La promesa de internet y la estatal de telecomunicaciones

El 19 de julio, el presidente de México anunciaba en su conferencia de prensa matutina que su empresa de telecomunicaciones estaba lista. Además de revelar que dicha empresa operaría con la infraestructura de la Comisión Federal de Electricidad (CFE), incluyendo los 43,276 kilómetros de fibra óptica reportados en su plan de negocios 2018-2022, indicó que: «ya se aprobó por el Consejo de Administración de la CFE y se está haciendo la solicitud de concesión para poder dar el servicio sin fines de lucro a todos los que viven en las comunidades más apartadas del país».

Sin embargo, aún está pendiente la licitación de la concesión -otorgada por el Instituto Federal de Telecomunicaciones (IFT)- que definirá si la empresa operará de forma comercial o pública. Este matiz es sumamente importante, ya que esta concesión no solamente tendrá una vigencia de 30 años, sino que además determinará si efectivamente CFE Telecomunicaciones e Internet para Todos podrá cumplir con la generación de riqueza que se esperaría obtener al ser filial de la CFE: una empresa económicamente productiva, aunque controversial ante las constantes denuncias presentadas el año pasado ante la Procuraduría Federal del Consumidor (Profeco) por cobros injustificados.

De ser otorgada dicha licitación, es claro que la empresa gubernamental de telecomunicaciones tendrá preferencias que romperán la “neutralidad competitiva” del entorno de las empresas de telecomunicaciones en México. Ya que -además de gozar con un régimen especial por su relación con la CFE- esta iniciativa abrirá la posibilidad al Estado de entrar en varios conflictos de interés al pasar de ser un regulador (tanto del mercado como de la competencia) a ser un operador con privilegios que le permitirían un pase libre para rediseñar regulaciones a la medida de sus necesidades, por tratarse de una empresa productiva del Estado.

Ahora bien, a pesar de que el Presidente anunció que esta empresa buscará estar a la altura de las otras proveedoras de telecomunicaciones que operan a nivel nacional, su misión principal será la de llevar servicios de internet -sin fines de lucro- a las zonas marginalizadas del país para habilitar “centros integradores de servicios” en los que se contará la presencia del Banco de Bienestar (actualmente Bansefi), que buscarán llevar los programas de asistencia social directamente a las personas beneficiarias de las comunidades rurales e indígenas a través de la establecido por la Ley FinTech en cuanto a “capacitación, asistencia técnica e incremento de la productividad de tecnología para los integrantes del sector de ahorro y crédito popular.”

Por otro lado, es importante señalar que en lo poco que se ha compartido respecto a los detalles de operación, habilitación y licitación de CFE Telecomunicaciones e Internet para Todos no hay claridad respecto a el impacto que esta empresa tendrá en el uso del espectro radioeléctrico. Esto nos remite a la serie de trágicos eventos que hasta ahora superados por las empresas pequeñas que han cubierto las necesidades de telecomunicación anteriormente ignoradas por el Estado: ¿será la habilitación de esta empresa estatal otro reto para la supervivencia de estas iniciativas? ¿cómo se generarán parámetros que permitan el desarrollo de estos pequeños operadores y a la vez otorguen los beneficios que podría solicitar la empresa anunciada por el presidente?

Nuevos retos…

Además de cumplir con los compromisos establecidos en el Plan Nacional de Desarrollo 2019-2024, los requisitos que determine el IFT y las regulaciones definidas por la Secretaría de Comunicaciones y Transportes; esta empresa deberá alinearse con las características de una empresa productiva del Estado que, a diferencia de una paraestatal, deberá generar riqueza, ser transparente y competitiva a nivel no sólo nacional sino también internacional.

Aunado a esto, con la puesta en marcha del “apagón” del programa México Conectado que operó durante el sexenio de Enrique Peña Nieto y brindó 101 puntos de conexión a internet en espacios públicos, han surgido otras necesidades en espacios que actualmente enfrentan problemas graves de acceso a internet afectando las operaciones de espacios como la Universidad Nacional Autónoma de México. Como señaló Ingrid Motta en su columna para etcétera:

“Es desconcertante que el 19 de julio se anuncie CFE Telecomunicaciones e Internet para Todos como empresa para conectar al país y casi al mismo tiempo se confirme la desconexión de la máxima casa de estudios y centenares de otros sitios, por no contar un plan estratégico para la conectividad, ya sin mencionar los muchos otros temas que el actual gobierno viene atrasando por falta de objetividad y conocimiento de las necesidades reales de los mexicanos.”

Además de lo señalado anteriormente es importante tomar en cuenta que dentro de los temas pendientes de la actual administración están las políticas públicas en materia de derechos humanos y tecnología en México. Si bien aún no es clara la Estrategia Nacional de Ciberseguridad que operará en este sexenio, tampoco existe algún referente que nos permita tener certeza de los códigos que regirán tanto el manejo de los datos pasen por la infraestructura de CFE Telecomunicaciones e Internet para Todos como el poder que este nuevo actor tendrá en el ecosistema de internet en el país.

En este tenor, también queda la duda sobre cómo se regulará el poder que ahora tendrá el Estado al pasar convertirse también en un operador con capacidad para competir en el mercado de las telecomunicaciones: ¿será que aún está por revelarse la creación de un ente independiente que permita que esto sea auditado y controlado?

Lo único que sigue quedando claro es un profundo desinterés por establecer políticas que permitan brindar tranquilidad o certeza respecto a las garantías que ofrece el Estado para hacer frente a los retos actuales para los derechos humanos en el entorno digital del país, lo cual no es menor cuando se avecina la implementación de nuevos desarrollos que darán un giro a la forma en que hasta ahora han operado algunas tecnologías.

Si en México no estamos a la altura de regulaciones que protejan los derechos humanos, supervisen las capacidades (y actividades) de las empresas de telecomunicaciones y garanticen el acceso a internet: ¿con qué antecedentes enfrentaremos los retos que impacten en el país cuando las nuevas tecnologías y redes 5G vengan a ofrecer lo que nuestras políticas públicas no contemplan?

¿Quién defiende tus datos? (2019)

Descargar PDF

Evaluación sobre las políticas de privacidad y protección de datos de las empresas que proveen servicios de internet en Chile.

¿Quién defiende tus datos? La problemática acción de Subtel

El 16 de junio de 2018 se publicó, y entró en vigencia, la reforma constitucional que concede reconocimiento y protección a los datos personales como derecho fundamental autónomo en el numeral 4 del artículo 19 de la Constitución de la República Chile.

Tristemente un número de casos recientes –desde la instalación programas masivos de vigilancia en espacios públicos, hasta la vulneración del secreto estadístico al obligar al Instituto Nacional de Estadísticas (INE) la entrega de un dato aislado de la Encuesta de Presupuestos Familiares (EPF)– dan cuenta de que algunos órganos del Estado que parecen no encontrarse suficientemente informados de que la protección constitucional garantizada a los datos personales implica obligaciones concretas para su proceder, y una aplicación más estricta en su quehacer de la Ley Nº19.628, que regula desde hace 20 años la materia.

Uno de estos casos que parece haber pasado bajo el radar de la opinión pública se refiere a la orden emitida por la Subsecretaría de Telecomunicaciones (Subtel) a las concesionarias de servicios telefónicos, en el mes de mayo de 2018, para que éstas proporcionaran información respecto de su base de clientes para ser entregada a la empresa CADEM en el marco de un estudio de satisfacción de los usuarios que la repartición pública buscaba desarrollar. En concreto, Subtel solicitó a las empresas la siguiente información respecto de toda su base de datos de clientes: a) Número telefónico móvil; b) Tipo de plan de pre o post pago; c) Comuna y región del suscriptor; d) Si registra o no tráfico de dato y/o voz durante los últimos 30 días; y, e) Si se trata de un cliente que cuenta con multiservicio.

