Temática: Vigilancia

¿Necesitamos más vigilancia?

Casi inmediatamente después de producidos los ataques del pasado 13 de noviembre en París, aparecieron voces solicitando mayores facultades para vigilar las comunicaciones en línea, con la esperanza de que con ello sea posible evitar que se comentan actos tan atroces.

Particularmente se culpa al cifrado, señalando que así los terroristas habrían logrado comunicarse y coordinar los ataques sin lograr ser interceptados y detenidos a tiempo.

Sin embargo no es correcto concluir que el cifrado ha hecho más difícil prevenir el terrorismo, haciendo nuestras sociedades más inseguras. La confusión probablemente nace de la forma en que comúnmente se concibe dicho cifrado, asociándolo inmediatamente con el ocultamiento de información necesariamente negativa, lo que sumado a la convicción de que quien no hace nada malo nada tiene que ocultar, dan pie a la ya clásica tensión entre privacidad y seguridad.

En primer lugar, no hay pruebas de que los terroristas utilizasen servicios de mensajería cifrada para comunicarse. Por otra parte, es lógico que quienes realizan este tipo de crímenes procuren buscar los medios de comunicación que sean más eficientes y más seguros para sus fines, aunque no sean de última tecnología.

Por otro lado, todo parece indicar que algunos de los miembros del grupo que ejecutó los ataques ya estaban siendo objeto de algún tipo de vigilancia por parte de las autoridades, sin que ello fuera suficiente para lograr evitar la tragedia.

Hay que considerar que actualmente los sistemas vigilancia permiten recolectar gran cantidad de metadatos o registros de actividad a relativamente bajo costo, revelando información acerca de quien se comunica con quién y con qué frecuencia; esto permite levantar alertas que conduzcan a otras investigaciones cuando se presuma algún riesgo para la seguridad de un Estado. Si esos metadatos están cifrados, lo que se hace más difícil es el acceso al contenido de la comunicación, pero no es cierto que las policías estén completamente a oscuras en sus actividades de vigilancia.

En palabras de Edward Snowden “como analista, yo preferiría ver metadatos que contenido, porque es más rápido, es más fácil y no miente. Si estuviera escuchando tus llamadas telefónicas, tú podrías intentar disfrazar la conversación o hablar en código. Pero si estoy mirando metadatos, sé qué número llamó a qué número”.

Finalmente, cabe entonces preguntarse ¿qué falló en el caso de Paris? Las facultades para vigilar ya existían antes de los atentados y, aparentemente, ya se habían activados las alarmas de los servicios de inteligencia. Si algo falló, claramente no tuvo relación tanto con la cantidad de información que podía ser recolectada, sino más bien con su análisis.

Es por ello que no debemos dejar que se utilice este tipo de actos terroristas como una excusa para elevar los niveles de vigilancia de actividades en línea, haciéndonos creer que ello no tiene impacto sobre nuestros derechos y, en particular, sobre nuestra privacidad.

Otra mala pasada del Congreso chileno

Mientras México celebra el retiro de la peor iniciativa de ley sobre internet, la Cámara de Diputados en Chile dedica estas semanas a la discusión de una nueva ley de delitos informáticos. Esta debería ser una buena noticia. La sociedad civil y la academia han discutido la necesidad de reformular las reglas sobre delincuencia informática con perspectiva de derechos humanos. Sin ir más lejos, investigadores de Derechos Digitales han manifestado los reparos a la ley actual desde el punto de vista del interés público como también de la técnica legislativa. Sin embargo, lo que nos muestra el nuevo proyecto es un nuevo intento por regular internet desde intuiciones y prejuicios.

Viejos nuevos problemas: sancionar cualquier cosa

La actual ley 19.223 ha sido objeto de críticas desde la academia desde su inicio. Incluso de forma reciente, ha sido denodado el esfuerzo por cuadrar el círculo e intentar salvar los serios problemas que trae en su regulación de los delitos de sabotaje informático y de espionaje informático. Detrás de esos problemas de técnica legislativa, se sigue una práctica de uso reducido, pero selectivo de la ley, para obtener condenas por muy distintos actos. Entre otras cosas, la ley vigente considera “delitos informáticos” actos tan poco cibernéticos como destruir un mouse, dejando a las policías y fiscalía con un peligroso margen de discreción.

