Generar confianza
La COVID-19 nos obligó a todos a pensar en los datos de manera diferente
La pandemia de COVID-19 ha puesto de relieve la dependencia del mundo respecto de los datos, ya sea para combatir el virus o para las operaciones diarias que antes se hacían en persona y de repente comenzaron a hacerse por internet. Las bodas, los funerales, la atención médica y las compras de comestibles se han reducido a una experiencia en internet intermediada por una computadora.
Los países con leyes de transacciones electrónicas sólidas han realizado la transición al comercio electrónico y la prestación de servicios públicos en línea con mayor facilidad que los países obligados a construir una infraestructura técnica y legal desde cero. No solo las dificultades han puesto a prueba la paciencia de las personas, sino que además el nuevo volumen de tráfico de internet ha sobrecargado la infraestructura mundial de comunicaciones. Y todo ese tráfico son datos.
La cantidad de datos recopilados y procesados (todo tipo de datos, personales y no personales, proporcionados activamente o generados de forma pasiva) se ha disparado hasta alcanzar niveles sin precedentes. El gran volumen de datos también ha creado conciencia sobre su vulnerabilidad a las violaciones, especialmente en el caso de los datos personales.
Las regulaciones de emergencia han menoscabado la confianza en los datos
Gran parte de los datos generados y utilizados para combatir la COVID-19 comenzaron siendo datos personales. En ocasiones, estos se han anonimizado y, al combinarse con otros datos privados y públicos, han generado formas nuevas y poderosas de comprender las tendencias, tal como se muestra en el tablero de COVID-19, gestionado por la Universidad Johns Hopkins. Los datos de salud recopilados durante la pandemia también se han utilizado para determinar las respuestas de políticas y orientar mejor los recursos para la prestación de servicios sociales.
Rastreo de contactos
El rastreo digital de contactos, algo prácticamente desconocido para la mayoría de las personas hasta 2020, se convirtió en materia de acalorados debates sobre cómo recopilar y utilizar datos personales de manera eficaz y, al mismo tiempo, garantizar la confianza. ¿La aportación de datos debe ser obligatoria? ¿Qué protecciones se otorgarían a los datos recopilados? ¿Con qué fines se utilizarían esos datos? ¿Y por cuánto tiempo deben conservarse?
A medida que las aplicaciones de rastreo de contactos se han extendido a nivel mundial para seguir el ritmo del virus, los distintos países han aplicado diferentes enfoques. La eficacia de algunas de estas aplicaciones, medida según la cantidad de veces que se descargaron y utilizaron, está relacionada con la confianza de los ciudadanos en la seguridad de los sistemas y en cómo dichos sistemas tratarían sus datos.
Para que el esfuerzo de rastreo de contactos proporcione información significativa y práctica sobre cómo se propaga el virus de un país a otro, quedó claro que las plataformas y los sistemas de recopilación de datos y la forma en que estos se procesaban debían funcionar sin problemas (ser interoperables). A pesar de los esfuerzos para promover dicha interoperabilidad, incluso mediante el desarrollo del sistema operativo diseñado conjuntamente por Apple y Google, y el “conjunto de herramientas” de la Unión Europea sobre las normas técnicas comunes para sus países miembros, las aplicaciones desarrolladas por los países a nivel mundial aún difieren bastante, lo que hace que la realidad no esté a la altura de las aspiraciones.
La COVID-19 expuso las deficiencias en las normas sobre datos mundiales
Los primeros usos de datos en respuesta a la pandemia de COVID-19 plantearon preguntas sobre cómo y quiénes deberían formular las normas comunes, si la adopción de las normas de interoperabilidad debería ser obligatoria y si las respuestas nacionales a la pandemia permitirían siquiera la formulación de reglas y normas comunes sobre cómo se deben recopilar, gestionar e intercambiar los datos a través de las fronteras. Estos problemas han resurgido con el desarrollo de las vacunas, las diferentes normas aplicables a la recopilación de datos sobre ellas y las restricciones a la transferencia de datos de salud personales entre algunas jurisdicciones. En este contexto, resulta aún más difícil comparar los datos sobre la eficacia de las vacunas o agruparlas para realizar análisis avanzados.