Varias de las empresas concesionarias si bien cuestionaron la solicitud, atendieron al requerimiento de la autoridad bajo el temor de resultar multadas de no hacerlo, sin embargo la empresa ENTEL reclamó de la solicitud invocando la normativa legal y constitucional de protección de datos que le impide proporcionar la información de sus clientes sin el consentimiento de éstos. Incluso a pesar de su reclamo, la empresa proporcionó a Subtel una base con todos los números móviles de sus clientes, pero sin otra información solicitada que permitiese su identificación.

Subtel muestra en este caso una preocupante ignorancia y confusión como servicio público a la hora de determinar si la información solicitada se trata de datos personales o no. Falla en reconocer que el conjunto de información solicitada permitiría la identificación de usuarios con poco esfuerzo durante el ejercicio de la encuesta para la cual se argumenta que los datos han sido solicitados.

Cabe recordar que la definición de dato personal abarca mucho más que el nombre o el apellido de una persona -como parece defender la autoridad en los cargos que formula a la empresa-, y se extienden a cualquier información concerniente a personas identificadas o identificables. La base de datos solicitada por la autoridad permitiría a ésta -o al tercero al que se le encomendará la realización de la encuesta de satisfacción- la identidad de quienes son titulares de los números informados a través de un simple llamado, además de poder perfilarlos por nivel socioeconómico, mediante análisis de sus gastos y comuna de residencia, así como obtener información de sus hábitos a través de la utilización de servicios, todo lo cual califica como dato personal conforme a la definición de la ley.

Por lo demás, así ha sido reconocido por el Consejo para la Transparencia en la causa c-611-2010 en la cual señaló que: “(…) desde el punto de vista de la protección de los datos personales, en tanto el número telefónico se encuentre asociado o sea susceptible de asociarse al nombre de una persona natural, dicha información constituye un dato personal, por lo que quienes trabajen en su tratamiento están obligados a guardar secreto sobre los mismos, cuando estos provengan o hayan sido recolectados de fuente no accesibles al público”.

No se trata en este caso de una fuente accesible al público, no existe en este caso consentimiento que haya sido recabado de parte de los titulares de los datos, ni una autorización legal a Subtel para requerir esta información, que excede con creces la información estadística que puede resultar útil con fines de política pública, como es invocado para fundar sus facultades.

Subtel insistió en la solicitud indicando que “la información sólo será utilizada para fines propios del servicio”. Tal afirmación vulnera el principio de finalidad establecido en el art. 9 de la Ley Nº 19.628, conforme al cual “los datos personales deben utilizarse sólo para los fines para los cuales hubieren sido recolectados, salvo que provengan o se hayan recolectado de fuentes accesibles al público”. Los datos recogidos por una empresa de sus usuarios con la finalidad de prestarle el servicio, deben regirse por el principio de finalidad en su tratamiento y no pueden ser entregados a terceros sin el consentimiento de sus titulares o mediando otra autorización legal.

Adicionalmente, los datos que Subtel solicitó a las concesionarias, no fueron recogidos por Subtel, por tanto no puede ampararse su solicitud en el art. 20 de la Ley 19.628, que autoriza el tratamiento de datos personales sin consentimiento del titular por parte de un organismo público “respecto de las materias de su competencia”.

La vulneración del principio de finalidad no es siquiera disimulada por la autoridad, que reconoce directamente en el oficio en que solicita los datos personales que éstos serán proporcionados a la empresa CADEM, sin que provea certeza de ningún tipo de las medidas técnico administrativas que se adoptarán para la seguridad de tales datos, y para cautelar el cumplimiento del principio de finalidad, en un contexto en que la citada empresa realiza estudios de distinta índole, incluyendo las encuestas de tendencias políticas y categorización socioeconómica de la población.

No compete a las empresas concesionarias asumir frente a sus clientes que les han confiado sus datos personales en el marco de una relación contractual el riesgo sobre una eventual falta de reserva de la autoridad en la custodia de los datos, es la autoridad la que debe acreditar que satisface los requisitos legales para acceder a los datos personales de los usuarios y adoptará las medidas adecuadas para su protección, lo cual es difícil de creer que se hará si de entrada la autoridad niega la categoría de datos personales de la información que solicita.

No se atiende tampoco en este caso por la autoridad al principio de proporcionalidad en la recogida de datos, que mira a la necesidad de minimizar la recogida de datos a aquello que resulta estrictamente necesario para la finalidad legítima que se persigue con su recogida, por cuanto la encuesta de satisfacción no se realizará a la totalidad de la base sino sólo a una muestra, y sin embargo se exige la base completa, con el consiguiente riesgo que ello representa para los titulares de tales datos.

Desde 2017, Derechos Digitales ha desarrollado el reporte ¿Quién Defiende Tus Datos? en el cual evaluamos el comportamiento de las empresas de Telecomunicaciones en la cautela de la información de sus usuarios frente a requerimientos de la autoridad que no satisfacen las exigencias legales, así como la transparencia y claridad en las condiciones de privacidad que ellas ofrecen a sus usuarios. Ad portas de una nueva entrega de nuestro informe que se realizará el próximo 23 de julio, celebramos la defensa legal que Entel está realizando hoy ante la Corte Suprema de los datos personales de sus usuarios al reclamar de la multa que le fue impuesta por su negativa a entregarlos.

Este episodio nos llama a poner las cosas en perspectiva: es deber del Estado defender los derechos fundamentales de los ciudadanos, hasta que los organismos públicos no se tomen en serio este mandato en materia de protección de datos personales, la reforma constitucional no se materializará en más que tinta sobre un papel.

Dispositivos y sistemas: ¿Quién tiene el control?

En medio de señalamientos por no ofrecer pruebas públicas sobre las acusaciones de espionaje y robo de información sensible, en la víspera de negociaciones con China, el gobierno de Estados Unidos incluyó a la Huawei en una lista de entidades que no pueden adquirir productos de empresas estadounidenses. Como era de esperarse, grandes empresas de ese país -así como otras con fuertes intereses en su mercado- anunciaron su corte de relaciones con Huawei, lo interesante de esta situación es entender las implicaciones para la compañía china de estas rupturas y por supuesto: qué implica esto para nosotros como usuarios.

Google como primera empresa importante

Como caso más notable, Google anunció que Huawei no tendría soporte oficial para la implementación de Android en sus dispositivos o acceso a los servicios de Google: como la tienda de aplicaciones oficial Play Store, Gmail, Maps, etc. Sin embargo, eso no afectaría a dispositivos ya vendidos o que estén disponibles para la venta, esto significa que si somos propietarios de un teléfono Huawei no deberíamos sufrir de mayores cambios en el corto plazo.

Los problemas, en este planteamiento, comenzarán cuando Android lance nuevas versiones del sistema operativo o actualizaciones importantes de seguridad; porque aunque ambas estarían disponibles para cualquier empresa independientemente de la relación comercial con Google a través del Android Open Source Project (Proyecto de código abierto de Android o AOSP), generalmente la publicación de estos contenidos se hace con un retraso considerable y la única forma de sortearlo para ofrecer actualizaciones rápidas y efectivas es gozar del soporte directo de Google para implementarlas apenas son anunciadas.

