Tipo de contenido (Recurso): Columnas

La necesidad de legislar sobre cibercrimen en Panamá

El Networked Readiness Index (NRI) es un indicador producido por el Foro Económico Mundial sobre acceso a las Tecnologías de la Información y comunicación, que busca medir qué tan preparado está un país para afrontar la transición al nuevo mundo, marcado por la convergencia de tecnologías digitales, físicas y biológicas, en lo que algunos economistas denominan “la cuarta revolución industrial”. Según el NRI, Panamá se encuentra en una posición de ventaja frente al resto de países centroamericanos, el uso de las tecnologías es cada vez más frecuente en un creciente espectro de actividades diarias de los ciudadanos.

Sin embargo, el uso de las tecnologías de la información no está necesariamente limitado por la legalidad y, en algunos casos, se está utilizando también para cometer delitos: el creciente acceso a internet y las tecnologías de la información han requerido de la creación de marcos jurídicos que lidien con los delitos cibernéticos, un aspecto que la legislación panameña todavía tiene pendiente de resolver.

Lo interesante es que Panamá fue el segundo país latinoamericano en ratificar el Convenio de Budapest, después de la República Dominicana: La Asamblea Nacional de Panamá aprobó el Convenio sobre la Ciberdelincuencia a través de la Ley 79 del 22 de octubre de 2013; Panamá aprobó el texto del Convenio de Budapest sin reservas ni modificaciones, y depositó el instrumento de adhesión en marzo del 2014 ante la Secretaría del Consejo de Europa.

Al mismo tiempo, Panamá cuenta con institucionalidad en materia de ciberserguridad. En el año 2011 se creó el CSIRT-Panamá (Computer Security Incident Response Team, por sus siglas en inglés) bajo la estructura gubernamental de la Autoridad Nacional para la Innovación Gubernamental, creado a través del Decreto Ejecutivo No.709 del Ministerio de Presidencia. El CSIRT-Panamá es la institución encargada de prevenir e identificar ataques e incidentes de seguridad a los sistemas informáticos de la infraestructura crítica del país.

El Consejo Nacional para la Innovación Gubernamental elaboró y aprobó en 2013, la Estrategia Nacional de Seguridad Cibernética y Protección de Infraestructuras Críticas, esta política establece un conjunto de acciones y procedimientos para mejorar la ciberseguridad, así como proteger las infraestructuras vitales del país.

Panamá investiga los casos de delincuencia cibernética a través de la Unidad de Investigaciones de Delitos Informáticos, dependiente de la Dirección de Investigación Judicial, y a través de la Fiscalía Superior Especializada en Delitos contra la Propiedad Intelectual y Seguridad Informática. Sin embargo, actualmente, el Código Penal vigente únicamente tipifica 2 conductas como delitos informáticos, y no incluye los delitos que se realicen por medios electrónicos. Del artículo 289 al 292 regula los delitos contra la seguridad informática: a) ingresar o utilizar de bases de datos, red o sistemas informáticos; y, b) apoderar, copiar, utilizar o modificar datos en tránsito o contenidos en bases de datos o sistemas informáticos, o interferir, interceptar, obstaculizar o impedir la transmisión.

En ese sentido, Panamá tiene la obligación internacional de adecuar su legislación penal conforme a los estándares regulados en el Convenio de Budapest, lo que implica elaborar reformas al Código Penal y Código Procesal Penal.

Ya se han presentado anteproyectos para la implementación del Convenio de Budapest, sin embargo, el Proyecto de Ley 558 que modifica y adiciona artículos al Código Penal, relacionados al cibercrimen, presentado el 27 de septiembre de 2017, es el que se encuentra más avanzado en la Asamblea Nacional.

Este proyecto de ley carece de una adecuación integral, ya que debería incluir la adopción de nuevos tipos penales más allá de una simple adecuación de tipos penales ya existentes en un entorno cibernético. En materia procesal, este proyecto únicamente incluye un apartado sobre la evidencia digital, sin embargo, no profundiza en otros aspectos procedimentales regulados en el Convenio de Budapest. Esto último dificultaría la adecuada implementación a nivel nacional e internacional de los mecanismos de investigación de ciberdelincuencia, así como el procesamiento de las personas involucradas en estos actos.

Panamá enfrente grandes desafíos en la implementación del Convenio de Budapest, especialmente en la necesidad de crear estándares legales claros para la investigación de ciberdelitos y la falta de capacidades adecuadas en las diferentes instituciones públicas que participan en los procesos de persecución penal y que dificultan los procedimientos internos para la investigación en ciberdelincuencia.

La construcción de políticas públicas y legislaciones, sustantivas y procesales, adecuadas a los estándares internacionales en materia de ciberdelincuencia es una urgencia en Panamá. Las entidades públicas que participan en los procesos de investigación penal y de otros sectores, como el sector privado y la comunidad técnica, deben buscar el desarrollo de capacidades para hacer frente en la lucha contra la ciberdelincuencia.

Una reforma adecuada de este último permitiría que los mecanismos para la investigación penal aseguren la correcta guía y salvaguarda de los derechos humanos y garantías procesales reconocidos por tratados internacionales y la Constitución.

***

Esta columna fue escrita por Sara Fratti y es la tercera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de Ipandetec, la investigación se titula “Panamá, un país con la necesidad de una legislación sobre cibercrimen’ y puede ser descargada aquí.

El Instituto Panameño de Derecho y Nuevas Tecnologías (IPANDETEC) es una asociación sin fines de lucro que promueve el uso y regulación de las TICs y la defensa de los derechos humanos en el entorno digital en Panamá y Centroamérica.

El Convenio de Budapest desde una perspectiva de derechos humanos

El Convenio sobre Ciberdelincuencia, mejor conocido como el Convenio de Budapest, es un tratado internacional vinculante en materia penal, que establece herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos. El Convenio nació, como señala su preámbulo, en vista de la necesidad prioritaria de aplicar “una política penal común” entre sus miembros, así como de mejorar la cooperación internacional entre ellos con el fin de “proteger a la sociedad frente a la ciberdelincuencia”.

En función de lo anterior, para abordar la efectividad del mismo o la necesidad de que México se adhiera a él, surge una primer interrogante: ¿qué se debe entender por una “política penal común”? Para atender esta cuestión, habría que recurrir primeramente a la concepción de “derecho penal” en sí misma. Esta suele dividirse en dos aspectos, el derecho penal objetivo, “ius poenale” y el derecho penal subjetivo, “ius puniendi”. Como explica Miguel Polaino Navarrete, el primero refiere al “conjunto de normas públicas que definen determinadas acciones como delitos e imponen las penas correspondientes”. El segundo, a la facultad o potestad del Estado para imponer dichas penas a quienes incurran en estas acciones. El derecho penal, por tanto, resulta ser una atribución única y exclusiva del Estado. Solo a este le compete definir su política penal y sancionar a aquellos ciudadanos que actúen de forma contraria a la misma.

Entonces, la necesidad de aplicar una “política penal común” implica otorgarle a los Estados signatarios del Convenio la facultad de, en términos de su preámbulo, “detectar, investigar y sancionar” aquellas conductas que, de acuerdo a las definiciones establecidas por el mismo Convenio, constituyen actos que ponen en peligro los sistemas, redes y datos informáticos, con el fin de “proteger los intereses legítimos en la utilización y el desarrollo de las tecnologías de la información”. De lo anterior, surge una segunda interrogante: ¿a qué intereses legítimos se refiere el Convenio? ¿Intereses legítimos según quién o para quién? Al tratarse de una potestad exclusiva de los Estados, es claro que la “legitimidad” detrás de los intereses en juego también deberá definirse por estos.

