USMCA y el futuro de internet

Con la colaboración de Gisela Pérez de Acha

Cuando Donald Trump era apenas precandidato presidencial, con la posibilidad de asumir como titular en la Casa Blanca como algo distante, amenazó con forzar la renegociación del Tratado de Libre Comercio de América del Norte (TLCAN, o NAFTA por sus siglas en inglés), o bien salir del acuerdo. A la vez, calificó al Acuerdo Transpacífico de Cooperación Económica (el tristemente famoso TPP) como una “violación” a su país y anunció que retiraría a Estados Unidos del mismo en su primer día como presidente. Como tantas otras promesas, al principio parecían anuncios sin futuro. Hasta que su improbable elección determinó que ambas cosas efectivamente ocurrieran.

Sin Estados Unidos, el TPP mutó en un acuerdo que excluía, al menos temporalmente, algunas de las peores reglas para una internet libre, aunque manteniendo los privilegios para ciertos intereses del comercio (en perjuicio de los derechos fundamentales y la democracia). Pero la lista de deseos de la gran industria estadounidense de la propiedad intelectual encontraría igualmente en la renegociación del TLCAN un terreno fértil. Gracias a TPP, esas reglas ya estaban escritas y listas para ser impuestas, con un estrecho margen de tiempo para negociar y aprobar bajo el uso actual de autoridad para negociar del gobierno estadounidense. El resultado, el Acuerdo Estados Unidos-México-Canadá (AEUMC, o USMCA por sus siglas en inglés), constituye otro golpe bajo no solamente a los derechos fundamentales y las libertades en internet, sino también a la democracia.

Viejas y nuevas preocupaciones

El listado de temas vinculados a las tecnologías que cubre el AEUMC es vasto, y tal como expresa la Red en Defensa de los Derechos Digitales en su primer análisis, constituye una grave amenaza a los derechos fundamentales desde distintas aristas. Algunas de esas amenazas las conocemos desde el fallido TPP, como también por los acuerdos que han firmado otros países como Chile, Colombia, Panamá, Perú, y los países del DR-CAFTA. Así, otra vez vemos el establecimiento de un plazo mínimo de protección de derechos de autor que va más allá del estándar fijado por el Convenio de Berna, y lo sube hasta 70 años después de la muerte de la autora. Otra vez, la criminalización por la elusión de las medidas tecnológicas de protección (los “candados digitales”) que impiden la reproducción o incluso el mero acceso a una obra, sin suficientes excepciones para permitir usos razonables sin la amenaza de sanción penal.

Por otro lado, el AEUMC innova en términos negativos allí donde otras negociaciones ya ofrecían pocas garantías. El capítulo de Comercio Digital introduce una versión diluida de las exigencias presentes en el nuevo TPP de introducir reglas de protección de la información personal, permitiendo también que esa protección conste en compromisos voluntarios de parte de las empresas.

Pero más gravemente, el AEUMC restringe políticas de localización de datos que podrían usarse para limitar la transferencia de datos personales, y prohíbe las restricciones a las transferencias transfronterizas de datos, dejando serias limitaciones a la capacidad de los países de fijar reglas protectoras de la información personal. Así, algunas de las reglas de las provincias canadienses serían contrarias al acuerdo; e intentos de reforma a nivel federal o estatal en México encontrarían inmediata resistencia si incluyeran restricciones al tráfico de datos personales que puedan tomarse como contrarias al acuerdo, impidiendo mejorar la protección de las personas.

Además, las reglas para la remoción y retiro de contenido infractor de derechos de autor en línea siguen fielmente el nocivo esquema propuesto por el TPP: para que un intermediario de internet no sea corresponsable de la infracción de derechos de autor del contenido que aloja, debe retirarlo previo aviso, pero ese aviso no requiere provenir de una autoridad judicial, sino que basta con el envío del titular de derechos de autor o su representante. En otras palabras, con un aviso privado es suficiente para quitar contenidos supuestamente infractores, de manera expedita, sin intervención previa de una autoridad estatal. El riesgo de una censura masiva de contenidos como la que ya habilita l a DMCA en Estados Unidos, se extiende así a cientos de millones de nuevos usuarios.

México, el gran afectado

Es comprensible que México quiera mantener buenas relaciones comerciales con sus vecinos del norte, entendiendo la interdependencia de sus economías. Pero a la vez, el Gobierno mexicano parece estar cediendo más de la cuenta en materia de derechos digitales para mantener su nivel de acceso al gran mercado norteamericano es demasiado. Algunas de las reglas del AEUMC, tales como las relativas a la notificación y remoción de contenidos en línea, son solamente exigibles a México. Canadá obtuvo una excepción al respecto (tal como en el TPP) y Estados Unidos está exportando las reglas que ya rigen en su territorio, conforme exige el articulado que entrega autoridad de negociación al ejecutivo.

No se trata de concesiones menores, sino del condicionamiento del ejercicio de derechos fundamentales en internet. El apresuramiento, la falta de participación multisectorial y la falta de transparencia, significaron dejar de lado una discusión amplia y profunda justo al final de un Gobierno ya teñido por múltiples polémicas y por no ser capaz de sobreponerse a la actual crisis de derechos humanos en México.

El nuevo gobierno por asumir ya ha dado su apoyo al proceso y al nuevo acuerdo. ¿Quién, entonces, está del lado de las usuarias de internet?

El futuro de la democracia

El AEUMC representa no solamente una fuerte entrega de soberanía por parte de México y Canadá a los intereses de algunas industrias estadounidenses. Es también una capitulación a presiones políticas contingentes, que condiciona fuertemente la posibilidad de un intercambio justo de bienes y servicios entre naciones, por un futuro indefinido. Y dentro de ello, un acto exitoso (hasta ahora) de restricción de los derechos fundamentales en internet para cientos de millones de personas, mediante acuerdo de cúpulas a puertas cerradas.

Mirando más allá de Norteamérica, el AUEMC representa un precedente para el futuro a nivel global. A pesar de las carencias de estudio y debate, de la ausencia de flexibilidad para proteger a las usuarias, y de las falencias de transparencia y participación, el AEUMC puede todavía convertirse en el nuevo estándar al cual países poderosos pueden aspirar en otros foros, tales como la Organización Mundial de Comercio, o la negociación de nuevos tratados.

Es crucial que tanto el Ejecutivo como el Congreso en México asuman su rol, y dispongan de un debate abierto y serio sobre la verdadera necesidad de aprobar un tratado como el AUEMC, poniendo sobre la mesa la posibilidad del rechazo. Cualquier promesa de intercambio de datos o censura en este momento tendrá repercusiones políticas, económicas y sociales de muy largo alcance.

Hacia una justicia penal que hable el lenguaje de internet

«Desafíos de la armonización de la Convención de Budapest en el sistema legal paraguayo» es el título de una publicación realizada por las abogadas Maricarmen Sequera y Marlene Samaniego de la organización paraguaya TEDIC, la quinta en una serie coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología, en relación al cibercrimen y, particularmente, a la adhesión al Convenio de Budapest.

Para el caso Paraguayo, las autoras proponen un análisis crítico sobre la Convención y su armonización en el sistema penal paraguayo, a partir de una revisión jurídica y de entrevistas a los responsables en la aplicación del código penal y procesal penal en Paraguay. Para Sequera y Samaniego, la Convención es un instrumento legal que regulariza los esfuerzos internacionales en la persecución de la conducta delictiva por medios digital, pero a su vez contiene fallas de forma y fondo, a pesar de que a primera vista se observe como una propuesta que garantiza la protección de los derechos humanos.