Esto quiere decir que, como primera consecuencia de este corte de relaciones, nuestros teléfonos Huawei seguirán funcionando como siempre pero ahora recibirán actualizaciones de seguridad y versiones nuevas de Android de una forma mucho más lenta de lo usual. Lo anterior puede afectar nuestra seguridad en caso de que se descubra una vulnerabilidad importante en el sistema operativo ya que a pesar de que Google la arregle en corto tiempo, el parche será distribuido a las marcas que reciben soporte oficial en corto tiempo y aquellas como Huawei ahora lo recibirán después; dejando una ventana de tiempo más larga en la cual se puede explotar esta vulnerabilidad en sus dispositivos, afectando a sus usuarios principalmente.

A raíz de esto, Huawei anunció que resolverán este nuevo «bloqueo» trabajando de forma independiente en un nuevo sistema operativo y que tendrán equipos de trabajo dedicados a su desarrollo; sin embargo esto trae muchas preguntas relacionadas a su adopción y funcionamiento: ¿Qué tan compatibles serán las apps Android ya existentes? ¿Cómo se actualizarán las aplicaciones de una forma rápida y segura? ¿Será este sistema operativo muy diferente a Android y se dificultará la adopción por parte de los usuarios? ¿Los desarrolladores se apuntarán en este nuevo ecosistema? Estas son algunas de las interrogantes que podrían definir a Huawei y su relación con los usuarios en el futuro cercano.

El problema no sólo es Android

Independientemente del rompimiento de la relación con Google, Huawei enfrenta otro problema -incluso más grave- ya que también fue bloqueado por otras empresas como Intel, Qualcomm, Broadcom, AMD y más recientemente ARM (entre muchas otras).

Estas empresas, aunque pueden sonar extrañas para muchos, desarrollan componentes que están en la mayoría de nuestros dispositivos: desde computadoras y teléfonos celulares, hasta objetos diseñados para conectarse al Internet de las cosas como relojes inteligentes, electrodomésticos o juguetes. Siendo varias de estas proveedoras directas de Huawei, el primer problema que se le presenta a este último es cómo sustituir estos componentes con otras empresas con las que no tengan problemas.

Aunque algunas soluciones apunten a proveedores chinos o de otros países de Asia, estos fabricantes pueden verse presionados por sus propios intereses en Estados Unidos para no ser proveedores de Huawei e incluso sus tecnologías podrían ser de difícil adaptación a los dispositivos de esta marca; representando una pérdida de tiempo en modificaciones de diseño y líneas de producción de futuros modelos.

Otro problema que se le presenta a Huawei está relacionado con la arquitectura de los procesadores que soportan los dispositivos Android, ya que los proveedores con las tecnologías más punteras en esta área están en la lista de empresas que bloquearon a Huawei; por lo que esta se vería obligada a trabajar con las licencias actuales ya adquiridas -que podrá seguir usando- o a tocar las puertas de fabricantes fuera de Estados Unidos para explorar otras opciones de procesadores, los cuales o son de uso exclusivo de las empresas fabricantes (como el caso de Samsung) o tienen prestaciones menos prometedoras para teléfonos de gama alta (caso Mediatek). En resumen, todo apunta a que en el futuro cercano Huawei tendrá que renunciar a la fabricación de dispositivos de gama alta, abandonando un nicho de mercado en el que estaba incursionando con la promoción de equipos de altas prestaciones y precio.

Lo que estamos aprendiendo

En primer lugar, existe muchísima incertidumbre en cuanto a las verdaderas consecuencias que este tipo de medidas de sanción representarán en el ecosistema de empresas de tecnología y el tema móvil sólo es una pequeña muestra de esta situación. No olvidemos que Huawei también manufactura computadoras personales que serán casi imposibles de desarrollar sin el soporte de Intel y AMD, además hay que recordar que Huawei es uno de los líderes mundiales en equipamiento de redes y tiene una gran presencia de equipos de enrutamiento y redes móviles; incluso siendo uno de los principales impulsores de tecnologías para la implementación de redes 5G. Queda esperar cómo cambiará el panorama de desarrollo y distribución del mercado en estos rubros y cómo afectará a los usuarios.

En cuanto al tema de telefonía móvil y Android, se vislumbran cambios que permitirán a los actuales usuarios de Huawei no perder sus dispositivos y a la empresa seguir vendiéndolos, pero al final termina siendo un juego del gato y el ratón entre un gobierno y una empresa en donde los usuarios están en el medio: a merced de los grandes actores. Esto abre nuevas preguntas a nivel del consumidor: ¿Qué tanta autonomía tenemos sobre nuestros propios equipos? ¿Hasta qué punto son nuestros? o ¿Hasta qué punto obtenemos lo que pagamos? Entre otras.

Por último, queda en evidencia el dominio actual casi absoluto de empresas estadounidenses en el desarrollo de tecnologías en el campo de la telefonía móvil y de computación personal, desde sistemas operativos hasta componentes y licencias. Esto lleva a que a otros actores internacionales, proveedores de tecnología, se vuelvan dependientes de estas empresas; provocando que los eventos que afectan a un sólo país en términos comerciales, terminen afectando a millones de usuarios alrededor del mundo.

USMCA y el futuro de internet

Con la colaboración de Gisela Pérez de Acha

Cuando Donald Trump era apenas precandidato presidencial, con la posibilidad de asumir como titular en la Casa Blanca como algo distante, amenazó con forzar la renegociación del Tratado de Libre Comercio de América del Norte (TLCAN, o NAFTA por sus siglas en inglés), o bien salir del acuerdo. A la vez, calificó al Acuerdo Transpacífico de Cooperación Económica (el tristemente famoso TPP) como una “violación” a su país y anunció que retiraría a Estados Unidos del mismo en su primer día como presidente. Como tantas otras promesas, al principio parecían anuncios sin futuro. Hasta que su improbable elección determinó que ambas cosas efectivamente ocurrieran.

Sin Estados Unidos, el TPP mutó en un acuerdo que excluía, al menos temporalmente, algunas de las peores reglas para una internet libre, aunque manteniendo los privilegios para ciertos intereses del comercio (en perjuicio de los derechos fundamentales y la democracia). Pero la lista de deseos de la gran industria estadounidense de la propiedad intelectual encontraría igualmente en la renegociación del TLCAN un terreno fértil. Gracias a TPP, esas reglas ya estaban escritas y listas para ser impuestas, con un estrecho margen de tiempo para negociar y aprobar bajo el uso actual de autoridad para negociar del gobierno estadounidense. El resultado, el Acuerdo Estados Unidos-México-Canadá (AEUMC, o USMCA por sus siglas en inglés), constituye otro golpe bajo no solamente a los derechos fundamentales y las libertades en internet, sino también a la democracia.

Viejas y nuevas preocupaciones

El listado de temas vinculados a las tecnologías que cubre el AEUMC es vasto, y tal como expresa la Red en Defensa de los Derechos Digitales en su primer análisis, constituye una grave amenaza a los derechos fundamentales desde distintas aristas. Algunas de esas amenazas las conocemos desde el fallido TPP, como también por los acuerdos que han firmado otros países como Chile, Colombia, Panamá, Perú, y los países del DR-CAFTA. Así, otra vez vemos el establecimiento de un plazo mínimo de protección de derechos de autor que va más allá del estándar fijado por el Convenio de Berna, y lo sube hasta 70 años después de la muerte de la autora. Otra vez, la criminalización por la elusión de las medidas tecnológicas de protección (los “candados digitales”) que impiden la reproducción o incluso el mero acceso a una obra, sin suficientes excepciones para permitir usos razonables sin la amenaza de sanción penal.