El proyecto de ley hace frente a algunos de esos problemas. Por ejemplo, limita sanciones a los ataques contra elementos “lógicos” (es decir, software), y modifica ligeramente la redacción. Al mismo tiempo, agrega agravantes relativas a ataques que involucren a servicios públicos críticos o de seguridad nacional.

[left]Al parecer, la tecnología es intrínsecamente riesgosa o dañina para los parlamentarios chilenos.[/left]

Por otra parte, modifica el delito de espionaje informático en términos preocupantes. El proyecto sanciona a quien “sin derecho acceda o use información contenida en un sistema de tratamiento de datos”, estableciendo un tipo penal sumamente amplio, que castiga aun a figuras no dolosas, y sin distinguir ni la clase de información ni la forma para acceder a ella. Es decir, convierte en delito “informático” el acto de conocer o usar información, sin hackear nada.

Además, en el propuesto artículo 5º agrega como delito “[l]a tenencia, posesión, producción, venta, difusión, o cualquier otra forma de puesta a disposición de dispositivos, programas informáticos, aplicaciones, claves, códigos de acceso u otro tipo de elemento informático que permitan o faciliten la comisión de delitos”; es decir, prácticamente cualquier acto sobre cualquier tecnología que permita o facilite cometer delito, como por ejemplo, cualquier computador. Sanciona hasta la “tenencia” de un dispositivo que permite cometer delitos, incriminando así a la tecnología, en lugar de preocuparse del uso criminal de la misma.

Finalmente, en el Artículo 9º, intenta agregar como agravante general de delitos el uso de “medios informáticos”. Sin una justificación mínima, el solo uso de sistemas electrónicos hace de cualquier delito algo más grave. Al parecer, la tecnología es intrínsecamente riesgosa o dañina para los parlamentarios chilenos.

Más facultades para la intrusión

El proyecto de ley considera a los delitos informáticos, tan raramente perseguidos en el sistema chileno, como algo lo suficientemente grave como para necesitar medidas especiales de investigación. Increíblemente, cuando existan “sospechas fundadas” de que se ha hecho o se prepara la comisión de los ambiguos delitos de la misma ley, el artículo 6º del proyecto permite que (previa autorización judicial) se autorice la interceptación o grabación de comunicaciones de quienes sean sospechosos. Y bajo los mismos supuestos, que se autorice el uso de agentes encubiertos o entregas vigiladas de material.

[left]Cuando exista la sospecha de que alguien ha cometido un delito, sus comunicaciones pueden estar sujetas a vigilancia. Cualquier noción de proporcionalidad es echada por tierra[/left]

Se trata de medidas intrusivas usualmente justificadas a propósito de delitos graves o crímenes, pero traídas de forma inexplicable al uso de tecnología. Esto significa, por ejemplo, que cuando exista la sospecha de que alguien ha cometido el delito de “tenencia de dispositivo que facilite el delito”, sus comunicaciones pueden estar sujetas a vigilancia. Cualquier noción de necesidad o proporcionalidad en la capacidad de vigilancia por el Estado es echada por tierra.

La exacerbación de la vigilancia masiva

Durante este año, vimos a la sociedad civil paraguaya triunfar contra la nociva y desproporcionada ley #Pyrawebs, en una lucha ejemplar en el combate a la mala tendencia a la acumulación masiva de información. Este fuerte rechazo se suma a la calificación de la retención de datos de tráfico como contraria a los derechos humanos en Europa. No hay dos lecturas: la recolección de metadatos es una forma de vigilancia masiva, contraria a los derechos humanos. Es una manera de convertir a los ciudadanos en sospechosos, sin delito de por medio.

