Ilustración: Alejandro Cañer
El día 19 de septiembre, el medio oficialista Cubadebate publicó datos sobre la aplicación Cola.CU, una app desarrollada por la Universidad Tecnológica José Antonio Echeverría y que lleva en funcionamiento desde el 1 de septiembre de 2020.
En teoría, Cola.CU es utilizada para organizar las largas filas de alimentos que hay en La Habana y para impedir el acaparamiento de los “coleros”, una forma que hay en Cuba de llamar a las personas que se dedican a hacer estas filas, comprar productos y luego revenderlos a un precio mayor.
En un primer momento, las autoridades también declararon que servía para evitar grandes concentraciones de personas y restringir la movilidad entre municipios. Recordemos que, en septiembre de 2020, la covid-19 era un problema mucho mayor de lo que es ahora.
Para registrar a alguien en la cola, el encargado debe hacerlo con un documento identificativo: carné de identidad, carné militar o pasaporte. También se puede incluir el municipio de residencia para, según Joaquín Pina Amargós, uno de sus desarrolladores, “hacer un análisis demográfico de movilidad”.
Cola.CU le informa al organizador de la cola cuáles son los productos que oferta y si alguna de las personas en la fila se ha registrado en otra cola. Si así lo considera, el organizador puede retirar a esa persona de la fila.
De acuerdo con Cubadebate, la versión de escritorio de Cola.CU permite unificar toda la información para que así las personas que compren en esa tienda lo hagan una sola vez en un período de tiempo.
Pero Cola.CU no fue la primera aplicación que el gobierno utilizó para recopilar información de compradores. En abril de 2020, la Universidad de Ciencias Informáticas (UCI) sacó Porter@, una app para organizar la entrada a los mercados, en un contexto de escasez de productos y pandemia de covid-19.
Un reportaje de YucaByte reveló que Porter@ estaba enlazada a la base de datos del Ministerio del Interior (Minint). La información que recopila la app es utilizada para enfrentar a deudores de impuestos y a “otras categorías de interés”, que no han sido definidas y que no tienen que ver con el propósito inicial declarado por las autoridades y sus creadores.
“Debemos estar preparados para la protección de los derechos humanos que se ven amenazados en el campo virtual, con trascendencia al mundo físico”#HumanRightsDay #DiaDeLosDerechosHumanos #DerechosHumanos https://t.co/ABdM9LnyG7
— YucaByte (@YucaByte) December 10, 2020
Fermín Rivas Sotomayor, otro de los desarrolladores de Cola.CU, dijo que “se tenían datos interesantes, pero no se usan aún por parte de las autoridades para dirigir la distribución, tomar medidas con los acaparadores que se detectan y unir con los datos de las OFICODAS”, las oficinas de control de distribución de alimentos.
Según los datos del equipo de desarrollo que fueron compartidos por Cubadebate, en la aplicación se han registrado más de 1.25 millones de personas diferentes y se han “beneficiado” más de 250 000 “que han podido comprar gracias a la detección de compradores recientes”.
Al final del texto, sin embargo, dan otros números: allí elevan el total de registros a los 1.5 millones y el total de “beneficiados” a los 540 000.
No sabemos si estas estadísticas del final son más recientes, pues no se aclara en la nota. Tampoco sabemos si fue un error. Hasta el momento el medio no ha dado una explicación al respecto.
El PMUS, otra aplicación con la posibilidad de cibervigilancia
La posibilidad de que el poder en Cuba recopile información de la ciudadanía con la ayuda de aplicaciones informáticas no se limita a Cola.CU o a Porter@.
En abril de 2021, una nota del diario Granma dio a conocer un proyecto que, supuestamente, busca disminuir la contaminación acústica y del aire, así como reducir el consumo de combustible y mejorar el diseño urbano de las rutas de transporte.
Se trata del PMUS, el Programa de Movilidad Urbana Sostenible. De acuerdo con la nota de Granma, el PMUS está financiado por Euroclima+, programa de la Unión Europea (UE) para la sostenibilidad ambiental y cambio climático con América Latina, y la Agencia Francesa para el Desarrollo.
“En otras palabras, la tecnología usada para conocer los índices de movilidad en la ciudad se basa en la geolocalización en tiempo real de cada usuario de telefonía móvil”@EUROCLIMA_UE_AL @UEenCuba https://t.co/o1kfX6oLoU
— YucaByte (@YucaByte) May 15, 2021
En un primer momento, el PMUS recogería información a base de encuestas tradicionales en ciertas zonas determinadas. Pero luego esto cambió.
