Speeches

Una cuestión de confianza: la integración de la privacidad y la seguridad pública en el siglo XXI

1er Congreso Anual sobre Privacidad y Seguridad de la Información 2010 Organizado por Reboot Communications

16 de noviembre de 2010
Ottawa, Ontario

Alocución de Chantal Bernier,
Comisaria Adjunta de Protección de Datos Personales de Canadá

(Verifíquese con la alocución)

English version
Version française

Introducción

Muchas gracias, señoras y señores, y buenos días.

Les doy la bienvenida a este segundo día de debates que, tengo la seguridad, será tan animado e informativo como el de ayer.

Ayer, como pueden recordar, la Comisaria Stoddart dio comienzo a las deliberaciones presentando un panorama del mutante paisaje de la privacidad y de los cambios emergentes.

Convocó luego a las organizaciones de los sectores público y privado para que adopten un enfoque más proactivo y sistemático en materia de protección de la privacidad.

Esta mañana propongo describirles lo que esto significa en una esfera muy importante: la seguridad pública y la nacional.

En este contexto me complace lanzar hoy la guía de referencia de la Comisaría de Protección de Datos Personales de Canadá para ayudar a los responsables de las políticas y otras partes interesadas a integrar la privacidad en iniciativas de seguridad mayores.

Esta guía, que está disponible en línea y en nuestro kiosco de la conferencia, se titula "Una cuestión de confianza, la integración de la seguridad privada y pública en el siglo XXI”.

Contexto

Como todos en esta sala sabemos demasiado bien, el panorama de la seguridad pública y de la seguridad nacional ha cambiado de manera dramática en la última década. La creación de esta nueva realidad no se debe tanto a los acontecimientos del 11 de septiembre de 2001, sino que estos más bien aceleraron y ampliaron los cambios que se preparaban ya en las sociedades occidentales.

Los desarrollos tecnológicos influyeron asimismo en el campo de la seguridad. Una nueva generación de dispositivos móviles, sensores a distancia, cámaras de alta resolución y programas analíticos ha revolucionado las prácticas de vigilancia. Hoy en día, la recopilación, el procesamiento y el intercambio de datos se hacen realmente en una escala global.

Nadie se opone a tener calles más seguras. Pero, al mismo tiempo, tenemos que reconocer que los responsables de la aplicación de la ley y los funcionarios de seguridad se han visto confiar poderes sustanciales, muchos de ellos muy invasivos, para asegurar el orden público.

El uso de estos poderes puede tener serias consecuencias para las personas y para la sociedad. Por ejemplo, la acumulación incontrolada de datos sobre los movimientos de las personas, las actividades y las comunicaciones limitará en última instancia su derecho fundamental de llevar a cabo sus negocios en el anonimato y libres de la vigilancia del Estado.

Otras libertades importantes están asimismo en juego. Puede prohibirse viajar a personas inocentes sobre la base de información errónea. Por las mismas razones, pueden quedar excluidas de la educación, el empleo y otras oportunidades económicas. Peor aún, se las puede encarcelar, despojar de su ciudadanía e incluso deportarlas.

La importancia de la privacidad

En este contexto, los responsables de la toma de decisiones, así como los ciudadanos, deben comprender porqué razón la seguridad y la privacidad son ambas esenciales en una sociedad libre y homogénea.

La cohesión social depende de la confianza entre los ciudadanos y sus vecinos. Presupone también un nivel de confianza entre los ciudadanos y el Estado.

Los ciudadanos, en efecto, necesitan confiar en que el Estado los protegerá, pero no a cambio de sacrificar otros derechos fundamentales, incluyendo el derecho a la privacidad.

La privacidad, en síntesis, es más que una libertad civil o un derecho jurídico. Se trata en los hechos de un bien social que es esencial en la tradición canadiense de libertad y democracia.

El objetivo consiste en integrar estos dos derechos, que son igualmente válidos.

Introducción al documento

Con este objetivo, nuestra Oficina siguió los consejos de expertos en privacidad y en seguridad provenientes del medio universitario y jurídico, de la sociedad civil y del ámbito comunitario, de la política y de la información, de la aplicación de la ley y de la vigilancia.