En Chile, en tanto, esa acumulación de registros de actividad en línea no solamente es legal desde 2004, sino que fue extendida en plazo de seis meses a un año en el año 2011. Pero el nuevo proyecto de ley de delitos informáticos, en lugar de hacer caso de la experiencia paraguaya o del rechazo europeo, hace lo contrario y aumenta la acumulación masiva de datos.

El artículo 10 del proyecto no deja la obligación de registro de actividades solamente sobre las empresas de comunicaciones, sino que pesa sobre cualquier entidad que provea acceso a sistemas informáticos, como “empresas telefónicas, de comunicaciones o de cualquier naturaleza, bancos, establecimientos educacionales, establecimientos comerciales”, y más. Información que debe estar disponible ante un requerimiento de información de parte de la Fiscalía, dentro de veinticuatro horas, sin orden judicial, bajo pena de delito de obstrucción a la justicia.

[left]El proyecto de ley extiende el plazo de acumulación de registro de actividades a nada menos que quince años.[/left]

Además, la obligación de registro no solamente se refiere a los números IP y sus fechas y horas, sino que extiende la información que se registra a las direcciones físicas asociadas a cada IP. Y lo más grave: el proyecto de ley extiende el plazo de acumulación de registro de actividades a nada menos que quince años. ¿Es posible aceptar que alguien guarde registros de nuestra actividad, de con quien nos comunicamos, de qué cosas leemos, de cuándo estamos en línea, por quince años? Fuera de una distopía orwelliana, es sencillamente inverosímil. Pero el Boletín 10.145–07 busca exactamente eso.

No a la nueva ley de delitos informáticos

El proyecto de ley de delitos informáticos en Chile representa una oportunidad perdida para actualizar la anquilosada legislación chilena. Además de profundizar los problemas de la ley existente, ignora la experiencia comparada, y elude consideraciones mínimas sobre derechos fundamentales como la protección de la privacidad y el derecho al debido proceso. Asimismo, busca convertir a los proveedores de conexión en informantes de la Fiscalía respecto de todas las actividades en línea de todos los ciudadanos.

Esta forma de regular el uso de las tecnologías como una actividad digna de vigilancia, de sospecha o de sanción agravada, muestra la incapacidad de la clase política chilena por asumir esas mismas tecnologías como un espacio de libertades. También muestra la incapacidad de preocuparse de la persecución criminal de manera sensata, dedicando “herramientas” a las policías sin ponderar la erosión a los derechos fundamentales de las personas.

Institucionalidad de la vigilancia en Chile (2015)

Descargar PDF

Informe realizado como parte del trabajo Derechos Digitales en la Cyber Stewards Network, que busca determinar cuáles son las instituciones habilitadas en Chile para ejercer actividades de vigilancia e inteligencia y bajo qué parámetros legales lo hacen.

La dudosa legalidad del espionaje electrónico en Panamá

Aunque han pasado meses desde la revelación inicial, continúan llegando informaciones sobre los oscuros negocios de Hacking Team, una empresa de “seguridad” que se dedica a vender software de espionaje de dudosa legalidad. En América Latina, frente a cierta debilidad institucional en nuestros países, las implicaciones de la compra y venta de dicho software por parte de distintos organismos de gobierno son especialmente interesantes.

Panamá no es la excepción. Al igual que en el resto de países de la región, hay escasa regulación para la adquisición y operación de estas particulares tecnologías, con posibles consecuencias en términos de derechos humanos para los ciudadanos.

Así, por ejemplo, la Oficina de Seguridad de la Presidencia de Panamá gastó más de 750 mil dólares para ejercer actividades de espionaje a 40 personas específicas en el año 2011. Como en buena parte de los negocios de Hacking Team, las negociaciones se hicieron través de una empresa intermediaria: Robotec Colombia.

Según los correos filtrados, el entonces presidente, Ricardo Martinelli, estaba al tanto de las negociaciones: el 14 de julio de 2011, el representante de Robotec Colombia se comunicó con su secretario privado. Si bien Martinelli no estaba presente, según los correos sí estaba al teléfono durante el tiempo completo.

