Tag: Derechos Digitales

Chile necesita una regulacion de datos personales con dientes

~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 12 de julio de 2019 en Derechos Digitales

La tierra no es plana, las vacunas funcionan y Chile necesita actualizar su legislación de protección de datos. En materia de políticas públicas digitales, son pocos los temas que generan un consenso tan transversal como la necesidad imperiosa de que nuestro país fortalezca su nivel de protección y resguardo de la autonomía informativa de las personas. 

Así lo refleja un informe del año 2016, publicado por el Departamento de evaluación de la ley 19.628 de la Cámara de Diputados. El documento muestra cómo los representantes de la industria, sociedad civil, academia y distintos organismos públicos no solo creen que es importante modificar nuestra regulación, sino que también consideran urgente la creación de un organismo administrativo que sea capaz de fiscalizar el cumplimiento de la ley y sancionar a quienes infringen sus disposiciones. 

En la actualidad -y más allá de las falencias de la ley 19.628– el principal obstáculo que las personas enfrentan al momento de hacer efectivo su derecho a acceder, rectificar, oponerse o cancelar el tratamiento de sus datos personales es de carácter operativo. La ley establece un procedimiento denominado habeas data, que obliga a los titulares a recurrir a los tribunales civiles ordinarios de justicia. Para una persona común y corriente, esto implica contratar un abogado, invertir recursos y esperar un par de años para obtener ojalá una decisión favorable, con tribunales civiles sobrecargados que además no manejan la especialidad que requiere la protección de datos personales. Incluso, luego de haber superado esta ordalía, las sanciones establecidas por la ley son irrisorias, llegando a un tope de más o menos 3.600 dólares. Para empresas y para el Estado, los más frecuentes infractores, la suma es una sanción insignificante ya que las multas podrían ser fácilmente incorporadas como costos de operación. 

Por lo mismo, nadie se puede extrañar de que este procedimiento haya sido utilizado muy pocas veces, dando pie a la impunidad sobre el tratamiento ilegítimo de los datos personales de las personas chilenas; no porque la privacidad no importe, sino que se ha transformado en un privilegio defenderla. 

Aunque existe consenso en que nuestro país debe contar con una Agencia de Protección de Datos, actualmente existen distintos esquemas institucionales que se pueden implementar; cada uno con sus particularidades, partidarios y detractores.

Qué nos gustaría 

En Derechos Digitales hemos participado del proceso legislativo en distintas iniciativas para reformar la actual ley de datos personales; desde el proyecto presentado por el primer gobierno de Bachelet, la iniciativa que tuvo lugar en el primero gobierno de Piñera y el Boletín 11144-07 presentado en marzo de 2017, durante el segundo gobierno de Bachelet y actualmente en tramitación. 

Sí, es frustrante cuantas veces hemos tenido que empezar desde cero. 

Sobre la institucionalidad de control, nuestra posición siempre ha sido la misma: Chile merece contar con una Agencia de Protección de Datos de carácter administrativa, independiente, especializada y con patrimonio propio. En otras palabras, un modelo normativo similar al que dio origen a la Agencia Española de Protección de Datos, que cuente con independencia de otros organismos públicos para poder ejercer su labor de fiscalización sin presiones políticas externas y cuyas decisiones respondan a estándares profesionales. 

Para cumplir su labor a cabalidad, una agencia de estas características también debe contar con los recursos y atribuciones necesarias. No basta con que la entidad pueda fiscalizar el cumplimiento de la ley por parte de organismos públicos y privados, ni que pueda sancionarlos con multa. También es necesario que cuente con facultades para realizar campañas educativas, mantener registro de las bases de datos existentes, inspeccionar a los responsables de bases de datos, establecer medidas cautelares y coordinar cooperación internacional en el área. Por último, la agencia requiere facultades normativas, para generar jurisprudencia administrativa sobre los alcances e interpretación de la ley; a través dictámenes o resoluciones, ya sea de carácter general o pronunciamientos específicos. 

Originalmente el proyecto de ley creaba un organismo encargado de la protección de los datos personales, dependiente del Ministerio de Hacienda. Pero la creación de un nuevo organismo -independiente, especializado y con patrimonio propio- requiere de una inversión económica importante, que por razones políticas no se encuentra hoy disponible. Así, en julio de 2018 el ejecutivo ingresó una indicación sustitutiva, entregando esta tarea al Consejo para la Transparencia (CPLT), entidad que actualmente tiene la poco específica atribución de “velar” por el cumplimiento de la Ley 19.628 respecto de los organismos públicos, pero ninguna herramienta para hacer efectivo este control.

El problema concreto es que la creación de un nuevo organismo -independiente, especializado y con patrimonio propio- requiere de una inversión económica importante, que por razones políticas no se encuentra hoy disponible.

Lo perfecto es enemigo de lo bueno

En los últimos meses, la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado ha votado la mayoría de los artículos del proyecto relativos a temas de fondo –con algunos resultados no del todo satisfactorios desde nuestro punto de vista. Es posible que en las próximas semanas se revise lo relativo a la Agencia de Protección de Datos Personales: su institucionalidad, atribuciones y recursos. 

Al tratarse de la creación de un nuevo organismo público, este aspecto de la ley solo puede modificarse por iniciativa del Presidente de la República. Sin embargo, al no existir consenso respecto a qué organismo público debe convertirse en la nueva Agencia de Protección de Datos, es probable que se genere un intenso debate.  

Las alternativas parecen ser dos: un nuevo organismo público especializado en protección de datos personales que dependa de un ministerio, o entregarle esta atribución al CPLT. Como todo en la vida, ambas opciones tienen cosas a favor y en contra. 

La creación de un organismo nuevo tiene la fortaleza de que esta nueva institución tendría un carácter especializado, compuesto exclusivamente por expertos en materia de protección de datos personales. En este sentido, se podría asegurar que las decisiones estarían fundamentadas bajo criterios técnicos y serían tomadas por profesionales del área. 

Sin embargo, en cuanto al nivel de autonomía del organismo, este solo contaría con un nivel de “independencia funcional”, similar a la que cuenta la Fiscalía Nacional Económica respecto del Ministerio de Economía. Es posible argumentar que este nivel de independencia es suficiente; después de todo, la Fiscalía Nacional Económica ha funcionado bastante bien. Sin embargo, hay una diferencia fundamental entre ambos organismos: a la Agencia de Protección de Datos Personales le corresponderá conocer, decidir y sancionar casos concretos donde haya una contienda respecto al cumplimiento de la ley de datos personales por parte de un responsable de bases de datos. En este sentido, tiene sentido que dicha agencia tenga un nivel de autonomía más similar al Tribunal de Defensa de la Libre Competencia que el de la Fiscalía Nacional Económica. 