Es decir, la investigación expone que la Convención genera importantes conflictos de proporcionalidad con relación a la protección del derecho a la privacidad. Por tanto, para la armonización de este instrumento internacional al sistema penal interno, se deberá tomar recaudos en el diseño de investigación para acceder a las evidencias electrónicas, incautación de pruebas a través de sistemas informáticos, retención de datos de tráfico entre otros porque muchas de estas acciones procesales conllevan la violación de la Constitución Nacional paraguaya y los derechos humanos.

Entre otros puntos a destacar, se encuentran los principales hallazgos que se deberán tener en cuenta para la armonización de la Convención:

Los jueces entrevistados del Poder Judicial reconocen que no cuentan con criterios técnicos para evaluar el proceso de incautación de las evidencias digitales solicitadas por el Ministerio Público. Esta situación es grave porque para otorgar autorización judicial, el juez debe analizar si el uso de tecnología es excesiva o no para la investigación penal, sin este proceso no existe salvaguarda de las garantías establecidas en la Constitución Nacional.
El Ministerio público contiene protocolos de tratamientos y acceso a las evidencias, sin embargo no cuenta con protocolos específicos de evidencias digitales.

Por otro lado se encuentra el desconocimiento que tienen los funcionarios de las Unidades de delitos ordinarios del Ministerio Público sobre el rol y los delitos que persigue la Unidad especializada de delitos informáticos. Desde la creación de esta Unidad, hasta la fecha reciben casos ordinarios que tienen como evidencia el uso de tecnología. Este tipo de casos derivados genera retardos en la persecución efectiva del delito, ya que no se determina cual Unidad ser hará responsable para la investigación fiscal.

También existe desconocimiento por parte de la ciudadanía en general sobre las instancias de persecución penal. Se recurre al Ministerio Público para realizar las denuncias delitos realizados a través de internet, sin embargo la mayoría de estas denuncias son de acción penal privada por ejemplo acoso cibernético, bullying, difamación y calumnia entre otros. Esto también genera recarga administrativa a una unidad que actualmente cuenta con dos fiscales para atender a nivel nacional todos los delitos informáticos.

La policía Nacional recibe las denuncias que son etiquetadas como “delitos informáticos” en su sistema. Sin embargo no se distingue si estos delitos se adecuan a la tipificados en el código penal como delitos informáticos o simplemente son delitos ordinarios que tienen como evidencia el uso de tecnología, como por ejemplo los casos de hurto de celulares. La falta de categorización unificada de datos cuantitativos de los delitos informáticos en Paraguay genera riesgos a la hora de elaborar políticas públicas para la mitigación y persecución penal de los mismos.
Paraguay no cuenta con una ley de protección de datos personales, este instrumento legal brindaría garantías y control de la información personal depositada en sistemas de almacenamiento digital, asegurando que personas que lucren sin consentimiento del titular cualquier dato de carácter personal sean llevados a la justicia. Tampoco se puede debatir un proyecto de Retención de Datos sin antes contar con una Ley de Protección de Datos Personales.

Para finalizar, las autoras concluyen que la Convención debería tomarse como una norma modelo a seguir, no como algo para aplicar: por un lado porque no tiene en cuenta la diversidad cultural, política y económica de los países, y por otro lado porque disminuye las barreras de seguridad nacional, entra en conflicto con el interés público y los derechos humanos. Es necesario realizar salvedades para no ceder jurisdicción y la privacidad de forma desproporcionada. Además se debería de priorizar el conocimiento sobre el contenido y alcance del mismo. Debe darse un debate calmo y sereno entre todos los sectores de la sociedad con plena participación ciudadana a nivel nacional y regional, para conjuntamente elaborar una armonización eficaz y que respete los derechos humanos.

También será necesario fortalecer las instituciones penales para una mejor interpretación de la leyes nacionales e internacionales sobre vigilancia de las comunicaciones, dado el avance de las técnicas y tecnologías de vigilancia. Para que los jueces del Poder Judicial realicen un análisis de proporcionalidad de ley o el uso de software malicioso como FinFisher o cualquier forma interpretación de las comunicaciones incluyendo los metadatos, deberán estar capacitados para conocer y justificar su uso, y así evitar negligencias o abusos por parte de los otras Instituciones del sistema penal como SENAD, Policía Nacional o Ministerio Público.

Y por sobre todo desarrollar áreas que permitan contar medios de investigación académica y capacitación para ofrecer respuestas a los delitos con y en las TIC. Así también la promoción de espacios técnicos que permitan a los diferentes actores interactuar e intercambiar experiencias y opiniones. Esto es además una necesidad para el diseño de las políticas públicas en la materia, por los requerimientos técnicos que implica.

***

«Desafíos de la armonización de la Convención de Budapest en el sistema legal paraguayo» es el título de una publicación realizada por las abogadas Maricarmen Sequera y Marlene Samaniego de la organización paraguaya TEDIC, la quinta en una serie coordinada por Derechos Digitales, y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología, en relación al cibercrimen y en particular a la adhesión al Convenio de Budapest.La publicación puede ser descargada aquí.

TEDIC es una organización de la sociedad civil paraguaya cuya misión es promover los principios de una cultura libre y defender los derechos civiles en internet, propiciando espacios de interacción e intercambio de conocimientos y desarrollando herramientas Web con código y diseño abierto, apoyado en un trabajo de comunicación e incidencia alternativa e innovadora.

La vigilancia masiva sufre otro traspié en Europa. ¿Se darán por enterados los gobiernos latinoamericanos?

Cinco años después de las revelaciones de Edward Snowden sobre la vigilancia de comunicaciones por parte de agencias estadounidenses (y sus socias de otros países poderosos), se siguen sintiendo los efectos en el mundo. Hace pocas semanas, el Tribunal Europeo de Derechos Humanos (TEDH) resolvió una de las acciones interpuestas por un conjunto de oenegés y periodistas contra el Reino Unido, por sus actividades de vigilancia reveladas por Snowden. En opinión del Tribunal, el programa de vigilancia británico viola los derechos consagrados en la Convención Europea de Derechos Humanos.

La noticia fue recibida por la sociedad civil con entusiasmo, pero también con cautela. A pesar de que el fallo del TEDH es enfático respecto de las prácticas rechazadas y su marco regulatorio, todavía permite algún nivel de vigilancia, incluso a nivel masivo. Además, las reglas que amparaban esa vigilancia en el Reino Unido han sido objeto de reformas con posterioridad al inicio de la controversia judicial.

¿Qué pasó con la vigilancia en el Reino Unido?

A mediados de 2013, se reveló una serie de programas y acciones de vigilancia de comunicaciones y recolección de información, actividades ejecutadas por agencias de inteligencia y seguridad de los Estados Unidos de América y sus socios de la coalición Cinco Ojos: Australia, Canadá, Nueva Zelanda y el Reino Unido. De entre esos programas, destacaban por su gravedad aquellos ejecutados por el Cuartel General de Comunicaciones del Gobierno (Government Communications Headquarters, GCHQ), amparado en la Ley de Regulación de los Poderes de Investigación de 2000 (Regulation of Investigatory Powers Act 2000, RIPA).

Lo que Snowden reveló fue una serie de prácticas que incluían la recolección masiva de información de comunicaciones privadas a través de internet, sin importar la inexistencia de sospechas ni el carácter indiscriminado de la recolección. Una interceptación masiva de la información que atraviesa cables de fibra óptica de la isla de Gran Bretaña, para su posterior almacenamiento, filtrado y análisis. Sin importar el origen o destino de las comunicaciones, afectando potencialmente a todo el mundo cuyos datos pasaran por el Reino Unido. Una espeluznante materialización digital de un Hermano Grande global, en nombre de la seguridad nacional británica.

