La crisis de salud pública está sentando una base peligrosa para el futuro estado de vigilancia.
Ladrillo a ladrillo, los gobiernos y las empresas que responden a la crisis de salud pública están sentando las bases para el futuro estado de vigilancia. Aplicaciones opacas para teléfonos inteligentes recopilan datos biométricos y de geolocalización para automatizar el rastreo de contactos, imponer cuarentenas y determinar el estado de salud de las personas. Las agencias estatales están obteniendo acceso a grandes cantidades de datos de usuarios de los proveedores de servicios en un proceso que carece de supervisión y protección contra el abuso. La policía y las empresas privadas están acelerando la implementación de tecnologías avanzadas para monitorear a los ciudadanos en público, incluyendo el reconocimiento facial, el escaneo térmico y las herramientas predictivas.
Estos sistemas se han implementado con escaso escrutinio y resistencia. La mayoría de los países aún no han establecido restricciones significativas a la recopilación y el intercambio de información biológica de las personas, conocida como datos biométricos, por parte de actores estatales y corporativos. Mientras tanto, las últimas dos décadas de rápidos cambios tecnológicos ya han implantado la vigilancia en casi todos los aspectos de la gobernanza y la actividad comercial, creando una cantidad alarmante de información que puede ser absorbida y manipulada por actores estatales y no estatales por igual.
La historia ha demostrado que los nuevos poderes estatales adquiridos durante una emergencia tienden a sobrevivir a la amenaza original. En sus respuestas a los atentados terroristas del 11-S, los gobiernos de todo el mundo aceleraron la militarización de las fuerzas del orden, otorgaron a las agencias estatales mandatos más amplios con menor supervisión, aumentaron la sospecha y la discriminación contra las poblaciones marginadas, y normalizaron la vigilancia masiva. La pandemia de COVID-19 podría servir de catalizador para daños similares. De manera alarmante, las autoridades de muchos países han aprovechado la crisis de salud pública para instaurar nuevas e intrusivas formas de vigilancia, obteniendo novedosos poderes de control social con escasos controles y contrapesos.
La necesidad de controlar la recopilación de datos fuera de control
El rastreo de contactos es vital para la gestión de una pandemia. Sin embargo, los programas de monitoreo digital, que pueden recopilar información más identificable que las pruebas y el rastreo manuales, se están implementando apresuradamente, a menudo al margen del estado de derecho y otras estructuras de supervisión y rendición de cuentas que pueden garantizar la protección de los derechos fundamentales. Los datos recopilados mediante aplicaciones para teléfonos inteligentes o por agencias estatales, como la ubicación, los nombres y las listas de contactos de las personas, pueden combinarse con conjuntos de datos públicos y corporativos existentes para revelar detalles íntimos de la vida privada de las personas, incluidas sus inclinaciones políticas, orientación sexual, identidad de género, creencias religiosas y si reciben atención médica especializada. Las conclusiones extraídas sobre una persona a partir de estos datos pueden tener graves repercusiones, especialmente en países donde las opiniones o identidades de las personas pueden dar lugar a un escrutinio más riguroso y a sanciones directas.
La pandemia está marcando el comienzo de una nueva era de clasificación social digital, en la que se identifica a las personas y se les asigna a ciertas categorías según su estado de salud percibido o el riesgo de contraer el virus. Una vez identificado, un grupo determinado puede ser objeto de estigmatización y marginación. Pueden verse limitados en su acceso a servicios públicos o educación, reincorporarse al trabajo, enviar a sus hijos a la guardería, ir a un centro comercial o usar el transporte público. Estos programas pueden incluso considerar las acciones de familiares, compañeros de piso o vecinos, penalizando a las personas por asociación.
Las autoridades han aprovechado la crisis para instituir formas intrusivas de vigilancia con pocos controles y equilibrios.
Estos sistemas de vigilancia de la salud pública serán extraordinariamente difíciles, si no imposibles, de desmantelar. Al igual que en materia de seguridad nacional, las agencias estatales siempre argumentarán que necesitan más datos para proteger al país. También habrá una gran demanda de información sanitaria por parte de empresas de marketing, aseguradoras, agencias de crédito y cualquier otra industria que pueda beneficiarse de ella. Dado que la propia Agencia de Seguridad Nacional de EE. UU. ha sufrido filtraciones de alto nivel que afectaron a parte de su información más sensible, es dudoso que estos actores privados puedan defender los datos de ciberdelincuentes y hackers patrocinados por el Estado.