Según el periódico Tribuna de La Habana, esa recogida de información pasaría a ser de forma automática con herramientas digitales en las que trabajaron la Universidad de La Habana y ETECSA, la única empresa de telecomunicaciones de la isla, la empresa que corta o restringe el acceso a internet de activistas y periodistas independientes cuando es de interés del gobierno.
Con estas herramientas, señaló el periódico Tribuna, “se estiman los totales de usuarios de telefonía que se desplazan entre torres telefónicas de la ciudad, sin acceder a datos individuales”.
Es decir, que la tecnología utilizada para conocer los índices de movilidad de la ciudad se basa en la geolocalización en tiempo real de los usuarios de telefonía móvil, la cuál permite saber dónde está la persona, por qué calles se mueve.
Aunque las autoridades prometieron no personalizar la vigilancia, ello no representa garantía verdadera, ni tampoco que esa tecnología se convierta en un instrumento para la represión política.
El gobierno cubano ha recibido de la UE y de organizaciones como la Agencia Suiza para el Desarrollo y la Cooperación (COSUDE) sumas millonarias para cuestiones ambientales desde 2012.
Este hecho por sí solo no representa un conflicto. Sí lo es, en cambio, que la UE permita que su dinero sea empleado en mecanismos que podrían aumentar la represión y vulnerar derechos esenciales. También lo es que el dinero que entregue el bloque continental, un dinero que ha sido presentado como “aportes a la sociedad civil”, acabe en manos de organizaciones controladas por el estado, como la Federación de Mujeres Cubanas, de acuerdo con una investigación de la ONG Prisoners Defenders.
Para saber más al respecto, puede consultar ¿Financia la Unión Europea un sistema de cibervigilancia en Cuba?, un reportaje de YucaByte, publicado en 2021, que profundiza sobre estos temas y explica con detenimiento cómo funciona el PMUS.
Ley de Protección de Datos: otra ley a conveniencia del poder
La difusión de datos personales facilita que se puedan cometer delitos informáticos como el ciberacoso, el robo de identidad, la extorsión o los chantajes, más si los sistemas donde están almacenados esos datos no tienen una buena seguridad.
Hasta el momento no hay manera de saber cómo se utilizan exactamente los datos que se recogen en las filas para conseguir alimentos, tampoco cómo las autoridades los protegen, si los protegen, o si los borran del sistema cuando pase el tiempo.
Algunos países, como México, España o Uruguay, incluyen mecanismos jurídicos para garantizar la privacidad de las personas. La Unión Europea, por su parte, tiene la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales, que enuncia un conjunto de derechos que reflejan la voluntad política de proteger a la ciudadanía digital.
En mayo de 2022, la Asamblea Nacional del Poder Popular aprobó por unanimidad la Ley de Protección de Datos Personales de Cuba. El 25 de agosto, la versión definitiva de dicha ley fue publicada por la Gaceta Oficial.
Esta ley, que entrará en vigor en 2023, será la norma legislativa que regule el uso y el tratamiento de datos personales por parte de las personas y de las entidades públicas y privadas.
Están protegidas por esta legislación las informaciones vinculadas con “el sexo, edad, imagen, voz, género, identidad, identidad de género, orientación sexual, color de la piel, origen étnico, nacional y territorial, condición y clasificación migratoria, situación de discapacidad, creencias religiosas, filiación política, estado civil, domicilio, datos médicos o de salud, económico-financieros, académicos y de formación, profesionales y de empleo, judiciales y administrativos”.
Pero el documento anuncia que hay excepciones en el cumplimiento de la ley. Estas excepciones no han sido declaradas en el texto jurídico y podrán serán aplicadas por el Consejo de Ministros a propuestas del presidente de la Asamblea Nacional del Poder Popular, organismos de la administración central del Estado e instituciones nacionales.
A diferencia de lo que pasaba anteriormente, ahora la protección de datos digitales está cubierta por la ley. Estos datos podrán ser divulgados sin permiso de sus dueños por motivos “sociales, académicos o investigativos”, siempre que sean “anonimizados o disociados y su recolección sólo incluya los datos mínimos necesarios para cumplir su propósito”.
Al igual que otras leyes impulsadas por el gobierno cubano, esta tendrá puntos ambiguos, donde es posible que el estado aplique la norma a discrecionalidad, a su conveniencia.