El mismo año, múltiples organizaciones civiles entablaron acciones judiciales dentro del Reino Unido cuestionando la legalidad del sistema. Un primer fallo determinó como lícita la interceptación masiva británica y el acceso a la vigilancia estadounidense, y un segundo fallo declaró ilícito el acceso en el Reunion Unido a información recogida por los Estados Unidos. Las organizaciones elevaron el caso hasta el TEDH, acusando violaciones a los derechos a la privacidad y a la libertad de expresión, a un juicio justo, y a un trato sin discriminación, consagrados en el CEDH; violaciones provocadas por la interceptación de tráfico de internet del Reino Unido, y por el acceso a la información interceptada por los EE. UU.

Hace pocos días, el TEDH entregó su respuesta: el programa británico de vigilancia viola los derechos humanos. Más específicamente, dice el TEDH que no había suficientes salvaguardas para prevenir abusos y violaciones de privacidad al interceptar la comunicación a través de los cables (en particular, en las operaciones de elección de objetivos, selección y búsqueda de información); que se violaba la libertad de expresión, al producir un efecto paralizante sobre las usuarias; y que la recolección de metadatos es tan intrusiva como la recolección de datos (reconociendo con esto un aspecto clave de las luchas contra los mandatos de retención de datos de comunicación). También, que el acuerdo de intercambio de información entre el Reino Unido y EE. UU., por ser igual de intrusivo, requiere igual nivel de regulación y supervisión.

Sin embargo, no es un resultado del todo positivo. Para el TEDH, operar un sistema de interceptación masiva no es por sí mismo una violación de la CEDH. Por el contrario, deja a los estados un margen de apreciación para decidir el método de vigilancia para la protección de la seguridad nacional, que de forma peligrosa, puede incluir el monitoreo masivo. Además, el TEDH opinó que el régimen de intercambio de inteligencia no viola por sí mismo el derecho a la privacidad.

La lucha continúa

Las reglas combatidas con parcial éxito en el Reino Unido ya fueron objeto de modificación en 2016, mediante su reemplazo a través de la polémica Investigatory Powers Act, que incorporó en ley expresa algunas de las prácticas que ya se permitían los servicios de inteligencia británicos, expandiendo así los poderes de vigilancia. Este nuevo estatuto de espionaje ya fue declarado ilegal frente al derecho europeo por la Alta Corte británica, debiendo modificarse antes de noviembre de 2018, aun cuando la batalla parece estar recién comenzando.

Las capacidades de vigilancia del gobierno británico, tanto en sus herramientas técnicas como en sus facultades legales, resultarían tentadoras para Estados que buscan expandir su capacidad de vigilancia, especialmente si se sigue la tendencia de mirar a países de Europa como ejemplo de regulación. Es por esto que resulta clave mirar las intensas discusiones y los fallos de altos órganos internacionales sobre la materia. Sistemas avanzados de vigilancia, incluso ejecutados con autoridad legal suficiente, pueden igualmente ser atentatorios de derechos humanos cuando carecen de salvaguardas suficientes sobre los derechos de las personas. Urge atender a ejemplos como el británico para el desarrollo de estándares adecuados para la regulación de la vigilancia en nuestros países, antes de dejar nuestras vidas a merced de funcionarios, y sistemas, poderosos e inescrupolosos.

Si no queremos otro Huracán, hay que hacer algunos cambios importantes

La presente intervención no tiene como objetivo el señalar responsables concretos de las irregularidades cometidas durante la Operación Huracán, sino dar a conocer las insuficiencias regulatorias e institucionales que permiten a las policías operar sin los controles y contrapesos adecuados, y que deberían implementarse para impedir que una situación similar vuelva a repetirse.

Durante la Operación Huracán, Carabineros operó y realizó diligencias investigativas altamente intrusivas sin respetar el principio de no deliberación. Para ello se utilizó el procedimiento especial de la Ley de Inteligencia, figura que permite a las policías actuar sin el debido control por parte del Ministerio Público, como si fuese un interviniente en el proceso penal y no un auxiliar de la administración de justicia.

La información obtenida por estos medios carece totalmente de legalidad como prueba al interior de un proceso criminal, ya que ha sido obtenida sin supervisión de parte del Ministerio Público y sin una autorización previa de parte del Juez de Garantía competente. Por otro lado, no resulta aceptable la utilización de la Ley de Inteligencia para la obtención y producción de prueba al interior de un procedimiento penal, ya que ambos procesos responden a objetivos distintos y tienen distintos requisitos para la realización de medidas intrusivas. Este principio de “utilización exclusiva de la información” fue reconocido por el legislador en el mensaje de la Ley Nº 19.974 al señalar que la información recogido y producida por el Sistema de Inteligencia del Estado sólo puede ser usado para el cumplimiento de sus respectivos cometidos.

En este sentido, resulta altamente preocupante el carácter amplio y poco específico de la resolución de la Corte de Apelaciones de Temuco al momento de autorizar las diligencias de Operación Huracán. Esta falta de especificidad no sólo incumple lo establecido en los artículos 23 y 28 de la Ley de Inteligencia, sino que dan cuenta que el examen realizado por las Cortes es más bien de carácter formal y no está cumpliendo el objetivo de controlar materialmente el actuar policial.

La utilización de la Ley de Inteligencia también resulta improcedente debido a que esta habilita a los organismos de inteligencia a realizar diligencias mucho más intrusivas que las contenidas en el Código Procesal Penal. Mientras este último sólo autoriza la interceptación de comunicaciones, el artículo 24 de la Ley de Inteligencia admite “la intervención de cualesquiera otros sistemas tecnológicos destinados a la transmisión, almacenamiento o procesamiento de comunicaciones o información”. Por tanto, la utilización de prueba obtenida por estos medios no podría ser acompañada en el proceso penal, ya que fue producida a través de procedimientos no admitidos en el Código Procesal Penal.

En el caso particular de Operación Huracán, la prueba supuestamente obtenida tampoco cumple con el estándar señalado en el artículo 24 de la Ley de Inteligencia. De acuerdo a Carabineros el supuesto malware instalado en los aparatos de los imputados fue introducido a través de una técnica denominada phishing, una forma fraudulenta de obtener información confidencial como nombres de usuario y contraseñas disfrazándose como una entidad confiable en una comunicación electrónica. Este uso del engaño fraudulento, propio de los delincuentes informáticos, con el fin de instalar un programa malicioso (malware) no se encuentra amparado ni en la Ley de Inteligencia ni en el Código Procesal Penal.

Nuestro ordenamiento jurídico permite exclusivamente, y en hipótesis excepcionales, la interceptación de comunicaciones y la intervención de sistemas tecnológicos. La utilización de malware permitiría a las fuerzas de orden acceder a: el correo electrónico, el contenido de las aplicaciones de comunicación, los contactos, la ubicación geográfica, el micrófono de la terminal, la cámara y a un registro de las teclas que oprime el afectado. En otras palabras, permite un control total de la vida privada del afectado, hipótesis que no está amparada en nuestro ordenamiento jurídico.

En este sentido, resultan sumamente preocupantes las declaraciones realizadas a la prensa por el General (r) Blu, en las cuales se lamentaba que este caso hubiese salido a la luz, ya que en adelante los delincuentes sabrán que no deben hacer click cuando reciban un enlace sospechoso en su teléfono. Esta declaración habla de un interés futuro de la institución de Carabineros de seguir utilizando una técnica intrusiva, a todas luces ilegal y que vulnera los derechos fundamentales de los afectados.