Se necesita una mayor deliberación pública y una supervisión independiente para frenar la expansión y el arraigo de las prácticas de vigilancia masiva. Como mínimo, las autoridades deben demostrar que la medida propuesta es necesaria y adecuada a su propósito. Muchos programas nuevos, por ejemplo, incorporan datos de ubicación de dispositivos móviles para facilitar el rastreo de contactos, pero la tecnología puede no ser lo suficientemente precisa como para discernir si dos personas se encontraban a una distancia segura, y los sistemas basados en señales satelitales son ineficaces si las personas se encuentran en interiores. Esta incertidumbre es especialmente problemática si los registros de ubicación se utilizan para penalizar a las personas por no cumplir con las normas de cuarentena o distanciamiento social.
Incluso si los expertos en salud pública pueden demostrar la necesidad y eficacia de un programa de monitoreo, este debe incluir supervisión independiente, transparencia y normas estrictamente específicas que minimicen qué datos se recopilan, quién los recopila y cómo se pueden utilizar. Sin estas sólidas salvaguardias, los beneficios marginales de la vigilancia de pandemias se ven eclipsados por la amenaza que representan para los valores democráticos y los derechos humanos.
Una proliferación de aplicaciones de vigilancia
Se han implementado aplicaciones para teléfonos inteligentes para el rastreo de contactos o para garantizar el cumplimiento de la cuarentena en al menos 54 de los 65 países que abarca este informe. Si bien estas aplicaciones pueden facilitar que las personas identifiquen con quién han interactuado durante un período determinado, su rápida y casi generalizada implementación presenta un inmenso riesgo para la privacidad, la seguridad personal y los derechos humanos en general. Los desarrolladores han ignorado en gran medida los principios establecidos de privacidad por diseño, un enfoque destinado a garantizar que las consideraciones de privacidad se integren en la arquitectura y el software de una herramienta. La mayoría de las aplicaciones son de código cerrado, lo que no permite revisiones de terceros ni auditorías de seguridad, y en la práctica existen pocas oportunidades para apelar y reparar cualquier abuso. Además, en muchos países, es posible que se hayan debilitado intencionalmente las normas de ciberseguridad para facilitar una mayor recopilación de datos por parte de las autoridades estatales.
Estos programas para teléfonos inteligentes recopilan automáticamente información confidencial sobre dónde viven los usuarios, con quién viven, sus rutinas diarias, sus interacciones casuales y mucho más. Muchas de estas aplicaciones solicitan datos demográficos y de otro tipo para facilitar la identificación del usuario y luego envían los archivos, sin cifrar, a un servidor centralizado ubicado en oficinas gubernamentales. Investigadores han demostrado la facilidad con la que estos datos pueden filtrarse a ciberdelincuentes, agencias de seguridad e incluso a otras aplicaciones instaladas en los teléfonos de los usuarios. Algunos programas se conectan a tecnologías de vigilancia adicionales, como el reconocimiento facial y las pulseras electrónicas, para verificar la identidad de los usuarios y monitorear sus movimientos con mayor precisión.
India es el hogar de varias aplicaciones pandémicas que representan riesgos para los derechos humanos. Aarogya Setu, una aplicación de código cerrado que ha sido descargada por más de 50 millones de indios, combina el seguimiento por Bluetooth y el Sistema de Posicionamiento Global (GPS) para determinar la posible exposición de los usuarios y genera un “estado de salud” codificado por colores para calificar su riesgo de infección. La información recopilada de la aplicación respaldada por el gobierno se almacena en una base de datos centralizada, donde se comparte con institutos de salud y otras agencias gubernamentales. Más de un millón de personas han sido obligadas a usarla, y en al menos una ciudad, no descargar la aplicación puede resultar en cargos criminales. Otra aplicación de código cerrado que recopila y almacena información personal, incluidos datos de GPS, es Quarantine Watch, desarrollada en colaboración con el gobierno estatal de Karnataka. La aplicación requiere que los usuarios envíen fotos de sí mismos acompañadas de metadatos sobre su geolocalización para demostrar que están cumpliendo con el aislamiento obligatorio. Los funcionarios estatales han bromeado diciendo que “una selfie por hora mantendrá alejada a la policía”.
Aunque India está considerando actualmente un proyecto de ley de protección de datos, los estándares de ciberseguridad siguen siendo laxos, y las bases de datos sensibles de COVID-19 creadas por las nuevas aplicaciones ya han sido vulneradas. Se demostró que millones de registros personales de una aplicación de verificación de síntomas desarrollada por Jio, un proveedor líder de telecomunicaciones, eran accesibles sin contraseña en una base de datos en línea. Incluso antes de la pandemia, las fallas de seguridad del sistema de identificación biométrica Aadhar del país provocaron numerosos escándalos relacionados con filtraciones de datos. India está implementando actualmente un programa nacional de reconocimiento facial que, según los defensores de la privacidad, podría facilitar la represión y la discriminación. Por otro lado, en octubre de 2019 y junio de 2020, dos informes revelaron que se había implementado software espía vinculado al gobierno contra periodistas y activistas que denunciaron violaciones de derechos humanos en el país.