Con el objetivo de ampliar el acceso a los datos para abordar estas nuevas circunstancias, muchos Gobiernos adoptaron una legislación de emergencia para permitir el uso de datos personales, mientras que otros suspendieron las leyes existentes para que dichos datos pudieran recopilarse sin restricciones durante la lucha contra la pandemia. En algunos casos, estas leyes se aprobaron de manera transparente, se diseñaron para ser explícitamente temporales e incluyeron fechas de finalización claras para garantizar el retorno a la normalidad. Otras leyes, en cambio, no incluyeron estas salvaguardas fundamentales para el debido proceso y la rendición de cuentas del Gobierno.
El acceso a las vacunas y el uso de pasaportes de vacunación también generan preocupaciones más amplias que afectan la esencia del contrato social en torno a los datos. Al igual que con el rastreo de contactos, existen preocupaciones similares relacionadas con la protección de datos sobre los certificados de vacunación. Por ejemplo, ¿se recopila solo la cantidad mínima de datos? ¿Se recopilan datos con el único objetivo de vincular a una persona con la inoculación? ¿Durante cuánto tiempo serán válidos esos datos? Además, se deben abordar preguntas más generales en torno a la equidad, así como el posible sesgo y la discriminación que pueden surgir como resultado del uso de certificados de vacunación, estas herramientas y sus datos subyacentes.
La Encuesta Mundial sobre Regulación de Datos
Para recabar información sobre la solidez e integridad de los marcos normativos para la gestión de datos en todo el mundo, en esta edición del Informe sobre el desarrollo mundial se llevó a cabo una Encuesta Mundial sobre Regulación de Datos. En ella se recopila información sobre numerosos atributos del marco regulatorio de 80 países (que abarcan el 80 % de la población mundial) seleccionados de distintas regiones del mundo y grupos de ingresos de todo el espectro del desarrollo.
La encuesta se basa en una evaluación detallada de leyes, regulaciones y requisitos administrativos nacionales que reflejan el estado regulatorio de cada país al 1 de junio de 2020. Los resultados se resumen en una variedad de subíndices que reflejan diferentes aspectos del entorno regulatorio para salvaguardas y factores habilitantes.
Salvaguardar el uso de datos
En los 80 países encuestados, se han establecido alrededor del 40 % de los elementos de las salvaguardas regulatorias recomendadas. Aunque los puntajes varían considerablemente, desde menos del 35 % en los países de ingreso bajo hasta más del 50 % en los países de ingreso alto, los resultados ponen de manifiesto que incluso entre estos últimos el marco regulatorio dista mucho de estar completo.
Países, por puntaje relacionado con las salvaguardas
Source: Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos (i)
Salvaguardar los datos personales
Para abordar mejor las preocupaciones subyacentes sobre las asimetrías de poder entre las personas (y, cada vez más, los grupos) y quienes controlan o procesan los datos, en este informe se promueve un enfoque sobre protección de datos personales basado en los derechos. Estos derechos son tanto sustanciales (incluyen el derecho de controlar de qué manera se recopilan, utilizan, divulgan o comparten los datos con terceros) como procedimentales (incluyen garantizar que los datos se utilicen de forma transparente, proporcionada y responsable, y que quienes se vean afectados por la violación de sus datos sean notificados y puedan recibir una compensación a través de mecanismos de resarcimiento eficaces). Asimismo, para garantizar que se respeten, suelen imponerse obligaciones a las partes encargadas de controlar los datos que se recopilan, procesan o utilizan.
Los derechos fundamentales que tienen las personas con respecto a sus datos están protegidos para permitir su capacidad de acción y decisión y su control sobre los datos que generan o a través de los cuales se las puede identificar, de manera que no se utilicen de forma indebida, por ejemplo, con fines de supervisión, vigilancia o discriminación.
Puntajes de los países según el grado de salvaguarda de los datos personales
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos.
El siguiente gráfico muestra el porcentaje de países en cada grupo de ingresos que han adoptado elementos de un marco legal y regulatorio sólido para salvaguardar los datos personales (al 1 de junio de 2020). En él se destacan los derechos clave que tienen las personas sobre sus datos, así como los límites de recopilación, procesamiento y uso que deben cumplir los terceros para promover la confianza en el uso de datos y respetar el contrato social referido al tema.
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos.