Por tratarse de un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”, o ser el marco de referencia en este sentido, el Convenio incorpora, de manera por demás vaga, amplia y general, las conductas mínimas que cada Estado deberá criminalizar en su derecho interno para combatir este fenómeno. El problema es que no todos los Estados parten de los mismos contextos ni enfrentan los mismos obstáculos. No todos los Estados son igual de democráticos, no todos los Estados son igual de transparentes y no todos los Estados garantizan o priorizan de la misma forma el respeto a los derechos humanos.

El Convenio pretende la implementación de nuevos tipos penales, así como el establecimiento de facultades de investigación más robustas para que los Estados puedan perseguir a los “ciberdelincuentes”. No obstante, el Convenio y sus principales promotores probablemente parten del supuesto de que el país firmante es un país democrático, un país en el que se respeta el Estado de Derecho. También del supuesto común de que son los particulares o los entes privados los principales responsables de la comisión de delitos informáticos. ¿Pero qué pasa cuando se trata de Estados con regímenes poco democráticos y/o poco transparentes? ¿Qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?

Durante la elaboración del Convenio surgieron preocupaciones, sobre todo por parte de la sociedad civil, en torno a que bajo la narrativa de buscar “proteger a la sociedad frente a la ciberdelincuencia”, el instrumento fuera utilizado como fundamento para expandir facultades de vigilancia e implementar restricciones demasiado vagas o ilegítimas al uso de internet y al contenido en línea. De hecho, desde 2001 se han presentado diversas iniciativas por parte de Estados que, operando bajo la misma supuesta línea de querer combatir la “ciberdelincuencia”, pretenden criminalizar y restringir arbitrariamente el derecho a la libertad de expresión en línea.

En México, por ejemplo, se ha documentado que autoridades han utilizado ataques informáticos para invadir la privacidad de defensores de derechos humanos, periodistas y otros actores de la sociedad civil. Según ha sido revelado, el Estado mexicano habría adquirido licencias de un costoso y sofisticado malware de vigilancia que, explotando vulnerabilidades en dispositivos electrónicos, permite al atacante tomar control absoluto del dispositivo con fines de vigilancia. Las investigaciones revelan que dicho malware de vigilancia se habría utilizado en contra de los defensores de derechos humanos, periodistas y otros actores de la sociedad civil de manera presumiblemente ilegal, al no mediar la autorización judicial pertinente, entre otros. Tal nivel de control e intrusión sobre las comunicaciones de una persona constituye una violación grave a su derecho a la libertad de expresión, a la privacidad e incluso, podría derivar en violaciones al derecho a la integridad y a la seguridad personal.

Cabe mencionar que estos hechos también implican la comisión de diversos delitos informáticos conforme al Convenio. Los mismos encuadran dentro de la descripción típica que hace este instrumento de los delitos de acceso ilícito, previsto en el Artículo 2; interceptación ilícita, previsto en el Artículo 3, y abuso de dispositivos, previsto en el Artículo 6, por ejemplo. Incluso, sin necesidad de recurrir al Convenio, esta violación grave implica la comisión de delitos que ya se encontraban tipificados en México, mucho antes de su comisión, como delitos graves.

Partiendo de un contexto como el anterior, ¿sería acorde a los principios y estándares internacionales en materia de derechos humanos el i) imponer la creación de nuevos tipos penales que dejan un amplio margen a la interpretación estatal, así como ii) dotar de mayores facultades de investigación a los Estados, con el fin “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, cuando existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos?

La respuesta más lógica sería que no, al contrario. Resultaría riesgoso otorgar mayores facultades de investigación, vigilancia, retención de datos y persecución de delitos (tipificados de forma todo menos precisa, clara y detallada) a países que, por mencionar un ejemplo, ya figuran entre los principales clientes de empresas de “ciberguerra” , como es el caso de NSO Group y México, los Emiratos Árabes Unidos y Turquía. Países que, se ha demostrado, en vez de recurrir a estas herramientas de “ciberguerra” en pro de la lucha contra el terrorismo y la delincuencia organizada, recurren a estas en contra de sus propios ciudadanos.

La creación del Convenio de Budapest como un intento de armonización en la materia pretendía justificarse a la luz de la complejidad técnica y la necesidad de colaboración internacional para afrontar el fenómeno de la «ciberdelincuencia». Sin embargo, parece ser que a la fecha no se ha abordado lo suficiente el riesgo tangible que implicaría que, con base en el mismo Convenio, bajo el pretexto de “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, Estados con regímenes autoritarios o poco democráticos justifiquen violaciones a derechos humanos e incluso, paradójicamente, mediante el mal uso de las tecnologías de la información y las comunicaciones, cometan delitos informáticos en contra de sus ciudadanos.

En vista de que no se ha otorgado mayor consideración a esta posibilidad ni se ha discutido profundamente la misma, que es por demás factible, cobra fundamental importancia que la sociedad civil participe en los procesos de adopción e implementación del Convenio de aquellos Estados con contextos similares al de México, con altos índices de corrupción e impunidad y bajos niveles de transparencia y rendición de cuentas, que decidan adherirse al mismo. De igual forma, que la misma sociedad civil e incluso la comunidad internacional den especial seguimiento a los instrumentos jurídicos y mecanismos de cooperación que de ello deriven, incluyendo su respectiva aplicación.

Si dichos procesos de implementación, instrumentos jurídicos y mecanismos de cooperación no gozan de las debidas garantías de transparencia, publicidad, objetividad, imparcialidad, legalidad y exacta aplicación de la ley penal, así como de mecanismos suficientes de supervisión independiente y de rendición de cuentas, la efectividad del Convenio para alcanzar su objetivo -proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones- se tornaría lejana. Incluso, contraproducente.

***

Esta columna es la segunda de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de R3D, la publicación se titula «México y el Convenio de Budapest: posibles incompatibilidades» y puede ser descargada aquí.

La Red en Defensa de los Derechos Digitales (R3D) es una organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital.

Una breve historia de la ciberseguridad importada

El día 28 de setiembre, el Poder Ejecutivo de Perú remitió al Congreso de la República los documentos relacionados al Convenio de Budapest con el fin de que sean revisados y puestos en agenda para su ratificación. Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?

Antecedentes

A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.

El ciberespacio, término ambiguo y escurridizo, era un campo nuevo en donde muchas nociones perdían el sentido cuando se trataba de prevenir conductas indeseadas, identificar delitos y perseguirlos. Especialmente las ideas de jurisdicción (quién juzga) y competencia (dónde se juzga) eran insuficientes para combatir, por ejemplo, el fraude bancario perpetrado a través de medios electrónicos. Lo mismo con aquellas conductas sin consecuencias directas en el mundo físico, como la intrusión en servidores informáticos o el hurto de bases de datos.

Los primeros esfuerzos por crear cuerpos legales y mecanismos de respuesta frente a estas amenazas fueron locales. Un ejemplo es la temprana Computer Fraud and Abuse Act (CFAA) aprobada en Estados Unidos en 1986. Sin embargo, por su propia naturaleza, la efectividad de estas medidas estaba limitada al ámbito doméstico y perdieron vigencia cuando el crimen transfronterizo se incrementó, como consecuencia de la masificación de internet y la sofisticación de la tecnología computacional.

En ese contexto y ante la necesidad de crear un marco común de trabajo, el Consejo de Europa tomó la iniciativa en 1995 y creó un comité de expertos en delitos informáticos para producir recomendaciones sobre este tema, lo que llevó eventualmente a la redacción y aprobación del Convenio sobre Ciberdelincuencia, mejor conocido como Convenio de Budapest. Este tratado, consensuado durante más de cinco años, fue aprobado en 2001 y reflejaba no solo las preocupaciones del momento, sino también dos aspiraciones europeas muy concretas: la necesidad de estandarizar los sistemas penales de justicia y, más importante aún, la urgencia de crear mecanismos de cooperación internacional contra la cibercriminalidad.