Las aplicaciones móviles en Rusia se han sumado al creciente aparato de vigilancia del régimen. La aplicación de Monitoreo Social accede a datos de GPS, registros de llamadas y otra información, y solicita selfis aleatorios a los usuarios para hacer cumplir las órdenes de cuarentena y otras restricciones de movimiento. En poco más de un mes, las autoridades impusieron cerca de 54.000 multas por un total de más de 3 millones de dólares a los usuarios. Las sanciones fueron en ocasiones erróneas y arbitrarias, y entre los multados se encontraban el gemelo idéntico equivocado, un profesor postrado en cama y usuarios dormidos que recibieron solicitudes de selfis en plena noche. Los residentes de Moscú mayores de 14 años deben iniciar sesión en un sitio web del gobierno para indicar sus planes de movimiento; los usuarios reciben un código QR que luego es escaneado por el personal de seguridad para verificar que tienen permiso para estar en un lugar determinado.
La aplicación BeAware del gobierno bareiní es obligatoria para quienes se encuentran en autoaislamiento o cuarentena debido a una posible exposición local o a un regreso reciente del extranjero. Quienes no lleven una pulsera electrónica o no cumplan con las normas de la aplicación se enfrentan a multas de hasta 10.000 dinares bareiníes (26.000 dólares), una pena mínima de tres meses de cárcel o ambas. El programa envía información de ubicación y diagnóstico a un servidor central del gobierno y alerta a las autoridades si una persona se aleja más de 15 metros del teléfono. El gobierno tiene un largo historial de vigilancia de disidentes por motivos políticos, incluyendo el uso de sofisticados programas espía dirigidos a la mayoría musulmana chií perseguida.
La aplicación Tetamman de Arabia Saudita también incluye un brazalete Bluetooth obligatorio. El incumplimiento de las estrictas medidas de cuarentena puede conllevar hasta dos años de prisión, una multa de 200.000 riyales (53.000 dólares) o ambas. Un investigador de seguridad ha informado de que el gobierno saudí también podría estar probando la herramienta de rastreo de contactos Fleming, creada por la empresa israelí NSO Group. El gobierno ya ha utilizado otros productos de NSO Group para vigilar e intimidar a sus críticos. Las autoridades son fuertemente sospechosas de implementar el software espía Pegasus de la empresa para acceder a las comunicaciones de activistas y periodistas, incluido el periodista Jamal Khashoggi, quien finalmente fue asesinado por agentes saudíes en 2018.
En Turquía , un nuevo sistema llamado Hayat Eve Sığar (HES) combina el rastreo de contactos con un código de estado de salud. Un código HES positivo es obligatorio para todos los viajes nacionales. Si bien la aplicación del gobierno turco es la forma más eficiente de obtener dicho código, los usuarios también pueden enviar ciertos datos personales por SMS a un número de teléfono. La aplicación emite señales Bluetooth a los dispositivos cercanos para facilitar el rastreo de contactos. Se utiliza para supervisar el cumplimiento de las órdenes de cuarentena y envía datos directamente a las fuerzas del orden en caso de incumplimiento. La vigilancia gubernamental y el uso indebido de los datos de los usuarios han sido generalizados en Turquía durante años, y la sociedad civil ha alertado sobre el posible abuso de la nueva aplicación.
Al igual que el propio virus, las aplicaciones de cuarentena y rastreo de contactos han tenido un impacto desproporcionado en ciertas poblaciones. Los trabajadores migrantes de Singapur , que a menudo sufren malas condiciones de vivienda y empleo, están específicamente obligados a usar aplicaciones para el rastreo de contactos, el registro de síntomas y la notificación de su estado de salud, lo que los distingue de otros residentes. En Ucrania , decenas de personas quedaron varadas en una zona de conflicto activo: quienes no tenían teléfonos inteligentes ni acceso a internet, principalmente personas mayores, no pudieron descargar la aplicación obligatoria de autoaislamiento Diy Vdoma del gobierno y, por lo tanto, no se les permitió cruzar del territorio controlado por los separatistas al territorio controlado por el gobierno.
