Mejorar la cooperación internacional también debería ser parte del debate sobre el cifrado

Las evidentes amenazas que hoy rodean al cifrado y que con razón acaparan titulares con la denominada batalla entre Apple y el FBI, han enturbiado otras discusiones. Es el caso de la reciente detención del vicepresidente de Facebook América Latina, el argentino Diego Dzodan. Para muchos este es otro ataque directo al cifrado y una presión inaceptable a Facebook. Lo cierto es que una mirada más calmada a los pocos hechos que se saben del asunto permite ver otras aristas importantes al momento de discutir sobre el cifrado.

Los hechos que se conocen son limitados porque el caso es confidencial. Lo que se sabe hasta ahora es que la justicia brasileña emitió una serie de órdenes judiciales que obligaban a Facebook, empresa dueña de WhatsApp, a entregar el contenido de una conversación en grupo en la aplicación de mensajería, así como otros datos, incluidos los de geolocalización. Esto, en el marco de un delito grave: según la justicia brasileña, serían pruebas que se utilizarán en una investigación sobre el crimen organizado y el tráfico de drogas. Hasta acá, todo conforme a lo que el marco legal permite (y que continuamente ocurre entre la justicia y estas empresas): bajo orden judicial y en la investigación de delitos graves, pedir la entrega de información privada de los usuarios.

Según Facebook, esta vez se excusaron de entregar esos mensajes porque simplemente no tenían la información: al estar las comunicaciones de WhatsApp cifradas de punto a punto, es imposible para la compañía acceder a los contenidos de los mensajes. Finalmente, la justicia brasileña, luego de cuatro meses de insistencia y multas que alcanzaron un millón de reales al día por incumplimiento de las órdenes judiciales, detuvo a Dzodan por una noche y luego fue liberado por un Habeas Corpus: un juez dictaminó que fue detenido indebidamente porque Dzodan no ha sido nombrado personalmente en los procesos judiciales. El proceso sigue bajo estricta confidencialidad.

Lo poco que se sabe bastó para un barullo mundial. Las reacciones fueron particularmente alarmantes en los medios estadounidenses, alentadas de seguro por todos los ataques del gobierno de EE.UU. contra el cifrado. Pero más allá de eso, una lectura general mostraba no solamente al Estado brasileño como “el malo de la película”, sino también se vislumbraba un apoyo no tan solapado y bastante ciego a las empresas de Silicon Valley en su actuar en el extranjero. Venture Beat llegó a decir:

«Aunque Dzodan solo pasó alrededor de 24 horas en la cárcel, su detención demuestra que los gobiernos extranjeros pueden tomar medidas que son mucho más directas –e inmediatas– que las perseguidas por el FBI en su esfuerzo de obligar a Apple a desbloquear un iPhone.» (traducción propia).

Antes de calificar buenos versus malos, hay que comprender que si bien esta discusión se trata sobre cifrado, es imposible entenderla en su fondo sin considerar la dimensión política que lo rodea. De hecho, tomar en cuenta estos factores puede aportar a una agenda política más ambiciosa y propositiva respecto a la necesaria defensa del cifrado.

Sí. Por lo que sabemos ahora, la decisión del juez brasileño es una amenaza al cifrado, en tanto demuestra lo peligroso que es cuando las autoridades no comprendan en profundidad este mecanismo de comunicaciones seguras y, en este caso particular, que sea imposible para Facebook entregar los mensajes requeridos. Pero es una amenaza distinta, mucho menos grave de lo que ocurre hoy en Estados Unidos, donde el tribunal ordenó a Apple crear una nueva versión especial del sistema operativo iOS de Apple para pasar por encima de varias características de seguridad integradas en el sistema operativo de la compañía.

[left]El debate del cifrado ha sido reconocidamente un debate de hombres blancos. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales.[/left]

Lo que acaba de ocurrir en Brasil es síntoma de un problema político general entre Silicon Valley y los países en vías de desarrollo. Como dice el interesante reportaje de Motherboard Brasil, a diferencia de lo que ocurre en Estados Unidos, donde hay una mayor cooperación entre las empresas y los servicios de inteligencia e investigación, las autoridades locales de otros países, especialmente en vías de desarrollo, tienen dificultades de base para que las compañías de Silicon Valley cumplan las leyes nacionales. Sin ir más lejos, WhatsApp, que tiene una administración diferente a Facebook, y con 100 millones de usuarios en Brasil, no tiene representación legal en el país. Este “detalle” es, como dice el reportaje, convenientemente omitido en los comunicados de la empresa en la detención de Dzodan.

Sin lugar a dudas, el cifrado está recibiendo certeros ataques por parte de muchas autoridades mundiales. Pero para proteger las comunicaciones seguras y, con eso, la privacidad y la misma integridad de internet, también es necesario plantear una agenda que avance en la cooperación internacional de forma amplia. En el marco de la investigación de crímenes, se debe avanzar en la cooperación internacional de pedido de datos de manera de hacerla más ágil y respetando el debido proceso. Pero también debe existir mejor cooperación de las empresas con los Estados: se debe avanzar decididamente en que las compañías de Silicon Valley comprendan, transparenten y faciliten su responsabilidad legal en los países en vías de desarrollo.

Asimismo, una agenda propositiva en la defensa del cifrado debe considerar cooperar con el entendimiento de nuestras autoridades judiciales sobre los alcances de este mecanismo: la importancia de un cifrado fuerte para los derechos de la población y de la integridad de internet, el porqué es imposible acceder a información fuertemente cifrada y la necesidad de recurrir a otras formas de investigación que no dañen este tipo de comunicaciones seguras.

El debate del cifrado ha sido reconocidamente un debate de hombres blancos, tanto para sus defensores como para sus detractores. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales. Es justamente ese análisis el que puede ayudar a avanzar en una agenda política que de forma directa o indirecta proteja y fortalezca el cifrado.

La vulnerabilidad de nuestra información personal, ¿un mal incurable?

