Durante muchos años, Brasil, la mayor democracia de América Latina, fue líder en gobernanza de datos. En 1995, creó el Comité Directivo de Internet , un organismo de varias partes interesadas para ayudar al país a establecer principios para la gobernanza en internet. En 2014, el Gobierno de Dilma Rousseff, impulsado por las revelaciones de Edward Snowden sobre la vigilancia de la Agencia de Seguridad Nacional de Estados Unidos en países como Brasil, fue pionero con la creación de su Marco Civil (de Internet), una "declaración de derechos" digitales alabada por el inventor de la World Wide Web, Tim Berners-Lee. Cuatro años más tarde, el Congreso de Brasil aprobó la Ley de Protección de Datos (LGPD), siguiendo el modelo del Reglamento General de Protección de Datos (RGPD) de Europa. 

Pero en los últimos años, el país ha tomado un camino más autoritario. Incluso antes de la pandemia de coronavirus (COVID-19), Brasil había comenzado a crear una amplia infraestructura de recogida de datos y vigilancia. En octubre de 2019, el presidente, Jair Bolsonaro, firmó un decreto que obligaba a todos los organismos federales a compartir la mayoría de los datos que tienen sobre los ciudadanos brasileños, desde registros médicos hasta información biométrica, para unificarlos en una enorme base de datos maestra, el Cadastro Base do Cidadão (Registro básico de los ciudadanos). Sin debate ni consulta pública, la medida tomó por sorpresa a mucha gente.

El Gobierno brasileño afirma que, al reducir las barreras del intercambio de información, espera aumentar la calidad y consistencia de los datos que tiene. Esto, según el discurso oficial, podría mejorar los servicios públicos, evitar el fraude electoral y disminuir la burocracia. En un país con unos 210 millones de habitantes, dicho sistema podría acelerar la entrega de beneficios fiscales y de ayudas sociales, y ayudar que las políticas públicas sean más eficientes. 

Pero los críticos advierten que, bajo el liderazgo de extrema derecha de Bolsonaro, esta concentración de datos se utilizará para abusar de la privacidad personal y de las libertades civiles. Y la pandemia de COVID-19 parece acelerar la entrada del país a un estado de vigilancia. Bolsonaro ha estado minimizando constantemente la gravedad de esta enfermedad, a pesar de que él mismo enfermó brevemente, y aunque el número de muertos en Brasil ya supera los 150.000. Sin embargo, eso no le ha impedido utilizar la crisis para justificar distintas recogidas de datos cada vez más agresivas.

El peligro de la centralización

Según el director de la ONG Data Privacy Brasil, Rafael Zanatta, el discurso del Gobierno brasileño sobre el uso de datos para mejorar los servicios públicos es sorprendentemente similar a cómo la dictadura militar en la década de 1970 justificó sus propios esfuerzos para crear un sistema unificado. Aquel  proyecto, conocido como Renape, recibió críticas dentro del ejército y una reacción negativa por parte de los técnicos del Gobierno que participaron en su creación, debido a su falta de transparencia y a la amenaza que representaba para la libertad y la privacidad. Finalmente fue archivado.

Puede que el Cadastro haya nacido de buenas intenciones, opina el abogado y director del Instituto de Tecnología y Sociedad de Río, Ronaldo Lemos. De hecho, la pandemia pronto demostró la necesidad de algún tipo de sistema de identidad digital a nivel nacional: a finales de abril, 46 millones de trabajadores no oficiales, antes invisibles para el Gobierno federal, se habían registrado online para recibir ayuda económica de emergencia. 

Pero para Lemos, uno de los autores del Marco Civil, su naturaleza centralizada resulta preocupante. Lleva mucho tiempo abogando por un modelo similar al de Estonia, un país ampliamente considerado como modelo de gobernanza digital. El Gobierno estonio almacena una gran variedad de datos de los ciudadanos, pero ninguna agencia gubernamental tiene todos los huevos en su canasta institucional. Los estonios deben dar permiso para que una agencia acceda a los datos que otra agencia tiene sobre ellos, y pueden rastrear quién consulta sus datos. Lemos afirma que, "con este decreto, Brasil está haciendo precisamente lo contrario". 

Sin medidas de protección

Según el decreto de octubre de 2019, cualquier organismo federal podría empezar a solicitar y recopilar datos de otros. Documentos filtrados a The Interceptin en junio revelan que la agencia nacional de inteligencia de Brasil (ABIN) ya había utilizado el decreto para solicitar a la empresa estatal de datos Serpro los registros de los 76 millones de ciudadanos brasileños con permiso de conducir. Este ejemplo significa que los datos de los ciudadanos podrían comenzar a aparecer en muchos conjuntos de datos nuevos sin que ellos lo sepan. 

