Se centra en el cumplimiento de las obligaciones de derechos humanos en el contexto digital por parte de Brasil y busca fortalecer recomendaciones enfocadas en la garantía del acceso universal a internet en orden de ejercer la libre expresión y asociación; el acceso a la información, al conocimiento y a la cultura; y el ejercicio de derechos económicos y sociales de manera segura, respetuosa de la privacidad y de la autonomía y libre de cualquier forma de discriminación.
Temática: Privacidad
Instala software libre este fin de semana en FLISoL
Todos los años de manera simultánea en cientos de ciudades de América Latina (en la actualidad, también en varias ciudades europeas) activistas se reúnen para instalar software libre en forma colaborativa. América Latina es una región diversa lo que se ve reflejado en el cada Festival Latinoamericano de Instalación de Software Libre, ya que ninguno es igual a otro. De todas maneras, la consigna es clara: todas las sedes colaboran en la difusión y uso de software libre, principalmente el sistema operativo GNU/Linux, a través de conferencias, talleres y demostraciones.
Una comunidad sin fronteras
FLISoL se creó con dos objetivos principales: promover el software libre en la región e integrar a las comunidades de software libre de América Latina. Los orígenes remontan al año 2003, en Colombia, cuándo se realizó un festival de instalación a nivel nacional. Las personas activistas que organizaron estos eventos en Colombia decidieron expandir la idea a nivel regional. Alejandro Forero, uno de los iniciadores del FLISoL lo explica: “Se esperaba llegar a los países con los que teníamos relaciones y comunicación previamente como Ecuador, Perú, Argentina y Brasil , de hecho creo que nadie imaginó el alcance que se tendría realmente”.
Organizar el evento causó que la gente de una misma ciudad que no se conocía trabaje junta para su realización. Como suele suceder en estos casos, se crearon lazos de amistad, profesionales y de militancia que en muchos casos perduran hasta la fecha. De la misma manera, sucedió a nivel de país cuándo se establecieron los vínculos nacionales para coordinarlo en varias ciudades. Por supuesto, el crecimiento exponencial llevó a establecer vínculos a nivel regional que se fueron fortaleciendo con el tiempo. Los objetivos de juntar a las comunidades de América Latina y difundir el software libre se convirtieron en una realidad que superó las expectativas.
El impacto del FLISoL ha sido a nivel regional, aunque en unos países fue mayor que en otros. En el caso de Ecuador, por ejemplo, la comunidad de software libre era incipiente antes del primer FLISoL comparada con la región. No obstante, a partir de la primera convocatoria un equipo sin articulación previa logró participación en nueve ciudades. El alcance fue tal, que para la tercera edición del FLISoL hasta el presidente del país hablaba de software libre y lo declaraba como política pública.
Han pasado 18 años y la gente que organiza el FLISoL ahora no es la misma que al inicio. Algunas de las personas que lo hacen ahora, eran niños y niñas en esa época. La gente cambió, pero el entusiasmo no y surgieron nuevos retos. En el año 2020 debido a la pandemia, muchos pensaron que no habría FLISoL. En cambio, los entusiasmos por aprender, compartir y enseñar no se iban a ver limitados. El festival también se adaptó a una modalidad virtual, con una ventaja que la integración ya no fue con la gente de cada ciudad sino con toda la región. Hoy en el 2022 existen sedes que organizan el FLISoL de forma presencial, otras de manera telemática y hay las que combinan ambas modalidades.
Apropiarse de la tecnología
En estos 18 años el software libre pasó de ser un tipo de tecnología utilizada por poca a gente a ser el concreto y el acero sobre lo que se construye internet. Las grandes plataformas, la mayoría de celulares Android y gran parte de sitios web funcionan con software libre. El FLISoL es parte importante de este movimiento y es una oportunidad para no desperdiciar perder, más aún con tantas posibilidades de participar desde casa. Si quieres conocer más sobre las actividades ingresa a la wiki del FLISoL y busca tu ciudad.
El software libre permite tener control sobre la tecnología y permite que cualquier persona que tenga una computadora conectada a Internet con una IP pública pueda tener su espacio propio en Internet. Los primeros FLISOL es se organizaban con plataformas tecnológicas autogestionadas con software libre. La principal fuente de comunicación eran listas de correos para organizarse, una wiki donde de carga de la información y canales de chat por IRC para las reuniones virtuales.
En el año 2006, antes de que existan plataformas como Ustream y mucho antes de que Youtube o Facebook permitan hacer streaming en tiempo real con video, varias charlas del FLISoL se transmitían en vivo y con video gracias al software libre y activistas que se apropiaron de la tecnología. No fue tarea fácil, pero lograr algo nuevo y desconocido es fuente de enrome satisfacción.
