Mucho antes de que estrenásemos 2020, el ‘año cero’ de la covid-19, los esfuerzos por la salvaguardia de los derechos digitales y el debate público en torno a los derechos fundamentales (que pueden verse ninguneados por las nuevas tecnologías) estaban lejos de ser una de las prioridades ciudadanas.

Tras ocho meses de una pandemia sanitaria sin precedentes en tiempos recientes, el debate en torno al uso de tecnologías de vigilancia (para prevenir y reducir los contagios de coronavirus), y de nuestros derechos digitales en general (derecho a la privacidad y protección de datos personales, entre otros), sigue sin ser lo popular y profundo que cabría esperar. Si en numerosos países del este asiático, democráticos o no, la aceptación de un Estado big brother es generalizada, en Europa, las resistencias se tambalean en los últimos tiempos, y esto más por el temor a la seguridad personal (antes terrorismo, ahora la salud), o por desconocimiento y fatiga que por verdadera sensibilización.

Diego Naranjo, director de políticas de la ONG europea European Digital Rights (EDRi), una organización que reúne a 44 asociaciones de derechos humanos y digitales en el continente (si bien cuenta con algunas en EEUU y otras de carácter global), compartió, a lo largo de una entrevista con Equal Times, algunas de las medidas que nos protegen o que podemos tomar para no ver vulnerados nuestros derechos fundamentales en territorio digital, partiendo del reglamento general de protección de datos (RGPD), que acaba de cumplir dos años.

En el momento actual, esta organización (que defiende los derechos y libertades en el entorno digital, desde la protección de datos al acceso a la información y libertad de expresión) cuestiona la necesidad de muchas de las medidas propuestas e improvisadas por diferentes Gobiernos (desde el uso de drones para observar el cumplimiento de cuarentenas a los pasaportes de inmunidad), así como su proporcionalidad. Pero además, pone en tela de juicio la seguridad de los datos recopilados, su caducidad, cómo se han obtenido y procesado, si se utilizarán para otros fines, y con quién.

En un contexto de pandemia como la actual, ¿cómo cuadramos la vigilancia digital con los valores que cimientan Europa? ¿Ve más debate ahora que antes de enero; están claras las responsabilidades de todos los involucrados en el proceso; así como cuestiones como la necesidad, proporcionalidad, transparencia, legalidad y salvaguardas de dicha vigilancia?

La pandemia ha reforzado la necesidad de debatir la vigilancia que ya estaba pasando (reconocimiento facial, retención de datos, etc.) con la nueva realidad, que por un lado ha movido (al menos en su fase inicial) a los gobiernos a controlar más a la población por razones sanitarias pero, en ocasiones, con medias desproporcionadas. Nosotros reaccionamos rápido con un análisis de lo que no se debía hacer. Felizmente parece que al menos la Comisión Europea tomó nota y las recomendaciones a los Estados miembros fueron muy buenas. Ahora toca a los Estados aplicarlas correctamente.

Por otro lado la industria se ha lanzado para aparentar ser los salvapatrias de esta crisis y apuntalar su dominación a base de más dinero público e intentar establecerse como la opción “segura” en tiempos de pandemia, algo que Naomi Klein ha destapado en toda su crudeza. Por ahora hemos resistido las peores tendencias privatizadoras y provigilancia. Ahora toca avanzar en la conquista de nuevas libertades y no retroceder en cuestión de meses lo que hemos ganados en años.

En numerosos comunicados subrayáis que las medidas que se tomen ahora para hacer frente a la pandemia —big data y sistemas de inteligencia artificial, entre otros—, con limitado control y oposición, van a moldear nuestro futuro, ¿puede señalar qué les preocupa especialmente?

Nos preocupa en general la normalización de medidas extraordinarias. Hace décadas se empezaron a instalar cámaras de seguridad por nuestras calles y otros espacios públicos. La excusa entonces era una mezcla de seguridad ciudadana en general (la crisis económica aumentó ciertos tipos de delitos menores relacionados con la pobreza como hurtos) y luego se le añadió la utilidad antiterrorista. Ahora nos enfrentamos a que esas mismas cámaras se reutilicen para reconocimiento facial con la excusa de controlar quién lleva máscara o no, niños perdidos o cualquier otra idea. El objetivo final es el control y el objetivo a corto plazo es la financiación pública de industrias de vigilancia privadas.

Si la vigilancia estatal y la privada continúan o aumentan, las próximas luchas inminentes contra más recortes sociales, cambio climático, justicia racial y defensa de la democracia se verán mermadas por un sistema en el que todo queda registrado y en el que muchos preferirán quedarse callados y en casa antes que ver su empleo precario o su seguro médico puesto en peligro por participar en movimientos de resistencia.

Fuera de un entorno de crisis sanitaria, ¿hacia dónde se dirigen vuestros esfuerzos en el campo de la videovigilancia y de las tecnologías de reconocimiento facial?