Con este aporte, hemos desarrollado un documento de referencia para ayudar a los responsables de las políticas, partes interesadas y ciudadanos a examinar los problemas que surjan a medida que integran protecciones para la privacidad con los nuevos objetivos de seguridad pública y nacional.

El documento aborda este problema tanto desde un enfoque conceptual como de manera práctica.

Comienza con un panorama del contexto que acabo de describirles. Explora conceptos legales centrales que son vitales en un debate sobre privacidad y seguridad.

Por ejemplo, ¿qué significa "información personal" en el contexto de la enorme cantidad de tipos de datos que las organizaciones de seguridad pueden recopilar de las personas en la actualidad?

Con respecto a las opiniones de los tribunales canadienses, el documento explora también lo que implica "una expectativa razonable de privacidad", en comparación con las amenazas para la seguridad nacional y la seguridad pública.

Sobre la base de estos dos conceptos elementales, el documento de referencia describe el marco básico que una organización debe analizar para incorporar consideraciones centrales sobre la privacidad en la concepción, el diseño, la aplicación y la evaluación de un programa o una política de seguridad.

Deseo precisar que este documento no es simplemente prescriptivo. En efecto, nuestra propia Oficina utiliza este proceso de análisis en cuatro etapas cuando debemos evaluar una propuesta legislativa, llevar a cabo una verificación en un ministerio federal o investigar un programa gubernamental.

El objetivo no es el de proporcionar las buenas respuestas, que no pueden ser determinadas de manera realística. La idea es, más bien, la de formular las buenas preguntas, que deben guiarnos a todos en la protección tanto de la seguridad como de la privacidad.

Creemos que esta progresión lógica puede aplicarse de manera acertada y útil a las agencias de seguridad, a los responsables de la formulación de políticas o a otros en busca del elusivo equilibrio entre seguridad pública y respeto a la privacidad.

Etapa 1: Establecer el caso

Para integrar eficazmente la cuestión del respeto a la privacidad al proceso de formulación de políticas, es necesario comenzar temprano. De esta manera, la primera etapa crucial de la protección de la vida privada comienza cuando se concibe una política o un programa inicialmente.

En esta etapa, a la que llamamos "establecer el caso", se verifican las iniciativas propuestas en función de un criterio "en cuatro etapas".

Este criterio lo utilizan los tribunales y los juristas para determinar si se debe permitir que una ley, un programa o un ejercicio de poder puedan tener la prioridad o interferir en las libertades y derechos fundamentales tales como la privacidad.

Con este criterio, debe considerarse en primer lugar si una iniciativa propuesta es realmente necesaria para lograr el propósito buscado, comprendiendo que el mismo debe corresponder con una inquietud social urgente.

Si la iniciativa es realmente esencial, es necesario preguntarse si es posible demostrar que el programa es claramente eficaz para lograr el objetivo propuesto. Esta demostración debe estar apoyada empíricamente, por lo menos, en la validez de sus presupuestos.

Lo que quiero decir es que no siempre podemos saber de antemano si una nueva medida será eficaz, pero nuestras expectativas al respecto deben ser sólidas, basadas en hechos, no suposiciones y deben confirmarse constantemente.

La tercera pregunta es la de saber si la intrusión en la vida privada puede considerarse como proporcional a los beneficios de seguridad supuestos. Esto significa que las autoridades no deben recolectar ni usar información más allá de lo que sea estrictamente pertinente para apoyar la medida de seguridad en cuestión.

Y la pregunta final es la siguiente: ¿podría haber otros medios para lograr los mismos fines, con un impacto menor en la privacidad? Debemos esforzarnos siempre en recopilar o usar la más mínima cantidad de información y, como regla, evitar todas las medidas invasivas de la vida privada. La privacidad debería invadirse solamente ante circunstancias excepcionales.

Reconocemos que la privacidad no vale mucho en ausencia de seguridad.