Esto es particularmente relevante si tenemos en consideración que el mayor recolector, almacenador y procesador de datos personales es el Estado. No solo en términos de cantidad de datos, sino que también es el que maneja más datos de carácter sensible y muchas veces ha sido el más negligente en el resguardo y manejo de esos datos. Por lo mismo, se vuelve esencial que la labor de la agencia este exenta de eventuales presiones políticas externas. Si el día de mañana un importante organismo público sufre una filtración de datos personales que le signifique una multa millonaria, necesitaremos un organismo de control que sea inmune al telefonazo de su superior jerárquico. 

Optar por el CPLT implica enfrentar el problema contrario. El Consejo cuenta con altos niveles de independencia y autonomía, y una legitimidad asentada frente a la ciudadanía y el poder político, pero desde su creación su labor ha estado enfocada en materializar los principios de acceso a la información pública y la transparencia en la actuación del Estado. Si bien es cierto que el acceso a la información pública y la protección de datos personales no son materias necesariamente excluyentes, se trata de áreas del derecho que tienen sus propios principios y particularidades. Los expertos que han sido formados profesionalmente en una de ellas pueden contar con un sesgo profesional. 

Creemos que esto puede evidenciarse en algunas decisiones del Consejo en las que no concordamos con la ponderación entre el resguardo de los datos personales de los titulares y el derecho de los ciudadanos de acceder a la información pública. Algunos casos de lo anterior han sido: la entrega de información estadística por parte del INE, el acceso a los correos electrónicos de funcionarios públicos y la entrega del listado de nombres de dominios administrado por NIC Chile.

Frente a las condiciones actuales, la mejora en la protección de los datos personales en Chile necesariamente pasa por priorizar la evaluación independiente acompañada de un reforzamiento sobre la especialidad; asegurar que la futura autoridad de Protección de Datos Personales pueda operar con autonomía y exenta de presiones en sus pronunciamientos es crucial. Un criterio similar puede encontrarse en el Reglamento General de Protección de Datos, el que al momento de determinar si un país cuenta con un “nivel adecuado de protección” se da prioridad a que cuente con una agencia independiente.  

Para ello el mecanismo de conformación de la institucionalidad requiere ser modificado con el fin de adecuarse a sus nuevas atribuciones. En este sentido sería positivo que el número de consejeros se aumentara a seis, a fin de que se convocara a tres expertos en protección de datos personales y tres expertos en acceso a la información pública.

De esta forma, el Consejo podría operar con dos salas especializadas de funcionamiento permanente. Para poder mantener un criterio unificado al momento de ponderar privacidad y transparencia, cada sala podría integrarse por tres consejeros: dos de ellos de la competencia de la especialidad de la sala y un tercero de la especialidad de la otra sala que podría ir rotando. De esta forma se puede fortalecer el criterio técnico en la disciplina respectiva, favoreciendo la uniformidad en la aplicación e interpretación de la ley. Además, para evitar que consejeros que provengan del mundo privado queden implicados por conflictos de interés en materia de fiscalización de empresas que tratan datos personales, también es necesario un régimen de inhabilidades como el contemplado en el proyecto de ley.

Por otro lado, siempre existe la posibilidad de transformar los desafíos en una oportunidad. Tener una misma institución encargada de velar por el acceso a información pública y la protección de datos personales -como sucede en Inglaterra- permitiría contar con un criterio unificado en esta materia. Por el contrario, contar con dos instituciones separadas podría generar el riesgo de decisiones contradictorias

No cabe duda de que será un desafío importante que el CPLT alcance un equilibrio al presentarse casos que enfrenten la protección de los datos personales de los ciudadanos con el derecho a acceder a la información pública. Sin embargo, es un objetivo que se puede alcanzar con el tiempo y con los reforzamientos en presupuesto y capacidades para el CPLT que hemos enfatizado a lo largo del texto. Por otro lado, una institucionalidad que no cuente con independencia y autonomía desde su concepción no podrá sacudirse nunca esta falencia y por tanto no podrá proveer a la ciudadanía mejor protección que la que gozan actualmente sus datos personales. 

Digital Economy Partnership Agreement ¿Hacia dónde va el primer tratado sobe economía digital?

~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 23 de agosto de 2019 en Derechos Digitales

El pasado 17 de mayo, los representantes de Chile, Singapur y Nueva Zelanda anunciaron la negociación de un nuevo tratado de comercio internacional: el Acuerdo de Asociación sobre Economía Digital (Digital Economy Partnership Agreement, DEPA). La novedad es que este será el primer tratado comercial dedicado exclusivamente a abordar los desafíos de la economía digital, especialmente luego del estancamiento de las negociaciones en la materia a nivel de la Organización Mundial del Comercio (OMC).

La semana pasada, la Subsecretaría de Relaciones Económicas Internacionales de Chile (ex DIRECON) convocó la primera reunión oficial, permitiendo a los miembros de la industria, la academia y la sociedad civil chilenas conocer más detalles sobre la iniciativa. Los primeros acercamientos se produjeron en diciembre de 2018 y hasta el momento se han celebrado tres rondas de negociación. La negociación será cerrada entre los tres países hasta su conclusión, pero luego se permitirá la adhesión de cualquier país que pertenezca a la OMC. 

En cuanto a las materias que se van a incorporar en el tratado, estas van desde las más tradicionalmente vinculadas al comercio electrónico (pagos electrónicos, no aplicación de tarifas aduaneras a servicios digitales, firma electrónica, etcétera) a temas nunca incluidos en un tratado internacional, como la regulación de la inteligencia artificial y la tecnología de cadenas de bloques (blockchain). Vamos por partes.

Nobleza obliga

Entre los temas que se han propuesto en la negociación, hay dos que son particularmente positivos (ambos propuestos por Chile). El primero, es la inclusión explícita de normas que promueven la utilización del cifrado. Esto es relevante porque la tecnología de cifrado de comunicaciones (especialmente de punto a punto) se ha transformado en una herramienta indispensable para mejorar los estándares de ciberseguridad de las industrias y los distintos servicios digitales. En este sentido, el cifrado no solo asegura que las personas puedan ejercer su derecho a la inviolabilidad de las comunicaciones, sino que promueve la confianza de los usuarios en la seguridad de los servicios y plataformas que operan en el ciberespacio. Esto tiene un efecto económico tangible, ya que estudios indican que el 33 % de los consumidores expresa haberse abstenido de adquirir productos y servicios en línea debido a consideraciones de seguridad y privacidad.

