¿Monitorear redes sociales es vigilancia ilegal? El qué, el cómo y el para qué.
Algunas reflexiones sobre la última moda de los gobiernos: vigilar las redes sociales para cumplir con fines del Estado.
El 8 de Septiembre de este año, se publicó en el boletín oficial de la ciudad de Buenos Aires, que el gobierno comprará un sistema de análisis de “big data” para mejorar el cobro de impuestos y minimizar los casos de fraude al fisco.
El sistema cuesta 17 millones y medio de pesos e incorpora tecnologías de análisis de información cruzada en grandes cantidades (hardware, software y servicios asociados). Pero esto no es lo que me llamó la atención de la decisión. Según la descripción en el boletín oficial, el sistema será usado para detectar indicadores de fraude en publicaciones de redes sociales de contribuyentes (WTF).
Esto genera alarmas y preguntas para los porteños: ¿el Estado los vigilará?, ¿la información en redes sociales es pública o privada?, ¿pueden empresas o gobiernos usarla para sus fines?.
El qué: información pública vs. información privada
El derecho a la privacidad, o intimidad, es un derecho fundamental en las democracias occidentales. Es un valor clave para el ejercicio de las libertades individuales. Por esa razón está reconocido y tiene rango constitucional en Argentina y muchos países que firmaron pactos internacionales al respecto.
El derecho a la privacidad nos da la posibilidad de proteger nuestra esfera de intimidad, lo que guardamos para nosotros y nuestro círculo de confianza y no queremos que se conozca. Este derecho protege al individuo de injerencias arbitrarias en su vida privada. Sin privacidad no podés hacer nada libremente: hablar, relacionarte, ir al médico, etc.
Este derecho, como muchos derechos fundamentales, cede parcialmente cuando hay un interés público o un interés del Estado y se cumplen requisitos de legalidad, necesidad y proporcionalidad. Estos requisitos, y los de varias otras normas (como las leyes de protección de datos) son las que rigen cuando se habla de la información que es de “uso público” o que puede recolectarse sin que eso afecte la intimidad.
Si hay causa legal y es necesaria y proporcionada, la intromisión en la intimidad es posible (por ejemplo, si hay orden suficiente de un juez o una ley determina que cierta información pueda recolectarse sin permiso del dueño). Si renuncio a mi intimidad (expresamente o por mis acciones) tampoco hay intromisión. Ya no hay expectativa de intimidad, al menos en la mayoría de los casos.
Hay muchos y muy ricos debates legales sobre qué es y qué no es información íntima o “protegida” (información privada o un dato personal sensible). Pero vamos a obviar esto e ir al hueso: lo que publicamos en redes sociales.
Información personal en redes sociales: mucho, poquito y nada
Si seguimos el criterio de que la privacidad tiene que ver con una expectativa y la delimitación de un espacio, la línea divisoria termina siendo puesta por nosotros mismos. Las redes sociales son espacios privados, de propiedad de una empresa, que nos “presta” su infraestructura para publicar fotos de gatitos (y contarle a los demás qué hacemos con nuestras vidas). Nosotros, al “firmar el contrato” con esa empresa, al aceptar los términos de uso, damos permiso para que esa empresa recoja, analice y haga dinero con esa información (así que respecto de ellos, la expectativa es esa).
También le damos permiso a la red social para que publique nuestra información de acuerdo a nuestra configuración de privacidad. Es decir, que hay dos situaciones posibles respecto de los terceros que leen nuestras cosas o ven nuestras fotos:
- Si publico algo como “público” en Facebook (o en mi cuenta de Twitter “sin candado”) yo debería esperar que cualquier tercero se entere de lo que escribo. De hecho no podría quejarme de que un motor de búsqueda lo indexe o de que se analice mi discurso en un contexto general. Esta es la regla general. Hay excepciones: en el derecho de propiedad intelectual, por ejemplo, hay protección para mis obras aúnque las publique abiertamente en redes sociales (fotos, videos). Otra excepción, aparece cuando alguien hace un seguimiento individualizado y sistemático de mis publicaciones. Lo explico más adelante.