Reconocemos también que puede ser esencial recurrir a métodos secretos o encubiertos para proteger la seguridad del público y la seguridad nacional. En general, el contenido de la evaluación de la amenaza y de los riesgos está también clasificado.

Pero si bien no es posible o ventajoso anunciarle al mundo exactamente de qué manera uno lleva a cabo el análisis, el objetivo del ejercicio es de asegurar que se lleve a cabo de la manera más exhaustiva y sistemática posible.

Etapa 2: Establecer los parámetros

Una vez establecida la motivación para la recolección de datos personales, el próximo paso consiste en "establecer los parámetros". Se trata de planificar el tratamiento seguro de los datos recabados, incluyendo la manera cómo se los almacena, usa, vincula o comparte con otros.

Afortunadamente, no es necesario inventar la rueda en este caso. Ya existe un conjunto de normas aceptadas internacionalmente. Conocidas como los Principios relativos al tratamiento justo de la información, guían a las organizaciones gubernamentales y comerciales en el desarrollo de iniciativas en las que se usa información personal. Estos diez principios, en efecto, sirven como las bases para las leyes de protección de los datos en muchos países, incluyendo nuestra propia Ley de protección de la información personal y los documentos electrónicos.

No me referiré a todos ellos en este momento, pero estos principios tratan conceptos tan importantes como la identificación de los objetivos para la recopilación de la información personal, la obtención del consentimiento cuando es apropiado, la protección de los datos y la limitación de la recopilación, el uso, la divulgación y la conservación de los datos.

Etapa 3: Ejecutar el programa

Yo sé que da la impresión de que hay que pasar por una cantidad de planificación cuando uno está ansioso por lanzar la iniciativa.

Pero, como se dice a menudo, más vale prevenir que curar.

Es mucho más fácil tomar el tiempo que sea necesario en la etapa inicial para establecer la justificación del programa y planificar la arquitectura de tal manera que integre todas las medidas de seguridad necesarias. Esto ayuda también a reducir riesgos para las operaciones de la organización, su reputación y la confianza del público.

La etapa tres determina las políticas y prácticas que son necesarias para asegurar que la privacidad será realmente respetada una vez que el programa esté en funcionamiento.

También aquí no se parte de cero. Por ejemplo, la Secretaría del Consejo del Tesoro administra una serie exhaustiva de políticas, líneas directrices y mejores prácticas en esta área y nuestro documento brinda referencias para todas ellas.

He aquí algunos breves ejemplos de lo que estamos hablando:

  1. Nombrar un Jefe de Protección de Datos Personales para que garantice la rendición de cuentas y la representación de la alta dirección cuando surgen cuestiones relacionadas con el tratamiento de informaciones personales. Por ejemplo, durante los Juegos Olímpicos, recomendamos que la Unidad Integrada de Seguridad nombrara a un Jefe de Protección de Datos Personales y publicara su información de contacto en su sitio web. Lo hicieron, ofreciendo de esta manera una persona responsable para tratar las cuestiones relativas a la privacidad.
  2. Asegurarse que los papeles y las responsabilidades de todos para el manejo de la información personal son absolutamente claras y que el personal responsable reciba una formación continua en materia de privacidad. Como hemos visto en nuestras recientes investigaciones en el Ministerio de Excombatientes, la vida privada debe estar protegida también por un sistema de gobernanza concebido para proteger la información personal.
  3. Documentar las políticas y prácticas sobre la protección de la vida privada en un lenguaje simple y desarrollar procesos explícitos para el tratamiento de errores e inexactitudes, quejas del público, violaciones a la protección de los datos y otros problemas. Se puede citar como ejemplo la Oficina de reexamen para la lista de personas especificadas, conocida también como la lista de personas a las que les está prohibido volar.
  4. Describir en detalle el intercambio de informaciones personales en acuerdos adecuados. Un buen ejemplo son las restricciones al intercambio de informaciones extraídas del Banco Nacional de Datos Genéticos.
  5. Crear un mecanismo de verificación para seguir problemas tales como la seguridad de los datos y la transferencia de información a terceros. Por ejemplo, en lo que respecta a los permisos de conducir Plus, obtuvimos la seguridad de la Agencia de Servicios Fronterizos de Canadá de que la base de datos de dichos permisos especiales permanecería en Canadá.
  6. Y, por último, asegurar una cierta forma de acceso para el público y de producción de informes para favorecer la rendición de cuentas.

