Las implicancias de la decisión de WhatsApp de cifrar sus comunicaciones

Cuando el servicio de mensajería WhatsApp actualizó sus distintas aplicaciones para celulares, llegó con una de las noticias más importantes con respecto a la privacidad y seguridad en la red durante años: todas las comunicaciones entre usuarios de WhatsApp están cifradas por defecto, haciendo imposible que incluso la misma compañía pudiese ver el contenido de los mensajes.

Si bien hay varias aplicaciones para celulares que logran –o al menos prometen– lo mismo, hay dos características que diferencian esta noticia del resto. La primera es que WhatsApp tiene la no despreciable suma de un billón de usuarios, lo que significa que los millones de chats, llamadas y transferencias de archivos del sistema de mensajería más importante del planeta se vuelven imposibles de espiar por sistemas de vigilancia masiva.

La segunda es que no es un sistema de cifrado cualquiera. WhatsApp implementa el protocolo Signal, desarrollado por Trevon Perrin y Moxie Marlinspike. Anteriormente conocido como Axolotl, tiene un fuerte consenso en la comunidad de criptografía sobre su seguridad, pues este protocolo cifra todo el contenido desde teléfono a teléfono y toma distintas precauciones para impedir que cualquier clase de error humano comprometa la seguridad de las comunicaciones. Este sistema ya se encontraba previamente disponible en la aplicación de mensajería Signal de OpenWhisperSystems (de los mismos Perrin y Marlinspike), sin embargo esta aplicación no posee la misma masividad y popularidad que cuenta WhatsApp.

Al respecto, no hay que dejar de reconocer la importancia fundamental que ha tenido la industria del software libre en los avances en la protección de la privacidad de nuestras comunicaciones. La opción de WhatsApp así lo confirma y debiese ser también leído como un espaldarazo a esta industria.

Si bien WhatsApp ha dejado clara su posición con respecto a la protección de sus usuarios, volviendo inviolable el derecho a la privacidad de sus comunicaciones, aún quedan algunos problemas por resolver con respecto a su seguridad. Preocupa que al no ser WhatsApp una aplicación de código abierto, es imposible tener un 100% de certeza de que realmente hace lo que dice. Se suma también que por un defecto propio de cómo se distribuyen todas las aplicaciones, es todavía posible enviar una actualización maliciosa a WhatsApp.

Otro aspecto importante a considerar es que los metadatos almacenados en los servidores de WhatsApp no se encuentran bajo la misma protección. La empresa guarda voluntariamente datos como la fecha exacta asociada a una conversación, incluyendo los números de teléfono involucrados, y lo hace sin estándares de cifrado que aseguren su inviolabilidad. Y si bien esto es una práctica común en este tipo de aplicaciones, una mirada comparativa muestra, por ejemplo, que WhatsApp almacena con menos seguridad mucha más información que Signal.

A todo lo anterior se suma que el dueño de WhatsApp es Facebook, una empresa que en el caso de su red social más popular, sigue cultivando un modelo de negocio en base a la venta de publicidad dirigida, beneficiándose enormemente de la explotación masiva de datos, fotografías, relaciones y comunicaciones de todos sus usuarios.

No obstante lo anterior, en un contexto de fuertes amenazas al cifrado en el mundo y, por ende, a la privacidad de nuestras comunicaciones (Estados Unidos y Brasil son solo los más recientes ejemplos), la decisión de WhatsApp es uno de los pasos más importantes que se han dado para una internet más segura para todos y todas, marcando un precedente que debiese ser imitado por el resto de los servicios de la red.

¿Vuelve el secreto de sumario a Chile?

Gran polémica ha causado una indicación contenida en la agenda corta antidelincuencia que pretende sancionar las filtraciones de información de los juicios criminales, con una pena no menor a 540 días de prisión a cualquiera que violare el secreto de la investigación.

Las reacciones han sido diversas: algunos estiman que la medida trae de vuelta el secreto de sumario que regía en el antiguo sistema penal, por lo que significa un retroceso; otros consideran que se trata de una necesidad frente a las continuas fugas de información relevante para una investigación en curso y que incluso pueden hacerlas fracasar.

Uno de los puntos que más suspicacias ha levantado tiene que ver con quiénes podrían resultar afectados por la medida. De manera excesivamente amplia, la norma se refiere a “quienes violen las normas sobre secreto”, sin más detalles, por lo que resultaría aplicable literalmente a cualquiera que se encuentre en el supuesto dado. Aunque se ha dicho que la medida no está destinada a acallar periodistas y medios de comunicación, la propia norma no resulta ser suficientemente precisa, pudiendo prestarse para esos fines, mermando la necesaria libertad de expresión e información que ha de existir en un estado de derecho democrático.

Una vez más asistimos a la tramitación de un proyecto que deja mucho que desear en el uso del lenguaje a la hora de legislar, dejando brechas que requieren que quienes han propuesto la norma salgan a dar explicaciones respecto a su aplicación, olvidando que esta debe bastarse a sí misma. Este tipo de imprecisiones no pueden ser aceptadas cuando el precio a pagar podrían ser los derechos fundamentales.

