COVID-19 y Compliance: Big Data vs. Protección de Datos

Dino Carlos Caro Coria

Por: Dino Carlos Caro Coria
(CEO en Caro & Asociados | Presidente de la Asociación Peruana de Compliance)

En toda guerra, en toda crisis, aunque la mayoría sólo tiene algo que perder, siempre algunos salen beneficiados. Descontando el riesgo sanitario generalizado, la pandemia del COVID-19 es una gran oportunidad para el teletrabajo y toda la industria on line, como los bancos, las fintech, los servicios at home, pero también para ese gran mercado médico y farmacéutico, e incluso para nichos ilegales como la ciberdelincuencia o el propio control del crimen (el brazalete electrónico para evitar contagios en prisión). En todas las guerras hay muertos, pero siempre hay industrias que se fortalecen.

El cuidado de la salud, pública e individual, está en los albores del compliance, desde los viejos casos de responsabilidad penal de las personas jurídicas en la Inglaterra del siglo XVII[1] y los Estados Unidos del siglo XIX[2], hasta las modernas normas penales para la prevención de riesgos laborales[3]. La pandemia, sin embargo, ha catalizado el debate sobre los límites de la tecnología al servicio de la salud pública. Se trata del recojo, o captación incluso casual o inevitable, y del tratamiento de datos personales como la ubicación y recorrido individual, o indicadores biométricos como la temperatura o la presión arterial, todo gracias a los sistemas públicos de reconocimiento facial y videovigilancia, como a las aplicaciones personales de un móvil o un smartwatch que monitorizan, en tiempo real, lo que Harari denomina control “bajo la piel”[4].

Un posible infectado es potencialmente reconocible, al igual que su trazabilidad y círculo de contagio, todos pueden ser fácilmente informados (un SMS), ubicados y tratados, sometidos o inocuizados médicamente. Ello gracias a los productos de la revolución 4.0: el internet de las cosas (IoT), el Cloud y el Blockchain, tan usados para proteger la indemnidad y trazabilidad de la información, como la Inteligencia Artificial (AI) y los llamados Sistemas Cognitivos (IBM). La data individual, no estructurada por lo general, puede ser tratada a través de los algoritmos, acumulada y segmentada, para ofrecer alternativas colectivas (zonas y focos infecciosos a atacar), como personalizadas.

La pandemia, los muertos y el colapso de los servicios públicos de sanidad, ha acelerado las decisiones de los gobiernos. Occidente, Europa y los Estados Unidos, se defienden con los viejos métodos conocidos desde la peste negra o bubónica del siglo XIV (1347-1353) que cobró la vida de al menos 50 millones de personas, más de la mitad de la población de Europa, y curiosamente iniciada también en China y propagada al Viejo Continente desde Italia. Métodos como la cuarentena obligatoria y el cierre de fronteras, incluso tardíos, con la epidemia en fase 4, con cientos o miles de muertos y la dispersión del virus, ya sin trazabilidad, asumiéndose con ello las graves consecuencias económicas de ese aislamiento que, en el estado actual de las cosas, se reconoce como un irremediable mal menor.

No parece el mundo del mañana, el uso de la tecnología no ha tocado la puerta del control de plagas de Occidente, una opción bastante diferente a la asumida en Oriente, especialmente en China, Japón y Corea, donde la escasa conciencia ciudadana en torno a la protección de datos ha permitido que las soluciones algorítmicas sean la herramienta más sofisticada para contener la pandemia, pero a la vez la vía para el empoderamiento del Estado como administrador de esas soluciones[5]. A diferencia de Occidente, donde la tutela de la intimidad y los datos personales se reconocen como un derecho humano difícilmente renunciable[6], y con Estados que se debilitan por esa gestión deficitaria de la crisis sanitaria (¡los muertos no volverán!).

