Temática: Vigilancia

¿Tienen las municipalidades más facultades que el Ministerio Público?

Paula Jaramillo y Claudio Ruiz

A mediados de octubre de 2015, la prensa chilena daba cuenta de la instalación de dos globos aerostáticos en la comuna de Las Condes y uno en Lo Barnechea, supuestamente destinados a incrementar los niveles de seguridad de los habitantes de ambos municipios y a colaborar en la gestión del tránsito de sus calles.

Se trata de tecnología de origen militar: potentes cámaras que flotan sobre las comunas, equipadas con lentes de gran alcance, capaces de efectuar seguimientos en un radio de 3 kilómetros, operadas por una empresa privada y no por funcionarios públicos.

Pero más que una medida adicional para la prevención delictual o el control del tránsito, las cámaras adheridas a los globos municipales constituyen una política de vigilancia masiva arbitraria por parte de las municipalidades, cuyo uso no está autorizado en la ley. Es este el fundamento del recurso de protección en su contra, actualmente en trámite en la Corte de Apelaciones de Santiago.

La defensa de las municipalidades se ha desarrollado tanto en los pasillos de la Corte de Apelaciones como a través de los medios. Allí, los alcaldes han explicado que la seguridad vecinal sería un bien mayor a los derechos de las personas, aun cuando puede que la medida no funcione.

En Tribunales han tratado de equiparar el funcionamiento de los globos al de las cámaras estáticas de control de tránsito, señalando —erróneamente- que los globos solo graban espacios públicos y no privados. También han intentado desacreditar las críticas a través de la recolección generalizada de firmas de vecinos con el objeto de ilustrar el apoyo popular de la medida.

Esta defensa es una simplificación extrema del problema que la instalación de los globos plantea. En este caso, se trata de cámaras con características especiales por su alcance y que han sido ubicadas en una posición de privilegio, capaces no solamente de grabar rostros de personas y patentes de vehículos desde el aire en alta definición, de día y de noche, sino que de traspasar los límites físicos de una propiedad e incluso apuntar sus lentes a través de una ventana, hacia el interior de una vivienda.

Adicionalmente, el eventual efecto disuasivo para los delincuentes no deja de ser una ilusión sin asidero en la realidad. No se registran cambios sustantivos en el número de denuncias de delitos en las comunas involucradas, ni tampoco una baja de las sentencias condenatorias basadas en eventuales pruebas entregadas por las cámaras. Y, aun en el caso de que existiese un eventual efecto disuasivo, no parece ser una medida proporcional a la vulneración real de la privacidad que conlleva.

Más bien somos testigos de un efecto de la vigilancia permanente: la incertidumbre de saber si estamos o no siendo observados cambia nuestros hábitos de conducta, de circulación y de confianza. Aun cuando una cámara no esté efectivamente grabando, el solo hecho de que ella apunte a donde circulamos afecta nuestra privacidad, tal como ha reconocido reciente jurisprudencia en Chile.

Incluso si olvidamos todo lo anterior, la tesis de la defensa de las municipalidades está basada en un curioso absurdo legal: cuando el Ministerio Público, en el ejercicio legítimo de sus funciones, necesita realizar medidas de vigilancia a sospechosos de delitos, debe contar necesariamente con una orden de un juez de garantía. Sin dicha orden, de acuerdo a la ley, estas medidas no pueden ser consideradas prueba en juicio. En el caso de los globos, las municipalidades sostienen que ellas no requieren autorización alguna para realizar estas diligencias, aun cuando la vigilancia no es a sospechosos de un delito, sino a ciudadanos con la mala suerte de vivir o circular en las comunas de Las Condes y Lo Barnechea.

Lo que está en juego en el caso de los globos de vigilancia no es si necesitamos otra medida más para combatir hechos delictivos, sino dilucidar si las municipalidades tienen o no facultades mayores que el Ministerio Público, y si este combate al delito justifica medidas instrusivas y masivas que afectan derechos fundamentales de vecinos y personas que circulan por el sector oriente de la capital.

El agresivo discurso del alcalde de Lo Barnechea en los medios da cuenta de una manera de entender la gestión comunal donde los derechos establecidos en nuestro ordenamiento legal son solo un molesto obstáculo a medidas privadas de seguimiento y control social. Esto no es compatible con el estado de derecho y lleva a conclusiones absurdas que, esperamos, los tribunales chilenos sabrán determinar.

¿Qué pasó el 2015 en México con los derechos digitales?