Su inclusión también resulta positiva a la luz de la iniciativa de distintos países para debilitar el cifrado, exigiendo a los desarrolladores incorporar “puertas traseras” en sus servicios, para “descifrar” el contenido encriptado. Estas puertas traseras son verdaderas vulnerabilidades informáticas, que no solo pueden ser aprovechadas por los gobiernos que las exigen, sino que también por delincuentes informáticos, como ya ha sucedido. Si bien todavía no se han dado a conocer los textos para cada propuesta, la inclusión de una norma que impida a los países exigir la inclusión de puertas traseras en programas informáticos sería un gran paso en la promoción de la ciberseguridad y el comercio electrónico.

Entre los temas propuestos también se encuentra la inclusión de normas que consagren el principio de neutralidad de la red. Este principio busca asegurar que los operadores de internet traten todo el tráfico que pasa por sus redes de la misma forma, impidiendo que puedan bloquear, interferir o priorizar cierto tipo de tráfico por sobre otro. Este principio básico de internet no solo promueve la competencia y la innovación al impedir que los operadores de internet puedan llegar a acuerdos privados con proveedores de contenido, sino que también promueve la existencia de un internet libre y abierta, al impedir que los proveedores puedan decidir qué contenido debe obtener un trato preferencial. 

Lo que puede mejorar

Derechos Digitales ha sido crítico de las disposiciones sobre comercio electrónico que han sido incluidas en tratados internacionales anteriores, como CPTPP o TiSA. Una de nuestras críticas es que las normas sobre flujo transfronterizo de datos personales establecen un mismo criterio para los “datos” (así, en general) que para los datos personales. 

Internet funciona por capas. En un modelo simplificado, existe una capa de infraestructura (cables, servidores, etcétera), una capa de protocolo (estándares y código) y una capa de contenido (interacciones entre seres humanos). Nadie discute que la arquitectura de internet exige que exista un libre flujo de información. En otras palabras, en la capa de infraestructura no debe existir una discriminación de hacia dónde o cómo viaja la información (los unos y los ceros). Sin embargo, los datos personales no se regulan en la capa de infraestructura, sino que en la capa de contenido. Al ser datos que se vinculan a personas naturales, su recolección y procesamiento tiene que cumplir con la regulación de cada país y respetar los derechos fundamentales de las personas. Así, el Reglamento General de Protección de Datos Personales de la Unión Europea permite que los datos personales de sus ciudadanos solo puedan transmitirse a aquellos países que tengan un nivel “adecuado” de protección. 

La negociación de DEPA se presenta como una oportunidad para enmendar el camino y redactar una norma sobre flujo transfronterizo de datos personales que haga las distinciones que hacen falta. Consagrando el valor del libre flujo de datos en la capa de infraestructura, pero estableciendo que (en la capa de contenidos) los datos personales solo podrán ser transmitidos cuando cumplan con la respectiva legislación de datos personales, o a lo menos, con una protección normativa efectiva a favor de sus titulares.

Aspectos preocupantes

Lamentablemente, la negociación del DEPA también incluye materias que resultan sumamente problemáticas y que deberían ser abandonadas de plano. Así, la negociación incluye normas para promover la adopción de políticas públicas sobre “identidad digital” similares al sistema National Digital Identity de Singapur.

Estas políticas no solo son problemáticas en términos de ciberseguridad, ya que implican concentrar el manejo de todos los datos personales de los ciudadanos en una base de datos centralizada , sino que muchas veces van acompañadas de la utilización de tecnologías de control biométrico. Esto hace que cualquier tipo de filtración, vulneración o mal utilización de la información genere una afectación mucho más grave al derecho a la autodeterminación de las personas. 

Si nuestros datos se filtran, siempre podemos cambiar nuestro correo electrónico, teléfono, domicilio e incluso nuestros nombres, pero es imposible cambiar nuestra iris o huella digital. En este sentido, la biometría es como una caja de pandora: una vez abierta las personas se ven imposibilitadas de recuperar el control sobre sus datos. ¿Qué pasará el día que un gobierno sufra la filtración o robo de todos los datos biométricos de sus ciudadanos? Además, las políticas de identidad digital promueven el uso de un método único de identificación frente a organismos públicos, pero también ante el mundo privado como forma de facilitar las transacciones económicas. Esto implica aumentar la capacidad de perfilamiento y vigilancia sobre los ciudadanos, tanto de los gobiernos como de las empresas, con las consecuencias democráticas que ello conlleva. 

Por otro lado, DEPA propone incluir normas sobre regulación de plataformas que buscan combatir el terrorismo y el discurso de odio en línea. Si bien estos son objetivos completamente loables, la responsabilidad de los intermediarios y la regulación del contenido en las plataformas es hoy un tema sumamente polémico, por las profundas consecuencias que puede tener en materia de libertad de expresión. 

Hacer responsables directamente a los intermediarios del contenido que suben sus usuarios obliga a las plataformas a monitorear permanentemente lo que circula en sus servicios y bajar “preventivamente” y sin un debido proceso cualquier material que pueda ser infractor. A eso se suma el uso de algoritmos e inteligencia artificial pero, dado que ninguna máquina tiene la capacidad de comprender las complejidades del lenguaje humano, estos mecanismos han demostrado no ser confiables a la hora de moderar contenido.

Además, tales sistemas terminan bajando más contenido legítimo, mientras que el contenido que se busca combatir se mantiene disponible. También resulta problemático que sean empresas privadas las que terminan decidiendo sobre actos de expresión (muchas veces de forma muy deficiente) sin una ponderación entre derechos fundamentales. Por lo mismo, a pesar de las buenas intenciones, consagrar reglas sobre esta materia en un tratado internacional podría generar profundos efectos perjudiciales a futuro.

