Regulación de las decisiones automatizadas: el Estado como gran ausente

October 12, 2025October 12, 2025 ~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 08 de octubre de 2025 en Idealex.

Una de las principales novedades de la Ley N° 21.719 es la regulación de las decisiones automatizadas. Esta norma, que entra en vigencia el 1 de diciembre de 2026 y que tiene como objetivo reformar nuestra ley de datos personales para elevar el nivel de protección a los titulares y crear una Agencia de Protección de Datos Personales, está explícitamente inspirada por el Reglamento general de protección de datos de la Unión Europea (RGPD).

El artículo 8 bis de la Ley N° 21.719 es una versión modificada del artículo 22 del RGPD y regula aquellas decisiones que son tomadas basándose en el tratamiento automatizado de los datos personales de los titulares, es decir, de forma autónoma o sin participación humana. Con el fin de proteger a las personas ante este tipo de procesamiento automatizado, la legislación establece una serie de requisitos bajo los cuales será lícito tomar decisiones automatizadas respecto de los individuos y entrega a los titulares una batería de derechos particularmente sofisticados. Entre ellos, el derecho a la información y transparencia, a exigir intervención humana, a expresar su punto de vista, a solicitar la revisión de la decisión y el derecho a obtener una explicación respecto de cómo se llegó a una decisión específica.

Todas estas garantías elevan sustancialmente el nivel de transparencia y los criterios de responsabilidad respecto del funcionamiento de sistemas algorítmicos, por lo que la regulación cumplirá un rol crucial en el proceso de transformación digital y modernización del Estado, las empresas y las organizaciones. Especialmente en un contexto en donde cada vez más la evaluación crediticia, la selección de personal, el levantamiento de alertas para detección de fraude, el perfilamiento para fines de marketing y la entrega de beneficios sociales es entregada, con distintos niveles de autonomía, a la decisión de sistemas algorítmicos o basados en tecnología de inteligencia artificial.

Chile no se limitó solo a replicar el contenido del artículo 22 del RGPD, sino que recogió la retroalimentación de los expertos que participaron del proceso legislativo y las lecciones que la jurisprudencia europea y el pronunciamiento de sus distintos organismos de control administrativo han dejado en la materia. Así, la legislación chilena no exige que la decisión se base “únicamente” en el tratamiento automatizado de datos, lo que en Europa fue interpretado como un riesgo de permitir que un nivel de participación humana nominal o simbólica deje a las personas fuera de la aplicación de la regulación.

Adicionalmente, el artículo 8 bis redujo el nivel de afectación que los titulares deben experimentar para estar protegidos por esta figura, solo exigiendo que estos sufran un “impacto significativo”. Por último y más relevante, la ley chilena consagra explícitamente el derecho a una explicación como derecho de los titulares, obligando a los responsables a ser capaces de fundamentar y describir bajo qué criterios, parámetros y mecanismos el sistema arribó a una decisión particular que afectó al individuo.

La gran sorpresa de la Ley N° 21.719 se encuentra en el artículo 21 inciso final. Este artículo establece taxativamente aquellas secciones de la ley que son aplicables a los organismos públicos. ¿El gran ausente? El artículo 8 bis. Es decir, el esfuerzo más importante y sofisticado que nuestra legislación ha emprendido para entregar a los individuos herramientas para proteger sus derechos, exigir transparencia y objetar con conocimiento de causa las decisiones que los sistemas algorítmicos y de inteligencia artificial toman respecto de ellos excluye completamente de su aplicación a todos los organismos de la administración del estado.

Esta decisión de política pública es paradójica, si tenemos en consideración que el Estado es el mayor procesador de datos personales en nuestro país y muchas veces el más negligente. Basta revisar el repositorio creado por el GobLab de la UAI titulado “Algoritmos Públicos” para darse cuenta de que el uso de decisiones automatizadas y de inteligencia artificial que puede afectar significativamente a los individuos no es algo eventual, sino que el Estado ya tiene implementados hoy muchas de estas herramientas.

