comerciales de la data.
Si los teléfonos,
correos electrónicos tienen un identificador único global, lo mismo sucede con las
direcciones URL y Web, generalmente, este último por un
sistema distribuido. Es posible entonces
de imaginar igualmente una red de servidores distribuidos conteniendo datos de
carácter personal. En cada servidor se puede colocar una página para describir, por ejemplo, una red de relaciones (Tipo
de datos amigo-a-amigo, estándar del W3C).
Pero, ¿cómo proteger los datos para que al
publicarse no se encuentren disponibles para cualquier persona? Este es el problema que
intenta resolver el Web ID.
Los servidores
que utilizan Web ID (por ejemplo MyProfile) se sirven de la
autenticación mediante certificación del cliente. Son
similares a la concepción de la firma electrónica. Cuando alguien
desea conectarse, el aplicativo pregunta qué certificado utilizar. Estos certificados no son firmados por una autoridad, sino por el servidor
asociado con el usuario. Se utiliza el protocolo HTTPS
para autenticar servidores entre ellos. La clave del certificado público del
servidor XXX se extrae del certificado enviado por XXX. Cuando el servidor de YYY se conecta
al servidor de XXX, este último puede comprobar que se ha conectado
al servidor correcto. Una vez
efectuada la autenticación por el
servidor de YYY se autoriza la conexión,
utilizando, por ejemplo, un
sistema de confianza distribuido.
Típicamente: es que ese
certificado corresponde a aquel de un (a) amigo (a)? No obstante las ventajas, la dispersión de los datos
en varios servidores, hace que observando
las conexiones, sea posible extraer mucha más informaciones que con los sistemas centralizados.
5.- Gestión de múltiples identidades
El objetivo de crear múltiples identidades
responde a:
o Protección
Personal: Evitar o reducir el impacto de la vigilancia; evitar amenazas o
peligros físicos fuera de conexión
o Protección
de informaciones: mantenerse en secreto, preservar su vida privada, intima;
o Control
de su imagen: reputación, marca personal.
El uso de diferentes identidades
responde:
A la actuación o interactuación de
manera diferente con diferentes personas, en diferentes contextos: la
segmentación de la identidad refleja el deseo de adaptarse a diferentes
contextos. Sin embargo, ella no una práctica específica al mundo digital: en los
comportamientos usuales, los usuarios se adaptan y muestran diferentes facetas.
La diferencia es que en Internet, estas operaciones dejan trazas.
Cualquier persona puede
segmentar su identidad real en
múltiples identidades virtuales,
correspondiendo cada una a aspectos diferentes de su vida real o virtual. Diversas
identidades permiten una expresión más libre, en la medida en que las
diferentes identidades no están vinculadas a un solo individuo. Contrariamente,
no se puede asumir todas las facetas de una persona al mismo tiempo, ni al a
todo el mundo, simultáneamente.
Si la creación de múltiples
identidades responde a un deseo de proteger, ella debe acompañarse de una multiplicación
de canales de contacto de la identidad: dos pseudos no deben guiar a una misma
dirección de correo electrónico, ni cada pareja de pseudos/dirección electrónica
(e-Mail) debería corresponder a una contraseña única.
Administrar una pluralidad de
identidades conduce a multiplicar los instrumentos técnicos que permiten esa
gestión (cliente de mensajería electrónica, gestión de bases de datos de
contraseñas). La gestión de las diferentes identidades conduce a hacer más
compleja la gestión de datos en línea para la persona. Esto puede conducir a
una paradoja: cuanto más se segmenta la identidad más compleja se vuelve la
gestión; ergo, cuando la gestión es
más compleja, el riesgo de fallas aumenta, y resulta menos eficaz la
multiplicación de identidades.
Inicialmente, la segmentación de
identidades se revela un medio poco técnico para garantizar la vida privada y
la libertad; al final, la diversidad de identidades resulta ineficaz si no se
apoya ésta en medios técnicos. Pero si
se dispone de medios técnicos para protegerse, tal vez no se tenga necesidad de
la segmentación?
