Participación ciudadana: El peligro de dar tus datos por una mejor democracia
Leé hasta el final para conocer una productiva salida laboral para poetas gracias a la IA
Por si alguien no es de Argentina —o sí lo es pero vive en Saturno—, estamos a menos de un mes del Día D: las Elecciones Nacionales 2023, donde como siempre, se pone muchísimo en juego. Antes de los comicios generales del 22 de octubre, todxs lxs candidatxs tienen la obligación de participar de dos debates, donde se supone que quienes llegaron a esta instancia van a exponer ante la ciudadanía cuáles seran sus propuestas y debatir entre ellxs.
En este contexto, el 15 de septiembre me sorprendí al recibir por WhatsApp una convocatoria a participar de un mecanismo de consulta popular, mediante el cual la ciudadanía podía elegir dos de entre siete temas posibles para sumar al debate.
“¡Qué bien!”, fue lo primero que pensé, emocionado y entusiasmado con la posibilidad de aportar mi opinión en una discusión tan importante.
Hasta que clickeé, y me encontré con un Google Form.
¿Es fácil hacer un Google Form? Obvio.
¿Es lo que se tiene que usar como herramienta de recolección de datos para un tema tan importante y sensible? De ninguna manera.
Es fuerte decirlo en estos términos, pero como en muchos aspectos de políticas públicas, el Estado maneja una ambivalencia difícil de tragar entre las excelentes intenciones y una falta de capacidad y previsión que lo lleva a cometer errores que a mi criterio son muy graves. Impericias, desatenciones, pequeñas fallas —o no tan pequeñas—, que en algún punto, siento que no hacen más que darle letra a esos sectores que reniegan de la importancia y necesidad de que el Estado siquiera participe de la conversación.
Para ilustrar el punto, me parece necesario desarmar lo que pasó desde tres puntos.
El aspecto legal: leyes del mañana para una implementación del anteayer
Para empezar, vale la pena recordar que hace sólo un par de semanas atrás estuve en la presentación de la nueva Ley de Protección de Datos Personales. En aquel envío, en la conclusión escribí:
Para cerrar, quiero volver a mencionar que me encanta que se estén empezando a dar estas discusiones en Argentina, y que realmente le tengo muchísima fe a esta ley y me parece una iniciativa absolutamente necesaria en pleno año 2023.
Pero no puedo evitar quedarme con un sabor un poquito agridulce por la falta de muestras concretas de cómo se va a implementar todo esto desde el Estado.
Más allá de si en efecto la ley va a ser sancionada o no —faltan 8 días para las PASO así que estamos en plena época de golpes palaciegos y escenas de Gameofthroneismo explícito—, mis años de trabajador público me han mostrado que tenemos leyes de absoluta vanguardia pero que tienen un cumplimiento casi imposible con el bajísimo financiamiento que existe en el área científico-tecnológico.
Y lo que ocurrió con esta encuesta es una muestra de a lo que me refería.
La ley a partir de la cual se supone que los datos están protegidos y resguardados es de imposible aplicación si esos datos están en manos de Google, en un lugar donde el Estado argentino no tiene control, opinión, ni ninguna forma de garantizar todo aquello por lo que se supone que vela.
Hablé con Alejandro Retegui, abogado especialista en lenguaje claro y gran conocedor de la materia, y para ilustrar el punto de qué constituye a un dato como sensible, me contó que según fallos de la Cámara Contencioso Administrativa, de por sí el e-mail y el celular son datos privados y que debieran estar amparados bajo una protección especial.
“Si le brindé datos a un organismo porque acepté hacerlo, éste no se los puede transferir a un tercero sin mi consentimiento. Según el Artículo 21 de la ley, la idea es que toda base de datos que vos tengas para este fin tenga que estar inscripta, y eso no aplica sólo a información como la de Nosis o Veraz (sistemas de control de scoring crediticio). Con un Google Form no tenés manera de verificar que nada de esto se esté cumpliendo. Esto no parece oficial cuando lo ves”, afirmó Retegui.
La ley estipula un montón de protecciones y garantías. No hace falta copiar y pegar todo, pero sólo a fines ilustrativos,
El artículo 6 dice que te tienen que informar para qué van a usar tus datos, qué consecuencias hay si no los das, cómo se pueden rectificar y borrar,
Mientras que el 18 dice que tenés derecho a que rectifiquen, actualicen o hasta borren tus datos, obliga a los dueños a hacerlo en un máximo de cinco días hábiles, y que durante este proceso de revisión y borrado ese dato tiene que estar bloqueado u oculto de cualquier tipo de consulta y uso.
¿A vos te parece que el Estado tiene alguna forma de garantizar todo esto si los datos están en manos de una empresa privada transnacional, en servidores de otro país?
Pero vayamos un pasito más lejos. Supongamos que el Estado en efecto decide activamente ignorar olímpicamente todo esto: que renuncia a tener cualquier soberanía de los datos, que cree que no tiene la infraestructura necesaria para hacer algo así —cosa que el ARSAT y diversos desarrollos de software con fines públicos como MiArgentina desmienten, pero hagamos de cuenta que es así—, o que sencillamente le parece más fácil hacerlo por Google.