El alcance de la adquisición de datos en virtud del decreto es amplio. Junto con la información básica como el nombre, estado civil y empleo, el Cadastro incluirá datos biométricos como los perfiles faciales; escaneos de voz, iris y retina; huellas de dedos y palmas; incluso el modo de andar. Tampoco hay límites sobre cómo se pueden compartir los datos médicos, y la lista incluye hasta las secuencias genéticas. Según Lemos, el plan consiste en "usar genómica, rostros y huellas dactilares como una manera de identificar fácilmente a las personas, sin que ellas sepan exactamente cómo se ha podido realizar algo así, lo que da bastante miedo".

Centralizar un volumen tan grande de datos supone un "enorme riesgo de seguridad", afirma la asociada de políticas del grupo Access Now Verónica Arroyo. Un ciberataque o una filtración podrían exponer a los ciudadanos al robo de identidad, al fraude o algo peor. En 2016, el Ayuntamiento de São Paulo (Brasil) expuso accidentalmente los datos personales, incluidos algunos registros médicos, de 365.000 pacientes del sistema de salud pública. En 2018, los números de identificación fiscal y otros datos de 120 millones de brasileños (más de la mitad de la población) estuvieron disponibles en internet durante semanas, después de que el servidor que los alojaba fuera renombrado por error. 

El Cadastro estará regulado por el Comité Central de Gobierno de Datos. Este organismo, formado por representantes del Gobierno federal, decidirá sobre la sensibilidad de los datos y resolverá las controversias, algo que choca con el Comité Directivo de Internet establecido en 1995, cuyos miembros eran personas del Gobierno, de las empresas, de la sociedad civil y académicos. "Ni los ciudadanos, ni la comunidad técnica, ni la sociedad civil están incluidos, ni siquiera se pretende que sea una comisión independiente", lamenta el abogado civil y asesor del Comité Directivo de Internet Danilo Doneda.

Tampoco está claro cómo la base de datos maestra será compatible con la LGPD de Brasil. Existen fuertes incoherencias; por ejemplo, los datos biométricos se consideran sensibles según la LGPD, pero en el nuevo decreto se incluyen en la categoría menos protegida. El nuevo decreto "básicamente deja de lado la ley de protección de datos. El Gobierno sigue actuando como si no fuera algo preocupante", asegura Doneda.

De hecho, el futuro de la LGPD aún está en el aire. Primero estaba previsto que entrara en vigor en agosto, pero sus protecciones ya habían sido reducidas tanto por Bolsonaro como por el Congreso bajo su predecesor, Michel Temer. Sin embargo, en abril, el Gobierno aprobó casi a escondidas una extensión para retrasar la implementación de la ley hasta mayo de 2021. 

"Todos estos esfuerzos pueden conducir a una gran asimetría de poder entre los ciudadanos y el estado".

Podría decirse que había buenas razones para posponer la aplicación de la LGPD, ya que la interrupción causada por la COVID-19 dificultó la adaptación de las empresas. Pero algunos sospechan que el verdadero motivo del Gobierno consiste en posponer el mayor control que la LGPD supondría para las campañas políticas. Las elecciones municipales están programadas para finales de este año, y los tribunales electorales podrían usar la nueva ley para investigar a los partidos políticos por acumulación y uso indebido de datos, según Zanatta de Data Privacy Brasil.

Hay muchas razones para temer ese uso indebido. Durante las elecciones presidenciales de 2018 que llevaron a Bolsonaro al poder, WhatsApp se convirtió en una plataforma de desinformación generalizada, en su mayoría a favor de Bolsonaro, según un análisis de The Guardian. Algunos piensan que el Cadastro podría abrir la puerta a campañas de propaganda más específica. La elaboración avanzada de perfiles, incluidos los datos recopilados durante la pandemia, podría identificar a los votantes con más probabilidades de creer en bulos y difundirlos, explica Zanatta. Uno de los hijos de Bolsonaro está actualmente bajo investigación por organizar supuestamente un plan delictivo para difundir las noticias falsas.

Justificar la vigilancia

La pandemia de COVID-19 ha generado más pruebas de la intención del presidente de utilizar los datos como instrumento de poder. En abril, cuando el gobernador de São Paulo lanzó un proyecto para utilizar datos telefónicos para comprobar si las personas respetaban las medidas del confinamiento, el hijo de Bolsonaro, Eduardo, lo tildó de "invasión de derechos", y el presidente rápidamente puso fin a un plan similar del Ministerio de Ciencia.