Por otro lado, el AEUMC innova en términos negativos allí donde otras negociaciones ya ofrecían pocas garantías. El capítulo de Comercio Digital introduce una versión diluida de las exigencias presentes en el nuevo TPP de introducir reglas de protección de la información personal, permitiendo también que esa protección conste en compromisos voluntarios de parte de las empresas.

Pero más gravemente, el AEUMC restringe políticas de localización de datos que podrían usarse para limitar la transferencia de datos personales, y prohíbe las restricciones a las transferencias transfronterizas de datos, dejando serias limitaciones a la capacidad de los países de fijar reglas protectoras de la información personal. Así, algunas de las reglas de las provincias canadienses serían contrarias al acuerdo; e intentos de reforma a nivel federal o estatal en México encontrarían inmediata resistencia si incluyeran restricciones al tráfico de datos personales que puedan tomarse como contrarias al acuerdo, impidiendo mejorar la protección de las personas.

Además, las reglas para la remoción y retiro de contenido infractor de derechos de autor en línea siguen fielmente el nocivo esquema propuesto por el TPP: para que un intermediario de internet no sea corresponsable de la infracción de derechos de autor del contenido que aloja, debe retirarlo previo aviso, pero ese aviso no requiere provenir de una autoridad judicial, sino que basta con el envío del titular de derechos de autor o su representante. En otras palabras, con un aviso privado es suficiente para quitar contenidos supuestamente infractores, de manera expedita, sin intervención previa de una autoridad estatal. El riesgo de una censura masiva de contenidos como la que ya habilita l a DMCA en Estados Unidos, se extiende así a cientos de millones de nuevos usuarios.

México, el gran afectado

Es comprensible que México quiera mantener buenas relaciones comerciales con sus vecinos del norte, entendiendo la interdependencia de sus economías. Pero a la vez, el Gobierno mexicano parece estar cediendo más de la cuenta en materia de derechos digitales para mantener su nivel de acceso al gran mercado norteamericano es demasiado. Algunas de las reglas del AEUMC, tales como las relativas a la notificación y remoción de contenidos en línea, son solamente exigibles a México. Canadá obtuvo una excepción al respecto (tal como en el TPP) y Estados Unidos está exportando las reglas que ya rigen en su territorio, conforme exige el articulado que entrega autoridad de negociación al ejecutivo.

No se trata de concesiones menores, sino del condicionamiento del ejercicio de derechos fundamentales en internet. El apresuramiento, la falta de participación multisectorial y la falta de transparencia, significaron dejar de lado una discusión amplia y profunda justo al final de un Gobierno ya teñido por múltiples polémicas y por no ser capaz de sobreponerse a la actual crisis de derechos humanos en México.

El nuevo gobierno por asumir ya ha dado su apoyo al proceso y al nuevo acuerdo. ¿Quién, entonces, está del lado de las usuarias de internet?

El futuro de la democracia

El AEUMC representa no solamente una fuerte entrega de soberanía por parte de México y Canadá a los intereses de algunas industrias estadounidenses. Es también una capitulación a presiones políticas contingentes, que condiciona fuertemente la posibilidad de un intercambio justo de bienes y servicios entre naciones, por un futuro indefinido. Y dentro de ello, un acto exitoso (hasta ahora) de restricción de los derechos fundamentales en internet para cientos de millones de personas, mediante acuerdo de cúpulas a puertas cerradas.

Mirando más allá de Norteamérica, el AUEMC representa un precedente para el futuro a nivel global. A pesar de las carencias de estudio y debate, de la ausencia de flexibilidad para proteger a las usuarias, y de las falencias de transparencia y participación, el AEUMC puede todavía convertirse en el nuevo estándar al cual países poderosos pueden aspirar en otros foros, tales como la Organización Mundial de Comercio, o la negociación de nuevos tratados.

Es crucial que tanto el Ejecutivo como el Congreso en México asuman su rol, y dispongan de un debate abierto y serio sobre la verdadera necesidad de aprobar un tratado como el AUEMC, poniendo sobre la mesa la posibilidad del rechazo. Cualquier promesa de intercambio de datos o censura en este momento tendrá repercusiones políticas, económicas y sociales de muy largo alcance.

Hacia una justicia penal que hable el lenguaje de internet

«Desafíos de la armonización de la Convención de Budapest en el sistema legal paraguayo» es el título de una publicación realizada por las abogadas Maricarmen Sequera y Marlene Samaniego de la organización paraguaya TEDIC, la quinta en una serie coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología, en relación al cibercrimen y, particularmente, a la adhesión al Convenio de Budapest.

Para el caso Paraguayo, las autoras proponen un análisis crítico sobre la Convención y su armonización en el sistema penal paraguayo, a partir de una revisión jurídica y de entrevistas a los responsables en la aplicación del código penal y procesal penal en Paraguay. Para Sequera y Samaniego, la Convención es un instrumento legal que regulariza los esfuerzos internacionales en la persecución de la conducta delictiva por medios digital, pero a su vez contiene fallas de forma y fondo, a pesar de que a primera vista se observe como una propuesta que garantiza la protección de los derechos humanos.

Es decir, la investigación expone que la Convención genera importantes conflictos de proporcionalidad con relación a la protección del derecho a la privacidad. Por tanto, para la armonización de este instrumento internacional al sistema penal interno, se deberá tomar recaudos en el diseño de investigación para acceder a las evidencias electrónicas, incautación de pruebas a través de sistemas informáticos, retención de datos de tráfico entre otros porque muchas de estas acciones procesales conllevan la violación de la Constitución Nacional paraguaya y los derechos humanos.

Entre otros puntos a destacar, se encuentran los principales hallazgos que se deberán tener en cuenta para la armonización de la Convención:

Los jueces entrevistados del Poder Judicial reconocen que no cuentan con criterios técnicos para evaluar el proceso de incautación de las evidencias digitales solicitadas por el Ministerio Público. Esta situación es grave porque para otorgar autorización judicial, el juez debe analizar si el uso de tecnología es excesiva o no para la investigación penal, sin este proceso no existe salvaguarda de las garantías establecidas en la Constitución Nacional.
El Ministerio público contiene protocolos de tratamientos y acceso a las evidencias, sin embargo no cuenta con protocolos específicos de evidencias digitales.

Por otro lado se encuentra el desconocimiento que tienen los funcionarios de las Unidades de delitos ordinarios del Ministerio Público sobre el rol y los delitos que persigue la Unidad especializada de delitos informáticos. Desde la creación de esta Unidad, hasta la fecha reciben casos ordinarios que tienen como evidencia el uso de tecnología. Este tipo de casos derivados genera retardos en la persecución efectiva del delito, ya que no se determina cual Unidad ser hará responsable para la investigación fiscal.

También existe desconocimiento por parte de la ciudadanía en general sobre las instancias de persecución penal. Se recurre al Ministerio Público para realizar las denuncias delitos realizados a través de internet, sin embargo la mayoría de estas denuncias son de acción penal privada por ejemplo acoso cibernético, bullying, difamación y calumnia entre otros. Esto también genera recarga administrativa a una unidad que actualmente cuenta con dos fiscales para atender a nivel nacional todos los delitos informáticos.