Hace pocos días, CIPER denunció públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de archivos médicos. Entre ellos, fichas de pacientes del sistema público de salud, incluyendo el nombre, el número de identificación o RUT, el domicilio, la descripción del caso médico y el medicamento entregado. CIPER, además, indicó que dicha información estuvo desprotegida y no cifrada durante meses desde la detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a quienes no tienen autorización a conocerla.

Si bien la Ministra de Salud chilena ya anunció medidas para enfrentar la peligrosa situación, los interesados en acceder a la información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea imposible asegurar la invulnerabilidad total de un sistema de tratamiento de información, buena parte de estos riesgos se podría haber prevenido mediante una política seria de seguridad de datos, como también de reglas efectivas de protección de información sensible de carácter médico.

Una parte del problema se relaciona con las pobres reglas de protección de datos personales. La actual ley chilena adolece de múltiples problemas, muchas veces denunciados. Como en varios países de la región, no existe en Chile una autoridad pública de control que vele por el cumplimiento de la ley de protección de datos y, por lo mismo, no existe institucionalidad suficiente para fiscalizar exigencias de seguridad.

Para los afectados, los costos de una reclamación judicial pueden ser muy altos y para obtener compensación se requiere probar el daño producido, el cual no siempre es evidente. Además, la ley no exige el registro de bases de datos privadas, pudiendo ser tratada dicha información por particulares sin que los afectados jamás se enteren; mientras tanto, en el caso de bases de datos de organismos públicos, tampoco hay reglas suficientes para asegurar condiciones de resguardo y reclamar ante la vulneración de la protección.

Por otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A la información abierta accede cualquiera, es por ello que Edward Snowden ha insistido en el deber que tienen los profesionales de proteger los datos de sus clientes no solo frente a delincuentes, curiosos y empresas privadas, sino también por agencias estatales de vigilancia.

Es cierto que el Ministerio responsable podría interponer acciones judiciales en contra de la empresa por el no cumplimiento de los estándares mínimos de seguridad del servicio prestado (contenidos, entre otros, en la Política General de Seguridad de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición a las personas cuya información se hizo pública, incluyendo datos como su tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora del día después”. Tampoco mejora los efectos que el acceso a esa información pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto de un mal tratamiento de datos personales no se resuelve con pugnas contractuales ni sanciones administrativas.

Tanto la protección legal de datos personales como el uso de mecanismos apropiados de seguridad son los modos que permiten proteger la privacidad de los usuarios y disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo de nuestra información personal para el funcionamiento de un servicio, el estándar mínimo que se debe exigir es que tales datos sean debidamente resguardados, que es lo que espera una persona cuando confía información de este tipo a un órgano estatal.

Lo que este caso demuestra es que cuando los sistemas son incapaces de proteger información, personas reales son afectadas. No se trata de simples problemas técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de información sensible, que conlleva riesgos para los derechos fundamentales de las personas. Para prevenir casos como este es que necesitamos mejores estándares de seguridad digital y de reglas adecuadas de protección de datos personales.

Cinco claves sobre el fallo que pone fin a los globos de vigilancia

La Corte de Apelaciones de Santiago, en un fallo unánime, acogió nuestro recurso de protección (en conjunto con Fundación Datos Protegidos y Corporación Fundamental) y ordenó el cese del uso de globos de vigilancia en Las Condes y Lo Barnechea. Así, la Segunda Sala del tribunal de alzada acogió acción cautelar y ordenó a municipios cesar de inmediato las actividades de captación, almacenamiento y procesamiento de las imágenes que se realizan por medio de los globos de vigilancia emplazados en dichas comunas. Acá te contamos qué dice el fallo concretamente:

UNO: Los globos afectan la vida privada

La Corte reconoce la afectación de los derechos a la vida privada y a la inviolabilidad del hogar hecha por los globos de vigilancia, acogiendo así nuestro argumento de que la vigilancia indiscriminada hecha por estos globos tiene un impacto negativo sobre los derechos fundamentales. Debido a que los globos cuentan con vasto poder para captar, grabar y almacenar imágenes en un amplio campo, abarcando tanto espacios públicos como privados, a la Corte no le quedó más que concluir que los derechos establecidos en los numerales 4 y 5 del artículo 19 de la Constitución, se ven vulnerados por el sistema de vigilancia.

DOS: Falta regulación expresa para la videovigilancia en Chile

La Corte reconoce la alta capacidad tecnológica de los globos, pero hace hincapié en la falta de regulación legal expresa para esta clase de videovigilancia en Chile. Por ello, debe aplicarse el principio de legalidad, especialmente por parte de órganos públicos. Así, que una atribución legal determinada que habilite a un organismo público como un municipio a realizar determinada actividad, no implica que la pueda realizar de cualquier modo, sino limitados por el respeto a derechos humanos.

TRES: La seguridad no es justificación para intromisión en la intimidad

Relacionado al punto anterior, la Corte establece que el fin de seguridad pública perseguido por las municipalidades, no permite justificar la intromisión ilegal en la intimidad que sufren los recurrentes. Para la Corte, “la única forma a través de la cual puede obtenerse un cabal resguardo de los mencionados derechos es el cese de la operación del sistema de vigilancia” operado por las municipalidades.

CUATRO: El funcionamiento de los globos es ilegal

Si bien los órganos estatales están habilitados por la Ley Nº 19.628 para realizar tratamiento de datos personales, deben hacerlo dentro de sus funciones, y de una forma que respete el pleno ejercicio de derechos fundamentales de sus titulares. Para la Corte, al dejar en manos de privados la operación de globos que transgreden normas legales y constitucionales, el sistema es ilegal.

CINCO: La sentencia se puede apelar

La decisión de la Corte ordena de forma unánime el cese de la operación de los globos, en un paso importante para resguardar la privacidad. Pero la decisión no es definitiva en tanto la sentencia es susceptible de apelación ante la Corte Suprema, siendo esta la última instancia.

Lee nuestro comunicado de prensa sobre el fallo acá.