Sin embargo, una semana después no mostró ningún reparo cuando firmó un decreto que ordenaba a las empresas de telecomunicaciones a entregar datos de 226 millones de brasileños a la agencia de estadísticas del Gobierno (IBGE), supuestamente para encuestar a los hogares durante la pandemia. Los críticos aseguraron que esa recogida de datos era inconstitucional y desproporcionada, y finalmente fue anulada por el Tribunal Supremo.

Como muchos países, Brasil ha ido aumentando el uso de tecnología para rastrear a sus ciudadanos. Las redes de cámaras de vigilancia instaladas para la Copa del Mundo de 2014 y los Juegos Olímpicos de 2016 se quedaron donde estaban después de que ambos eventos terminaran. Varias fuerzas policiales utilizaron software de reconocimiento facial durante el carnaval de este año para rastrear a la multitud en busca de criminales. Y una serie de proyectos de ley que permiten y exigen la adopción generalizada de la tecnología (en el transporte público, por ejemplo) se han abierto paso lentamente en el Congreso de Brasil.

El año pasado, la policía brasileña arrestó a 151 personas identificadas con reconocimiento facial, incluido un hombre buscado por asesinato que se vistió de mujer en el carnaval. En pasado diciembre, las cámaras de reconocimiento facial se pusieron en marcha cerca de la frontera con Paraguay, en un punto caliente para el tráfico de drogas y otros tipos de crimen organizado.

El crimen es un gran problema en Brasil, donde la tasa de homicidios es aproximadamente cinco veces superior a la media mundial. La dura postura de Bolsonaro ante este problema fue clave para su ascenso al poder. Pero el Cadastro Base do Cidadão y la tecnología de vigilancia masiva hacen una combinación terrible, advierte Arroyo: "Todos estos esfuerzos pueden conducir a una gran asimetría de poder entre los ciudadanos y el estado". Y el miedo al crimen inclina a los brasileños a renunciar a su privacidad a cambio de seguridad, según Doneda: "La gente está muy asustada".

Las deficiencias de la tecnología de reconocimiento facial están bien documentadas, en particular el hecho de que los sistemas existentes, casi todos desarrollados en los países de mayoría blanca, identifican erróneamente y de forma desproporcionada a las personas de color. El investigador de Human Rights Watch César Muñoz cree que esto plantea un problema especialmente grave en Brasil, donde más de la mitad de la población es negra o mulata. Casi la mitad de esas personas trabaja en la economía sumergida y alrededor de un tercio vive por debajo del umbral de pobreza. "Una persona negra que acaba detenida por reconocimiento facial, sin medios para conseguir un abogado, tendrá un gran problema", asegura Muñoz. 

En teoría, las regulaciones en desarrollo son reversibles. Pero una vez que la tecnología de vigilancia y una gran cantidad de datos lleguen en manos de las autoridades, será difícil quitárselas. "Si la policía compra el equipo, lo usará hasta que deje de funcionar", opina Doneda. 

En comparación con otras partes del mundo, Brasil tiene muchas ONG dedicadas a la protección de datos y a los derechos. También es relativamente simple iniciar demandas colectivas de acción, lo que facilita la aplicación de la presión pública. Y como ha demostrado la pandemia, el Tribunal Supremo aún podría enfrentarse al Gobierno federal. A principios de junio, obligó al Ministerio de Sanidad a volver a publicar los datos completos sobre las muertes por COVID-19, después de que el ministerio dejara de hacerlo (algo que se consideró un intento de encubrir el rápido aumento del número de fallecidos).

Lemos cree que la cultura de protección de datos aún podría florecer en Brasil, de forma similar al cambio de paradigma que tuvo lugar tras la introducción del código de protección al consumidor en 1990, cuando las personas comenzaron a ejercer sus nuevos derechos. Mucho dependerá de cuándo entre en vigor la LGPD y si la respaldará alguna autoridad de datos fiable e independiente. 

Pero algunos analistas piensan que esa autoridad podría estar dominada por las fuerzas militares, cuyos miembros ocupan aproximadamente la mitad de los 22 escaños del gabinete de Bolsonaro. Las dictaduras militares son un recuerdo no muy lejano en América Latina. La directora de Derechos Internacionales de Electronic Frontier Foundation, de nacionalidad peruana, Katitza Rodríguez, concluye: "La historia nos ha enseñado que nuestras democracias no son tan fuertes".