Por ejemplo, en el artículo 17 inciso h), se lee que los datos personales pueden almacenarse sin consentimiento de su titular, “por razones de seguridad colectiva, bienestar general, respeto al orden público e interés a la defensa”.
Los límites de estos elementos no están explicados en el cuerpo legal de la ley ni de ningún otro documento jurídico existente en Cuba, lo cual deja su interpretación al entendimiento de las autoridades.
En una entrevista a YucaByte, Giselle Morfi, abogada de la plataforma Cubalex, añadió que la redacción del documento no facilita su entendimiento y que los principios jurídicos deberían estar mencionados de la misma forma que los recoge el derecho internacional: derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Es importante añadir que, en el momento de la entrevista, la Ley de Protección de Datos era un anteproyecto, todavía no había salido su versión final.
Morfi también habló, entre otras cosas, sobre qué hacer en caso de que las autoridades le nieguen a un ciudadano ejercer sus derechos ARCO y sobre las grabaciones de equipos del estado y de particulares en zonas públicas.
Esto es algo, por ejemplo, que podría afectar no solo a opositores del gobierno que estén bajo vigilancia, sino a terceros, personas que simplemente pasaban por ahí.
Para tratar temas como la ambigüedad de la ley, los mecanismos represivos y las posibles alternativas que puede tener la ciudadanía, YucaByte habló nuevamente con Giselle Morfi.
¿Cómo puede afectar esa desprotección de datos a activistas, periodistas independientes en Cuba?
El nivel de control es mucho mayor en estos casos porque son sujetos de interés para la Seguridad del Estado. Estas son personas en riesgo de ser perseguidas, amenazadas y hostigadas por los agentes del Estado constantemente.
Con sus datos personales y el dominio de su privacidad las pueden intimidar y chantajear fácilmente, además de amenazarlos con su familia, quienes podrían sufrir la misma suerte.
Pudiera verse afectada su privacidad, su seguridad y libertad personal, así como la libertad de movimiento de estas personas y su derecho a la honra. Y esto no sería nada nuevo, ni lo será después que entre en vigor la Ley 149/2022 de Protección de Datos Personales (PDP), solo que podrán legitimarlo con las excepciones amplias, ambiguas y discrecionales establecidas en la ley como: “orden público”, “bienestar general”, “interés de la defensa y la seguridad nacional” y “otras que de manera significativa así lo ameriten”.
Ante esta regulación ¿qué riesgos específicos corren no sólo los periodistas y activistas independientes, sino la ciudadanía en general?
En Cuba la represión es generalizada, sistemática y continuada, no escapa nadie. Cualquier persona puede ser un potencial disidente y por eso a todos nos vigilan. La ciudadanía en general corre los mismos riesgos que los grupos anteriores, la diferencia pudiera estar en la mayor o menor atención que les presten.
¿Cuáles de esos riesgos podrían tener una trascendencia futura, y no sólo en este contexto de represión?
El riesgo futuro está en que no sabemos a dónde van a parar nuestros datos, no sabemos quiénes tienen accesos y qué hacen con ellos. La ley de Protección de Datos Personales aprobada autoriza su intercambio y transferencia nacional e internacional bajo argumentos amplios y discrecionales, permitiendo que cualquiera pueda tener tus datos dentro y fuera del país.
Las personas facultadas para la transferencia internacional de datos personales son muchas: El Presidente del Tribunal Supremo Popular, el Fiscal General de la República, el Ministro-Presidente del Banco Central de Cuba y los ministros de Relaciones Exteriores, del Interior, de la Fuerzas Armadas Revolucionarias, de Justicia y de Salud Pública. Esto no es garantista porque no existe un órgano imparcial, autónomo e independiente que se encargue del control de dicha transferencia y supervisión y exigencia de rendición de cuentas de la actividad que realizan. Muestra de un gobierno que no es transparente y, por tanto, nada confiable. Si quisiera vender nuestros datos personales a otros estados o empresas privadas extranjeras, lo puede hacer y nosotros no nos enteramos.
¿En la regulación cubana dónde está la principal fuente de desprotección?
La principal fuente es la regulación de razones abstractas, amplias y discrecionales para negar el derecho a la protección de datos personales. Límites ilegítimos de acuerdo con los estándares internacionales de derechos humanos, sobre todo porque la ley no especifica qué significa cada uno, de manera que pueda determinarse mediante una situación concreta y clara, para evitar que la autoridad de manera discrecional las nombre sin demostrar su necesidad, proporcionalidad y legitimidad.