La economía política de internet

Frente a cualquier desarrollo tecnológico es posible preguntar quiénes son los gestores de tal tecnología. Plantear la pregunta por “¿quién es el dueño?” nos entrega luces respecto de porqué una compañía estaría dispuesta a invertir en determinados proyectos. Así es posible comprender, por ejemplo, cuáles son las motivaciones de Facebook por promover el acceso a internet; como hemos visto, detrás de iniciativas como Free Basics no prima necesariamente una preocupación altruista sino, más bien, el interés de Facebook por contar con un mayor número de usuarios de sus servicios. Si no pagas por un producto es altamente probable que el producto seas tú. Esto es plantear la pregunta por la economía política de las redes y dispositivos que usamos cotidianamente: saber quiénes son los propietarios nos permite conocer sus intereses.

La penetración masiva de las nuevas tecnologías en la vida cotidiana ha llevado a algunos a sostener que el acceso a internet puede incluso constituir un derecho humano. El problema que surge de lo anterior tiene que ver con la provisión de tal (eventual) derecho y la economía política tras este. Pensemos, por ejemplo, en la provisión de un bien imperioso para la existencia de la vida: el agua. Diversos han sido los modos en los cuales los estados han respondido a la provisión de tal bien. Desde modelos completamente estatales, hasta escenarios privatizados donde el Estado opera como “garante” de la provisión y el acceso al agua -modelo que bien conocemos en Chile.

Uno de los ámbitos en los cuales este tipo de relaciones puede despertar un mayor número de preguntas se relaciona con el surgimiento de las denominadas “ciudades inteligentes” (o “Smart Cities”). La idea es que mediante el uso de tecnologías de la información en tiempo real sería posible gestionar de mejor manera las complejas interacciones que se dan en las grandes urbes: desde el tráfico hasta la gestión de catástrofes naturales (se puede leer más sobre el particular aquí).

Sin embargo, el que una ciudad pase de ser “tonta” (o, al menos “no-inteligente”) a “inteligente” comporta un inversión que no es menor, sobre todo al considerar que contempla la implementación de una infraestructura considerable. Cabe aquí entonces nuevamente la pregunta: ¿quiénes y respondiendo a qué intereses estarían dispuesto a realizar tal inversión?

Empresas como CISCO Systems y Siemens han sido de las compañías que más en serio se han tomado las “ciudades inteligentes”. A la fecha, CISCO ha desarrollado planes para Holanda, India y Corea, por mencionar ejemplos de contextos diversos. En Latinoamérica, por otro lado, ciudades como Santiago ya han manifestado su intención y planificación en vistas a alcanzar el tan anhelado adjetivo de “inteligente”. ¿Cuáles serán los acuerdos público-privado que regirán este tipo de políticas? ¿Cuál será el rol de la ciudadanía a la hora de tomar parte en tales planes de desarrollo?

Las implicancias de tales cuestiones exceden la mera preocupación por la economía política y se sitúan en planos que afectan directamente nuestros derechos fundamentales. Cuando nos hallamos en la arena de la tecnología, sabemos que debemos enfrentarnos a cuestiones tales como la privacidad y el manejo de datos personales. Sin embargo, en los planes propuestos, las más de las veces estos cuidados siquiera son mencionadas.

Las consideraciones respecto a lo que es visto como público puede fácilmente teñirse de un manto de duda al evaluar el rol que ejercen las compañías privadas. A modo de ejemplo, resulta interesante destacar la implementación de Facebook at Work (FAW) en el Gobierno argentino.

FAW es la aplicación de Facebook para la gestión del trabajo en organizaciones; la compañía sostiene que, dada la familiaridad con el entorno de la plataforma, es una herramienta de fácil adopción para organizaciones de todo orden, incluso administraciones estatales. Es lo que ha decidido el gobierno de Macri en Argentina, constituyendo el primer ejemplo de un país que adopta el servicio para la gestión gubernamental. Aún cuando existen quienes han manifestado sus precauciones en razón de la seguridad del servicio y las implicancias de éste la opción “modernizadora” parece haber tenido mayor valía para el Gobierno argentino. ¿Hasta dónde estarán resguardados los datos de una administración estatal en un servidor privado? ¿Existen las garantías requeridas respecto al manejo de los datos personales de los funcionarios? ¿Qué se hará con la información recabada?

Nunca está demás volver a plantear la pregunta por la economía política, en vistas de comprender qué es lo que impulsa el surgimiento de iniciativas como las “ciudades inteligentes”, Free Basics o, incluso, la plataforma de gestión organizacional de un estado. Responder tal pregunta nos ayuda a comprender estas iniciativas de forma más completa, habilitando a los diversos sectores involucrados y, especialmente, a la ciudadanía a tener elementos de juicio.

¿Qué sigue con la Ley Telecom?

En México, la Ley Federal de Telecomunicaciones y Radiodifusión, conocida como “Ley Telecom”, fue objeto de muchas controversias y debates a mediados de 2014. Dos años después de que el movimiento #YoSoy132 irrumpiera las elecciones en contra del ahora presidente Enrique Peña Nieto, el Gobierno buscaba promulgar una ley que atentara contra la neutralidad en la red y bloqueara señales de internet durante protestas.

Gracias a la resistencia social, muchas de estas propuestas no prosperaron; sin embargo, nefastas reglas sobre vigilancia de comunicaciones privadas se convirtieron en ley de la federación, en los artículos 189 y 190. Estos artículos ponen seriamente en riesgo el derecho a la privacidad de los mexicanos. Por esa razón, la constitucionalidad de tales normas será revisada por la Suprema Corte de Justicia de la Nación, en un juicio promovido por la Red en Defensa de los Derechos Digitales (R3D).

La ley obliga a las empresas de telecomunicaciones a “colaborar con la justicia” en varios aspectos que tienen que ver con la entrega de información para ayudar a las investigaciones. En principio, esto parecería un objetivo válido y legítimo en un país donde el narcotráfico y el crimen organizado son una realidad cotidiana. Basta recordar las fugas del líder del cartel de Sinaloa, el Chapo Guzmán, para entender el ánimo del aparato estatal de requerir de esta colaboración.