Las empresas privadas también están desarrollando y vendiendo rápidamente aplicaciones de códigos de salud, que sirven cada vez más como guardianes del acceso a servicios públicos esenciales y el ejercicio de los derechos fundamentales . COVI-Pass, un sistema diseñado por una empresa británica, otorga a los usuarios un “VCode” que se escanea al ingresar a edificios de oficinas, asistir a un evento deportivo o caminar en público. Las personas obtienen resultados codificados por colores según sus pruebas previas para el virus o sus anticuerpos. COVI-Pass ya se ha vendido a gobiernos y empresas en más de 15 países. Empresas privadas en los Estados Unidos también han expresado interés en exigir a los clientes que utilicen estos sistemas de codificación, incluyendo aerolíneas y hoteles.
Ante la proliferación de aplicaciones problemáticas, algunos desarrolladores han intentado crear nuevos productos centrados en la privacidad. Un consorcio internacional ha respaldado el protocolo de Rastreo de Proximidad Descentralizado con Preservación de la Privacidad (DP-3T). El equipo suizo responsable de este proyecto ha abierto su código fuente a la revisión de expertos para maximizar la ciberseguridad y la privacidad de los datos. Además, los gigantes tecnológicos Apple y Google desarrollaron conjuntamente la interfaz de programación de aplicaciones (API) del Sistema de Notificación de Exposición. Este software, con suscripción voluntaria, transmite números de identificación aleatorios por Bluetooth a los smartphones circundantes y los almacena directamente en el teléfono, en lugar de en servidores centralizados de la empresa o del gobierno. Los usuarios reciben una notificación si interactúan con una persona que ha dado positivo o que posteriormente se identifica como positivo en la prueba de COVID-19.
La API de Google y Apple permite a las agencias de salud crear sus propias aplicaciones utilizando la arquitectura respetuosa de la privacidad de las empresas. Las autoridades de Estonia , Brasil y Estados Unidos están implementando aplicaciones que utilizan DP-3T, el Sistema de Notificación de Exposición o ambos. Los estonios también pueden confiar en las sólidas protecciones legales del país para la privacidad y la transparencia. Sin embargo, el historial reciente de Brasil en privacidad y vigilancia genera inquietudes sobre el rastreo de contactos digitales. Por ejemplo, en octubre de 2019, el presidente Bolsonaro firmó un decreto, sin consulta pública ni debate, que obliga a las agencias federales a compartir una variedad de datos de los ciudadanos, incluidos los registros de salud y la información biométrica. Estados Unidos también carece de leyes federales de privacidad que podrían limitar las formas en que se accede, vende o utiliza la información almacenada en los teléfonos y las aplicaciones.
Las herramientas de rastreo de contactos descentralizadas, opt-in y basadas en Bluetooth son una alternativa prometedora a las aplicaciones más invasivas y obligatorias que ofrecen control centralizado. Sin embargo, ni siquiera estas están exentas de riesgos para la privacidad y de otro tipo. Las aplicaciones para teléfonos inteligentes, en general, son opacas en cuanto a cómo recopilan, almacenan y procesan datos, y cómo y con quién comparten información. Otras aplicaciones en el dispositivo de un usuario, por ejemplo, pueden acceder a datos confidenciales almacenados allí por el programa de rastreo de contactos, lo que les permite vender el material a anunciantes, aseguradoras, agencias de crédito u otros intermediarios de datos. El rastreo de proximidad también es vulnerable a la suplantación de identidad o el hackeo. Y lo que es más importante, ninguna aplicación de rastreo de contactos será útil ni eficaz a menos que se adopte e implemente ampliamente en un entorno con pruebas robustas, sistemas manuales de rastreo de contactos y una infraestructura de salud pública con recursos suficientes.
Aprovechar los datos de telecomunicaciones
En al menos 30 países, los gobiernos están aprovechando la pandemia para implementar una vigilancia masiva en colaboración directa con proveedores de telecomunicaciones y otras empresas. Las nuevas iniciativas de intercambio de datos pueden ayudar a las autoridades a realizar el rastreo de contactos y el análisis de macrodatos para comprender la propagación del virus. Sin embargo, la recopilación ampliada de datos en muchos países carece de transparencia, proporcionalidad y protección de la privacidad, lo que plantea claros riesgos para las libertades fundamentales. Resulta especialmente preocupante que, en algunos casos, se haya encomendado esta tarea a agencias militares y de seguridad nacional.