Queremos conseguir que haya actividades que se declaren libres de vigilancia; que prohíban localmente el uso de esos sistemas, aunque no los utilicen. Concretamente, los lugares de acceso público: no solo una plaza, una calle, sino espacios como estaciones o centros comerciales.

A nivel nacional trabajamos para que haya leyes que lo prohíban también. Y que la UE, si fuera necesario, lance procedimientos de infracción contra los Estados miembros por incumplimiento de derechos fundamentales, en cuanto que son medidas que se han impuesto que tienen un grave impacto en la privacidad, la libertad de asociación y de manifestación, y que no son necesarias ni proporcionales a los fines que intentan conseguir. El éxito mínimo [de este esfuerzo] es que no se implanten más sistemas. Y los que ya existen que se eliminen.

Si se demuestra su utilidad sin falla, ¿cuál es el problema entonces?

En el caso de que pueda ser útil para determinados objetivos no quiere decir que sea necesario ni proporcional. Sería muy útil tener una cámara en todos los domicilios para prevenir la violencia contra las mujeres. Pero vemos que no sería proporcional, que sería un abuso contra la vida privada.

Y en realidad todos tenemos algo que ocultar, así que este argumento no sirve. Y no es cuestión de que tú no tengas ‘nada que ocultar’ sino que tú tienes que vivir en libertad y no estar bajo un ojo que te mira constantemente y que ve con quién te reúnes, a qué bares vas y con quién, con qué sindicatos te reúnes y con quién haces huelgas o no. Es un mundo distópico que debemos evitar, pero sí, veo que se está llevando a cabo una normalización de la vigilancia masiva. Hace 5 o 10 años nos llevábamos las manos a la cabeza con lo que pasaba en China. Ahora, Eslovenia, Alemania, Reino Unido, Países Bajos, Grecia, Francia, Hungría, Italia y Suecia utilizan reconocimiento facial (muchos más de los que pensábamos). Y hay cero debate público.

En el caso de Serbia, en Belgrado, las cámaras que ya estaban en las calles se está utilizando para reconocimiento facial con tecnología china y por si fuera poco con oficiales de policía chinos patrullando (esto está relacionado con los numerosos obreros chinos trabajando en proyectos con inversión china).

El desarrollo de la 5G y de la inteligencia artificial se enfrenta a cuestiones éticas, que difieren de unos países a otros, de unos continentes a otros y de unas organizaciones y empresas a otras, ¿cuál es su interés en el debate?

El tema de la ética viene fundamentalmente motivado por las empresas. Las empresas no quieren hablar de derechos, porque esto es algo que se puede ejercer y llevar a tribunales, y prefieren hablar de ética porque cada compañía, cada país, tiene su propia ética. Toda la IA y tecnología tiene un impacto en los derechos humanos (derecho a la privacidad, protección de datos, libertad de asociación y manifestación, libertad de expresión), por lo que hay que hablar de derechos, no de ética. Centrar el debate en la ética distrae de la atención de los derechos fundamentales, que son lo más importante para nosotros.

¿Están a la altura nuestros representantes políticos?

Los representantes aquí en Bruselas y en los Estados miembros temen que nos quedemos atrás y que no haya suficiente innovación y que eso afecte al empleo. Pero también es cierto que hay una merma de visiones diferentes de parte de la sociedad civil en general. El caso más claro se vio durante las discusiones sobre el reglamento de la protección de datos: quienes estábamos defendiendo un reglamento más estricto éramos minoría, era una pugna entre David y Goliat (menos de 100 personas frente a un ejército de lobbies). Si tu mensaje se multiplica por 100, como ocurre en el caso de las compañías, ese mensaje se oye más que las voces de los ciudadanos.

En el entorno digital, ¿cómo de celosos, suspicaces (límite paranoicos) o videntes tenemos que ser respecto al uso que vaya a darse a nuestros datos? ¿Qué debemos imaginar que pueden hacer con ellos, por ejemplo, al utilizar una aplicación gratuita (que no sea de código abierto)?

No hay que ir al futuro, hay que ir al pasado. En 2013 [Edward] Snowden publicó sus revelaciones y lo que está claro es que lo que se está desarrollando no es un sistema distópico del futuro sino una especie de máquina del tiempo. La idea es que haya una vigilancia constante de toda tu actividad online y offline. Con quién hablas, qué fotos subes, dónde viajas, qué consumes, cómo te desplazas. Todo, las 24h… Para, en el caso de que un día tú seas un problema para un gobierno concreto, este pueda ir a esa ‘máquina del tiempo’ y ver dónde encuentra fallas. Porque todos tenemos algún fallo en nuestras vidas, cosas que no queremos revelar, cosas que no queremos que sean públicas. La idea es tener control total, para el día en el que tengan que actuar contra alguien.

¿Qué medidas pueden protegernos en este escenario?

El reglamento de protección de datos fue un paso adelante y puso a Europa como líder en la protección de datos a nivel global. El Convenio 108 del Consejo de Europa, aunque sea de Europa, lo puede firmar y ratificar cualquier país del mundo. Se podría empujar al mayor número de Estados de todo el mundo a adoptarlo. También ayudaría que EEUU tuviese unas leyes adecuadas de protección de datos, de privacidad y de vigilancia que no tienen ahora mismo.