Permitir a los individuos conocer la forma en los sistemas automatizados toman decisiones que los afectan, objetar dichas decisiones y ejercer sus derechos respecto de empresas y organismos privados, pero no respecto del Estado constituye una discriminación arbitraria que deja a los ciudadanos en una situación inaceptable de indefensión. Subsanar esta situación debería ser una prioridad para la nueva Agencia de Protección de Datos Personales, ya sea proponiendo al Presidente de la República la dictación de una ley corta que incluya a los organismos públicos en la aplicación del artículo 8 bis o a través de una instrucción general similar a las recomendaciones del Consejo para la Transparencia sobre transparencia algorítmica respecto del funcionamiento de los organismos públicos.

El árbol envenenado algorítmico

February 11, 2025 ~ Pablo Viollier ~ Leave a comment

Columna publicada originalmente e 11 de febrero en Actualidad Jurídica

El mundo ha experimentado un renovado interés por la protección de datos personales, el que, a su vez, ha desembocado en distintas legislaciones que han elevado el nivel de protección de la autodeterminación de las personas. Así, se promulgó recientemente la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales con el objetivo de poner a Chile a la par con el estándar europeo y permitir que el país enfrente los desafíos que implican la masificación de la toma de decisiones automatizadas y la Inteligencia Artificial (IA).

La nueva legislación exige que cualquier tratamiento o procesamiento de datos personales cuente con una base de licitud y que dicho tratamiento se realice cumpliendo con las condiciones y principios establecidos en la legislación. El incumplimiento a dichos requisitos puede acarrear importantes sanciones para los responsables del tratamiento; sin embargo, en los últimos años una importante pregunta ha estado circulando: ¿qué pasa cuando un algoritmo sofisticado o un modelo de IA es entrenado o desarrollado utilizando datos personales con infracción a las condiciones contenidas en la legislación? ¿Dicho incumplimiento sólo acarrea una sanción o puede contaminar incluso el despliegue futuro del sistema o modelo entrenado?

La primera alternativa sería asumir que la recolección o tratamiento de datos personales sin cumplir con los estándares legales generan una única instancia infractora, la que el responsable podría saldar y cuyo “pecado original” no afectaría el algoritmo o modelo entrenado con dichos datos personales. Esta postura se basa en el hecho que, si bien muchos sistemas utilizan grandes volúmenes de datos -incluyendo datos personales- al momento del entrenamiento o desarrollo del modelo, eso no quiere decir necesariamente que exista un procesamiento de datos personales al momento de su funcionamiento, ya que estos pueden haber sido anonimizados o haber sido utilizados tangencialmente sólo para realizar inferencias estadísticas en la etapa de entrenamiento.

La segunda alternativa es interpretar que se trata de una infracción contínua y que utilizar datos personales ilícitamente para desarrollar y entrenar modelos algorítmicos o de IA constituye una infracción que se proyecta al funcionamiento o despliegue de dicho modelo. En este sentido, el producto final sería una proyección del procesamiento ilícito del cuál no podría desligarse.

Recientemente dos organizaciones han tenido la oportunidad de abordar esta materia. El Comité Europeo de Protección de Datos emitió un dictamen (24/2024) sobre algunos aspectos relacionados con el procesamiento de datos personales en el contexto de modelos de Inteligencia Artificial. En dicho documento el Comité se pone en distintas hipótesis para distinguir si la infracción en la utilización de información usada para el desarrollo del modelo de IA podría eventualmente afectar el sistema de IA una vez ya desplegado; sin embargo, el Comité reconoce la capacidad que las agencias europeas de protección de datos personales tienen para imponer acciones correctivas las que pueden incluir “aplicar multas, imponer una limitación temporal del tratamiento, borrar una parte del conjunto de datos que haya sido tratado ilegalmente o, cuando esto no sea posible, en función de los hechos en cuestión, teniendo en cuenta la proporcionalidad de la medida, ordenar la eliminación de todo el conjunto de datos utilizado para desarrollar el modelo de IA y/o del propio modelo de IA” (el énfasis es mío).

Más recientemente la Comisión de Protección de Información Personal de Corea del Sur tuvo la oportunidad de referirse al asunto, llegando a una resolución tajante. La empresa Kakao Pay utilizó un sistema de cálculo de fondos insuficientes creado por Alipay; sin embargo, esta segunda empresa desarrolló dicho algoritmo utilizando información personal que fue proporcionada y transferida ilegalmente al extranjero. La comisión consideró que la única forma de “resolver fundamentalmente” esta vulneración en el tratamiento de datos personales fue ordenar a Alipay la destrucción del modelo de cálculo de puntuación.

