Rafael Ibarra, Cámara Salvadoreña de Tecnologías de Información y Comunicación
En El Salvador no hay ninguna garantía de que los datos personales de los usuarios de internet sean utilizados para favorecer a políticos. Esta es una realidad que, en la era de la información y de cara a un proceso electoral en 2021, los salvadoreños deberán afrontar sin una Ley de Protección de Datos Personales, asegura Rafael Ibarra, de la Cámara Salvadoreña de Tecnologías de Información y Comunicación (Casatic).
Un estudio del gigante de Internet, Google, reveló en 2018 que al menos 3.7 millones de salvadoreños utilizan Facebook. Los datos personales de cada uno son vulnerables de ser utilizados por “mineras” de datos especializadas en procesos electorales, como Cambridge Analytica, la controvertida compañía que compró perfiles de usuarios a dicha red social para trabajar activamente en la campaña de Donald Trump en 2016. “Estamos totalmente desprotegidos y, a la ley del más fuerte o el más experimentado, a cualquiera que se le ocurra cómo hacer uso de esa información, incluyendo fines políticos”, considera Ibarra, también director ejecutivo del proveedor de dominios SVNet, y conocido como el “padre del Internet en El Salvador”. La Comisión de Economía de la Asamblea Legislativa estudia actualmente el proyecto de ley.
¿Cómo valora hasta este momento el trabajo de la Asamblea Legislativa en la protección de datos personales? ¿Hay buenas propuestas?
Hay que decir que es una deuda. Hasta donde sé hay tres propuestas: de Arena, FMLN y Francisco Zablah. Coinciden en varias cosas básicas de la protección de datos personales, como las garantías personales, definiciones, derechos para acceder, identificar, conocer, pedir el retiro de ciertos datos o se actualicen dentro de bases de datos con acceso público. El Salvador tiene una ventaja: hay varios países que ya están haciendo esto, habrá que voltear a ver con mucho interés la legislación europea, que es el referente de protección de datos personales. Esa parte está bien trabajada. En las legislaciones está que incluso entidades privadas y públicas estén obligadas a aclarar y decir públicamente en contratos para qué exactamente usarán los datos que están solicitando. Esto está muy bien. Lo que hay que revisar, lo más relevante e importante es la entidad que dará seguimiento a esto, que velará por que esta ley se cumpla.
Hay cierto consenso en torno a ese tema. A su criterio, ¿debería crearse una entidad autónoma?
Hay una propuesta de creación de una nueva entidad y esta es la mejor alternativa. Esto, por supuesto, conllevará dinero, recursos, personal, hacer más grande el aparato burocrático estatal, pero, si queremos una entidad seria que proteja los datos personales, hay que hacerlo. Eso sí, no es solo llenarse de gente, es formarla, capacitarla y darle equipo, que intercambie con expertos internacionales de datos.
También, hay que asegurarse de que no tengan ellos los datos. Solo deben ser los garantes de que las empresas públicas o privadas cuiden esa información y tengan mecanismos definidos, y auditar los procesos de recolección y uso de datos. Si está investigando crímenes, transgresión de propiedad intelectual, entonces, dígame cómo lo hará. Debe estudiar cuál es el protocolo para darle acceso a la información personal. Definitivamente, lo mejor sería que la entidad sí guarde cierta autonomía. Por ejemplo, los trabajadores operativos son de entidades de Gobierno, pero la junta directiva debería estar compuesta de todos los sectores.
Quienes componen la entidad, entonces, ¿deberían tener un perfil más técnico que un perfil político? ¿O debería ser una mezcla de ambos?
Hay entidades que actualmente resguardan información como el RNPN (Registro Nacional de Personas Naturales) y el CNR (Centro Nacional de Registros). Todas estas son muy delicadas porque tienen la mina de oro de los políticos, y estos temas en El Salvador son delicados. Tiene que ser una entidad de Gobierno, pero sí debe ser profesional, técnica en informática, derecho, sociología. Ni la Defensoría del Consumidor ni el Instituto de Acceso a la Información Pública (IAIP) propuestas en la Comisión, están habilitadas para esto. La nueva institución debe estar conectada con el mundo. En el caso del Reglamento Europeo, por ejemplo, donde sea que haya una persona europea, debe aplicarse, y en el caso de El Salvador, hay personas que hacemos negocios con la Unión Europea.
El reglamento europeo impuso grandes límites a empresas que manejan bases de datos personales y se lucraban con ellos, incluso utilizándolos para campañas políticas como Cambridge Analytica. ¿Podría repetirse este caso en El Salvador?