Legalmente, la interceptación de comunicaciones se regula en el Código Procesal Penal siempre que ésta sea hecha en el marco de un proceso judicial, sea ordenada por el juez en una resolución fundada. Sin embargo, al hablar del software de espionaje de Hacking Team, ¿realmente nos referimos a la simple intervención de comunicaciones privadas? ¿Se utiliza únicamente dentro del marco de procesos judiciales? ¿Qué controles existen para impedir el abuso por parte de quienes operan la tecnología? Si los programas Da Vinci y Galileo (nombres con los que también se conocen los software de espionaje de Hacking Team) infectan los dispositivos de la persona atacada obteniendo acceso al micrófono, cámara y teclado para registrar imágenes, audio o cualquier otra actividad sin conocimiento de la misma, la respuesta parece ser negativa. No se trata de una mera intervención: es mucho más intrusivo.

Fuera de los supuestos en que se utiliza para juicios, la ley que crea el Sistema Nacional de Inteligencia otorga a este último competencias plenas a nivel nacional en materia de inteligencia y contrainteligencia. Según ella, la Secretaría Nacional de Inteligencia, que forma parte de este sistema, puede “recolectar y procesar información de todos los ámbitos del nivel nacional e internacional, con el fin de producir inteligencia.” Sin embargo, no se dice nada específico sobre el software de espionaje que da la posibilidad a espiar masivamente a la ciudadanía. A falta de regulación específica, se abre la puerta a abusos, arbitrariedades y pocos contrapesos.

Sin embargo, hay esperanza. A diferencia de lo que ocurre en el resto de la región, los organismos panameños han mostrado interés en perseguir este tipo de conductas. Recientemente, la Corte Suprema de Justicia presentó una querella en contra del ex presidente Martinelli por las supuestas intervenciones telefónicas a políticos, empresarios y comunicadores sociales durante su mandato.

Independientemente del resultado, esto se convierte en una vía ejemplar para la región. La presión de la sociedad civil y el pleno cumplimiento de las funciones de control en los Estados, permitirán ir dejando atrás el auxilio de las tecnologías en la reproducción de las más despreciables prácticas de vigilancia por parte de entidades estatales. En plena era dorada de la vigilancia, con Estados y privados como aliados comerciales en el uso de internet para la vigilancia, esa acción es más necesaria que nunca.

La acumulación compulsiva de datos personales en América Latina

La semana pasada, la Oficina de Administración de Personal de Estados Unidos admitió el robo de 5,6 millones de huellas digitales, producto de un ciberataque. Esto significa que, por el resto de sus vidas, millones de empleados del gobierno estadounidense tendrán que vivir sabiendo que alguien tiene copia de sus huellas digitales, con consecuencias todavía desconocidas.

La preocupante tendencia a recolectar compulsivamente datos biométricos no es exclusiva de Estados Unidos. En América Latina, varios son los gobiernos que se han empeñado en crear y mantener bases de datos sobre sus ciudadanos cada vez mayores, con el fin de mejorar la prestación de servicios públicos y, principalmente, facilitar los procedimientos de investigación y condena criminal.

El caso paradigmático es el argentino, que desde el año 2011 cuenta con el Sistema Federal de Identificación Biométrica para la Seguridad (SIBIOS), el cual permite individualizar a todos los ciudadanos a través de un software, mediante un convenio con el Registro Nacional de Personas. Con esta herramienta se procesan tanto las fotografías como las huellas dactilares, apoyando así la investigación científica como a la prevención delictual.

Además, en Argentina es requisito presentar el documento nacional de identidad para solicitar la tarjeta de transporte público en Buenos Aires (SUBE), quedando vinculada de forma personal a su usuario y, con ello, individualizados todos sus movimientos por la ciudad. De igual forma, existe un proyecto de ley que busca crear un registro de ADN, despertando importantes cuestionamientos jurídicos, de seguridad y de derechos humanos.