Por último, DEPA se propone reconocer la importancia y crear marcos para una implementación progresiva, confiable y segura de tecnologías emergentes como la inteligencia artificial y las cadenas de bloques. Más allá de los peligros que la implementación de la inteligencia artificial puede implicar en materia de sesgos algorítmicos, y que al parecer las cadenas de bloques no serán implementadas en la escala que alguna vez se especuló, no resulta recomendable que un tratado internacional se refiera a tecnologías particulares, que no necesariamente van a resistir el paso del tiempo. Una aproximación que involucre criterios de neutralidad tecnológica resultaría más aconsejable en esta materia.

En definitiva, la negociación de DEPA se presenta como una gran oportunidad para incluir temas que promuevan la ciberseguridad y la neutralidad de la red, al mismo tiempo que se mejora la forma en que se abordan materias que han sido tratadas de forma deficiente en el pasado. La promoción de la ciberseguridad, la certeza jurídica y una aproximación de derechos humanos en el tratamiento de datos personales es un elemento que sin duda favorecerá la confianza en el ciberespacio y el comercio electrónico. Sin embargo, esta oportunidad puede verse opacada por la inclusión de materias sensibles y que pueden ser incompatibles con el ejercicio de los derechos fundamentales de las personas. Por suerte la negociación todavía se encuentra en su etapa inicial y todavía hay tiempo para enmendar el rumbo en los temas problemáticos y profundizar en aquellos que son positivos.

Por una ley de delitos informáticos que proteja y respete los derechos de las ciudadanas en internet

~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 8 de noviembre de 2018 en Derechos Digitales

Esta semana ingresó al Senado de Chile, a través del Boletín 12192-25, el tan esperado proyecto de ley que modifica la legislación sobre delitos informáticos y deroga la actual Ley 19.223. El proyecto también busca cumplir con los compromisos internacionales adquiridos por Chile al ratificar el Convenio de Budapest, instrumento internacional que busca homogeneizar la regulación de los delitos informáticos a nivel internacional y mejorar la capacidades de colaboración de los distintos países en la persecución del crimen en línea.

El proyecto de ley se presenta como una oportunidad para subsanar las falencias que la doctrina y la jurisprudencia han apuntado hace más de una década en materia de delitos informáticos. Sin embargo, el proyecto en su forma actual desperdicia las oportunidades de flexibilidad en la implementación del Convenio de Budapest, para que la regulación de los delitos informáticos se pueda promover la seguridad de las personas en línea y a la protección de sus derechos fundamentales.

En los siguientes párrafos nos enfocaremos en tres elementos particularmente problemáticos del proyecto que, sin ser los únicos y más allá del perfeccionamiento de la técnica legislativa, requieren un cambio sustantivo de aproximación durante el debate legislativo, para que las normas que se aprueben protejan efectivamente a las personas y el ejercicio de sus derechos en línea.

Ausencia de una regulación que garantice la legalidad de las investigaciones de seguridad informática

La capacidad para formar, capacitar y entrenar a profesionales dedicados a la seguridad informática se ha transformado en una prioridad de los países que buscan mejorar la ciberseguridad de su industria local, del aparato público y sus ciudadanos. Es por ello que la detección y el reporte de vulnerabilidades informáticas se han transformado en actividades que los Estados se han propuesto promover, al punto en que ciertas industrias han prometido premios en dinero a aquellos que detecten y reporten dichas vulnerabilidades en sus sistemas.

Para cumplir su labor, los expertos de seguridad informática deben contar con la certeza de que su actividad es lícita y de que no serán perseguidos por su actuar de buena fe y en función del interés público. Lamentablemente, la tipificación del delito de acceso ilícito del proyecto está redactada de forma que abre la puerta para la criminalización de esta actividad necesaria y deseable.

El artículo 2 del proyecto solo exige que el acceso a un sistema informático se haga de forma indebida, independiente de si este acceso se realiza de buena o mala fe, o con la intención de apoderarse o conocer indebidamente la información ahí contenida. Al considerarse el requisito de “indebido” como sinónimo de “sin permiso”, el experto en seguridad informática que acceda a un sistema para probar la seguridad del mismo en búsqueda de vulnerabilidades estará cometiendo un delito, Incluso si su actividad es realizada de buena fe y con la intención reportar la vulnerabilidad al administrador del sistema.

El proyecto también establece que vulnerar, evadir o transgredir medidas de seguridad informática para lograr dicho acceso constituye una agravante para la comisión del delito. Sin embargo, esta agravante debería ser en realidad un requisito del delito de acceso ilícito, ya que no puede existir un delito informático si el perpetrador no ha superado algún tipo de barrera técnica. De lo contrario, la simple infracción de una obligación contractual o de los términos y condiciones de un sitio web pasarían a constituir un delito castigado por la ley, desnaturalizando el bien jurídico protegido de los delitos informáticos y entregando menos incentivos para que los actores del ecosistema digital establezcan medidas de seguridad efectivas para sus sistemas.

Para subsanar estas imprecisiones y evitar que la legislación criminalice a quienes se dedican profesional o voluntariamente a mejorar la seguridad de los sistemas informáticos, se hace necesario que el delito de acceso ilícito tenga como requisito un componente volitivo que apunte a la mala fe de la acción. Del mismo modo, es necesario que el proyecto defina qué entiende por “indebidamente”, aclarando que la mera infracción de obligaciones contractuales o términos y condiciones no son suficientes para cumplir esta condición. Por último, la superación de una barrera técnica debe ser un requisito del tipo penal y no un agravante del mismo.

El problema de cifrado

El cifrado de punto a punto es una tecnología clave para promover la seguridad de los sistemas, la inviolabilidad de las comunicaciones y la privacidad de las personas. El rol del cifrado de punto a punto en la promoción de la ciberseguridad es tal que la Política Nacional de Ciberseguridad chilena explícitamente llama a promover su adopción como forma de mejorar la resiliencia de los sistemas de tratamiento de la información.

Sin embargo, el proyecto se encuentra mal encaminado en esta materia al establecer que el uso de tecnologías de cifrado se considerará como un agravante de cualquiera de los delitos contenidos en la ley, en la medida que tenga por principal objetivo obstaculizar la acción de la justicia. Esta propuesta es preocupante por varias razones.

En primer lugar, criminalizar el cifrado atenta contra el principio de derecho penal que considera no condenable el auto encubrimiento. Castigar el que la persona oculte su identidad, acción que formaría parte de la comisión del ilícito, equivale a castigarlo por no favorecer su propia persecución penal. A lo anterior se suma la dificultad que implicaría el discernir cuando una tecnología es utilizada “principalmente” para obstaculizar a la justicia, en particular -como veremos a continuación- cuando el cifrado se ha transformado en el estándar para la industria a nivel global para garantizar la mayor protección de las personas en sus comunicaciones. En tal sentido, en un futuro inmediato simplemente será imposible cometer un delito informático sin haber utilizado alguna forma de tecnología que involucre cifrado. Así, la redacción del proyecto implicaría que todos los delitos informáticos estarían -por defecto- agravados por esta causal.

