Por Marianela Milanes (ADC) e Ivana Feldfeber (DataGénero- Observatorio)

A mediados de agosto el régimen talibán finalmente tomó el control en Afganistán provocando intensas repercusiones alrededor del mundo. A través de nuestras pantallas comenzaron a llegar desoladoras imágenes de personas agolpadas en el aeropuerto de Kabul, intentando huir del país y de mujeres afganas marchando armadas, dispuestas a luchar contra la imposición de leyes extremistas que amenazaban sus derechos. A partir de estos hechos, en Argentina, las redes sociales se convirtieron en sede de álgidos y variados debates que fueron desde el feminismo hasta la crisis migratoria. Al tiempo que se viralizaron las advertencias hechas por organizaciones internacionales acerca del grave peligro que corren miles de personas de sufrir represalias a manos del nuevo régimen, en especial mujeres, niñas, periodistas, personal académico y activistas de la sociedad civil, poniendo el accionar talibán en el foco de la atención global.

A pesar de las complejidades históricas y las particularidades culturales que dificultan a quienes no las conocemos en profundidad, la comprensión cabal sobre lo que está sucediendo en aquel país, la crítica situación de los derechos humanos nos consternó inmediatamente. En el momento que grupos como Human Rights First y la prensa internacional (1), informaron sobre el riesgo que las bases de datos, las tecnologías biométricas y el propio historial digital de las personas afganas fueran utilizadas para identificarlas y rastrearlas; cualquier sensación de lejanía que pudiéramos tener comenzó a disiparse. De pronto la distancia entre aquel país y el nuestro se redujo y nos encontramos en alerta ante las amenazas comunes a los derechos humanos que representa un proceso de digitalización irreflexivo y desenfrenado.

Cada vez más en nuestra región y país, el sector público extiende la implementación de tecnologías de inteligencia artificial como el reconocimiento facial, impulsa la digitalización de bases de datos y aplica técnicas de investigación en fuentes abiertas como las redes sociales, sin que se realicen evaluaciones de impacto en derechos humanos ni se transparente la información necesaria para que la ciudadanía conozca los incontables riesgos asociados a la vigilancia masiva que estas iniciativas representan, en especial para personas y grupos sociales en situación de vulnerabilidad.

Preocupadas ante esta situación, quienes escribimos, Marianela Milanes (Asociación por los Derechos Civiles) e Ivana Feldfeber (DataGénero- Observatorio) nos propusimos realizar un breve repaso sobre los usos de ciberpatrullaje y el reconocimiento facial con fines de seguridad pública, y compartir algunos interrogantes sobre sus potenciales efectos discriminatorios.

¿Qué es el ciberpatrullaje?

Con frecuencia utilizamos el término ciberpatrullaje para mencionar dos principales tipos de investigación: OSINT y SOCMINT. Estás son utilizadas por los organismos gubernamentales y las fuerzas del orden público en el entorno digital, a menudo bajo el supuesto de prevenir y combatir el delito. 

La investigación de información en fuentes abiertas de datos, conocida en inglés como Open-Source Intelligence (OSINT); es la práctica que conlleva el uso de un conjunto de técnicas y tecnologías que facilitan la recolección de información que se encuentra disponible públicamente. Cuando el análisis es realizado en las redes sociales, comúnmente se lo denomina en inglés Social Media Intelligence (SOCMINT) e implica la recolección y el procesamiento de datos e información en a través de diversas técnicas, como la revisión manual de contenidos publicados y la implementación de distintos tipos de software, entre otras.

Los organismos estatales aprovechan la apertura y la publicidad de internet, que les permite acceder a la información disponible sin necesidad de solicitar permisos ni autorización alguna, para realizar actividades de inteligencia sin reparar en las expectativas de privacidad que las personas tienen en línea.

Tomando en cuenta que la mayoría de las actividades realizadas en línea, son llevadas a cabo a través de plataformas privadas que disponen de términos, condiciones y políticas para quienes las usan, se debe señalar que las personas al ejercer la autodeterminación informativa, es decir al elegir qué información publicitan, lo hacen en un marco de cierta expectativa de privacidad. En otras palabras, esto significa que aún en contextos públicos -como puede considerarse a las redes sociales- se reconoce que ciertas interacciones entre individuos pueden entrar en el ámbito de la vida privada y merecen protección.

