Tipo de contenido (Recurso): Columnas

Una encrucijada perversa

Unos días atrás, la Dirección Nacional de Relaciones Económicas Internacionales de la Cancillería chilena, DIRECON, informó del envío inminente del Tratado Transpacífico al Congreso para su eventual ratificación durante el segundo semestre del año. El anuncio llega casi un mes después de que el Senado mexicano recibiera los textos oficiales para iniciar un proceso similar de análisis y su posterior aprobación o rechazo.

La prisa con la que los países latinoamericanos están planeando realizar un proceso altamente complejo es peligrosa. La razón es simple: los estados tienen un plazo de dos años desde la firma del tratado, ocurrida en febrero de 2016, para ratificarlo si es que quieren evitar el proceso de certificación, que implicaría que otros países –aquellos con las economías de mayor tamaño dentro de los 12 países involucrados- puedan condicionar unilateralmente el modo en que se implementan el tratado.

Si bien el proceso de certificación es una instancia que hay que evitar a toda costa, pues implica un atentado gravísimo contra la soberanía nacional, la alternativa no es mucho mejor, pues limita al extremo la discusión sobre un asunto increíblemente delicado y que condiciona el futuro de las naciones en temas altamente importantes, como el acceso a la salud, medioambiente y derechos en internet y propiedad intelectual.

Como hemos mencionado en numerosas ocasiones anteriores, el modo en que los Gobiernos latinoamericanos llevaron el proceso de negociaciones ha sido de extremo secretismo y sin instancias reales de participación por parte de la sociedad civil ni los congresistas, oportunidad que sí han tenido los representantes de diversos sectores de la industria. Hoy, con tan solo un año y medio hasta el fin del plazo, es prácticamente imposible que la discusión respecto a la ratificación o rechazo del tratado cuente con las garantías necesarias de un proceso realmente democrático, que revierta las falencias de la etapa anterior.

Más todavía, porque la instancia de decisión es “todo o nada”: los congresistas cargan con la responsabilidad de aceptar o rechazar la totalidad del tratado, contenido en miles de páginas con lenguaje altamente técnico (que no tiene una versión oficial en castellano, sino solamente una traducción realizada por cortesía del equipo negociador mexicano), sin ninguna posibilidad de hacer modificaciones al texto.

A lo anterior hay que agregar la falta de estudios técnicos de impacto del TPP. En el caso chileno, durante una sesión especial con la Cámara de Diputados realizada durante el primer semestre de 2015, el Canciller chileno, Heraldo Muñoz, anunció la existencia de tres estudios al respecto, ninguno de los cuales fue realizado en el país ni está enfocado en los impactos que el tratado tendría para Chile. Tras el fin del proceso de negociación del cuerdo, Direcon ha anunciado en diversas oportunidades la publicación de estudios de impacto, cuya entrega sigue aplazándose.

Desde una perspectiva de política internacional, la decisión de iniciar el proceso de ratificación antes de las elecciones en Estados Unidos es compleja. Mientras que Barack Obama ha sido enfático en la importancia del TPP, la posición que tomará su sucesor no es clara: Hillary Clinton, Bernie Sanders y Donald Trump se han manifestado en contra del tratado.

Lo anterior es relevante, puesto que la importancia del TPP parece tener mucho más que ver con la relación estratégica de los países latinoamericanos con Estados Unidos, que con su impacto económico. Aún cuando la probabilidad de que Estados Unidos rechace el acuerdo es bajísimo, cabe preguntarse si tiene sentido ser parte del tratado sin ellos. Luego, esperar el resultado de la elección estadounidense significa agotar el plazo para evitar la certificación.

Esta encrucijada no hace más que recalcar el carácter perverso del plazo de dos años, que impide realizar un debate conociendo el contexto completo, para tomar la decisión más acertada.

El impacto que tendrá el TPP en el desarrollo futuro de los países latinoamericanos, la región y el mundo, es inmenso. Tomar una decisión sin las condiciones mínimas necesarias es altamente irresponsable y puede tener un costo altísimo a largo plazo. No permitamos que salga el tiro por la culata.

Special Report 301: Una presión arbitraria, unilateral e interesada

J. Carlos Lara & Pablo Viollier

Nos hemos acostumbrado a ver, una vez al año, las noticias informando que varios de nuestros países está en la llamada “lista negra de la piratería”. No es que nuestros mares estén llenos de asaltantes de embarcaciones, sino que existe un intenso manejo de prensa que acompaña a la publicación del Special Report 301 de la USTR, el órgano encargado de la política comercial exterior de Estados Unidos. El mismo que, entre otras cosas, negocia (léase: intenta imponer condiciones) a nombre de los Estados Unidos en tratados internacionales como TPP y TiSA.

La versión 2016 de este reporte incluye a Argentina, Chile y Venezuela dentro de su Priority Watch List, la famosa lista negra. Un poco más abajo, en la Watch List, están Bolivia, Brasil, Colombia, Costa Rica, República Dominicana, Ecuador, Guatemala, México y Perú. Con esto, entendemos que, para los Estados Unidos, parece prioritario que todos estos países reformen su legislación de propiedad intelectual o redoblen sus esfuerzos en persecución criminal. Pero la forma en que el informe se presenta públicamente cuenta una historia distinta: en el respeto a los derechos de propiedad intelectual, estos países lo están haciendo mal.