Estamos totalmente desprotegidos y a la ley del más fuerte o el más experimentado, a cualquiera que se le ocurra cómo hacer uso de esa información, incluyendo fines políticos. Si bien la información comienza como personal, estas empresas la utilizan como masiva agregada y se puede tornar como personal: por estas cosas llegan ofertas dirigidas exactamente hacia nosotros, con nuestros gustos, a partir de un perfil casi exacto. Facebook dice que ellos no venden datos personales, pero sí los usan para hacer perfiles, y esos los comercializan. Los productos segmentados o dirigidos son medianamente válidos, porque no están hablando de alguien en forma individual: cuando esto trasciende y la persona no puede conseguir trabajo, acceso al crédito, se le niegan derechos ciudadanos, o se tienen represalias y amenazas a raíz de información resguardada en base de datos privada, es un problema ante el que no tenemos protección.
¿No hay garantías para que los datos personales de los salvadoreños no sean utilizados para fines políticos?
No hay ninguna garantía, ni cómo defendernos aunque lo descubriéramos. No hay manera de prevenir. Puede identificarse con una investigación sofisticada, aunque sea difícil de probar: digamos que un partido político está utilizando datos personales para sus propósitos, para una elección, si las autoridades lograran probar de dónde obtuvo estos datos, y estos fueron obtenidos de forma ilegítima, no pasa nada. No hay penalización. Esto refuerza otro debate: ¿cómo capacitamos a la Fiscalía, Policía, con más dientes para perseguir los delitos informáticos?
Una vez que el dato en la base de una entidad, digamos comercial, política o incluso delictiva, ya es bien difícil probar de dónde se obtuvo. Es sumamente sofisticado: puede decir, por ejemplo, que lo adquirió de una empresa que administra y vende estos perfiles de datos, o bien, que una empresa determinada fue hackeada.
Independientemente de la entidad que cometa estos delitos, el clásico ejemplo es el de las empresas de comercio electrónico que tienen una base de datos de las tarjetas de crédito de las personas. Digamos que se roban las listas, hackean. ¿Tienen o no responsabilidad las empresas que guardaban las tarjetas de crédito? Yo no he visto una ley que diga ‘si usted no resguarda los activos de otros y se lo roban, será castigado’. Lo mismo sucede con las empresas que manejan los datos personales. No tienen prohibido comercializar los perfiles a ningún usuario y no existe una entidad que vele por que estos se utilicen de la manera correcta.
La Comisión de Economía estudia la aprobación de una Ley de Protección de Datos Personales. El próximo 28 de enero cerrarán la consulta con un seminario taller. / DEM
Millones de salvadoreños ya cedieron sus datos y Facebook crea “perfiles” para luego comercializarlos. Si un grupo político está interesado en llegar a cierto grupo poblacional, puede adquirir estos perfiles y dirigir propaganda. ¿Está sucediendo? ¿Es legítimo?
Es legítimo y está sucediendo a esos niveles. Yo puedo segmentar la población por rango de edad, por sexo, por lugares donde habita, etcétera. Si lo consideramos, eso no es tan pecado, pues, porque es masivamente, hasta la gente está contenta, está bien que me lleven, que me hablen de mi comunidad, que me hablen de algo que me interesa a mí.
¿En qué momento, entonces, debe dibujarse la línea para la propaganda política?
Tiene que ver mucho con las fake news (noticias falsas), campañas orquestadas con calumnias, campañas a través de Twitter. Sucede que son mensajes más cortos que ya no se prestan a razonamiento. Se pueden utilizar de forma visceral cosas más íntimas que comprometen la privacidad, como diagnósticos médicos, preferencias sexuales. Estos grupos pueden estar incluso siendo atacados. Si lo vemos desde el punto de vista comercial, me conviene más invertir en la gente que tiene más propensión en buscar mi producto, mi servicio que apuntar al aire. El riesgo inicia cuando pasamos de una publicidad masiva de televisión, periódicos, banners en Internet; a una publicidad más sofisticada, especializada, casi invasiva.
¿Sería lo ideal que, antes que se realicen las próximas elecciones legislativas, ya haya una legislación para proteger los datos personales?
Sí. Primero, porque, si llegan a cambiar a muchos diputados en la Asamblea Legislativa, que es el escenario más posible, se corre el riesgo de que la discusión de datos personales se pierda o pase a segundo plano. Pero sí considero que es importante aprobar una ley lo más pronto que se pueda, aunque no sea perfecta, pero que sí se acerque a lo que ya sabemos que debe protegerse. Eso sería mejor que lo que ha sucedido con la Ley de la Firma Electrónica que no ha entrado en vigencia por factores del Ejecutivo, por falta de fondos, por una inversión en el equipo de las infraestructura en la Unidad dentro del Ministerio de Economía.
Perfil
Rafael Ibarra es un ingeniero eléctrico con postgrado en nuevas tecnologías de la información y comunicaciones. Desde 1993 está involucrado activamente en los procesos de desarrollo, difusión y apropiación de TIC en Centroamérica, y su experiencia en el ramo le ha valido el sobrenombre del “padre del internet en El Salvador”. Actualmente, es secretario de la Cámara Salvadoreña de tecnología de la información y comunicación (Casatic) y funge como director ejecutivo de la delegación de dominios de Internet en El Salvador, SVNet.