Sin embargo, dos de estas obligaciones se convierten en medidas desproporcionadas para esos fines, pues afectan más derechos de los que terminan asegurando. Además, no se establece la necesidad de una orden judicial para controlar qué informaciones se entregan, eliminando resguardos elementales para el derecho al debido proceso.

El primer problema es la localización geográfica en tiempo real. Las empresas de telecomunicaciones deben entregar toda información sobre la ubicación de sus usuarios que permita encontrarlos dondequiera que estén, a “autoridades” que no se encuentran especificadas (artículo 190, fracción I). Con esto cualquier autoridad puede rastrear a cualquier usuario, sin controles previos. En un país con un serio déficit democrático y en el que funcionarios públicos son los principales responsables de agresiones a periodistas y disidentes, la medida podría ser utilizada fácilmente para perseguir voces incómodas dentro del marco de la legalidad formal.

En segundo lugar, estas empresas deben conservar un registro y control de todas las comunicaciones que se realicen desde cualquier tipo de línea para identificar datos como el nombre, domicilio, tipo de comunicación, origen, número de destino, ubicación geográfica, fecha, hora y duración, identificación y características técnicas de los dispositivos. Esta retención se obliga por un periodo hasta de dos años, para permitir que las “autoridades competentes” puedan acceder a ellas y consultarlas en tiempo real.

El problema es el mismo: no se pide orden judicial y no se aclara qué autoridades pueden acceder a estos datos. Además, la retención por un periodo de dos años es demasiado larga si se piensa en la investigación de crímenes en en un juicio.

La retención no se refiere al contenido de las comunicaciones (es decir, a los mensajes intercambiados) sino a los “metadatos”, que aunque no versen sobre el contenido mismo pueden revelar mucho más que estos últimos. La ley mantiene dicha obligación de retención, aun cuando se ha reconocido en tribunales internacionales que se trata de una forma de vigilancia masiva, contraria a los derechos humanos.

Hasta ahora no sabemos si estas medidas han ayudado efectivamente a combatir el crimen organizado, pero ni aun en ese caso sería aceptable una invasión tan profunda y extensa a los derechos fundamentales de los mexicanos.

Acercándonos al fin del proceso judicial de revisión de estas reglas, esperamos que la Suprema Corte de Justicia mexicana haga valer las reglas constitucionales y los estándares internacionales, y opte por proteger los derechos de la población en lugar de ceder ante una retórica de seguridad sin evidencia. Al igual que otras organizaciones, Derechos Digitales pronto dará su opinión formal al tribunal.

Los debates sobre vigilancia en Europa que pueden influir en América Latina

En Latinoamérica no es extraño mirar al desarrollo en la Europa de la posguerra como un ejemplo digno de seguir en materia de reconocimiento de derechos humanos. Ello incluye al derecho fundamental a la privacidad, y de manera especial, a la protección de los datos personales. Por largo tiempo, gobiernos locales han aspirado a un reconocimiento del derecho a la autodeterminación informativa de forma análoga a la de los países del Viejo Continente. Pero las revelaciones de Snowden de vigilancia masiva y la amenaza terrorista están cambiando el escenario.

Coletazos del caso Snowden

La transferencia de datos personales desde la Unión Europea a organizaciones en Estados Unidos estaba autorizada dentro del marco regulatorio del “Safe Harbour” (puerto seguro), resolución de la Comisión Europea lograda tras un acuerdo con el Departamento de Comercio de EE. UU.

Esto cambió recientemente tras el reclamo del austríaco Max Schrems ante la autoridad de protección de datos personales de Irlanda (DPC), debido a la transferencia de datos mediante Facebook a EE. UU. La DPC se rehusó a investigar, por lo que Schrems acudió al Tribunal de Justicia de la Unión Europea (TJUE) para cuestionar esa negativa.

Y acá vino el gran golpe: el TJUE no solamente analizó si la DPC debía ceñirse a la decisión sobre “Safe Harbour”, sino que se pronunció sobre este último en sí mismo, declarando que no provee un nivel adecuado de protección de datos personales, por ser incapaz de prevenir el acceso masivo por parte de autoridades de inteligencia estadounidenses a datos personales transferidos desde Europa. Desde entonces, el “Safe Harbour” no es por sí solo suficiente para autorizar transferencias de datos.

El reclamo que llevó a la decisión trataba precisamente de encontrar respuestas sobre el uso de datos, fundado en las revelaciones de Snowden sobre la vigilancia masiva a mediados de 2013. La falta de protección a los datos por el régimen estadounidense, y en particular, por la vigilancia masiva de la NSA, incluía una falta de deber de compensación contraria a la Carta de Derechos Fundamentales de la Unión Europea.

Para mantener la tranquilidad y las relaciones comerciales, se anunció un nuevo acuerdo entre las autoridades de EE. UU. y Europa, con el rimbombante nombre de “Privacy Shield” (escudo de privacidad), del que se entregaron lineamientos generales y cuyos detalles se negocian. Sin embargo, ¿puede ese nuevo acuerdo proteger los datos de los ciudadanos de la UE frente a la maquinaria de vigilancia masiva de los EE. UU.?

La respuesta es que, mientras no existan reformas sustantivas a las reglas que autorizan la vigilancia dentro de los Estados Unidos, ningún país tiene asegurado el respeto a la privacidad de las comunicaciones de sus habitantes en internet.

Como destaca Schrems, el nuevo entendimiento se basa en compromisos débiles de EE. UU. de no incurrir en prácticas de vigilancia masiva, sin auténticas reformas normativas y sin limitantes al acceso a los datos de europeos. El mayor temor es que un nuevo acuerdo sea una jugada política para que, con una frágil promesa de cambio a la gran maquinaria de vigilancia masiva, todo el comercio basado en la transferencia de datos siga como si nada hubiera pasado. Business as usual.