Sin criterios objetivos

Independientemente de los objetivos del listado, es llamativa la falta de estándares claros por las que un país deba estar en una u otra lista. Aunque en el informe se declara la forma en que sus grupos de trabajo llegan a la recomendación de incluir a un país en las listas, la conclusión es clara: la inclusión de un país en la lista prioritaria no sigue parámetros objetivos ni una metodología rigurosa. Los países que se incluyen en ella no son aquellos que más infringen la propiedad intelectual, ni donde se haya verificado más pérdidas o menos ganancias, ni donde se hayan verificado niveles preocupantes en la creación o el patentamiento, ni donde exista evidencia de altos niveles de infracción. Los países que se incluyen son simplemente aquellos que parece prioritario presionar para hacer avanzar los intereses estratégicos de Estados Unidos en la región.

Es decir, se trata de un instrumento político, con pretensiones de rigor y objetividad que poco se condicen con la realidad de los países latinoamericanos. El nivel de observancia de los derechos de propiedad intelectual en la región es una materia sobre la que no tenemos evidencia y, por tanto, donde poco cabe confiar en el criterio del representante de industrias de un único país.

Colonialismo y barreras al desarrollo

El Special Report 301 es un mecanismo unilateral, explícitamente dedicado a estudiar los intereses estadounidenses en materia de propiedad intelectual. El objetivo de esta publicación es influir en los países señalados para la adopción de medidas que aseguren el resguardo de esos intereses. Así, busca imponer en los países latinoamericanos una aproximación particular: aquella que favorece los intereses de algunas industrias de los Estados Unidos. Nada novedoso: al igual que buena parte del mundo, América Latina ya fue objeto de esta lógica del garrote y la zanahoria en la segunda mitad del siglo XX para adaptar las economías a los intereses de la potencia del norte, y hoy lo sigue siendo en materia de propiedad intelectual. No es solo presión sobre políticas públicas, sino una forma de colonialismo.

Pero el Reporte 301 además se presta para negar a países en desarrollo las condiciones que permitieron surgir a la gran industria de la propiedad intelectual en los Estados Unidos. Mediante este informe la USTR presiona para que otros países no puedan desarrollar un modelo de regulación de la participación en la vida cultural común y del aprovechamiento del estado de la técnica, de una forma que sea acorde a la realidad y las necesidades locales y afín a nuestro estadio de desarrollo. De forma paradójica, Estados Unidos busca negarle a otros el camino que ellos mismos transitaron con éxito. Basta recordar que dicho país eliminó por completo las formalidades para la protección de derechos de autor recién en el año 1989, no implementando por varias décadas lo que claramente establecía el Convenio de Berna.

Así, el informe especial 301 manifiesta no solamente la intención de asegurar mercados para ciertas industrias de los Estados Unidos, sino también la intención de prevenir que otras industrias puedan surgir a modo de competencia. Se trata de mantener desigualdades que favorecen a esas industrias incumbentes, en nombre de la propiedad intelectual.

El 301: una presión indebida

Para el 301 hay dos caminos para salir de sus listados de infamia: aumentar la protección legal a la propiedad intelectual e incrementar la persecución criminal de las infracciones. En cuanto a las reformas normativas, el 301 acusa a distintos países de no haber implementado reglas que, en rigor, no son parte de ningún estándar internacional. De esta forma, se busca que los países implementen reglas que van más allá de las obligaciones contenidas en los acuerdos de la OMC o en tratados bilaterales. En cuanto a la persecución penal, el informe acusa la virtual falta de la misma en países como Argentina, Bolivia, Brasil, Colombia, Costa Rica, Ecuador y México, como si la propiedad intelectual mereciera una alta prioridad en materia de política criminal en desmedro de otros problemas dignos de abordar. En otras palabras, el informe acusa a los países de incumplir aquello a lo que no están obligados, exigiendo además cambiar sus prioridades.

Pero el informe es una herramienta que va más allá: se utiliza como presión para la implementación de reglas según lo que la USTR interpreta de las obligaciones internacionales, ignorando las flexibilidades de los tratados e invadiendo en la soberanía de los países a la hora de implementar esas obligaciones. Como ejemplo, desde el año 2010, en que Chile logró una de las más progresistas reformas en el mundo a su ley sobre derechos de autor, el informe ha insistido en que la implementación del TLC Chile-EE. UU. debe modificarla para hacerla más afín a la DMCA.

Todo esto parece de menor relevancia si entendemos que el informe es una declaración unilateral sin ningún efecto jurídico. Y en el mismo sentido se han pronunciado los países de la región (o bien, mediante silencio) a lo largo de los años. Pero resulta preocupante encontrar en el mismo informe la afirmación de que existen compromisos adicionales de “fortalecer” los regímenes de propiedad intelectual con los países firmantes del TPP, aun cuando negociadores como la Direcon de Chile han sostenido oficialmente que no habría obligaciones adicionales a las ya existentes bilateralmente. Esto hace aun más grave pensar en que el informe habla explícitamente de la futura colaboración de la USTR con Chile, México y Perú, en el proceso de implementación de TPP y bajo los ya conocidos riesgos de la certificación.