La policía Nacional recibe las denuncias que son etiquetadas como “delitos informáticos” en su sistema. Sin embargo no se distingue si estos delitos se adecuan a la tipificados en el código penal como delitos informáticos o simplemente son delitos ordinarios que tienen como evidencia el uso de tecnología, como por ejemplo los casos de hurto de celulares. La falta de categorización unificada de datos cuantitativos de los delitos informáticos en Paraguay genera riesgos a la hora de elaborar políticas públicas para la mitigación y persecución penal de los mismos.
Paraguay no cuenta con una ley de protección de datos personales, este instrumento legal brindaría garantías y control de la información personal depositada en sistemas de almacenamiento digital, asegurando que personas que lucren sin consentimiento del titular cualquier dato de carácter personal sean llevados a la justicia. Tampoco se puede debatir un proyecto de Retención de Datos sin antes contar con una Ley de Protección de Datos Personales.

Para finalizar, las autoras concluyen que la Convención debería tomarse como una norma modelo a seguir, no como algo para aplicar: por un lado porque no tiene en cuenta la diversidad cultural, política y económica de los países, y por otro lado porque disminuye las barreras de seguridad nacional, entra en conflicto con el interés público y los derechos humanos. Es necesario realizar salvedades para no ceder jurisdicción y la privacidad de forma desproporcionada. Además se debería de priorizar el conocimiento sobre el contenido y alcance del mismo. Debe darse un debate calmo y sereno entre todos los sectores de la sociedad con plena participación ciudadana a nivel nacional y regional, para conjuntamente elaborar una armonización eficaz y que respete los derechos humanos.

También será necesario fortalecer las instituciones penales para una mejor interpretación de la leyes nacionales e internacionales sobre vigilancia de las comunicaciones, dado el avance de las técnicas y tecnologías de vigilancia. Para que los jueces del Poder Judicial realicen un análisis de proporcionalidad de ley o el uso de software malicioso como FinFisher o cualquier forma interpretación de las comunicaciones incluyendo los metadatos, deberán estar capacitados para conocer y justificar su uso, y así evitar negligencias o abusos por parte de los otras Instituciones del sistema penal como SENAD, Policía Nacional o Ministerio Público.

Y por sobre todo desarrollar áreas que permitan contar medios de investigación académica y capacitación para ofrecer respuestas a los delitos con y en las TIC. Así también la promoción de espacios técnicos que permitan a los diferentes actores interactuar e intercambiar experiencias y opiniones. Esto es además una necesidad para el diseño de las políticas públicas en la materia, por los requerimientos técnicos que implica.

***

«Desafíos de la armonización de la Convención de Budapest en el sistema legal paraguayo» es el título de una publicación realizada por las abogadas Maricarmen Sequera y Marlene Samaniego de la organización paraguaya TEDIC, la quinta en una serie coordinada por Derechos Digitales, y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología, en relación al cibercrimen y en particular a la adhesión al Convenio de Budapest.La publicación puede ser descargada aquí.

TEDIC es una organización de la sociedad civil paraguaya cuya misión es promover los principios de una cultura libre y defender los derechos civiles en internet, propiciando espacios de interacción e intercambio de conocimientos y desarrollando herramientas Web con código y diseño abierto, apoyado en un trabajo de comunicación e incidencia alternativa e innovadora.

El Convenio de Budapest en contexto: la seguridad digital como parte de la política criminal

El personal administrativo de una universidad colombiana descubrió un día que todas las notas de sus alumnos habían sido cambiadas a 5, la máxima posible. Todas la notas de todos los programas, el histórico de calificaciones y el promedio semestral. Los encargados de la infraestructura tecnológica de la universidad afirmaron que el atacante conocía bien la forma de funcionamiento del sistema de notas y que están trabajando en colaboración con las autoridades para encontrar al culpable.

Ingresar sin autorización a un sistema informático, como puede ser lo que sucedió en esta universidad, se sanciona en Colombia con penas de 4 a 8 años de prisión. El acceso abusivo a un sistema informático junto con los delitos de obstaculización ilegítima de sistemas o redes, interceptación de datos informáticos, daño informático, uso de software malicioso, violación de datos personales o suplantación de sitios web para capturar datos personales, entre otros, conforma el capítulo de delitos informáticos en el Código Penal Colombiano.

La preocupación por este tipo de conductas también está expresada a nivel internacional. El Convenio de Budapest sobre ciberdelincuencia es un acuerdo entre varios países, principalmente europeos, para buscar un mínimo común entre las diferentes legislaciones en la persecución de conductas que, por su naturaleza transnacional, requieren de la colaboración de las autoridades para su investigación y posterior sanción. Como en el caso de la universidad colombiana, quien quiera que haya cambiado las notas podría haber estado físicamente en cualquier lugar del mundo, y, además, el mismo sistema de notas podría estar en servidores en Estados Unidos o Europa. Por eso las diferentes autoridades que deben investigar estos hechos requieren de un marco normativo que permita la colaboración entre ellas.

Ya que el Convenio de Budapest es un tratado internacional, se requiere que su aprobación se haga por medio de una ley que debe expedir el Congreso, luego ser firmada por el Presidente y que la Corte Constitucional debe revisar para que no haya desacuerdo con la Constitución. Actualmente, el proyecto de Ley para la aprobación del Convenio está siguiendo su proceso en el Senado.

El proyecto estará sometido a los problemas de cualquier otro tratado. Especialmente, es importante hacer notar la poca participación ciudadana que ocurre en la aprobación de tratados internacionales y la tendencia de la Corte Constitucional a rechazar las leyes aprobatorias de tratados por razones formales, y no sustanciales. Sin embargo, de los múltiples contextos en los que se puede discutir los efectos del tratado sobre cibercrimen, es relevante para Colombia pensar este problema en el marco de la política criminal.

La política criminal es “el conjunto de respuestas que un Estado estima necesario adoptar para hacerle frente a conductas consideradas reprochables o causantes de perjuicio social con el fin de garantizar la protección de los intereses esenciales del Estado y de los derechos de los residentes en el territorio bajo su jurisdicción. Dicho conjunto de respuestas puede ser de la más variada índole”. ^[1]

Desde esa perspectiva, el Estado decide que algunas conductas sociales que merecen una respuesta oficial y luego busca las diferentes formas en las que puede concretar dicha respuesta. El objetivo de estas intervenciones es la defensa de los derechos de las personas, por lo cual, en todos los casos, las soluciones deben estar orientadas a ese fin. Sin embargo, el tipo de intervención estatal debe variar de acuerdo al problema social, por lo cual, el derecho penal, es decir, criminalizar una conducta, debe ser visto como un tipo de intervención entre otras.

Como dice la Comisión Asesora de Política Criminal: “un Estado democrático debe minimizar la intervención punitiva, pues si la garantía y protección de los derechos humanos y de los bienes jurídicos fundamentales pueden ser alcanzadas por vías distintas a la penal, como la política social, las políticas preventivas o el uso de mecanismos administrativos de control, entonces es ilegítimo recurrir al instrumento penal. En otras palabras, se trata de que “el derecho penal es de ultima ratio”, es decir, la última herramienta a la que un estado puede recurrir cuando encuentra una conducta que merece una reacción oficial.

Volviendo al Convenio de Budapest, es necesario entonces que su aprobación en Colombia no solo se trate de la simple criminalización de conductas, sino, también, de reflexionar sobre otro tipo de intervenciones que son necesarias para proteger los derechos de las personas en el contexto digital. Si el Estado asume con seriedad el principio según el cual derecho penal es la última reacción posible, es necesario entonces tomar en serio la labor de prevención.

Ante la indeterminación de buena parte de los actores y las motivaciones detrás del cibercrimen, el Estado debe apostar por la ciberseguridad con un enfoque de derechos humanos como una forma de prevención del cibercrimen. Al tiempo, es necesario aclarar la confusión entre ambas y entender que muchas de las conductas que hoy se relacionan con el cibercrimen, en realidad son acciones que fortalecen la seguridad digital y que no pueden ser castigadas de plano.