El debido proceso de los imputados no solo se vio vulnerado por el hecho de que la prueba utilizada haya sido falsa, sino que por la falta de transparencia en su producción. El hecho de que no se haya informado a los defensores, cómo y a través de qué mecanismos se produjo la supuesta interceptación de comunicaciones impide que estos tengan la posibilidad de desvirtuarlas, vulnerando el principio de igualdad de armas y dejando, en definitiva, a sus representados en la indefensión.

Por último, el caso de Operación Huracán muestra que el procedimiento de custodia de evidencia digital por parte de Carabineros es complemente insuficiente y poco profesional. La implantación de archivos en terminales que ya habían sido confiscados y el hecho de la prueba presentada estuviese en formatos fácilmente editables dan cuenta de la falta de controles técnicos para evitar la creación de prueba fraudulenta.

En consecuencia, se sugiere estudiar la pertinencia de modificar la Ley de Inteligencia a fin de que se incorpore en forma expresa una prohibición que impida que la información recopilada a través de sus procedimientos sea utilizada como prueba al interior de procedimientos criminales y una referencia expresa a la prohibición del uso de técnicas de hacking e infectación con software malicioso como técnica de investigación por las policías. Del mismo modo, es necesario hacer más riguroso el control que las Cortes de Apelaciones ejercen sobre las medidas intrusivas contenidas en la Ley de Inteligencia. Por último, urge establecer criterios técnicos y profesionales que permitan cautelar la cadena de custodia de evidencia digital en los procedimientos criminales.

* Esta intervención fue realizada ante la Comisión investigadora sobre actuación de organismos policiales, de persecución criminal y de inteligencia en Operación Huracán.

Más allá de Álex Smith: vigilancia estatal y el rol de la prensa

Operación Huracán no fue solo un ejercicio de investigación criminal, sino también una acción de estrategia comunicativa: Las cámaras del noticiero de Canal 13 capturaron el allanamiento y la detención de los comuneros mapuche, y -al igual que EMOL– reprodujeron los mensajes supuestamente interceptados por la Carabineros. Los mismos que hoy se asumen como falsos y que tienen a el ex director de inteligencia, General (R) Gonzalo Blu, el Capitán (R) Leonardo Osses, segundo al mando de la UIOE de La Araucanía, y Álex Smith, desvinculados de la institución, formalizados criminalmente y con detención preventiva, mientras se investiga el caso.

Ante un caso que solamente planteaba interrogantes, el desempeño de la prensa fue aquí cuestionado por limitarse a transmitir la información oficial y no plantear las preguntas necesarias. Pero luego vino el vuelco, y a medida que la tesis del montaje agarró fuerza, el trabajo periodístico en torno al caso empezó revelar información sumamente interesante. En ese sentido, la labor que han realizado medios como Ciper y La Tercera ha sido importante, permitiéndonos echar un vistazo a un territorio usualmente opaco, como es el de la vigilancia estatal.

En se sentido, llama la atención, por ejemplo, que la acusación realizada por el periodista de Ciper Nicolás Sepulveda, sobre una extensa operación de escuchas telefónicas montada por la UIOE de La Araucanía no haya causado más revuelo e indignación. Pareciera ser que la gran discusión girara en a los softwares que podrían o no haber existido y su posible creador, Álex Smith.

Y como periodista, lo entiendo: Smith es un personaje excéntrico y carismático, sus fallidos intentos por demostrar su supuesta invención son divertidos y la historia de un ingeniero agrónomo que terminó involucrado en uno de los mayores escándalos para Carabineros en el último tiempo es, en efecto, atractiva. Sin embargo, la existencia (o no) de Antorcha no es la parte más relevante de este relato, del mismo modo en que Smith no es tampoco el principal responsable.

Lo verdaderamente importante acá es precisamente lo poco que sabemos respecto a los modos en que opera la vigilancia estatal, cubierta por un espeso manto de secretismo y nulas posibilidades de fiscalización externa. La Operación Huracán es el resultado no solamente de funcionarios inescrupulosos, sino de todo un sistema que les permitió actuar.

Generar mecanismos de control y transparencia es crucial. Y ahí, la prensa tiene un rol importantísimo que jugar, investigando, cuestionando, incomodando. Es de esperar que el impulso que ha tomado el tema a propósito de la Operación Huracán no muera una vez que se defina el destino de Álex Smith.

Sentirnos observados: ¿Qué sabemos sobre la vigilancia estatal en Chile?

El 23 de septiembre de 2017, en una operación coordinada entre Carabineros y la Fiscalía de la Araucanía, se detuvo a ocho comuneros mapuche por su supuesta participación en una serie de atentados incendiarios. Tras la detención, se explicó que la principal prueba incriminatoria fue una serie de conversaciones de WhatsApp y Telegram, obtenidas a través de la interceptación de las aplicaciones de mensajería.

No obstante, el 19 de octubre se ordena liberar a los detenidos por la llamada Operación Huracán. ¿La razón? La falta de fundamentos que justificaran la participación de los imputados en los hechos investigados.

Algunos meses más tarde, las pruebas presentadas por Carabineros comenzaron a ser duramente cuestionadas. Las conversaciones supuestamente intervenidas se encontraban dentro de los mismos teléfonos incautados en formato .txt, un tipo de archivo que no tiene relación con los que generan los programas de mensajería, sin marcas temporales o la estructura de un diálogo exportado de WhatsApp o Telegram; en los teléfonos de Héctor Llaitul, uno de los imputados, ni siquiera estaban instaladas las aplicaciones y los textos tenían fecha de creación posterior a la incautación. La tesis del montaje comenzó a instalarse con fuerza y se abrió una investigación, aún en curso, para esclarecer los hechos.

La historia original es que las principales pruebas en contra de los acusados habían sido obtenidas gracias a “Antorcha” y “Tubicación”, aplicaciones creadas por Álex Smith, un ingeniero comercial sin experiencia conocida en el rubro, que se desempeñaba realizando capacitaciones en el uso de programas como Excel y Autocad, desde donde fue reclutado para integrar la Unidad de Inteligencia Operativa Especializada (UIOE) de La Araucanía, a cargo de la “Operación Huracán”. Un reporte realizado por la Policía de Investigaciones (PDI), en el marco de la investigación por falsificación de pruebas, determinó que Antorcha y Tubicación jamás existieron.

Hoy, el ex director de inteligencia de Carabineros, General (R) Gonzalo Blu, el Capitán (R) Leonardo Osses, segundo al mando de la UIOE de La Araucanía, y Álex Smith, se encuentran desvinculados de Carabineros, formalizados criminalmente y con detención preventiva, mientras se investiga el caso.

En una de sus últimas declaraciones a la prensa antes de ser detenido, Smith matizó su versión: “Este era un procedimiento de phishing, malware y keylogger. No era un software como el que usa la PDI. Mezclamos aplicaciones y después se le puso Antorcha. La verdad es que no se podía basar ningún caso en Antorcha, pero servía para hacer algo de inteligencia”, declaró a La Tercera; “Lo más fácil para mí era el pishing. Comenté que se podía hacer y pregunté si era legal, me dijeron que por una ley, la de inteligencia, sí. Como era legal, empezamos a enviar pishing a distintos blancos”.

Pero, ¿es realmente válido un método como el phishing para recoger evidencia en investigaciones? Esta pregunta es crucial, pues más allá de Antorcha, Operación Huracán demuestra la diposición de Carabineros a integrar estas técnicas y herramientas en la realización de su labor investigativa.