Pero a nivel personal también se pueden tomar medidas (además de luchar por normativas que te protejan): encriptar todos los dispositivos; utilizar ciertos servicios, Signal y no WhatsApp. Evitar Dropbox; utilizar BitWarden (como servicio de administración de contraseñas) y software libre cuando se pueda…

[En cualquier caso,] la seguridad no es una meta es un proceso. Toda esta tecnología no hay que confiar en ella de manera ciega; hay que ser capaz de evaluarla y auditarla. Si no son software libre, open source no podemos saber si hacen lo que nos dicen. Lo que estamos fomentando a nivel europeo es que la inversión pública se destine a aplicaciones y software que sea libre. Hay una campaña de la Free Software Foundation Europe, que es uno de nuestros miembros, que dice Public money? Public code!: esto resume muy bien lo que queremos.

No es algo nuevo que las empresas se muevan buscando sus beneficios. Pero teniendo en cuenta los riesgos potenciales, ¿qué impide proteger decentemente nuestros derechos?

Si lo que más beneficia a empresas como Google y a Facebook es la vigilancia de toda la población que usa sus servicios, estas van a seguir haciéndolo hasta que les digamos que no nos gusta, que ese no es un sistema de negocio admisible en una sociedad democrática.

Por otra parte, el tema de los desarrolladores es curioso. Hace poco hemos publicado una guía para desarrollo web de forma ética porque nos hemos encontrado que muchas veces, sin maldad (porque es la práctica habitual y porque son gratuitos) muchos desarrolladores web insertan los Google Analytics y Google Fonts por defecto en tu página web. Pero estos servicios rastrean y vigilan para Google. Creo que es un tema de ignorancia. Hay una labor informativa que es necesaria, pero sí, eso es parte del problema, que los desarrolladores están en su mundo y no tienen en mente trabajar en la protección de datos y la privacidad por diseño y por defecto, que son principios básicos para nosotros.

En lo que se refiere a Amazon y el almacenamiento en la nube, ¿qué deberíamos estar mirando, o no perdiendo de vista?

Una de las propuestas interesantes de la Comisión Europea es crear una especie de nube europea para hacer competencia a Amazon. Yo no creo que crear un Amazon europeo, un Facebook europeo o un Google europeo sea la respuesta, pero crear soberanía tecnológica en el sentido de que podamos controlar de forma pública —idealmente— quién maneja nuestros datos, quién financia esos algoritmos, quién tiene acceso al almacenamiento en la red, es positivo para nosotros. [Frente a la opción de que todo] esté en manos de una compañía extranjera, con servidores que no sabemos bien cómo se controlan, quién tiene acceso. Pero faltan medios, inversión. Desarrollo a nivel local y estatal.

¿Pero hay consciencia de la necesidad?

No parece que haya un interés específico, más allá de la propuesta de la Comisión. Ni siquiera para nosotros es una cuestión fundamental. Hay temas prioritarios. Proyectos como una Gaia-X [presentada a comienzos de junio] como proponen en Europa, a priori no nos beneficia a nivel de respeto de derechos fundamentales. Depende de quién tenga acceso a esos datos, a la nube, quién la posea, etc.

En el capítulo de neutralidad de la red [que los proveedores de internet no puedan llegar a frenar o bloquear según sus intereses el tráfico de datos, entendiéndose internet como un servicio público], ¿en qué punto nos encontramos en Europa?

Es una batalla grande la de mantener la neutralidad en la red, y las telecos se muestran especialmente feroces (acabar con neutralidad les generaría muchos beneficios). Partiendo del reglamento europeo (RGPD), nosotros entendemos éste que prohíbe la falta de neutralidad en la red en Europa, pero la implementación en los Estados miembros está siendo diferente, y depende de los reguladores.

Hay que dejar claro que no se permite. Si no, podríamos llegar a la situación que se experimenta en India: como hay prácticas de Zero Rating (tasa cero) la gente tiene acceso gratuito a Facebook sin gastar datos, por lo que para una gran parte de la población en India internet es Facebook. En definitiva, la tasa cero restringe el acceso a internet bajo la falsa apariencia de dar un servicio mejor o gratuito.

¿Sirve de algo que cierta parte de la población o que determinados países tomen todas las medidas para la privacidad de los datos personales cuando otra buena parte se mueve en la dirección opuesta? ¿No es una tarea desgastante que invita a tirar la toalla?

A nivel europeo el objetivo es que la gente esté protegida por defecto. Por ejemplo, si tú coges un ascensor estás protegida por defecto, y si el ascensor se cae pues puedes demandar a la empresa que lo ha construido, a la empresa que lo mantiene, o al dueño del bloque de oficinas. En el asunto tecnológico debería ser lo mismo, tú no deberías ser medio hacker o medio geek para usar internet. Debería haber protección de datos y privacidad por diseño y por defecto y que tú no tengas que pensar en este tipo de cosas.