En Pakistán , el gobierno ha rediseñado un sistema antiterrorista para apoyar las iniciativas de “rastreo y localización”. Este programa secreto fue desarrollado por la agencia de Inteligencia Interservicios (ISI), implicada en desapariciones forzadas y otros abusos flagrantes contra los derechos humanos. Permite el “geofencing” para identificar a todas las personas que han pasado por una zona específica en un momento específico. Existen informes separados de agentes de inteligencia que intervienen los teléfonos de pacientes de hospitales para determinar si sus amigos y familiares expresan tener síntomas. Los funcionarios también tienen acceso a una base de datos biométrica nacional que contiene información sobre más de 200 millones de ciudadanos. Se sabe poco públicamente sobre el programa en general, aunque los informes indican que los datos pueden transmitirse a la policía, los departamentos de salud y las agencias gubernamentales provinciales. Los pacientes que han dado positivo, incluidos los trabajadores de la salud, han visto filtrada su información personal en línea, con graves consecuencias para su posición social y bienestar emocional.
Sri Lanka también ha integrado su aparato de defensa en su respuesta a la pandemia. Funcionarios de inteligencia militar están obteniendo datos personales de proveedores de servicios móviles para identificar a personas que han interactuado con pacientes confirmados o han evadido cuarentenas. El ejército de Sri Lanka ha sido acusado de graves violaciones de derechos humanos y ejecuciones extrajudiciales en el pasado, y desde las elecciones presidenciales de 2019, las autoridades han intensificado la intimidación y el acoso contra periodistas, defensores de derechos humanos y otras personas que perciben como críticos.
Corea del Sur ha sido comparativamente eficaz en la contención de su brote de coronavirus, pero su Ley de Control y Prevención de Enfermedades Infecciosas (IDCPA) permite una amplia vigilancia, lo que plantea dudas sobre la necesidad epidemiológica y la proporcionalidad. Las autoridades han extraído información de registros de tarjetas de crédito, rastreo de ubicación de teléfonos y cámaras de seguridad, todo ello sin órdenes judiciales, y la han combinado con entrevistas personales para el rastreo rápido de contactos y el seguimiento de infecciones reales y potenciales. Los historiales de tarjetas de crédito revelan detalles íntimos sobre la vida de las personas que van mucho más allá de lo necesario para el rastreo de contactos; las compras de las personas pueden indicar su orientación sexual y creencias religiosas, por ejemplo. Las autoridades surcoreanas en ocasiones han hecho públicos el género, el rango de edad y los movimientos de los pacientes, lo que ha alimentado el ridículo, el escrutinio y el estigma social en línea. En el lado positivo, la IDCPA incluye importantes disposiciones de caducidad, que exigen que los datos relacionados con la pandemia “se destruyan sin demora una vez completadas las tareas pertinentes”.
El gobierno de Ecuador ha adoptado un enfoque multifacético para la vigilancia en medio de la pandemia. El ECU 911, una red de seguridad pública construida principalmente por empresas chinas con estrechos vínculos con el régimen de Pekín, ha estado recopilando activamente información de miles de cámaras de vigilancia, datos de geolocalización y registros policiales para realizar análisis “inteligentes”. El ECU 911 se está incorporando a una nueva plataforma de salud pública que agrega datos de ubicación de teléfonos satelitales y móviles, así como información de la aplicación COVID-19 del país, incluyendo nombres, números de identificación nacional, fechas de nacimiento y registros de geolocalización. Las autoridades nacionales y locales reciben información de la base de datos de la plataforma para fines de rastreo de contactos, para garantizar el cumplimiento de la cuarentena e identificar grandes reuniones en lugares como escuelas, hogares y funerarias. Existe poca transparencia en cuanto a cuánto tiempo se almacenan los datos, por quién podrían ser utilizados y para qué fines.
En abril de 2020, los gobernadores estatales de Nigeria anunciaron una nueva colaboración con MTN, el principal proveedor de telecomunicaciones del país, para modelar la vulnerabilidad de sus estados ante la pandemia basándose en la información de sus suscriptores. Tan solo dos meses antes, se descubrió que el gobierno y las fuerzas de seguridad habían accedido a registros de datos móviles para identificar y detener a periodistas. En marzo de 2020, el parlamento de Armenia votó a favor de otorgar a las agencias de vigilancia la facultad de obtener metadatos de telecomunicaciones de los proveedores de servicios, incluyendo números de teléfono, ubicación, hora y otros metadatos de llamadas y mensajes, sin revisión judicial. Los datos estaban destinados a ser utilizados para identificar a personas que pudieran haber contraído el virus y para monitorear a quienes se encontraban en aislamiento, pero la falta de transparencia y supervisión impidió aclarar cómo se utilizarían o podrían utilizarse los registros en la práctica.