Por su parte, el 27 de julio el gobierno peruano promulgó el Decreto Legislativo 1182, también conocido como Ley Stalker, que faculta a la policía a geolocalizar al sospechoso de un ilícito sin necesidad de una orden judicial, otorgándoles 72 horas para validar la acción en tribunales. Además, la ley obliga a las empresas de telecomunicaciones a almacenar los registros, duración, frecuencia y demás datos de las llamadas telefónicas y navegación por internet de todo Perú, para que pueda ser consultadas en cualquier momento.

Mientras tanto, Paraguay aprobó la implementación de un ticket electrónico para el cobro del pasaje, tarjetas que también serán nominales e intransferibles, similares a las argentinas: cada tarjeta llevará el nombre del usuario y permitirá conocer los destinos de cada pasajero, datos que serán entregados al Poder Judicial en caso de solicitarlos en virtud de una investigación criminal. Cabe mencionar también al fallido proyecto Pyrawebs, que buscaba obligar a los prestadores de servicio de internet a conservar los datos de tráfico de sus usuarios, haciéndolos accesibles al poder judicial.

Aparte de suprimir el derecho a la presunción de inocencia, la recolección masiva de datos personales presenta dos grandes peligros potenciales: el primero – tal como ocurrió en Estados Unidos- es que la base de datos sea robada. En el año 2014, el Registro Civil chileno informó de la copia irregular de 50.481.298 registros relativos a documentación de cédula de identidad y pasaporte de todos sus habitantes; todavía no hay ningún indicio de quién estuvo tras el robo.

El segundo peligro dice relación con el uso que puede hacerse de estos datos para perfilar, por ejemplo, a opositores políticos. Esto, puesto que el análisis que puede hacerse a partir de los datos y metadatos – datos anexos que describen o se refieren a otros, como lo sería la frecuencia de utilización de un bus en particular o la duración de las llamadas telefónicas- es tan poderoso, que pueden predecirse con exactitud hábitos, relaciones sociales, preferencias privadas e identidad del usuario.

Es por ello que el Consejo de Derechos Humanos de las Naciones Unidas emitió un informe que expone como la recolección de datos ha interferido en los derechos a la libertad de expresión y privacidad. La seguridad es un bien público relevante y en el cual todos estamos de acuerdo en que debe ser debidamente resguardado, pero también es necesario analizar la proporcionalidad de las medidas que se están adoptando para su tutela.

Cualquier afectación a derechos fundamentales debe ser sometida a un test de legalidad, necesidad y proporcionalidad, concentrándose el problema en estos últimos dos. El registro y análisis de datos de toda la población escapa a estos parámetros. Identificar a la población completa y saber donde están, con quien están y con cuanta frecuencia visitan una determinada parte de la ciudad –entre muchos otros datos que pueden ser deducidos- no puede ser justificado. La renuncia a la privacidad no debiese ser exigida.

 

La era dorada de la vigilancia

Hacking Team es una empresa italiana conocida por el desarrollo y venta de soluciones tecnológicas de vigilancia. Desde hace muchos años que sus prácticas comerciales siembran sospechas, dada su vinculación comercial con gobiernos dudosamente democráticos y fuertemente represivos. Así, desde 2012 que se documentaba la utilización del “Sistema de Control Remoto” (Remote Control System, conocido como Phantom o Galileo), software estrella de la compañía, para vigilar e intimidar a disidentes políticos en Egipto, Omán, Marruecos, entre otras regiones del mundo, siendo considerado uno de los “enemigos de internet” por parte de Reporteros sin Fronteras en 2012.

Phantom es un software que permite, a través de su intrusión en el equipo espiado (lo que se conoce como un malware), el registro y almacenamiento de correos electrónicos, mensajería instantánea, historial de navegación web, tomar control de la cámara y el micrófono de la víctima. Incluso permite inyectar archivos y evidencia en dispositivos electrónicos.

Paradójicamente, hace algunas semanas Hacking Team fue gravemente hackeado. Más de 400GB de información privada de la empresa italiana fueron publicados en internet, incluyendo correos electrónicos y documentos transparentando los secretos de la empresa, que confirman la venta de software a regímenes autoritarios y con embargo comercial.