En última instancia, el uso de
diferentes identidades se considera una manera poco consistente de proteger la vida privada eficazmente:
o De
un lado, existen límites técnicos para este tipo de protección; multiplicar las
identidades virtuales no resulta idónea si no se sabe ocultar aquellas que
provienen de la misma máquina, o de una única conexión.
o En
resumen, a menos de ser técnicamente competente, los elementos técnicos revelan
fácilmente el artificio.
o De
otro lado, la probabilidad de error humano la hace poco segura. Se puede así,
fácilmente, hacer evidente el hecho de que somos la misma persona detrás de
varios pseudos: por distracción, por una escritura similar y que puede ser
identificada por los contactos comunes a las dos identidades, etc.
o Más
problemático aun, si las personas que conocen "dobles identidades"
pueden revelar también quién es quién. Aun cuando se actúe bien
intencionadamente, pueden relacionarse dos identidades numéricas a una persona,
y demoler el trabajo de segmentación.
c. Proteger el bien
informacion-datos personales.
La información debe protegerse del espionaje el mismo que puede ser
definido como:
“El
hecho de intromisión, búsqueda, conocimiento/apropiación de informaciones
técnicas o de cualquier naturaleza, de manera ilegítima, realizado por una
persona física o jurídica, con ánimo de prever, mejorar su seguridad y defensa
nacional o el espíritu de lucro, para sí o para terceros, cuando las dichas
informaciones presenten algún valor, incluso potencial y cuya acceso o divulgación
sería perjudiciales para los intereses esenciales de una persona física o jurídica[14]”.
Próximo del espionaje, la práctica llamada de inteligencia económica o
industrial coincide con ésta en un contexto más amplio de privatización de
actividades de inteligencia económica
distinguiéndose de aquellas de espionaje por un supuesto criterio de legalidad;
aun cuando el análisis de esa frontera no haya sido claramente establecido, ni
sea necesariamente válida por unos y otros.
En términos de globalización, debemos entender que el propósito del espía
como el del agente de inteligencia económica, es múltiple y oportunista si se
tiene en cuenta el uso de técnicas de metadatos: búsqueda, acopio, tratamiento,
conservación y eventualmente difusión de datos e informaciones sobre las
personas (emisores, receptores, como de la cadena de grados de separación de personas,…);
inventario, características y funciones de instrumentos, soportes y medios que
sirven al “Homo Connecticus” para comunicarse. Pero también, por prácticas de análisis,
elaboración de perfiles individuales, o colectivos de producción, consumo,
organización de personas e instituciones; anticipación y reingeniería de nuevos
modelos, formas, productos, servicios creados o a crearse, y/ o de reorientación,
ampliación o modificación del mercado, o de incitación publicitaria, u
organización de acciones desinformativas y psicosociales,...
Confirmación y paradoja de la protección de los datos personales en el
continente americano, es que salvo
Argentina, del rio Grande en la frontera USA México a Chile, ningún país de América
Latina tiene un nivel suficiente de protección; por el contrario, si lo tiene
Estados Unidos, …a pesar del Patriot Act y Canadá.[15]
Desde la perspectiva legal, la información es un bien[16] aun
cuando voces discordantes plantean que la sola información considerada independientemente
de su soporte material no lo es[17].
Según la Directiva Europea 95/46/CE, se entiende por a) «datos
personales»: toda información sobre una persona física identificada o identificable
(el «interesado»).
Se considera identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un número de identificación o uno o varios elementos
específicos, característicos de su identidad física, fisiológica, psíquica,
económica, cultural o social.
La protección de los datos
personales en el marco europeo nacional e internacional, supone el cumplimiento
de derechos y obligaciones, de personas físicas y/o jurídicas, que declinan y/o
tratan éstas, en soporte físico o numérico,
por un tiempo determinado.
Desde las formalidades previas a
todo tratamiento, las mismas que requieren de una declaración previa o una
solicitud de opinión, ellas varían si el declarante pertenece al sector público
o si los tratamientos son de porte nacional o se ajustan a un modelo tipo. La declaración
simplificada, corresponde a un procedimiento y a normas simplificadas.