En ambos casos -uno presentado como posibilidad eventual y el otro como jurisprudencia ya asentada- se presenta una especie de teoría del fruto del árbol envenenado algorítmico, en donde la infracción en el procesamiento de la información personal en la etapa de desarrollo o entrenamiento (árbol) del modelo algorítmico o de IA también permea a la etapa de funcionamiento o despliegue del mismo modelo (fruto).

En el caso de Chile, la nueva Ley N° 21.719 entra en vigencia el 1 de diciembre de 2026, por lo que este es un tema respecto del cual la futura Agencia de Protección de Datos Personales se deberá pronunciar. Sin embargo, sí es importante notar que dentro de las facultades legales de dicha agencia sí se encuentran las potestades para ordenar una medida de estas características.

Así, el artículo 35 inciso segundo permite a la Agencia establecer las medidas tendientes a subsanar las causales que dieron motivo a la sanción, mientras que el artículo 38 inciso tercero permite prorrogar indefinidamente la medida de suspensión temporal de procesamiento, por períodos sucesivos de máximo treinta días, hasta que el responsable cumpla con lo ordenado. En ambos casos son facultades amplias que podrían ser utilizadas por la Agencia chilena para hacer carne esta nueva doctrina del árbol envenenado algorítmico.

De momento es conveniente seguir de cerca la jurisprudencia internacional y los pronunciamientos de distintos organismos de otras jurisdicciones respecto de esta materia central para el futuro del desarrollo de modelos de IA.

Compliance en protección de datos personales: ¿voluntario?

November 25, 2024November 25, 2024 ~ Pablo Viollier ~ Leave a comment

* Columna publicada originalmente el 25 de noviembre en Actualidad Jurídica.

Una de las principales innovaciones de la nueva ley de datos personales es la incorporación de mecanismos de cumplimiento legal o compliance, cuyo objetivo es complementar la aplicación de la ley por parte de la Agencia de Datos Personales y promover el cumplimiento de la ley a través de mecanismos colaborativos. Uno de estos mecanismos es la implementación de modelos de prevención de infracciones, conocidos ya en otros ámbitos legales. Pero aquí es donde surge la pregunta, estos programas ¿son obligatorios o voluntarios? En el caso del sector privado, la respuesta es clara: sí. El artículo 49 establece que “[l]os responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento”. La redundancia entre “podrán” y “voluntariamente” refuerza suficientemente el punto legal.

En el caso del sector público, la respuesta no es la misma, tenemos que hablar de un deber de compliance cuya modalidad de cumplimiento es alternativa. El artículo 44, inciso segundo, dispone que “los órganos públicos deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia o a los programas de cumplimiento o de prevención de infracciones del artículo 49”. Es decir, en este caso existe obligación de adoptar uno de los dos esquemas de cumplimiento: las medidas ad hoc diseñadas por la Agencia -una vez que esta exista y esté en funcionamiento- o el modelo de prevención del artículo 49, cuyo contenido al menos ya está meridianamente detallado en la ley.

Veamos la situación desde el punto de vista de las decisiones organizacionales y de negocio. Si la organización decide no implementar el modelo de prevención de infracciones, ¿debe igualmente cumplir con la ley? La respuesta es obvia: por supuesto. Es decir, el responsable del tratamiento de datos personales deberá ajustar su documentación, procesos, roles y un largo etcétera para evitar infracciones a los principios, obligaciones y deberes que impone la ley. Tendrá que adecuar su funcionamiento para responder al ejercicio de derechos de los titulares de datos. En otros términos, tendrá que realizar una serie de medidas que igualmente deberán ser implementadas bajo un modelo de compliance. Ante tal escenario, la utilidad del modelo de prevención se visibiliza con claridad. Permite tanto ajustar el cumplimiento a la ley como mitigar los riesgos asociados al funcionamiento de la organización. Si el costo de ese esfuerzo además permitiría, eventualmente, lograr una atenuante en un proceso sancionatorio, entonces el incentivo económico es nítido. Es cierto que ello requiere la certificación del modelo por la Agencia, pero en cualquier caso podría ser un costo marginal ante las exigencias obligatorias de cumplimiento.

