El panorama de Juan Carlos y su familia el domingo pasado fue ir a un mall en Los Dominicos y entrar a Graffiti Nature, un show interactivo de dibujos y luces que el colectivo japonés de arte, tecnología e innovación TeamLab trajo por primera vez a Chile. La dinámica era simple: al ingresar, les pasarían a cada uno un dibujo con la silueta de un animal que debían pintar con lápices pasteles. Después los escanearían y en una pieza oscura con espejos, esos dibujos serían proyectados con luces, pero ya no serían estáticos, sino que tendrían movimiento e interactuarían entre sí, como si estuvieran vivos.

Para entrar no había que pagar, sacar número ni hacer colas. La joven sentada en la entrada daba las indicaciones: "Ingrese a esta página web para sacar su código y así se ahorra la fila", decía. Y así hizo Juan Carlos. Desde su celular ingresó los datos que le pedían: su nombre completo, rut, correo electrónico y número telefónico. Cuál era su mall de preferencia, con cuánta gente iba y a qué hora entraría al espectáculo interactivo. Al terminar, apretó el botón que decía "inscribir". Le tocó el B59, y en cosa de minutos ya estaba adentro con su esposa e hijos corriendo detrás de sus dibujos.

A la salida hizo algo que no suele hacer, y descargó el documento con los términos y condiciones de privacidad de los datos personales que había entregado voluntariamente. Y entonces se dio cuenta de que había aceptado mucho más que evitar una fila para ingresar a una exhibición.

El documento, que en definitiva es un contrato, decía que al aceptar las condiciones autorizaba al mall a tratar sus datos personales y compartirlos con todas sus empresas filiales, para hacer uso de ellos de forma directa o a través de sus proveedores. Y no solo los que ya había entregado.

El acuerdo contempla también acceso a su geolocalización, su historial de navegación en el sitio web del mall, sus rasgos faciales y de voz, su huella digital y sus hábitos de consumo. ¿Para qué? Para implementar acciones de marketing directo. Para facilitar el relleno de documentos cuando haga transacciones con alguna de esas empresas. Para ajustar su oferta de productos a su perfil de cliente. Y para desarrollar acciones comerciales y de posventa que mejoren su experiencia como usuario.

Juan Carlos rara vez leía ese tipo de documentos, y no es el único que los suele pasar por alto. De acuerdo al Estudio Nacional de Transparencia 2018 (ENT), elaborado por el Consejo para la Transparencia (CPLT), menos de un tercio de las personas en Chile revisa las condiciones de privacidad cuando instala una aplicación en su celular, abre una cuenta en una red social o adquiere un servicio online (ver infografía).

Los más jóvenes son los más expuestos, aquellos que tienen entre 18 y 25 años. Entre los encuestados, son el grupo que más uso da a las tecnologías y, con un 62% que señala no leer nunca las condiciones de privacidad, son quienes menos se preocupan por conocer la letra chica que regula sus relaciones con lo digital. Son también los que menos cuidan su rut, su domicilio, su teléfono, su estado civil o su estado de salud.

No saben entonces qué datos suyos se están recopilando, cómo, para qué, por cuánto tiempo, bajo qué condiciones, quiénes tienen acceso a ellos y qué pueden hacer para revocar esos permisos.

Y ahí están los datos que se entregan de forma voluntaria, y también los que se extraen sin que la persona sepa. La foto de la patente del vehículo en autopistas y estacionamientos privados; la imagen del rostro que captura una cámara con tecnología de reconocimiento facial en tiendas y calles; la lista de contactos telefónicos a la que acceden las aplicaciones móviles; los recorridos en micro o bicicleta por la ciudad; los horarios; las fotos; los micrófonos y más.

"La recolección, uso y análisis de los datos personales es parte fundamental del funcionamiento de la sociedad actual. Esto repercute en que la ciudadanía se da cuenta de que sus datos son cada vez más solicitados e inevitablemente surge la preocupación por su buen o mal uso", señala el presidente del CPLT, Jorge Jaraquemada.