La información además ratifica la vinculación de Hacking Team con gobiernos de América Latina. Chile, Colombia, Ecuador, Honduras, México y Panamá son algunos de los clientes de la empresa. En algunos casos, por parte de agencias de inteligencia, en otras, por la policía. En el caso chileno, se documentó la compra de licencias por parte de la Policía de Investigaciones (PDI).

[left]Hoy vivimos en la ‘era dorada’ de la vigilancia. Nunca antes en la historia las agencias de persecución criminal tuvieron mejores capacidades que en nuestros días.[/left]

La PDI sostuvo que la tecnología fue adquirida en el marco de un proceso de ‘modernización’ institucional y que solo es utilizada con autorización judicial. Pero la Policía de Investigaciones no necesita de estas tecnologías para cumplir la misión que la ley le adjudica. Y, aún necesitando cierta tecnología para conseguir pruebas en juicio, no cualquier tecnología es válida para cumplir dicho propósito. En este caso, estamos frente a un software con características que exceden con mucho sus facultades y que, además, son de dudosa legalidad: en juicio no podrían ser utilizadas como evidencia si han sido conseguidas sin cumplir con los estrictos estándares establecidos en los procesos criminales.

Hoy vivimos en la ‘era dorada’ de la vigilancia. Nunca antes en la historia las agencias de persecución criminal tuvieron mejores capacidades que en nuestros días. Nuestros teléfonos son, en la práctica, instrumentos de geolocalización en tiempo real; buena parte de nuestras vidas y relaciones sociales están almacenadas en algún tipo de ‘log’ o registro de nuestro uso de plataformas, correo electrónico o mensajes de texto, y existen cientos de bases de datos que contienen información respecto de nosotros, nuestras prácticas de consumo, fichas clínicas, de infracciones de tránsito y navegación de internet que, cuando se utilizan conjuntamente, dicen más de nosotros de lo que podríamos imaginar.

Como nunca antes, las agencias de persecución criminal tienen hoy mucha información para poder procesar y actuar preventivamente para combatir el delito. Les basta una orden judicial para poder acceder con prontitud a dichos registros.

No es suficiente ni aceptable la escueta declaración que hizo pública la Policía de Investigaciones respecto del caso. Desde hace más de quince años que cuenta con una brigada para investigar delitos cometidos vía internet, con recursos y personal especializado.

En un estado de derecho se deben explicaciones adicionales, que permitan entender mejor el gasto de recursos públicos en tecnologías altamente abusivas a los derechos de las personas y evaluar, así, si estas medidas son proporcionales y necesarias para los objetivos que se indican. A todas luces, en este caso, no son sino medidas intrusivas, ilegales y dudosamente necesarias.

Las Condes y Lo Barnechea niegan el derecho a la privacidad de sus vecinos

El día de ayer, los alcaldes de las comunas de Lo Barnechea y Las Condes estrenaron un inédito sistema de vigilancia en el sector oriente de Santiago, que consiste en una serie de cámaras acopladas a globos aerostáticos, con las que se pretende combatir de una vez por todas la delincuencia.

Se trata de tecnología israelí utilizada normalmente para el monitoreo fronterizo. Cada globo cuenta con protección antibalas y está equipado con cámaras de alta definición y visión en 360º, capaz de reconocer a una persona en movimiento a más de 1.5 kilómetros de distancia. Gracias a su sistema de visión nocturna, el sistema grabará a los vecinos las 24 horas del día, los siete días de la semana.

Pese al entusiasmo de los alcaldes, esta es una medida altamente intrusiva para la privacidad de los habitantes de la ciudad y dudosamente legal.

[left]Si bien se entiende la necesidad de enfrentar la delincuencia, en un estado democrático de derecho esto no es, ni debe ser, a cualquier costo. [/left]Si bien se entiende la necesidad de enfrentar la delincuencia, en un estado democrático de derecho esto no es, ni debe ser, a cualquier costo. En particular, cuando se trata de medidas que afectan garantías fundamentales, como el derecho a la vida privada, estas deben ser excepcionales y cumplir con los estándares más altos posibles para asegurar que se trata de una medida necesaria y proporcional.