En el caso del sector público, el dilema es aún más estrecho. Los órganos de la Administración, al tener que cumplir con una de dos alternativas, la vacancia legal favorecerá el pragmatismo de la opción por el modelo de prevención. En otros términos, un jefe superior del servicio debe optar entre intentar implementar el cumplimiento y esperar las medidas que recomiende la Agencia o adoptar el modelo de prevención del artículo 49, cuyo contenido es conocido y genera menos incertidumbre. Ante tal escenario, la opción por el modelo de compliance cae por su propio peso.

La importancia de implementar estas medidas de prevención al interior del sector público se ve complementada por el esquema sancionatorio de la ley, la cual incluye sanciones al jefe superior de servicio tales como multas del 50% de su remuneración mensual y su suspensión en el cargo de hasta 30 días, así como la remisión a la Contraloría General de la República para la realización de sumarios administrativos y sanciones de acuerdo al Estatuto Administrativo a los funcionarios infractores.

Los dos años de vacancia de la nueva ley representan la única ventana de oportunidad para avanzar en las medidas de cumplimiento indispensables para tener la casa ordenada al momento de su entrada en vigencia, medidas que se deben tomar no sólo en el sector privado sino también en todos los órganos del Estado. Puede sonar a un plazo extenso, pero la experiencia europea enseña que es ajustado. Llegó el momento de arremangarse y ponerse a trabajar.

Nueva ley de datos personales: lecciones desde el viejo continente

November 3, 2024 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 30 de octubre de 2024 en Idealex

En Chile nos hemos acostumbrado a quejarnos de la calidad de nuestro proceso legislativo, en especial, cuando la ley en cuestión se ha inspirado en una legislación extranjera. Este reclamo muchas veces es válido, ya que efectivamente en el pasado varios proyectos de ley han sido poco más que un “copy/paste” de legislación extranjera, no solamente afectando la calidad de nuestras leyes, sino que produciendo lo que la literatura ha denominado “trasplantes jurídicos”. Estos trasplantes se caracterizan por no adecuarse al medio local, la cultura jurídica del país al cual son injertados y por pasar por alto las diferencias económicas e institucionales entre el país que inspira la legislación y el país en donde se implementa el injerto.

Sin embargo, me parece que es igual de importante dar cuenta de aquellos casos en donde nuestro proceso legislativo no solo ha adecuado correctamente una legislación extranjera al medio local, sino que ha sido capaz de aprender de los errores e imprecisiones del país de origen, y crear una legislación que mejora el producto respecto del cual se inspira. Este me parece, es el caso de la regulación de la toma de decisiones automatizadas en la nueva ley de datos personales. Dicha regulación se encuentra fuertemente inspirada por el Reglamento general de protección de datos de la Unión Europea (GDPR, por sus siglas en inglés). Esto no es algo malo, tiene todo el sentido del mundo inspirarse en la legislación más sofisticada en la materia a la fecha y la que, además, se ha transformado de facto en un estándar global.

Pero el GDPR no es perfecto. En lo que respecta a la toma de decisiones automatizadas —una materia clave para el futuro de la regulación de la inteligencia artificial— el artículo 22 del GDPR tenía una serie de errores en su técnica legislativa que hacían que, en la práctica, la protección otorgada a los titulares fuese demasiado restrictiva.

En primer lugar, el GDPR establece que los titulares tienen “derecho a no ser objeto” de decisiones automatizadas, a menos que se cumplan ciertas condiciones. El hecho de tratarse de un derecho implica que es una prerrogativa que el titular tendría que invocar activamente.

En otras palabras, toda toma de decisiones automatizadas sería legítima hasta que el titular invocara su derecho a oponerse a dicha actividad. Puesto que esta redacción implicaría poner la carga procesal en el titular en vez de protegerlo por defecto, el Grupo de Trabajo del Artículo 29 interpretó administrativamente que, a pesar de que el artículo del GDPR habla de un derecho, en realidad se trata de una prohibición general.