Más allá de la deficiencia de técnica legislativa y la perspectiva del interés jurídico por la mayor protección de las personas en el uso de las tecnologías, a cuya protección está orientada la ley de delitos informáticos, la criminalización de la utilización del cifrado de punto a punto va en el sentido inverso a dicho interés, colocando un severo desincentivo a las empresas y proveedores de tecnología que utilizan el cifrado como un elemento que mejora la seguridad de las personas y los sistemas informáticos, lo que es necesario promover y no desincentivar, como lo reconoce la Política Nacional de Ciberseguridad y la Resolución sobre Promoción, protección y disfrute de los derechos humanos en Internet de las Naciones Unidas.

Retención de metadatos: el fantasma del Decreto Espía

Actualmente las empresas proveedoras de internet tienen la obligación de almacenar y tener a disposición del Ministerio Público un listado actualizado anualmente de los números IP involucrados en las conexiones que realicen sus clientes. Esto implica que las empresas de internet tienen que crear gigantescas bases de datos con los datos de tráfico de las comunicaciones (o metadatos) de todos sus usuarios.

Los metadatos son, como su nombre lo indica, “datos sobre un dato”. No se trata del contenido de la comunicación, sino de la información que acompaña a dicha comunicación: fecha, hora, duración, geolocalización, intervinientes e información del dispositivo. Si bien los proponentes de las políticas de retención de metadatos tratan de convencernos de que se trata de información inofensiva, que no tienen el carácter de dato personal, lo cierto es que el análisis de la información de tráfico agregada de una persona permite inferir elementos sensibles como sus rutinas, hábitos, redes de interacción, sitios con los que interactúa, perimitiendo inclusopredecir su comportamiento.

Es por ello que en 2014 la Unión Europea declaró inválida la directiva sobre retención de metadatos  por resultar desproporcionada, al aumentar innecesariamente la capacidad de vigilancia del Estado y vulnerar los derechos de las personas. Del mismo modo, las políticas de retención de metadatos invierten el principio de inocencia: se recolecta información sensible de toda la población ante la posibilidad de que alguno de nosotros cometa un crimen y esa información hipotéticamente pudiese resultar útil en un proceso penal. Se nos trata a todos como sospechosos hasta que demostremos lo contrario, contraviniendo lo establecido en el artículo 4 de nuestro código de procedimiento penal.

Por último, la retención de metadatos es contradictoria con la finalidad buscada por la ciberseguridad. La ciberseguridad se trata de generar la condiciones para que las personas estén más seguras en el uso del ciberespacio. La retención de metadatos no solo es una medida desproporcionada que aumenta los costos de las empresas de internet, sino que implica que estas tendrán que almacenar innecesariamente el historial de nuestras comunicaciones. Estos datos sensibles serían expuestos innecesariamente a ser mal utilizados por quienes los almacenan o robados por delincuentes informáticos. Se trata, en definitiva, de una medida técnico-organizativa contraria a la ciberseguridad.

En Chile ya tuvimos una amplia discusión pública sobre las consecuencias adversas de la implementación de este tipo de medidas el año 2017, cuando se discutió la eventual aprobación del llamado Decreto Espía. Esta iniciativa fue rechazada por la Contraloría e incluso fue rechazada por actores de la academia, la sociedad civil, la comunidad técnica y de todo el espectro político.  

Sin embargo el proyecto de ley busca, en definitiva, aprobar los principales elementos contenidos por el Decreto Espía a través de la ampliación de la definición de “datos relativos al tráfico” para incluir información no contemplada hoy en nuestra legislación, incluyendo la localización de las comunicaciones. Del mismo modo, el proyecto pretende extender el período de retención de datos de tráfico de uno a dos años -al igual que el decreto espía- y mantiene que este sería un período mínimo y no máximo.

Las políticas de retención de metadatos han demostrado ser ineficaces para el combate del delito, vulneratorias de los derechos fundamentales de las personas, costosas para la industria, contrarias a los principios de ciberseguridad y han sido consistentemente cuestionadas en diferentes jurisdicciones alrededor del globo. Es por ello que su propuesta no debería tener lugar en un proyecto de ley que busca generar las condiciones para mantener la seguridad de las personas.

Aún estamos a tiempo

La buena noticia es que en el proceso legislativo existe la oportunidad de enmendar el rumbo del proyecto de ley y que se ingresen las enmiendas necesarias para subsanar sus falencias. Es labor de los parlamentarios modificar la iniciativa de forma tal que se eliminen sus elementos contradictorios y se perfeccionen todos aquellos que requieren ser afinados.

El Convenio de Budapest otorga a los países la flexibilidad necesaria para que implementen sus obligaciones de una manera consistente con el ejercicio de los derechos fundamentales. Es responsabilidad del gobierno y de los parlamentarios aprovechar esa flexibilidad para legislar protegiendo los derechos de los ciudadanos, un compromiso fue expresamente afirmado en la discusión parlamentaria sobre la ratificación del Convenio de Budapest, tanto en la comisión de relaciones exteriores de la Cámara como del Senado. El ejecutivo se comprometió a que la implementación del Convenio de Budapest no iba a significar un debilitamiento de los estándares procesales, derechos y garantías al interior del proceso penal. Algunos parlamentarios, como el diputado Vlado Mirosevic, incluso condicionaron su voto a dicho compromiso explícito.

Esperamos que el ejecutivo honre la palabra empeñada y se abra a modificar el proyecto a fin de que este cumpla su objeto de proteger los derechos de los ciudadanos en el ciberespacio.  

Avanza la tramitación de la ley de datos: lo bueno, lo malo y lo feo

~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 19 de julio de 2018 en Derechos Digitales

El pasado 3 de julio, luego de muchísima expectación y múltiples extensiones de plazo, el ejecutivo ingresó sus indicaciones al proyecto de ley que regula la protección de datos personales que hoy se encuentra en tramitación en el Senado. Este hito es relevante, porque estas modificaciones perfilan la orientación que el ejecutivo buscará entregar a la tramitación del proyecto durante su mandato.

