Cómo los funcionarios establecen la esclavitud digital para los ciudadanos

2024 Autor: Seth Attwood | [email protected]. Última modificación: 2023-12-16 16:02

Hasta hace poco, los pases digitales para moverse por la ciudad les parecían a los rusos un elemento salvaje de una distopía cyberpunk. Hoy es una realidad, además: desde ayer en Moscú se han convertido en obligatorios para el desplazamiento en transporte público. Cómo sucedió, por qué muchos países han creado sistemas de control digital para el movimiento de ciudadanos y si dicha vigilancia se detendrá después del final de la pandemia, en un nuevo material de investigadores del Centro de Soluciones de Gestión Avanzada.

Contexto general

La tendencia general en la respuesta de los países a la epidemia de coronavirus es fortalecer el control sobre los ciudadanos. Basado en el análisis de datos de operadores móviles, bancos, agencias de aplicación de la ley, el estado calcula los contactos de los infectados y también monitorea el cumplimiento de los ciudadanos con el autoaislamiento y la cuarentena. Muchas publicaciones sobre este tema plantean cuestiones sobre la privacidad y la observancia de los derechos de los ciudadanos, pintando un panorama desolador de una “sociedad de vigilancia”.

Hemos recopilado varios episodios de la introducción de medidas especiales de control digital por parte de diferentes estados y hemos tratado de comprender los riesgos que conllevan estas medidas debido al hecho de que el acceso a la información sobre el movimiento y la vida personal de los ciudadanos se proporciona a varios departamentos burocráticos a la vez..

Israel: policía, agencias de inteligencia, Ministerio de Salud

¿Qué sucedió?

El 19 de marzo, el gobierno israelí introdujo una cuarentena parcial en todo el país. Como parte de las medidas provisionales unos días antes, el 15 y 17 de marzo, las autoridades emitieron dos órdenes de emergencia que ampliaron los poderes policiales para realizar búsquedas y también permitieron al Servicio de Seguridad de Israel (Shin Bet) utilizar la vigilancia digital para combatir la epidemia de coronavirus. …

¿Quién ejerce el control y cómo?

Todos los ciudadanos del país infectados con el coronavirus, así como aquellos que han entrado en contacto con ellos, son puestos en cuarentena obligatoria de dos semanas. En el marco de las órdenes de emergencia, la policía, como medida cautelar, podrá determinar la geolocalización actual de estas personas a expensas de los datos de las torres de telefonía móvil sin una decisión judicial adicional. A su vez, los servicios especiales podrán acceder no solo a la ubicación actual de una persona, sino también al historial de sus movimientos. Además, el Ministerio de Salud de Israel ha lanzado su propia aplicación para teléfonos inteligentes que actualiza continuamente los datos de ubicación de las personas infectadas recibidos de los agentes del orden y advierte al usuario si está cerca de ellos.

Por un lado, esto permite no solo comprobar qué tan conscientemente una persona cumple con el régimen de cuarentena, sino también identificar un círculo aproximado de contactos con otras personas que también podrían infectarse. Pero, por otro lado, en tiempos normales, estas tecnologías de "rastreo digital denso" se utilizan solo para atrapar a criminales y terroristas.

Tales poderes extraordinarios de las fuerzas de seguridad durarán hasta mediados de junio; después de eso, todos los datos recibidos deben ser destruidos. Sin embargo, el Ministerio de Salud podrá extender el período de almacenamiento de los datos recopilados de esta manera en dos meses para investigaciones adicionales.

Corea del Sur: Policía y autocontrol civil

¿Qué sucedió?

En febrero de 2020, la República de Corea se convirtió en uno de los países de más rápido crecimiento para la epidemia de coronavirus.

Las autoridades pudieron realizar un primer nivel con bastante rapidez y eficacia, y luego reducir la tasa de propagación de la infección

Esto se debe en parte al hecho de que Corea tiene una gran experiencia en la lucha contra la epidemia: en 2015, el país se enfrentó a un brote de síndrome respiratorio de Oriente Medio (MERS), después del cual se desarrolló todo un sistema de medidas epidemiológicas. Sin embargo, el factor decisivo fue la organización del envío masivo de notificaciones sobre cada caso de contagio con información detallada sobre la persona infectada (edad, sexo, descripción detallada de sus movimientos y contactos recientes; en algunos casos se informó si la persona había una máscara, etc.). Este tipo de envío no habría sido posible sin un sistema poderoso y a gran escala de control digital sobre el movimiento y los contactos de los ciudadanos surcoreanos.