Incluso así, la pregunta es: ¿hacía falta pedir todos los datos que pidieron?
La discusión acerca de qué datos vale la pena solicitar es sumamente interesante y está firmemente arraigada en conceptos de ética en datos, pero para bajarlo al caso concreto, en esta encuesta pedían DNI, género, mail y número de trámite de DNI.
Voy a empezar por hablar de este último, que es una incorporación bastante nueva a las cosas que te pueden pedir cuando querés hacer un trámite. Con la pandemia empezaron a aparecer un montón de servicios digitales que requerían validaciones rápidas y seguras de la identidad, y ahí empezó a crecer la importancia de este otro número, que funciona a modo de “segundo factor de autenticación”.
“Con el DNI se puede validar identidad en muchos servicios digitales, especialmente en aquellos que no piden otra prueba de vida. Entregar la foto del DNI en las manos equivocadas puede generar que nos usurpen la identidad. Además, la combinación de DNI con número de trámite sirve para acceder a muchos servicios oficiales, de forma tal que además de usurparnos la identidad, pueden acceder sin permiso a plataformas haciéndose pasar por nosotros”, aseguró Horacio Azzolin, fiscal de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci) en esta nota de La Nación de hace un año atrás, en la que se habla sobre las crecientes estafas a partir de vulnerabilidades de la identidad (digital y real) de una persona.
La realidad es que ese número no debiera pedirse tan a la ligera, y en esto coincidió Retegui: “Si es para validar que sean personas que pueden votar, bastaría el nombre y el DNI, porque la Cámara ya tiene esos datos a partir de los padrones”.
Así que si a eso le agregamos cosas tan delicadas como el género y el mail, imaginate todo lo que puede pasar. Y si no te lo podés imaginar, quedate tranquilx que hay quienes sí pueden.
La sensibilidad de los datos: con tus sueños se pueden hacer pesadillas
Me parece también súper llamativo que, cuando tuve discusiones respecto de lo grave de la situación con un amigo y colega, me costó que pudiera dimensionar dónde está lo malo, cuál es el problema. Después de todo, son sólo un par de datos, ¿no?
No.
Para ejemplificar el punto, se me dio por buscar en Google mi DNI y mi mail. Encontré:
Un CV viejo, con foto de mis 20 y pico de años incluida,
Un listado de gente, otros DNIs y más detalles de una convocatoria para financiamiento de proyectos del Gobierno de la Ciudad en la que participé con un amigo,
Un padrón viejo de gente que cursó la carrera conmigo (información de la facultad), que es otro listado con nombres, apellidos, DNIs y carreras elegidas,
Una nota mía vieja publicada en Indymedia (sólo algunxs conocerán este nivel de jipismo paleodigital).
Esto fue buscando así nomás y sin muchas ganas, pero a partir de eso podés empezar a reconstruir bastante sobre quién soy y qué fui haciendo a lo largo de mi vida.
Y llegado este punto, lo que faltó mencionar aún es que en esta encuesta, además de estos datos perfectamente segmentados e identificados —a nivel de género y edad, con una aproximación bastante posible de hacer a partir de DNI—, se los puede cruzar sencillamente con el objetivo en sí de dicho cuestionario: la preferencia de las personas respecto de los siete ejes por los que se votó.
¿Qué se puede hacer con todo esto? Depende del poder de tu imaginación —o la de tu equipo de datos—. Ya he citado a Seth Stephens-Davidowitz, autor del fantástico Everybody Lies, quien en dicho libro cuenta una investigación en la que se analizó la aparición de ciertas palabras en la comunicación entre clientes y sus bancos, y cómo eso estaba correlacionado con la probabilidad de que se devolvieran los créditos otorgados.
Y la información más cruda y relevante que hallaron es que quienes mencionan a dios en su discurso y piden piedad, tienen 2,2 veces más probabilidades de no pagar. El autor amplía:
“Aunque esto fue solo un estudio académico, algunas compañías dicen que usan data disponible online para analizar si aprueban créditos. ¿Esto es aceptable? ¿Queremos vivir en un mundo en el que las compañías usan las palabras que escribimos para predecir si pagaremos un crédito? (…) O yendo más allá, ¿qué pasa si una mujer que legítimamente necesita ayudar a su hermana que está internada y sin dudas puede pagarlo y lo hará? Parece espantoso que se la castigue porque, en promedio, la gente que asegura necesitar ayuda para pagar cuentas médicas esta mintiendo. Un mundo funcionando así empieza a parecer bastante distópico.”
Y antes de que tilden de paranoide, debo decir que en lo personal he vivido dos cosas: que me planteen realizar proyectos de datos sumamente cuestionables en términos éticos a partir de esta clase de información (a lo que por supuesto me negué), y seguir teniendo acceso a carpetas y repositorios de organizaciones —tanto públicas como privadas— en las que ya no trabajo hace años, lo que me permitiría en el mejor de los casos filtrar y/o robar información, y en el peor de los casos directamente hacer destrozos.