Con todo lo anterior, el Informe Especial 301 se alza como una herramienta continua de presión a los países de manera unilateral, arbitraria e interesada. Sería positivo que los medios de prensa dejaran de tomarlo como una fuente de información sobre niveles de respeto a la propiedad intelectual y caracterizarlo como lo que realmente es: la lista de países que Estados Unidos considera prioritario presionar para avanzar su agenda. Al resto de la sociedad, y también a los gobiernos de los países listados, corresponde no solamente ignorar su contenido o lamentar su existencia, sino derechamente rechazar el informe como herramienta de presión. Porque en la implementación de reglas de propiedad intelectual no se juegan solamente intereses de industrias, sino derechos fundamentales a participar en la vida cultural común y aprovechar el progreso de las ciencias.

Una filtración que pone en peligro la democracia mexicana

Los datos de 93.4 millones de votantes mexicanos se filtraron y publicaron en el servidor de Amazon Cloud. Se trata de identificaciones básicas, fotografías y direcciones del 75% de la población mexicana. El investigador Chris Vickery dio con la información. No estaba protegida por contraseñas, no estaba en venta y cualquiera la podía bajar. Hizo lo posible por retirarla cuanto antes. Denunció ante Amazon, alertó al Departamento de Estado de Estados Unidos y previno a la Embajada de México en Estados Unidos. Le hicieron poco caso.

Se trata de una grave vulneración de normas básicas de protección de la información personal: una enorme cantidad de datos personales disponible en un servidor extranjero, sin medidas de protección, por largo tiempo. La base de datos estuvo en línea durante ocho días hasta que el Instituto Nacional Electoral (INE) se dio cuenta y pudo eliminarla. Según declaraciones del presidente del INE, no es que alguien hubiera hackeado o infiltrado la información, sino que existió un manejo negligente por parte de uno de los estamentos más cuestionados del sistema mexicano: los partidos políticos.

Los datos que aparecieron en internet coinciden con la lista de electores que había sido entregada en febrero de 2015. Según la ley, un mes antes de las elecciones se entrega a los partidos políticos la lista final de las personas que obtuvieron su credencial para votar, para que puedan vigilar y revisar la información. Por si fuera poco, a cada partido se le entregan casi 64 millones de pesos (1.100 millones de dólares) para llevar a cabo estas tareas.

Durante el tiempo que la información estuvo en línea, cualquier persona la pudo descargar. En un país con altos índices de secuestro y extorsión, el crimen organizado podría ser el primero en beneficiarse. Basta un nombre y apellido para saber dónde vive la persona, cuántos años tiene y cómo se llaman sus padres. En términos de acoso por razones de género también es complicado: de las redes al mundo real, cualquiera podría seguirnos y acosarnos en nuestro hogar. El caso de la periodista Andrea Noel es ejemplar: fue acosada en la calle, lo denunció por internet y en una ocasión la siguieron hasta su casa para amenazarla y apuntarle con un láser en la frente.

Fue posible deducir que el origen de la filtración fue un partido debido a que la llave USB en que el INE entregó la información tiene una “huella digital. Estos datos son estrictamente confidenciales y no pueden comunicarse o darse a conocer. Por lo mismo ya hay un procedimiento ante la Fiscalía Especial de Delitos Electorales. La sanción para la persona que lo haya filtrado, según el Código Penal, va de uno a cinco años de cárcel, además de la suspensión de su cargo.

Sin embargo, aunque exista una reacción penal, estamos frente a un caso de negligencia inexcusable. No es solo un atentado a la privacidad, a la seguridad y un riesgo a las personas sino que compromete el sistema democrático mexicano.

El actuar irresponsable de los partidos políticos amerita no sólo una sanción, sino que además se debe notificar y reparar el daño a todos los ciudadanos afectados. Pero más importante es que filtraciones como esta no deberían ocurrir. Todos los países de la región necesitamos mejores leyes y mecanismos para asegurar una protección óptima de la información personal. En el contexto de la discusión de la Ley General de Datos Personales en Posesión de Sujetos Obligados, esto debe tomarse en cuenta.

Día internacional del libro: ¿cuándo podremos celebrar la lectura?

Hoy se conmemora el día internacional del libro y el derecho de autor. Sin embargo, resulta más adecuado replantear esta celebración de la siguiente forma: hoy recordamos a los libros y los puentes que trazan hacia nuevos y distintos saberes, a los que sólo podremos acceder libremente 70 años tras la muerte de su autora o autor. ¿Celebramos entonces el libro? Sí y no. Conmemoramos los diversos lugares a los que nos hemos transportado gracias a un libro, pero también recordamos un elemento que hoy parece indisociable de la discusión: los derechos de autoría –también conocidos como copyright en su formulación anglosajona. De esta manera más bien parece que celebramos tanto al libro como a la industria editorial.

El año 1710, con el establecimiento del Estatuto de la Reina Ana, traza el comienzo de un camino que ha buscado resguardar los derechos de copia y la autoría de las obras. A comienzos del XVIII se consideró que 14 años, prorrogables por el mismo período, era un lapsus suficiente en vistas de resguardar los intereses de autores y editores de obras originales. Recientemente, en el marco de las negociaciones del TPP, se extendió el plazo de protección de derechos de autor desde cincuenta años post-mortem hasta los setenta años.

A lo largo de los años hemos observado reiteradamente cómo la legislación pareciera haber olvidado el equilibrio entre el resguardo de las obras y el acceso a ellas por parte del público general. Todo ello, demás está decir, atendiendo muchas veces a los intereses de grandes industrias creativas y conglomerados comerciales que, como Disney, bogan regularmente en foros internacionales por mayores plazos de protección y, crecientemente, por un aumento en la existencia de medidas tecnológicas de protección –medidas que, por cierto, fueron igualmente incluidas en las negociaciones del TPP.