Algunos gobiernos han tomado medidas preliminares para reducir los riesgos para la privacidad de los usuarios y, en su lugar, están accediendo a conjuntos de datos agregados y anónimos para orientar las políticas de salud pública. En Australia , por ejemplo, la empresa de telecomunicaciones Vodafone proporcionó al gobierno los datos de ubicación de millones de personas en formato agregado y anónimo, lo que le permitió comprender los movimientos de población y determinar el cumplimiento generalizado de las restricciones de distanciamiento social.
En Estados Unidos , la industria de la publicidad móvil entregó datos de ubicación agregados y anónimos a los gobiernos federales, estatales y locales. Las autoridades buscaban centralizar los datos de ubicación de las personas en más de 500 ciudades para analizar la propagación de la enfermedad. Sin embargo, al solicitar datos a las empresas de publicidad en lugar de a los proveedores de servicios móviles, las agencias gubernamentales eludieron los mecanismos mínimos de supervisión de la privacidad establecidos en la legislación estadounidense. Según informes, la Casa Blanca y los Centros para el Control y la Prevención de Enfermedades (CDC) también han negociado con plataformas tecnológicas el acceso a datos de ubicación agregados y anónimos.
Si bien los datos anonimizados pueden ser menos invasivos que la información individualizada, los registros pueden volverse identificables, o desanonimizarse, al combinarse con otros conjuntos de datos o analizarse mediante herramientas de big data diseñadas para encontrar patrones en el contenido de fuentes dispares. Este potencial implica que la información anonimizada y agregada sigue siendo vulnerable a la explotación o el uso indebido tanto por parte de gobiernos como de actores no estatales. El riesgo se ve agravado por las leyes de vigilancia desproporcionadas y la falta de una protección sólida de la privacidad en muchos países, incluidos Australia y Estados Unidos.
El acceso limitado a ciertos tipos de datos puede ser útil para rastrear la propagación del virus y fundamentar las respuestas actuales y futuras a las crisis sanitarias. Sin embargo, cualquier intercambio de información digital debe ser transparente, estar sujeto a supervisión independiente y regirse por los principios de derechos humanos de necesidad y proporcionalidad. La información recopilada debe protegerse de otros usos y, en general, destruirse una vez controlado el virus. Esto ayudará a garantizar que las autoridades y las empresas privadas no puedan reutilizar fácilmente los datos sanitarios con fines políticos, policiales o comerciales.
Implementación del estado de vigilancia de la IA
Ningún país ha adoptado un enfoque más exhaustivo y draconiano para la vigilancia de la COVID-19 que China , donde comenzó la pandemia. Durante las últimas dos décadas, el Partido Comunista Chino ha construido el estado de vigilancia más sofisticado e intrusivo del mundo, que consta de elementos de alta y baja tecnología. Más recientemente, mientras China busca convertirse en un líder mundial en tecnología de IA para 2030, las autoridades han experimentado con aprendizaje automático, big data y toma de decisiones algorítmica al servicio de las políticas políticamente represivas de “gestión social” del régimen. Los sistemas automatizados señalan comportamientos sospechosos en internet y, cada vez más, en las calles públicas utilizando la red de cámaras de seguridad más grande del mundo. Desde enero, las autoridades han combinado sus aparatos de monitoreo y registros biométricos existentes con nuevas aplicaciones invasivas y nuevas oportunidades para la recopilación de datos.
Tras el brote de coronavirus, las autoridades regionales se asociaron con importantes empresas tecnológicas chinas, Alibaba y Tencent, para desarrollar aplicaciones de “códigos de salud”. El software predominante asigna a las personas un código QR y una clasificación de riesgo baja (verde), media (ámbar) o alta (roja) en función de factores como su historial de ubicación y los síntomas que reportan, aunque ni las autoridades ni las empresas proporcionan más información sobre cómo se calculan los niveles de riesgo. Se ha exigido un código verde para acceder a ciertos espacios públicos y edificios de oficinas. Aunque existen variaciones entre las docenas de aplicaciones utilizadas en cada provincia o municipio, un análisis del bufete de abogados Norton Rose Fulbright concluyó que la política de privacidad de la aplicación de Pekín no incorpora principios sólidos de privacidad por diseño ni establece un límite temporal para la retención de datos. Una investigación del New York Times demostró que la aplicación Alipay Health Code compartía datos automáticamente con la policía.