El tiempo pasó y aparecieron nuevas tecnologías que, si bien funcionan con software libre, no son libres y no brindan autonomía. Las listas de correo se han ido remplazando por Telegram, que, si bien la aplicación que se instala en el teléfono es libre, el funcionamiento del servidor no lo es. En general para organizar las conferencias se utilizan herramientas libres como Jitsi o Big Blue Button, pero el streaming se lo suele hacer a través de Youtube. Sería muy bueno que el FLISoL también empiece a utilizar herramientas libres para su organización.
Charlas de Derechos Digitales en FLISOL
En este momento ya se han organizado varias actividades relacionadas con el FLISOL. Por ejemplo, desde Derechos Digitales hemos participado en el pre-FLISoL de Bolivia con la charla: “Matrix Chat Seguro, Autónomo y Federado para Organizaciones”. El viernes 22, en FLISoL de Latacunga de Ecuador, tambíén conversamos sobre nuestra experiencia migración a Matrix. En ambas instancias compartimos nuestra experiencia migrando nuestra plataforma de chat a un sistema libre, seguro descentralizado y autónomo.
El sábado 23 de abril reiteramos participación en FLISoL de Bogotá a las 9hs. (GMT -5).
Derechos fundamentales en la nueva constitución para la era digital: Percepciones de la ciudadanía
Esta investigación describe las principales expectativas y preocupaciones de la ciudadanía respecto del ejercicio de derechos en entornos digitales, en el marco del proceso constituyente en Chile.
Las ruedas que mueven al mundo: el futuro tratado de “ciberdelincuencia” de las Naciones Unidas
En diciembre de 2019, la Asamblea General de la ONU adoptó una resolución (A/RES/74/247) para crear un Comité Especial encargado de elaborar una “Convención internacional integral sobre la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos”, coloquialmente conocido como el “Comité Ad Hoc”. La primera sesión, programada para fines de 2021, tuvo que posponerse debido al aumento de casos de Covid-19. Finalmente, sesionó en régimen híbrido en febrero de 2022 en Nueva York. Unos días después en Viena, tuvo lugar la primera reunión inter sesiones, con el objetivo de escuchar y consultar a diversos actores y personas expertas de los Estados miembro.
Meses atrás, más de 130 de organizaciones de la sociedad civil y referentes de todo el mundo expresamos nuestra preocupación sobre este proceso. En esta columna —una vez transcurrida la primera sesión, ante un escenario internacional marcado por la guerra— presentamos las principales discusiones de ambas sesiones.
Incertidumbres geopolíticas, formas de participación y organización del trabajo
Uno de los puntos más repetidos en la primera sesión fue un tema que no estaba en la agenda formal a los inicios: el ataque de Rusia a Ucrania, junto con el llamado al cese de la agresión por varios Estados. Se esperaba que Rusia estuviera en el centro de atención, pero no por la guerra: fue una de las naciones que propuso la iniciativa de crear el Comité. Además, durante en junio de 2021 la Federación Rusa presentó un borrador completo de tratado. Las expectativas respecto a su protagonismo de eran altas, lo que finalmente no sucedió.
Por parte de la sociedad civil, organizaciones como Derechos Digitales, Privacy International, Human Rights Watch, Global Partners Digital y Electronic Frontier Foundation aportaron comentarios generales sobre las aspiraciones para este proceso. Muchas de las declaraciones enfatizaron los puntos planteados en una carta firmada por más de 130 organizaciones de la sociedad civil y personas expertas, dirigida a la presidenta del Comité Ad Hoc. Allí, se demandó respeto a las garantías de derechos humanos dados los antecedentes y el uso generalizado de las normas nacionales de “ciberdelincuencia” contra disidentes políticos, activistas y periodistas. También, que el Comité considerara un alcance objetivo sobre las disposiciones penales sustantivas y garantías procesales penales en las investigaciones. No fue menor la presencia de organizaciones intergubernamentales, como Interpol, que participó activamente en las discusiones.
La modalidad de trabajo en las siguientes sesiones y la participación de distintos sectores fue discutida. En síntesis, habrá seis sesiones de discusión sustantiva alternando entre Nueva York y Viena, con consultas a múltiples partes interesadas en reuniones especiales entre las sesiones. Las contribuciones escritas pueden ser enviadas al Comité para su difusión en un sitio web específico. La segunda sesión, tendrá lugar en Viena del 20 de mayo al 10 de junio de 2022. Allí se discutirán aspectos como la estructura que adoptará el futuro convenio, sus objetivos y alcance.