¿Quién ejerce el control y cómo?

Actualmente, en el país operan varios servicios que utilizan datos personales para brindar información sobre la propagación del coronavirus. Por ejemplo, el sitio web de Coroniata publica información sobre el número total de casos, así como sobre las zonas donde se registraron los mayores brotes de infección. El segundo recurso, Coronamap, es un mapa que muestra cuándo y en qué lugares se registraron todos los casos aislados de infección. El gobierno coreano también ha lanzado una aplicación oficial para teléfonos inteligentes para rastrear el cumplimiento de la cuarentena de las personas infectadas.

La República de Corea tiene una infraestructura digital altamente desarrollada, por lo que el seguimiento y verificación de datos no es un problema para el gobierno. Para mejorar la precisión del análisis, además de los datos de torres de telefonía móvil y GPS, se utilizan datos sobre transacciones realizadas con tarjetas bancarias, sistemas de videovigilancia de la ciudad y tecnologías de reconocimiento facial.

Esta "apertura" forzada, por un lado, muestra su eficacia para contener la epidemia, pero, por otro lado, conduce a efectos sociales negativos. Además del hecho de que las personas infectadas con la infección sienten una sensación de vigilancia constante, otras personas, "al azar", también entran en la zona de control.

Dado que cada caso de infección se muestra en un mapa, algunos coreanos, incluso sin estar infectados, pero que corresponden a los "puntos" rastreados, están sujetos a la presión pública.

Por lo tanto, los ciudadanos coreanos proactivos se están uniendo a la policía y los funcionarios en la vigilancia digital entre ellos.

Alternativa: Polonia vs Comisión Europea

En la Unión Europea, apareció en Polonia una de las primeras aplicaciones para monitorear a los ciudadanos que debían cumplir con una cuarentena de 14 días. Las autoridades exigen la instalación de la aplicación a ciudadanos sanos que hayan entrado en contacto con personas infectadas o potencialmente infectadas, así como a todas las personas que regresen del extranjero. Desde principios de abril, la instalación de la aplicación es obligatoria por ley.

La aplicación Home Quarantine (Kwarantanna domowa) envía aleatoriamente una notificación varias veces al día con el requisito de cargar su propia foto (selfie) en 20 minutos. Según el sitio web del gobierno polaco, la aplicación verifica la ubicación del usuario (por GPS) y también utiliza el reconocimiento facial. Si no se cumple con la solicitud de subir una foto, la policía puede acudir a la dirección. Según el reglamento, el Ministerio de Digitalización almacenará los datos personales de los usuarios durante 6 años después de desactivar la aplicación (de acuerdo con el Código Civil), con la excepción de las fotos que se eliminan inmediatamente después de que se desactiva la cuenta.

Además de Polonia, han aparecido o se han comenzado a desarrollar aplicaciones propias en otros países europeos, por ejemplo en Austria (con la participación de la Cruz Roja local), Francia, Irlanda y Alemania.

En este contexto, la Comisión Europea propuso realizar una solicitud paneuropea de seguimiento de la propagación del coronavirus en cumplimiento de recomendaciones especiales para su desarrollo, basadas en la ley de protección de datos personales de la UE

Entre los principios enumerados de la futura aplicación, se indican la eficiencia del uso de datos desde un punto de vista médico y técnico, su completo anonimato y uso solo para crear un modelo de la propagación del virus. Para reducir el riesgo de fuga de datos personales, los desarrolladores de aplicaciones deberán adherirse al principio de descentralización: la información sobre los movimientos de una persona infectada se enviará solo a los dispositivos de las personas que potencialmente podrían contactarlo. Por otra parte, se enfatizó que las medidas que se tomen deben ser justificadas y temporales.

El plazo para la presentación de propuestas para la implementación de estas medidas es el 15 de abril. Además, antes del 31 de mayo, los estados miembros de la UE deberán informar a la Comisión Europea de las acciones tomadas y ponerlas a disposición de los miembros de la UE y de la Comisión Europea para su revisión por pares. La Comisión Europea evaluará el progreso realizado y publicará periódicamente informes a partir de junio con más recomendaciones, incluida la eliminación de las medidas que ya no sean necesarias.

Rusia: el Ministerio de Telecomunicaciones y Comunicaciones Masivas, operadores móviles y regiones

¿Qué sucedió?