En segundo lugar, las garantías del artículo 22 solo serían aplicables cuando la decisión se basará “únicamente” en el tratamiento automatizado de los datos del titular. Esto abría la puerta para que la participación nominal o simbólica de un ser humano en el proceso de la toma de decisión hiciera inaplicable el artículo. Nuevamente, el Grupo de Trabajo tuvo que salvar la norma interpretando que para entender que la decisión era tomada “únicamente” basada en el tratamiento automatizado de datos personales, la participación humana no debería ser “significativa”, excluyendo la participación nominal o simbólica para blanquear una decisión automatizada.

Por último, los considerandos del GDPR señalan que los titulares gozan del derecho a una explicación respecto de cómo se tomó una decisión automatizada que les afecte. Sin embargo, el artículo 22 solo entrega al titular el derecho a objetar la decisión, obtener una intervención humana y expresar su punto de vista. Hasta ahora la doctrina discute si el derecho a una explicación es un derecho sustantivo (detallado y respecto a una decisión específica) o solo el derecho a obtener información respecto a cómo funciona, a grandes rasgos, el sistema algorítmico.

En Chile aprendimos de estos errores y fuimos capaces de redactar una norma que supera estas dificultades. Así, el artículo 8 bis del proyecto de ley aprobado, entrega al titular el derecho a “oponerse y a no ser objeto” de decisiones automatizadas, dejando en claro que las personas solo podrán verse afectadas por este tipo de decisiones cuando se cumplan los requisitos legales.

Del mismo modo, nuestra norma eliminó el término “únicamente”, por lo que se evita la posibilidad de que los resguardos del artículo dejen de ser aplicables por la inclusión de una participación humana nominal en el proceso de toma de decisiones automatizadas. Por último, el artículo consagra explícitamente el derecho que tienen los titulares a exigir a los administradores del sistema una explicación respecto de cómo se llegó a la decisión automatizada que los afecta, lo que significa una mejora significativa respecto del nivel de protección al que están sujetos los titulares europeos.

Estas mejoras en la técnica legislativa no son casuales, sino que son el producto de un arduo debate al interior de las comisiones que estudiaron el proyecto en el Congreso, las que sesionaron múltiples veces e invitaron a decenas de expertos en la materia. Del mismo modo, fue clave la participación de distintos actores involucrados, tales como la academia, la industria y la sociedad civil.

Creo que el producto final de la ley de datos personales no fue una victoria avasalladora de las posturas de un actor en desmedro de los otros, sino que un proceso de negociación y compromiso de posiciones en juego que permitió la producción de una regulación que mantuvo un equilibrio entre los intereses de distintos representantes de la sociedad.

Pablo Viollier es coordinador del diplomado en protección de datos personales de la Universidad Central y abogado de DataCompliance.

¿De quién son mis datos?

September 14, 2020September 14, 2020 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 14 de septiembre de 2020 en Infoxidados

Cuando discutimos sobre protección de datos personales existe una inclinación muy natural e intuitiva a exclamar ¡Estos son mis datos! ¡Son míos, y como son míos, yo hago lo que quiero con ellos; yo los controlo y no dejo que otra persona decida por mí qué hacer con ellos! Especialmente en EE. UU, incluso los activistas de la privacidad recurren a esta narrativa para defender los derechos de los ciudadanos, abogando por el data ownership. En otras palabras, que los datos personales no sean algo que se pueda recolectar, procesar y comunicar libremente, sino que un activo sobre el cual sus “dueños” tienen el control.

Por supuesto que estas iniciativas son bienintencionadas y buscan empoderar a las personas, pero creo que incurren en un error conceptual que puede tener implicancias profundamente negativas. La propiedad es un derecho que facultad el uso, goce y disposición arbitraria sobre una cosa. Si yo soy dueño de una pelota de tenis, entonces si yo quiero la puedo quemar, la puedo regalar, la puedo vender o la puedo entregar en préstamo perpetuo. Pero ¿una vez que vendo la pelota, puedo volver a reclamar propiedad sobre ella? No, la vendí y ya no es mía.

¿Es posible aplicar esta misma lógica a la protección de datos personales? No, porque el vínculo entre un individuo y sus datos personales no es de propiedad, sino que de titularidad. Y no es de propiedad porque no puedo vender mi nombre, no puedo ceder mi RUT, ni puedo regalar mi huella digital.