“No reinventemos la rueda”
Los efectos de la pandemia estuvieron presentes en el discurso de varios Estados para enfatizar el aumento de los riesgos de ciberdelincuencia y los impactos estructurales que se produjeron en la comunicación así como en el uso de las diferentes tecnologías.
Por otro lado, se repitió la idea que la nueva convención no debería crear cosas desde cero, cuando existen ya otros esfuerzos y tratados en materias idénticas o similares. La expresión que “no hay que reinventar la rueda” fue repetida por representantes de Suiza, Reino Unido, Marruecos, Australia y el representante de la Unión Europea. En sus declaraciones enfatizaron que ya existen tratados que deben ser tomados en cuenta para la estructuración de este nuevo, aclarando cuestiones de lenguaje, y señalando la necesidad de armonización entre los tratados internacionales y las posibles soluciones.
En el ámbito de las Naciones Unidas, la Convención contra la Corrupción (UNCAC) y la Convención contra la Delincuencia Organizada Transnacional (UNTOC) fueron las convenciones más citadas como ejemplo, además del Grupo Intergubernamental de Expertos en Ciberdelincuencia (IEG-Cybercrime). A nivel internacional y regional, se hizo referencia al Convenio de Budapest, abierto a la firma por el Consejo de Europa en noviembre de 2001, y con cada vez más adhesiones en América Latina, junto con sus protocolos adicionales, y el Convenio de la Unión Africana sobre Ciberseguridad y Protección de Datos Personales. Todos fueron citados como ejemplos a seguir tanto en su contenido sustantivo como en relación a los mecanismos de observación y cooperación.
Falta de consenso sobre lo esencial: derechos humanos y salvaguardias
A pesar de las referencias los tratados y documentos internacionales, quedó claro que todavía hay una falta de consenso sobre qué es el delito cibernético. Cuando se discutió este tema específico en la primera sesión, con base a un documento previamente preparado por la secretaría y la presidencia del Comité, fueron objeto de desacuerdo dos puntos. El primero, respecto a cómo debe abordarse la soberanía de los Estados y el segundo, relativo a la inclusión de los derechos humanos en el tratado.
No hay forma de pensar un futuro tratado sobre ciberdelincuencia sin respeto por los derechos humanos. Durante años, la sociedad civil y las organizaciones internacionales han brindado ejemplos de casos nacionales en los que la amplitud y vaguedad de las leyes sobre delitos cibernéticos se utiliza con fines de persecución. En cambio, varios Estados pidieron la palabra para decir que esto “no sería un tratado de derechos humanos, sino que el foco debería estar solo en los ciberdelitos”, como si eso fuera posible.
Siguiendo una posición más protectora de los derechos humanos, la representante de Australia resaltó que “no debe haber dudas sobre el tema, ya que la discusión debe ser el lugar más estratégico para determinar el respeto a los derechos humanos, si se quiere hacer una referencia amplia como un principio general y propósito del tratado, o bien haciendo referencias específicas en cada sección o punto”.
La segunda sesión: tipificación y medidas procesales penales
Dos puntos fundamentales del tratado serán discutidos en mayo, en la segunda sesión del Comité en Viena: la definición respecto a qué delitos se incluirán en el futuro tratado y cómo tratar las medidas procesales penales.
El primer punto despierta fuerte disenso. Un eventual tratado debería centrarse en los “delitos cibernéticos por esencia”, esto es, un “conjunto restringido de delitos inherentes al ciberespacio”, como fue descrito por la Oficina del Alto Comisionado para los Derechos Humanos en enero 2022. En este sentido, resulta excesiva la criminalización de las tecnologías de protección de la privacidad y el anonimato, como las redes privadas virtuales o VPN y el uso de herramientas de cifrado, lo que afecta a todas las personas que utilizan estas tecnologías para defender su privacidad y luchar contra la vigilancia. El cifrado y el anonimato permiten a las personas ejercer sus derechos humanos en la era digital y, según el relator especial para la libertad de expresión David Kaye, “merecen una fuerte protección”.
Del mismo modo, existe un gran riesgo para los derechos humanos cuando las leyes nacionales definen los delitos de manera vaga y amplia, permitiendo que conductas inocuas sean incluidas en catálogos de ciberdelitos, facilitando la persecución selectiva y el uso de la persecución penal como mecanismo de censura.
Asimismo, existe un gran riesgo cuando se propone incluir en este tratado los delitos relacionados al contenido (speech-related crimes) imponiendo así restricciones indebidas a la libertad de expresión. Como bien defendía Artículo 19 en el panel de la primera reunión, la tipificación genérica de la desinformación, el discurso de odio o la afectación de la moral “no respeta los derechos humanos, ya que no pasan la prueba tripartita de finalidad legítima, necesidad y proporcionalidad”. En general, las leyes nacionales sobre delitos cibernéticos que incluyen delitos de contenido se utilizan para encarcelar a quienes critican a las autoridades o las voces disidentes, o incluso para bloquear plataformas enteras.