El análisis sistémico que los organismos estatales hacen de internet y las redes sociales, bajo el pretexto de garantizar la seguridad pública, trae aparejados numerosas amenazas a los derechos humanos. Algunos de estos son: la criminalización del discurso en línea que afecta el derecho a la protesta. La autocensura o efecto inhibitorio que afecta el derecho a la libertad de expresión de las personas, ante riesgo de ser objeto de vigilancia por su comportamiento en línea; y la afectación al derecho de no discriminación cuando el monitoreo de contenidos en línea se dirige a personas y/o grupos sociales específicos.

El ciberpatrullaje en la Argentina

Hace al menos una década que los organismos gubernamentales implementan plataformas y tecnologías para el aprovechamiento de los datos disponibles en línea con diversos objetivos. Sin embargo, el ciberpatrullaje con fines de seguridad pública comenzó a ganar notoriedad en 2016, cuando distintas personas fueron procesadas penalmente por la comisión de delitos originados por las expresiones que habían publicado en sus redes sociales (2).

En 2017 un penoso incidente puso a Argentina y el uso del ciberpatrullaje, bajo la lupa internacional. Aquel año, en el marco de la XI Conferencia Ministerial de la Organización Mundial del Comercio (OMC) celebrada en Buenos Aires, las autoridades nacionales de seguridad revocaron la acreditación otorgada por la OMC a más de sesenta activistas de derechos humanos, pertenecientes a veinte organizaciones de la sociedad civil, advirtiéndoles además sobre la posibilidad de negarles la entrada al país. Ante el revuelo diplomático que causó esta situación, el Ministerio de Relaciones Exteriores emitió un comunicado justificando la decisión, al establecer que algunas de las personas afectadas “habían hecho explícitos llamamientos a manifestaciones de violencia a través de las redes sociales, expresando su vocación de generar esquemas de intimidación y caos”.

El año pasado, a comienzos de la cuarentena para contener la expansión de Covid-19, el cuestionamiento a la legitimidad del ciberpatrullaje adquirió inmensas proporciones, cuando la entonces ministra de Seguridad de la Nación admitió que se lo estaba utilizando para detectar el humor social y prevenir posibles disturbios. Días después, un joven fue imputado por el delito de intimidación pública luego de publicar un irónico tweet. Ante las críticas que produjo este suceso, el gobierno elaboró un protocolo de actuación que -según afirmó- se encuentra alineado con los estándares internacionales de derechos humanos. Sin embargo, la autoridad de protección de datos recomendó la suspensión del protocolo ya que no protege de manera adecuada la privacidad de las personas.

La recopilación de información sobre las personas en las redes sociales sin previa autorización judicial ni el establecimiento de mecanismos de control que garanticen la transparencia y la rendición de cuentas de su implementación, impacta en el derecho a la privacidad, la protección de los datos personales y la no discriminación, entre otros. Debemos resaltar que, mediante las redes sociales las personas comparten información que dada su sensibilidad, no pueden ni deben ser objeto de vigilancia por parte de las autoridades. Por el contrario, el Estado debe garantizar la protección de la información sensible, entendiendo por ella a los datos que por sunaturaleza o contexto puedan producir algún trato discriminatorio hacia su titular. En este sentido, las desigualdades estructurales y las relaciones asimétricas de poder en nuestra sociedad son extremadamente importantes al referirnos al carácter sensible de los datos personales. En este sentido, las desigualdades estructurales y las relaciones asimétricas de poder en nuestra sociedad son extremadamente importantes al referirnos al carácter sensible de los datos personales.

Ahora bien, el ciberpatrullaje en redes sociales no es el único modo de aprovechamiento de datos para la vigilancia estatal que amenaza a los derechos humanos. El despliegue del reconocimiento facial con fines de seguridad pública, se extiende cada vez más en Argentina, al ritmo que aumenta nuestra preocupación acerca de sus potenciales efectos discriminatorios.

¿Qué es el reconocimiento facial?

El reconocimiento facial es una tecnología biométrica que permite reconocer e identificar a las personas mediante los rasgos de su rostro. Esta tecnología funciona mediante un software basado en varios algoritmos, que son entrenados para la detección, mapeo y contraste de información sensible como son los rasgos faciales.

