Essay #5 in the Data and Pandemic Politics series on data justice and COVID-19

Editors’ Note: In this essay, Beatriz Busaniche calls attention to state negligence as a risk to privacy. She contrasts overarching political concerns about how data technologies facilitate state surveillance and authoritarianism with the everyday reality of the state’s management of public data. She argues that we should pay attention not only to the injustice of imposing oppressive technologies on the population, but also to the smaller, everyday injustices that occur when data is leaked or exposed. She argues that a state that cannot take care of its people’s data also fails at serving its people in basic, immediate ways.

The editors would like to thank Rafael Evangelista and Rodrigo Jose Firmino of the Latin American Network of Surveillance, Technology and Society Studies (LAVITS) for curating essays from Latin America and Brenda Espinosa Apráez of the Tilburg Law School for reviewing and co-editing the Spanish language version. Translation into the English language by Linnet Taylor.

English translation follows Spanish text.

La crisis de COVID-19 desatada en América Latina a partir de la llegada de los primeros casos a la región puso de manifiesto las flaquezas que nuestros países latinoamericanos tienen en numerosas áreas de la vida social. Desde el hecho innegable de la desigualdad hasta la falta de una red de contención en los sistemas públicos de salud, muchos problemas se visibilizaron de la peor manera, con víctimas fatales, sufrimiento incalculable para enormes porcentajes de la población, encierro, confinamiento y un crecimiento obsceno de las tasas de pobreza.

Las noticias que llegaban en los primeros meses del año sobre cómo se trabajaba en la contención de la pandemia en países asiáticos, especialmente China, daban cuenta de la utilización de tecnologías para el control de la diseminación de la enfermedad. Rápidamente nos familiarizamos con conceptos vinculados a las tecnologías digitales como los sistemas de ‘contact tracing’ (rastreo de contactos) a través de aplicaciones móviles, el uso de cámaras térmicas para el control de la temperatura corporal, el registro sistemático de la vida de cada persona en el espacio público, las cámaras de videovigilancia y hasta vimos con sorpresa cómo uno de los robots de Boston Dynamics se paseaba entre la gente en un parque de Singapur alertando a quienes no cumplieran con el distanciamiento social. Las grandes empresas de Internet pusieron a disposición pública y exhibieron la potencia de sus tecnologías para mostrar las tasas de circulación por el espacio público.. Tecnologías de geolocalización de personas que debían cumplir cuarentenas estrictas, gestión de permisos para circular por la esfera pública, cámaras en el espacio público para vigilar la circulación de los cuerpos esenciales, esas personas que aún en pleno pico de la pandemia tuvieron que salir a la calle a trabajar para proveer a quienes tuvieron la mejor fortuna de trabajar desde sus hogares y/o cumplir el aislamiento de formas más seguras. El “solucionismo tecnológico” apareció pronto en escena como estrategia para contener una de las crisis globales más profundas de las que tengamos memoria.

Rápidamente América Latina adoptó la idea de desarrollar aplicaciones para contener la pandemia, aunque el diseño y la implementación de las mismas nunca fue del todo claro. En líneas generales, se planteó la necesidad de pensar en tres tipos de aplicaciones: las de rastreo de contactos, las de autoevaluación y diagnóstico y las que gestionan los permisos de circulación.

Las oficinas encargadas de montar las tecnologías del Estado se pusieron a trabajar contra reloj en el desarrollo de aplicaciones, en algunos casos con contrataciones veloces y poco transparentes con el sector privado, y en otras, con desarrolladores ‘in house’. Y así, mientras dirimíamos la tensión entre la protección de la vida privada y la necesidad de arbitrar medidas de excepción para paliar una situación de emergencia, las aplicaciones se empezaron a distribuir en estadios de inmadurez notable, sin evaluaciones ni pruebas de concepto suficientes y con niveles de precariedad inauditos.

Quienes debatimos y discutimos las políticas públicas que afectan la privacidad de las personas, participamos en numerosos debates sobre la construcción de sociedades de vigilancia, sociedades de control, injerencia de los Estados sobre los Derechos Individuales de las personas: pero muchas veces perdemos de vista el peligro más inminente que trae aparejado este “solucionismo tecnológico” tan de moda en estos tiempos: la incapacidad y la negligencia de quienes tienen entre manos el desarrollo y la implementación de las tecnologías empleadas.