La segunda gran área de debate es la relacionada con la forma en que se investigan los ciberdelitos, incluida la recolección de evidencia y la cooperación con los entes persecutores. La discusión sobre cuáles serían las medidas procesales adecuadas no puede precipitarse. Tales medidas no pueden ser amplias y deben ser estrictamente respetuosas de las garantías de derechos humanos, especialmente los principios de legalidad, necesidad y proporcionalidad. Es necesario recordar que existe un gran riesgo de cibervigilancia masiva, falta de transparencia y rendición de cuentas al solicitar medidas procesales penales irrestrictas para obtener pruebas y acuerdos mutuos de intercambio de datos entre entes estatales.
¿Qué viene ahora?
Con las contribuciones escritas más claras y objetivamente definidas por los Estados (deberán ser enviadas el 8 de abril) y con las discusiones que tendrán lugar en la próxima sesión de discusión en Viena, podremos conocer el nivel de acuerdo sobre los temas fundamentales del futuro tratado.
Desde que se inventó la rueda en el siglo III a.c., esta ha transitado actualizaciones, cambios y nuevos usos. Reinventar la rueda no es uno de los objetivos del Comité Ad Hoc: se encuentra con un desafío más vigente y complejo. El ámbito digital es una de las ruedas que mueve al mundo actual y nos exige el desarrollo de nuevos consensos. En este caso, la difícil tarea de definir sobre qué y cómo combatir el ciberdelito a nivel global sin atentar contra los derechos humanos.
Sistema Nacional de Empleo y la gestión automatizada de la desocupación laboral en Brasil
Coronavirus UY y la tecnología como solución a la pandemia en Uruguay
Declaración de Derechos Digitales durante la primera sesión del Comité Especial encargado de Elaborar una Convención Internacional Integral sobre la Lucha contra la Utilización de las Tecnologías de la Información y las Comunicaciones con Fines Delictivos
1 de marzo de 2022
Costa Rica: elecciones entre denuncias, violación de datos personales y reformas de ley insuficientes
El próximo 3 de abril se realizará la segunda vuelta presidencial en Costa Rica. El electorado elegirá al nuevo presidente entre José María Figueres, candidato del histórico Partido Liberación Nacional y ex presidente de la nación, y el oficialista Rodrigo Chaves, ex ministro de Hacienda e integrante del Partido Progreso Social Democrático. En un escenario convulsionado por las elecciones, uno de los temas más polémicos es la protección de datos personales. Varias organizaciones sociales se han reunido con los candidatos para conocer sus iniciativas en la materia.
Costa Rica fue uno de los primeros países de la región en aprobar una legislación en materia de datos personales, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, promulgada en 2011. Sin embargo, durante la última década la normativa se ha mantenido inalterada, pese a diferentes iniciativas de reforma que no prosperaron.
No solo eso. Los dos últimos años han estado marcados por varios casos de muy alto perfil relacionados con la violación de la intimidad y de la privacidad de las y los costarricenses, que involucran al actual presidente, Carlos Alvarado.
La UPAD (Unidad Presidencial de Análisis de Datos) fue una iniciativa creada por el presidente Alvarado con el objetivo de ayudar a la toma de decisiones en materias tales como el diseño de políticas públicas y los presupuestos institucionales. Funcionó durante un año y medio en la Casa Presidencial, sin contar con aval del Ministerio de Planificación y sin que trascendiera públicamente su existencia.
Durante su funcionamiento, la UPAD tuvo acceso a información sensible de diversas entidades públicas como la Dirección General de Migración y Extranjeria Ministerio de Educación o Instituto Nacional de Estadísticas y Censo. Sin embargo, su trayectoria fue breve. El repudio general que produjo la noticia de que la Unidad manejaba datos confidenciales de los y las costarricenses tuvo como resultado la derogación del artículo que habilitó la creación de UPAD y su posterior desmantelación, en febrero de 2020.
El acceso discrecional de la presidencia a datos confidenciales llegó a ser calificada como “terrorismo de estado” por el Secretario General de la Asociación Nacional de Empleados Públicos y Privados, Albino Vargas, y los diputados opositores a Alvarado manifestaron que UPAD es una iniciativa “ilegal, inconstitucional y un abuso de poder”. Las irregularidades en su creación, la falta de transparencia en el manejo de datos y diferentes denuncias recibidas llevaron al inicio de investigaciones por parte de la Fiscalía, la Defensoría de los Habitantes y la Cámara de Diputados.