La excusa del terrorismo

Varios países en Europa han tenido en este siglo ataques terroristas dentro de sus territorios que siguen teniendo fuertes repercusiones en las políticas sobre seguridad y vigilancia. A esto se suma que la profunda crisis de refugiados que huyen desde la violencia en el Medio Oriente, sirve para alimentar algunos temores sobre las amenazas extranjeras, especialmente del radicalismo que usa a la religión como excusa. La respuesta política a los ataques y a los grupos de refugiados en Europa ha puesto a la seguridad como objetivo y llevado a la adopción de legislación de emergencia, quitando peso a importantes salvaguardas sobre derechos fundamentales.

Así ocurre, por ejemplo, con el Reino Unido. Firme aliado de EE. UU. en materias internacionales (y comerciales), el gobierno actual introdujo un proyecto de reforma a sus reglas sobre investigación criminal y recolección de inteligencia, después de varios años de intentos de reforma y polémica por los excesos de su aparataje de seguridad nacional. El proyecto de ley sobre poderes de investigación (Investigatory Powers Bill, o IPBill), cuyo borrador fue publicado en noviembre de 2015, intenta así entregar amplias facultades a los órganos de investigación y persecución. Así, considera, entre otros, obligar a la retención de metadatos, realizar recolecciones masivas de información de comunicaciones, intervenir equipos a distancia, y posiblemente exigir el descifrado de comunicaciones seguras. A pesar de los comentarios críticos formulados por empresas e instituciones, y los cuestionamientos sustantivos de tres comités distintos dentro del parlamento británico, persiste la presión por establecer un marco de intervención de comunicaciones durante 2016.

El caso de Francia es especialmente dramático. Poco después del ataque a Charlie Hebdo, una nueva ley antiterrorista fue aprobada entregando vastos poderes de vigilancia al Estado, permitiendo la intervención de correos y teléfonos sin autorización judicial (aumentando facultades ya existentes desde 2013). Pero los múltiples ataques de París en noviembre de 2015 demostraron la inutilidad de la vigilancia de comunicaciones. La terrible sucesión de hechos llevó rápidamente a culpar a Snowden (!) e impulsar nuevas medidas de seguridad. Hasta mayo de 2016 se ha extendido el estado de emergencia en toda Francia, con fuertes restricciones a libertades individuales que han resultado en abusos. Es más, el gobierno pretende introducir nuevas modificaciones constitucionales y legales para aumentar las facultades estatales relacionadas con la seguridad (incluida la vigilancia), convirtiendo así al estado de excepción y restricción de garantías fundamentales en “el nuevo normal”.

Seguir o ser guía

Lo que ocurre en Europa no es indiferente para el resto del mundo, y menos para Latinoamérica. Como muestra de ello, hace pocos años la sociedad civil regional dio su parecer sobre la relevancia de la nueva reglamentación europea sobre datos personales, con miras a la fijación de estándares globales sobre esa protección y, con ello, sobre derechos fundamentales afectados como la privacidad.

Sin embargo, cuando encontramos que los mismos países que nos sirven de guía incurren en prácticas que ponen en riesgo los datos de sus ciudadanos, o los someten a la vigilancia masiva, privilegiando relaciones comerciales o cediendo a la narrativa de la seguridad nacional, perdemos parte de la esperanza en que las políticas de los gobiernos locales sean más sensibles a los derechos fundamentales.

Por tal motivo, es importante que a nivel local y regional se continúe construyendo narrativas propias de defensa de los derechos digitales, así como también se debe seguir con atención -y muchas veces con apoyo concreto- las luchas que activistas europeos tienen para defender los derechos humanos de los ataques que, lamentablemente, cada día se hacen más comunes en el contexto digital.

Agenda antidelincuencia quiere aumentar sin justificación el poder de espionaje del Estado

A comienzos del 2015, el gobierno de Chile ingresó al parlamento el proyecto de ley que “Facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como la agenda corta antidelincuencia.

Si bien, hasta el momento el debate público ha girado en torno a la más polémica de estas medidas, el control preventivo de identidad, es preocupante cómo otras medidas propuestas por el Legislativo, que pueden resultar igualmente atentatorias contra los derechos de las personas, no han recibido el nivel de debate público que requieren. Esto ocurre con la propuesta de interceptación de comunicaciones por simples delitos.

Estando el proyecto en segundo trámite constitucional, los senadores Espina, Harboe y Larraín presentaron una indicación cuyo objetivo es extender la facultad del ministerio público para, previa autorización del juez de garantía, interceptar comunicaciones telefónicas o de otras formas de telecomunicación.

En efecto, el artículo 222 del Código Procesal Penal restringe la posibilidad de interceptar comunicaciones a aquellos casos donde la supuesta conducta del sospechoso pudiese merecer pena de crimen, y sólo cuando ésta resulte imprescindible para la investigación. De aprobarse el proyecto con la indicación, esta facultad se extendería a ciertas conductas punibles con pena de simple delito, como robo en lugar no habitado, el robo a cajeros automáticos, hasta el hurto de ganado, entre otros.

La restricción de esta figura sólo a hechos castigados con pena de crimen sigue una lógica que el proyecto desconoce de forma peligrosa: la interceptación de comunicaciones constituye una vulneración del derecho constitucional a la inviolabilidad de toda forma de comunicación privada. Como ha indicado el ex relator especial de la ONU, estos derechos sólo pueden limitarse en circunstancias excepcionales, ya que la vigilancia de las telecomunicaciones socava gravemente no sólo la privacidad, sino que también la libertad de expresión.

El sistema actual vela porque dicha limitación sea excepcional al hacerla aplicable sólo a ciertos delitos que resulten lo suficientemente graves para que la intercepción de comunicaciones privadas resulte justificable. El proyecto, por el contrario, infringe este criterio al permitir la vigilancia de comunicaciones privadas para simples delitos ¿Cómo podría considerarse excepcional la interceptación de comunicaciones si se permite para la persecución de delitos menores como el hurto de ganado y la receptación?