La medida tomada por los alcaldes de Las Condes y Lo Barnechea está lejos de cumplir con estos requisitos. Entre otras razones, porque se trata de una medida de vigilancia masiva, sin discriminación alguna y sin mayores mecanismos de control para evitar abusos de los operadores del sistema: como nada impide técnicamente que el potente lente de la cámara grabe, almacene y distribuya actividades realizadas en los confines de la propiedad de los vecinos de Las Condes y Lo Barnechea, hay muy pocos elementos de control para verificar que los operadores privados no utilizan estas tecnologías para perfilar, perseguir y crear bases de datos de aquellos que circulamos diariamente por las calles de nuestra ciudad.

En el escenario actual, Chile tiene una de las leyes de protección de datos personales más débiles de América Latina. En este contexto se hace urgente exigir a las autoridades que ejerzan sus facultades dentro de los límites establecidos en la Constitución y la ley.

El combate contra la delincuencia últimamente parece ser la excusa perfecta para la violación de garantías constitucionales. La violación grave de la privacidad es justamente lo contrario a la construcción de una sociedad más segura y menos desigual.

10 años de activismo, incidencia y algunas victorias

Una de las preguntas recurrentes hace diez años, cuando decidimos formar Derechos Digitales, era por qué nos embarcábamos en una aventura que estaba tan lejana a los problemas de derechos humanos más urgentes en América Latina. Particularmente en Chile, los problemas que muchos veían estaban concentrados en áreas más bien ajenas para una organización que pretendía velar por la defensa y el desarrollo de derechos en internet.

¿Por qué no concentrarse en los derechos humanos “tradicionales”? ¿Por qué no en desigualdad, pobreza o acceso a internet? ¿Por qué dedicar esfuerzos y energía en problemas que parecían del futuro, más que presentes y actuales?

De alguna manera, y pensándolo en retrospectiva, el trabajo que hemos hecho en los años sucesivos ha sido tratar de respondernos esas preguntas.

Desde un comienzo planteamos que los debates respecto de los derechos digitales eran problemas de derechos humanos. Que aquello que ocurría en el entorno en línea tenía el mismo efecto que en un entorno sin conexión.

Lo anterior nos puso siempre en una vereda incómoda para algunos sectores, sobre todo para quienes querían ver intereses corporativos ocultos detrás de una agenda de interés público (lo que, lamentablemente, no es poco habitual en nuestra región). Para algunos era impensable la existencia de un grupo de abogados interesados en la mera defensa de un interés difuso y difícil de identificar con un gremio o grupo de presión específico.

Quizás fue la terrible dictadura chilena la que impidió durante muchos años -quizás todavía hoy- poder entender la importancia que tiene para la democracia y el debate público la participación de grupos organizados de defensa de intereses no corporativos y de lo importante que son para fortalecer nuestras democracias. No lo sé con exactitud.

Pero la experiencia nos llevó a entender que la incidencia pública es algo más que el monitoreo y la denuncia, sino que una forma de trabajo estratégico, capaz de levantar problemas y preguntas difíciles, y de persuadir a actores políticos a tener un rol activo en la defensa de los derechos en línea.

Este es un punto particularmente importante: no es el capricho el que conecta el ejercicio de derechos con las nuevas tecnologías, son ellas las que suponen una oportunidad para el desarrollo y, al mismo tiempo, una amenaza más que latente.

Si buena parte de nuestra vida social y cultural la desarrollamos a través de estas tecnologías, entonces la pregunta respecto de cómo su regulación impacta nuestros derechos es cada vez más pertinente. Y la acción por parte de organizaciones sociales, urgente.

Han pasado diez años y es a través de la práctica, la experiencia, las derrotas y también algunas victorias las que han permitido que Derechos Digitales siga cumpliendo un rol activo en la defensa de los derechos en línea en América Latina. Y he aquí la gran paradoja: mientras más trabajo hacemos en esta defensa, nuevas líneas se abren, nuevas oportunidades aparecen y viejos problemas mutan, en formas curiosas.