Para el acopio o colecta de los
datos personales se requieren de ciertas condiciones suponiendo ello obligación
de información a las personas concernidas, acopio directa o indirecto de datos, y recojo obligado o consentimiento expreso
y voluntario de las personas que lo deseen. Dos casos de figura pueden presentarse: la
facultad de oposición y el recojo de datos personales de menores o
discapacitados.
Otros elementos a tomar en cuenta para el tratamiento, son
aquellas que permiten hacer evidente la finalidad del tratamiento (precisando
éste, evaluando su proporcionalidad, su pertinencia y separación funcional), duración
y seguridad de los mismos[18].
Finalmente, la fase del derecho
de acceso a las personas interesadas, la difusión y cesión de los datos. Pero también
los derechos al olvido, a la actualización,…
La protección de los datos
personales seria espuria si ella no se sustentara antes en la protección de
derechos vinculados a la personalidad del ser humano: derecho a la intimidad,
derecho a la privacidad, derecho al domicilio,... Obviamente, los Convenios y Tratados sobre los
mismos y las diferentes leyes nacionales, nos dan una percepción sobre los
contornos de esos derechos. Pero a su vez de
los derechos de difusión o no, de los atributos de la personalidad, del alcance de la autorización en el caso de excepciones
relativas a los menores e incapaces, de aquellos que son hombres públicos, de los
acontecimientos de actualidad o los propios derechos de la historia, la ciencia
y la estadística.
Pero el derecho de protección de
los datos personales comprende también el derecho a/sobre la imagen, que
complementan los derechos a la intimidad y los derechos intelectuales (autor,
patentes,) y los derechos sobre la información. Planteándose en el derecho a la
imagen, las facultades y obligaciones de sus titulares, sino también el de
aquellos que la publican, difunden, conservan, particularmente en medios
digitales, así como las excepciones a/sobre las mismas.
Conclusión
Primera.
Barack Obama, conjuntamente con
Georges Busch Jr., quedarán para la historia como dos de los presidentes que más
han maltratado la libertad y los derechos de los ciudadanos en el mundo. Es
toda la polémica desatada alrededor de las declaraciones del agente de la National Security Agency, NSA, Edward
Snowden, cuya huida de USA, su refugio en Hong Kong, su estadía en Moscú, y
cuyo reclamo de entrega y ofrecimientos de asilo, han maltratado la propia
diplomacia americana, China, Rusa, Europeas y Latinoamericanas.
Los servicios americanos como la
de muchos otros países interceptan e interfieren las comunicaciones de
particulares que poseen información sensible para sus intereses - y ello, aunque
reprensible, no es nuevo – sino que el marco de sus intervenciones no se centra
ahora en personajes que a priori detentan
informaciones capitales sobre sectores o conflictos que ellos consideran de
“alta intensidad”, sino en el reagrupamiento de diversas informaciones de aquel
que va a ser escrutado, disecado, analizado en sus menores detalles y en el de
sus familiares, amigos, relaciones, amigos de las relaciones, siguiendo la metodología
de metadatos.
La otra novedad es que el
espionaje, interferencia generalizada es posible por la potencia intrusiva de
las instituciones gubernamentales, caso de NSA, sino también por la colaboración
de empresas y asociaciones que son beneficiarias por cesión de Convenios de acceso
y uso de la tecnología gubernamental Internet: Google, Facebook, Twiter. Así, la vida privada de toda persona en el
mundo se encuentra amenazada, expuesta, tanto como su intimidad: texto, voz, imágenes
sobre las mismas, cuando los USA se prevale – y a justo titulo en determinados
casos - de ser el heraldo de la libertad en el mundo.
Las interceptaciones e interferencias
no son solamente atribuibles a las derivas del Patriot Act aprobado por el presidente G. Busch Jr., luego de los
hechos del 11 de setiembre 2001, sino son conocidas gracias a las revelaciones
de Edward Snowden, de Der Spiegel o The Guardian, o antes de Julian Asange de WikiLeaks, y que esta norma y la política que la sustenta, se
aplica igualmente a todo el mundo, y a Europa en particular. El presidente B. Obama,
ha replicado indicando que toda lucha contra el terrorismo tiene daños colaterales
pero olvida que no estamos en la fase aguda de la misma sino doce años después
de ella. Y si globalmente los países europeos y latinoamericanos han logrado
premunirse y luchar contra el terrorismo, resulta evidente relacionar el
intrusismo y la amplitud de prerrogativas que se ha atribuido la administración
americana, sacrificando la protección de los derechos a la vida privada e
intima, y derechos afines[19]
de poco más de seis mil millones de seres humanos.