México atraviesa por una grave crisis de derechos humanos. La tendencia, como en cualquier régimen con tintes autoritarios, tiende a controlar las expresiones y discursos de disidencia. Desde el asesinato a periodistas hasta los intentos de control de internet mediante tratados internacionales, el año 2015 estuvo cargado de polémicas.

En febrero de este año, legisladores oficialistas presentaron el proyecto conocido como Ley Beltrones 2: una iniciativa para reformar las leyes de la propiedad industrial y del derecho de autor para “detener o impedir, en el entorno digital, la comisión de infracciones a los derechos de propiedad intelectual.” La iniciativa estaba muy alineada con los requisitos del Acuerdo de Asociación Transpacífico: sobreprotegía los monopolios de propiedad intelectual, amenazaba el derecho a la privacidad de usuarios y establecía sanciones excesivas y desproporcionadas.

En julio, se expusieron públicamente 400 GB de información de la empresa italiana Hacking Team, mediante los cuales supimos que el Estado mexicano es el cliente más importante de su software de espionaje. Distintos órganos de gobierno gastaron 5.808.875 euros por el total de las compras. En su mayoría, estos compradores no tienen facultades legales para usar esas herramientas de espionaje, como en los casos de Petróleos Mexicanos (PEMEX) o la Secretaría de Planeación y Finanzas de Baja California. Es más: por las filtraciones supimos que el programa se usa para espiar a periodistas y oponentes políticos.

Como si lo anterior no hubiera ocurrido, en octubre de 2015 la Ciudad de México fue sede de ISS World Latin America, una gran exposición de empresas como Hacking Team y FinFisher, destinada a vender sus “productos” y capacitar a funcionarios de gobierno en el usos de sus programas. El gobierno de la Ciudad dio todas las facilidades para que esta feria de vigilancia se llevara a cabo.

El mes de octubre llegó con una de las noticias más amargas para el ejercicio de derechos humanos. En ese mes fue anunciado el fin de la negociación del Acuerdo de Asociación Transpacífico: un tratado internacional cuyo proceso fue enteramente opaco y antidemocrático, y cuyo contenido amenaza desde el acceso a medicamentos hasta los derechos a la libertad de expresión y privacidad en internet.

En noviembre, en la Ciudad de México, se celebró la reunión anual del Open Government Partnership, asociación que promueve prácticas de “apertura” gubernamental. Personas y organizaciones de la sociedad civil se manifestaron en contra de las paradojas que el mismo evento presentaba: no se puede tener un gobierno abierto con los altos niveles de opacidad, impunidad y corrupción del gobierno mexicano. El uso de las tecnologías tampoco es suficiente para ocultar prácticas tan arraigadas contrarias a la transparencia y la apertura.

También en noviembre, las redes sociales estallaron cuando el senador Omar Fayad (PRI) presentó un proyecto de ley sobre cibercrimen, conocido como Ley Fayad, que varios calificaron como la “peor iniciativa de ley sobre internet de la historia”. Entre otras muchas cosas, la iniciativa daba más facultades de vigilancia al ejército y la policía; prohibía la creación de códigos; criminalizaba a los whistleblowers y convertía en delito la crítica en redes sociales. Aunque el proyecto se retiró, subsiste una intención peligrosa de regular el uso de tecnologías.

Para cerrar el año, Free Basics de Facebook arrancó en diciembre en conjunto con la operadora móvil virtual Virgin Mobile. Este proyecto ofrece acceso restringido a un conjunto de 38 aplicaciones previamente seleccionadas por Facebook, sin cargo de datos para el usuario. Esto implica no solamente una discriminación de contenidos y una violación a los principios de neutralidad en la red, sino también el afianzamiento de un modelo de negocios que se sirve de los datos personales y de la pasividad de los gobiernos.

Los antecedentes de este año no dan buenos augurios para el 2016. No obstante, hay que seguir trabajando para que tanto el gobierno como los legisladores mexicanos se comprometan en serio con las libertades y los derechos de las personas, tanto en el mundo analógico como en el digital. Y quizás así, el próximo diciembre, podamos dar cuenta de experiencias positivas y dejar atrás una crisis de derechos humanos de la que internet no se ha salvado.

¿Necesitamos más vigilancia?

Casi inmediatamente después de producidos los ataques del pasado 13 de noviembre en París, aparecieron voces solicitando mayores facultades para vigilar las comunicaciones en línea, con la esperanza de que con ello sea posible evitar que se comentan actos tan atroces.

Particularmente se culpa al cifrado, señalando que así los terroristas habrían logrado comunicarse y coordinar los ataques sin lograr ser interceptados y detenidos a tiempo.