Pecamos muchas veces en el diagnóstico y en el mensaje que le damos a la sociedad. Para las personas acostumbradas a vivir en sociedades democráticas libres, generaciones completas de personas que nacieron y vivieron toda su vida en democracia en América Latina, comprender la amenaza de un estado autoritario es una abstracción absolutamente ajena a su experiencia vital. No ven un riesgo cierto en el hecho de que los Estados acumulan cada vez más información de la ciudadanía y que esa información genera relaciones de asimetría y de poder creciente para quien es capaz de administrarla.

En Fundación Vía Libre hemos aprendido una lección en los últimos años. El riesgo más inminente en materia de privacidad no parece ser la construcción de un Estado autoritario, sino la existencia real, palpable y evidente de un Estado negligente.

En Argentina tenemos al menos tres ejemplos documentados de esta amenaza inminente a la privacidad de las personas.

En la Provincia de San Juan, el Estado provincial fue tan irresponsable que se filtraron 115 mil registros de personas que tramitaron el permiso para circular por la esfera pública. En esos registros había información privada, domicilios, lugar de trabajo, condición de empleo, entre muchos otros datos personales que fueron comprometidos en una filtración documentada y reportada al propio gobierno sanjuanino. La respuesta del gobierno fue dar de baja la base de datos por unas horas y luego volver a publicarla exactamente igual, sin mediar solución alguna a la vulnerabilidad. Negligencia pura.

En la Provincia de Salta, la aplicación desarrollada para hacer trámites vinculados a la Covid-19 fue puesta a disposición de la ciudadanía en condiciones paupérrimas de seguridad, con vulnerabilidades conocidas que fueron debidamente reportadas por un equipo cercano a la Fundación Vía Libre. Esa aplicación tenía el potencial de exponer datos personales y de salud de buena parte de la ciudadanía que la instalara en sus teléfonos móviles. A la fecha no tenemos registro de que las vulnerabilidades hayan sido atendido de manera apropiada.

El caso más trascendente de los últimos meses en Argentina es un ataque de ransomware contra la base de datos de la oficina nacional de Migraciones. El ataque no sólo implicó el secuestro de los datos, sino que, vencido el plazo de rescate, la base de datos completa fue publicada en Internet sin que el gobierno argentino pudiera hacer nada al respecto. Entre los datos publicados por los atacantes se encontraban todos los datos de las personas repatriadas al país en al marco de la pandemia de COVID-19.

A la fecha, la política de seguridad de la información en Argentina no parece ser una prioridad en absoluto. Mientras tanto, el gobierno argentino sigue enfrascado en el plan de informatizar más bases de datos y construir bases tales como una historia clínica centralizada de toda la ciudadanía, sin plantear, desarrollar o implementar protocolos apropiados de seguridad de la información. A su vez, un estado incapaz de desarrollar una política en este sentido, tampoco puede hacer valer los derechos de la ciudadanía y forzar al sector privado a cumplir estándares mínimos de protección de los activos digitales que administra.

Mientras debatimos los impactos sociales, políticos y culturales de la privacidad, mientras pensamos en la construcción de sociedades vigiladas o la imposición de una cultura del autoritarismo, aquí y ahora, es la negligencia de los Estados el riesgo mayor para nuestra privacidad.

Beatriz Busaniche es la presidente de la Fundación Vía Libre, una organización civil sin fines de lucro dedicada a la defensa de derechos fundamentales en entornos mediados por tecnologías de información y comunicación. Es docente en la Universidad de Buenos Aires y en la Facultad Latinoamericana de Ciencias Sociales.


Negligence, the greatest risk to our privacy

The COVID-19 crisis, which has unfolded in Latin America since the arrival of the first cases in the region, has made visible various weaknesses among Latin American countries in many areas of society. From the undeniable fact of inequality to the lack of containment capacity in public health systems, many problems have surfaced in the worst possible way with fatal consequences, incalculable suffering for large swathes of the population, restriction, confinement, impoverishment, and an obscene growth in the numbers of poverty.