A continuación, nos proponemos analizar lo bueno, lo mano y lo feo de las modificaciones propuestas, con especial énfasis en la toma de partido respecto de la institucionalidad encargada de velar por el cumplimiento de la ley.

Lo bueno

Las indicaciones del ejecutivo recogen muchas de las inquietudes y propuestas manifestadas por distintos académicos, expertos, organizaciones de la sociedad civil y organismos públicos. En cuanto a disposiciones de fondo, es posible observar que las modificaciones propuestas reponen los hábitos personales como elemento mencionado en la enumeración de datos de carácter sensible. Esta mención es particularmente importante, ya que una parte importante del modelo de negocios de los servicios que utilizamos depende cada vez más de rastrear nuestros patrones, rutinas y hábitos de forma precisa.

Otra figura importante que se modifica es la excepción de fuente accesibles al público. La regla general es que, para tratar un dato personal, se requiere el consentimiento de su titular. Actualmente, el hecho de que un dato se encuentre en una fuente accesible al público se configura como excepción a este principio; una excepción tan amplia que termina transformando la desprotección en la regla general. De ahí la proliferación de sitios web que exponen nuestros datos o de empresas que los utilizan para entregar inteligencia de negocio a campañas políticas.

El proyecto original no subsanaba de forma satisfactoria esta situación. La indicación, por su parte, establece que la definición de qué se considera una fuente accesible al público no será amplia, sino taxativa. Esto quiere decir que un número limitado y establecido de fuentes de información tendrán esta categoría, y que ese listado será revisado anualmente por la entidad encargada de protección de datos. De esta forma se limita qué fuentes de información efectivamente pueden operar como excepción al principio del consentimiento, y se permite que este listado cuente con cierta flexibilidad.

Siguiendo con las excepciones, el proyecto original establecía como excepción al consentimiento del titular el hecho de que el interesado en tratar datos personales contara con un “interés legítimo” en su tratamiento. Esta figura fue tomada del Reglamento General de Protección de Datos de Europa, pero sin importar junto con ello todos los resguardos y limitaciones a su aplicación que en él se establecen. La indicación propone definir qué se entiende por interés legítimo, limitándolo a actividades particulares y excepcionales.

Por otro lado, se elimina la exigencia de que los titulares solo se puedan oponer al tratamiento automatizado de sus datos personales cuando estos los afecten de forma significativamente negativa o les produzcan efectos jurídicos adversos. De esta forma, el titular tendrá mayor libertad para oponerse a la toma de decisiones algorítmicas respecto de su persona y la elaboración de perfiles a partir de sus datos personales, sin entrar discutir su calificación.

Lo malo

Así como el proyecto avanza en las materias antes mencionadas, también retrocede o no subsana carencias de varias de sus disposiciones. Uno de los elementos en que el proyecto había retrocedido respecto de la actual Ley 19.628 es en la obligación de los organismos públicos de registrar las bases de datos que administren. Lo conducente hubiese sido que dicha obligación se extendiese también a las entidades privadas, sin embargo, el gobierno optó por reponer esta obligación exclusivamente a los organismos públicos a través de la creación del Registro Nacional de Bases de Datos.

Otro elemento negativo es que la definición de motor de búsqueda propuesta establece explícitamente que estos serán considerados como responsables de bases de datos. Esto implica que respecto de buscadores como Google, Bing o DuckDuck Go o Yahoo los titulares podrán hacer efectivo el derecho de cancelación y oposición, para lograr desindexación de su información, situación que ha sido denominada como “derecho al olvido”.

Como hemos dicho con anterioridad, si bien debe existir una solución para aquellas personas que se ven afectadas por la disponibilidad de información inexacta, desactualizada o que les impide su reinserción en la sociedad, dicha solución debe tener en consideración los otros intereses jurídicos involucrados, tales como la expresión, el derecho a obtener información, la memoria histórica y al ejercicio del periodismo de investigación.

Por último, el proyecto establecía que el consentimiento no se considerará una base jurídica suficiente para la validez del tratamiento de datos, cuando exista un desequilibrio ostensible entre la posición del titular y el responsable. Existen argumentos entendibles respecto de la falta de certeza jurídica que puede producir esta disposición. Sin embargo, la modificación propuesta no entrega una herramienta para hacerse cargo de la desigual condición en que se encuentra un usuario respecto de una empresa al momento de contratar. De esta forma, solo se exige que, si al momento de contratar el responsable pide la entrega de datos no relacionados con el contrato, esta situación se encuentre destacada, que no es un remedio suficiente a la situación de desequilibrio en juego.

Lo feo

Ya mencionamos que al momento de definir qué se entiende por interés legítimo, la modificación propuesta limitó las situaciones en que esta excepción puede ser utilizada. El articulado entrega un listado de situaciones que cumplen con esta definición, entre las que se encuentran actividades de prevención del fraude, seguridad informática, investigación con fines históricos, estadísticos, y científicos, entre otros. Sin embargo, en este listado de actividades que se considerarán un “fin legítimo” se incluyó el marketing directo, es decir, el envío de publicidad por parte de las empresas. En otras palabras, las empresas no requerirán el consentimiento de las personas para enviar publicidad dirigida. Esta inclusión es injustificada, arbitraria y solo puede entenderse en base al lobby de la industria en la materia.

Por último, las infracciones de tratamiento de datos inexactos y de denegar las peticiones de los titulares de datos sin causa justificada con las indicaciones pasaron de ser infracciones graves a infracciones leves.

Y ahora ¿Quién podrá defendernos?

Es esencial que la nueva legislación de protección de datos sea rigurosa, robusta y cuente con una aproximación de derechos fundamentales. Sin embargo, sin una institucionalidad que sea capaz de hacer efectiva esas obligaciones, la ley está destinada a convertirse en tinta sobre un papel.

Es por ello que la decisión de cuál será el organismo encargo de velar por el cumplimiento de la nueva ley se transformó desde el primer día en una de las principales definiciones de la modificación legislativa.

El proyecto original creaba una nueva institucionalidad, de carácter técnico y dependiente del Ministerio de Hacienda. Esta dependencia funcional generó resquemores respecto del nivel de autonomía e independencia de la entidad, especialmente al momento de fallar casos relacionados con organismos públicos.