Pese a que existieron otros esfuerzos paralelos, el éxito del Convenio de Budapest lo ha convertido en una suerte de paradigma en el ámbito de la ciberseguridad. Quizás parte de ese éxito se debe a que este instrumento es fiel reflejo del contexto donde surgió y fue implementado: dentro de un bloque grande de países que compartían una visión similar del desarrollo en términos económicos y culturales. Por ello ha sido desde el inicio un punto de referencia para otros países, razón por la cual varios estados no miembros de la Unión Europea lo han suscrito, como Panamá y Chile.

Pero el Convenio también ha servido para reforzar la idea de que hace falta más control sobre el ciberespacio. Esto ha generado que, junto con las normas penales, se aglutinen también otros intereses y prioridades adyacentes, como la ciberdefensa, la protección de la infraestructura crítica y la seguridad de la información estatal. Todas estas, que comparten entre sí espacios comunes, han terminado casi siempre engarzadas en directrices, estrategias y planes de ciberseguridad de alcance institucional o nacional.

Latinoamérica y el Perú

Este proceso, que en el norte global ha durado décadas, ha sido bastante más corto en otras regiones como América Latina, en donde, luego de la implementación (tardía) de leyes de delitos informáticos o la suscripción del Convenio de Budapest, se ha empezado inmediatamente a trabajar en Planes Nacionales de Ciberseguridad. Muchas veces esto responde no solo a las necesidades apremiantes que produce el crimen globalizado, sino también al hecho de que en muchos casos la organización institucional que soporta el plan se ha tenido que replantear porque la anterior no estaba centralizada, era obsoleta o inexistente.

El escenario latinoamericano en materia de ciberseguridad es particular también porque, pese a que la mayoría de los países poseen una visión económica y cultural más o menos similar, no ha tenido tiempo para generar sus propios procesos ni llegar a consensos a través de organismos regionales, como la Organización de Estados Americanos (OEA). Esto hace que surjan muchas interrogantes con respecto a la forma en que estos procesos se están encarando y en qué medida otros factores como la idiosincrasia, el pasado común y las necesidades particulares están jugando un rol que ayude a diferenciarlos del modelo europeo en lo necesario para lograr un sistema eficiente y verdaderamente útil.

En el caso específico del Perú, decíamos al inicio que el proceso de ratificación del Convenio de Budapest está en su última etapa, a la que se ha llegado luego de muchos años de contar con normas contra los delitos informáticos. Sin embargo, actualmente el escenario no es del todo claro pues durante todo este tiempo no han existido análisis de situación o líneas de base que permitan conocer cuál es el estado de la ciberseguridad en el país y las necesidades locales con respecto a los beneficios que ofrece el Convenio.

Si bien existen reportes internacionales y de sectores muy específicos, e incluso propuestas para crear planes nacionales en torno a la ciberseguridad, ninguna ha profundizado en la problemática peruana. No se conoce lo básico, por ejemplo, qué tipo de delito informático es el más común en el país y quiénes son los principales afectados. Tampoco se sabe cuáles son las urgencias con respecto a la cooperación internacional, teniendo en cuenta que el Perú ya participa de varios foros internacionales relacionados al ciberespacio, a través del PeCERT y la Policía Nacional (Interpol). Menos aún se sabe sobre las amenazas para la Defensa Nacional, si es que existen en realidad más allá de las proyecciones de partes interesadas como vendedores de antivirus o firmas de consultoría en seguridad informática.

Por todo ello, es necesario mirar con ojo crítico la forma en que la adhesión y acondicionamiento al Convenio de Budapest modifica las estructuras que juegan algún rol dentro de la ciberseguridad en nuestro país. En general, es más lo que se debe hacer que lo hay que modificar, pero este proceso debe ser construido sobre evidencia empírica, con participación amplia de diferentes sectores y no simplemente emular modelos que se superpongan a la realidad nacional. Solo así será posible aprovechar este instrumento internacional para mejorar nuestra situación, algo que ciertamente va a tomar mucho más tiempo después que el Convenio se ratifique.

¿Estamos preparados para acometer esa tarea? El tiempo y las acciones de quienes impulsan esta y otras iniciativas lo dirán.

***

Esta columna es la primera de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además una serie de investigaciones desarrolladas por las mismas organizaciones. En el caso de Hiperderecho, la publicación se titula «De Budapest al Perú: análisis sobre el proceso de implementación del convenio de ciberdelincuencia. Impacto en el corto, mediano y largo plazo» y puede ser desacargada aquí.

Hiperderecho es una organización civil peruana sin fines de lucro, dedicada a investigar, facilitar el entendimiento público y promover el respeto de los derechos y libertades en entornos digitales.

Avanza la tramitación de la ley de datos: lo bueno, lo malo y lo feo

El pasado 3 de julio, luego de muchísima expectación y múltiples extensiones de plazo, el ejecutivo ingresó sus indicaciones al proyecto de ley que regula la protección de datos personales que hoy se encuentra en tramitación en el Senado. Este hito es relevante, porque estas modificaciones perfilan la orientación que el ejecutivo buscará entregar a la tramitación del proyecto durante su mandato.

A continuación, nos proponemos analizar lo bueno, lo mano y lo feo de las modificaciones propuestas, con especial énfasis en la toma de partido respecto de la institucionalidad encargada de velar por el cumplimiento de la ley.

Lo bueno

 Las indicaciones del ejecutivo recogen muchas de las inquietudes y propuestas manifestadas por distintos académicos, expertos, organizaciones de la sociedad civil y organismos públicos. En cuanto a disposiciones de fondo, es posible observar que las modificaciones propuestas reponen los hábitos personales como elemento mencionado en la enumeración de datos de carácter sensible. Esta mención es particularmente importante, ya que una parte importante del modelo de negocios de los servicios que utilizamos depende cada vez más de rastrear nuestros patrones, rutinas y hábitos de forma precisa.

Otra figura importante que se modifica es la excepción de fuente accesibles al público. La regla general es que, para tratar un dato personal, se requiere el consentimiento de su titular. Actualmente, el hecho de que un dato se encuentre en una fuente accesible al público se configura como excepción a este principio; una excepción tan amplia que termina transformando la desprotección en la regla general. De ahí la proliferación de sitios web que exponen nuestros datos o de empresas que los utilizan para entregar inteligencia de negocio a campañas políticas.

El proyecto original no subsanaba de forma satisfactoria esta situación. La indicación, por su parte, establece que la definición de qué se considera una fuente accesible al público no será amplia, sino taxativa. Esto quiere decir que un número limitado y establecido de fuentes de información tendrán esta categoría, y que ese listado será revisado anualmente por la entidad encargada de protección de datos. De esta forma se limita qué fuentes de información efectivamente pueden operar como excepción al principio del consentimiento, y se permite que este listado cuente con cierta flexibilidad.

Siguiendo con las excepciones, el proyecto original establecía como excepción al consentimiento del titular el hecho de que el interesado en tratar datos personales contara con un “interés legítimo” en su tratamiento. Esta figura fue tomada del Reglamento General de Protección de Datos de Europa, pero sin importar junto con ello todos los resguardos y limitaciones a su aplicación que en él se establecen. La indicación propone definir qué se entiende por interés legítimo, limitándolo a actividades particulares y excepcionales.

Por otro lado, se elimina la exigencia de que los titulares solo se puedan oponer al tratamiento automatizado de sus datos personales cuando estos los afecten de forma significativamente negativa o les produzcan efectos jurídicos adversos. De esta forma, el titular tendrá mayor libertad para oponerse a la toma de decisiones algorítmicas respecto de su persona y la elaboración de perfiles a partir de sus datos personales, sin entrar discutir su calificación.