Los profesionales de la seguridad son a menudo escépticos con respecto a este último punto, aunque, sin embargo, hay precedentes excelentes, como por ejemplo:

  • Un formulario en línea del sitio web del Ministerio de Transportes de Canadá permite a los pasajeros revisar su información de viaje, aun si estos datos alimentan programas de seguridad aérea altamente delicados.
  • Y los informes anuales del Ministerio de Seguridad Pública de Canadá proporcionan información detallada sobre el uso de vigilancia electrónica por parte de agentes federales, cuántas intercepciones se llevan a cabo y durante cuántos días, si fue con audio o video y la cantidad de detenciones que resultaron.

Etapa 4: La calibración del sistema

La cuarta y última etapa en el análisis que proponemos en este documento se relaciona con el examen externo, los mecanismos de vigilancia y los recursos. Nos referimos a esta etapa como "la calibración del sistema".

Una cantidad de investigaciones y análisis legislativos que examinaron los regímenes de seguridad de Canadá se concentraron sobre los mismos problemas, principalmente las malas prácticas de tratamiento de la información, los mecanismos de rendición de cuentas discordantes y la vigilancia limitada.

Los mecanismos de examen deberían incluir un proceso sistemático para manejar las quejas e inquietudes del público, así como un proceso de apelación y de reparación cuando ocurren problemas.

Los parlamentarios u otros cuerpos especialmente mandatados para ello podrían asegurar una vigilancia externa. Nuestra propia Oficina asegura el cumplimiento a través de la investigación de las quejas y llevando a cabo la verificación de las instituciones federales.

¿Por qué todo esto es tan importante?

Porque la privacidad es la clave de una sociedad libre y democrática.

Porque la información personal es delicada, ya que puede usarse contra nosotros.

A pesar de ello, los programas de seguridad pública recopilan y usan una gran cantidad de informaciones personales, una buena cantidad de las cuales son de naturaleza muy delicada.

Estos poderes tienden a ser extraordinarios, amplios y discrecionales. En una sociedad democrática, las medidas invasivas por parte del Estado deben mantenerse bajo control con mecanismos de vigilancia eficaces, ya se trate de controles judiciales o de mecanismos de control administrativos rigurosos.

Para ser eficaz, la vigilancia debe ser independiente, estar dotada de los recursos necesarios y debe poseer poderes proporcionales a los que se le otorgan al programa de seguridad que está supervisado. El mecanismo de vigilancia, además, debe servir como medio de recurso creíble, un lugar al que los ciudadanos puedan recurrir si consideran que sus derechos a la privacidad han sido violados.

Conclusión

Les he presentado un breve panorama de nuestro nuevo documento de referencia, destinado a ayudar a los responsables de políticas y otros a encontrar un equilibrio viable entre el derecho a la seguridad pública y el derecho a la privacidad.

Aplicaremos este marco analítico en nuestra revisión de los proyectos de ley C-51 y C-52 sobre el acceso a los datos de las telecomunicaciones.

En calidad de organismo federal de reglamentación de la vida privada en Canadá, no podemos vigilar a quienes nos vigilan. Y no queremos hacerlo tampoco.

Sin embargo, miembros de los servicios de seguridad pública nos han mencionado que en muchas ocasiones buscan un encuadramiento. Saben que hay reglas, quieren saber en qué consisten y cómo aplicarlas.

Con la difusión de este documento, nuestro objetivo es, esencialmente, estructurar el debate sobre la reconciliación del derecho a la privacidad y los problemas de seguridad. Se trata de un esfuerzo para fundar dicho debate en hechos y en el derecho, cuando el miedo y las emociones a flor de piel dominan demasiado a menudo.

Los comentarios con respecto a esta publicación son bienvenidos.

Muchas gracias por su atención.