Reportajes
El caso Snowden y nuestra indiferencia a la protección de datos
Por Sigrid Arzt *
La XXXV Conferencia Internacional de Protección de Datos intitulada "Un compás en un mundo turbulento" celebrada apenas hace unos días en Varsovia estuvo rodeada por el debate del caso Snowden. El asunto no pasó desapercibido ya que cada autoridad garante de la protección de datos hizo algún señalamiento a los representantes del gobierno de Estados Unidos e incluso ahondó en el debate sobre el equilibrio entre la seguridad y el derecho a la privacidad de los ciudadanos. La indignación era evidente y claramente palpable.
Para las autoridades garantes de la privacidad el caso Snowden revelaba el abuso de la recolección, preservación e invasión a la privacidad de millones de ciudadanos sin importar la nacionalidad. El común denominador era la pérdida de confianza sobre el gobierno estadounidense y sin duda, la discusión de lo desproporcionado de las acciones de inteligencia y seguridad para almacenar miles de millones de datos personales, resumida en la expresión de buscar una aguja en un pajar. Para el presidente de Artículo 29 Protección de Datos, Jacob Kohnstamm, máxima autoridad en el tema, "el mundo está indignado por las revelaciones del caso Snowden".
Imagine, por un momento, que un joven funcionario del Centro de Investigación y Seguridad Nacional (Cisen), indignado por lo que considera un abuso en el espionaje de esta institución hace las siguientes revelaciones: que se recolectaron decenas de millones de llamadas telefónicas de ciudadanos de ese país, con la anuencia de Telmex y el resto de los proveedores de servicio de Internet. Los datos que recaba la institución incluyen los números telefónicos, los números de las tarjetas de pago, los números de serie de los teléfonos usados, la hora y duración de las llamadas, situación geográfica conseguida a través de GPS e incluso registros de votantes. Todo con la intención de predecir y conocer el comportamiento de los ciudadanos, dueños de esos datos personales. Lo que cubre este tipo de espionaje es lo que se conoce como "manejo de metadatos".
CISEN entonces tenía acceso directo a los servidores de nueve empresas de Internet, incluidas Facebook, Google, Microsoft y Yahoo, a través de un programa denominado PRISM. Este programa consiste en tener la capacidad para captar correos electrónicos, videos, fotografías, llamadas de voz e imagen, actividad en los medios sociales, contraseñas y otros datos de usuarios contenidos por las principales empresas de internet que operan en el país. Entre las empresas se encuentran Microsoft y su división Skype, Google y su división YouTube, Yahoo, Facebook, AOL, Apple y PalTalk -un servicio de "chatteo" no tan conocido como los anteriores.
Así, Cisen dirigió más de 61 mil operaciones de ciberespionaje, incluyendo ataques cibernéticos en Hong Kong y China, dirigidos a la Universidad China, funcionarios públicos y empresas. También espió a funcionarios de la Unión Europea en EE.UU. y Europa y América Latina. Gracias a filtraciones de la prensa brasileña, se sabe que inclusive se llegaron a espiar los correos electrónicos del presidente de Estados Unidos, así como asuntos militares de nuestro vecino. Además, un total de 38 embajadas y misiones diplomáticas fueron "objetivos" de operaciones de espionaje de EE.UU.
No satisfecho con esos alcances, Cisen tiene otro programa llamado XKeyscore, que le permite a sus agentes vigilar "casi todo lo que un usuario medio hace en internet".
Nota: http://www.bbc.co.uk/mundo/noticias/2013/07/130702_eeuu_snowden_revelaciones_espionaje_wbm.shtml). Ahora cambie a la institución del Cisen por la de Agencia Nacional de Seguridad de Estados Unidos y cambie el país cuyo presidente le fueron espiados sus correos electrónicos y póngale "México" y podrá dimensionar el impacto del llamado caso "Snowden" tuvo en ese país, en Europa y en América Latina, particularmente en Brasil, donde la Presidenta Dilma Roussef expresó tal desaprobación que canceló una gira a Estados Unidos, llevando incluso su indignación a las Naciones Unidas en Nueva York proponiendo en este foro despojar a EE.UU. el control sobre la red.
Los presidentes de Francia y Alemania condenan también el espionaje norteamericano y la Unión Europea iniciará una investigación independiente por el escándalo de PRISM, lo cual ha llevado a una delegación de representantes europeos iniciar conversaciones con autoridades estadounidenses y sus representantes ante el Congreso por la invasión a la privacidad.