Como ha establecido repetidamente el Tribunal Constitucional, para que una ley que pretende limitar derechos fundamentales no resulte inconstitucional, debe cumplir con los requisitos de necesidad y de proporcionalidad. Que una ley sea “necesaria” quiere decir que la finalidad que busca no puede alcanzarse satisfactoriamente por ningún otro medio que resulte menos lesivo para los derechos fundamentales ¿Cumple este criterio la ley corta? Resulta difícil imaginar que no existen otras medidas que permitan combatir de forma más efectiva los delitos menores contra la propiedad, que aumentar la capacidad del Estado para vigilar las comunicaciones privadas de las personas.

El criterio de proporcionalidad exige una ponderación donde se compare el nivel de afectación que producirá la medida con su beneficio eventual. Si la limitación resulta mayor que el beneficio eventual, entonces la medida no cumple con el criterio de proporcionalidad. Es justamente lo que sucede en este caso, ya que no existe evidencia de que aumentar las facultades de vigilancia del Estado permita una persecución más eficiencia de los delitos menores con la propiedad.

En este sentido, de aprobarse el proyecto de ley de agenda corta antidelincuencia, habrá un serio detrimento de los derechos online y offline de las personas. Por otro lado, se seguirá legislando en una materia sumamente sensible para la ciudadanía echando mano a recetas obsoletas que optan el camino fácil y mediático, sin evidencia de su necesidad y proporcionalidad y con serios problemas de adecuación a un marco de derechos humanos.

Como bien ha señalado la directora de Instituto Nacional de Derechos Humanos, Lorena Fríes, la seguridad también es un derecho fundamental y los ciudadanos tienen el derecho de exigir que el Estado los proteja de la delincuencia, pero ese deber no puede cumplirse afectando gravemente otros derechos y libertades.

TPP: la lucha recién comienza

Después de siete años de negociaciones secretas, los doce países que integran el Acuerdo Transpacífico de Cooperación Económica (TPP) firmaron el documento final este 4 de febrero en Nueva Zelandia. El tratado fue negociado en secreto, a espaldas del público, e ignorando los derechos humanos de los ciudadanos de los países involucrados. Chile, México y Perú son parte de ese grupo.

En los países participantes ha habido oposición y múltiples protestas por la afectación al derecho a la salud, los derechos laborales, ambientales y a los mercados agrícolas nacionales. El propio Banco Mundial publicó recientemente un informe analizando la mínima ganancia económica que este “tratado de libre comercio” implicaría para los países involucrados: apenas un 1.1% de aquí a 2030, con cifras menores para países que forman parte del TLCAN. Alfred de Zayas, experto independiente de la Organización de Naciones Unidas, denunció al tratado como un documento “con grandes fallas” que entra en conflicto directo con los derechos humanos.

Pero poco de esto importó el 4 de febrero.

Si bien la firma en sí no crea obligaciones legales, es el primer paso para que el texto del TPP se adopte en las leyes nacionales de cada país involucrado. Con la excepción de tres países (el sultanato de Brunei, Malasia y Singapur), la palabra ahora la tienen los poderes legislativos de cada país firmante. Corresponde a los Congresos “ratificar” el documento, sin que puedan modificar una sola coma de la negociación.

En Derechos Digitales hemos documentado ampliamente cómo este tratado afecta la libertad de expresión, la privacidad y la innovación en internet. Ahora con el texto final del tratado ya firmado, podemos hacer un recuento de los puntos más preocupantes.

Dos capítulos son especialmente preocupantes. El primero, sobre comercio electrónico, donde existen varias disposiciones que amenazan la neutralidad en la red y afectan el derecho a la privacidad. Por ejemplo, el artículo 14.11 establece que los países deberán permitir “las transferencias transfronterizas de información por medios electrónicos, incluyendo la información personal”, estableciendo salvaguardas vacías para garantizar la protección de derechos a beneficio de grandes compañías privadas. En tanto, el artículo 14.10 establece varios derechos para los consumidores, entre ellos acceder y utilizar los servicios y aplicaciones de su elección disponibles en Internet, sujeto a una administración razonable de la red. Sin embargo, el pie de página establece que si un proveedor ofrece a los suscriptores exclusividad en cierto contenido, no se viola este principio de “administración razonable”, cuando en realidad es una excepción flagrante al carácter neutral de internet.

En cuanto al capítulo de propiedad intelectual, existen disposiciones problemáticas en tres puntos específicos. Primero, en cuanto al a umento de plazos de protección a derechos de autor que se protegen durante la vida de los mismos y hasta 70 años después de su muerte (Artículo 18.63). Hasta ahora, México tiene el estándar en 100 años mientras Perú y Chile lo tienen ya en 70, desde la muerte del autor. Si en un futuro se buscan reducir los plazos, el TPP lo hará imposible. Esto se traduce en un beneficio económico directo para Estados Unidos, principal exportador neto de productos y contenidos protegidos por derechos de autor en el mundo, con una fuerte industria de licenciamiento también protegida hasta el exceso.

Como una débil contraparte a este intenso resguardo de intereses privados, los artículos 18.65 y 18.66 establecen que cada país “procurará alcanzar” un equilibrio para establecer excepciones en materia de “crítica; comentario; cobertura de noticias; enseñanza, becas, investigación”. Dado que las mismas no son obligatorias, los derechos de los usuarios y consumidores quedan fuera de los deberes de implementación.

Para el retiro de contenidos que infringen derechos de autor en internet, el TPP establece un régimen de responsabilidad de proveedores de servicios de internet que sigue la lógica de la Digital Millenium Copyright Act (DMCA) estadounidense. [Artículos 18.81 y 18.82]. Se obliga a compañías como Google, Facebook -o sus equivalentes nacionales- a retirar contenido que “infrinja” derechos de autor en cuanto tengan conocimiento efectivo de ello. De no hacerlo, pueden incurrir también en responsabilidad. Sin salvaguardas judiciales, este sistema ha llevado a millones de actos de censura, incluso contra actos legítimos de expresión y de creación, bajo la amenaza de responsabilidad sobre el intermediario. Inclusive en países como México y Ecuador se utiliza para eliminar contenido disidente de la autoridad política.

