El 2024 fue un año de progresos esperados en materia de protección de datos para nuestra región. Se aprobó en Chile, luego de seis años de debate regulatorio, la ley de protección de datos; El Salvador también aprobó su ley, y Perú reformó la suya para adaptarla al estándar europeo, un referente que muchos países de América Latina intentan adoptar. Por su parte, Paraguay avanzó en la discusión del proyecto de ley, y se espera que este año suceda su aprobación.

El año pasado también observamos retrocesos significativos, como la eliminación del INAI, autoridad garante del derecho a la protección de datos y el acceso a la información pública en México. Esto ocurrió en el marco de una reforma constitucional que, bajo el argumento de reducir costos operativos, eliminó a distintos entes autónomos. Una supresión que se produce en tiempos en que las Big Tech acrecientan su poder para amasar y explotar nuestros datos bajo condiciones cada vez más asimétricas.

Frente a esos avances y retrocesos regulatorios, en nuestro trabajo en Derechos Digitales hemos observado algunas tendencias regionales preocupantes. Algunas de ellas son nuevas, mientras que otras representan la continuidad de prácticas de explotación de nuestros datos que se expanden y masifican de cara a nuevas y emergentes tecnologías, las cuales amplían el alcance a las tareas de recolección y procesamiento de nuestros datos y con ello, intensifican su impacto en la protección de los mismos. Veamos una por una.

La protección de datos y las tareas estatales de seguridad: una desconexión peligrosa

La primera tendencia tiene que ver con la creciente adopción de prácticas y tecnologías para la extracción de datos por parte de los Estados para fines que, en particular, se enfocan en la seguridad ciudadana y nacional.Se trata de finalidades que las regulaciones de protección de datos han excluido tradicionalmente de su aplicación, bajo una visión arcaica que sugiere que el resguardo de la ciudadanía no es algo que deba consentir esta última.

Enmarcado en esta tendencia vimos con preocupación la expedición de la resolución que en Argentina habilita al ciberpatrullaje, una tarea de seguridad emprendida por el Estado para patrullar (o vigilar) internet “de la manera en que se patrullan las calles” para, en teoría, facilitar la identificación y prevención de los delitos en línea.

Se trata de una resolución que no fija límites claros, respetuosos y garantes de la privacidad y la libertad de expresión en línea. De manera similar, el ciberpatrullaje se despliega también en Colombia, Bolivia, México, Brasil y Uruguay. En cada caso, al parecer, las autoridades se dedican a explorar y observar de cerca lo que publicamos y con quién interactuamos en línea -en ocasiones, con ayuda de algoritmos para automatizar dicha tarea-, para determinar si lo que decimos o con quién conectamos amerita ser perseguido por la vía penal.

Lo cierto es que, pese a la desconexión que persiste entre la regulación de la protección de datos y las tareas de seguridad, y a que sea cierto que el consentimiento no sea propiamente la base jurídica que da pie al tratamiento de los datos en estos casos, los Estados sí deberían observar los principios y obligaciones que garantizan que la recolección de los datos de la ciudadanía sucede de manera responsable, lícita, leal, transparente, segura y, sobre todo, de manera compatible con los derechos humanos.

Pero además, bajo ciertas condiciones, los titulares de los datos deberían conservan el ejercicio de los derechos de actualización, rectificación, y cancelación de su información inclusive en esas tareas. Esto último, de hecho, lo reiteró por su cuenta el fallo Cajar vs. Colombia emitido en 2024 por la Corte Interamericana de Derechos Humanos respecto a las tareas de inteligencia estatal, y cuyas repercusiones en la regulación de la protección de datos frente a las tareas de seguridad aún están por verse.

Biometría ¿para qué?: el valor vs. el precio de los datos

La segunda tendencia que observamos, tiene que ver con la recolección transaccional de datos sensibles para la realización de modelos de negocio muy poco claros o transparentes. Por ejemplo, identificamos la masificación de los servicios de empresas como Tools for Humanity (TfH) desarrolladora de World –antes Worldcoin– que prometen entregar a las personas criptomonedas a cambio del escaneo de su iris, un dato biométrico que será usado para ayudar a resolver los problemas asociados a la identidad en línea.

La empresa TfH desplegó operaciones en Argentina, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Perú y República Dominicana. Solo las autoridades de protección de datos de Argentina, Colombia, Brasil y Perú abrieron investigaciones a World, entre otras cosas por las condiciones de recolección del consentimiento de las personas, que no parece estar precedido de información clara y transparente sobre las condiciones del tratamiento de los datos biométricos capturados, así como las condiciones del ejercicio de los derechos de acceso, rectificación, cancelación u oposición. Sobre el desarrollo de esas investigaciones sabemos poco al día de hoy.

Ahora bien, el contenido transaccional de este tipo de prácticas resulta problemático por dos motivos. En primer lugar, porque asignan un valor económico a la entrega de un dato cuyo valor identificatorio es inestimable por su naturaleza inmodificable, así como profundamente personal, y que por los riesgos de ser instrumentalizado en contra de su titular ha merecido un estatus de protección especial en la mayoría de legislaciones que regulan esta materia. En segundo lugar, porque además de explotar la vulnerabilidad económica de ciertos sectores de la población, se trata de empresas que operan de manera poco transparente frente a los reguladores y los titulares de los datos.