Lo malo

Así como el proyecto avanza en las materias antes mencionadas, también retrocede o no subsana carencias de varias de sus disposiciones. Uno de los elementos en que el proyecto había retrocedido respecto de la actual Ley 19.628 es en la obligación de los organismos públicos de registrar las bases de datos que administren. Lo conducente hubiese sido que dicha obligación se extendiese también a las entidades privadas, sin embargo, el gobierno optó por reponer esta obligación exclusivamente a los organismos públicos a través de la creación del Registro Nacional de Bases de Datos.

Otro elemento negativo es que la definición de motor de búsqueda propuesta establece explícitamente que estos serán considerados como responsables de bases de datos. Esto implica que respecto de buscadores como Google, Bing o DuckDuck Go o Yahoo los titulares podrán hacer efectivo el derecho de cancelación y oposición, para lograr desindexación de su información, situación que ha sido denominada como “derecho al olvido”.

Como hemos dicho con anterioridad, si bien debe existir una solución para aquellas personas que se ven afectadas por la disponibilidad de información inexacta, desactualizada o que les impide su reinserción en la sociedad, dicha solución debe tener en consideración los otros intereses jurídicos involucrados, tales como la expresión, el derecho a obtener información, la memoria histórica y al ejercicio del periodismo de investigación.

Por último, el proyecto establecía que el consentimiento no se considerará una base jurídica suficiente para la validez del tratamiento de datos, cuando exista un desequilibrio ostensible entre la posición del titular y el responsable. Existen argumentos entendibles respecto de la falta de certeza jurídica que puede producir esta disposición. Sin embargo, la modificación propuesta no entrega una herramienta para hacerse cargo de la desigual condición en que se encuentra un usuario respecto de una empresa al momento de contratar. De esta forma, solo se exige que, si al momento de contratar el responsable pide la entrega de datos no relacionados con el contrato, esta situación se encuentre destacada, que no es un remedio suficiente a la situación de desequilibrio en juego.

Lo feo 

Ya mencionamos que al momento de definir qué se entiende por interés legítimo, la modificación propuesta limitó las situaciones en que esta excepción puede ser utilizada. El articulado entrega un listado de situaciones que cumplen con esta definición, entre las que se encuentran actividades de prevención del fraude, seguridad informática, investigación con fines históricos, estadísticos, y científicos, entre otros. Sin embargo, en este listado de actividades que se considerarán un “fin legítimo” se incluyó el marketing directo, es decir, el envío de publicidad por parte de las empresas. En otras palabras, las empresas no requerirán el consentimiento de las personas para enviar publicidad dirigida. Esta inclusión es injustificada, arbitraria y solo puede entenderse en base al lobby de la industria en la materia.

Por último, las infracciones de tratamiento de datos inexactos y de denegar las peticiones de los titulares de datos sin causa justificada con las indicaciones pasaron de ser infracciones graves a infracciones leves.

Y ahora ¿Quién podrá defendernos?

Es esencial que la nueva legislación de protección de datos sea rigurosa, robusta y cuente con una aproximación de derechos fundamentales. Sin embargo, sin una institucionalidad que sea capaz de hacer efectiva esas obligaciones, la ley está destinada a convertirse en tinta sobre un papel.

Es por ello que la decisión de cuál será el organismo encargo de velar por el cumplimiento de la nueva ley se transformó desde el primer día en una de las principales definiciones de la modificación legislativa.

El proyecto original creaba una nueva institucionalidad, de carácter técnico y dependiente del Ministerio de Hacienda. Esta dependencia funcional generó resquemores respecto del nivel de autonomía e independencia de la entidad, especialmente al momento de fallar casos relacionados con organismos públicos.

La modificación propuesta por el ejecutivo hace un golpe de timón, y entrega al Consejo para la Transparencia la tarea de velar por el cumplimiento de la ley. Para ello establece que este organismo se deberá dividir en dos áreas (una para acceso a la información y otra para protección de datos personales), operar en dos salas (también divididas temáticamente) y aumenta su número de consejeros de cuatro a cinco. Del mismo modo, los consejeros pasan a tener dedicación exclusiva, se establecen incompatibilidades respecto de aquellos que puedan tener intereses en el sector privado y quienes hayan sido sancionados previamente por tratamiento indebido de datos personales.

Si bien el Consejo para la Transparencia cuenta con un nivel mayor de autonomía que la institucionalidad propuesta por el proyecto original, su carácter especializado y técnico requiere ser profundizado. La transparencia y la protección de datos personales no son disciplinas excluyentes, pero sin duda responden a principios distintos e incluso a una formación profesional particular.

En este sentido, sería positivo que durante la tramitación legislativa se aumente el número de consejeros a seis, y exigir que la mitad sea especialista en materia de protección de datos personales. Por último, resulta indispensable dotar a la nueva institucionalidad con las herramientas necesarias para fiscalizar de forma efectiva al sector privado, especialmente teniendo en consideración que el ejecutivo ha decidido correctamente aumentar el monto de las multas hasta un 4% del volumen de negocios anual de la institución infractora.

¿En qué consiste la Ley General de Protección de datos recientemente aprobada en Brasil?

La semana pasada, el Senado brasileño aprobó la Ley General de Protección de Datos, considerado el proyecto más completo entre los que se estaban discutiendo en el Congreso en materia de protección de datos personales. El proyecto fue apoyado por más de 60 organizaciones y entidades relacionadas con el comercio, las comunicaciones, los sectores de internet y las organizaciones de la sociedad civil.

Actualmente, Brasil tiene algunas leyes sectoriales, como el Marco de Civil para Internet, que deja varias lagunas y no entrega seguridad jurídica para la protección de la privacidad de los usuarios en otros sectores. Pero el retraso que presenta Brasil en la aprobación de una ley de protección de datos posibilitó el diseño de un texto avanzado, que apunta a garantizar el control de los usuarios sobre sus datos personales.

Al igual que el Reglamento General de Protección de Datos europeo (GDPR), el proyecto de ley brinda una definición amplia de datos personales, considerando que es aquel que refiere a una persona identificada o identificable, lo que incluye números de identificación, datos de ubicación o identificadores electrónicos.

La piedra angular del proyecto de ley es el requisito de requerir el consentimiento del titular para el tratamiento de sus datos, el cual debe ser libre e inequívoco. Por otro lado, la empresa que busque tratar la información debe informar expresamente no solo sobre la recopilación, sino también sobre los usos específicos de los datos recopilados, y no puede hacerlo en términos generales o vagos. Además, este consentimiento también debe ser revocable en cualquier momento.

Las nuevas reglas se aplicarán a todas las instituciones que manejan datos personales en sus operaciones o al ofrecer sus productos y servicios, tanto del sector público como del privado. Si el proyecto de ley es sancionado, las instituciones que tendrán 18 meses para adaptarse.

También se crea una Autoridad de Protección de Datos, una agencia gubernamental independiente vinculada al Ministerio de Justicia, con el objetivo de salvaguardar la vigilancia y la aplicación de sanciones, entre otras funciones. Aquellos que violan la nueva Ley están sujetos a una advertencia, multas de hasta el 2 por ciento de los ingresos (máximo de 50 millones de reales brasileños), suspensión parcial o total de la operación, entre otras sanciones. Las filtraciones de datos deberán ser informadas inmediatamente a la Autoridad de Protección de Datos.

Se especula que el presidente Michel Temer quizás vetará los artículos que mencionan la Autoridad de Protección de Datos. El Ministerio de Finanzas cuestiona la necesidad de crear otra agencia reguladora debido a la necesidad de reducir los costos del gobierno

Los parlamentarios señalaron que la inclusión de la APD en el proyecto de ley era una forma de presionar al gobierno para que creara esta agencia reguladora. Si estos artículos son vetados, será un revés importante, ya que las funciones de APD serán fundamentales para la aplicación de la ley de protección de datos.