[left]Es importante que cambiemos el foco desde el libro como objeto hacia la lectura y el consumo de contenidos creativos.[/left]

El principal problema asociado al aumento progresivo de los resguardos al derecho de autor, en un contexto tecnológico plagado de dispositivos que permiten no sólo consumir sino generar contenidos, está asociado a la eventual falta de criterio en la aplicabilidad de estas normas. Dicho de otra forma, resulta crecientemente más costoso argumentar en favor de excepciones flexibles al derechos de autor. Bastante supo de esto el recientemente fallecido Prince: el bullado caso Lenz versus Universal da cuenta de los alcances que pueden tener este tipo de litigios. Un niño de un par de años bailando al son de la música (de fondo) de Prince aparece como una violación de las reglas de copyright de YouTube.

Todo esto resulta especialmente acucioso al considerar que, también en el marco de las negociaciones del TPP, las excepciones y limitaciones al derecho de autor se complejizan todavía más, al extender la prueba de los tres pasos en ámbitos que exceden lo establecido en el Convenio de Berna.

La influencia de las grandes corporaciones generadoras y distribuidoras de contenidos ha llevado a que sus intereses primen en la discusión pública. Por demás, resulta importante señalar que el interés general ya no se halla constreñido al consumo de contenidos, sino que de forma creciente los usuarios finales somos también creadores susceptibles de ser resguardados por la normativa de derechos de autor.

Resulta necesario que seamos capaces de repensar cuáles son las orientaciones que guían la regulación relativa al acceso a contenidos, más allá de las obras literarias. El acceso a estos contenidos resulta tan importante para el acceso a la cultura como el resguardo de las obras y el reconocimiento de su autoría. Es importante, de esta manera, que cambiemos el foco desde el libro como objeto (físico o digital) hacia la lectura y el consumo de contenidos creativos.

Cuando todos podemos ser también creadores no parecieran existir razones apriori que otorguen garantías a una industria que, en muchos casos, ha visto sus canales de distribución superados por dinámicas colectivas ajenas al interés económico.

El auge del software de vigilancia en América Latina

Creciente es el interés en el espionaje digital por parte de los gobiernos de América Latina. Esta es una de las conclusiones de “Hacking Team: malware de espionaje en América Latina”, un nuevo informe realizado por Derechos Digitales y que revela que la gran mayoría de los países de la región estuvieron involucrados con Hacking Team, la cuestionada empresa italiana creadora de Remote Control System (RCS), un software espía que se vende a organizaciones gubernamentales alrededor del mundo.

Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá compraron licencias para el uso de Galileo o DaVinci, los nombres comerciales de RCS. Argentina, Guatemala, Paraguay, Perú, Uruguay y Venezuela contactaron a la empresa y negociaron precios, pero no hay información respecto a si las ventas fueron concretadas.

Las compras y negociaciones se hicieron través de empresas intermediarias. Las más recurrentes fueron Robotec, en Colombia, Ecuador y Panamá, y NICE Systems, en Colombia, Honduras y Guatemala.

Las negociaciones se realizaron en secreto, hasta que el 5 de julio de 2015 se expusieron públicamente 400 GB de información de la empresa, incluyendo correos electrónicos, facturas, documentación interna y parte del código de Hacking Team.

RCS es un software capaz de acceder a cualquier tipo de información contenida en una computadora o teléfono celular: contraseñas, mensajes y correos electrónicos, contactos, llamadas y audios de teléfono, micrófono y webcam, información de herramientas como Skype y otras plataformas de chat, posición geográfica en tiempo real, información almacenada en el disco duro, cada una de las teclas apretadas y clics del mouse, capturas de pantalla y sitios de internet visitados, y más. En otras palabras, prácticamente todo lo que transcurre en un equipo personal.

Del análisis de las normas vigentes en cada uno de los países que se relacionaron con Hacking Team, así como de las notas de prensa que surgieron en la región a tras las revelaciones, el informe concluye que el software de Hacking Team es contrario a los estándares legales de cada país, y además violatorio de los derechos a la privacidad, a la libertad de expresión y al debido proceso. Considerando la relación cercana que nuestra región tiene con el autoritarismo, es especialmente preocupante que las autoridades cuenten con herramientas de este tipo.

En Ecuador se utilizó tecnología de Hacking Team para vigilar a Carlos Figueroa, opositor del gobierno de Rafael Correa. En México, un país que vive una seria crisis de derechos humanos, ocho de las diez autoridades que compraron RCS no están facultadas para ejercer actividades de vigilancia; El Centro de Investigación y Seguridad Nacional (CISEN), un organismo de inteligencia, realizó 2,074 órdenes judiciales para poder utilizar el software; hasta la fecha, no se sabe si su uso es justificado.

La filtración también reveló que de la información de Hacking Team permitió saber que la Drug Enforcement Agency (DEA) de Estados Unidos intercepta todas las comunicaciones de todos los ciudadanos colombianos. Así mismo, se sospecha del uso de herramientas de este tipo contra Vicky Dávila, periodista que investiga una red de prostitución masculina al interior de la policía.