Desde finales de febrero hasta principios de marzo, tras la introducción de medidas para contrarrestar la propagación del coronavirus, aparecieron en Rusia los primeros casos de fortalecimiento del control sobre la población mediante medios técnicos. Según Mediazona, los agentes de policía acudieron al infractor de la cuarentena con una fotografía, probablemente tomada por una cámara, que estaba conectada a un sistema de reconocimiento facial. Mikhail Mishustin instruyó al Ministerio de Telecomunicaciones y Comunicaciones Masivas para crear antes del 27 de marzo un sistema para rastrear contactos de pacientes con infección por coronavirus basado en los datos de los operadores celulares. Según Vedomosti, el 1 de abril, este sistema ya estaba funcionando. Paralelamente, las entidades constituyentes de la Federación de Rusia comenzaron a desarrollar sus soluciones. En Moscú, a principios de abril, lanzaron un sistema de seguimiento para pacientes con coronavirus utilizando la aplicación Social Monitoring, y también prepararon la introducción de pases con códigos especiales (el decreto sobre su introducción se firmó el 11 de abril). En la región de Nizhny Novgorod, la primera de las regiones, se introdujo el control por códigos QR, en Tartaristán, por SMS.

¿Quién ejerce el control y cómo?

El control digital cubre principalmente a los ciudadanos infectados o en cuarentena oficial. Para rastrear sus movimientos, el Ministerio de Telecomunicaciones y Comunicaciones Masivas solicita "datos de números y fechas de hospitalización o fecha de cuarentena". Estos datos se transmiten a los operadores celulares, que monitorean el cumplimiento de las condiciones de cuarentena. El infractor de las condiciones recibe un mensaje y, en caso de infracción repetida, los datos se transfieren a la policía. Según Vedomosti, los funcionarios responsables de las entidades constituyentes de Rusia ingresarán datos en el sistema. Al mismo tiempo, Roskomnadzor cree que el uso de números sin especificar direcciones y nombres de suscriptores de operadores celulares no viola la ley sobre datos personales.

Además de estas medidas, la geolocalización de los pacientes se monitorea en Moscú mediante la aplicación de Monitoreo Social instalada en los teléfonos inteligentes especialmente emitidos para los ciudadanos. Para confirmar la información de que el usuario se encuentra en casa, junto al teléfono, la aplicación solicita periódicamente que se tome una foto

Según el jefe del Departamento de Tecnología de la Información de Moscú (DIT), la transferencia de datos sobre el usuario está regulada por un acuerdo que firma al elegir la opción de tratamiento en casa. Se almacenan en servidores DIT y se eliminarán una vez finalizada la cuarentena. Además, se ejerce el control sobre todos los coches de quienes están obligados a sentarse en cuarentena oficial (pacientes y sus seres queridos), así como a través del sistema de videovigilancia de la ciudad.

El 11 de abril, el alcalde de Moscú firmó un decreto sobre la introducción de pases digitales para viajar en Moscú y la región de Moscú en transporte público y privado. Los pases comenzaron a emitirse el 13 de abril y se hicieron obligatorios el día 15, se pueden obtener en el sitio web del Alcalde de Moscú, por SMS o llamando al servicio de información. Para emitir un pase, debe proporcionar datos personales, incluido su pasaporte, número de automóvil o pase de transporte público (tarjeta Troika), así como el nombre del empleador con TIN o ruta de viaje. No se requiere el pase para moverse por la ciudad a pie, sujeto a las restricciones introducidas anteriormente.

También se han introducido pases para controlar el movimiento de ciudadanos en otras regiones de Rusia:

El 30 de marzo, el gobernador de la región de Astracán, Igor Babushkin, firmó una orden de pases especiales durante la cuarentena. El 13 de abril se lanzó en la región una plataforma electrónica para la emisión de pases. Las solicitudes se envían en un sitio web especial, se envía un pase con un código QR al correo electrónico del solicitante. El gobernador también instruyó a verificar los pases emitidos anteriormente de acuerdo con las listas proporcionadas por las organizaciones.

En la región de Saratov, el 31 de marzo, se introdujo un sistema de pases. Inicialmente, se determinó que los pases para ciudadanos trabajadores se emitirán en formato papel con la necesidad de certificación en las administraciones. El primer día, esto generó colas, como resultado, se retrasó el lanzamiento del sistema de acceso. El gobierno regional agregó la opción de obtener pases por vía electrónica. La introducción de los pases se pospuso dos veces más.