Es extrañísimo confesar esto, pero había escrito un par de ejemplos de cosas bastante polémicas que se me ocurren sin demasiado esfuerzo que se pueden hacer a partir de cruzar los datos que releva esta encuesta y preferí borrarlo, sólo por las dudas de que alguien con ideas-no-tan-nobles pueda encontrar esto inspirador. Y esto me da pie para el último punto.
La ciudadanía: educando al soberano (de los datos)
Para el Indio Solari, el lujo es vulgaridad. Pero para mí, el lujo es el anonimato.
La privacidad, el saber que podés existir y no estar en alguna plataforma, red social, antena o lo que fuere.
Hoy parezco re conspiranoico y lo sé, pero el punto al que voy es que no tenemos manera alguna de saber qué hacen con todos los datos que vamos dando voluntariamente por ahí —obviamente, muchísimo menos con aquellos que no damos voluntariamente—.
Y en este punto, me alarmó mucho la cantidad de conocidxs y amigxs que completaron esto sin siquiera saber con certeza si era oficial, quién lo promovió ni ningún elemento que más o menos diera orientación sobre el origen y finalidad de pedir todo esto.
En cada tarjeta de membresía a la que le das tu mail, cada sistema de puntos y beneficios a la que le das tu teléfono, cada sitio al que entrás con el Single Sign On (SSO) directo desde tu Gmail, y muchos otros lugares más, yacen delicadas y sutiles trampas y mecanismos donde se va recolectando y refinando la materia prima más buscada: tus datos.
Y aunque muchas veces está fantástico que los des y que lo hagas de forma voluntaria, estas data traps (trampas de datos) tienen que ser debidamente controladas y reguladas. En este sentido, para eso existe la figura constitucional del Hábeas Data: una acción en la que cada persona puede exigir el conocimiento de los datos referidos a ella y a su finalidad, de forma tal de corregirlos o modificarlos.
Todas estas cosas son tristemente ignoradas por la ciudadanía en general, a quien le tiran por la cara una pared de texto en forma de términos y condiciones que ningún ser humano mentalmente cuerdo podría procesar, le ponen cookies en los navegadores de difícil supresión, o directamente le ocultan la verdad que hay detrás de un descuento del 10% en la próxima compra (con un tope de reintegro, siempre).
Sociedad de Responsabilidad (i)Limitada
La ciudadanía no tiene la culpa de todo esto. Pero sí debo decir que conforme pasan los años y se va dando un cierto recambio generacional, empieza a aparecer un sentido de responsabilidad obligada al respecto.
Lo sé, es triste decirlo, pero de la misma forma en la que no te meterías en una boca de lobo a las 3 de la mañana con tu teléfono en la palma de la mano extendida, tampoco deberías regalar tus datos con tanta inocencia.
Ahora bien, en este escenario hipotético, si te roban por ir descuidadx, ¿es culpa tuya? Absolutamente que no. Pero lo mismo aplica en este asunto: no podés confiar en que nadie, ni el Estado ni las empresas, hagan lo que se supone que deben en materia de protección de tus datos.
Hay una frase que usa Amazon Web Systems (AWS), uno de los vendor de servicios cloud más grandes del planeta, para describir las responsabilidades en materia de seguridad informática. Según prometen, AWS se hace cargo de la seguridad de la nube, pero cada usuarix se debe hacer cargo de la seguridad en la nube. Dicho en términos concretos, el Tío Jeff no puede hacer mucho por vos si tu contraseña es “admin123” y bots a lo largo y ancho el planeta te revientan el servidor minando criptomonedas.
Este es el mismo criterio que deberíamos empezar a aplicar (pero por sobre todas las cosas exigir) en materia de políticas públicas y datos. Así como la ciudadanía no debería regalar sus datos al mejor postor, el Estado también debería responsabilizarse y no regalar una radiografía de toda su ciudadanía a cualquiera que le ofrezca una interfaz un poco más amigable y sencilla de usar.
¡Hasta la próxima!
Como siempre, gracias por llegar hasta acá 🙏
Si te gustó y querés compartirlo —por ahí con alguien que haya votado en esta encuesta— obviamente hacelo, que me copa que este newsletter vaya llegando a cada vez más gente.
Dicho esto, van los links de cierre:
Retomando un poco el tema del newsletter pasado, parece que Amazon le va a exigir a quienes publiquen ebooks en su plataforma que digan si es hecho o no por IA. Habrá que ver qué pasa con esto.
Este link va con mención a Nahui, un amigo que me banca desde el principio y siempre me pasa cosas copadas como esta. Resulta que alguien está usando un algoritmo iterativo para “crear cada melodía posible en la existencia” y registrarla con copyright pero con acceso público, de forma tal de garantizar su gratuidad para siempre. Es un delirio imperdible y re cortito de ver que lo encontrás acá.
Lejos quedaron las épocas en las que vivir de la poesía te garantizaba la indigencia: ahora hay empresas desarrolladoras de modelos de lenguaje que están buscando esa clase de perfiles para dotar de humanidad las respuestas de sus chatbots.