Sin embargo no es correcto concluir que el cifrado ha hecho más difícil prevenir el terrorismo, haciendo nuestras sociedades más inseguras. La confusión probablemente nace de la forma en que comúnmente se concibe dicho cifrado, asociándolo inmediatamente con el ocultamiento de información necesariamente negativa, lo que sumado a la convicción de que quien no hace nada malo nada tiene que ocultar, dan pie a la ya clásica tensión entre privacidad y seguridad.

En primer lugar, no hay pruebas de que los terroristas utilizasen servicios de mensajería cifrada para comunicarse. Por otra parte, es lógico que quienes realizan este tipo de crímenes procuren buscar los medios de comunicación que sean más eficientes y más seguros para sus fines, aunque no sean de última tecnología.

Por otro lado, todo parece indicar que algunos de los miembros del grupo que ejecutó los ataques ya estaban siendo objeto de algún tipo de vigilancia por parte de las autoridades, sin que ello fuera suficiente para lograr evitar la tragedia.

Hay que considerar que actualmente los sistemas vigilancia permiten recolectar gran cantidad de metadatos o registros de actividad a relativamente bajo costo, revelando información acerca de quien se comunica con quién y con qué frecuencia; esto permite levantar alertas que conduzcan a otras investigaciones cuando se presuma algún riesgo para la seguridad de un Estado. Si esos metadatos están cifrados, lo que se hace más difícil es el acceso al contenido de la comunicación, pero no es cierto que las policías estén completamente a oscuras en sus actividades de vigilancia.

En palabras de Edward Snowden “como analista, yo preferiría ver metadatos que contenido, porque es más rápido, es más fácil y no miente. Si estuviera escuchando tus llamadas telefónicas, tú podrías intentar disfrazar la conversación o hablar en código. Pero si estoy mirando metadatos, sé qué número llamó a qué número”.

Finalmente, cabe entonces preguntarse ¿qué falló en el caso de Paris? Las facultades para vigilar ya existían antes de los atentados y, aparentemente, ya se habían activados las alarmas de los servicios de inteligencia. Si algo falló, claramente no tuvo relación tanto con la cantidad de información que podía ser recolectada, sino más bien con su análisis.

Es por ello que no debemos dejar que se utilice este tipo de actos terroristas como una excusa para elevar los niveles de vigilancia de actividades en línea, haciéndonos creer que ello no tiene impacto sobre nuestros derechos y, en particular, sobre nuestra privacidad.

Otra mala pasada del Congreso chileno

Mientras México celebra el retiro de la peor iniciativa de ley sobre internet, la Cámara de Diputados en Chile dedica estas semanas a la discusión de una nueva ley de delitos informáticos. Esta debería ser una buena noticia. La sociedad civil y la academia han discutido la necesidad de reformular las reglas sobre delincuencia informática con perspectiva de derechos humanos. Sin ir más lejos, investigadores de Derechos Digitales han manifestado los reparos a la ley actual desde el punto de vista del interés público como también de la técnica legislativa. Sin embargo, lo que nos muestra el nuevo proyecto es un nuevo intento por regular internet desde intuiciones y prejuicios.

Viejos nuevos problemas: sancionar cualquier cosa

La actual ley 19.223 ha sido objeto de críticas desde la academia desde su inicio. Incluso de forma reciente, ha sido denodado el esfuerzo por cuadrar el círculo e intentar salvar los serios problemas que trae en su regulación de los delitos de sabotaje informático y de espionaje informático. Detrás de esos problemas de técnica legislativa, se sigue una práctica de uso reducido, pero selectivo de la ley, para obtener condenas por muy distintos actos. Entre otras cosas, la ley vigente considera “delitos informáticos” actos tan poco cibernéticos como destruir un mouse, dejando a las policías y fiscalía con un peligroso margen de discreción.

El proyecto de ley hace frente a algunos de esos problemas. Por ejemplo, limita sanciones a los ataques contra elementos “lógicos” (es decir, software), y modifica ligeramente la redacción. Al mismo tiempo, agrega agravantes relativas a ataques que involucren a servicios públicos críticos o de seguridad nacional.

[left]Al parecer, la tecnología es intrínsecamente riesgosa o dañina para los parlamentarios chilenos.[/left]

Por otra parte, modifica el delito de espionaje informático en términos preocupantes. El proyecto sanciona a quien “sin derecho acceda o use información contenida en un sistema de tratamiento de datos”, estableciendo un tipo penal sumamente amplio, que castiga aun a figuras no dolosas, y sin distinguir ni la clase de información ni la forma para acceder a ella. Es decir, convierte en delito “informático” el acto de conocer o usar información, sin hackear nada.