El 31 de marzo, Tartaristán aprobó el procedimiento para la emisión de permisos para la circulación de ciudadanos. Los permisos se emiten mediante un servicio de SMS: primero debe registrarse y recibir un código único, luego enviar una solicitud para cada movimiento. El decreto define los casos para los que no se requiere permiso. Para los ciudadanos que trabajan, se proporciona un certificado del empleador. Tras el lanzamiento, se realizaron cambios en el servicio: el 5 de abril se limitó la lista de datos requeridos para el registro, y el 12 de abril se amplió el intervalo entre la emisión de permisos para combatir el abuso del sistema.

En la región de Rostov, el 1 de abril el gobernador Vasily Golubev introdujo el requisito para la emisión de certificados a los empleados de las organizaciones que continúan operando durante la epidemia. El 4 de abril, se reforzó el control de los coches en la entrada de Rostov-on-Don, lo que provocó muchos kilómetros de atascos. El 7 de abril, Rostovgazeta.ru informó que las autoridades regionales están considerando la posibilidad de introducir un "pase inteligente".

En la región de Nizhny Novgorod, el mecanismo de control fue aprobado por el decreto del gobernador Gleb Nikitin el 2 de abril. La solicitud de un pase se realiza utilizando el servicio "Tarjeta de un residente de la región de Nizhny Novgorod" en un sitio web especial o mediante una aplicación móvil para dispositivos Apple, así como llamando al servicio de asistencia técnica. Después de considerar la solicitud, el solicitante recibe un pase en forma de código QR para un teléfono inteligente o un número de solicitud. Para las personas jurídicas, existe un procedimiento para emitir confirmaciones de que pueden operar en días inhábiles debido a la epidemia.

El 12 de abril, en el contexto de la creación de diversas soluciones digitales para el control de acceso a nivel regional, el Ministerio de Telecomunicaciones y Comunicaciones Masivas de la Federación de Rusia lanzó la aplicación federal "Servicios estatales Stopcoronavirus" (disponible para dispositivos Apple y Android) en un formato de prueba. Según el ministerio, la aplicación se puede adaptar a las condiciones de una región específica, a excepción de Moscú, donde está en vigor una solución diferente (ver arriba). Sin las decisiones pertinentes de las autoridades regionales, la solicitud del Ministerio de Telecomunicaciones y Comunicaciones Masivas no es obligatoria. La primera región donde se utilizará esta solución será la región de Moscú: el gobernador Andrei Vorobyov anunció esto la noche del 12 de abril.

¿Protegerá el estado los datos personales?

Comentario del especialista en seguridad de la información Ivan Begtin

El enfoque europeo para tratar de adaptarse a los requisitos legales para la protección de datos es, en general, correcto. La UE presta más atención y recursos a estas cuestiones que Rusia. Pero debemos entender que nadie está protegido del problema de la fuga de datos, principalmente debido al factor humano. Ya ha habido precedentes, por ejemplo, filtraciones de datos de votantes en Turquía, casos con empresas privadas. Ahora, cuando los sistemas se crean sobre la marcha, no descartaría esa posibilidad. Con los datos de "Gosuslug" esto aún no ha sucedido, pero, quizás, todo tiene su momento.

Las razones pueden variar. Digamos la falta de seguridad de una base de datos a la que se accede de forma remota. Los piratas informáticos o los especialistas en seguridad pueden detectar esto y obtener toda la información. Hay servicios especiales Censys y Shodan que se utilizan para buscar este tipo de vulnerabilidades técnicas.

Otra opción es cuando los datos se utilizan indebidamente con intención directa. Es decir, las personas que tienen acceso a las bases de datos utilizan esto para extraer beneficios.

Tiene sentido monitorear diferentes servicios para "romper" a las personas. En Rusia, por ejemplo, hay unos cinco servicios de este tipo que ofrecen un servicio para controlar a las personas

Es decir, no es necesario que se fusione toda la base de datos, pero las personas que tienen acceso remoto a ella pueden "perforar" a las personas y vender esta información. Esto puede ser realizado por funcionarios públicos, contratistas que participaron en la creación de estos sistemas. Es decir, personas que tienen acceso a ellos. En Rusia, esto es bastante común: si busca en Internet servicios de "perforación", puede encontrar muchos. A menudo, se trata de datos del Ministerio del Interior, la policía de tránsito, el Servicio Federal de Migración y otras organizaciones gubernamentales.