Teniendo en cuenta esto, algunos problemas que son enfocados dentro del cibercrimen tienen otro significado si se asume, de nuevo, que el derecho penal está reservado para lo más grave y que, por tanto, la prevención de las conductas que se quiere evitar es una mejor alternativa. Uno de estos problemas es la búsqueda y reporte de vulnerabilidades dentro de los sistemas informáticos del gobierno. Desde una perspectiva del derecho penal, esto podría ser un delito. Sin embargo, adoptar esa posición implicaría olvidar el contexto en el que se desarrollan este tipo de reportes.

En Colombia no existe un organismo independiente que pueda atender eficientemente los casos en los que por varias razones se encuentra una vulnerabilidad en los sistemas de información o de infraestructura digital. Actualmente existe el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT), que está dentro del Ministerio de Defensa, el Centro de Operaciones de Seguridad del Comando Conjunto Cibernético de las Fuerzas Armadas (CCOC) y el Centro Cibernético Policial (CCP). Como se ve, estos no son organismos independientes pues hacen parte de la rama del estado encargada de la seguridad y defensa nacional. El trabajo de reporte y solución de vulnerabilidades puede ser dirigido en condiciones de mayor confianza, que descarte el temor a la acción penal por reportar fallas en los sistemas informáticos.

El contexto institucional de la seguridad digital, entonces, es clave para que la prevención del cibercrimen sea una realidad. Este tipo de reflexiones no pueden ser ajenas a la discusión de la aprobación del Convenio de Budapest pues solo criminalizar conductas no es suficiente para solucionar los retos que plantea la seguridad digital para los derechos humanos. La perspectiva de la seguridad digital debe ser privilegiada para pensar estos problemas, en vez de reaccionar con el derecho penal, que es la herramienta más agresiva y quizás menos eficaz cuando no hay una adecuada política de prevención.

^[1]Corte Constitucional de Colombia. Sentencia C-646 de 2001. M.P. Manuel José Cepeda Espinosa. http://www.corteconstitucional.gov.co/relatoria/2001/c-646-01.htm

***

Esta columna fue escrita por Juan Diego Castañeda y es la cuarta de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Fundación Karisma, la investigación se titula «Convenio de Budapest: aplicación en Colombia frente a derechos humanos» y puede ser descargada aquí.

La Fundación Karisma es una organización de la sociedad civil que busca responder a las amenazas y oportunidades que plantea la “tecnología para el desarrollo” al ejercicio de los derechos humanos.

La necesidad de legislar sobre cibercrimen en Panamá

El Networked Readiness Index (NRI) es un indicador producido por el Foro Económico Mundial sobre acceso a las Tecnologías de la Información y comunicación, que busca medir qué tan preparado está un país para afrontar la transición al nuevo mundo, marcado por la convergencia de tecnologías digitales, físicas y biológicas, en lo que algunos economistas denominan “la cuarta revolución industrial”. Según el NRI, Panamá se encuentra en una posición de ventaja frente al resto de países centroamericanos, el uso de las tecnologías es cada vez más frecuente en un creciente espectro de actividades diarias de los ciudadanos.

Sin embargo, el uso de las tecnologías de la información no está necesariamente limitado por la legalidad y, en algunos casos, se está utilizando también para cometer delitos: el creciente acceso a internet y las tecnologías de la información han requerido de la creación de marcos jurídicos que lidien con los delitos cibernéticos, un aspecto que la legislación panameña todavía tiene pendiente de resolver.

Lo interesante es que Panamá fue el segundo país latinoamericano en ratificar el Convenio de Budapest, después de la República Dominicana: La Asamblea Nacional de Panamá aprobó el Convenio sobre la Ciberdelincuencia a través de la Ley 79 del 22 de octubre de 2013; Panamá aprobó el texto del Convenio de Budapest sin reservas ni modificaciones, y depositó el instrumento de adhesión en marzo del 2014 ante la Secretaría del Consejo de Europa.

Al mismo tiempo, Panamá cuenta con institucionalidad en materia de ciberserguridad. En el año 2011 se creó el CSIRT-Panamá (Computer Security Incident Response Team, por sus siglas en inglés) bajo la estructura gubernamental de la Autoridad Nacional para la Innovación Gubernamental, creado a través del Decreto Ejecutivo No.709 del Ministerio de Presidencia. El CSIRT-Panamá es la institución encargada de prevenir e identificar ataques e incidentes de seguridad a los sistemas informáticos de la infraestructura crítica del país.

El Consejo Nacional para la Innovación Gubernamental elaboró y aprobó en 2013, la Estrategia Nacional de Seguridad Cibernética y Protección de Infraestructuras Críticas, esta política establece un conjunto de acciones y procedimientos para mejorar la ciberseguridad, así como proteger las infraestructuras vitales del país.

Panamá investiga los casos de delincuencia cibernética a través de la Unidad de Investigaciones de Delitos Informáticos, dependiente de la Dirección de Investigación Judicial, y a través de la Fiscalía Superior Especializada en Delitos contra la Propiedad Intelectual y Seguridad Informática. Sin embargo, actualmente, el Código Penal vigente únicamente tipifica 2 conductas como delitos informáticos, y no incluye los delitos que se realicen por medios electrónicos. Del artículo 289 al 292 regula los delitos contra la seguridad informática: a) ingresar o utilizar de bases de datos, red o sistemas informáticos; y, b) apoderar, copiar, utilizar o modificar datos en tránsito o contenidos en bases de datos o sistemas informáticos, o interferir, interceptar, obstaculizar o impedir la transmisión.

En ese sentido, Panamá tiene la obligación internacional de adecuar su legislación penal conforme a los estándares regulados en el Convenio de Budapest, lo que implica elaborar reformas al Código Penal y Código Procesal Penal.

Ya se han presentado anteproyectos para la implementación del Convenio de Budapest, sin embargo, el Proyecto de Ley 558 que modifica y adiciona artículos al Código Penal, relacionados al cibercrimen, presentado el 27 de septiembre de 2017, es el que se encuentra más avanzado en la Asamblea Nacional.

Este proyecto de ley carece de una adecuación integral, ya que debería incluir la adopción de nuevos tipos penales más allá de una simple adecuación de tipos penales ya existentes en un entorno cibernético. En materia procesal, este proyecto únicamente incluye un apartado sobre la evidencia digital, sin embargo, no profundiza en otros aspectos procedimentales regulados en el Convenio de Budapest. Esto último dificultaría la adecuada implementación a nivel nacional e internacional de los mecanismos de investigación de ciberdelincuencia, así como el procesamiento de las personas involucradas en estos actos.

Panamá enfrente grandes desafíos en la implementación del Convenio de Budapest, especialmente en la necesidad de crear estándares legales claros para la investigación de ciberdelitos y la falta de capacidades adecuadas en las diferentes instituciones públicas que participan en los procesos de persecución penal y que dificultan los procedimientos internos para la investigación en ciberdelincuencia.

La construcción de políticas públicas y legislaciones, sustantivas y procesales, adecuadas a los estándares internacionales en materia de ciberdelincuencia es una urgencia en Panamá. Las entidades públicas que participan en los procesos de investigación penal y de otros sectores, como el sector privado y la comunidad técnica, deben buscar el desarrollo de capacidades para hacer frente en la lucha contra la ciberdelincuencia.

Una reforma adecuada de este último permitiría que los mecanismos para la investigación penal aseguren la correcta guía y salvaguarda de los derechos humanos y garantías procesales reconocidos por tratados internacionales y la Constitución.

