Grafiti de cámara de vigilancia. Publicado y etiquetado para reutilizarse en Pixabay.

El régimen de Zine el Abidine Ben Ali en Túnez fue infame por las prácticas de vigilancia masiva. Sin embargo, casi seis años después de su destitución, y a pesar de la aprobación de una constitución en el año 2014 que concede a todos sus ciudadanos el derecho a la privacidad, la ley de protección de datos tunecina y su aplicación no satisfacen aún los estándares internacionales.

La primera vez que el Estado tunecino reconoció la obligación de proteger la información personal de sus ciudadanos fue en la Constitución de junio de 1959 (artículo 9), durante el régimen de Habib Bourguiba, el primer gobernante del país. En julio de 2004, se aprobó la ley de protección de datos (ley número 63 del 7 de julio, 2004). Luego en 2008, se creó una autoridad independiente para hacer cumplir el derecho a la privacidad, que comenzó a funcionar en 2009. Esas estipulaciones, aprobadas durante el régimen de Ben Ali, permanecen intactas en la actualidad –a pesar de cambios considerables en la gobernabilidad y mejoras en los mecanismos de rendición de cuentas, el país no ha realizado más progresos oficiales hacia la protección del derecho a la privacidad.

El proyecto de enmiendas claves para la ley de protección de datos de 2004, preparadas por el presidente de la Autoridad de Protección de Datos, tiene como objetivo principal consolidar la independencia del APD de la interferencia gubernamental, y prohibir que las autoridades estatales recopilen, traten y transfieran información personal sin su aprobación.

Infracciones comunes a la privacidad

Si se aprueban y aplican adecuadamente, se espera que estas enmiendas tengan un impacto en la vida cotidiana de los usuarios, en un país donde el derecho a la privacidad es burlado frecuentemente.

Se impondrían nuevas obligaciones y sanciones para los operadores de telecomunicaciones que saturen con publicidad continua a sus suscriptores, y a los supermercados que recolecten, transfieran y almacenen datos por medio de tarjetas de cliente en el extranjero. Las reformas también limitarían la capacidad de las compañías para vender esa información a terceros sin el consentimiento de sus clientes.

Otra infracción habitual es la instalación ilícita de cámaras de vigilancia realizada por privadps y empresas en espacios vitales comunes, lo que está prohibido por la ley de protección de información personal de 2004. Según la ley, estos dispositivos solo pueden ser instalados tras obtener la autorización de la APD, en espacios abiertos al público como centros comerciales, aparcamientos y lugares del transporte público.

Según las cifras dadas por el presidente de la APD, Chawki Gaddes, existen 30 000 cámaras de seguridad instaladas de manera ilegal en todo el territorio. En un caso que data de 2015, los ciudadanos que viven en las afueras de Megrine instalaron ilícitamente dos cámaras de vigilancia para grabar a las personas que ensuciaban las calles con basura, amenazando de ese modo la privacidad de sus vecinos.

Pasos hacia la reforma

Chawki Gaddes y los miembros de la nueva junta directiva de la APD han dado pasos necesarios para garantizar medidas de privacidad más eficaces desde mayo 2015. La entidad solicitó la adhesión de Túnez al Convenio para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal (convenio n°. 108) del Consejo de Europa. El Consejo posteriormente instó oficialmente al país a que procediera con su reforma de protección de datos, para que su membresía entrara en vigor.

Esta adhesión ampliaría la protección legal para la información personal en el país, ya que abarcaría el uso de cámaras de videovigilancia, datos sobre la salud y demás información de carácter confidencial, además de los datos recopilados por la interconexión de objetos como las neveras, lámparas, automóviles y lavadoras vía Internet, conocido también como el Internet de las cosas (IoT). Se prevé que esta situación se convertirá en un problema más prominente en el país, puesto que en febrero el gobierno aprobó un decreto que establece una comisión para conferir licencias a proveedores IoT. Paradójicamente, la APD no forma parte de esa comisión.

Reformas obstaculizadas por demoras en el proceso

La Autoridad para la Protección de Datos ha sido constantemente marginada por otras agencias y la burocracia procedimental, por lo que ha visto limitada su facultad para fijar la agenda para la protección de la privacidad de los ciudadanos de Túnez.

En una entrevista reciente con Nawaat.org, Gaddes afirmó que la propuesta de enmiendas a la ley de protección de datos de 2004 estaba lista desde hacía seis meses. Sin embargo, no ha sido enviada al gabinete o al Parlamento para su aprobación, pues continúa siendo su «propuesta individual y no la de la junta directiva de la APD».