Dos modelos para una sociedad tecnológica, un capítulo más en la guerra por el control de la big data, aunque ahora, como en la industria militar, con miles de bajas que contar. No es un asunto menor, el dato es el nuevo “petróleo” del siglo XXI, un recurso natural, mundial y renovable geométricamente. La conocida carrera entre China y los Estados Unidos por el control de la tecnología 5G, no es otra que por la capacidad de acumular, procesar y controlar más datos mediante nuevos y más avanzados sistemas cognitivos.

En tiempos de emergencia la ponderación parece sencilla, renunciar, de modo parcial o temporal a algo tan individualista como la protección de datos, a la data compliance, por un bien jurídico superior y colectivo, el control de la pandemia, el retorno a una salud pública controlada por los algoritmos. Pero nada es automático si se tiene en cuenta dos problemas. Por una parte la inteligencia artificial no es la panacea, es falible, tanto por los posibles fallos de programación y en el entrenamiento de la máquina (machine learning), como por la falta de control y auditorías entre el in put y el out put de los algoritmos, esa llamada caja negra (black box)[7] impide conocer los posibles, como comunes, sesgos cognitivos del sistema[8], lo que ha llevado a muchos países, precisamente los de Occidente, por ejemplo, a la prohibición o uso limitado del reconocimiento facial por los servicios de seguridad, o de los algoritmos que permiten segmentar a los beneficiarios de los sistemas de salud y ayudas públicas, por las posibles soluciones discriminatorias de esos algoritmos.

De otra parte, Harari[9], como lo hiciera Prado Saldarriaga en tiempos del terrorismo[10], ha puesto de relieve el riesgo de una emergencia más allá de la emergencia. Si hoy renunciamos a la protección de datos, ¿qué garantía puede tenerse de que el Estado renunciará a ese poder?. Una vez terminada la emergencia, siempre habrá un nuevo enemigo que abatir. ¿Qué garantía tenían los romanos de que Julio César dejaría el poder tras cruzar el Rubicón?

Salvo que la forma de hacer las cosas sea la del ejército -ni buena ni mala, simplemente se hacen-, la elección entre un modelo de control sanitario del siglo XIV y otro algorítmico sin protección de datos, no es una decisión matemática. Y menos en sociedades como las de Latinoamérica, la peruana, donde la conciencia de obligatoriedad en torno a la protección de datos personales es aún incipiente, pero en las que tampoco la tecnología ha llegado a todos los rincones sino, y en parte, a las grandes ciudades, con un escaso desarrollo de la videovigilancia y el reconocimiento facial en lugares públicos, con cámaras y aparatos pocas veces interconectados (sin internet de la cosas), y sin algoritmos públicos o privados que hayan superado los test de ensayo/error o los user experience (UX) del design thinking[11].

El COVID-19 viene transformando el mundo, habrá un “día después de mañana”, pero aquí y ahora no hay siquiera una falsa dicotomía, no hay dicotomía. Como regla general el compliance no implica riesgo cero, sino administrarlo dentro de lo permitido (riesgo permitido)[12], pero si el riesgo sobrepasa lo tolerable, si el “amor al riesgo” se convierte en “aversión al riesgo”, entonces debe evitarse la conducta peligrosa. El riesgo del COVID-19 está en las calles, en el centro de trabajo o en el propio uso de los servicios públicos. Sin tecnología, sin soluciones algorítmicas, sólo nos queda el encierro, la cuarentena, el toque de queda, y asumir el costo de paralizar la economía nacional, esperando que pase la pandemia o, para decirlo líricamente, “viendo la vida pasar”.

Fuente: World Compliance Association


[1] Villegas García, María Ángeles. La responsabilidad penal de las personas jurídicas. La experiencia de Estados Unidos. Pamplona, Aranzadi 2016, p. 102, responsabilidad penal aplicable a ciertas entidades municipales, públicas o cuasi públicas, por la comisión de delitos de public nuisance, es decir una injerencia irrazonable en el bien de la comunidad, por conllevar un peligro para la salud, ser lesivo de la moral o implicar un obstáculo ilegal al uso de la propiedad pública, p. 110, nota 83.