Los datos personales son parte íntegra de la identidad de una persona. Por lo mismo, su protección no proviene del ejercicio del derecho a la propiedad, sino del ejercicio de un derecho fundamental autónomo denominado autodeterminación informativa. Y la autodeterminación informativa es un derecho humano realmente hermoso: es la facultad que tenemos todas las personas para decidir y controlar qué parte de nosotros mismos proyectamos frente a nuestros pares. Y, en la medida que somos capaces de proyectarnos frente a otros de la forma que autónomamente hemos decidido, somos capaces de construir nuestra propia identidad. Es, en otras palabras, un ejercicio de la libertad y la autonomía. Es la capacidad de todo ser humano de pararse frente al mundo y decir: este soy yo, soy quien yo quiero ser.

Construirse a uno mismo y tener una identidad pasa por decidir qué es lo que quiero que otros sepan de mí. Yo puedo ser un académico muy serio de día y un carretero de noche. Puedo proyectar una orientación sexual en mi trabajo y otra en mi vida privada. Puedo ser mujer de día y hombre de noche.

Este desenvolvimiento esencial de la identidad no es posible bajo el paradigma de la propiedad. Si yo le vendiera mis datos a Facebook, entonces nunca recuperaría el control sobre ellos. Pero nuestro ordenamiento jurídico no funciona así, garantiza al titular (la persona) la capacidad de siempre retractar su consentimiento y recuperar el control sobre sus datos. El ejercicio del derecho a acceso, rectificación, cancelación y oposición puede siempre ser ejercido por el titular, independiente de quien esté administrando los datos y bajo qué compromiso. Porque los datos personales nunca pueden desligarse del titular, siempre harán referencia a su identidad.

Por eso, entender este vínculo como uno de titularidad y no de propiedad no sólo nos permite empoderar y proteger mejor a las personas del tratamiento que terceros quieran hacer de sus datos. También nos permite aproximarnos al fenómeno desde una perspectiva distinta y garantizar este derecho como lo que es: un derecho humano.

El gran hermano en el bolsillo

July 2, 2020 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 01 de julio de 2020 en La Segunda

El anuncio del Ministerio de Salud respecto a implementar un seguimiento del flujo de población a través de las antenas celulares, generó una sana suspicacia en la población. Después de todo, en una democracia no le corresponde al gobierno conocer la ubicación, rutina y patrones de comportamiento de sus ciudadanos.

En este caso, la iniciativa no busca obtener la localización de cada individuo específico, sino de conocer cómo se comporta el flujo de población en su conjunto. En otras palabras, se pretende saber, por ejemplo, cuántas personas han circulado por la ciudad, cuántos kilómetros en promedio y si ha disminuido la movilidad durante la cuarentena, no contar con información sobre cada persona en particular.

¿Significa que esta información es inocua? Para nada. Para que esta política pública no vulnere los derechos de la población, se debe asegurar que estos datos no sólo se entregarán de forma anonimizada (que la ubicación de cada individuo no vaya ligada a su identidad), sino que también de forma agregada (relativa a la población en su conjunto). Es decir, al gobierno no se le debe entregar información específica de cada usuario, aunque sea anonimizada, sino que se le debe entregar ya procesada y en la forma de promedios: “tantas personas se movieron entre tal y tal sector” o “en promedio, la movilidad bajo tanto”.

De lo contrario, existe el peligro que la información desagregada pueda cruzarse con otras bases de datos y desanonimizarse. En otras palabras, sería posible reconstruir el vínculo entre la información y el individuo al cual refiere. Esta información es altamente sensible y en manos del estado se corre el riesgo que sea filtrada, mal utilizada o abusada.

Por último, para justificar esta medida, el gobierno debe demostrar que esta forma de calcular la movilidad de la población es sustantivamente mejor que la utilizada actualmente, y que es necesaria para una mejor toma de decisiones relacionadas a la pandemia. Si ya estamos midiendo el nivel de movilidad de forma satisfactoria, entonces simplemente no vale la pena echar mano a esta información sensible en manos de las empresas telefónicas.

Suelten los datos

April 29, 2020 ~ Pablo Viollier ~ Leave a comment

Publicada el 29 de abril de 2020 en La Segunda

Con justa razón, la comunidad científica ha reclamado mayor transparencia y acceso a los datos relativos al COVID-19, pero en esta materia es importante hacer algunas distinciones y dejar de hablar de “datos” a secas.