- En cambio, si limito la audiencia de mis publicaciones (sólo para amigos o seguidores) mi expectativa de privacidad es distinta. Yo podría ver afectada mi intimidad si algo se reproduce mas allá de lo que tengo derecho a esperar. La cuenta de Twitter con candado, los grupos de Whatsapp, los posts de Facebook sólo para “amigos” y las conversaciones privadas no son públicas. Por ende, para acceder a información de esos lugares es necesaria una orden judicial suficiente.
De acuerdo al caso, mi intimidad se verá afectada mucho, poquito o nada.
Hasta acá, parece fácil: si la información que un gobierno (o cualquier particular) quiere de alguien no fue publicada por esa persona, necesita una orden judicial suficiente para obtenerla. Si la persona publica información privada libremente (como el contenido de sus comunicaciones) podría, en principio, recopilarla y analizarla.
Pero acá no termina la cosa. Hay un tema grave a considerar. La información que está a disposición del público puede vulnerar la intimidad: cuando se transforma en otra cosa. Por eso el “qué” no es suficiente para responder la pregunta de si es legítimo. Hay que pensar en el “cómo” y el “para qué”.
La vigilancia y el big data
La real academia de la lengua define “vigilar” como observar a algo o a alguien cuidadosamente. Esta definición da a entender una conducta continuada y enfocada en un objeto o una persona. La vigilancia que puede violar derechos es la que se enfoca en las personas, ya sea directamente (observándolas en su accionar) o a través de la observación de los rastros que dejan (registros de actividad como los lugares que frecuentan, datos de comunicaciones, operaciones bancarias, etc.).
La vigilancia viola la intimidad en sí misma. No hace falta que esa información sea usada luego para perjudicarnos. El sólo hecho de vigilar a alguien afecta su libertad de acción, expresión, reunión y movimiento. ¿Harías todo lo que hacés todos los días si supieras que estás siendo observado permanentemente?.
Con el big data, la recopilación y análisis cruzado de grandes cantidades de datos, la cuestión cambia. Ya no se analizan datos sueltos. Información que antes parecía inocua (tus twits públicos, las ubicaciones de tu celular, etc.) puede ser peligrosa cuando se cruza con otra información sobre tu persona, tus bienes, tus relaciones y tus comunicaciones. Tanto así, que las agencias de inteligencia y empresas privadas ya no necesitan escuchar o leer nuestras conversaciones para saber más de nosotros. Se conforman con los “metadatos”: información sobre nuestras comunicaciones, historial de internet, ubicaciones, etc. y no las conversaciones en sí mismas. Esta es una de las cosas que denunció Edward Snowden, el revelador de secretos de la CIA, en 2013.
Protección de intimidad frente al big data: el cómo y el para qué
Como vimos, no alcanza con analizar a la información “sola” para determinar si su recopilación y cruzamiento son legítimos (esto es, legales, necesarios y proporcionados). En el caso del big data, juega también la posibilidad que el cruzamiento y análisis tiene para develar detalles que queremos mantener privados. Aunque hayamos elegido publicar la información en la cual se basa. La clave ya no está sólo en la naturaleza de la información que se analiza sino en cómo se hace ese análisis y para qué se usa.
Mi intención al publicar tuits y fotos en instagram, por ejemplo, es mostrar sólo lo que estoy mostrando. Decir sólo lo que estoy diciendo. Mi expectativa de privacidad cede sólo para mostrar qué comida estoy comiendo o qué pienso del tema del día. Pero no estoy dando un cheque en blanco para que se construya un perfil personalizado sobre mí que devele información personal del análisis cruzado de datos. En esos casos, las leyes de protección de datos vienen al rescate: hay criterios para definir cómo se capta la información, bajo qué parámetros de autorización, por cuento tiempo, para qué fin y un derecho a que se borre cuando el fin particular se deja de cumplir. Así y todo, necesitan reformas para dar mas poder a los usuarios.