A medida que se controlaba el brote inicial en China, ciertas aplicaciones de códigos de salud se redujeron en ciudades como Shanghái. Por otro lado, en mayo, las autoridades sanitarias de Hangzhou propusieron ampliar el sistema de aplicaciones de la ciudad, pasando de simples códigos de colores a “puntuaciones de salud” personales que reflejaran los patrones de sueño, el consumo de alcohol, el tabaquismo y el nivel de ejercicio de las personas. La propuesta generó indignación entre los usuarios e incluso recibió una inusual reprimenda de los medios de comunicación estatales. El concepto guarda algunas similitudes con los experimentos con sistemas gubernamentales de “crédito social” y aplicaciones piloto gestionadas por empresas como Sesame Credit de Ant Financial, que rastrean el comportamiento personal y en línea de los usuarios. Aparecer en una lista negra mantenida por las autoridades municipales o provinciales puede resultar en restricciones de movimiento, educación y transacciones financieras. Por el contrario, los usuarios de Sesame Credit con una calificación alta pueden obtener acceso privilegiado a servicios privados, exenciones de depósitos y filas más cortas en los controles de seguridad del aeropuerto. Actualmente, los sistemas gubernamentales y privados se mantienen por separado, aunque hay indicios de que podrían fusionarse en el futuro.
Las autoridades chinas también han obligado a las empresas estatales de telecomunicaciones y a las empresas tecnológicas privadas a compartir datos con los cuerpos de seguridad pública. Se han instalado terminales de datos en estaciones de tren, hoteles y otros lugares de alto tráfico para recopilar rápidamente información sobre los movimientos y la ubicación de las personas. Cientos de personas han presentado quejas sobre filtraciones de datos y violaciones de la privacidad relacionadas con la COVID-19, y algunos observadores piden una mayor protección de los datos personales para frenar el intercambio caótico de datos provocado por la crisis sanitaria. Estas demandas se suman a la creciente presión de los internautas chinos desde 2018 a favor de una legislación de protección de datos que limitaría la capacidad de los gobiernos y las empresas para acceder y utilizar la información personal.
Las autoridades también están poniendo a prueba la paciencia de los residentes con una vigilancia por vídeo y reconocimiento facial cada vez más intrusiva. Algunos se han quejado de que se les ha pedido que instalen cámaras web dentro de sus casas y en la puerta de sus casas. Empresas de reconocimiento facial como Hanwang afirman que ahora pueden identificar a las personas incluso si llevan mascarilla. El gigante de los motores de búsqueda Baidu anunció en febrero la creación de un software de escaneo facial para ayudar al gobierno a identificar a las personas que no cumplen con los requisitos de uso de mascarilla. En marzo, las autoridades actualizaron las cámaras de reconocimiento facial en 10 ciudades con tecnología de detección térmica, que supuestamente puede escanear multitudes e identificar a las personas con fiebre.
Aunque los sistemas de vigilancia de China siguen siendo los más avanzados y generalizados del mundo, los gobiernos de países de todo el espectro democrático están implementando vigilancia biométrica y asistida por IA con poca o ninguna protección de los derechos humanos. Según informes, en marzo se utilizó una red de más de 100.000 cámaras con capacidades de reconocimiento facial en Moscú para hacer cumplir las cuarentenas. El sistema de transporte público de París ha comenzado a probar cámaras de video con IA creadas por la empresa tecnológica Datakalab para recopilar estadísticas sobre los pasajeros que usan mascarillas. Mientras tanto, empresas con sede en Estados Unidos y Europa están ofreciendo herramientas a gobiernos, escuelas, restaurantes y otras instituciones, afirmando poder identificar a distancia a personas con fiebre. Un sistema biométrico de control fronterizo vendido por la empresa alemana DERMALOG se está probando en Bangkok, con el objetivo de combinar el reconocimiento facial con la detección de fiebre para identificar a los viajeros que puedan tener enfermedades transmisibles.
Muchas de las herramientas de alta tecnología presentadas el año pasado no están abordando eficazmente la crisis actual. En cambio, refuerzan la represión política y la desigualdad social existentes debido a su dependencia de datos inexactos o sesgados y a las realidades del racismo y la discriminación que configuran los contextos en los que se utilizan. El reconocimiento facial, por ejemplo, es particularmente poco fiable para las personas de color y las personas transgénero. Un estudio encontró una tasa de precisión del 99 % para los hombres blancos, mientras que la tasa de error para las mujeres de piel más oscura alcanzó hasta el 35 %. Otro estudio identificó a los nativos americanos como los que presentan las tasas más altas de falsos positivos de cualquier etnia en Estados Unidos.