Segunda
Una segunda conclusión resulta de
la relacion de estos hechos y de la Gobernanza de Internet, regular ésta, es
resolver parte del problema.
La Cumbre Mundial sobre
la Sociedad de la Información, CMSI, a propuesta de GTGI acuño en 2005, una
definición operacional de la Gobernanza de Internet[20]:
“Gobernanza
de Internet es el desarrollo y aplicación de principios, normas, reglas,
procedimientos para la toma de decisiones y programas comunes por parte de
Gobiernos, el sector privado y la sociedad civil con el fin de dar forma a la
evolución y uso de Internet.”
En esa misma
cumbre, el Secretario General Kofi Anann declaró:
"La ONU no desea tomar el
control de Internet, afinarlo o regularlo cualquier que sea la forma...
El objetivo común que buscamos
es proteger y consolidar Internet y asegurar que todos puedan beneficiarse. Los
Estados Unidos merecen nuestra gratitud por haber desarrollado Internet y
haberlo puesto a disposición de todo el mundo... Pero yo creo que ustedes serán
igualmente unánimes en reconocer la necesidad de una mayor participación
internacional en los debates sobre cuestiones relacionadas con la gobernanza de
Internet. El problema es cómo se logrará éste objetivo”.
Teniendo en
cuenta las diferentes fuerzas en presencia, aparentemente complementarias,
realmente se oponen dos grandes visiones de Internet: ésta de la sociedad de la
información y aquella de la sociedad del conocimiento, sostenidas por diversos
actores, y de las cuales tampoco están exentas instituciones de la ONU: la UIT[21], por la primera y, la UNESCO[22], por la
segunda.
La gobernanza de Internet ha sido y es parte de discusiones políticas,
económicas, jurídicas como de intercambios académicos, de los cuales han surgido una serie de reflexiones,
expresadas como 1. Dicotomías y 2. Dimensiones, que representan puntos de vista
como culturas profesionales, nacionales, globales[23].
Solo resolviendo la ecuación de la interferencia conjunta de agencias
gubernamentales americanas y las grandes asociaciones, empresas beneficiarias
de la tecnología gubernamental Internet: Google,
Facebook, Twiter, sobre las comunicaciones de particulares, estableciendo marcos reglamentarios globales
de Gobernanza de Internet, podrá neutralizarse la pretendida lucha contra el
terrorismo, pero que en gran parte, se orienta al acceso y explotación de los
datos personales y derechos afines.
Las instituciones representativas del Perú relacionadas con la
identidad, los datos personales, la protección del consumidor, gobierno electrónico, es decir, RENIEC, Agencia Nacional de Protección de Datos
Personales del MINJUS, INDECOPI, ONGEI, serán las primeras, no lo dudo, a
extraer las experiencias que se imponen.
Montpellier, Julio 2013
[1] Los datos
personales relativos a la salud figuran como datos sensibles tanto en la
legislación europea como en La ley N° 29733 y su Reglamento D.S. N°
003-JUS-2013, y en consecuencia, de máximo nivel de seguridad. En la ley N°
30024, la noción de datos personales, figura bajo diferentes acepciones que
puede prestarse a diversas interpretaciones.
[2] Según la Ley N°
30024, su Reglamento deberá ser aprobado en los 180 días después su
publicación, teóricamente en diciembre de 2013.
[3] Presumiblemente
la designación de algunos miembros en la Comisión de Elaboración de la Ley,
supuso una previa inducción a favor del control de los datos personales por el Ministerio
de Justicia, evitando el mismo sobre las Centrales de Riesgo, en el marco de las relaciones de
consumo.
[4] El RENIEC
pudiera haber sido ese Organismo autónomo e independiente; obviamente,
replanteando y rediseñando su estructura y funciones.