Según Pablo Viollier, encargado de Políticas Públicas en Derechos Digitales, el panorama es claro: Carabineros utilizó herramientas poco legítimas. “Aquí las agencias de persecución penal, en parte de Carabineros, a través de sus organismos de inteligencia, echaron mano a las mismas herramientas que utilizan los delincuentes informáticos”, dice.

Pese a ello, en un primer momento Carabineros defendió sus técnicas. En un comunicado, el general (r) Gonzalo Blu, aseguró que no podía tirarse por la borda en tres semanas más de ocho meses de investigación, y que “La situación que plantea el Ministerio Público no hace más que amparar a aquellas personas que se han dedicado a causar miedo en las regiones del sur del país y deslegitima a dos importantes instituciones del Estado, las cuales deberían estar preocupadas de la lucha contra la delincuencia”.

Lo cierto es que técnicas como el phishing o infectar terminales a través de malware o keyloggers no están contempladas en el Código Procesal Penal, por lo que, en la interpretación más favorable a Carabineros, estas técnicas caen en una zona gris, con la posibilidad de que pueda ser derechamente ilegal, como sugiere un informe elaborado por la PDI.

Desde Fiscalía aclaran que la autorización es crucial cuando se trata de, por ejemplo, intervenir comunicaciones: “Siempre que exista privación o perturbación de los derechos constitucionales del imputado, el fiscal debe requerir autorización judicial previa, acorde al artículo 9 del Código Procesal Penal”. Además, agregan que con la debida autorización, es legal recoger pruebas y que pueden ser de diversos orígenes.

“El Análisis Criminal se realiza cruzando información de distintas fuentes, por ejemplo: prensa, perfiles abiertos en redes sociales, interconexión del Registro Civil, de Aduanas, del Conservador de Bienes Raíces, del Poder Judicial, junto con bases de datos de causas registradas en el Sistema de Apoyo a Fiscales”, dicen. Sin embargo, este listado no contempla la irrupción en sistemas informáticos cerrados, que es lo que precisamente buscan técnicas y herramientas como el phishing y el malware.

Por otra parte, la ley 19774 permite, con autorización de un ministro de la Corte de Apelaciones, la posibilidad de interceptar comunicaciones, sistemas y redes informáticas, pero limitados exclusivamente a actividades de inteligencia y contrainteligencia relacionadas al terrorismo, el crimen organizado y el narcotráfico, no en una causa penal. Al respecto, Viollier propone “delimitar estrictamente cuáles son los ámbitos de competencia de la Ley de Inteligencia y del Código Procesal Penal y que no se mezclen las dos materias”.

Es sumamente necesario transparentar y hacer un punteo más específico sobre los verdaderos alcances que tiene la vigilancia estatal en ámbitos legales: la interceptación de comunicaciones está permitida, pero sigue siendo un concepto demasiado amplio, que no da cuenta, por ejemplo, de la cantidad de información sensible que contiene un teléfono celular en relación a aquella que se puede conseguir a través de una escucha teléfonica.

En ese sentido, malware como el producido por Hacking Team y adquirido por la PDI supone un desafío, pues ante sus capacidades altamente intrusivas, es muy difícil establecer límites claros entre aquello a lo que pueden y no acceder. Más todavía al no existir mecanismos externos de fiscalización y transparencia respecto al uso de estas herramientas.

Que seas paranoico no significa que no te están mirando

“La idea más peligrosa en un discurso de vigilancia es ‘el que nada hace, nada teme’ porque convence al ciudadano de tener que optar entre la libertad y su derecho a la privacidad, versus una errada concepción de la seguridad, entendiéndolas en este caso como garantías incompatibles”, explica Karen Vergara de Fundación Datos Protegidos.

La poca información que se tiene sobre las verdaderas facultades que poseen los organismos estatales y fuerzas especiales a la hora realizar investigaciones, desdibuja la concepción de seguridad y nos lleva a una paranoia innecesaria: “La vigilancia de cualquier tipo limita nuestro actuar, esto significa que dejamos de realizar actividades –cotidianas o no– por el temor a estar siendo observados”, dice Vergara. De esta manera, se fomenta la desconfianza, la sensación de desprotección y falta de libertad de la ciudadanía.

Para Viollier, ha existido una falta de transparencia de los procesos que se relacionan con la vigilancia estatal, específicamente de parte desde el poder civil. “Hoy día carabineros, como rama de las fuerzas armadas, cree que se manda sola, y no existe control democrático y para eso se necesita voluntad política. No es posible que Carabineros pueda resistirse físicamente, haciendo un despliegue de fuerza, a una diligencia ordenada por Fiscalía”, dice.

“Es fundamental que el Estado tenga un rol preponderante en la protección de la información personal de sus ciudadanos, tanto en sus relaciones con empresas privadas como con organismos públicos, que asegure un manejo de los datos conforme a los fines que permite la ley, evitando el abuso en el tratamiento de los mismos”, sostiene Vergara.

Con sus principales protagonistas formalizados y detenidos, un año más tarde la Operación Huracán deja en evidencia más preguntas, vacíos y sensaciones amargas que claridades en la ciudadanía.

El Convenio de Budapest en contexto: la seguridad digital como parte de la política criminal

El personal administrativo de una universidad colombiana descubrió un día que todas las notas de sus alumnos habían sido cambiadas a 5, la máxima posible. Todas la notas de todos los programas, el histórico de calificaciones y el promedio semestral. Los encargados de la infraestructura tecnológica de la universidad afirmaron que el atacante conocía bien la forma de funcionamiento del sistema de notas y que están trabajando en colaboración con las autoridades para encontrar al culpable.

Ingresar sin autorización a un sistema informático, como puede ser lo que sucedió en esta universidad, se sanciona en Colombia con penas de 4 a 8 años de prisión. El acceso abusivo a un sistema informático junto con los delitos de obstaculización ilegítima de sistemas o redes, interceptación de datos informáticos, daño informático, uso de software malicioso, violación de datos personales o suplantación de sitios web para capturar datos personales, entre otros, conforma el capítulo de delitos informáticos en el Código Penal Colombiano.

La preocupación por este tipo de conductas también está expresada a nivel internacional. El Convenio de Budapest sobre ciberdelincuencia es un acuerdo entre varios países, principalmente europeos, para buscar un mínimo común entre las diferentes legislaciones en la persecución de conductas que, por su naturaleza transnacional, requieren de la colaboración de las autoridades para su investigación y posterior sanción. Como en el caso de la universidad colombiana, quien quiera que haya cambiado las notas podría haber estado físicamente en cualquier lugar del mundo, y, además, el mismo sistema de notas podría estar en servidores en Estados Unidos o Europa. Por eso las diferentes autoridades que deben investigar estos hechos requieren de un marco normativo que permita la colaboración entre ellas.

Ya que el Convenio de Budapest es un tratado internacional, se requiere que su aprobación se haga por medio de una ley que debe expedir el Congreso, luego ser firmada por el Presidente y que la Corte Constitucional debe revisar para que no haya desacuerdo con la Constitución. Actualmente, el proyecto de Ley para la aprobación del Convenio está siguiendo su proceso en el Senado.

El proyecto estará sometido a los problemas de cualquier otro tratado. Especialmente, es importante hacer notar la poca participación ciudadana que ocurre en la aprobación de tratados internacionales y la tendencia de la Corte Constitucional a rechazar las leyes aprobatorias de tratados por razones formales, y no sustanciales. Sin embargo, de los múltiples contextos en los que se puede discutir los efectos del tratado sobre cibercrimen, es relevante para Colombia pensar este problema en el marco de la política criminal.