La modificación propuesta por el ejecutivo hace un golpe de timón, y entrega al Consejo para la Transparencia la tarea de velar por el cumplimiento de la ley. Para ello establece que este organismo se deberá dividir en dos áreas (una para acceso a la información y otra para protección de datos personales), operar en dos salas (también divididas temáticamente) y aumenta su número de consejeros de cuatro a cinco. Del mismo modo, los consejeros pasan a tener dedicación exclusiva, se establecen incompatibilidades respecto de aquellos que puedan tener intereses en el sector privado y quienes hayan sido sancionados previamente por tratamiento indebido de datos personales.

Si bien el Consejo para la Transparencia cuenta con un nivel mayor de autonomía que la institucionalidad propuesta por el proyecto original, su carácter especializado y técnico requiere ser profundizado. La transparencia y la protección de datos personales no son disciplinas excluyentes, pero sin duda responden a principios distintos e incluso a una formación profesional particular.

En este sentido, sería positivo que durante la tramitación legislativa se aumente el número de consejeros a seis, y exigir que la mitad sea especialista en materia de protección de datos personales. Por último, resulta indispensable dotar a la nueva institucionalidad con las herramientas necesarias para fiscalizar de forma efectiva al sector privado, especialmente teniendo en consideración que el ejecutivo ha decidido correctamente aumentar el monto de las multas hasta un 4% del volumen de negocios anual de la institución infractora.

Cómo el gobierno de Chile ha dado rienda suelta a sus policías

~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 1 de febrero de 2018 en Derechos Digitales

El escándalo

La Operación Huracán se detiene en razón de un peritaje encargado por la Fiscalía, el cual arrojó que dichos mensajes fueron introducidos en los celulares de los imputados con posterioridad a la incautación de sus equipos, es decir, después de haber presentado esos mensajes como antecedentes para perseguir. En otras palabras, se trata de un montaje policial de la mayor gravedad, que levanta aún más dudas sobre el actuar de Carabineros en la región, y de las excesivas facultades y el poco control con los que se le permite operar a las policías.

Cuesta explicar las horas que dedicamos en Derechos Digitales a especular sobre cuál sofisticado mecanismo había utilizado la inteligencia de Carabineros para interceptar la comunicación entre los comuneros. Y es que los mensajes de WhatsApp, y Telegram bajo ciertas circunstancias, cuentan con tecnología de cifrado de punto a punto. Por tanto, no son accesibles ni siquiera por las empresas de telecomunicaciones ni las de mensajería, menos aún por un tercero.

Sin embargo, resulta que no se trató de un sofisticado software de vigilancia, sino que la supuesta evidencia consistiría en archivos .txt, los que no tienen relación con el formato utilizado por los servicios de mensajería para sus respaldos de conversaciones, y que estaban localizados en carpetas distintas a las utilizadas por las aplicaciones. Aun peor, como muestran los peritajes, estos archivos fueron introducidos después de que los equipos fueron requisados por carabineros.

Para colmo, y como lo habían anunciado los familiares de los imputados, muchos de los celulares ni siquiera tenían instaladas las aplicaciones de mensajería. No podría haber sido de otra forma, luego de haberse destapado que el experto de Carabineros no parecía el genio criptógrafo que imaginábamos.

Las policías y el principio de no deliberación

Uno de los principios que inspiran el sistema normativo chileno es el de no deliberación de las policías. Esto implica que la policía no es un interviniente en el proceso penal, sino un órgano auxiliar de Fiscalía. En otras palabras, la investigación está a cargo de Fiscalía, y las policías solo están encargadas de realizar las diligencias que ésta les encargue.

Sin embargo, el uso impropio de la Ley 19.974 Sobre el sistema de inteligencia del Estado ha permitido justamente vulnerar este principio. Seamos claros: no corresponde la utilización de la ley de inteligencia para recabar prueba en un proceso penal. El objetivo de la inteligencia es el proceso sistemático de recolección, evaluación y análisis de información, cuya finalidad es producir conocimiento útil para la toma de decisiones del Estado, con fines específicos delimitados en la ley. La producción de prueba al interior del proceso penal tiene sus propias reglas, que buscan cautelar el debido proceso del imputado y están reguladas en el Código Procesal Penal.

Parte de la gravedad de este caso, es que Carabineros utilizó la Ley de inteligencia para solicitar directamente a la Corte de Apelaciones la interceptación de comunicaciones de los sospechosos. En otras palabras, a través de esta estratagema, Carabineros pudo operar sin el control de Fiscalía, produciendo antecedentes fraudulentos y luego presentándolos como prueba al interior del proceso penal. Esto es totalmente inaceptable en un Estado de Derecho.

Para colmo, Carabineros no proporcionó información sobre cómo fue obtenida la supuesta prueba, dejando a los acusados en la indefensión, ya que no contaban con los antecedentes necesarios para poder desmentir la veracidad de los antecedentes que se invocaban para acusarlos. Cuando se destapó el montaje, Carabineros mostró su oposición a la investigación del escándalo y se opuso físicamente al allanamiento de sus oficinas, situación que trae un amargo recuerdo en un país donde la falta de obediencia de las fuerzas armadas al poder civil es más bien reciente.

¿Quién vigila a los vigilantes?

Si bien es evidente que Carabineros debe asumir responsabilidad por sus actos, y corresponde que el general Villalobos presente su renuncia, lo cierto es que el problema no termina ahí. Lo que realmente está detrás de esto es un gobierno que ha decidido sistemáticamente apoyar el actuar de Carabineros en desmedro de su necesaria subordinación al poder civil. El hecho de que el Ministerio del Interior se haya opuesto al cierre de la investigación en la Operación Huracán (fuera de plazo, por lo demás) y que el subsecretario Aleuy no haya esperado los resultados del proceso para viajar a Argentina a desbaratar un supuesto tráfico de armas que nunca existió, dan cuenta de aquello.

El subsecretario Aleuy también jugó un rol en otra iniciativa que buscaba otorgarle facultades desproporcionadas a carabineros en desmedro de Fiscalía: el Decreto Espía. Como anunciamos en su momento, el decreto buscaba entregar acceso a nuestros metadatos a las policías sin necesariamente contar con una orden judicial. Fuentes periodísticas muestran que esto incluso significó la ausencia de Fiscalía en la mesa técnica que redactó el polémico decreto. El contundente fallo de Contraloría que detuvo la aprobación del Decreto Espía hizo eco de estos temores, al señalar que el decreto utilizaba referencias genéricas tales como «toda otra institución» o «autoridad» a referirse a las entidades que tendrían acceso a esta base de metadatos, posiblemente incluyendo así a Carabineros.