Cuando el proyecto de ley entre en vigencia, aún habrá desafíos para su implementación. Después de años de negligencia sobre la importancia de proteger la privacidad, la aplicación de la ley no es suficiente. También debe haber un cambio de cultura, con la expansión de las políticas públicas para proteger la privacidad de los usuarios.

 

DDHH en la primera línea de internet

En noviembre de 2015 el Gobierno de Chile hizo pública su Agenda Digital 2020, cuyo objetivo es desarrollar las capacidades tecnológicas, en todos los sectores y territorios, que permitan insertar al país en la Sociedad de la Información.

Dentro de los cinco ejes que componen la Agenda se contempla, como una de las medidas de Gobierno Digital, el desarrollo una Política Nacional de Ciberseguridad (en adelante PNCS) para Chile, la cual fue presentada por el Comité Interministerial sobre Ciberseguridad (CICS) a finales de 2016.

Pero el documento presentado no es, en sentido estricto, una política de ciberseguridad como se ha solido entender: dista de documentos como el de Estados Unidos o los de países europeos, pues Chile no cuenta con una legislación desarrollada en estas materias. Más bien se trata de una propuesta programática, un conjunto de medidas políticas y legislativas que deben implementarse para contar con una política funcional de ciberseguridad: proyectos de ley, políticas educativas y metas generales de desarrollo del país.

Sin embargo, la PNCS sí contiene diferentes directrices en áreas tradicionales y considera dentro de ellas el mandato del Estado de velar por los derechos fundamentales de las personas en el ciberespacio. Este es quizás uno de los pilares de la nueva política, porque varias son las amenazas que enfrenta la ciudadanía en el área de la seguridad digital: desde cibercrimen, políticas empresariales que no respetan los derechos de las personas en la gestión de datos, brechas de datos en organismos públicos y privados.

Como ciudadanas y ciudadanos nos encontramos expuestos a un gran número de riesgos respecto a los cuales, tanto el sector privado como público han de aunar esfuerzos para desarrollar un entorno digital que respete nuestros derechos, siendo la PNCS el instrumento que guíe tales esfuerzos.

Es en esta línea, han sido varias las declaraciones e instrumentos que han indicado la manera en que la relación entre ciberseguridad y derechos humanos ha de ser llevada. El criterio más claro y general ha consistido en indicar el simple hecho de que las personas contamos con los mismos derechos en ambientes dentro y fuera de línea, y por tanto los Estados tienen la obligación de proteger nuestros derechos fundamentales en los dos ámbitos por igual. Esto sería aplicable también para organizaciones privadas con las que como ciudadanos debemos interactuar en internet.

Pero esta afirmación por sí sola no es capaz de dar cuenta de la complejidad del fenómeno de la seguridad digital, y en este sentido indica la PNCS que “(…) todas las medidas propuestas por la política se deben diseñar y ejecutar con un enfoque de derechos fundamentales, ¿qué debemos entender por enfoque de derechos fundamentales? No basta la simple afirmación de que son reconocidos y respetados dentro y fuera de la red.

En este sentido se han dado recomendaciones que dotan de contenido a esta expresión, señalando que implica comprender el desarrollo tecnológico a partir de los derechos fundamentales de las personas, a través de medidas concretas como:

(…) 4. El desarrollo y la implementación de leyes, políticas y prácticas relacionadas con la ciberseguridad deben ser coherentes con el derecho internacional, incluidas las normas internacionales de derechos humanos y el derecho internacional humanitario.

5. Las leyes, políticas y prácticas relacionadas con la seguridad no deben utilizarse como pretexto para violar los derechos humanos, especialmente la libertad de expresión, asociación, reunión y privacidad.

6. Las respuestas a los incidentes cibernéticos no deben violar los derechos humanos.

7. Las leyes, políticas y prácticas relacionadas con la ciberseguridad deben mantener y proteger la estabilidad y la seguridad de Internet, y no deben socavar la integridad de la infraestructura, hardware, software y servicios. (…)”

También la Comisión Europea ha señalado que el enfoque de derechos humanos constituye uno de los medios ideales para el desarrollo y cooperación internacional en materia de seguridad, dando directrices específicas para su desarrollo en ciberseguridad. Así, las políticas que posean un enfoque de derechos humanos han de tener entre sus objetivos la persecución de un fin legítimo, ha de ser necesaria, proporcionada y considerar remedios efectivos, entre otros.

Al examinar las medidas que contiene la PNCS chilena parte importante de las recomendaciones dadas en materia de derechos humanos se encuentran presentes en algunos de los instrumentos que hemos indicado y creemos que estos criterios son los que han de informar la manera en que Chile se aproxime a los derechos humanos y la ciberseguridad.

Lo anterior no solo para reafirmar el compromiso del país con los derechos humanos y su desarrollo, sino porque la ciberseguridad destaca por una complejidad creciente en el desarrollo técnico de los medios de protección de la información donde el enfoque de derechos humanos podría servir como herramienta para solucionar conflictos.

En diversos países hay instituciones como el NIST o ENISA que ofrecen estándares o directrices técnicas tanto al sector público como privado de protección de la información, pero junto con estas directrices las organizaciones privadas cuentan con normas propias de ciberseguridad como las ISO, o en el sector público hay normas especiales de gestión de la información del Estado hacia sus organismos.

Todo este desarrollo legislativo y técnico hace que la ciberseguridad sea un área en donde existe una gran dispersión de posibles criterios de solución, por lo que llegado el momento de considerar cual ha de prevalecer sobre el otro puede resultar algo complejo. El enfoque de derechos humanos nos otorga un medio para dar una mayor claridad sobre los problemas y cómo solucionarlos.

¿Qué se debería hacer, por ejemplo, en el caso de una brecha de datos? Hay varias soluciones, por ejemplo seguir la norma técnica de mantención del servidor, que prevalezcan las obligaciones del responsable de la base de datos que indica la ley, o sostener otro criterio particular al caso. Una solución que considere el enfoque de derechos humanos nos llevaría a preguntarnos en primer lugar cuál derecho humano se ve afectado, y de qué manera puede y/o debería haber sido protegido. Esto permite dar una meta clara de solución al problema de ciberseguridad presentado, orientando las posibles soluciones a las que podría llegarse en vista de la protección del derecho vulnerado.

Esta clase de consideraciones caben no solo frente a incidentes de ciberseguridad, sino también al desarrollo y diseño de políticas e infraestructuras relacionadas con ciberseguridad. Esto permite orientar de manera clara los objetivos y medios que se consideran en esta materia en conformidad a los derechos humanos, valiéndose no solo de lo establecido en el derecho nacional, sino en el derecho internacional. El enfoque de derechos humanos requiere, en definitiva, un giro en la manera en que las intervenciones en las diferentes materias son conceptualizadas e implementadas.

La relación entre derechos humanos y ciberseguridad es una de las cuestiones de mayor relevancia y complejidad que se avecina para Chile con una nueva ley de protección de datos en camino, y con las medidas de la PNCS en desarrollo. Es el momento de comenzar de buena manera las nuevas políticas y leyes en esta materia.

Internet está jugando con tus sentimientos

De forma asertiva, la organización Coding Rights ha bautizado este fenómeno como el Chupadatos, un monstruo incansable que vive detrás de cada aplicación, cada búsqueda en internet, cada comentario en redes sociales y cada aparato inteligente. Su labor es engullir, cuantificar y subastar nuestros datos al mejor postor. Y para que eso sea posible, no solo se necesita de una robusta infraestructura, sino de una cultura alrededor del uso de internet.