La política criminal es “el conjunto de respuestas que un Estado estima necesario adoptar para hacerle frente a conductas consideradas reprochables o causantes de perjuicio social con el fin de garantizar la protección de los intereses esenciales del Estado y de los derechos de los residentes en el territorio bajo su jurisdicción. Dicho conjunto de respuestas puede ser de la más variada índole”. ^[1]

Desde esa perspectiva, el Estado decide que algunas conductas sociales que merecen una respuesta oficial y luego busca las diferentes formas en las que puede concretar dicha respuesta. El objetivo de estas intervenciones es la defensa de los derechos de las personas, por lo cual, en todos los casos, las soluciones deben estar orientadas a ese fin. Sin embargo, el tipo de intervención estatal debe variar de acuerdo al problema social, por lo cual, el derecho penal, es decir, criminalizar una conducta, debe ser visto como un tipo de intervención entre otras.

Como dice la Comisión Asesora de Política Criminal: “un Estado democrático debe minimizar la intervención punitiva, pues si la garantía y protección de los derechos humanos y de los bienes jurídicos fundamentales pueden ser alcanzadas por vías distintas a la penal, como la política social, las políticas preventivas o el uso de mecanismos administrativos de control, entonces es ilegítimo recurrir al instrumento penal. En otras palabras, se trata de que “el derecho penal es de ultima ratio”, es decir, la última herramienta a la que un estado puede recurrir cuando encuentra una conducta que merece una reacción oficial.

Volviendo al Convenio de Budapest, es necesario entonces que su aprobación en Colombia no solo se trate de la simple criminalización de conductas, sino, también, de reflexionar sobre otro tipo de intervenciones que son necesarias para proteger los derechos de las personas en el contexto digital. Si el Estado asume con seriedad el principio según el cual derecho penal es la última reacción posible, es necesario entonces tomar en serio la labor de prevención.

Ante la indeterminación de buena parte de los actores y las motivaciones detrás del cibercrimen, el Estado debe apostar por la ciberseguridad con un enfoque de derechos humanos como una forma de prevención del cibercrimen. Al tiempo, es necesario aclarar la confusión entre ambas y entender que muchas de las conductas que hoy se relacionan con el cibercrimen, en realidad son acciones que fortalecen la seguridad digital y que no pueden ser castigadas de plano.

Teniendo en cuenta esto, algunos problemas que son enfocados dentro del cibercrimen tienen otro significado si se asume, de nuevo, que el derecho penal está reservado para lo más grave y que, por tanto, la prevención de las conductas que se quiere evitar es una mejor alternativa. Uno de estos problemas es la búsqueda y reporte de vulnerabilidades dentro de los sistemas informáticos del gobierno. Desde una perspectiva del derecho penal, esto podría ser un delito. Sin embargo, adoptar esa posición implicaría olvidar el contexto en el que se desarrollan este tipo de reportes.

En Colombia no existe un organismo independiente que pueda atender eficientemente los casos en los que por varias razones se encuentra una vulnerabilidad en los sistemas de información o de infraestructura digital. Actualmente existe el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT), que está dentro del Ministerio de Defensa, el Centro de Operaciones de Seguridad del Comando Conjunto Cibernético de las Fuerzas Armadas (CCOC) y el Centro Cibernético Policial (CCP). Como se ve, estos no son organismos independientes pues hacen parte de la rama del estado encargada de la seguridad y defensa nacional. El trabajo de reporte y solución de vulnerabilidades puede ser dirigido en condiciones de mayor confianza, que descarte el temor a la acción penal por reportar fallas en los sistemas informáticos.

El contexto institucional de la seguridad digital, entonces, es clave para que la prevención del cibercrimen sea una realidad. Este tipo de reflexiones no pueden ser ajenas a la discusión de la aprobación del Convenio de Budapest pues solo criminalizar conductas no es suficiente para solucionar los retos que plantea la seguridad digital para los derechos humanos. La perspectiva de la seguridad digital debe ser privilegiada para pensar estos problemas, en vez de reaccionar con el derecho penal, que es la herramienta más agresiva y quizás menos eficaz cuando no hay una adecuada política de prevención.

^[1]Corte Constitucional de Colombia. Sentencia C-646 de 2001. M.P. Manuel José Cepeda Espinosa. http://www.corteconstitucional.gov.co/relatoria/2001/c-646-01.htm

***

Esta columna fue escrita por Juan Diego Castañeda y es la cuarta de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Fundación Karisma, la investigación se titula «Convenio de Budapest: aplicación en Colombia frente a derechos humanos» y puede ser descargada aquí.

La Fundación Karisma es una organización de la sociedad civil que busca responder a las amenazas y oportunidades que plantea la “tecnología para el desarrollo” al ejercicio de los derechos humanos.

Prohibido soñar

A principios de agosto, un joven estudiante escribió un tuit sobre un sueño que incluía a una ministra de Estado, la portavoz del actual gobierno chileno. El tuit relataba un intento de seducción de la ministra con el propósito de poner una bomba. Semanas después, se volvió sujeto de una investigación penal: tras una denuncia personal por parte de la ministra, la policía uniformada comunicó de la investigación al estudiante personalmente, un domingo por la mañana.

La situación se volvió polémica rápidamente. El uso del aparato estatal estaba volcado a investigar una supuesta amenaza, que poco se condecía con el texto y el contexto de la expresión utilizada. Y a la vez, puso en relieve la actitud de la autoridad frente a expresiones que, en principio, creemos libres y protegidas por el marco de derechos fundamentales.

“Amenazas” en línea

En Chile, la ley sanciona a quien amenaza “seriamente a otro con causar a él mismo o a su familia, en su persona, honra o propiedad, un mal que constituya delito, siempre que por los antecedentes aparezca verosímil la consumación del hecho”. Se requiere amenazar un mal, de forma seria y verosímil. El relato de un sueño que contenía un propósito difícilmente podría tomarse como el anuncio de siquiera intentar la comisión de un delito. Menos aún de forma seria o medianamente verosímil.

La puesta en marcha de la actividad de la policía y del Ministerio Público, sin una ponderación suficiente del lenguaje del tuit y del contexto general, muestra una particular falta de criterio para el uso de recursos públicos destinados a la prevención y persecución del delito. Es decir, se moviliza al estado a reprimir una situación que, aun a simple vista, constituye una expresión sin importancia.

Pero no es solamente esa persecución la que resulta problemática. En un contexto social donde cada hora decenas de personas, especialmente mujeres, son objeto de acoso, amenazas serias de daño físico, incitaciones a la violencia y mucho más, la persecución de una expresión menos seria, debido a la sensación de una figura de autoridad, resulta una forma de desconocer y banalizar actos mucho más serios y mucho más frecuentes. Una utilización selectiva de los recursos del estado, denegada a personas más vulnerables, incluso con resultados fatales.

La vigilancia de las redes sociales

La policía también reveló su modo de actuar sobre las redes sociales: un “patrullaje” sobre las redes sociales, vigilando potenciales actos delictuales a partir de lo discutido de forma abierta en aplicaciones y sitios de internet. Profesionales, dedicados activamente a seguir conversaciones “públicas” en busca de amenazas.

Es difícil olvidar el caso de otro joven acusado hace varios años de agredir a la policía, identificado erróneamente, a partir de la vigilancia de sus redes sociales, y la inclusión en una lista de perfilamiento. Es decir, no es una novedad que esta forma de investigación proactiva existe. Sin embargo, la falta de transparencia a ese respecto es significativa, y deja a la ciudadanía en una importante desventaja frente a los riesgos que implica ser parte de una opaca base de datos policial. ¿Cuáles son los límites y los procedimientos que hoy usa la policía? ¿Cómo está acumulando y sistematizando la información de individuos? ¿Qué resguardos existen? Relatar los sueños propios, o la ubicación, u otras expresiones usadas en redes sociales, también es una muestra de aspectos íntimos de cada persona. Acumular y procesar datos publicados en una red social también tiene impacto sobre la privacidad. ¿Qué evaluación de riesgos ha hecho la policía?