Debido a la gravedad de los hechos, la Fiscalía de Costa Rica ordenó allanar la casa presidencial y levantó acusaciones por los presuntos delitos de prevaricato (dictar resoluciones contrarias a la ley), fraude y abuso de autoridad contra Alvarado y otros siete funcionarios del Gobierno. Concretamente, la Fiscalía considera que bajo el mando de Alvarado, la UPAD violó el artículo 14 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, que prohíbe la transferencia de datos personales sin mediar el consentimiento, así como el artículo 40 del Reglamento de esa ley; y la Ley de Registro, Examen y Secuestro de Documentos Privados e Intervención de Comunicaciones.
En su comparecencia frente a una Comisión Especial de la Asamblea Legislativa, en febrero de 2021, Alvarado declaró: “Finalizo esta jornada con la paz y tranquilidad de que hoy le rendí cuentas a las y los costarricenses y que lo dicho es la verdad: nadie espió a nadie, nadie se robó plata, nadie vendió información”. Los delitos de los que se acusan al presidente y sus asesores se contemplan en el Código Penal, con penas que oscilan entre los tres meses y seis años de cárcel.
En medio de este escándalo, lo que suceda este año será crucial para el futuro de la protección de datos en Costa Rica. UPAD no es el único proyecto relevante en la materia. Actualmente existen diversas iniciativas en discusión.
El Proyecto de Repositorio de Datos Biométricos propone centralizar en el Tribunal Supremo de Elecciones (TSE) la recolección y tratamiento de datos biométricos de toda la población. De esta manera, la Policía, el Ministerio Público, el Organismo de Investigación Judicial y la Dirección General de Migración podrían acceder a estos datos sin orden ni intervención judicial. Este proyecto prevé que se comercialice un módulo de consulta de datos biométricos, lo que convertiría a Costa Rica en el primer país del mundo en comercializar libremente datos biométricos de su población, incluyendo a menores de edad y turistas. La iniciativa fue dictaminada de manera unánime por la Comisión de Gobierno y Administración en octubre de 2021.
Además, la Dirección de Migración lanzará en el primer trimestre de 2022 un nuevo pasaporte que incorpora un sistema inteligente de datos biométricos. El pasaporte incluirá un chip con la biometría del rostro y las huellas dactilares de todas las personas con documento costarricense. Frente a esta iniciativa, la Fundación Privacidad y Datos presentó un recurso de amparo, pues considera que Migración y Extranjería no resolvió adecuadamente una serie de consultas que fueran realizadas sobre respecto al nuevo pasaporte. Además, sostienen que el proyecto no respeta el marco jurídico, ya que el tratamiento de datos biométricos solo puede darse mediante una ley habilitante, y esta ley no existe.
Asimismo, la Dirección de Migración no ha explicado las medidas de seguridad que dispondrá para que los datos se encuentren seguros en sus servidores. Como si fuera poco, dicho organismo indicó que no descarta compartir esos datos con fuerzas policiales, e incluso con otros países, sin que exista ninguna norma que regule su utilización.
Por último, una propuesta de reforma a la Ley de Protección de Datos Personales. Actualmente existe un proyecto impulsado por el Partido Acción Ciudadana, cuyo objetivo es reformar el marco regulador de la protección de datos en el país, incluyendo el funcionamiento de la Agencia de Protección de Datos Personales. Sin embargo, organizaciones sociales plantean que no se trata de una reforma integral, sino que de la misma ley actual con algunos agregados y conceptos actualizados. Sin embargo, manifiestan que el proyecto se perfila como un primer paso que podría admitir mejoras para una mayor seguridad jurídica.
Los principales problemas del proyecto son que no prevé sanciones relevantes cuando es el propio Estado quien incumple la legislación. También plantea la posibilidad de que los organismos públicos intercambien datos personales de la población teniendo como único requisito la firma de convenios institucionales.
Con motivo de la celebración del Día Internacional de la Protección de datos, Daniel Rodríguez, director ejecutivo de la Fundación Privacidad y Datos manifestó que en “Costa Rica, el reto más importante que enfrentamos es actualizar nuestra legislación en la materia. Tenemos, cuando menos, diez años de retraso en este tema y el precio que pagamos por cada día que pasa sin una nueva ley, es muy alto”.
#NoAlPadrón: México frente a una abusiva reglamentación para el uso de celulares
En una sesión con poca participación y sin discusión, en abril de 2021, se decidió que 88 millones de personas en México deben proporcionar sus datos biométricos a una base para acceder a la telefonía móvil. Allí, fue aprobada una reforma a la Ley Federal de Telecomunicaciones y Radiodifusión para determinar la creación por parte del Instituto Federal de Telecomunicaciones (INT) donde esta nueva base de datos obligatoria denominada Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT).