Me preocupa el Código Penal que legitima la vigilancia electrónica sin que el fiscal tenga que fundamentar su decisión y demostrar la necesidad, estricta proporcionalidad y legitimidad. Por el contrario, autoriza medios de vigilancia que no sabemos cuáles pudieran ser, ni su alcance, porque enumera algunos, pero otros los deja a discreción del fiscal.
También me preocupa la ley de Protección de Datos Personales marcada por términos amplios, ambiguos, discrecionales y además porque no hay una institución independiente, autónoma e imparcial para la resolución de los conflictos, supervisión y control de los sujetos facultados para el tratamiento de los datos personales.
Estas dos fuentes legales son contrarias a los estándares internacionales de DD. HH y a la garantía y protección del derecho a la privacidad.
Está claro que los ciudadanos tienen muy poco control sobre esa desprotección, pero, ¿cuáles pueden ser las alternativas de protección si hay algunas?
Dentro del Estado totalitario que es Cuba, es difícil hablar de respeto, protección y garantías, por lo anteriormente descrito.
Yo recomiendo que, a pesar de ello, agoten todos los recursos internos que ofrece la ley y exijan el respeto de sus derechos fundamentales, para demostrar a nivel internacional la ineficacia e ineficiencia del sistema interno. Además, que visibilicen su caso lo más que puedan para denunciar el abuso de autoridad y sirva de experiencia a posibles víctimas.
Los titulares de los datos personales pueden, de acuerdo a la ley de Protección de Datos Personales que deberá entrar en vigor en febrero de 2023:
—Exigir a quien le pida sus datos personales que demuestre su legitimidad para obtenerlo, almacenarlo y tratarlos.
—Exigir que la recolección de datos sea estrictamente justificada y limitada de acuerdo con el interés legítimo que debe demostrar la autoridad.
—Exigir que le expliquen previamente, con exactitud y de manera clara: el objeto concreto, lícito y explícito, así como el tiempo preciso que se tendrán sus datos en la base de datos o registro. Los destinatarios o clase de destinatarios de esos datos, el carácter facultativo u obligatorio de proporcionarlos, dónde se almacenan, a qué tratamiento pueden someterse, las consecuencias de aportarlos o no y el régimen de conservación.
—Denunciar si obtienen los datos empleando medios desleales o fraudulentos y bajo coacción o amenaza. Nadie puede ser obligado a proporcionar datos personales sensibles, ni es lícito su tratamiento sin el consentimiento expreso, inequívoco, libre e informado de su titular.
—Recordarles que la persona que realice tratamiento de datos personales tiene que tener su consentimiento expreso por regla general y en caso de no necesitarlo deberá exigir a la autoridad que lo fundamente y argumente legalmente.
—En casos de que deba identificarse frente a una autoridad, recuerde que no debe darle más datos que los que aparecen en el documento.
—Si la autoridad incumple su obligación de obtención adecuada, custodia y uso de los datos, si le obstaculiza o le niega el acceso a sus datos personales, interponga una acción de protección de datos personales dentro de los 10 días hábiles contra esa autoridad y exija su resarcimiento por los daños o perjuicios causados.
—Exigir copias simples, documentos electrónicos y la exhibición de los datos por cualquier otro medio directo y seguro de la información que solicite. El acceso a información significa que los datos están bajo su disposición.
Los derechos constitucionales que le amparan a hacer estos son:
—Dignidad humana (Art. 40)
—Derecho a la intimidad personal y familiar, su propia imagen y voz, su honor e identidad personal (Art. 48).
—Derecho de acceso a los datos personales, de no divulgación, derecho de corrección debida, rectificación, modificación, actualización o cancelación y respeto a la alegalidad (Art. 97).
En un país tan limitado tecnológicamente como Cuba, ¿Cuál crees que sea la mejor manera de educar en esa consciencia de la privacidad en Internet? O, al menos, ¿Cuál sería un paso inicial para empezar a hacerlo?
La difusión de información al respecto. La educación para mí es el paso uno en toda transformación. Si no lo hace el gobierno porque solo habla de la criminalización de los derechos humanos, nos toca a nosotros, a las ONGs, a la sociedad civil y a los periodistas y medios independientes hablar de derechos y responsabilidades del Estado de acuerdo con los estándares internacionales de derechos humanos.