Asimismo, parece paradójico que la misma policía cuyos funcionarios daban poca importancia al hecho puntual, haya requerido hacerse del dispositivo del investigado, obteniendo así acceso a la vida completa del mismo. Sin perjuicio del carácter voluntario de la entrega, ello es a todas luces el acceso a una cantidad desproporcionada de información privada en relación con la situación investigada.

Expresiones vigiladas, expresiones menos libres

La divulgación del hecho por la prensa fue exagerada y hasta falaz. La policía se refirió abiertamente a las (inexistentes) advertencias de instalación de un artefacto explosivo. Un periódico de circulación nacional puso el hecho en portada. Varios medios sostuvieron que el investigado había sido detenido, aun cuando no era cierto. De la misma forma, varios titulares daban a entender la existencia de una amenaza real contra una ministra de estado. Con esto, se produjo la amplificación de la noción de la amenaza en redes sociales, y del involucramiento de la policía en su persecución. Como denunciaran desde la asociación de estudiantes de la escuela del investigado, ello afectó su honra, además de su libertad de expresión.

Pero es relevante considerar que hacer de esta situación un evento con tal nivel de difusión, ayudada por los medios, afecta no solamente a las personas investigadas. La existencia de “ciberpatrullajes” y de visitas de la policía por expresiones aparentemente inocuas, pero referidas a autoridades de gobierno, termina incidiendo en la capacidad para expresarse. Porque no solamente se vulnera el derecho a la libertad de expresión cuando se reprime una marcha o se censura una publicación. También se amenaza a la libertad de expresión cuando se usa selectivamente la persecución estatal, mientras tantos casos de violencia en línea resulta en la no participación en espacios digitales. También se amenaza a la libertad de expresión cuando se invita a la autocensura, por el riesgo de una visita de la policía tras la osadía de contar un sueño.

El ataque de las máquinas de censura que amenaza a Europa

Día a día utilizamos y convivimos con tecnologías que no comprendemos. Sabemos operarlas y obtener ciertos resultados, pero desconocemos el modo en que estos resultados se logran. Entre más invisibles sean las técnicas utilizadas y el conocimiento aplicado, mejor: apenas presiono el interruptor la habitación completa se ilumina; cuando giro la llave, cae el agua. Y aunque para algunos esta idea parezca herética o paradójica, supongo que es normal dado el grado de especificidad que ha alcanzado hoy el conocimiento. Simplemente no se puede saber todo. No es necesario.

Esto no significa que nuestra ignorancia respecto al modo como la tecnología opera esté exenta de problemas. En la medida que la tecnología se complejiza y se vulgariza, empieza a tener connotaciones mágicas y pareciera ser que no hay problema que no se pueda resolver mediante un algoritmo, lo que sea que eso signifique. Y cuando esta idea respecto a la tecnología es promovida por tomadores de decisiones -ya sea por honesta ignorancia o de forma maliciosa- las consecuencias pueden ser gravísimas.

Esto es lo que está pasando hoy en Europa, a propósito de la discusión del polémico artículo 13 de la propuesta de directiva del Parlamento Europeo y del Consejo sobre los derechos de autor en el mercado único digital. Básicamente, el artículo busca que los intermediarios de internet implementen medidas tecnológicas capaces de detectar contenido infractor de derecho de autor antes de que este sea publicado en línea, impidiendo así cualquier daño a los titulares. Estas medidas deben ser adecuadas, proporcionadas, y los intermediarios deben implementar un sistema de apelación al que los afectados puedan recurrir en caso de que su contenido hubiese sido incorrectamente bloqueado.

A primeras no se ve mal. Sin embargo, en la práctica esto significa implementar filtros que analicen todo el contenido de todos los usuarios de internet en Europa, y lo compare con una base de datos de contenidos protegidos, proporcionada por los representantes de los titulares de derecho de autor. Y visto así, se trata de una idea terrible.

Las razones son múltiples, desde el hecho de que contraviene el régimen imperante en donde los intermediarios no son responsables de los actos realizados por sus usuarios en internet, hasta la carga que implica el desarrollo e implementación de dichos filtros, particularmente para intermediarios pequeños y medianos. Pero el principal argumento en contra del artículo 13 es que, si ponemos a un algoritmo a cargo de decidir qué constituye infracción de derecho de autor, las máquinas la van a cagar. Y la van a cagar feo.

Como hemos mencionado innumerables veces en el pasado, el derecho de autor se trata, esencialmente, del justo balance entre los derechos de explotación económica que posee el titular de una obra, y los derechos de todo el resto de la comunidad para acceder al conocimiento y la cultura, expresarse y ser parte de la vida cultural de una región.

Se entiende así que existe un valor mayor, en torno a la proliferación de un ecosistema creativo, que se está nutriendo constantemente de los aportes y desarrollos realizados por los distintos miembros de la comunidad. En ese sentido, el derecho de autor constituye un incentivo a la producción de obras, pero no puede significar un impedimento o un freno para el desarrollo del conjunto, del bien común. Es por eso, por ejemplo, que las legislaciones de derecho de autor siempre reconocen la posibilidad de realizar algunos usos de ciertas obras sin necesidad de pedir autorización.

El problema es que si ponemos a una máquina a decidir qué constituye una excepción y cómo se diferencia de una infracción al derecho de autor, es muy probable que, en un número importante de casos, la máquina no sea capaz de responder fehacientemente. Es por ello que una de las principales banderas de lucha en contra del artículo 13 es que impedirá la proliferación de memes, pieza fundamental del actual internet. Normalmente el meme es creado como un uso transformativo de una obra previa, ya sea a modo de cita o parodia, que resignifica a la obra, dotándola de un nuevo significado, un sentido diferente, un valor de uso distinto, en el contexto de una comunicación carente de una explotación comercial directa. Todo esto, que es evidente cuando se analiza un meme, puede no serlo para una máquina, sobre todo en aquellos casos en que la lógica del meme requiere que la intervención de la imagen no sea extensiva. Las probabilidades de marcar usos justos, excepcionales o inocuos como infracción son altísimas, y lo que se arriesga es precisamente afectar la fertilidad creativa del ecosistema digital, el derecho a la libertad de expresión y a la participación en la vida cultural.

Más todavía, cuando la comparación debe ser hecha a partir de una lista de obras provista por los representantes de los titulares de derecho, las posibilidades de abusar el sistema son amplias. Basta que solamente una obra sea -genuina o maliciosamente- incluida por error en un listado de obras protegidas. Cosa que ya ha pasado en otras partes del mundo.

¿Pero el sistema estipula que deben existir criterios de proporcionalidad y mecanismos de protesta para reclamar decisiones incorrectas? Es cierto, pero, no se detalla cuáles deben ser esos criterios; y respecto a la posibilidad de apelar a una decisión, es muy probable que los reclamos sean relegados a un limbo del cual salir puede ser difícil, incluso perdiendo la ventana de relevancia que puede tener la publicación de algún contenido, por ejemplo en un contexto de protesta.

Todas estas aprehensiones vienen de casos de la vida real. Los abusos al filtro de derecho de autor de Google han sido ampliamente documentados; en América Latina, sabemos de al menos un caso en el cual el desbalanceado procedimiento de la plataforma de video fue utilizado para remover contenido con el fin de censurar contenido desfavorable al ex-presidente ecuatoriano, Rafael Correa, y, más recientemente, una publicación de la eurodiputada Julia Reda donde explicaba el peligro que encierra el artículo 13 fue (y sigue) sospechosamente bloqueado, a pesar de la reclamación de contenido legítimo. Lo ridícula de esta última situación debería ser suficiente para poner freno a una idea nefasta.