[6] Ley N° 29733,
Sétima Disposición Complementaria Final.
[7] Sobre el
particular ver:
http://derecho-ntic.blogspot.fr/2011/07/control-administrativo-y.html
[8] Artículo 1° de
la Constitución de 1993.
[9] La Ley N° 27489 de Centrales privadas de
información de riesgos y de protección
al titular de Información (CEPIRS) modificada por Ley Nº 27863, abrió la posibilidad “a las empresas abiertas en espacio
público y de manera habitual recolecten
y traten información de riesgos
relacionada con personas naturales o jurídicas, con el propósito de
difundir por cualquier medio mecánico o electrónico, de manera gratuita u
onerosa reportes de crédito acerca de éstas”. Art. 2° Definiciones.
[10] Un definición
operativa de innovación podemos expresarla así: Innovación es el desarrollo por primera
vez de nuevos valores gracias a soluciones
que satisfagan nuevas exigencias, nuevas
necesidades, del mercado o
de la sociedad. Estos nuevos valores se proponen a través de nuevos productos,
procesos, servicios, tecnologías o ideas que se ponen a disposición para los mercados,
los gobiernos, la sociedad. Una
invención es la creación de una
nueva idea, mientras que la innovación se relaciona con el uso de esta nueva idea.
[11] La Condition Numérique, Essai. Jean François Fogel y Bruno
Patino. Ed.
Grasset France. Mars 2013
[12]
« Homo-Connecticus »Frase acunada por Laurent Gouzènes, Director de
los programas R&D y de asuntos públicos de
STMicroelectronics http://www.globalsecuritymag.fr/Homo-Connecticus-les-risques-de-la,20100630,18398.html
La frase “Homo radiens fue
evocada por la Revista Elektor N° 367,
en enero 2009, “La découverte de l’Homo Radiens »,
janvier 2009
[13] World Wide Web Consortium, abreviado
por la sigla W3C, es un
organismo de normalización a titulo no lucrativo, fundado en octubre de
1994 encargado de promover la compatibilidad de las tecnologías del World Wide
Web tales como HTML, XHTML, XML, RDF, SPARQL, CSS, PNG, SVG y SOAP.
[14] J. Dupré, Pour un droit de la sécurité économique de
l’entreprise, de l’espionnage industriel à l’intelligence économique, thèse,
Nice, 2000, introduction, p. VI.
[16] Para el Dr.
Pierre Catalá, "Todo mensaje comunicable a un tercero por cualquier, medio
constituye una información”.
Una resolución judicial define la
información: “como un elemento de conocimiento susceptible de ser presentado
utilizando convenciones para ser conservado, tratado o comunicado "
- P. Catala, « Ébauche d’une théorie juridique de l’information books.google.com/.../Ebauche_d_une_théorie_juridique_de_l_in.html?id...La francophonie aux défis de l'économie et du droit aujourd'hui. Sélim Abou, Pierre Catala,Université Saint-Joseph (Beirut, Lebanon) Snippet view - 2002
- Sala de Apelaciones de Paris; CA Paris, 18 mai 1988, Dalloz,
jurisprudence, 1990, p. 35, note G. Drouot.
[17] Jérôme Dupré
« Espionnage économique et droit : l’inutile création d’un bien
informationnel » Juin 2001
Juriste en contrats et nouvelles technologies ; Docteur en Droit ©
copyright 2001 Lex Electronica <http://www.lex-electronica.org>
[18] Los niveles de
protección varían en función de la menor o mayor sensibilidad de los datos
personales (opiniones políticas, pertenencias partidaria, sindical, opciones
sexuales, preferencias religiosas, orígenes raciales, étnicos)
[19] Son los derechos
relacionados al derecho intelectual, derecho a/sobre la información, derecho a
la imagen,…
[21] Unión
Internacional de Telecomunicaciones
[22]Organización de
las Naciones Unidas para la Educación, la Ciencia y la Cultura.
[23] Este acápite ha
sido extraído del Proyecto del Libro del autor, cuyo título preliminar es
“Identificación e Identidad Digital”, a publicarse próximamente.
No hay comentarios:
Publicar un comentario