El uso de bots: ¿Vulnera el derecho a la protección de los datos personales?
Hace unas semanas, la prensa difundió un reportaje que dejó en evidencia a presuntos implicados en una red de “bots” dedicada a atacar y propagar información falsa sobre las candidatas presidenciales Jeannette Jara y Evelyn Matthei en redes sociales. El trabajo periodístico expuso el modo de operar de personas vinculadas a la propagación de mensajes de odio en plataformas digitales y reabrió el debate sobre el uso de las “fake news” en campañas electorales.
Una de las implicancias más graves del uso de estas tecnologías, es la capacidad de incidir en la opinión pública sin que las personas lo sepan, manipulando tendencias a través de programas cuyo origen artificial pasa inadvertido. Estas prácticas que se valen de inteligencia artificial, análisis de big data y otras bases de datos para hacerse pasar por usuarios legítimos, generan una serie de implicancias en materia de privacidad y transparencia, especialmente cuando se realiza sin el consentimiento del titular de los datos y a través de sistemas automatizados que recopilan y procesan datos personales.
Para entender cómo funcionan los “bots” debemos comprender que éstos son un programa que realiza tareas repetitivas, predefinidas y automatizadas, por lo que pueden trabajar mucho más rápido que una persona y, que, en cuanto a las redes sociales, estos programas automatizados simulan interacción humana.
En este contexto, cobra relevancia la Ley 19.628 y su modificación por la Ley 21.719, sobre protección de los datos personales, ya que establece la obligación de realizar una evaluación de impacto en protección de datos personales cuando el tratamiento pueda representar un alto riesgo para los derechos y libertades de los titulares, ya sea por la tecnología empleada, el volumen de datos, o el tipo de análisis realizado. Esto es particularmente crítico en casos de elaboración de perfiles y decisiones automatizadas que puedan inferir o revelar aspectos como tendencia política, creencias religiosas o preferencias culturales y, mediante técnicas de segmentación o micro-targeting, influir indebidamente en el comportamiento de una persona, afectando las decisiones que toma.
Lo medular para la protección de datos es la base de licitud que habilita el tratamiento. Los bots no “tienen” consentimiento: quien debe contarlo (o justificar otra base) es el responsable detrás de la operación. Si un bot recoge identificadores, realiza seguimiento o usa/infiere perfiles para seleccionar o adaptar mensajes, existe tratamiento de datos personales y se exige base jurídica clara (p. ej., consentimiento válido o interés legítimo con test y salvaguardas), además de transparencia previa, finalidades explícitas, y derecho de oposición al perfilamiento.
Cuando la automatización solo difunde de forma masiva sin segmentar por atributos personales, el riesgo para la protección de datos personales es menor. En cambio, si hay micro-targeting o enriquecimiento con datos de plataformas/terceros sin informar al titular, se comprometen los principios de licitud y lealtad (y también minimización y finalidad). En suma: el problema nace antes del bombardeo de información (en cómo se obtienen los datos, qué se infiere y para qué se usan) y no puede cubrirse sin un deber de información reforzado y una base de legitimación sólida.
Si los bots recolectan y analizan las interacciones en redes sociales de usuarios que comparten datos sensibles, datos que pueden derivar en la elaboración de perfiles se interpone con nuestra ley que impone la obligación de realizar una evaluación de impacto en protección de datos (EIPD), que permita identificar y mitigar riesgos antes de que el tratamiento se lleve a cabo. Es evidente que si no existe conocimiento cierto de quiénes se encuentran detrás de estos perfiles bots, no existe ninguna preocupación por la seguridad de los datos personales de los usuarios de redes sociales.
Inclusive el uso de bots en campañas políticas no se limita a la difusión de mensajes o la manipulación de tendencias en redes sociales. Su verdadero alcance se potencia cuando la información recolectada alimenta sistemas de Big Data, los cuales trabajan con grandes volúmenes de datos que se generan de manera continua y a gran velocidad, y son almacenados en bases de datos masivas que, si no cuentan con medidas de seguridad adecuadas, pueden ser vulnerables a accesos no autorizados, filtraciones o un uso indebido.
El caso Cambridge Analytica: un antes y un después en la protección de datos
El caso Cambridge Analytica estalló cuando se reveló que la consultora obtuvo, a través de una app de Facebook presentada como test de personalidad, datos de millones de usuarios y de sus contactos (sin consentimiento informado ni transparencia suficiente) para construir perfiles psicográficos (gustos, creencias, rasgos de personalidad) y microdirigir mensajes políticos durante la campaña presidencial de EE. UU. de 2016. La combinación de recolección masiva, inferencias sensibles y segmentación opaca evidenció cómo señales aparentemente triviales (likes, páginas seguidas, interacciones) podían transformarse en una herramienta de manipulación política a gran escala.
El caso Cambridge Analytica deja una lección directa para Chile: sin transparencia reforzada, bases de licitud claras y controles efectivos sobre el perfilamiento (incluidas las inferencias de gustos y creencias), cualquier estrategia digital, humana o automatizada, puede terminar vulnerando la privacidad y los derechos digitales de las personas, erosionando la confianza pública y exponiendo a campañas y plataformas a sanciones severas y daños reputacionales.
La prevención exige informar “quién trata qué datos, para qué y con qué lógica”, etiquetar contenidos automatizados o generados por bots, habilitar oposición/opt-out al perfilamiento y limitar la recolección y uso de datos al fin legítimo declarado. En suma: más luz y menos caja negra en la comunicación política digital.
Ghislaine Abarca Asociada del Área de Protección de datos personas de Ecija Chile.