Casi el 60 % de los países encuestados para este informe han adoptado tales leyes: desde el 40 % de los países de ingreso bajo hasta casi el 80 % de los países de ingreso alto . Aunque muchos países de ingreso mediano bajo cuentan con ese tipo de leyes, su cumplimiento es desigual: solo el 30 % de los países de ingreso bajo y el 40 % de los países de ingreso mediano bajo han creado una autoridad en materia de protección de datos.
Estas excepciones son generalizadas en todos los países encuestados que tienen legislación relativa a la protección de datos. La mayoría de ellas son limitadas y se refieren a usos de datos específicos, por ejemplo en relación con la seguridad nacional (como en Brasil e India) o en transacciones que involucran datos de salud (como en Gabón). Otros países han sancionado leyes que prevén excepciones de mayor alcance, como la exención del requisito de obtener el consentimiento de los titulares de los datos cuando estos desempeñan funciones gubernamentales lícitas, como la prestación de servicios públicos.
Más de un tercio de los países de ingreso alto requieren una justificación para las excepciones, mientras que menos del 10 % de los países de ingreso bajo encuestados imponen tales limitaciones procesales a la acción del Gobierno. Esta falta de limitaciones crea nuevas oportunidades para ampliar la misión o la supervisión estatal sin control, lo que socava la confianza en el uso de los datos.
La protección de los datos personales se basa en la imposición de límites sobre la manera en que se recopilan, procesan y usan los datos sobre las personas (datos que podrían utilizarse para identificarlas). Solo el 18 % de los países encuestados ha adoptado disposiciones que imponen límites estrictos a la recopilación y el uso de datos que son fundamentales para proteger los datos personales. Existen disposiciones sobre la limitación del propósito en el 79 % de los países de ingreso alto; el 62 % de los países de ingreso mediano alto; el 53 % de los países deingreso mediano bajo ; y el 40 % de los países de ingreso bajo.
Asimismo, el 18 % de los marcos legales para la protección de datos en los países encuestados incluye el requisito de proteger los datos de forma sistemática. Se han establecido disposiciones a este efecto en el 36 % de los países de ingreso alto; el 14 % de los países de ingreso mediano alto; y el 23 % de los países de ingreso mediano bajo.
Solo alrededor del 30 % de los países encuestados han implementado medidas para restringir la toma de decisiones basadas en datos personales procesados automáticamente. Entre estos, Côte d'Ivoire ha incluido en su Ley de Protección de Datos disposiciones que prohíben el uso del procesamiento automatizado de datos personales en la toma de decisiones judiciales para evitar sesgos.
Ciberseguridad y ciberdelincuencia
También es posible generar confianza mejorando la ciberseguridad y reduciendo la ciberdelincuencia. Por lo general, se entiende que la ciberdelincuencia incluye el acceso no autorizado a un sistema informático (a veces llamado piratería), el monitoreo no autorizado, la alteración o eliminación de datos, la interferencia en los sistemas, el robo de contenido informático, el uso indebido de dispositivos y los delitos relacionados con el contenido y la función de la computadora.
La ciberseguridad comprende los requisitos de protección de datos para los sistemas técnicos utilizados por los procesadores y controladores de datos, así como la creación de un equipo nacional de respuesta a incidentes de seguridad informática, un grupo de expertos que se ocupa de esa clase de incidentes. Además de lidiar con los comportamientos delictivos mencionados, la ciberseguridad también genera confianza, dado que permite abordar las violaciones y divulgaciones de datos no intencionales (como las derivadas de servidores mal configurados) y responsabilizar a las empresas.
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos.
El siguiente gráfico muestra el porcentaje de países de cada grupo de ingresos que han adoptado marcos normativos, legales y regulatorios sólidos para la ciberseguridad y la ciberdelincuencia (al 1 de junio de 2020).
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos.
Los países encuestados difieren en cuanto a la adopción de leyes contra la ciberdelincuencia que penalizan todo el espectro de actividades no autorizadas. Los resultados se correlacionan con el nivel de ingresos. Si bien alrededor del 70 % de los países de ingreso mediano alto cuentan con ese tipo de leyes, solo el 60 % de los países de ingreso mediano bajo y menos de la mitad de los países de ingreso bajo han adoptado disposiciones similares.