En Panamá, el ex presidente Ricardo Martinelli estuvo personalmente al tanto de las negociaciones con Hacking Team. En Chile, en cambio, la Policía de Investigaciones dijo en un comunicado que la vigilancia se hacía con fines estrictamente legales y bajo orden judicial. Sin embargo, las órdenes judiciales en este caso no son suficientes para garantizar el uso legítimo del software de espionaje.

En términos legales, este tipo de software no está regulado explícitamente en ningún país. En México y Colombia existen disposiciones amplias al respecto, pero con lenguaje vago e impreciso. La ausencia de regulación deja al arbitrio de las autoridades, muchas veces corruptos, el uso, aplicación y objetivos de RCS.

Si bien la interceptación de comunicaciones bajo orden judicial está regulada en todos los países, con mayores o menores salvaguardas, esta no es suficiente pues el software de Hacking Team es mucho más invasivo que una mera interceptación: abarca el acceso a documentos, webcam, disco duro, teclado y geolocalización de los equipos afectados. Como esto no es parte de la legislación, dudosamente es parte del orden judicial, por lo que el derecho al debido proceso también se ve vulnerado.

Cabe resaltar que en casi todos los países analizados existen sanciones penales contra quien invada o intervenga los sistemas informáticos o las comunicaciones privadas de una persona fuera de la legalidad de una investigación. Sin embargo, sólo Panamá ha abierto procesos al respecto.

El problema del espionaje indebido va mucho más allá de Hacking Team, implica a un mercado global que abusa de la tecnología de vigilancia en manos de gobiernos alrededor del mundo. En este sentido debe existir mayor transparencia en el uso y adquisición de estas herramienta, una discusión abierta sobre los estándares que deben regir esta tecnología y además sanciones penales en los casos que lo ameriten.

Las implicancias de la decisión de WhatsApp de cifrar sus comunicaciones

Cuando el servicio de mensajería WhatsApp actualizó sus distintas aplicaciones para celulares, llegó con una de las noticias más importantes con respecto a la privacidad y seguridad en la red durante años: todas las comunicaciones entre usuarios de WhatsApp están cifradas por defecto, haciendo imposible que incluso la misma compañía pudiese ver el contenido de los mensajes.

Si bien hay varias aplicaciones para celulares que logran –o al menos prometen– lo mismo, hay dos características que diferencian esta noticia del resto. La primera es que WhatsApp tiene la no despreciable suma de un billón de usuarios, lo que significa que los millones de chats, llamadas y transferencias de archivos del sistema de mensajería más importante del planeta se vuelven imposibles de espiar por sistemas de vigilancia masiva.

La segunda es que no es un sistema de cifrado cualquiera. WhatsApp implementa el protocolo Signal, desarrollado por Trevon Perrin y Moxie Marlinspike. Anteriormente conocido como Axolotl, tiene un fuerte consenso en la comunidad de criptografía sobre su seguridad, pues este protocolo cifra todo el contenido desde teléfono a teléfono y toma distintas precauciones para impedir que cualquier clase de error humano comprometa la seguridad de las comunicaciones. Este sistema ya se encontraba previamente disponible en la aplicación de mensajería Signal de OpenWhisperSystems (de los mismos Perrin y Marlinspike), sin embargo esta aplicación no posee la misma masividad y popularidad que cuenta WhatsApp.

Al respecto, no hay que dejar de reconocer la importancia fundamental que ha tenido la industria del software libre en los avances en la protección de la privacidad de nuestras comunicaciones. La opción de WhatsApp así lo confirma y debiese ser también leído como un espaldarazo a esta industria.

Si bien WhatsApp ha dejado clara su posición con respecto a la protección de sus usuarios, volviendo inviolable el derecho a la privacidad de sus comunicaciones, aún quedan algunos problemas por resolver con respecto a su seguridad. Preocupa que al no ser WhatsApp una aplicación de código abierto, es imposible tener un 100% de certeza de que realmente hace lo que dice. Se suma también que por un defecto propio de cómo se distribuyen todas las aplicaciones, es todavía posible enviar una actualización maliciosa a WhatsApp.

Otro aspecto importante a considerar es que los metadatos almacenados en los servidores de WhatsApp no se encuentran bajo la misma protección. La empresa guarda voluntariamente datos como la fecha exacta asociada a una conversación, incluyendo los números de teléfono involucrados, y lo hace sin estándares de cifrado que aseguren su inviolabilidad. Y si bien esto es una práctica común en este tipo de aplicaciones, una mirada comparativa muestra, por ejemplo, que WhatsApp almacena con menos seguridad mucha más información que Signal.

A todo lo anterior se suma que el dueño de WhatsApp es Facebook, una empresa que en el caso de su red social más popular, sigue cultivando un modelo de negocio en base a la venta de publicidad dirigida, beneficiándose enormemente de la explotación masiva de datos, fotografías, relaciones y comunicaciones de todos sus usuarios.

No obstante lo anterior, en un contexto de fuertes amenazas al cifrado en el mundo y, por ende, a la privacidad de nuestras comunicaciones (Estados Unidos y Brasil son solo los más recientes ejemplos), la decisión de WhatsApp es uno de los pasos más importantes que se han dado para una internet más segura para todos y todas, marcando un precedente que debiese ser imitado por el resto de los servicios de la red.

¿Vuelve el secreto de sumario a Chile?