Hoy, la violación a nuestra privacidad -producto de políticas de vigilancia a nuestras comunicaciones en línea- requiere acciones urgentes. Promover la importancia de la protección de la privacidad, de defender la libertad de expresión y ser capaces de construir un ambiente regulatorio amistoso para los derechos es la única forma de poder disfrutar la internet del futuro como la queremos: abierta, libre y plural; una plataforma para el desarrollo y defensa de nuestros derechos, no una amenaza.

Quizás es así como podemos seguir respondiendo las preguntas urgentes.

Vigilancia estatal y violaciones a los derechos humanos

*Este artículo fue hecho en conjunto con Gisela Pérez de Acha.

El pasado domingo 5 de julio, la empresa italiana Hacking Team sufrió un ataque informático y una enorme cantidad de su información fue públicamente expuesta: 400 GB de documentos fueron publicados en internet, incluyendo intercambio de correos electrónicos con clientes e, incluso, código fuente.

La empresa fabrica un programa de espionaje llamado Remote Control System -conocido también como DaVinci o Galileo- que vende principalmente a gobiernos y entidades estatales de seguridad. Gracias a las facturas y correos revelados, fue posible verificar que seis países de América Latina se encuentran entre sus clientes: Chile, Colombia, Ecuador, Honduras, México y Panamá.

Según una investigación de Privacy International, Remote Control System es capaz de eludir el cifrado del software de comunicación y registrar llamadas de Skype, correo electrónico, mensajería instantánea, el historial de navegación web y los archivos y fotos del dispositivo, aun si han sido eliminados. Registra cada tecla y botón que ha sido oprimido. Además, puede tomar control de los micrófonos y cámaras del aparato, usándolos para ver y oír a su víctima, y utilizar el sistema GPS para monitorear su ubicación.

Se trata de un sistema altamente intrusivo, que abre la puerta a tremendos abusos y del cual probablemente no sabríamos nada de no ser por esta filtración. Si los estados usan este software sin resguardos mínimos, o si no hay leyes que regulen su uso específico y se vigila a los ciudadanos de manera desproporcionada, estaríamos hablando de serias violaciones a los derechos humanos.

Este tipo de tecnología es tan invasiva, que su adquisición y uso debe sujetarse a los más altos parámetros establecidos en el Sistema Interamericano de Derechos Humanos. Se reconoce que su uso excepcional podría eventualmente ser legítimo, si es necesario para prevenir delitos gravísimos o preservar la seguridad nacional. Pero la mera existencia de leyes que habiliten la interceptación de las comunicaciones no es suficiente; se debe establecer específicamente qué causas puede invocar el Estado para solicitar una intromisión de esta magnitud, siempre debe ser autorizada por un juez y obedecer los principios de necesidad y proporcionalidad.

Del mismo modo, los alcances de estas prácticas deben ser transparentados con mecanismos de fiscalización y control que prevengan y detecten abusos. Dado que se trata de una tecnología difícil de rastrear y fácil de masificar, resulta sencillo y poco riesgoso para los gobiernos hacer mal uso de ella. A la luz del historial de autoritarismo y represión estatal en la región, un estricto control sobre el uso de este y otros mecanismos de espionaje electrónico son necesarios y marcan la diferencia entre una democracia sustantiva y una meramente nominal en los países de América Latina.

Ya hemos sido testigos de cómo estos programas han sido usados para espiar y amedrentar activistas políticos en países de África, América Latina y Medio Oriente. ¿Qué garantías de que este fenómeno no se seguirá extendiendo y se utilice contra periodistas, disidentes y activistas? ¿Dónde están las reglas aplicables a las compañías que producen y comercializan estas tecnologías? ¿Dónde están la transparencia y valores democráticos?

No sabemos si con estos programas se espía a gran parte de la población o tan solo a unos cuantos y, fácilmente, podríamos estar frente a una colusión político-empresarial en contra de los derechos de los ciudadanos. Por ello, como mínimo, los estados deben ser transparentes en el uso y objetivos del programa de vigilancia.