Durante las reuniones de la Conferencia Ministerial de la OCDE en las islas Canarias, cerca de 40 países miembros discutieron esta semana el futuro de la economía digital mientras que la OCDE publicó una serie de documentos guías para la elaboración de política pública y se firmaron dos Declaraciones. La influencia que los documentos de la OCDE tienen en la construcción de la política pública en nuestra región obliga a mirar con cuidado lo que allí pasa.
Karisma, donde trabajo, forma parte de CSISAC –el grupo de sociedad civil ante la OCDE–, y durante los últimos tres años hemos seguido activamente el área de trabajo en Seguridad Digital en concreto.
Cuando en Colombia tenemos cada semana una situación de ataques informáticos que afectan el ejercicio de los derechos y la cotidianidad de millones de personas, podemos decir con certeza que la digitalización de todos los aspectos de nuestra vida ha hecho de la seguridad digital un elemento clave para el desarrollo económico y social de los países. Nos alegra haber contribuido con comentarios a los documentos que el Estado pueda usar para enfrentar esta crisis.
Durante esta semana se publicaron cinco documentos de este grupo de trabajo: cuatro recomendaciones (documentos que obligan a los países miembros, incluida Colombia) y un informe de política pública. Las recomendaciones que se publicaron son: (i) sobre el manejo del riesgo en seguridad digital, (ii) las estrategias de seguridad digital nacional, (iii) la seguridad digital de productos y servicios, (iv) el tratamiento de las vulnerabilidades de seguridad digital y (v) el marco de política pública para seguridad digital.
Nuestra participación en la construcción de estos documentos buscó que su enfoque incluyera los derechos humanos. No solamente la privacidad sino también la forma como se puede afectar la libertad de expresión, pues las políticas de ciberseguridad pueden ser fácilmente abusadas por los gobiernos. El resultado son documentos que analizan las nuevas tendencias de los riesgos digitales y las buenas prácticas, incluyendo las necesidades y el contexto de una amplia gama de actores del sector, no solo de los vinculados con los Estados.
Esta semana se firmaron además dos declaraciones. Hablemos de una: la Declaración Ministerial sobre el Acceso Confiable de los Gobiernos a los Datos del Sector Privado. Esta declaración ministerial es el resultado de negociaciones que iniciaron en 2020 y que, como elemento innovador de la OCDE, incluyeron a las autoridades de inteligencia locales.
La OCDE ha insistido en que se trata de recoger las prácticas que tienen los países sobre este tema con el fin de aumentar la confianza de las personas y facilitar el flujo de datos. Dada la presencia de autoridades de inteligencia el proceso, se adelantó en reuniones cerradas que –por su compromiso con debates de múltiples partes interesadas– ocasionalmente se iban informando a los otros actores que forman parte de la OCDE. En las oportunidades que tuvimos para revisar los textos y hacer comentarios, advertimos sobre las tensiones con los estándares de derechos humanos y pedimos una participación efectiva para que los comentarios fueran tenidos en cuenta.
Las discusiones se volvieron más complejas cuando incluyeron un texto relacionado con la posibilidad de que esta negociación convirtiera a la OCDE en un nuevo foro para discutir si Estados Unidos tiene el nivel de protección adecuado para la transferencia de datos con Europa. Las normas de protección de datos de la Unión Europea son el estándar mundial para la transferencia de datos entre países. Estas normas exigen que sus socios tengan un nivel de protección “adecuada”. Las negociaciones entre Estados Unidos y Europa para conseguir esa “certificación de jurisdicción adecuada” se han prolongado por años. Apenas hace unos meses firmaron un nuevo acuerdo que reemplazó el que la Corte Europea rechazó en 2020.
Pero volvamos a la OCDE. Durante 2022 las negociaciones de la que es hoy una Declaración Ministerial de la OCDE se tornan verdaderamente cerradas. A mediados del año la OCDE informa a CSISAC de los avances de la negociación, pero indica que no habrá oportunidad para retroalimentar. Aun así, del texto que nos compartieron advertimos preocupaciones sobre cómo el documento podía disminuir las garantías para la transferencia de datos y señalamos que había problemas con el alcance. No era claro cuál era el tipo de datos del sector privado a los que se refería –las autoridades hoy acceden no sólo a los datos de personas concretas, también piden grandes grupos de datos que compran o que toman del espacio público digital, por ejemplo– y por tanto no era fácil definir los desafíos regulatorios. Por ejemplo, no es lo mismo pedir los metadatos del celular de alguien que está siendo investigado por secuestro a lo que supone que las autoridades pidan los datos de georreferenciación de las empresas celulares para saber quiénes estuvieron en una manifestación.
Desde ese momento el proceso se cerró todavía más. El texto final de la declaración fue dado a conocer tan solo el miércoles de esta semana cuando lo publicaron. Es decir, el resultado de un proceso OCDE no fue construido a partir de la diversidad de voces que deberían estar presentes. En estos términos se pronunció CSISAC inmediatamente se publicó el documento: la forma en que se adelantó el proceso es problemática, sienta un precedente de secreto en la OCDE que se ha caracterizado por construcción de consensos entre las múltiples partes interesadas que no debe repetirse. Sobre la sustancia, habrá que leer y procesar lo escrito para comentar.
Aunque un documento que tenga la forma de declaración no es de obligatorio cumplimiento para los países miembros en la OCDE, sí es un documento que las partes han aceptado y se puede afirmar que servirá de parámetro para la elaboración de políticas públicas.
El problema de tener Declaraciones que no tienen el respaldo de las múltiples partes interesadas es que, aunque puede ser intrascendente en la política pública de los países más desarrollados, su impacto en los países en desarrollo puede ser mayor y bajar los estándares de derechos humanos en sus regulaciones internas.
Y no solo es sobre la ausencia de la sociedad civil, también sobre la ausencia de países del sur global. Los países desarrollados tienen una amplia participación en estas negociaciones, se involucran a fondo. La OCDE no solo tiene poca presencia de países en desarrollo, además los que están poco participan. En mi experiencia siguiendo las negociaciones OCDE, Colombia participa solo en las reuniones generales, no la he visto en los grupos de trabajo y, por ejemplo, en esta Conferencia Ministerial solo estaba el vicedirector del Departamento Nacional de Desarrollo (DNP). Me alegra que esté este funcionario pues los temas que se tocan son relevantes para el DNP, pero él no basta para cubrir la agenda. La ausencia de diversidad en las discusiones afecta los resultados en documentos que informarán las políticas de los países miembros, también influyen en los que quieren serlo y son referentes para cualquier otro país.
Finalmente, a futuro la agenda de la OECD incluirá los derechos digitales en temas claves como moderación de contenidos sobre asuntos como desinformación y eso me permite afirmar que desde Karisma no nos aburriremos, habrá mucho trabajo en 2023.