En Tenemos que hablar, internet está jugando con tus sentimientos, Belén Roca aborda el modo en que nuestros afectos son explotados por el mercado de los datos. El miedo, la ansiedad, la soledad, la precariedad y la vanidad son emociones reales, tan reales que se proyectan en el uso que hacemos de los servicios en línea. Son cinco historias de ocurren en Chile pero podrían ocurrir en cualquier otro lugar de América Latina o el mundo, ¿te identificas con alguna de ellas?

Retomando las historias del Chupadatos, continuamos con la descripción y la reflexión alrededor de los mecanismos de persuación y de control que se utilizan en internet para garantizar que sea una economía próspera, ¿estamos siendo abusados emocionalmente allí? Estemos alerta y conscientes de qué es exactamente lo que le estamos dando a la red.

¿Me protege mi huella digital o debo yo protegerla a ella?

En días pasados, con motivo del proceso electoral mexicano, se advirtió a través de redes sociales y medios de comunicación sobre los riesgos de compartir fotos de nuestros dedos manchados de tinta, en un contexto donde nuestra información biométrica es usada constantemente con fines de autenticación. Como principio general de seguridad, sabemos que es una buena práctica no compartir información personal que constituya o pueda formar parte de mecanismos de autenticación o verificación, como -evidentemente- nuestras contraseñas. Sin embargo, ¿qué sucede cuando nuestro cuerpo -nuestras huellas digitales, nuestra voz o nuestro rostro- se han convertido en nuestras contraseñas? ¿Es factible y está en nuestro poder proteger esta información?

En 2014, hackers del gobierno chino ingresaron en los sistemas de computación del gobierno norteamericano, logrando extraer los datos personales de 22 millones de ciudadanos estadounidenses, incluyendo los datos de la huella digital de 5.6 millones de personas. Aunque hasta el presente no existen evidencias de que estos datos hayan sido comerciados en el mercado negro, resulta abismante el riesgo que pueden representar en caso de ser vendidos. En 2016, investigadores de la Universidad Estatal de Michigan fueron capaces de convertir reproducciones de huellas digitales en versiones 3D de las mismas, capaces de engañar a los lectores de huella digital de los teléfonos inteligentes, todo esto con equipamiento por un valor inferior a los 500 dólares. Igualmente, los investigadores del Instituto Nacional de Informática de Tokio afirman que son capaces de reconstruir una huella digital a partir de la fotografía de una persona haciendo el signo de la paz con su dedo índice y medio, tomada a tres metros de distancia. Esta última noticia levantó alertas en diversos sitios de noticias, que señalaron que los avances paralelos en las tecnologías fotográficas y de autenticación por huella digital, aunados al uso continuo de redes sociales para compartir información, convergen en un punto de riesgo incrementado en lo que respecta a la accesibilidad y facilidad para obtener y recrear las huellas digitales de las personas.

Los datos del rostro también son vulnerables: hoy en día, crear una base de datos a partir de fotografías de los rostros de las personas puede ser tan fácil como descargarla de Facebook o LinkedIn, y la tecnología se encuentra fácilmente disponible, no solo para procesar estas imágenes a través de algoritmos de reconocimiento facial, sino incluso para crear modelos en 3D a partir de ellas. De hecho, en el Chaos Communication Congress de 2014, un investigador de seguridad reprodujo un modelo funcional de la huella digital del ministro de Defensa alemán, partiendo de una fotografia en alta resolución de su mano.

El principal problema de seguridad planteado por el uso de tecnologías biométricas para la autenticación es que los datos biométricos no pueden ser reemplazados. Una vez que el patrón de nuestras huellas digitales se ve comprometido, solo tenemos un número limitado de posibilidades de reemplazarla, en caso de que se requiera solo una. Así, como señala nuestro reciente informe, “El cuerpo como dato”:

Dado que los datos biométricos son únicos e irremplazables, la posibilidad de pérdida o robo de estos significa que la identidad legal del individuo se ve comprometida sin posibilidad de que se le provea de una nueva identidad, creando un contexto en el cual, de no existir salvaguardas legales, una persona podría verse privada de su identidad sin recursos para recuperarla ni indemnización a los daños.

En el caso de que, por ejemplo, la huella digital sea la puerta de entrada hacia otra información personal, como los servicios de mensajería o el correo electrónico, el robo de los patrones biométricos no es el único peligro. El riesgo, por ejemplo, de que los cuerpos policiales puedan sortear el cifrado de un dispositivo a través de copias de la huella digital -o simplemente forzando al ciudadano físicamente- es, de suyo, alto, no solo en el contexto latinoamericano, donde el abuso policial es una práctica frecuente. Esto puede suceder incluso cuando se siguen procedimientos judiciales: en Los Ángeles, un juez emitió una orden para forzar el dedo de una mujer en el lector de huella de un teléfono incautado con el fin de desbloquearlo en el contexto de un proceso por robo de identidad.

Más que el riesgo de perder el control sobre nuestros datos biométricos, el verdadero riesgo se encuentra en el hecho de que nunca tuvimos control sobre ellos en primer lugar. La propia naturaleza de nuestro cuerpo implica que este se encuentra en constante contacto e intercambio de información con el mundo que nos rodea: nuestro rostro descubierto es captado por cámaras de vigilancia urbanas, por los teléfonos de las personas en la calle y a través de nuestras cuentas de redes sociales; nuestras huellas digitales entran en contacto un millón de veces al día con objetos cotidianos a partir de los cuales pueden ser reconstruidas; nuestra voz, nuestros ojos o nuestra manera de caminar no son datos que podamos ocultar del mundo sin limitar severamente nuestras rutinas. El cuerpo, por su naturaleza comunicacional, emite constantemente información que es captada por diversos dispositivos, incluyendo datos como nuestra presión sanguínea, nuestro pulso o la cantidad de pasos que damos al día. Las tecnologías modernas, y no solo las biométricas, recaban y transmiten una cantidad de información gigantesca de manera coditiana, no solo para verificar nuestra identidad, sino para determinar factores como el género, edad, estado de salud o nivel de ingresos de una persona determinada.

Lo que deriva de esto no es solo que debamos tener un mayor cuidado al momento de comunicar o entregar nuestros datos personales, especialmente nuestros datos biométricos, sino que todo cuidado será insuficiente si no logramos crear regulaciones y políticas públicas que permitan un manejo mucho más cuidadoso de estos datos por parte de gobiernos y empresas privadas. Por otra parte, la tecnología sigue avanzando, por lo general con mucha más rápidez que la regulación y sin esperar por ella. En 2013, un equipo de investigadores en Berkeley creó un sistema de autenticación biométrica basado en ondas cerebrales, llamado “passthoughts”. Esta técnica combina tres factores de verificación: algo que sabes (un pensamiento), algo que eres (tus ondas cerebrales) y algo que tienes (el sensor para medirlas). Para autenticar tu identidad, debes pensar en tu clave secreta mientras usas el sensor, que transmite una representación matemática de las señales que hace tu cerebro cuando piensas en la clave. En teoría, es imposible falsificar un passthought, dado que cada persona piensa el mismo pensamiento de manera distinta. La única manera de sortear este tipo de seguridad sería forzar a la persona a pensar su clave, capturar la respuesta y luego reproducirla. Sin embargo, un passthought, al igual que cualquier contraseña, puede ser cambiado.

Esto es solo un ejemplo de maneras en las cuales la tecnología de autenticación biométrica puede cambiar en el futuro próximo. Entretanto, en la mayor parte del mundo seguimos debatiendo sobre cuál es el paradigma correcto para enfrentar desde el punto de vista jurídico a una tecnología cuyo avance no se detendrá a esperar por nosotros.