También ordenó a las concesionarias de telecomunicaciones recopilar e incorporar esta información en la base de datos del PANAUT, que contaría con al menos diez tipos de datos personales, entre los cuales se encuentran: nombre completo, nacionalidad, número de identificación oficial con fotografía o Clave Única de Registro de Población, además de los datos biométricos de quien sea titular.
Aunque en los discursos se defiende como “herramienta para combatir la extorsión y el secuestro por parte del crimen organizado”, existen varios problemas relacionados con los derechos humanos. Luego de cuestionamientos judiciales, la definición del caso ahora está en manos de la Suprema Corte de Justicia de México (SCJN).
Disputa judicial contra “El padrón” mexicano
A pesar de lo señalado por la sociedad civil y otras instituciones con motivo de la creación de este tipo de bases de datos, y la obligatoriedad de un tratamiento específico para los datos sensibles, la iniciativa de creación del PANAUT fue aprobada en el Senado mexicano por 56 votos a favor, 52 en contra y 7 abstenciones. Desde el principio, este cambio legislativo dio lugar a una oleada de juicios individuales, conocidos en el ámbito jurídico como amparos.
Sumado a los casos individuales, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) —órgano constitucional autónomo encargado de la protección de datos personales— interpuso una acción de inconstitucionalidad ante la SCJN en México en mayo de 2021. Dicha acción se tramita junto con otra sobre el mismo tema, propuesta por un tercio de del Senado. La base constitucional del caso es la garantía para que los datos personales tengan máxima protección y seguridad, según el artículo 16 de la Constitución mexicana, agregado en una reforma en 2009. La instalación de esta base de datos obligatoria fue suspendida por medio de una medida cautelar, otorgada por la ministra Norma Piño, y ratificada en junio de 2021 por los demás magistrados de la primera sección de la SCJN.
Inclusión abusiva de datos biométricos
PANAUT es una base de datos que tiene como único objetivo, según su decreto, “colaborar con las autoridades competentes en materia de seguridad y justicia en materias relacionadas con la comisión de delitos” (art. 180, Bis). Pero para eso determina una recolección masiva de datos ya que, como fue mencionado, se calculan 88 millones de personas usuarias de celulares en México.
Asimismo, se recopilarán datos sensibles como la biometría. Aquí tenemos un concepto clave. La “Guía para el tratamiento de datos biométricos” del INAI dice que los datos biométricos son datos que se refieren a “propiedades físicas, fisiológicas, de comportamiento o de personalidad, atribuibles a una sola persona y que son medibles”. Algunos ejemplos son las huellas dactilares, y el reconocimiento facial, de retina e iris. Por consecuencia, pueden caracterizarse como datos sensibles, ya que refieren a la esfera más íntima de las personas y su uso indebido puede dar lugar a discriminación y suponer un gran riesgo.
Incumple tratados internacionales asumidos por el Estado
La creación de este tipo de bases de datos obligatorias, sin análisis de impacto y con total ausencia de mecanismos de control, traen consigo graves amenazas para los derechos humanos. Infringe la privacidad, el principio de inocencia y pone en peligro la vida de las personas. La protección de la privacidad y de los datos personales se encuentran previstos en la Constitución mexicana, así como en otros instrumentos internacionales que Estado mexicano adhiere, tales como la Convención Americana sobre Derechos Humanos (Pacto de San José de Costa Rica) y el Pacto Internacional de Derechos Civiles y Políticos.
La creación de un PANAUT obligatorio no pasa en el test de proporcionalidad, de contar con un fin constitucionalmente válido, o que la medida sea idónea para satisfacer el fin definido en la constitución. Además, que no existen medidas alternativas igualmente idóneas para lograr el mismo fin y que sean menos perjudiciales para la ciudadanía. Un simple ejemplo práctico: quienes realmente tengan intención de usar celulares con fines delictivos podrían simplemente robar el celular de alguien o comprar una tarjeta SIM en otro país donde el roaming es gratuito, como es el caso de México y Estados Unidos.
Así pues, el acceso a la base de datos podría ser solicitado por varias instituciones policiales y de investigación, sin ninguna garantía para la ciudadanía. Tales solicitudes se harían directo al IFT, sin ningún control del Poder Judicial en cuanto al propósito específico, qué datos se requerían, e incluso, si existía una investigación en curso. Como si fuera poco, los casos de filtración indebida de datos personales por parte del gobierno son ampliamente conocidos, no solo en México, sino en varios otros países de la región. Este factor aumenta el riesgo de quien sea titular de los datos, ya que al ser confidenciales pueden filtrarse y causar daños graves.