El entrenamiento de estos algoritmos define la precisión con la cual el software podrá reconocer rostros en diversos escenarios, arrojando resultados más o menos discriminatorios. Con frecuencia, durante el entrenamiento predominan datos de una cierta demografía: hombres cisgénero, jóvenes y blancos. Así se van introduciendo sesgos en el funcionamiento de los algoritmos que afectan a los resultados, generando que el sistema falle al reconocer a personas que no posean esos rasgos. La cantidad de datos con los cuales se entrenan los algoritmos debe ser diversa y significativa para lograr un alto nivel de precisión, para evitar que aparezcan dos tipos de errores: los falsos positivos y los falsos negativos.

Sobre los efectos discriminatorios

Cuando hablamos de algoritmos de clasificación, por ejemplo: queremos saber si la foto es o no de una persona, tenemos dos clases: la clase positiva (es) y la clase negativa (no es). El verdadero positivo es cuando el algoritmo predice correctamente que esa foto en efecto es de esa persona. El verdadero negativo es cuando el algoritmo predice correctamente que esa foto no es de esa persona. Hasta acá no hay ningún problema porque los resultados son correctos. ¿Pero qué pasa con los errores?

Los falsos positivos suceden cuando el modelo predice de manera incorrecta la clase positiva, es decir que le damos una foto y dice que es de esa persona, pero en realidad no lo es. Los falsos negativos suceden cuando el modelo predice de manera incorrecta la clase negativa, es significa que le damos una foto y dice que no es de la persona que tiene que ser.

La decisión sobre el entrenamiento del algoritmo y las tasas de error con la que contará el software biométrico es una cuestión técnica pero también política. En este sentido, estudios recientes ponen de manifiesto cómo las tecnologías de   reconocimiento facial producen resultados racistas, trans-odiantes y misóginos.

Un informe realizado por la organización Coding Rights visibiliza cómo los sistemas de reconocimiento facial en Brasil tienen grandes fallas a la hora de identificar a personas tránsgenero, impidiéndoles el acceso a servicios públicos y beneficios sociales. Por otro lado, el proyecto de investigación Gender Shades del MIT Media Lab demuestra cómo los softwares de reconocimiento facial desarrollados por grandes empresas como Microsoft, IBM y Face++ presentan elevadas tasas de error al identificar los rostros de mujeres negras.

Estos errores ocurren porque durante la fase de entrenamiento se trabaja con bases de datos sesgados, que están profundamente desbalanceados y no tienen una representación real.

Debemos tener en cuenta que estos sistemas complejos, suelen generarse en el Norte Global y luego se exportan a otros países, acarreando así los mismos sesgos a otras regiones del mundo. Una vez más, el contexto en que se desarrollan e implementan estas tecnologías digitales, determinará sus potenciales efectos discriminatorios.

Pero… ¿y entonces qué?

Estamos ante un nuevo paradigma, donde el límite entre lo público y lo privado se va desdibujando. La cantidad de información que generamos es el gran botín que se disputan hoy los grandes monopolios: “La publicidad tradicional deja de ser la vía de financiación principal y deja paso a las bases de datos, cada vez más hinchadas, con las que poder comercializar. La información, por tanto, deja de tener sentido en sí misma, y pasa a ser un mero vehículo para obtener datos del usuario.” dice el periodista Luis Meyer.

Por supuestos que hay datos y datos. Tal vez nuestro historial de compras en algún conocido sitio de e-commerce no ponga en riesgo nuestra integridad si cae en las manos equivocadas (tal vez sí). Pero cuando hablamos de gobiernos que tienen registradas nuestras huellas digitales, nuestros rostros, dónde vivimos, qué sitios frecuentamos, qué recorridos hacemos, es lógico comenzar a inquietarnos y a pensar qué sucedería si esos datos caen en las manos equivocadas o si son utilizados con fines de dudosa legitimidad, legalidad y proporcionalidad. En este punto, el interrogante acerca de los estándares de protección de datos personales en relación con la vigilancia estatal emerge con fuerza.   