Encarcelado por tuitear

Mientras el mundo debate cómo contener la vigilancia masiva de las comunicaciones de parte de gobiernos y empresas, en Venezuela, sin necesidad de métodos sofisticados, decenas de personas han sido encarceladas y en algunos casos enjuiciadas por sus actividades en línea.

¿Cómo es que se habla de cárceles sin pasar por juicios? Porque en Venezuela no se siguen los pasos que indica el debido proceso cuando hay estado de derecho, sino que se impone la lógica de la arbitrariedad. Los tuiteros son detenidos de forma caprichosa y son sometidos a malos tratos hasta que en algún momento son excarcelados sin dar muchas explicaciones. Veamos algunos casos.

El 28 de abril de 2017, el comunicador Dan Elliot Zambrano, de 34 años de edad, abrió la puerta de su casa porque había funcionarios de la Dirección General de Contrainteligencia Militar buscándolo. Le dio tiempo de tuitear y señalar a la DGCIM antes de que se lo llevaran detenido.

Desde su casa en la ciudad de Cagua, hasta Caracas, la capital de Venezuela hay más de 100 kilómetros. Allí lo encontraron al día siguiente, cuando su esposa y un grupo de abogados iniciaron su búsqueda porque negaban su paradero en cada sede a la que fueron en Aragua, su estado originario. Durante varias semanas Dan Zambrano estuvo aislado, a lo sumo le permitieron pedirle productos de higiene personal y cambios de ropa a su madre por teléfono, porque los centros de detención no proveen eso. Su esposa denunció 40 días después de la detención que no lo había podido ver ni una sola vez. A la quinta semana de presidio ni siquiera había sido presentado en un tribunal para saber al menos de qué se le acusaba.

Dan Zambrano había sido detenido por los uniformados a raíz de haber hecho tweets y retweets de mensajes críticos al régimen de Nicolás Maduro. No era una cuenta relevante, tenía apenas 1.300 seguidores en ese momento, pero era un perfil con nombre y apellido cuya ubicación los uniformados pudieron encontrarla fácilmente. Meses después, Zambrano fue liberado sin cargos. Al ser consultado sobre el episodio, mantiene las reservas del caso porque aunque se encuentra en el exilio, su familia aún permanece en Venezuela y corre el riesgo de represalias. Sin embargo apuntó algo importante sobre las autoridades y su seguimiento de contenidos en redes sociales: “El uso de ellos de intervenir en las redes es absolutamente caprichoso. Estando en detención me di cuenta que el uso de las redes es 60% contrainteligencia hacia la milicia y el resto contra la población, los políticos”.

Se refiere al monitoreo de publicaciones. No hay detrás de esto un software particularmente especializado ni la posibilidad de detectar las IP ni las ubicaciones geográficas de la gente, sino de monitorear sus contenidos hasta detectar al próximo cautivo y llegar a ellos por ingeniería social. Lo misterioso es el criterio para escogerlos, porque otros casos revelan un azar espeluznante. Pareciera que la intención del poder es remarcar que literalmente pueden llevarse a cualquiera en cualquier momento.

 Tras las rejas
Por ejemplo, Skarlin Duarte, fue detenida en agosto de 2014, cuando tenía 23 años de edad, y liberada 858 días después, a finales de 2016. Permaneció encarcelada en El Helicoide, sede del Servicio Bolivariano de Inteligencia (Sebin) y una de las peores cárceles de presos políticos en Venezuela. Fue acusada de delitos como “instigación al odio”, “acceso indebido a sistemas protegidos”, “espionaje informático” y “ultraje”. Sin embargo nunca fue llevada a juicio, así que tampoco se mostraron evidencias. Al menos hasta noviembre de 2016, un mes antes de su excarcelación, su audiencia en tribunales había sido suspendida 33 veces consecutivas, mientras perdía más de dos años de su vida tras las rejas. Skarlin estuvo en el lugar equivocado.

Era cliente de un cibercafé en Caracas, uno de los dos que fue allanado por los uniformados un día que anunciaron un operativo para encontrar a los autores de mensajes contra el gobierno en redes sociales. Así que se llevaron algunas computadoras del lugar y los datos de la joven bailarina de danza latina, sin conocimientos sobre espionaje informático, a quien le allanaron su casa en la noche para detenerla.

Sin embargo, en las decenas de casos más registrados en Venezuela, no todos han sido fruto del capricho de algún funcionario. Algunas detenciones han servido para acusar culpabilidades en medio de alguna tragedia, como cuando en 2014 fue asesinado el diputado Robert Serra, del Partido Socialista Unido de Venezuela. A la cárcel fue a parar el periodista Víctor Ugas, por publicar una foto del cadáver del diputado. La imagen corría desde hacía horas por WhatsApp, filtrada desde la morgue en Caracas, pero nadie la había publicado en redes hasta que lo hizo Ugas. También detuvieron a dos personas vinculadas a una cuenta esotérica, bajo el seudónimo Negra Hipólita. La cuenta hacía adivinaciones y ofrecía lectura de cartas y otros sortilegios a cambio de dinero. Semanas antes del asesinato de Serra a manos de su propio escolta, la cuenta publicó que habría “luto” en la Asamblea Nacional, así que como las autoridades también creen en brujos y videntes, se hicieron pasar por un cliente, contrataron sus servicios y al momento del contacto físico (y los datos de cuentas bancarias) detuvieron a quienes la administraban.

Otro tuitero detenido en 2014 fue Leonel Sánchez Camero (AnonymusWar), acusado de hackear las cuentas de Twitter de algunos funcionarios gubernamentales y preparar un plan de fuga para el político Leopoldo López. Ninguna de las acusaciones se comprobó en juicio. Además, Sánchez fue detenido en Barinas, a 470 kilómetros de la cárcel de Ramo Verde.

Igualmente, Abraham David Muñoz (AbraahamDz), de 18 años de edad, también fue detenido por tuitear “Muerto Robert Serra, ajá ¿para cuándo Diosdado y Jorge Rodríguez?”. Se lo llevaron de su casa sin una orden de aprehensión ni un procedimiento en su contra.

Los tuiteros presos llegaron a rondar la veintena, en un país que ha llegado a tener más de 600 presos políticos y presos de conciencia según han reportado organizaciones no gubernamentales como Amnistía Internacional, Provea y el Foro Penal. Muchos de ellos son detenidos que dependen directamente de un funcionario del chavismo, como el líder estudiantil Villca Fernández, que escribió en su tuiter que no le tenía miedo a Diosdado Cabello, segundo al mando del PSUV, tras unas amenazas que le hiciera el funcionario en televisión.

Los monstruosos casos recientes

El modus operandi del poder sólo se han hecho más retorcido. No hay mayor sofisticación en el uso de herramientas digitales para detectar mensajes, pero sí se han usado métodos más brutales que las detenciones arbitrarias. En 2018 hemos reportado dos casos más:

@DolarPro: Carlos Eduardo Marrón es el dueño del portal DolarPro y vivía fuera de Venezuela. El Gobierno ha prohibido publicar el precio del dólar paralelo porque mantiene un férreo control cambiario desde 2003, sin embargo el mercado negro necesita información y hay decenas de páginas web y cuentas en redes con ese contenido. En un hecho insólito en la historia reciente del país, las autoridades fingieron un secuestro del padre de Marrón, como si fuesen una banda delictiva, y negociaron la entrega con su hijo. Cuando Carlos Eduardo regresó al país a pagar el rescate de su padre y recuperarlo, le informaron que se trataba de una detención oficial y fue enviado a la cárcel. Aún su juicio está pendiente, la web está desactivada y a pesar de eso el dólar paralelo sigue multiplicando su precio cada semana.