En cuanto a las sanciones contra la elusión de medidas tecnológicas de protección, el TPP eleva el estándar para la imposición de penas, no solo para quien a sabiendas eluda las medidas, sino también para quien lo haga teniendo motivos razonables para saber. Estas medidas permiten que los titulares de derechos controlen el acceso y reproducción de las obras, música o libros legalmente adquiridos. Por ejemplo, en las restricciones geográficas que antes tenían los DVD o en las restricciones de formatos de lectura de los libros electrónicos. Se incluyen sanciones no solo civiles, sino también criminales contra quienes se demuestre que, con conocimiento, realizó actividades de elusión y obtuvo beneficios comerciales.

Como ha sido repetido hasta el cansancio, de los 30 capítulos, solo 6 tienen que ver con medidas de libre comercio. Los estudios han demostrado beneficios magros o nulos, pero grandes riesgos para intereses tanto económicos como de derechos humanos.

¿Por qué firmar un tratado que con un mínimo impacto económico, y grandes costos en términos de derechos humanos? Ahora que la ratificación depende de los órganos legislativos y democráticos de cada país, esa pregunta persiste. Pero al mismo tiempo esa pregunta se convierte en una arma de lucha: por qué deberían nuestros órganos democráticos aceptar esta imposición de condiciones de una economía que no queremos, de un esquema de negocios que intercambia libertad por beneficios inexistentes.

Después de años de secretos y mentiras, doce países han firmado TPP. Pero la lucha por el rechazo de su aprobación e implementación, y por la defensa de la democracia en los países en desarrollo, recién está comenzando.

Solo un cifrado fuerte protege los derechos de la población

Desde los 90 hasta hoy, varios han sido los intentos por regular el uso de cifrado en las comunicaciones personales. La discusión se ha vigorizado tras los ataques terroristas ocurridos en Francia, particularmente los de noviembre de 2015, dado que muchos consideraron que el cifrado habría sido fundamental en la coordinación de los atentados, impidiendo su oportuna detección.

Dichos alegatos son falsos: se comprobó que los terroristas habían coordinado sus acciones por medio de mensajes de texto comunes, no cifrados, perfectamente interceptables por las agencias de seguridad francesas. El problema estuvo a nivel de análisis de estos datos más que en no tener acceso a ellos.

A pesar de esto, autoridades gubernamentales de diversos países han exigido formalmente a las mayores empresas de Silicon Valley que cooperen en el combate al terrorismo y el crimen organizado, demandando una vía de acceso a las comunicaciones cifradas asociadas a estos grupos. ¿Es esto posible sin comprometer la privacidad de todos aquellos que, sin conexiones criminales, eligen legítimamente ejercer su derecho a cifrar sus comunicaciones? La respuesta es un rotundo no.

Los métodos usualmente propuestos son tres. Todos poseen fallas:

Depósito de llaves o “Key Escrow”: consiste en tener una copia de la llave que permite desbloquear el mensaje o archivo cifrado. Esto supone entregar a un “tercero de confianza” la copia de la llave, para que este la almacene en una base de datos. Esto es altamente peligroso, pues los sistemas computacionales no son 100% seguros y alguien con las habilidades suficientes podría acceder fraudulentamente y robar la información. Además, existen incentivos para que el guardian haga uso ilegítimo de las llaves que almacena.

Divulgación de la clave o “Key Disclosure”: consiste en solicitar la entrega de la llave en caso de ser investigado judicialmente. Esta propuesta plantea un problema de proporcionalidad de la medida, dado que para averiguar el contenido de una conversación o un archivo específico, se entrega acceso a la totalidad de las conversaciones y a todos los documentos protegidos.

Puertas traseras o “Backdoors”: consiste en crear vulnerabilidades introducidas intencionalmente a un sistema informático, las que solo podrán ser explotadas por quienes estén legalmente autorizados y únicamente con fines de seguridad pública. En este caso, no hay cómo filtrar quien ingresa a través de la vulnerabilidad, poniendo en riesgo la integridad, seguridad y confidencialidad del sistema completo, no solo de las comunicaciones privadas, sino que de toda la red.

Actualmente existen otras alternativas para poder perseguir al crimen organizado. Sin ir más lejos, el análisis de metadatos hoy es suficientemente preciso como para predecir con exactitud las conductas de los sujetos analizados, sin siquiera tener que ver el contenido de sus comunicaciones.

Por otro lado, una alternativa que permite balancear el legítimo interés en la seguridad pública, los derechos fundamentales de la población y no comprometer el tráfico seguro de la red, es la solicitud de acceso mediante orden judicial a información cifrada específica, sea una conversación, un correo electrónico o un archivo, cumpliendo así con los parámetros de proporcionalidad.

La posibilidad de cifrar nuestras comunicaciones hoy es de gran importancia, no solo para realizar transacciones delicadas a través de internet, sino que es una condición necesaria -junto al anonimato- para poder efectivamente ejercer nuestros derechos a la privacidad y libertad de expresión en línea, por lo que su uso no puede prohibirse, condicionarse ni limitarse. Solo un cifrado fuerte protege los derechos de la población.

Free Basics y las batallas políticas de internet

Mark Zuckerberg, el CEO de Facebook, ha dicho que la misión fundamental de su compañía es conectar a las personas, por lo que no descansará hasta que los 5 mil millones que actualmente no tienen acceso a internet en el mundo, estén conectados a la «red de redes». Para lograrlo, implementó en diversos países en vías desarrollo el proyecto Free Basics (antiguamente conocido como Internet.org) el que, se suponía, debía ser recibido con los brazos abiertos por los habitantes locales.