Los temores de que el estado pueda mantener la infraestructura de control sobre los ciudadanos no son infundados. En principio, todos los que recopilan datos no quieren separarse de ellos. Lo mismo ocurre con las redes sociales: si llega allí, lo más probable es que la información sobre usted permanezca allí, incluso si eliminó su cuenta. Los servicios públicos tienen un interés muy amplio en la recopilación de datos sobre los ciudadanos y se aprovecharán de la situación actual. Al mismo tiempo, ellos, incluso bajo presión de organizaciones públicas, se comprometen públicamente a eliminar los datos una vez finalizada la pandemia. Pero de todos modos, la motivación para preservar esta infraestructura es muy alta por parte de las agencias gubernamentales.

¿Por qué está pasando esto?

Para asegurar el control sobre la propagación de la epidemia, las agencias gubernamentales en diferentes países están actuando de manera similar: están ampliando sus herramientas para rastrear los movimientos y contactos de los ciudadanos. Tales medidas adicionales van más allá de lo que se considera aceptable en tiempos normales, pero estas acciones de los gobiernos han encontrado poca resistencia por parte de los ciudadanos. Esto puede explicarse por el concepto de titulización de políticas.

La titulización es un término acuñado originalmente por la Escuela de Estudios de Seguridad de Copenhague Barry Buzan, Ole Wever y Jaap de Wilde. En un libro de 1998, definen la titulización como "una acción que lleva la política fuera de las reglas del juego establecidas y presenta el problema como algo por encima de la política". La titulización comienza con un actor (p. Ej., Líder político, gobierno) que utiliza términos relacionados con la seguridad, amenaza, guerra, etc., dentro del discurso ordinario, y la audiencia acepta esa interpretación. El éxito de una titulización consta de tres elementos:

el uso de "gramática de seguridad" al presentar una pregunta, es decir, a nivel del lenguaje, presentándola como una amenaza existencial (en el caso de una epidemia de coronavirus, esto es, por ejemplo, el uso de vocabulario militarizado y comparar la lucha contra la única fila con los juicios históricos del país);

el actor tiene una autoridad significativa para que la audiencia perciba su interpretación e “intromisión en el discurso” (liderazgo del país, profesionales médicos, OMS);

la conexión de la amenaza actual con algo del pasado que realmente planteó tal amenaza (la experiencia de epidemias anteriores, incluidas las históricas, por ejemplo, la peste en Europa, contribuye a la percepción como tal de la epidemia actual).

La atención global al problema del coronavirus también sirve como ejemplo de titulización: las encuestas en Rusia y otros países muestran un aumento de los temores sobre la epidemia.

Las sociedades aceptan la interpretación de los actores de la titulización, legitimando así una desviación de las reglas habituales para combatir la amenaza, incluida la introducción de controles digitales especiales que generalmente violan nuestros derechos de privacidad

Desde una perspectiva de gestión de crisis, la titulización tiene claros beneficios. La introducción de medidas de emergencia puede acelerar la toma de decisiones y su implementación y reducir los riesgos que plantea la amenaza. Sin embargo, el proceso de titulización está asociado a consecuencias negativas tanto para el sistema de administración pública como para el conjunto de la sociedad.

Primero, la introducción de nuevas medidas de emergencia reduce la responsabilidad de las autoridades. Durante una crisis, los instrumentos de control civil, incluidas las nuevas medidas de seguridad, pueden ser limitados o simplemente no estar aún construidos. La falta de responsabilidad aumenta la probabilidad tanto de errores accidentales como de abusos deliberados por parte de los funcionarios de base. Un ejemplo de ello son las violaciones por parte de los agentes de inteligencia estadounidenses, que se conocen gracias a la filtración organizada por Edward Snowden. Utilizando herramientas de control digital que cayeron en sus manos, varios empleados de la NSA las utilizaron para espiar a sus cónyuges o amantes. Además, durante el mismo período, el FBI abusó del acceso a los datos de la NSA sobre ciudadanos estadounidenses, en muchos casos sin una justificación legal suficiente.

En segundo lugar, la titulización de cualquier emisión conlleva el riesgo de que algunas de las medidas introducidas de forma urgente no sean canceladas inmediatamente después del final del período de crisis y la normalización de la situación

Un ejemplo de esto es la Ley Patriota, aprobada en los Estados Unidos en octubre de 2001 después de los ataques del 11 de septiembre, que amplió la capacidad del gobierno para espiar a los ciudadanos. Se suponía que los términos de acción de muchas disposiciones de la ley expirarían a fines de 2005, pero en realidad se extendieron repetidamente, y la ley con las enmiendas ha sobrevivido hasta el día de hoy.