Gran polémica ha causado una indicación contenida en la agenda corta antidelincuencia que pretende sancionar las filtraciones de información de los juicios criminales, con una pena no menor a 540 días de prisión a cualquiera que violare el secreto de la investigación.

Las reacciones han sido diversas: algunos estiman que la medida trae de vuelta el secreto de sumario que regía en el antiguo sistema penal, por lo que significa un retroceso; otros consideran que se trata de una necesidad frente a las continuas fugas de información relevante para una investigación en curso y que incluso pueden hacerlas fracasar.

Uno de los puntos que más suspicacias ha levantado tiene que ver con quiénes podrían resultar afectados por la medida. De manera excesivamente amplia, la norma se refiere a “quienes violen las normas sobre secreto”, sin más detalles, por lo que resultaría aplicable literalmente a cualquiera que se encuentre en el supuesto dado. Aunque se ha dicho que la medida no está destinada a acallar periodistas y medios de comunicación, la propia norma no resulta ser suficientemente precisa, pudiendo prestarse para esos fines, mermando la necesaria libertad de expresión e información que ha de existir en un estado de derecho democrático.

Una vez más asistimos a la tramitación de un proyecto que deja mucho que desear en el uso del lenguaje a la hora de legislar, dejando brechas que requieren que quienes han propuesto la norma salgan a dar explicaciones respecto a su aplicación, olvidando que esta debe bastarse a sí misma. Este tipo de imprecisiones no pueden ser aceptadas cuando el precio a pagar podrían ser los derechos fundamentales.

Se trata de una propuesta que, además, llega en un momento poco oportuno para Chile, abarrotado de casos de corrupción que afectan a distintas instituciones y personajes públicos, de manera transversal, por lo que para algunos se está legislando por la contingencia. Y hay que reconocer que muchos de los casos que hoy llenan las páginas de los periódicos nacionales no serían de público conocimiento de no ser por estas filtraciones.

Por cierto, las filtraciones siempre han existido, tanto en Chile como en el mundo, así como la figura del whistleblower, aquella persona que alerta respecto a actividades ilegales, antiéticas o incorrectas en una organización pública o privada, y que en los últimos años ha alcanzado gran visibilidad gracias a figuras como Edward Snowden, Chelsea Manning y WikiLeaks. Las posibilidades que entrega la tecnología para denunciar abusos y trabajar colectivamente en su difusión a través de la red debe ser un punto central en la discusión respecto al quehacer periodístico en el siglo XXI.

De modo que nuevamente nos encontramos frente a una norma inserta en un proyecto que ignora la evolución e impacto propios del periodismo de investigación y su relación con la red, donde las dinámicas son distintas a las de los medios tradicionales.

Nos enfrentamos a una propuesta que, en el mejor de los casos ignora (y en el peor, intenta aplacar) un deseo creciente de la ciudadanía por monitorear y hacer responsables de sus acciones a las instituciones sociales, que encuentra en internet una eficaz herramienta para informarse.

Es probable que en el marco de una investigación criminal este deseo ciudadano resulte contraproducente, perturbador, incómodo e incluso inoportuno para los fines que se persiguen, pero no parece que sanciones tan severas y aplicables a cualquier involucrado sean el camino adecuado. Más bien parecen ser una medida desesperada, destinada a poner atajo a la creciente demanda social por información oportuna acerca de cómo opera la justicia, a propósito de los procedimientos criminales.

Hace 15 años atrás la justicia chilena sufrió un profundo cambio, orientado hacia la transparencia, limitando el secreto a un ámbito excepcional y salvaguardando la libertad de expresión y de información. El proyecto en cuestión apunta en la dirección contraria.

La “guerra sucia” en redes sociales

El 24 febrero de 2016, el pueblo boliviano votó contra el referendo que permitiría una reforma constitucional para que el presidente del país, Evo Morales, pudiera reelegirse por tercera vez. El presidente atribuyó la derrota a la campaña vertida en redes sociales, que apuntaba a denunciar el tráfico de influencias entre la ex pareja del presidente y una empresa China.

Morales se dijo víctima de una «guerra sucia» llevada a cabo en internet mediante opiniones anónimas que son capaces de “tumbar gobiernos” y que comparó con “recolectores de basura.” En una rueda de prensa en La Paz, Morales además dijo que “quienes usan las redes sociales con mentiras están haciendo perder valores a las nuevas generaciones.” Ese mismo día el vicepresidente de la Cámara de Diputados, Víctor Borda, anunció que presentaría un proyecto de ley para regular las redes sociales.

El resultado es la represión de la libertad de expresión en redes sociales por la vía política y legal. Por un lado, el lenguaje del presidente boliviano contra las redes sociales es preocupante: demonizar el discurso público vertido en internet es una amenaza política a la libertad de expresión. Al restarle valor a estas expresiones, el presidente desconoce la legitimidad del discurso ajeno y rompe el principio democrático inherente a este derecho. De manera paralela -y aunque el proyecto de ley aún no es público- de las declaraciones del diputado Borda se desprenden ciertas preocupaciones para los derechos digitales de los ciudadanos de Bolivia.