Los equipos de respuesta a incidentes de seguridad informática son mucho más frecuentes en los países que otros elementos de un marco sólido para la ciberseguridad/ciberdelincuencia. Existen leyes, regulaciones o políticas de ciberseguridad que prevén la creación de un equipo de respuesta a incidentes de seguridad informática/equipo de respuesta a emergencias informáticas en todos los países de ingreso alto y en casi un tercio de los países deingreso bajo .
En general, la encuesta revela un bajo nivel de adopción de medidas de ciberseguridad. Ninguno de los países de ingreso bajo encuestados ha impuesto legalmente una gama completa de medidas de seguridad a los procesadores y controladores de datos. Incluso entre los países de ingreso alto , apenas el 40 % de los encuestados exige que los procesadores y controladores de datos cumplan con estos requisitos de seguridad.
Alrededor de un tercio de los países, en todos los grupos de ingresos, cuentan con políticas o leyes que especifican los requisitos de seguridad para el procesamiento automatizado de datos personales. En el grupo de países de ingreso mediano bajo , un ejemplo de buenas prácticas son los requisitos integrales de ciberseguridad establecidos en la nueva Ley de Protección de Datos de Kenya.
Permitir el uso de datos
En los 80 países encuestados para este informe, se han establecido algo menos de la mitad (47 %) de los elementos de un marco regulatorio de buenas prácticas para permitir el uso y la reutilización de los datos. Los puntajes varían considerablemente desde el 30 % en los países de ingreso bajo hasta el 62 % en los países de ingreso alto. Aunque Estonia y el Reino Unido se destacan entre los países de ingreso alto encuestados como los más avanzados a la hora de permitir el uso de datos, su desempeño es igualado por México en el grupo de ingreso mediano. Muchos otros países de ingreso bajo y mediano, como China, Colombia, Indonesia y Nigeria, también están avanzando en la creación de marcos regulatorios para permitir la reutilización de los datos.
Puntajes de los países según los factores que permiten el uso, la reutilización y el intercambio confiables de datos en pos del desarrollo
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos.
Permitir el uso de datos con fines públicos
El siguiente gráfico se centra en los países que permiten el uso de datos con fines públicos: específicamente, datos que son generados o controlados (o ambos) por el sector público (también conocidos como datos del sector público). Hasta la fecha, los Gobiernos han tenido un mayor control sobre el acceso obligatorio a los datos del sector público que a los datos generados por el sector privado, salvo casos excepcionales.
Puntajes de los países según el grado de permisividad en el uso de los datos públicos
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos.
Para los datos del sector público, los Gobiernos pueden emplear varias herramientas legales y de políticas para exigir directamente el acceso y el intercambio de datos; de hecho, algunos ya lo hacen con ciertos datos de salud, de patentes e incluso de pasajeros de aerolíneas. Por el contrario, la mayoría de las transacciones de datos que involucran al sector privado se basan en acuerdos contractuales voluntarios. El papel del Gobierno se limita en gran medida a crear incentivos para promover el intercambio de datos de dicho sector.
El siguiente gráfico muestra el porcentaje de países de cada grupo de ingresos que han adoptado elementos de un marco legal y regulatorio sólido para permitir el acceso, el uso y la reutilización de datos con fines públicos (al 1 de junio de 2020).
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos.
Las leyes de datos de libre acceso se consideran el enfoque más decisivo que pueden adoptar los Gobiernos para mejorar el acceso a los datos del sector público y permitir que sean reutilizados por terceros para crear valor. Alrededor de un tercio de los países encuestados tienen una legislación sobre datos de libre acceso. Esta legislación es más frecuente en los países de ingreso alto .
A medida que los sistemas de datos de libre acceso de los países evolucionan, los Gobiernos deben pasar de simplemente promover el acceso a los datos a facilitar su uso, asegurándose de que los datos y metadatos sean “de libre acceso por defecto” y se les asigne un orden de prioridad para publicarlos teniendo en cuenta las necesidades de los usuarios, sean accesibles en formatos abiertos que puedan leerse con máquinas, y puedan obtenerse a través de descargas masivas o interfaces de programación de aplicaciones.