La propuesta no puede ser aprobada hasta que la junta directiva celebre una reunión, pero desde mayo de 2016, ha sido imposible que la autoridad se reúna y alcance el quórum necesario para tomar cualquier decisión. Otro de los retos que impide que la autoridad realice avances es que dos jueces nombrados como miembros permanentes de la junta no se han reportado a trabajar debido a una disputa por su remuneración.

Código de identificación único, identificación biométrica y las batallas actuales

En una reunión del 25 de septiembre, el Consejo Estratégico a cargo de llevar a cabo el Plan Estratégico Nacional, que es responsable del desarrollo de la economía digital, concedió a la APD la función de supervisar la implementación del proyecto controversial y muy complejo de crear y proporcionar un «código de identificación único» a todos los ciudadanos y empresas. Este sistema consiste en reunir información relacionada con el documento de identificación –estado civil, seguro social, ingresos, impuestos y demás información personal– en un mismo código. El sistema será gestionado a nivel técnico por el Centro Nacional de Informática y a nivel administrativo, por el Ministerio del Interior, que está a cargo de las próximas elecciones municipales.

El proyecto del código de identificación único ha inquietado a los defensores de la privacidad en Túnez, por la falta de reformas jurídicas que pudiesen garantizar la protección de los datos de los ciudadanos. Lamentablemente, este proyecto está vinculado al nuevo proyecto de identificación biométrica del país, conocido como «eCIN», que requeriría que todos los ciudadanos porten un documento de identificación nacional codificado con una valiosa combinación de datos biométricos personales, entre estos la fotografía de la persona, su huella dactilar digitalizada, número del seguro social y dirección residencial.

En un debate transmitido por radio acerca de un proyecto de ley sobre tarjetas de identificación biométrica aprobado por el gobierno el año pasado, el representante de Ministerio del Interior confirmó que este nuevo documento de identificación biométrica, sobre el que APD no tiene ningún poder de supervisión, incluiría el código de identificación único. Incluir los datos personales contenidos en el código de identificación único en la tarjeta SIM del nuevo «eCIN» permitirá que la policía tenga acceso a una megabase de datos personales de los ciudadanos, sin control alguno. Un sistema de vigilancia masiva sería instalado de facto. También, la interconexión de las diferentes bases de datos que albergan información confidencial, particularmente con la falta de medidas de seguridad y de encriptación, incrementaría los riesgos de acceso no autorizado y generaría preguntas sobre el uso inadecuado de la información por parte de las autoridades diversas que tienen conocimiento del sistema.

El proyecto de ley aún debe ser debatido y aprobado por el Parlamento, sin embargo ha sido criticado por expertos, la sociedad civil, los defensores de derechos digitales, así como también la APD. En una declaración publicada el 3 de noviembre de 2016, la Autoridad lamentó el hecho de que el gobierno evitó que brindara su dictamen acerca del proyecto, y enfatizó la importancia de involucrar a los actores de la sociedad civil en este tipo de proyecto. Ahora es demasiado tarde para que la APD brinde su aportación, ya que la batalla se ha trasladado al Parlamento, donde el alcance de la acción se limita a audiencias de los comités.

Esperanza en el activismo

En respuesta a la lentitud de las reformas y actitudes hacia la privacidad, este año se espera que Túnez albergue conferencias y talleres de trabajo que contribuyan a crear conciencia y aceleren el proceso de cumplimiento de buenas prácticas internacionales del país, como estipula el convenio 108 del Consejo de Europa. Un taller regional de Oriente Medio y África del Norte organizado por el relator especial de la ONU por el derecho a la privacidad, Joseph Cannataci, está programado a finales de mayo. También se llevará a cabo una reunión de los comisionados para la protección de datos de la Asociación Francófona de autoridades encargadas de la protección de datos personales. Esto se suma a la campaña de sensibilización propuesta que será dirigida por la APD con la ayuda y pericia de la Unión Europea, si es aprobada por ambas partes.

Mientras tanto, la APD continúa siendo el único actor del sector público que trabaja a favor de promover la privacidad. A pesar de que existen miles de ONG activas a nivel local, solo unas cuántas se dedican a las TIC o los derechos digitales, como el derecho a la privacidad, y si lo hacen, sus voces no siempre son escuchadas. El 1 de febrero, el ministro de economía digital y tecnología de la comunicación Anoaur Maarouf afirmó que los dos representantes de la sociedad civil en el Consejo Estratégico para la economía digital posiblemente ya no serán invitados a asistir a sus reuniones, puesto que el gobierno ha decidido modificar su redacción en la próxima reunión programada para dentro de tres meses.