Por un lado, tenemos los datos estadísticos o disociados: cantidad de infectados, recuperados, tasa de transmisión, etc. Esta información no refiere a individuos específicos, sino que a la población y su acceso es esencial para poder generar modelos predictivos, flujos de congestión y, en general, tomar decisiones basadas en evidencia. Su puesta a disposición de forma desagregada y anonimizada no sólo facilita la labor de los expertos, sino que hace más transparente la actuación estatal, ayuda a despejar suspicacias y evitar la emergencia de teorías conspirativas.

Por otro, tenemos los datos de carácter personal, tales como la identidad de los contagiados, su domicilio y el contenido de su ficha clínica. El manejo excepcional de esta información es importante, por ejemplo, para controlar el cumplimiento de la cuarentena. Pero, al tratarse de datos altamente sensibles, quienes pueden acceder y procesar estos datos debe estar estrictamente restringido.

Algunos parlamentarios pretenden entregar acceso a la identidad y domicilio de los contagiados a los alcaldes, para facilitar la fiscalización de la cuarentena. Como siempre, el camino al infierno está pavimentado de buenas intenciones, y la verdad es que los municipios no cuentan con la capacidad de resguardar y manejar con reserva información así de sensible. Sólo la semana pasada fuimos testigos de cómo la casa de una familia en Vallenar fue apedreada por haber salido a la luz que eran COVID-19 positivos.

Incluso algunos gobiernos pretenden hacerse de la geolocalización de las personas sujetas a cuarentena a través de la información en manos de las compañías de telecomunicaciones. Esta propuesta debe ser rechazada de plano, puesto que la ubicación calculada a través de triangulación de antenas simplemente no es lo suficientemente precisa y la cantidad de falsos positivos generaría más problemas que beneficios.

En definitiva, podemos discutir limitar parte de nuestra privacidad para combatir el COVID-19, pero para ello la solución propuesta primero debe demostrar ser efectiva.

Peor que una filtración

September 29, 2019October 31, 2019 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 13 de agosto de 2019 en La Segunda

La semana pasada un grupo de investigadores reportó haber detectado una importante filtración de datos. Un archivo con información de 14 millones de chilenos apareció en un repositorio en línea; incluyendo el nombre, RUT, domicilio, género y edad de los afectados.

Al investigar la fuente de la filtración, llegaron a la conclusión de que el SERVEL estaba almacenando esta información sin las debidas medidas de seguridad. Lo que no sabían, es que la información se publicó intencionalmente, porque la misma ley obliga al SERVEL a subir el padrón electoral a internet.

Para los estadounidenses parecía claro que debía tratarse de un error, la sola idea de poder conseguir el número de seguridad social (equivalente a nuestro RUT) de millones de personas sería un escándalo de proporciones en su país. Sin embargo, en Chile lo tenemos completamente naturalizado.

Como sociedad no le hemos tomado el peso al hecho que -para todos los efectos prácticos- el RUT, nombre y dirección de todos los chilenos es un dato público. Hoy cualquier base de datos que se quiera construir para perfilar usuarios, cruzar información o generar listas negras tiene como base los datos facilitados por el SERVEL.

La justificación para publicar el padrón es que exista una adecuada fiscalización por parte de la ciudadanía. Sin embargo, esto no implica que los datos personales de todos los habitantes del país tengan que publicarse en línea.

Otros mecanismos de fiscalización del padrón pueden alcanzar el mismo objetivo sin vulnerar los derechos de la ciudadanía. Por ejemplo, se puede entregar acceso a partidos políticos, investigadores o ciudadanos interesados, pero exclusivamente en una red cerrada en las dependencias del SERVEL o se pueden entregar en formatos que no permitan su procesamiento masivo.

No enmendar el rumbo en esta materia puede tener gravísimas consecuencias en términos de ciberseguridad y protección de datos personales. El mundo está entrando en la era del Big Data, la inteligencia artificial y tratamiento algorítmico de bases de datos. Este futuro nos encontrará mal preparados si lo recibimos con la mentalidad de que un país entero tiene que vivir en una casa de cristal.

Mi selfie, ¿mi problema?