Según reporta Global Voices, en esta iniciativa se proponen tres tipos penales. Primero, castigar con cárcel a quienes “diseñen, desarrollen, trafiquen, vendan, ejecuten, programen o envíen una página electrónica, enlaces o páginas emergentes con el fin de contactar y obtener datos”. Bajo objetivos que podrían ser loables y normas muy amplias, podrían usarse estas figuras para perseguir opiniones disidentes. Segundo, se sancionaría “la violación de datos personales”, la cual se define como algo que ocurriría cuando el usuario “sustraiga, intercambie, envíe, divulgue o modifique información personal con datos hallados en espacios como redes sociales y medios similares”. No se especifica en qué condiciones un usuario puede utilizar datos personales, lo cual también podría tener consecuencias adversas para otros usuarios.

Tercero, se sancionaría cualquier expresión que afecte “la honra de una persona individual, colectiva, pública o privada”. Este delito es similar al de calumnia, considerado como contrario a la libertad de expresión por la Relatoría Especial de la Comisión Interamericana de Derechos Humanos. Lo que crea es un efecto silenciador sobre la crítica, pues a riesgo de equivocarse se optaría por el silencio.

Adicionalmente, Javier Pallero de Access Now nota que se buscaría establecer un consejo nacional que tendría la potestad de “controlar” las redes sociales, prohibiendo también el anonimato: un derecho sin el cual los ciudadanos podrían abstenerse de expresar sus opiniones políticas por temor a represalias.

En la región, este impulso de regulación de redes sociales no es nuevo. De Chile a México, Ecuador y Argentina hemos visto cómo los gobiernos y legisladores entienden internet como un espacio caótico, donde no es el “Estado de Derecho” quien reina, sino la sátira, la crítica sin fundamentos, la difamación y el insulto anónimo. En el fondo, es miedo a la crítica y los procesos descentralizados que la internet implica.

Bolivia no es la excepción: en lugar de dejar florecer las expresiones en línea con un ánimo democrático, se buscará coartarlas en lo político y lo legal. Esperemos que en esta etapa de discusión pública, el gobierno rectifique su posición.

Mejorar la cooperación internacional también debería ser parte del debate sobre el cifrado

Las evidentes amenazas que hoy rodean al cifrado y que con razón acaparan titulares con la denominada batalla entre Apple y el FBI, han enturbiado otras discusiones. Es el caso de la reciente detención del vicepresidente de Facebook América Latina, el argentino Diego Dzodan. Para muchos este es otro ataque directo al cifrado y una presión inaceptable a Facebook. Lo cierto es que una mirada más calmada a los pocos hechos que se saben del asunto permite ver otras aristas importantes al momento de discutir sobre el cifrado.

Los hechos que se conocen son limitados porque el caso es confidencial. Lo que se sabe hasta ahora es que la justicia brasileña emitió una serie de órdenes judiciales que obligaban a Facebook, empresa dueña de WhatsApp, a entregar el contenido de una conversación en grupo en la aplicación de mensajería, así como otros datos, incluidos los de geolocalización. Esto, en el marco de un delito grave: según la justicia brasileña, serían pruebas que se utilizarán en una investigación sobre el crimen organizado y el tráfico de drogas. Hasta acá, todo conforme a lo que el marco legal permite (y que continuamente ocurre entre la justicia y estas empresas): bajo orden judicial y en la investigación de delitos graves, pedir la entrega de información privada de los usuarios.

Según Facebook, esta vez se excusaron de entregar esos mensajes porque simplemente no tenían la información: al estar las comunicaciones de WhatsApp cifradas de punto a punto, es imposible para la compañía acceder a los contenidos de los mensajes. Finalmente, la justicia brasileña, luego de cuatro meses de insistencia y multas que alcanzaron un millón de reales al día por incumplimiento de las órdenes judiciales, detuvo a Dzodan por una noche y luego fue liberado por un Habeas Corpus: un juez dictaminó que fue detenido indebidamente porque Dzodan no ha sido nombrado personalmente en los procesos judiciales. El proceso sigue bajo estricta confidencialidad.

Lo poco que se sabe bastó para un barullo mundial. Las reacciones fueron particularmente alarmantes en los medios estadounidenses, alentadas de seguro por todos los ataques del gobierno de EE.UU. contra el cifrado. Pero más allá de eso, una lectura general mostraba no solamente al Estado brasileño como “el malo de la película”, sino también se vislumbraba un apoyo no tan solapado y bastante ciego a las empresas de Silicon Valley en su actuar en el extranjero. Venture Beat llegó a decir:

«Aunque Dzodan solo pasó alrededor de 24 horas en la cárcel, su detención demuestra que los gobiernos extranjeros pueden tomar medidas que son mucho más directas –e inmediatas– que las perseguidas por el FBI en su esfuerzo de obligar a Apple a desbloquear un iPhone.» (traducción propia).

Antes de calificar buenos versus malos, hay que comprender que si bien esta discusión se trata sobre cifrado, es imposible entenderla en su fondo sin considerar la dimensión política que lo rodea. De hecho, tomar en cuenta estos factores puede aportar a una agenda política más ambiciosa y propositiva respecto a la necesaria defensa del cifrado.

Sí. Por lo que sabemos ahora, la decisión  del juez brasileño es una amenaza al cifrado, en tanto demuestra lo peligroso que es cuando las autoridades no comprendan en profundidad este mecanismo de comunicaciones seguras y, en este caso particular, que sea imposible para Facebook entregar los mensajes requeridos. Pero es una amenaza distinta, mucho menos grave de lo que ocurre hoy en Estados Unidos, donde el tribunal ordenó a Apple crear una nueva versión especial del sistema operativo iOS de Apple para pasar por encima de varias características de seguridad integradas en el sistema operativo de la compañía.