Además, en el propuesto artículo 5º agrega como delito “[l]a tenencia, posesión, producción, venta, difusión, o cualquier otra forma de puesta a disposición de dispositivos, programas informáticos, aplicaciones, claves, códigos de acceso u otro tipo de elemento informático que permitan o faciliten la comisión de delitos”; es decir, prácticamente cualquier acto sobre cualquier tecnología que permita o facilite cometer delito, como por ejemplo, cualquier computador. Sanciona hasta la “tenencia” de un dispositivo que permite cometer delitos, incriminando así a la tecnología, en lugar de preocuparse del uso criminal de la misma.

Finalmente, en el Artículo 9º, intenta agregar como agravante general de delitos el uso de “medios informáticos”. Sin una justificación mínima, el solo uso de sistemas electrónicos hace de cualquier delito algo más grave. Al parecer, la tecnología es intrínsecamente riesgosa o dañina para los parlamentarios chilenos.

Más facultades para la intrusión

El proyecto de ley considera a los delitos informáticos, tan raramente perseguidos en el sistema chileno, como algo lo suficientemente grave como para necesitar medidas especiales de investigación. Increíblemente, cuando existan “sospechas fundadas” de que se ha hecho o se prepara la comisión de los ambiguos delitos de la misma ley, el artículo 6º del proyecto permite que (previa autorización judicial) se autorice la interceptación o grabación de comunicaciones de quienes sean sospechosos. Y bajo los mismos supuestos, que se autorice el uso de agentes encubiertos o entregas vigiladas de material.

[left]Cuando exista la sospecha de que alguien ha cometido un delito, sus comunicaciones pueden estar sujetas a vigilancia. Cualquier noción de proporcionalidad es echada por tierra[/left]

Se trata de medidas intrusivas usualmente justificadas a propósito de delitos graves o crímenes, pero traídas de forma inexplicable al uso de tecnología. Esto significa, por ejemplo, que cuando exista la sospecha de que alguien ha cometido el delito de “tenencia de dispositivo que facilite el delito”, sus comunicaciones pueden estar sujetas a vigilancia. Cualquier noción de necesidad o proporcionalidad en la capacidad de vigilancia por el Estado es echada por tierra.

La exacerbación de la vigilancia masiva

Durante este año, vimos a la sociedad civil paraguaya triunfar contra la nociva y desproporcionada ley #Pyrawebs, en una lucha ejemplar en el combate a la mala tendencia a la acumulación masiva de información. Este fuerte rechazo se suma a la calificación de la retención de datos de tráfico como contraria a los derechos humanos en Europa. No hay dos lecturas: la recolección de metadatos es una forma de vigilancia masiva, contraria a los derechos humanos. Es una manera de convertir a los ciudadanos en sospechosos, sin delito de por medio.

En Chile, en tanto, esa acumulación de registros de actividad en línea no solamente es legal desde 2004, sino que fue extendida en plazo de seis meses a un año en el año 2011. Pero el nuevo proyecto de ley de delitos informáticos, en lugar de hacer caso de la experiencia paraguaya o del rechazo europeo, hace lo contrario y aumenta la acumulación masiva de datos.

El artículo 10 del proyecto no deja la obligación de registro de actividades solamente sobre las empresas de comunicaciones, sino que pesa sobre cualquier entidad que provea acceso a sistemas informáticos, como “empresas telefónicas, de comunicaciones o de cualquier naturaleza, bancos, establecimientos educacionales, establecimientos comerciales”, y más. Información que debe estar disponible ante un requerimiento de información de parte de la Fiscalía, dentro de veinticuatro horas, sin orden judicial, bajo pena de delito de obstrucción a la justicia.

[left]El proyecto de ley extiende el plazo de acumulación de registro de actividades a nada menos que quince años.[/left]

Además, la obligación de registro no solamente se refiere a los números IP y sus fechas y horas, sino que extiende la información que se registra a las direcciones físicas asociadas a cada IP. Y lo más grave: el proyecto de ley extiende el plazo de acumulación de registro de actividades a nada menos que quince años. ¿Es posible aceptar que alguien guarde registros de nuestra actividad, de con quien nos comunicamos, de qué cosas leemos, de cuándo estamos en línea, por quince años? Fuera de una distopía orwelliana, es sencillamente inverosímil. Pero el Boletín 10.145–07 busca exactamente eso.