La anarquía de los datos

Se venden bases de datos. De empresas, de ejecutivos, de personas ABC1, de clientes de firmas de telefonía móvil y de otras tantas. En internet es relativamente fácil encontrarlas.

A mediados de mayo, el programador Fernando Lagos denunció en blogs, redes sociales y ante el Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior (CSIRT) la venta de bases de datos privados y personales extraídas desde grandes empresas y organismos gubernamentales en un sitio de foros de la deep web. Eran datos que en algún momento alguien entregó suponiendo que los guardarían bajo la más estricta confidencialidad, pero que fueron filtrados. Había claves de miles de personas para acceder a sus portales de AFP o, en el caso de estudiantes, a sus cuentas personales en los sitios web de sus universidades.

"Hay empresas que toman la información de las personas, la mezclan con la de otras y la externalizan. Algunas, incluso, lo hacen sin darse cuenta. Están las que aseguran esos datos, los protegen, pero muchas veces los protegen mal. Y están, además, las que los protegen bien. Pero al final es ese el peor uso que se le puede dar a la información: externalizarla sin el consentimiento de los titulares", dice Francisco Vial, criptógrafo del Instituto Milenio de Fundamentos de los Datos.

Sean privadas o públicas, las instituciones que manejan información personal podrían ocasionalmente usarla para fines distintos a aquellos para los cuales se recolectó en un principio. Desde esa premisa, la ENT consultó a unas 2.860 personas sobre qué tanto les preocupa el mal uso de esos datos. El 85% se mostró con algún grado de preocupación, algo que hoy se ve muy parejo en todos los estratos socioeconómicos.

Para Jaraquemada no se trata solo de quién tiene acceso a los datos privados de las personas, sino que más bien de un tema de control: si se entiende que aunque los datos estén en manos de una empresa o del Estado siguen siendo propiedad de sus titulares, ¿quién realmente domina lo que se hace con esa información y cómo se regula?

El presidente del CPLT dice que no puede hablarse de un "mercado negro" de datos personales, porque en Chile no hay regulación que lo obligue a ser clandestino. "El mercado funciona sin necesidad de esconderse, sustentado por la desprotección en la que nos mantiene una ley muy pretérita. El 'negocio de los datos' se basa en la entrega de información personal a una entidad que los solicita para un fin determinado y en un entorno seguro, pero aquí no se presenta ninguna de esas dos situaciones. En Chile existe una suerte de anarquía de los datos personales", asegura.

Desprotegidos

La ley de protección de datos vigente ya está obsoleta. Se promulgó en 1999 y fue una de las primeras de su tipo en Latinoamérica, en una época en que recién se empezaba a masificar el uso de internet, e-mails y celulares, cuyo mayor avance tecnológico eran los ringtones polifónicos. Y fue, además, una ley coja: no estableció sanciones ni mecanismos o instancias especiales ante las cuales recurrir para protegerse ante una infracción. Nadie fiscaliza, regula ni sanciona.

El proyecto que ahora se discute en el Congreso para reemplazar la actual ley propone ampliar las facultades del CPLT para que ya no solo se haga cargo de regular y garantizar el acceso a la información pública, sino también de todo lo que tenga que ver con la protección de información privada de las personas.

La propuesta es criticada por organizaciones civiles como la Fundación Datos Protegidos o Derechos Digitales, que plantean dudas de la real independencia y capacidad que pueda tener la entidad para fiscalizar correctamente tanto el área pública como la privada. Al contrario, Jaraquemada asegura que "no existe en Chile un mejor garante de datos personales que el CPLT".

Es por eso que la entidad ha comenzado a tomar la batuta sobre el tema, realizando estudios, cursos y seminarios sobre protección de datos personales. Aunque aún desde la formalidad. La discusión legislativa, en todo caso, sigue en el Senado en su primer trámite, y no registra movimiento desde julio de 2018, por lo que aún queda un tiempo antes de que entren en vigencia nuevas normas para fortalecer el cuidado de la información sensible de los chilenos.