September 29, 2019October 31, 2019 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 22 de julio de 2019 en La Segunda

FaceApp es la nueva aplicación de moda. Es muy simple: te sacas una foto y la aplicación la modifica para mostrarte 20 años mayor o cómo te verías con la edad de un niño. Hasta ahí todo bien.

El problema es que los términos y condiciones establecen que al usar el servicio se otorga a la empresa una licencia perpetua, irrevocable, no exclusiva e internacional para usar, modificar y reproducir el contenido creado por el usuario. A todas vistas un abuso, especialmente teniendo en consideración que los rasgos faciales son un dato sensible.

Los desarrolladores han declarado que -en la práctica- los datos se almacenan en Amazon, se eliminan luego de 48 horas y no se utilizan para fines distintos que el funcionamiento de la aplicación. Eso puede ser cierto, pero no es lo que dicen las condiciones. Acá hay una lección para los abogados: no siempre es el mejor camino redactar cláusulas excesivamente amplias y abusivas para blindar al cliente.

Por otro lado, la narrativa hasta el momento ha sido culpar al usuario. Si un individuo acepta condiciones abusivas, entonces después no se puede quejar. Urge cambiar esta mentalidad. Las personas tienen derecho a usar una aplicación simpática sin tener que temer que sus datos van a terminar siendo traficados.

La evidencia muestra que al momento de instalar un programa o aplicación, prácticamente nadie lee los términos y condiciones. Incluso cuando un usuario se propone hacerlo, distintas investigaciones muestran que el contenido suele ser tan complejo que para entenderlo se requiere un nivel educativo equivalente a estudios de magíster. Para rematar, los documentos siempre están en inglés y las aplicaciones competidoras tampoco ofrecen mejores condiciones.

En otras palabras, el consentimiento por sí solo no es una forma efectiva de proteger a las personas. Otras ramas del derecho -como el derecho del trabajo y el derecho del consumidor- reconocen hace décadas la existencias de asimetrías de poder e información entre trabajadores, consumidores y empresas. La tramitación del proyecto de ley de datos personales se presenta como una oportunidad para avanzar en el mismo sentido, imponiendo resguardos sustantivos a los derechos de los usuarios.

El hambre por los datos

September 29, 2019October 31, 2019 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 5 de julio de 2019 en La Segunda

La sociedad en su conjunto ha avanzado cada vez más decididamente hacia un consenso sobre la importancia de proteger los datos personales. Sin embargo, no todas nuestras instituciones han acusado recibo de esta tendencia.

El año pasado, la Subsecretaría de Telecomunicaciones ofició a todas las empresas del rubro para que estas entregaran -respecto de todos sus clientes- información sobre números de teléfono, tipo de plan, datos sobre tráfico de voz y datos, así como su comuna y región. De todas las empresas, sólo Entel se negó a entregar toda la información solicitada y hoy el caso se encuentra en tribunales.

Más allá de que la Subtel excedió sus atribuciones, resulta preocupante que un organismo público exija este volumen de información. Por un lado, porque se trata de información que permite perfilar a los usuarios y que mediante un mínimo esfuerzo puede ser asociada a un persona determinada; pero también porque esta información se solicitó con la expresa finalidad de entregarlos a la empresa CADEM para que esta realice una encuesta de satisfacción.

La pregunta cae de cajón ¿estamos cómodos con que un organismo público exija información detallada de todos los habitantes del país, la ceda y luego una empresa particular la utilice para hacer encuestas?

No cabe duda que para diseñar políticas públicas eficientes es necesario echar mano al tratamiento de grandes volúmenes de bases de datos. Pero esto no implica caer en una falsa dicotomía entre innovar y proteger a las personas.

En realidad, este tipo de análisis se pueden conducir a través de información anonimizada o estadística, es decir, no vinculada a personas determinadas. Al mismo tiempo, la recolección de información debe ser proporcional: si el objetivo es realizar una encuesta, no es necesario acceder a la información de toda la población, sino que sólo una muestra de ella.

Recientemente nuestro país elevó la protección a de los datos personales a nivel constitucional, pero para que ello se concrete también es necesario cambio cultural y social en todos los niveles. De lo contrario, vamos a terminar borrando con el codo lo que hemos escrito con la mano.