[left]El debate del cifrado ha sido reconocidamente un debate de hombres blancos. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales.[/left]

Lo que acaba de ocurrir en Brasil es síntoma de un problema político general entre Silicon Valley y los países en vías de desarrollo. Como dice el interesante reportaje de Motherboard Brasil, a diferencia de lo que ocurre en Estados Unidos, donde hay una mayor cooperación entre las empresas y los servicios de inteligencia e investigación, las autoridades locales de otros países, especialmente en vías de desarrollo, tienen dificultades de base para que las compañías de Silicon Valley cumplan las leyes nacionales. Sin ir más lejos, WhatsApp, que tiene una administración diferente a Facebook, y con 100 millones de usuarios en Brasil, no tiene representación legal en el país. Este “detalle” es, como dice el reportaje, convenientemente omitido en los comunicados de la empresa en la detención de Dzodan.

Sin lugar a dudas, el cifrado está recibiendo certeros ataques por parte de muchas autoridades mundiales. Pero para proteger las comunicaciones seguras y, con eso, la privacidad y la misma integridad de internet, también es necesario plantear una agenda que avance en la cooperación internacional de forma amplia. En el marco de la investigación de crímenes, se debe avanzar en la cooperación internacional de pedido de datos de manera de hacerla más ágil y respetando el debido proceso. Pero también debe existir mejor cooperación de las empresas con los Estados: se debe avanzar decididamente en que las compañías de Silicon Valley comprendan, transparenten y faciliten su responsabilidad legal en los países en vías de desarrollo.

Asimismo, una agenda propositiva en la defensa del cifrado debe considerar cooperar con el entendimiento de nuestras autoridades judiciales sobre los alcances de este mecanismo: la importancia de un cifrado fuerte para los derechos de la población y de la integridad de internet, el porqué es imposible acceder a información fuertemente cifrada y  la necesidad de recurrir a otras formas de investigación que no dañen este tipo de comunicaciones seguras.

El debate del cifrado ha sido reconocidamente un debate de hombres blancos, tanto para sus defensores como para sus detractores. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales. Es justamente ese análisis el que puede ayudar a avanzar en una agenda política que de forma directa o indirecta proteja y fortalezca el cifrado.

La vulnerabilidad de nuestra información personal, ¿un mal incurable?

Hace pocos días, CIPER denunció públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de archivos médicos. Entre ellos, fichas de pacientes del sistema público de salud, incluyendo el nombre, el número de identificación o RUT, el domicilio, la descripción del caso médico y el medicamento entregado. CIPER, además, indicó que dicha información estuvo desprotegida y no cifrada durante meses desde la detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a quienes no tienen autorización a conocerla.

Si bien la Ministra de Salud chilena ya anunció medidas para enfrentar la peligrosa situación, los interesados en acceder a la información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea imposible asegurar la invulnerabilidad total de un sistema de tratamiento de información, buena parte de estos riesgos se podría haber prevenido mediante una política seria de seguridad de datos, como también de reglas efectivas de protección de información sensible de carácter médico.

Una parte del problema se relaciona con las pobres reglas de protección de datos personales. La actual ley chilena adolece de múltiples problemas, muchas veces denunciados. Como en varios países de la región, no existe en Chile una autoridad pública de control que vele por el cumplimiento de la ley de protección de datos y, por lo mismo, no existe institucionalidad suficiente para fiscalizar exigencias de seguridad.

Para los afectados, los costos de una reclamación judicial pueden ser muy altos y para obtener compensación se requiere probar el daño producido, el cual no siempre es evidente. Además, la ley no exige el registro de bases de datos privadas, pudiendo ser tratada dicha información por particulares sin que los afectados jamás se enteren; mientras tanto, en el caso de bases de datos de organismos públicos, tampoco hay reglas suficientes para asegurar condiciones de resguardo y reclamar ante la vulneración de la protección.

Por otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A la información abierta accede cualquiera, es por ello que Edward Snowden ha insistido en el deber que tienen los profesionales de proteger los datos de sus clientes no solo frente a delincuentes, curiosos y empresas privadas, sino también por agencias estatales de vigilancia.

Es cierto que el Ministerio responsable podría interponer acciones judiciales en contra de la empresa por el no cumplimiento de los estándares mínimos de seguridad del servicio prestado (contenidos, entre otros, en la Política General de Seguridad de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición a las personas cuya información se hizo pública, incluyendo datos como su tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora del día después”. Tampoco mejora los efectos que el acceso a esa información pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto de un mal tratamiento de datos personales no se resuelve con pugnas contractuales ni sanciones administrativas.

Tanto la protección legal de datos personales como el uso de mecanismos apropiados de seguridad son los modos que permiten proteger la privacidad de los usuarios y disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo de nuestra información personal para el funcionamiento de un servicio, el estándar mínimo que se debe exigir es que tales datos sean debidamente resguardados, que es lo que espera una persona cuando confía información de este tipo a un órgano estatal.

Lo que este caso demuestra es que cuando los sistemas son incapaces de proteger información, personas reales son afectadas. No se trata de simples problemas técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de información sensible, que conlleva riesgos para los derechos fundamentales de las personas. Para prevenir casos como este es que necesitamos mejores estándares de seguridad digital y de reglas adecuadas de protección de datos personales.