No a la nueva ley de delitos informáticos

El proyecto de ley de delitos informáticos en Chile representa una oportunidad perdida para actualizar la anquilosada legislación chilena. Además de profundizar los problemas de la ley existente, ignora la experiencia comparada, y elude consideraciones mínimas sobre derechos fundamentales como la protección de la privacidad y el derecho al debido proceso. Asimismo, busca convertir a los proveedores de conexión en informantes de la Fiscalía respecto de todas las actividades en línea de todos los ciudadanos.

Esta forma de regular el uso de las tecnologías como una actividad digna de vigilancia, de sospecha o de sanción agravada, muestra la incapacidad de la clase política chilena por asumir esas mismas tecnologías como un espacio de libertades. También muestra la incapacidad de preocuparse de la persecución criminal de manera sensata, dedicando “herramientas” a las policías sin ponderar la erosión a los derechos fundamentales de las personas.

Institucionalidad de la vigilancia en Chile (2015)

Descargar PDF

Informe realizado como parte del trabajo Derechos Digitales en la Cyber Stewards Network, que busca determinar cuáles son las instituciones habilitadas en Chile para ejercer actividades de vigilancia e inteligencia y bajo qué parámetros legales lo hacen.

La dudosa legalidad del espionaje electrónico en Panamá

Aunque han pasado meses desde la revelación inicial, continúan llegando informaciones sobre los oscuros negocios de Hacking Team, una empresa de “seguridad” que se dedica a vender software de espionaje de dudosa legalidad. En América Latina, frente a cierta debilidad institucional en nuestros países, las implicaciones de la compra y venta de dicho software por parte de distintos organismos de gobierno son especialmente interesantes.

Panamá no es la excepción. Al igual que en el resto de países de la región, hay escasa regulación para la adquisición y operación de estas particulares tecnologías, con posibles consecuencias en términos de derechos humanos para los ciudadanos.

Así, por ejemplo, la Oficina de Seguridad de la Presidencia de Panamá gastó más de 750 mil dólares para ejercer actividades de espionaje a 40 personas específicas en el año 2011. Como en buena parte de los negocios de Hacking Team, las negociaciones se hicieron través de una empresa intermediaria: Robotec Colombia.

Según los correos filtrados, el entonces presidente, Ricardo Martinelli, estaba al tanto de las negociaciones: el 14 de julio de 2011, el representante de Robotec Colombia se comunicó con su secretario privado. Si bien Martinelli no estaba presente, según los correos sí estaba al teléfono durante el tiempo completo.

Legalmente, la interceptación de comunicaciones se regula en el Código Procesal Penal siempre que ésta sea hecha en el marco de un proceso judicial, sea ordenada por el juez en una resolución fundada. Sin embargo, al hablar del software de espionaje de Hacking Team, ¿realmente nos referimos a la simple intervención de comunicaciones privadas? ¿Se utiliza únicamente dentro del marco de procesos judiciales? ¿Qué controles existen para impedir el abuso por parte de quienes operan la tecnología? Si los programas Da Vinci y Galileo (nombres con los que también se conocen los software de espionaje de Hacking Team) infectan los dispositivos de la persona atacada obteniendo acceso al micrófono, cámara y teclado para registrar imágenes, audio o cualquier otra actividad sin conocimiento de la misma, la respuesta parece ser negativa. No se trata de una mera intervención: es mucho más intrusivo.

Fuera de los supuestos en que se utiliza para juicios, la ley que crea el Sistema Nacional de Inteligencia otorga a este último competencias plenas a nivel nacional en materia de inteligencia y contrainteligencia. Según ella, la Secretaría Nacional de Inteligencia, que forma parte de este sistema, puede “recolectar y procesar información de todos los ámbitos del nivel nacional e internacional, con el fin de producir inteligencia.” Sin embargo, no se dice nada específico sobre el software de espionaje que da la posibilidad a espiar masivamente a la ciudadanía. A falta de regulación específica, se abre la puerta a abusos, arbitrariedades y pocos contrapesos.

Sin embargo, hay esperanza. A diferencia de lo que ocurre en el resto de la región, los organismos panameños han mostrado interés en perseguir este tipo de conductas. Recientemente, la Corte Suprema de Justicia presentó una querella en contra del ex presidente Martinelli por las supuestas intervenciones telefónicas a políticos, empresarios y comunicadores sociales durante su mandato.

Independientemente del resultado, esto se convierte en una vía ejemplar para la región. La presión de la sociedad civil y el pleno cumplimiento de las funciones de control en los Estados, permitirán ir dejando atrás el auxilio de las tecnologías en la reproducción de las más despreciables prácticas de vigilancia por parte de entidades estatales. En plena era dorada de la vigilancia, con Estados y privados como aliados comerciales en el uso de internet para la vigilancia, esa acción es más necesaria que nunca.