Por parte del estado, el análisis genérico o “anonimizado”, al azar, que no arme un dossier ni almacene información respecto de mi persona “podría” ser aceptable. Es el que se usa para detectar tendencias de opinión, etc. y podria ser el caso del famoso “ciberpatrullaje”. Si de esa evaluación azarosa, genérica e innominada surgen indicios de comisión de delitos (notitia criminis), debe darse intervención inmediata a la justicia para que abra una causa y prosigan otras actuaciones dentro de un proceso con las garantias apropiadas. Ahí se acaba el “patrullaje” y empieza la labor de inteligencia criminal.
Y aun así hay que discutir los famosos protocolos. Para aplicar los controles del “cómo” y “para qué” que serán vitales para determinar el grado de lo aceptable en terminos de violación a los derechos fundamentales.
Los sistemas de vigilancia de redes sociales de los gobiernos hoy en día son vigilancia ilegítima
Cuando el Estado usa big data, y más aún para una política que se supone debe ser personalizada (como la auditoría de los impuestos de cada contribuyente) o la recopilacion de información sobre periodistas, activistas, etc. la cosa cambia. El Estado puede, para el cumplimiento de sus fines, recopilar información sobre una persona. Es una de las excepciones que vimos al comienzo. Pero en estos casos, siempre tiene que cumplir parámetros de legalidad (¿hay ley u orden judicial que avale esto?), necesidad (¿es necesario para el cumplimiento del fin?) proporcionalidad (¿hay un medio menos invasivo para la intimidad que logre resultados similares?). Y también someterse al análisis del “qué, cómo y para qué” (objetivo legítimo).
El sistema que permite monitorear tuits de contribuyentes para detectar posibles fraudes fiscales constituye vigilancia porque para ser efectivo debería cruzar nuestras conversaciones con nuestra “carpeta” personal en la agencia de impuestos, y mantener un registro de lo que decimos para detectar conductas financieras sospechosas. (Si no lo hiciera, sería inútil. Y podría ser usado para otros fines no declarados).
El famoso ciberpatrullaje, mientras no haya ley, se apliquen protocolos claros que garanticen azar, no almacenamiento de información, procedimientos claros y estrictos para cada paso, controles posteriores, maxima transparencia posible etc. también es ilegal. Habrá que ver cómo se implementan protocolos temporaarios y qué resulta del debate legislativo y el control (porque ley sin control es igual que nada).
El más debil sos vos y el derecho está para protegerte
Como ya supondrás, estas prácticas no sólo suceden en el Estado. Hay empresas privadas que recopilan cantidades enormes de nuestra información aunque no seamos usuarios de sus servicios. Las leyes de protección de datos personales están para protegernos en esos casos (aunque muchas necesiten reformas que las modernicen y entes de control que las apliquen en serio). Como dijimos: ley sin control es igual que nada.
Cuando se trata del Estado, la cuestión es más peligrosa. El estado tiene el monopolio de la fuerza pública (puede meterte preso o confiscar tus bienes). El estado maneja enormes cantidades de información personal de sus ciudadanos (registro civil, historias clínicas, antecedentes policiales, educativos, laborales, de impuestos, etc.) y tiene el poder (legítimo) de obligar a empresas privadas a darle los datos que hayas guardado en cualquier servicio en línea.
Permitir al estado hacer tratamiento de información personal es legítimo cuando cumple con los requisitos ya mencionados. Pero el análisis cruzado de la información de distintas reparticiones y más aún, incorporando la captación de información que producimos en redes sociales, devela detalles íntimos de nuestra vida. Opiniones políticas, lugares que frecuentamos, personas con las que nos relacionamos…
Las protecciones para que el estado trabaje mejor y nosotros cuidemos nuestros derechos pueden existir. Pero debemos defenderlas y exigir que se apliquen. Imaginate al peor gobierno democrático que podríamos tener (hay ejemlpos a mano en paises vecinos) y qué podría hacer ese gobierno con el poder de seguir cada paso que das en internet. O en la calle.
Internet es un espacio para que puedas expandir tu libertad. No dejes que te la quiten.