Actualmente el servicio funciona así: Facebook se asocia con proveedores de internet locales y ofrece una aplicación que las personas pueden bajar en sus celulares -no necesariamente inteligentes- y obtener entonces acceso a ciertos servicios en línea (que incluyen Facebook y WhatsApp, más otros que varían en cada país) sin necesidad de gastar sus planes de datos. Para Zuckerberg, Free Basics es el impulso que necesita la gente pobre para valorar internet y decidirse a gastar parte de su presupuesto mensual en una conexión a toda internet.

No obstante, en la actualidad Zuckerberg enfrenta uno de los momentos más álgidos de su proyecto. Y es que a principios de diciembre del 2015, la Autoridad Reguladora de Telecomunicaciones de India (TRAI), ordenó al proveedor de internet Reliance Communications -socio de Facebook para ofrecer Free Basics- suspender temporalmente el servicio en el país. La razón se debe a una larga polémica sobre si a un operador de telecomunicaciones le debe ser permitido tener precios diferenciados para diferentes tipos de contenido. Mientras aquello se resuelve, no solo se suspendió temporalmente el servicio, sino que la TRAI se abrió a los comentarios de múltiples partes interesadas para su último documento que trata justamente esta materia.

Ahí se desató la batalla.

Por un lado, con una campaña destinada a desacreditar la opinión de activistas opositores, Facebook ha destinado enormes recursos para repletar de publicidad a favor de Free Basics las calles, los medios de comunicación y su propia plataforma. Por su parte, un importante sector de la sociedad civil, la academia y privados se han reunido bajo la coalición Save The Internet para levantar oposición al proyecto emblema de Zuckerberg.

Hasta ahora, parte importante de los argumentos en torno a la discusión sobre Free Basics y, en general, sobre servicios zero-rating tanto en India como en otros países, se concentran en si la neutralidad de la red es un principio real y deseable en internet, y si aquel -en su existencia- podría tener excepciones. Muy relacionado con esto, se discute si la neutralidad de la red es una barrera o una garantía para el acceso a internet y, más específicamente, si es conveniente -económica y políticamente- que sea Facebook y un puñado de empresas las que decidan qué aplicaciones son parte de una internet gratis y cuáles no.

Pero con la discusión en India queda en evidencia que una aproximación meramente técnica no es suficiente si no se consideran las diversas dimensiones de poder que cruzan el debate.

Y es que más allá de la discusión sobre la neutralidad de la red y el acceso, hay incomodidad en cómo Facebook ha llevado a cabo el proyecto Free Basics en los distintos países del tercer mundo: por un lado, con poca o nula participación local; y relacionado con lo anterior, con la receta lista desde el primer mundo de cuál es la internet que el tercer mundo merece, como si hombres blancos y acomodados de Silicon Valley supieran mejor lo que países en vías de desarrollo -nuestros países- necesitan.

Ante la crítica política, Facebook ha reaccionado agresivamente. Para sus defensores, los reclamos solo responden a una suerte de antiamericanismo presente en el país. De hecho, Zuckerberg escribió una editorial en India y calificó como “afirmaciones falsas” los argumentos contrarios a Free Basics, lo que le valió la respuesta, con algo de sorna, de Quartz India que tituló: “Mark Zuckerberg no puede creer que India no esté agradecida de la internet gratuita de Facebook”.

La reacción de Free Basic incluyó una campaña que, entre otros recursos offline, tiene como eje la propia plataforma de Facebook. Como miles de activistas y organizaciones alrededor del mundo que día a día utilizan Facebook para dar a conocer sus campañas de incidencia, esta vez el dueño del servicio decidió también ocuparlo para esos fines. No habría nada de malo en aquello, sino fuera por las acusaciones que denuncian las barreras que la compañía le impone a la campaña contraria, Save The Internet, además de otras acusaciones.

Se trata de preocupantes denuncias sobre la manipulación de la opinión pública local. Con todo, el hecho nuevamente demuestra que la batalla de Free Basics excede el debate sobre la neutralidad de la red y pone luz sobre otra preocupante dimensión política en las discusiones sobre derechos en internet: el poder del algoritmo.

Refiriéndose a este hecho y el poder de las corporaciones tecnológicas, Evgeny Morozov afirma que “podríamos estar presenciando el nacimiento de una nueva, potente y altamente descentralizada aproximación al lobby, donde los ciudadanos se fusionan con los algoritmos para neutralizar cualquier amenaza a[l] culto [de Silicon Valley]” (traducción propia).

Estas denuncias ponen de manifiesto la fragilidad de nuestros derechos cuando el algoritmo es cerrado, sin atisbos de transparencia, y ponen especial advertencia a la fragilidad de la libertad de expresión de miles de personas y organizaciones que usan plataformas privadas como Facebook para hacer activismo.

Pero el asunto se hace especialmente peligroso cuando ese algoritmo -poco transparente y con posibilidades de ser políticamente manipulado- es parte de las pocas plataformas a las que una persona puede acceder a través de servicios zero-rating como Free Basics. Cabe preguntarse entonces si es válido el argumento de que los servicios zero-rating son en cualquier condición habilitadores de derechos como la libertad de expresión de las personas. Se olvida muchas veces que estos se tratan de servicios muy específicos de corporaciones privadas con poder total sobre su código.

La reacción de Facebook ante los atendibles argumentos indios -no solo de activistas, academia y sector privado, sino también del Estado- hacen pensar que esta batalla va mucho más de los argumentos técnicos, sino que tiene claros ribetes de lucha de poder político en un país que representa el segundo mercado después de EE.UU. para la compañía. Se trata de una suerte de neocolonialismo digital que abunda en las discusiones políticas de internet, donde no solamente el norte reclama dominios sin contrapesos al sur, sino que muchas veces son las grandes corporaciones las que dominan la conversación por sobre cualquier soberanía local.

Considerando que Free Basics es una realidad en muchos de nuestros países de América Latina, creer que la discusión solo se trata de neutralidad de la red y acceso puede ser un equívoco: observar con atención lo que ocurre en India nos puede ayudar a entender el verdadero alcance de las discusiones “técnicas” en internet.