[2] Ibid., p. 111, citando el caso People vs. Corporation of Albany (1834), la ciudad de Albany fue acusada por la no limpieza de la cuenca del rio Hudson, copada de “todo tipo de desperdicios, incluido animales muertos; lo que había provocado la emisión de gases tóxicos y que el agua no fuera potable, con el consiguiente daño para la salud pública”.

[3] Lascuraín Sánchez, Juan Antonio. “La prevención del delito contra la seguridad de los trabajadores”. En: Nieto Martín, Adán (Dir). Manual de cumplimiento penal en la empresa. Valencia, Tirant lo Blanch 2015, p. 495.

[4] Harari, Yuval Noah. “The world after coronavirus”, en: Financial Times de 20.3.20, https://www.ft.com/content/19d90308-6858-11ea-a3c9-1fe6fedcca75?fbclid=IwAR3mhWXnjldogfToTzTXugVxyp1VBI1ZG1x2peFjCMgg25IcHSNPP2QPm_U

[5] Han, Byung-Chul. “La emergencia viral y el mundo de mañana”, en: Diario El País de 22.3.20, https://elpais.com/ideas/2020-03-21/la-emergencia-viral-y-el-mundo-de-manana-byung-chul-han-el-filosofo-surcoreano-que-piensa-desde-berlin.html

[6] El FBI recientemente viene promoviendo el uso de FitTest (https://www.fbi.gov/news/apps/fitnessapp), una aplicación de rutinas de ejercicio en casa y que el Bureau estaría usando para extraer datos de ubicación e información de la red wifi para el control del COVID-19 (https://www.mirror.co.uk/tech/coronavirus-fbi-launches-fitness-app-21744106), lo que ha sido negado por el FBI precisamente por el valor de la protección de datos personales en los Estados Unidos.

[7] Bues, Micha-Manuel. “Artificial Intelligence in Law”, en: Hartung/Bues/Halbleib. Legal Tech. How Technology is Changing the Legal World. A Practicioner’s Guide. Múnich, C.H. Beck, Hart, Nomos 2018, p. 272, n. 42.

[8] Latorre, José Ignacio. Ética para las máquinas. Barcelona, Ariel 2019, pp. 201 y ss.

[9] Cit.

[10] Prado Saldarriaga, Víctor. Comentarios al Código Penal. Lima, Alternativas 1993, “la política penal de emergencia se va extendiendo. Es decir, deja de ser un modelo particular de control del terrorismo, para convertirse en un medio de acción contra la criminalidad común” (p. 162), “el modelo de control penal (…), se inclina hoy hacia la ordinarización de la política penal de emergencia” (p. 178).

[11] La propuesta de López Vargas, Kristian y Miguel Núñez del Prado (“Como detener al COVID-19”, en: Diario El Comercio de 26.3.20, https://elcomercio.pe/opinion/colaboradores/como-detener-al-covid-19-por-kristian-lopez-vargas-y-miguel-nunez-del-prado-noticia/), de acudir a las soluciones algorítmicas, un sistema de detección temprana de los infectados, no es viable en nuestro medio en el corto plazo, y dudosamente en un mediano plazo.

[12] Caro Coria, Dino Carlos. “Imputación objetiva y compliance penal”. En: Demetrio Crespo, Eduardo (Dir). Derecho penal económico y teoría del delito. Valencia, Tirant lo Blanch 2020, p. 371.

Written by Miguel Ampudia Belling

Abogado por la UNMSM. Maestrando en Gerencia Pública por la Escuela de Posgrado - Universidad Continental. Miembro fundador del Grupo de Estudios de Derecho Mineroenergético – GEDEM. Director de Peruweek.pe.
(Contacto: +51 980326610 | peruweek@peruweek.pe)

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ministerio de Trabajo

MTPE: Boletas de pago y beneficios sociales podrán ser validados vía firma digital

colegios

Indecopi sancionará a colegios privados sin Plan de Recuperación de clases