Otras formas de tecnología biométrica, como las que emplean la recolección forzada de ADN y el reconocimiento de emociones, se ven igualmente afectadas por imprecisiones discriminatorias y pueden ser igualmente susceptibles de abuso. Los sistemas biométricos pueden recopilar información de escaneos faciales, de iris, huellas dactilares y ADN, y luego utilizar algoritmos opacos para identificar, rastrear y categorizar a las personas. Entre otras posibles aplicaciones, esta tecnología podría utilizarse para identificar y monitorear a manifestantes, miembros de minorías étnicas y religiosas, periodistas independientes o cualquier otro grupo considerado una amenaza para quienes ostentan el poder.
Si se permite la introducción de estas tecnologías, es imperativo que se rijan por leyes y regulaciones sólidas para proteger los derechos fundamentales e impedir la normalización de la vigilancia dañina e intrusiva. Los peligros que representan para la libertad y la democracia son simplemente demasiado graves como para ignorarlos.
Vivir en la caja negra
La urgente necesidad de combatir la COVID-19 no ha hecho más que acelerar la expansión de la vigilancia biométrica y la toma de decisiones algorítmica en ámbitos como la salud, la policía, la educación, las finanzas, la inmigración y el comercio. El público debería ser profundamente escéptico ante esta tendencia, en la que empresas privadas y autoridades gubernamentales prometen soluciones puramente tecnológicas a problemas que, de hecho, requieren medidas económicas, sociales o políticas concretas para abordarlos.
Los algoritmos opacos están reemplazando rápidamente el criterio humano en áreas vitales de la vida, y es probable que los resultados creen nuevas desigualdades y perjudiquen aún más a quienes ya eran vulnerables a la discriminación. En el contexto de la atención médica, por ejemplo, la tecnología predictiva podría utilizarse para determinar si ciertas personas o grupos tienen mayor probabilidad de contraer o propagar un virus y, por lo tanto, prohibirles el acceso a espacios públicos. De igual manera, en el sistema de justicia penal, las personas consideradas sospechosas con base en un análisis automatizado de datos inexactos o discriminatorios podrían ser señalizadas para una mayor vigilancia o incluso su arresto.
Sólo la acción colectiva a escala global puede detener el impulso del emergente estado de vigilancia mediante IA.
A medida que las empresas comerciales, las agencias de seguridad y las burocracias gubernamentales confían en la tecnología digital, con todas sus fallas, existe el riesgo de que la propia tecnología se convierta en la autoridad, en lugar de una herramienta para implementar decisiones humanas. Las políticas determinadas por un sistema automatizado inescrutable no pueden examinarse ni corregirse mediante los procedimientos democráticos tradicionales. La humanidad aún comprende en cierta medida por qué un algoritmo genera un resultado en lugar de otro, pero la IA podría, en última instancia, eliminar lo que se conoce como “explicabilidad”, y con ello cualquier sentido de transparencia, supervisión o rendición de cuentas por la injusticia.
El futuro de la privacidad y otros derechos fundamentales depende de nuestras próximas acciones. A medida que las escuelas reabran, la gente regrese a las oficinas y se reanuden los viajes a pesar de la pandemia, la presión para que las aplicaciones móviles, la tecnología biométrica y los pasaportes sanitarios sean obligatorios no hará más que crecer. Es fundamental que la ciudadanía considere si ciertas nuevas formas de vigilancia son necesarias o deseables en una sociedad democrática, que se resista a las promesas exageradas o poco realistas de quienes promueven herramientas de alta tecnología y que presione a los funcionarios electos para que incorporen en la legislación sólidas protecciones de la privacidad y otras salvaguardias democráticas. Los países individuales pueden tomar la iniciativa, pero solo la acción colectiva a escala global puede revertir los excesos actuales y detener el impulso del emergente estado de vigilancia mediante IA.
Este artículo fue publicado originariamente por https://freedomhouse.org/.Lea el original.
METODOLOGÍA Y FUENTES DE DATOS: Freedom House identificó una serie de puntos de datos de vigilancia relacionados con la COVID-19 y recopiló la información relevante sobre los 65 países cubiertos por Freedom on the Net. La base de datos resultante se basó en parte en los informes nacionales de Freedom on the Net elaborados por analistas externos. El personal de Freedom House realizó investigaciones adicionales y se basó en el trabajo de varias otras organizaciones, como el Rastreador de Rastreo de COVID de MIT Technology Review, el Rastreador de Derechos Digitales de COVID-19 de Top10VPN.com, el marco de Identidades Digitales del Centre for Internet Society, el Rastreador de Respuesta Global a la COVID-19 de Privacy International y el análisis de vigilancia de la COVID-19 de OneZero en 34 países. Visite freedomonthenet.org para acceder y descargar otros datos y fuentes específicos de cada país utilizados en este ensayo.