Ante esto, corresponde que la Subsecretaría del Interior asuma la responsabilidad política de intentar conseguir arrestos en el conflicto mapuche sin consideración a las debidas garantías del proceso penal; así como de intentar dotar a las policías de facultades incompatibles con el debido proceso.

Como ya dijimos, también la prensa está en deuda con la opinión pública, y le cabe asumir una cuota de responsabilidad. Fuera de contadas excepciones, la prensa nacional se contentó con reproducir la versión de Carabineros, que sostenía que estos mensajes habían sido interceptados por medios técnicos. No existió una debida contrastación de los hechos, ni consulta a expertos en la materia, que podrían haber aportado un sano nivel de escepticismo respecto de la factibilidad técnica de esta versión oficial.

¿Y ahora, qué?

Toda tragedia puede convertirse en una oportunidad. Las revelaciones de la última semana son gravísimas; y como en las comedias en donde el protagonista se mete cada vez más en problemas por tratar de tapar su mentira inicial, lo más probable es que se sigan destapando más antecedentes en los próximos días.

Este escándalo también provee una oportunidad para enmendar los cuerpos jurídicos que, sumados a prácticas cuestionables y al apoyo del gobierno, permiten que estas prácticas vulneratorias ocurran. Es necesario revisar nuestra Ley de inteligencia, a fin de que no pueda ser utilizada por Carabineros para operar sin el debido control de Fiscalía. Es necesario regular la compra de software (malware) de vigilancia por parte del Estado, cuestión pendiente desde la revelación de que la PDI había adquirido software de Hacking Team para obtener acceso a información que no obtendrán a través de una orden judicial. Hay que limitar las hipótesis en donde el Estado pueda incurrir en interceptación de comunicaciones o de equipos respecto de sus ciudadanos, de tal manera que se condiga con estándares internacionales, y se realice conforme a criterios de necesidad, idoneidad y proporcionalidad. Por último, es necesario que los órganos judiciales y políticos encargados del control de la operación de los órganos de inteligencia hagan su trabajo, como depositarios de la fe pública en el resguardo de los derechos de la ciudadanía.

En este sentido, los lineamientos de la recién estrenada Política Nacional de Ciberseguridad deben ser utilizados como una hoja de ruta para enmendar nuestro marco jurídico en la materia. Hoy más que nunca requerimos de una aproximación de derechos fundamentales para abordar materias complejas como la vigilancia, la interceptación de comunicaciones, el cifrado y las atribuciones de los órganos de persecución penal. Como Derechos Digitales seguiremos dando la batalla para que la persecución del delito no se transforme en una excusa para pasar por sobre los derechos de las personas.

Obras huérfanas: un limbo que no beneficia a nadie

~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 3 de febrero de 2017 en Derechos Digitales

En el pasado ya hemos mencionado cómo, al proteger desproporcionadamente los intereses de los titulares sobre los del público, el sistema de derechos de autor no cumple con su objetivo de entregar acceso al conocimiento y a la participación en la actividad cultural, o a promover la libertad de expresión. Bajo ciertas circunstancias, la institución de las “obras huérfanas” busca remediar este desbalance pero lamentablemente, ningún país de Latinoamérica ha legislado al respecto.

El sistema internacional de derechos de autor se basa en el principio de que cualquier uso que un tercero desee realizar sobre una obra requiere la autorización expresa del titular de los derechos sobre la mismo (quien puede o no ser su autor). Esto es lo que Lawrence Lessig denominó la “cultura del permiso”, en contraposición con una “cultura libre”. Sin duda que exigir autorización del titular para cada uso que se quiera hacer de una obra limita el acceso al conocimiento y la creatividad pero existen casos donde, sin justificación alguna, la impiden por completo.

Por ejemplo cuando, a pesar de que el tercero que desea utilizar la obra está dispuesto a conseguir la autorización del titular y pagar por dicha utilización, conseguirla no es posible, ya sea porque es imposible identificar al titular o porque es imposible ubicarlo.

Por tanto, las obras huérfanas son aquellas en que ninguno de los titulares de los derechos de autor sobre la obra está identificado o, de estarlo, no es posible localizarlo para obtener la autorización para utilizar la obra. Así, las obras huérfanas se encuentran en un limbo que no beneficia a nadie: no generan un beneficio económico para su titular, en tanto no es posible conseguir su autorización, pero no pueden ser utilizadas aunque exista la voluntad de pagar por su uso. Es un caso de total pérdida social a raíz de la irracionalidad del sistema de derecho de autor.

Esta situación es particularmente delicada para instituciones cuya misión es el rescate patrimonial, como son los museos, los archivos, las bibliotecas y las galerías, ya que la existencia de obras huérfanas genera un hoyo negro cuando se desea digitalizar obras del siglo XX. Ante la imposibilidad de hallar a los titulares de las obras que buscan rescatar y preservar, estas instituciones se ven obligadas a tomar una decisión injusta: o no exhibir la obra por ser imposible cumplir con la legislación o exhibirla de todas formas y exponerse a las sanciones establecidas en la ley. En otras palabras, la legislación de propiedad intelectual trata como delincuentes a instituciones como archivos, bibliotecas y museos, por cumplir con su mandato de rescate patrimonial

Ante esta situación, países como AustraliaInglaterra y la Unión Europea han legislado sobre la materia, a fin de permitir la utilización de obras huérfanas en aquellos casos en que es imposible ubicar al titular de la obra, y así permitir el florecimiento de iniciativas de digitalización y promoción cultural.

Hasta el momento, han sido dos los sistemas utilizados en legislaciones extranjeras para regular esta institución. Un sistema consiste en permitir la utilización de obras huérfanas a todo tipo de personas, naturales o jurídicas, tanto para fines comerciales como no comerciales, pero mediando una autorización administrativa previa. El segundo no requiere una autorización previa pero está reservado solo a cierto tipo de instituciones como galerías, museos, archivos y bibliotecas, o solo respecto de usos no comerciales.

La ausencia de legislación respecto de la institución de las obras huérfanas en Latinoamérica puede ser utilizado como una oportunidad. De esta forma, un esfuerzo conjunto por idear un sistema más flexible que el de la legislación comparada puede permitir dar pasos en la dirección correcta para recuperar un sistema de derechos de autor cuyo objetivo sea incentivar el acceso al conocimiento, a la participación en la actividad cultural y a la libertad de expresión.