Restringe en forma indebida al acceso a internet
Como si estas vulneraciones no fueran suficientes, la obligación de proporcionar datos biométricos de manera masiva para fines de investigación criminal es una restricción indebida en el acceso a tecnologías tan importantes en la actualidad. El acceso a internet propicia el ejercicio de varios otros derechos como el acceso a la información, la libertad de expresión e incluso derechos económicos, sociales y culturales. En México, como en casi toda Latinoamérica, la población accede a internet mayoritariamente a través de teléfonos celulares. Alrededor de 80 millones de personas acceden a internet a través de su celular.
Así, para gran parte de la población, el ejercicio del derecho de acceso a internet estaría indebidamente condicionado a renunciar a sus datos personales y biométricos a una base de datos utilizada para la persecución penal, sin garantías mínimas de seguridad, control de acceso, transparencia y rendición de cuentas.
Más defensas frente al tecno-autoritarismo: el INAI y la participación popular
El caso resulta muy interesante porque demuestra cuán necesario es contar con instituciones serias e independientes para la protección de datos personales. El INAI es un instituto que, además de ser encargado de proteger los datos de la ciudadanía, también tiene legitimidad para impugnar la constitucionalidad de leyes que vulneren la protección de datos personales. El caso PANAUT demuestra que el cuerpo legislativo no escuchó adecuadamente a la institución que tiene la función de protección de datos.
Asimismo, demuestra que la sociedad civil organizada en México y otros países de la región, juega un papel importante en la colaboración de las discusiones legislativas y participa activamente en los debates ante el Poder Judicial. Más de diez organizaciones de la sociedad civil, incluida Derechos Digitales, presentaron una petición de amicus curiae solicitando participar en el caso. Se señalaron los riesgos y violaciones a los derechos humanos ocurridos, concluyendo que la creación del PANAUT fue inconstitucional. Varias organizaciones, tales como R3D, han estado participando activamente en el caso desde su inicio.
En una carta dirigida a los ministros de la Corte Suprema, fue solicitada la publicación de los proyectos de resolución del caso, siguiendo lo que normalmente se hace en los casos de amparo, para que haya mayor transparencia.
Un precedente relevante en la garantía de los derechos humanos
Como vemos en otros países de la región y del mundo, los gobiernos insisten cada vez más en establecer y aumentar las bases de datos obligatorias, principalmente relacionadas con la recopilación de datos biométricos. Presumiblemente, el propósito sería «combatir el crimen». Sin embargo, tales medidas no solo son ineficientes: exponen más a ciudadanos y ciudadanas, disminuyen los derechos a la privacidad y al acceso a internet, a la presunción de inocencia y la libertad de expresión.
La SCJN de México tiene en sus manos una gran oportunidad para sentar precedente en América Latina para enunciar, de una vez por todas, que no se admitirán las vulneraciones masivas de derechos humanos a través de iniciativas tecno-autoritarias.
Las reformas legales en El Salvador: un gran retroceso en los derechos humanos y el Estado democrático
La Asamblea Legislativa de El Salvador ha aprobado una serie de reformas al Código Procesal Penal y a la Ley de Delitos Informáticos y Conexos, con las que se modifican los parámetros para que ciertas conductas se tipifiquen como ciberdelitos, además de incluir nuevas medidas intrusivas para su investigación. Las reformas al Código Procesal Penal están pendientes de sanción presidencial.
La ambigüedad, imprecisión y amplitud de las reformas puede favorecer el abuso y la criminalización de actividades en ejercicio legítimo de derechos, así como poner en riesgo la privacidad y la libertad de expresión en el país, con graves consecuencias para su democracia. En un contexto en que hemos conocido situaciones de vulneración grave de derechos mediante la instalación de malware para la vigilancia de activistas y periodistas, cualquier reforma legislativa debe apuntar a mejorar las garantías de protección, defensa, debido proceso y acceso a la información y no aumentar las capacidades estatales para perseguir actividades legítimas mediante la vigilancia.
Por un lado, las reformas a la Ley de Delitos Informáticos y Conexos son imprecisas y deficientes en técnica legislativa. Uno de los artículos criminalizaría la mera obtención y transferencia de información considerada confidencial (artículo 25), estableciendo una sanción de 5 a 8 años de prisión. La medida pone en riesgo el ejercicio periodístico, la libertad de expresión, así como la protección de empleados de gobierno qué revelan irregularidades en el gobierno. Siendo habitual la carencia de información pública por parte del Estado, la utilización de fuentes anónimas e informantes es una práctica necesaria para favorecer la rendición de cuentas y el debate público. Además, sin ningún tipo de especificación o contrapesos, una medida así puede ser utilizada de manera maliciosa para criminalizar denuncias de corrupción, generando auto-censura y agravando un ambiente ya marcado por la persecución contra periodistas que intentan investigar temas de corrupción o gastos públicos.