The news which arrived in the first months of the year about how the pandemic was being tackled by Asian countries, particularly China but also the rest of that continent, demonstrated the extent to which technology was being used to control the spread of the disease. We soon became familiar with technological phenomena such as mobile contact tracing, thermal cameras to test body temperature, the systematic recording of each person’s life in public space, permanent video surveillance and even, surprisingly, how a Boston Dynamics dog robot mingled with people in a Singaporean park broadcasting advice and warnings to anyone who was not socially distancing. Big Tech demonstrated, and placed at the public disposal, the power of its technologies for measuring mobility in public space. Geolocalisation technologies directed at people in quarantine, managing permissions for mobility in the public sphere, cameras in public space to monitor the circulation of ’essential’ bodies, those people who even at the peak of the pandemic had to go out of the house to work in order to provide for those with the good fortune to work from home and/or self-isolate in more secure ways. ‘Technological solutionism’ immediately appeared on the scene as a way of controlling one of the most extreme global crises in living memory.

Latin America soon adopted the idea of developing apps to contain the pandemic, although their design and implementation never quite became clear. In general, we should consider three types of application: contact tracing, self-evaluation and diagnosis, and mobility permissioning apps.

The authorities charged with constructing these technologies on behalf of the state went to work against the clock to develop them, in some cases with abbreviated and opaque private-sector tendering processes, and in others with in-house developers. As such, while we were debating the tension between protecting private life and the need for exceptional measures to deal with an emergency, these apps went live in an unfinished state, without sufficient testing or proof-of-concept and with unknown levels of risk.

Those of us who debate and discuss the public policies that affect privacy take part in various debates about the creation of the surveillance society, the control society, the interference of the state with individual rights. But often we lose sight of the more imminent threat posed by technological ‘solutionism’, which is so prevalent: the negligence and lack of capacity on the part of those tasked with the development and implementation of the technologies involved. We often fail to get the diagnosis and provide the wrong message. For people used to living in democratic and free societies—whole generations of people who have been born and lived all their lives in Latin American democracies—the threat of an authoritarian state is an abstract and alien idea. They do not see a clear threat in the accumulation of more and more data by the state about citizens, and the way in which this information generates asymmetric relations of power in favour of whoever is in charge of it.

At Fundación Vía Libre we have learned a lesson from recent years. The most urgent and concrete threat to privacy is not the construction of an authoritarian state, but instead the existence of a real and tangibly negligent state.

In Argentina we have at least three manifest examples of this immediate threat to personal privacy.

In San Juan province, the provincial government leaked 115,000 individual applications for mobility permission. Those registrations contained private information such as addresses, places of work, conditions of employment, amongst many other personal details – all of which were compromised in a documented leak, which was then reported to the San Juan government. The response of that government was to take down the database for a few hours and then to re-publish it in identical form, without any action to resolve its vulnerabilities. Pure negligence.

In Salta Province, the app developed to process permissions in relation to COVID-19 was made available with minimal security provisions, with known vulnerabilities that were then reported by a team working close to Fundación Vía Libre. This app had the potential to expose the personal health data of a large share of those who installed it on their phones. Currently, we have no information on whether those vulnerabilities have been addressed appropriately.

The most extreme case in Argentina over the last months has been a ransomware attack on the database of the national immigration office. The attack not only involved hijacking data but also, once the ransom period had run out, the database was published on the open web without the Argentine government being able to prevent it. Among the data published by the attackers were all the details of anyone repatriated during the COVID-19 pandemic.

To date, Argentina’s information security policy does not seem to be a priority at all. The Argentine government continues with its plan of digitalisation , creating databases such as a centralised population medical registry without planning, developing or implementing appropriate security protocols. Furthermore, a state incapable of developing such a policy cannot use its people’s data serviceably, and force the private sector to obey minimum standards of data protection in the digital services it provides.

While we debate the social, political and cultural impacts of privacy, while we think about the surveillance society or the development of an authoritarian culture, here and now, it is the negligence of the state that poses the greatest risk to our privacy.

Beatriz Busaniche is the president of the Fundación Vía Libre, a non-profit civil organization dedicated to the defense of fundamental rights in environments mediated by information and communication technologies. She teaches at the University of Buenos Aires and at the Latin American Social Sciences Institute.


Suggested citation: Busaniche, B. (2020, December 17). Negligencia, La Inminente Amenaza a Nuestra Privacidad. Data and Pandemic Politics, 5. https://doi.org/10.26116/datajustice-covid-19.005