En tiempos de pandemia, el Estado nacional creó la aplicación CUID.AR para monitorear y controlar la situación sanitaria en el país. A partir de un amparo colectivo presentado por ODIA (Observatorio de Derecho Informático Argentino), recientemente la Justicia ordenó al gobierno borrar las bases de datos de la aplicación. La normativa permitía compartir entre Nación y las provincias los datos personales de los usuarios mientras durara la emergencia sanitaria, sin embargo, fueron necesarias varias instancias judiciales para conseguir frenar esa situación y proteger el derecho a la privacidad.
Junto a Fundación Vía Libre, desde LAIA acompañamos el reclamo de ODIA, en carácter de amigos del tribunal. Presentamos fundamentos técnicos para apoyar la demanda, destacando los riesgos asociados con la inteligencia artificial en la gestión de datos personales.
Estamos felices de haber podido participar en la resolución favorable de este conflicto, al lado de dos instituciones de amplia trayectoria en la defensa de los derechos digitales y la privacidad. ODIA, como observatorio, se enfoca en promover el ejercicio responsable de la ciudadanía digital y garantizar que los derechos de la comunidad sean respetados; mientras que la Fundación Vía Libre es una organización sin fines de lucro centrada en promover la libre difusión del conocimiento y la cultura.
Riesgos conocidos y nuevos desafíos
En las últimas décadas, la tecnología ha cambiado drásticamente la forma en que vivimos y nos comunicamos. La cantidad de datos personales que se generan y transmiten es cada vez más grande y escapa a cualquier posibilidad de control humano. Esta digitalización exponencial nos ha llevado a una crisis que nos afecta en múltiples dimensiones, incluyendo la seguridad, la privacidad y la manipulación de la información.
En la presentación alertamos sobre los peligros que implica el mal manejo, intencional o accidental, de los datos personales y también nos enfocamos en los riesgos potencialmente inminentes que surgen del rápido avance de la inteligencia artificial generativa de los últimos dos años. Para que se entiendan los posibles riesgos, en la presentación mencionamos solo algunos de muchos casos, por ejemplo, estafas por videollamada usando herramientas de video que reemplazan el rostro y la voz de una persona por otra. Estos casos parecen ser solo el comienzo de lo que podemos esperar. Los sistemas maliciosos basados en inteligencia artificial generativa aún no han causado grandes daños, pero tienen un potencial de daño aún desconocido. A medida que estas tecnologías se vuelvan más accesibles y baratas, la tendencia se profundizará y avanzará probablemente más rápido que los recaudos y las buenas prácticas.
Vulnerabilidades técnicas y sociales
Desde un punto de vista meramente técnico, un argumento fundamental para evitar la multiplicación de la disponibilidad de datos personales de la ciudadanía es que esta aumenta la superficie de ataque, es decir, la cantidad de puntos, también denominados vectores, por los que un atacante puede intentar acceder al sistema. Cada organismo de gobierno agrega a la superficie de ataque todos los sistemas que administra, lo que aumenta la probabilidad de éxito de un actor malicioso que quiera robar información.
Además, los atacantes también utilizan métodos de manipulación y persuasión para engañar a empleados y funcionarios con acceso a información sensible. Las herramientas de inteligencia artificial generativa pueden producir contenido altamente convincente, y ello las hace atractivas para crear mensajes más persuasivos de phishing. El término phishing significa suplantación de la identidad, y denomina a las técnicas con las que, simulando ser fuentes confiables, envían a sitios que roban información confidencial. Disponibilizar datos a organismos que no sean estrictamente adecuados, relevantes para una finalidad concreta, explícita y legítima, multiplica también estos riesgos.
Por todo esto, es crucial que los procesos de obtención, almacenamiento y transmisión de datos personales por parte de organismos públicos sean extremadamente justificados y realizados bajo estándares lo más estrictos posible para proteger la privacidad y seguridad de la ciudadanía.
¿Qué términos y condiciones aceptamos?
El caso de la aplicación CUID.AR permite visibilizar la importancia de la protección de la privacidad, fundamental para garantizar la seguridad y la confianza en la gestión de datos personales. La ciudadanía debe ser informada cuando cede sus datos personales sobre cuáles son los objetivos y los límites de esa entrega. Solo así será eficaz su derecho a consentir como facultad esencial de su derecho a controlar y disponer de sus datos personales.
En la primera instancia judicial, el amparo había sido rechazado, con el fundamento de que los usuarios de la aplicación CUID.AR habían aceptado los términos de funcionamiento que incluían la autorización para compartir sus datos. Sin embargo, en la subsiguiente decisión, los camaristas recordaron que la misma disposición del Ministerio de Salud también establecía que los datos recabados debían ser destruidos cuando dejaran de ser necesarios o pertinentes para los fines originales. Al respecto, resulta inevitable la pregunta por qué margen teníamos como ciudadanos, en pleno auge de la pandemia, para no aceptar los términos y condiciones de la aplicación o, incluso más, para negarnos a utilizarla.
En el contexto actual, es fundamental anticiparnos a los riesgos y tomar medidas efectivas para proteger la privacidad y seguridad de la ciudadanía. En este sentido se pronuncia, por ejemplo, el informe de la Agencia de la UE para la Cooperación Policial (Europol), en el que destaca la importancia de detectar y prevenir vulnerabilidades en la tecnología de inteligencia artificial generativa.
Es imprescindible reconocer que los riesgos que se derivan de la no respetuosa recolección y uso de datos personales son graves y crecen exponencialmente con el avance de la digitalización. Por ello celebramos el logro de esta resolución de la justicia, que sienta un precedente importante para la protección del derecho a la privacidad y demuestra, también, la relevancia de mancomunar esfuerzos entre instituciones, asociaciones civiles y organizaciones no gubernamentales atentas al potencial transformador de la inteligencia artificial en toda la ciudadanía.