Por otra parte, las reformas al Código Procesal Penal legalizan el empleo de técnicas de investigación y operaciones encubiertas invasivas a la privacidad y al derecho a la protección de datos personales, con la creación de una figura de “agente encubierto digital” y la autorización de uso de herramientas de extracción de información. De acuerdo al texto aprobado (artículo 259-D), las operaciones encubiertas digitales estarían a cargo de la policía y serían autorizadas previamente por el Fiscal General de la República no sería necesaria una orden judicial para este tipo de operación que podrían aplicarse a cualquier delito, sin importar su gravedad. La ley tampoco define el alcance y los límites de la intrusión, contrariando los criterios de necesidad y proporcionalidad establecidos por el Sistema Interamericano de Derechos Humanos en materia de intervención en comunicaciones privadas. No se establecen auditorías o controles para la actuación del agente encubierto digital o para las herramientas que podrían utilizarse para la vigilancia y extracción de información de la “evidencia digital”.
Además, en el procedimiento de registro de cadena de custodia e incorporación, producción, admisión y valoración de evidencia digital, se establecen reglas alejadas de estándares internacionales, para el manejo de la evidencia, tal como los “RFC 3227 Guidelines for Evidence Collection and Archiving”. Finalmente, la norma permitiría de manera amplia que el Ministerio Público solicite medidas cautelares al juez competente, consistente en el bloqueo de sitios, redes sociales y plataformas digitales de cualquier persona natural o jurídica en la fase de instrucción del proceso penal, sin hacer referencia expresa al deber de ponderar la necesidad o proporcionalidad de esa medida en casos concretos.
Por otra parte, son preocupantes las discusiones actuales para reformar la Ley de Acceso a la Información Pública para que la entrega o difusión de información reservada o confidencial, sea considerada una infracción muy grave, que recaiga también sobre particulares.
Desde nuestro rol como sociedad civil, vemos con preocupación los riesgos que corre la libertad de expresión en El Salvador, al legalizar y normalizar la vigilancia estatal y ampliar los poderes de investigación penal del ministerio público sin claras restricciones y en agravio al test tripartido de necesidad, proporcionalidad y legalidad consagrado en el Sistema Interamericano de Derechos Humanos.
No podemos dejar de señalar que, para dictar normas de esta naturaleza, es necesaria una discusión amplia con todos los sectores de la sociedad civil, que será la destinataria de leyes que pueden afectar sus derechos; así como también debe incorporar la opinión de expertos en la materia, cosa que no ha sido posible verificar en el caso de las reformas aprobadas.
Por todo lo anterior:
- Llamamos al presidente de la República de El Salvador a no sancionar las reformas al Código Procesal Penal, ya que no garantizan el respeto de los derechos humanos de sus ciudadanos. Instamos a que las reformas sean devueltas a sede legislativa, que se realice un análisis especializado de estas propuestas a la luz de las obligaciones de El Salvador en materia del Derecho Internacional de los Derechos Humanos, y que la discusión sobre las reformas sea plural y cuente con la participación de la mayor cantidad de partes interesadas.
- Instamos a la Asamblea Legislativa a no aprobar las reformas a la Ley de Acceso a la Información Pública; y, en general, a priorizar la adopción de leyes de protección a periodistas y activistas de derechos humanos, en línea con lo que establecen los estándares internacionales de derechos humanos firmados por el país.
- Instamos a los órganos públicos de El Salvador a cumplir con el resguardo de los derechos humanos de todas las personas en el país y a no incurrir en conductas de persecución, vigilancia o silenciamiento. La seguridad de la ciudadanía en ambientes virtuales o al utilizar las tecnologías de la información y la comunicación es un deber del Estado, como también el respeto de las garantías procesales, la privacidad de las comunicaciones y la libertad de expresión.
- Instamos las instituciones judiciales de El Salvador a investigar y punir los responsables por la instalación de software malicioso para vigilar a periodistas y activistas de derechos humanos.
- Llamamos a la comunidad internacional, en particular las instancias del Sistema Interamericano de Derechos Humanos, a mantenerse alertas sobre la situación del derecho a la libertad de expresión, libertad de prensa y acceso a la información pública en El Salvador, así como también sobre las situaciones de riesgo de derechos humanos que lleguen a su conocimiento.
Firmamos la presente:
- Derechos Digitales, América Latina
- Human Rights Watch
- Fundación Democracia Transparencia Justicia (DTJ), El Salvador
- Acción Ciudadana, El Salvador
- Asociación Transparencia, Contraloría Social y Datos abiertos (TRACODA), El Salvador