***

Esta columna fue escrita por Sara Fratti y es la tercera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Ipandetec, la investigación se titula “Panamá, un país con la necesidad de una legislación sobre cibercrimen’ y puede ser descargada aquí.

El Instituto Panameño de Derecho y Nuevas Tecnologías (IPANDETEC) es una asociación sin fines de lucro que promueve el uso y regulación de las TICs y la defensa de los derechos humanos en el entorno digital en Panamá y Centroamérica.

El Convenio de Budapest desde una perspectiva de derechos humanos

El Convenio sobre Ciberdelincuencia, mejor conocido como el Convenio de Budapest, es un tratado internacional vinculante en materia penal, que establece herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos. El Convenio nació, como señala su preámbulo, en vista de la necesidad prioritaria de aplicar “una política penal común” entre sus miembros, así como de mejorar la cooperación internacional entre ellos con el fin de “proteger a la sociedad frente a la ciberdelincuencia”.

En función de lo anterior, para abordar la efectividad del mismo o la necesidad de que México se adhiera a él, surge una primer interrogante: ¿qué se debe entender por una “política penal común”? Para atender esta cuestión, habría que recurrir primeramente a la concepción de “derecho penal” en sí misma. Esta suele dividirse en dos aspectos, el derecho penal objetivo, “ius poenale” y el derecho penal subjetivo, “ius puniendi”. Como explica Miguel Polaino Navarrete, el primero refiere al “conjunto de normas públicas que definen determinadas acciones como delitos e imponen las penas correspondientes”. El segundo, a la facultad o potestad del Estado para imponer dichas penas a quienes incurran en estas acciones. El derecho penal, por tanto, resulta ser una atribución única y exclusiva del Estado. Solo a este le compete definir su política penal y sancionar a aquellos ciudadanos que actúen de forma contraria a la misma.

Entonces, la necesidad de aplicar una “política penal común” implica otorgarle a los Estados signatarios del Convenio la facultad de, en términos de su preámbulo, “detectar, investigar y sancionar” aquellas conductas que, de acuerdo a las definiciones establecidas por el mismo Convenio, constituyen actos que ponen en peligro los sistemas, redes y datos informáticos, con el fin de “proteger los intereses legítimos en la utilización y el desarrollo de las tecnologías de la información”. De lo anterior, surge una segunda interrogante: ¿a qué intereses legítimos se refiere el Convenio? ¿Intereses legítimos según quién o para quién? Al tratarse de una potestad exclusiva de los Estados, es claro que la “legitimidad” detrás de los intereses en juego también deberá definirse por estos.

Por tratarse de un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”, o ser el marco de referencia en este sentido, el Convenio incorpora, de manera por demás vaga, amplia y general, las conductas mínimas que cada Estado deberá criminalizar en su derecho interno para combatir este fenómeno. El problema es que no todos los Estados parten de los mismos contextos ni enfrentan los mismos obstáculos. No todos los Estados son igual de democráticos, no todos los Estados son igual de transparentes y no todos los Estados garantizan o priorizan de la misma forma el respeto a los derechos humanos.

El Convenio pretende la implementación de nuevos tipos penales, así como el establecimiento de facultades de investigación más robustas para que los Estados puedan perseguir a los “ciberdelincuentes”. No obstante, el Convenio y sus principales promotores probablemente parten del supuesto de que el país firmante es un país democrático, un país en el que se respeta el Estado de Derecho. También del supuesto común de que son los particulares o los entes privados los principales responsables de la comisión de delitos informáticos. ¿Pero qué pasa cuando se trata de Estados con regímenes poco democráticos y/o poco transparentes? ¿Qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?

Durante la elaboración del Convenio surgieron preocupaciones, sobre todo por parte de la sociedad civil, en torno a que bajo la narrativa de buscar “proteger a la sociedad frente a la ciberdelincuencia”, el instrumento fuera utilizado como fundamento para expandir facultades de vigilancia e implementar restricciones demasiado vagas o ilegítimas al uso de internet y al contenido en línea. De hecho, desde 2001 se han presentado diversas iniciativas por parte de Estados que, operando bajo la misma supuesta línea de querer combatir la “ciberdelincuencia”, pretenden criminalizar y restringir arbitrariamente el derecho a la libertad de expresión en línea.

En México, por ejemplo, se ha documentado que autoridades han utilizado ataques informáticos para invadir la privacidad de defensores de derechos humanos, periodistas y otros actores de la sociedad civil. Según ha sido revelado, el Estado mexicano habría adquirido licencias de un costoso y sofisticado malware de vigilancia que, explotando vulnerabilidades en dispositivos electrónicos, permite al atacante tomar control absoluto del dispositivo con fines de vigilancia. Las investigaciones revelan que dicho malware de vigilancia se habría utilizado en contra de los defensores de derechos humanos, periodistas y otros actores de la sociedad civil de manera presumiblemente ilegal, al no mediar la autorización judicial pertinente, entre otros. Tal nivel de control e intrusión sobre las comunicaciones de una persona constituye una violación grave a su derecho a la libertad de expresión, a la privacidad e incluso, podría derivar en violaciones al derecho a la integridad y a la seguridad personal.

Cabe mencionar que estos hechos también implican la comisión de diversos delitos informáticos conforme al Convenio. Los mismos encuadran dentro de la descripción típica que hace este instrumento de los delitos de acceso ilícito, previsto en el Artículo 2; interceptación ilícita, previsto en el Artículo 3, y abuso de dispositivos, previsto en el Artículo 6, por ejemplo. Incluso, sin necesidad de recurrir al Convenio, esta violación grave implica la comisión de delitos que ya se encontraban tipificados en México, mucho antes de su comisión, como delitos graves.

Partiendo de un contexto como el anterior, ¿sería acorde a los principios y estándares internacionales en materia de derechos humanos el i) imponer la creación de nuevos tipos penales que dejan un amplio margen a la interpretación estatal, así como ii) dotar de mayores facultades de investigación a los Estados, con el fin “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, cuando existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos?

La respuesta más lógica sería que no, al contrario. Resultaría riesgoso otorgar mayores facultades de investigación, vigilancia, retención de datos y persecución de delitos (tipificados de forma todo menos precisa, clara y detallada) a países que, por mencionar un ejemplo, ya figuran entre los principales clientes de empresas de “ciberguerra” , como es el caso de NSO Group y México, los Emiratos Árabes Unidos y Turquía. Países que, se ha demostrado, en vez de recurrir a estas herramientas de “ciberguerra” en pro de la lucha contra el terrorismo y la delincuencia organizada, recurren a estas en contra de sus propios ciudadanos.

La creación del Convenio de Budapest como un intento de armonización en la materia pretendía justificarse a la luz de la complejidad técnica y la necesidad de colaboración internacional para afrontar el fenómeno de la «ciberdelincuencia». Sin embargo, parece ser que a la fecha no se ha abordado lo suficiente el riesgo tangible que implicaría que, con base en el mismo Convenio, bajo el pretexto de “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, Estados con regímenes autoritarios o poco democráticos justifiquen violaciones a derechos humanos e incluso, paradójicamente, mediante el mal uso de las tecnologías de la información y las comunicaciones, cometan delitos informáticos en contra de sus ciudadanos.

En vista de que no se ha otorgado mayor consideración a esta posibilidad ni se ha discutido profundamente la misma, que es por demás factible, cobra fundamental importancia que la sociedad civil participe en los procesos de adopción e implementación del Convenio de aquellos Estados con contextos similares al de México, con altos índices de corrupción e impunidad y bajos niveles de transparencia y rendición de cuentas, que decidan adherirse al mismo. De igual forma, que la misma sociedad civil e incluso la comunidad internacional den especial seguimiento a los instrumentos jurídicos y mecanismos de cooperación que de ello deriven, incluyendo su respectiva aplicación.