Pero luego la pregunta perdura: ¿se propone esta solución pues no se entiende cómo funciona la tecnología y se tiene la esperanza de que de verdad estos problemas puedan ser solucionados (lo que probablemente no va a ocurrir) o se confía en que el resto de la gente desconoce cómo funciona la tecnología para poder implementar un sistema que -se sabe- puede ser abusado en favor de quienes proponen una concepción maximalista del derecho de autor?

Como sea, lo cierto es que la sociedad civil se está movilizando. El próximo domingo 26 de agosto, distintas organizaciones basadas en Europa están llamando a una serie de manifestaciones públicas en todo el continente en contra del artículo 13 y la #CensorshipMachine. Les deseamos éxito y seguiremos pendientes de los siguientes pasos.

Herramientas para perseguir a la oposición en Guatemala

El proyecto de vigilancia, creado en 2012 por el gobierno guatemalteco, se inicia por la adquisición por vía de excepción por parte de la Dirección General de Inteligencia Civil (DIGICL) de un software por valor de 1.4 millones de quetzales (alrededor de 186.000 dólares) cuya finalidad es permitir la intercepción de mensajes y correos electrónicos. A finales del mismo año, se suma la compra de dos maletines con fines de intercepción de llamadas telefónicas, por un valor equivalente a 2.5 millones de dólares. De acuerdo con Nuestro Diario, entre los softwares adquiridos se encuentran “las versiones más avanzadas” de Pegasus, Pen-Link, Circles, Citer, Conceptus, Memex, Sitev, Laguna, Avatar y del software Galileo, de Hacking Team, empresa que ha sido objeto de escándalo anteriormente al venderle su software a una larga lista de gobiernos latinoamericanos.

La investigación revela que la Dirección General de Inteligencia Civil, cuyo mandato es la recolección de información para el combate del crimen organizado, utilizó la información recabada con fines políticos, en el contexto de las protestas por corrupción enfrentadas por el gobierno entre 2014 y 2015. Así, a medida que crecía el rechazo hacia los actos gubernamentales, se fue incrementando la vigilancia contra todo aquel que el gobierno considerara un enemigo político, incluyendo no solo la interceptación de las comunicaciones tanto digitales como analógicas, sino también la vigilancia física, todo esto llevado a cabo por grupos de trabajo conformados tanto por militares como por civiles. Estas técnicas fueron también usadas para vigilar a los manifestantes durante las protestas de 2015.

Tal como resume la Fundación Acceso en la siguiente infografía, entre 2012 y 2014 el gobierno habría ido ampliando progresivamente sus capacidades de vigilancia, adquiriendo actualizaciones de software y alquilando un edificio destinado exclusivamente al centro de espionaje.

De acuerdo con la investigación presentada por Nuestro Diario, el sistema de vigilancia permitiría a las autoridades interceptar las comunicaciones telefónicas y los servicios de mensajería, hacer una copia espejo de lo que se escribe en un dispositivo intervenido, infiltrarse en redes sociales mediante la creación de perfiles falsos, así como activar la cámara y el micrófono de teléfonos celulares y computadoras con la finalidad de grabar audio, video y fotografías. Como señalamos, este tipo de prácticas no son nuevas en la región: ya en 2016 se denunciaba la adquisición por parte de los gobiernos de México, Honduras, Panamá, Ecuador, Colombia, Brasil y Chile del software proporcionado por Hacking Team, y se sabía que al menos otros seis países de la región (incluida Guatemala) habían sostenido negociaciones para la compra de este software.

Enrique Degenhart, Ministro de Gobernación guatemalteco, declaró negando la existencia de la red de espionaje, y afirmó que el sistema, que fuera adquirido por la administración anterior durante la presidencia de Otto Pérez Molina, estaría en poder de la Fiscalía y la CICIG (Comisión Internacional contra la Impunidad en Guatemala). Según Degenhart, las herramientas fueron secuestradas por las autoridades por la vía judicial. Pérez Molina actualmente cumple prisión preventiva por cargos de corrupción. “No tenemos conocimiento sobre qué están haciendo con ellas”, señaló el ministro, añadiendo que el uso de estas tecnologías estaría a discreción de las instituciones que las secuestraron, en lo que parece ser un intento de desmarcarse de cualquier responsabilidad sobre el uso de estos sistemas para la vigilancia.

Este tipo de circunstancias, precisamente, apunta a uno de los problemas más graves respecto a las tendencias recientes en tecnologías para la vigilancia en Latinoamérica: la total carencia de transparencia y rendición de cuentas en los procesos de licitación, adquisición, implementación y uso de estas tecnologías, que son adoptadas en procesos de secretismo bajo excusas de “seguridad nacional” e “inteligencia militar”, incurriendo así en afectaciones gravísimas a la privacidad de los ciudadanos sin que estos posean ningún mecanismo ni posibilidad alguna de ejercer los controles pertinentes sobre la manera en que son vigilados, y sin que puedan ser protegidos por las garantías judiciales mínimas que garanticen la proporcionalidad, la necesidad y la legalidad de las medidas tomadas.

Este tipo de tecnologías, que facilitan a los Estados la utilización de técnicas de hackeo con fines de vigilancia, socavan la privacidad de los ciudadanos de un modo especialmente grave, por cuanto recurren a la explotación de vulnerabilidades de seguridad en los sistemas informáticos, frecuentemente sin justificación legal y en maneras que no suelen ser compatibles con la normativa internacional en materia de derechos humanos. Así, Privacy International señala, en un informe de 2017 sobre la práctica del hackeo con fines de vigilancia en América Latina:

No queda claro si estas actividades pueden en alguna instancia realizarse en conformidad con las normas internacionales de derechos humanos. Si los Gobiernos insisten, a pesar de lo anterior, en poner en práctica estas facultades, deben cumplir con una serie de salvaguardas necesarias mínimas (según lo establece la legislación internacional en materia de derechos humanos) que aborden las implicancias que tiene el hackeo en la seguridad.

En este sentido, el primer factor de urgencia, tanto en Guatemala como en el resto de Latinoamérica, es la articulación de una base legal clara con respecto a las actividades de inteligencia, vigilancia y hackeo llevadas a cabo por parte de los Gobiernos. La carencia de una base legal clara, específica y que haya sido creada a través de una discusión abierta, pública y de carácter parlamentario, con la inclusión de todos los sectores de la sociedad, es el primer factor que ocasiona que todas estas actividades estén siendo llevadas a cabo en violación de las normativas internacionales en materia de derechos humanos. Por otra parte, si bien la Procuraduría de Guatemala anunció la apertura de un expediente para investigar los hechos mencionados, los gobiernos de la región han sido consistentes en ignorar las investigaciones o procesos judiciales que deberían haber sido llevados a cabo al descubrir las irregularidades cometidas en la implementación y uso de estas tecnologías, así como en lo que respecta a la revisión necesaria de las leyes vigentes.

Mientras seguimos siendo vigilados, la transparencia, la rendición de cuentas y la creación de garantías y controles judiciales efectivos frente a las medidas invasivas a la privacidad se hacen cada vez más urgentes. De lo contrario, la vulneración constante a nuestra privacidad no será más que un factor adicional en el debilitamiento de nuestra libertad de expresión y participación y por ende, en el socavamiento de las ya frágiles democracias de nuestra región.