Todo esto para aceitar el modelo de negocio de la identidad digital del que todavía no sabemos mucho, pero frente al cual otras autoridades de protección de datos en el mundo han actuado de manera mucho más contundente y preventiva prohibiendo las operaciones de World, tal y como sucedió en España, Francia, India, Corea del Sur, Hong Kong e incluso Kenia.

Las Big Techs y la IA: nuestros datos a merced de políticas injustas

Y la tercera tendencia, tiene que ver con los cambios poco claros y transparentes de las políticas de privacidad impuestas de manera abusiva en América Latina por distintas plataformas que transitaron a la adopción de sistemas de IA con diversos propósitos, y que asumen, al contrario de lo indicado por los principios de finalidad, transparencia o lealtad en el tratamiento de los datos, que los titulares aceptan por defecto los nuevos términos y condiciones impuestos.

El caso de Meta es quizá uno de los más representativos, pues desplegó un cambio global de su política de privacidad que autoriza de manera retroactiva al uso de los datos de los usuarios de Facebook e Instagram para entrenar a su IA. Un cambio que dejó a sus usuarios en América Latina sin ninguna opción válida para negarse u oponerse.

Solo la autoridad de protección de datos de Brasil (ANPD) reaccionó al emitir una medida cautelar que prohibía desplegar dicho cambio en tanto que dejaba a los titulares de los datos de ese país sin opciones para rechazar la nueva política en cuestión. Con posterioridad, Meta desplegó en ese país su política de manera mucho más clara con autorización de la autoridad, y habilitó -a diferencia del resto de países de la región- canales para el ejercicio del derecho a rechazar los cambios propuestos.

Cambios similares sucedieron en las políticas de otras plataformas como X, Linkedin, Adobe y Google, entre otras, que además habilitan a que terceros puedan usar los datos de sus usuarios para entrenar a sus sistemas de IA. Se trata de cambios que, en la mayoría de los casos, se han introducido de manera subrepticia y silenciosa, algo que la Comisión Federal de Comercio en Estados Unidos (FTC por sus siglas en inglés) ha calificado como una práctica injusta y engañosa.

Frente a este panorama ¿hay motivos para la esperanza?

Estas tendencias están acompañadas de un panorama regulatorio que, en gran medida, todavía limita a las pocas autoridades activas de la región a desempeñar roles de simple monitoreo preventivo y vigilancia pasiva. Aún queda pendiente avanzar hacia un rol sancionador más robusto donde, por ejemplo, las multas ejemplarizantes puedan ayudar a generar nuevas pautas de conducta para actores del sector privado y público; o donde las autoridades asuman un rol activo y oficioso, en el cual la imposición a iniciativa propia de medidas cautelares pueda ayudar a prevenir la afectación de los derechos de las personas.

Hay motivos para la esperanza, pero debemos moderar nuestras expectativas. Es cierto que, cada vez más, el listado de países sin regulación de protección de datos se reduce. Y aunque esto es importante, no es motivo para cantar victoria, pues hace falta todavía cambiar visiones arcaicas como aquellas que sugieren que los Estados, cuando realizan cierto tipo de tareas -como las de seguridad- tienen un cheque en blanco que les habilita a dar tratamiento a los datos personales de la ciudadanía de cualquier manera.

También es cierto que las regulaciones vigentes en protección de datos precisan de un balance necesario cuando su ejercicio se enfrenta a otros derechos, como el de libertad de expresión o acceso a la información. Y que persisten otros retos igualmente urgentes para que las regulaciones aprobadas y vigentes cobren vida y sirvan como verdaderas herramientas de protección a las personas.

Por ejemplo, urge el robustecimiento de las capacidades humanas y técnicas de las autoridades de protección de datos, así como establecerlas en países donde aún no existen. Además, es fundamental garantizar los recursos necesarios para su funcionamiento, y dotarlas de la independencia y autonomía que las habiliten para actuar frente a otras dependencias estatales así como frente a las Big Tech que, cada vez más, buscan eludir o intimidar a las normativas y autoridades que ejercen su poder regulatorio.

Desde luego, el trabajo de organizaciones como Derechos Digitales será aportar a esto último, y vigilar para que las promesas de regulación no se queden en el papel, sino que se traduzcan en verdaderas garantías para los derechos humanos en el entorno digital. El 2024 nos recordó que la protección de los datos personales no es solo una cuestión técnica o legal, sino una lucha política que enfrenta intereses poderosos, ya sean estatales o corporativos.

Nos encontramos frente a un panorama complejo, pero también un momento clave para definir el futuro del derecho a la protección de datos en nuestra región. Las decisiones que tomemos hoy serán cruciales para establecer un equilibrio entre el avance tecnológico y la protección de los derechos fundamentales. Solo si mantenemos la vigilancia activa, exigimos mayor transparencia y contribuimos a fortalecer las capacidades regulatorias de las autoridades, podremos garantizar que los datos personales de millones de personas no se conviertan en una mercancía desprotegida, sino en una herramienta que potencie su dignidad y autonomía. El desafío es enorme, pero no podemos darnos el lujo de detenernos ahora.