Si dichos procesos de implementación, instrumentos jurídicos y mecanismos de cooperación no gozan de las debidas garantías de transparencia, publicidad, objetividad, imparcialidad, legalidad y exacta aplicación de la ley penal, así como de mecanismos suficientes de supervisión independiente y de rendición de cuentas, la efectividad del Convenio para alcanzar su objetivo -proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones- se tornaría lejana. Incluso, contraproducente.

***

Esta columna es la segunda de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de R3D, la publicación se titula «México y el Convenio de Budapest: posibles incompatibilidades» y puede ser descargada aquí.

La Red en Defensa de los Derechos Digitales (R3D) es una organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital.

Una breve historia de la ciberseguridad importada

El día 28 de setiembre, el Poder Ejecutivo de Perú remitió al Congreso de la República los documentos relacionados al Convenio de Budapest con el fin de que sean revisados y puestos en agenda para su ratificación. Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?

Antecedentes

A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.

El ciberespacio, término ambiguo y escurridizo, era un campo nuevo en donde muchas nociones perdían el sentido cuando se trataba de prevenir conductas indeseadas, identificar delitos y perseguirlos. Especialmente las ideas de jurisdicción (quién juzga) y competencia (dónde se juzga) eran insuficientes para combatir, por ejemplo, el fraude bancario perpetrado a través de medios electrónicos. Lo mismo con aquellas conductas sin consecuencias directas en el mundo físico, como la intrusión en servidores informáticos o el hurto de bases de datos.

Los primeros esfuerzos por crear cuerpos legales y mecanismos de respuesta frente a estas amenazas fueron locales. Un ejemplo es la temprana Computer Fraud and Abuse Act (CFAA) aprobada en Estados Unidos en 1986. Sin embargo, por su propia naturaleza, la efectividad de estas medidas estaba limitada al ámbito doméstico y perdieron vigencia cuando el crimen transfronterizo se incrementó, como consecuencia de la masificación de internet y la sofisticación de la tecnología computacional.

En ese contexto y ante la necesidad de crear un marco común de trabajo, el Consejo de Europa tomó la iniciativa en 1995 y creó un comité de expertos en delitos informáticos para producir recomendaciones sobre este tema, lo que llevó eventualmente a la redacción y aprobación del Convenio sobre Ciberdelincuencia, mejor conocido como Convenio de Budapest. Este tratado, consensuado durante más de cinco años, fue aprobado en 2001 y reflejaba no solo las preocupaciones del momento, sino también dos aspiraciones europeas muy concretas: la necesidad de estandarizar los sistemas penales de justicia y, más importante aún, la urgencia de crear mecanismos de cooperación internacional contra la cibercriminalidad.

Pese a que existieron otros esfuerzos paralelos, el éxito del Convenio de Budapest lo ha convertido en una suerte de paradigma en el ámbito de la ciberseguridad. Quizás parte de ese éxito se debe a que este instrumento es fiel reflejo del contexto donde surgió y fue implementado: dentro de un bloque grande de países que compartían una visión similar del desarrollo en términos económicos y culturales. Por ello ha sido desde el inicio un punto de referencia para otros países, razón por la cual varios estados no miembros de la Unión Europea lo han suscrito, como Panamá y Chile.

Pero el Convenio también ha servido para reforzar la idea de que hace falta más control sobre el ciberespacio. Esto ha generado que, junto con las normas penales, se aglutinen también otros intereses y prioridades adyacentes, como la ciberdefensa, la protección de la infraestructura crítica y la seguridad de la información estatal. Todas estas, que comparten entre sí espacios comunes, han terminado casi siempre engarzadas en directrices, estrategias y planes de ciberseguridad de alcance institucional o nacional.

Latinoamérica y el Perú

Este proceso, que en el norte global ha durado décadas, ha sido bastante más corto en otras regiones como América Latina, en donde, luego de la implementación (tardía) de leyes de delitos informáticos o la suscripción del Convenio de Budapest, se ha empezado inmediatamente a trabajar en Planes Nacionales de Ciberseguridad. Muchas veces esto responde no solo a las necesidades apremiantes que produce el crimen globalizado, sino también al hecho de que en muchos casos la organización institucional que soporta el plan se ha tenido que replantear porque la anterior no estaba centralizada, era obsoleta o inexistente.

El escenario latinoamericano en materia de ciberseguridad es particular también porque, pese a que la mayoría de los países poseen una visión económica y cultural más o menos similar, no ha tenido tiempo para generar sus propios procesos ni llegar a consensos a través de organismos regionales, como la Organización de Estados Americanos (OEA). Esto hace que surjan muchas interrogantes con respecto a la forma en que estos procesos se están encarando y en qué medida otros factores como la idiosincrasia, el pasado común y las necesidades particulares están jugando un rol que ayude a diferenciarlos del modelo europeo en lo necesario para lograr un sistema eficiente y verdaderamente útil.

En el caso específico del Perú, decíamos al inicio que el proceso de ratificación del Convenio de Budapest está en su última etapa, a la que se ha llegado luego de muchos años de contar con normas contra los delitos informáticos. Sin embargo, actualmente el escenario no es del todo claro pues durante todo este tiempo no han existido análisis de situación o líneas de base que permitan conocer cuál es el estado de la ciberseguridad en el país y las necesidades locales con respecto a los beneficios que ofrece el Convenio.

Si bien existen reportes internacionales y de sectores muy específicos, e incluso propuestas para crear planes nacionales en torno a la ciberseguridad, ninguna ha profundizado en la problemática peruana. No se conoce lo básico, por ejemplo, qué tipo de delito informático es el más común en el país y quiénes son los principales afectados. Tampoco se sabe cuáles son las urgencias con respecto a la cooperación internacional, teniendo en cuenta que el Perú ya participa de varios foros internacionales relacionados al ciberespacio, a través del PeCERT y la Policía Nacional (Interpol). Menos aún se sabe sobre las amenazas para la Defensa Nacional, si es que existen en realidad más allá de las proyecciones de partes interesadas como vendedores de antivirus o firmas de consultoría en seguridad informática.

Por todo ello, es necesario mirar con ojo crítico la forma en que la adhesión y acondicionamiento al Convenio de Budapest modifica las estructuras que juegan algún rol dentro de la ciberseguridad en nuestro país. En general, es más lo que se debe hacer que lo hay que modificar, pero este proceso debe ser construido sobre evidencia empírica, con participación amplia de diferentes sectores y no simplemente emular modelos que se superpongan a la realidad nacional. Solo así será posible aprovechar este instrumento internacional para mejorar nuestra situación, algo que ciertamente va a tomar mucho más tiempo después que el Convenio se ratifique.

¿Estamos preparados para acometer esa tarea? El tiempo y las acciones de quienes impulsan esta y otras iniciativas lo dirán.

***

Esta columna es la primera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además una serie de investigaciones desarrolladas por las mismas organizaciones. En el caso de Hiperderecho, la publicación se titula «De Budapest al Perú: análisis sobre el proceso de implementación del convenio de ciberdelincuencia. Impacto en el corto, mediano y largo plazo» y puede ser desacargada aquí.

Hiperderecho es una organización civil peruana sin fines de lucro, dedicada a investigar, facilitar el entendimiento público y promover el respeto de los derechos y libertades en entornos digitales.