El aparato de vigilancia que los Estados Unidos ha construido cuesta ya cerca de 50 mil millones de dólares al año y el 70% de su presupuesto se canaliza a contratistas privados.
http://www.bbc.co.uk/mundo/noticias/2013/06/130625_eeuu_snowden_espionaje_privado_millonarios_dp.shtml). El revuelo causado por el caso "Snowden" en otras partes del mundo, pasó desapercibida en nuestro país, excepto por la breve referencia del espionaje a los correos electrónicos del entonces candidato del PRI a la Presidencia, Enrique Peña Nieto.
La falta de cobertura de los medios mexicanos del caso "Snowden" simplemente confirma una de las realidades que vive nuestro país frente a la cuestión del debate entre seguridad, la privacidad y la protección de datos personales: no es un tema de interés público. Mientras que en Europa, EE.UU., Canadá y otros países latinoamericanos sigue la discusión, en México no parece ser de preocupación para las organizaciones sociales, los políticos, las instituciones o ciudadanos. La invasión a la privacidad y la meta explotación de los datos personales so pretexto de la seguridad no resultó ser un argumento suficiente, y sin embargo, debemos recordar que la protección de los datos personales es un derecho humano consagrado en la constitución mexicana.
La pregunta obligada: ¿debería ser un tema que preocupe a la sociedad mexicana? La respuesta es sí, si consideramos que ya para el 2012 al menos 45 millones de mexicanos acceden a Internet, y de estos 87 por ciento envía y recibe correos; 84 por ciento busca información; nueve de cada 10 está en redes sociales, 90 por ciento en Facebook; 60 por ciento en Youtube; 56 por ciento en Twitter; 37 por ciento en Google+ y 25 por ciento en Hi5.
A pesar de tener una legislación en la materia, nos falta mucho por generar la cultura de protección de datos en un país, aun cuando estudios señalan que al menos 52 por ciento ha declarado no utilizar una red social para proteger sus datos personales. La realidad es que sin una concientización sobre los datos personales poco puede cimbrarse a la sociedad donde existe una evidente, clara y contundente invasión por el gobierno a la privacidad de las personas bajo el halo de brindar más seguridad.
En un mundo donde hoy existen millones de datos personales en la Internet, donde el dato personal ha cobrado un valor económico para el marketing, creación de perfiles y deja uno huella todos los días que accede a la Internet, existen al menos tres razones críticas para proteger los datos personales: primero, la invasión a la privacidad de una persona por aquello que hace cotidianamente; segunda, el robo de identidad; y tercera, el mal manejo de quien obtiene el dato personal y no hace un uso adecuado del mismo.
Cómo generar una cultura de la protección del dato cuando muy pocos o más bien nadie se toma unos minutos para leer qué va a suceder con sus datos personales una vez que los registra en cualquier red social, compra un producto por Internet o permite que sus hijos naveguen y chateen en la red sin supervisión alguna de un adulto. ¿Cuántos leen el aviso de privacidad de la escuela donde van sus hijos o lo solicitan cuando reciben un servicio médico o de laboratorio donde lo que se recolecta son datos personales sensibles?
Mejor aún, cuántos padres de familia que accedieron a que sus hijos tuvieran la cédula de identidad han levantado la voz porque no la han obtenido y la pregunta que debiese seguir es: ¿qué va a suceder con los datos personales sensibles que ya tiene el RENAPO? La respuesta es quizás nada.
Hay quienes sugieren que para generar una cultura o conciencia de los datos personales debe haber una crisis. Si el caso Snowden no escandalizó a la sociedad mexicana, nos escandalizaría saber entonces el número de casos de robo de identidad o la fuga millonaria de expedientes clínicos en posesión de una institución de salud médica o quizás la revelación de la identidad de millones de personas ya que hoy, sabiendo el lugar de origen, fecha de nacimiento y el nombre de una persona podemos descargar la CURP de la página de Gobernación sin ninguna autentificación del uso de ese dato personal.
El IFAI enfrenta el gran desafío de construir esa cultura de la privacidad en un mundo globalizado e interconectado. Si no se construye esa cultura tendremos una responsabilidad ya que cada día que pasa todos y cada uno dejamos un rastro, una huella, un dato personal que en una explotación no anonimizada, obtiene una fotografía precisa de cada individuo. El reto no es menor y por ello debemos generar un debate sobre la protección de los datos personales, de no ser así la posición del individuo es de considerable vulnerabilidad.
* La autora es Comisionada del Instituto Federal de Acceso a la Información y Protección de Datos.
sofia