Más del 70 % de los países encuestados ha adoptado una legislación sobre acceso a la información que abarca todos los grupos de ingresos. En el caso de los datos del sector público, la eficacia de este factor habilitante depende de la amplitud con que se redacten o interpreten las categorías de exención para la divulgación. En la práctica, se trata de una limitación clave. Casi la mitad de los países encuestados, en todo el espectro de ingresos, implementó excepciones significativas al derecho a acceder a la información del sector público.
Un factor clave que contribuye a la reutilización de los datos es contar con una política de clasificación que categorice los tipos de datos según criterios objetivos que resulten fáciles de implementar en las distintas etapas del ciclo de vida de los datos. Si bien más de la mitad de los países encuestados cuenta con políticas de clasificación de datos, los efectos de estas políticas son limitados, debido a que su aplicación a las bases de datos o los sistemas de gestión de documentos gubernamentales es obligatoria en menos de un tercio de los países.
Para poder aprovechar al máximo el valor de los datos, en particular los de libre acceso, la legislación no debe limitarse a promover el acceso a los datos, sino que también debe garantizar que estos puedan utilizarse con mayor eficacia combinando o vinculando conjuntos de datos. A tales efectos, se requieren disposiciones que rijan la interoperabilidad de los datos (y metadatos) y su calidad, así como las modalidades en las que deban publicarse los datos. La interoperabilidad de los datos y los sistemas se puede respaldar adoptando normas armonizadas: idealmente, normas abiertas.
Para respaldar su reutilización, los datos con fines públicos también deben publicarse bajo una licencia abierta y sin cargo o a un precio marginal para cubrir los costos de difusión o reproducción. Casi el 48 % de los países encuestados han adoptado alguna forma de régimen de licencias abiertas para este tipo de datos. Lo han hecho todos los países de ingreso alto incluidos en la encuesta y aproximadamente un tercio de los países de ingreso bajo y ingreso-mediano.
Permitir el comercio electrónico
Muchos usos o transferencias de datos se realizan a través de transacciones electrónicas. Las personas que utilizan sus datos para realizar transacciones en línea necesitan saber que estos datos se utilizan de forma segura. Las leyes que rigen el comercio electrónico y las transacciones electrónicas proporcionan un marco legal general que ayuda a crear confianza en las transacciones de datos en línea del sector público y privado, lo que a su vez fomenta el uso de esos datos. Por lo tanto, la legislación sobre el comercio electrónico es una parte importante de la legislación habilitante.
Puntajes de los países según el grado de permisividad respecto del comercio electrónico
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos.
El siguiente gráfico muestra el porcentaje de países de cada grupo de ingresos que han adoptado elementos de un marco legal y regulatorio sólido para permitir transacciones electrónicas seguras y confiables (al 1 de junio de 2020).
Fuente: Informe sobre el desarrollo mundial 2021: Datos para una vida mejor, Encuesta Mundial sobre Regulación de Datos (i).
Más de 70 de los países encuestados, incluido alrededor del 60 % de los países de ingreso bajo, cuentan con leyes de este tipo, y existe poca variación entre los grupos de ingresos.
En la mayoría de los países encuestados, la legislación sobre el comercio electrónico incluye tales disposiciones, lo que constituye un hallazgo poco sorprendente, dado que las leyes modelo sobre el tema se promulgaron a fines de la década de 1990. Por ejemplo, la Ley n.o 53-05 de Marruecos (2007) incluye disposiciones que permiten las transacciones electrónicas, y en las enmiendas de la Ley de Transacciones Electrónicas de Tailandia (2019) se han incorporado disposiciones sobre buenas prácticas.
El reconocimiento legal de las firmas electrónicas es un área en la que los países de ingreso alto se mantienen muy por delante de los países de ingreso bajo yingreso-mediano.
Aunque el uso de herramientas de autenticación y verificación de la identidad digital es cada vez mayor, menos de la mitad de los países encuestados cuenta con sistemas de identificación digital reconocidos por el Gobierno que permitirían a las personas autenticarse de forma remota para acceder a los servicios de gobierno electrónico; los países que cuentan con estos sistemas son principalmente países de ingreso alto.
El principio de neutralidad tecnológica se ha implementado en las leyes o regulaciones de comercio electrónico del 53 % de los países de ingreso bajo y del 57 % de los países de ingreso mediano alto, y del 71 % de los países de ingreso alto y el 80 % de los países de ingreso mediano bajo.