En 2019 Argentina, adhirió al Convenio 108 y firmó su Protocolo Adicional. Este es el único instrumento multilateral de carácter vinculante en materia de protección de datos personales, que tiene por objeto proteger la privacidad de los individuos contra posibles abusos en el tratamiento de sus datos. Esta suscripción implica que la legislación nacional, referida a la protección de datos debe actualizarse para estar en sintonía con los últimos estándares. De este modo, nuestro país se ha comprometido y encaminado a mantener un nivel adecuado de protección de datos, guiado por los principios de transparencia, proporcionalidad, responsabilidad, minimización de datos y privacidad en el diseño, entre otros.

Los estándares adoptados por la Unión Europea a través del Reglamento General de Protección de Datos (GDPR) (3), han inspirado los principios orientadores al establecer:

• Legalidad, equidad y transparencia: el procesamiento debe ser legal, justo y transparente para las personas interesadas.
  
• Limitación del propósito: debe procesar los datos para los fines legítimos especificados explícitamente a la persona interesada cuando los recopiló.
  
• Minimización de datos: debe recopilar y procesar solo la cantidad de datos que sea absolutamente necesaria para los fines especificados.
  
• Precisión: debe mantener los datos personales precisos y actualizados.
  
• Limitación de almacenamiento: solo puede almacenar datos de identificación personal durante el tiempo que sea necesario para el propósito especificado.
  
• Integridad y confidencialidad: el procesamiento debe realizarse de tal manera que se garantice la seguridad, integridad y confidencialidad adecuadas (por ejemplo, mediante el uso de cifrado).
  
• Responsabilidad: el controlador de datos es responsable de poder demostrar el cumplimiento de la norma con todos estos principios.

A su vez, recientemente el Parlamento Europeo votó a favor de prohibir la vigilancia masiva biométrica. En una resolución adoptada por 377 votos a favor, 248 en contra y 62 abstenciones, las personas integrantes del Parlamento señalan el riesgo de sesgos algorítmicos en las aplicaciones de inteligencia artificial y enfatizan que:

• Las personas deberían supervisar los sistemas de IA y los algoritmos deberían ser abiertos.
  
• Hay que oponerse a las bases de datos privadas de reconocimiento facial, la vigilancia del comportamiento y la puntuación ciudadana.
  
• El reconocimiento automático no debe utilizarse para el control de fronteras o en espacios públicos.

Estás iniciativas europeas pueden servir como referencia y fuente de inspiración para que la Argentina, tome medidas tendientes a mantener el adecuado nivel de protección de los datos personales. Armonizar la normativa local en materia de privacidad y protección de datos personales con los estándares del GDPR, contribuiría a mitigar los impactos negativos a los derechos humanos y los efectos discriminatorios, relacionados al uso de tecnologías digitales -actuales y futuras- para la vigilancia masiva. En este punto, una vez más el contexto juega un papel clave. No se trata de “importar” estándares sino de adaptarlos a la realidad local, entonces los interrogantes se multiplican. Ya no se trata solo de preguntarnos acerca de las medidas que toman nuestros gobiernos para proteger los datos personales y sensibles de la población o qué sucedería si el gobierno decide utilizar estos datos para vigilar y perseguir arbitrariamente a la población. Se trata también de cuestionar a quiénes vigila y por qué razones, un sistema de seguridad pública creado, alimentado y atravesado desde el paradigma social actual, que aún es profundamente cisgénero, heteronormativo, clasista, capacitista y racista.

Notas

1
– Reuters: «Afghans scramble to delete digital history, evade biometrics».
– El País: «El drama digital en Afganistán: borrarse de las redes y limpiar el historial en internet para escapar de los talibanes».
– Red en Defensa de los Derechos Digitales (R3D): «Los talibanes aprovechan las bases de datos biométricos de Afganistán para identificar disidentes».
– BBC: «Afghanistan: Will fingerprint data point Taliban to targets?«.

2
– Centro de Información Judicial (CIJ): «El juez Lijo procesó a una mujer por amenazar a Mauricio Macri y a su familia».
– Perfil: «Declaran «inocente» al joven que estuvo preso por un tuit contra Mauricio Macri».
– Infobae: «Detuvieron a un hombre que amenazó a Mauricio Macri por Twitter».