@AeroMeteo: Pedro Patricio Jaimes Criollo tiene una cuenta dedicada al tráfico aéreo y la meteorología en Venezuela. La tarde del 3 de mayo publicó en su Twitter una información de fácil acceso en cualquier portal especializado: el único avión sobrevolando el centro del país era el presidencial, que hizo una ruta desde Caracas hasta el estado Aragua. Por divulgar ese dato, que no representa ninguna información clasificada, el 12 de mayo fue detenido y no se ha sabido nada de él hasta el cierre de este artículo, un mes después.* Ni familiares ni abogados saben dónde está y ninguna autoridad responde por su paradero. Las ONG de derechos humanos califican el hecho como una desaparición forzosa y reclaman saber el destino de @AeroMeteo.

Los efectos de las detenciones arbitrarias de tuiteros en Venezuela ha significado un aumento en la presencia de cuentas con seudónimos para ocultar la identidad de sus autores, además de una migración de conversaciones digitales a espacios más privados como WhatsApp y otros servicios de mensajería. El terreno digital es importante para las comunicaciones del gobierno de Maduro, sin embargo al ser un espacio con mayores libertades, ha sido más difícil imponer la hegemonía comunicacional que propone la revolución desde la era Chávez. En redes no ha disminuido la crítica, aunque los venezolanos se saben monitoreados.

 

* El 15 de junio Pedro Jaimes se comunicó con su familia, como ha señalado la organización Espacio Público. Organizaciones de América Latina se manifestaron condenando la que consideran una detención arbitraria.

Error 402 ¿Terrorismo Cibernético en Guatemala?

Hablar de terrorismo cibernético en Guatemala me hace pensar en una novela de ficción de Margaret Atwood situada en el año 3000. Luego recuerdo que vivo en el país de las distopías y me tranquilizo. La Iniciativa de Ley 5239, contra actos terroristas, se dio a conocer ante el Congreso el 23 de febrero de 2017; fue analizada por la comisión de Gobernación y recibió dictamen favorable en noviembre del mismo año. En estos momentos está en espera de una segunda y tercera lectura para ser aprobada.

¿Qué es el ciberterrorismo? ¿Por qué está incluído en la ley? ¿Por qué ha generado críticas de periodistas, activistas y defensores de derechos humanos? Recordar la historia reciente del país ayuda a entender mejor el contexto y los peligros potenciales del proyecto.

¿Ciberterrorismo?

La definición de ciberterrorismo que expone el proyecto parece sacada de una novela de apocalípsis tecnológico: el terrorismo cibernético lo comete “quien con fines económicos, políticos, religiosos, utilice los medios de comunicación, informática, tecnologías de información, electrónica o similar con el objeto de infundir temor, causar alarma, intimidar a la población, o compeler a un Estado o Gobierno u organismo nacional o internacional”, sancionándolo con entre diez a veinte años de prisión.

La Cámara de Periodistas de Guatemala rechazó la iniciativa, argumentando que el artículo 22 sobre ciberterrorismo es “pretensión velada y descarada de restringir el ejercicio de la libertad de emisión del pensamiento”.

“El solo hecho de que compeler al Estado por medios electrónicos configura un delito terrorista es una definición excesivamente amplia y puede ser utilizada como forma de reprimir discursos disidentes”, explica Pablo Viollier, analista de políticas públicas de Derechos Digitales, quien además recalca que “la tipificación de este tipo de delitos debe ser particularmente precisa” para evitar su uso con fines represivos.

Para Sara Fratti, abogada y directora de Políticas Públicas de IPANDETEC, “los riesgos son enormes, principalmente por la criminalización del movimiento ciudadano, que incluirá la penalización de actos como convocar a manifestaciones, críticas a funcionarios públicos, etc.”.

En paralelo existe un riesgo que pocas veces se menciona y “es que la gente genere autocensura en espacios donde antes no la había, por la sola existencia de este tipo de leyes”, explica David Oliva, consultor en seguridad digital de la Fundación Acceso.

El poder de las redes

“Es importante contextualizar brevemente el momento social y político que atraviesa Guatemala”, explica Sara Fratti: “la lucha contra la corrupción promovida desde la Comisión Internacional Contra la Impunidad en Guatemala (CICIG), el Ministerio Público (MP) y la ciudadanía han generado que las élites y grupos de poder vinculados a la corrupción inicien una campaña de desprestigio, principalmente a través de redes sociales. Como consecuencia, esta iniciativa de ley se presentó con la finalidad, entre otras cosas, de silenciar las voces de líderes, activistas, defensores y población en general”.

David Oliva considera que “estas leyes surgen alrededor del incremento en la sonoridad de las redes sociales, y es lamentable que a falta de profesionales probos se legislen leyes que buscan censurar masivamente expresiones de distintos tipos”. Así, esta ley puede ser leída como una forma de silenciar a la sociedad civil, detener las movilizaciones ciudadanas y criminalizar a los y las defensoras de derechos humanos.

Una nueva red de inteligencia

Por si esto fuera poco, la Iniciativa de Ley 5239 contempla además la creación de una Red de Comunicación “integrada por autoridades de seguridad, migratorias y aduaneras, que permita optimizar los procedimientos de control sin afectar el flujo del comercio”. Esta red tecnológica de información no solo será fundamental para la prevención de actividades terroristas, sino que intensificará el flujo de información entre países, sobre aquellas personas u organizaciones que se consideren bajo investigación.

“El proyecto no define las funciones específicas que tendrá esta red, básicamente es la creación de una red de inteligencia para vigilar a la ciudadanía. Además, carece de salvaguardas y estándares mínimos de aplicación. Lo cual, facultará al Gobierno establecer una red de vigilancia masiva”, explica Fratti.

Lo grave no es solamente la creación de un nuevo aparato de control estatal, sino que bajo el discurso de seguridad ciudadana este tipo de proyectos nacen desvinculados del deber de garantizar los derechos humanos.

Desde esa perspectiva, Víctor Quilaqueo, historiador y director del Centro de Política Públicas para el Socialimo, señala que “la creación de una Red de Comunicación es un atentado contra las garantías ciudadanas mínimas. Queda así como una medida arbitraria, que no define alcances ni modos de aplicación. Es crear una ley en cuyo centro no está la salvaguarda de nuestros derechos”.

Como vemos, el proyecto tiene un carácter eminentemente cohercitivo, sin perspectiva de derechos fundamentales. La tendencia a la criminalización de la diferencia es profunda y se materializa en iniciativas de este tipo.

“Creo que hay dos problemas con este tipo de legislaciones -explica David Oliva-: en primer lugar, están tipificando delitos digitales antes de tipificar derechos digitales de las personas, eso es una clara manifestación de criminalización. Por otro lado, cuando se legislan este tipo de leyes sin ninguna vista técnica ni de derechos humanos, el resultado son legislaciones totalitarias que de ninguna manera buscan hacernos crecer como sociedad, sino al contrario, generan control. El solo hecho de que una persona se sepa vigilada por el Estado la limita de ejercer su libre derecho de expresión o de generar puntos de vista diferentes”.

La ley sugiere un panorama que nos recuerda al gran hermano de Orwell. Según Sara Fratti, la iniciativa permitirá que el Gobierno tenga acceso y control a las publicaciones en redes sociales y plataformas digitales que realicen los usuarios del país, “con la finalidad de vigilar y castigar a ciudadanos que se opongan a la forma en la que se está llevando a cabo la administracion pública”.

En un país como Guatemala, que tuvo 36 años de conflicto armado y aparatos de inteligencia estatal y paraestatal represivos, hablar sobre crear una sistema de control y vigilancia masiva debe considerarse una agresión, no solo porque está en peligro nuestro derecho constitucional a la privacidad y a la libertad de expresión, sino también porque pende de un hilo la débil democracia que nos queda.