Se trata de una propuesta que, además, llega en un momento poco oportuno para Chile, abarrotado de casos de corrupción que afectan a distintas instituciones y personajes públicos, de manera transversal, por lo que para algunos se está legislando por la contingencia. Y hay que reconocer que muchos de los casos que hoy llenan las páginas de los periódicos nacionales no serían de público conocimiento de no ser por estas filtraciones.

Por cierto, las filtraciones siempre han existido, tanto en Chile como en el mundo, así como la figura del whistleblower, aquella persona que alerta respecto a actividades ilegales, antiéticas o incorrectas en una organización pública o privada, y que en los últimos años ha alcanzado gran visibilidad gracias a figuras como Edward Snowden, Chelsea Manning y WikiLeaks. Las posibilidades que entrega la tecnología para denunciar abusos y trabajar colectivamente en su difusión a través de la red debe ser un punto central en la discusión respecto al quehacer periodístico en el siglo XXI.

De modo que nuevamente nos encontramos frente a una norma inserta en un proyecto que ignora la evolución e impacto propios del periodismo de investigación y su relación con la red, donde las dinámicas son distintas a las de los medios tradicionales.

Nos enfrentamos a una propuesta que, en el mejor de los casos ignora (y en el peor, intenta aplacar) un deseo creciente de la ciudadanía por monitorear y hacer responsables de sus acciones a las instituciones sociales, que encuentra en internet una eficaz herramienta para informarse.

Es probable que en el marco de una investigación criminal este deseo ciudadano resulte contraproducente, perturbador, incómodo e incluso inoportuno para los fines que se persiguen, pero no parece que sanciones tan severas y aplicables a cualquier involucrado sean el camino adecuado. Más bien parecen ser una medida desesperada, destinada a poner atajo a la creciente demanda social por información oportuna acerca de cómo opera la justicia, a propósito de los procedimientos criminales.

Hace 15 años atrás la justicia chilena sufrió un profundo cambio, orientado hacia la transparencia, limitando el secreto a un ámbito excepcional y salvaguardando la libertad de expresión y de información. El proyecto en cuestión apunta en la dirección contraria.

La “guerra sucia” en redes sociales

El 24 febrero de 2016, el pueblo boliviano votó contra el referendo que permitiría una reforma constitucional para que el presidente del país, Evo Morales, pudiera reelegirse por tercera vez. El presidente atribuyó la derrota a la campaña vertida en redes sociales, que apuntaba a denunciar el tráfico de influencias entre la ex pareja del presidente y una empresa China.

Morales se dijo víctima de una «guerra sucia» llevada a cabo en internet mediante opiniones anónimas que son capaces de “tumbar gobiernos” y que comparó con “recolectores de basura.” En una rueda de prensa en La Paz, Morales además dijo que “quienes usan las redes sociales con mentiras están haciendo perder valores a las nuevas generaciones.” Ese mismo día el vicepresidente de la Cámara de Diputados, Víctor Borda, anunció que presentaría un proyecto de ley para regular las redes sociales.

El resultado es la represión de la libertad de expresión en redes sociales por la vía política y legal. Por un lado, el lenguaje del presidente boliviano contra las redes sociales es preocupante: demonizar el discurso público vertido en internet es una amenaza política a la libertad de expresión. Al restarle valor a estas expresiones, el presidente desconoce la legitimidad del discurso ajeno y rompe el principio democrático inherente a este derecho. De manera paralela -y aunque el proyecto de ley aún no es público- de las declaraciones del diputado Borda se desprenden ciertas preocupaciones para los derechos digitales de los ciudadanos de Bolivia.

Según reporta Global Voices, en esta iniciativa se proponen tres tipos penales. Primero, castigar con cárcel a quienes “diseñen, desarrollen, trafiquen, vendan, ejecuten, programen o envíen una página electrónica, enlaces o páginas emergentes con el fin de contactar y obtener datos”. Bajo objetivos que podrían ser loables y normas muy amplias, podrían usarse estas figuras para perseguir opiniones disidentes. Segundo, se sancionaría “la violación de datos personales”, la cual se define como algo que ocurriría cuando el usuario “sustraiga, intercambie, envíe, divulgue o modifique información personal con datos hallados en espacios como redes sociales y medios similares”. No se especifica en qué condiciones un usuario puede utilizar datos personales, lo cual también podría tener consecuencias adversas para otros usuarios.

Tercero, se sancionaría cualquier expresión que afecte “la honra de una persona individual, colectiva, pública o privada”. Este delito es similar al de calumnia, considerado como contrario a la libertad de expresión por la Relatoría Especial de la Comisión Interamericana de Derechos Humanos. Lo que crea es un efecto silenciador sobre la crítica, pues a riesgo de equivocarse se optaría por el silencio.

Adicionalmente, Javier Pallero de Access Now nota que se buscaría establecer un consejo nacional que tendría la potestad de “controlar” las redes sociales, prohibiendo también el anonimato: un derecho sin el cual los ciudadanos podrían abstenerse de expresar sus opiniones políticas por temor a represalias.

En la región, este impulso de regulación de redes sociales no es nuevo. De Chile a México, Ecuador y Argentina hemos visto cómo los gobiernos y legisladores entienden internet como un espacio caótico, donde no es el “Estado de Derecho” quien reina, sino la sátira, la crítica sin fundamentos, la difamación y el insulto anónimo. En el fondo, es miedo a la crítica y los procesos descentralizados que la internet implica.

Bolivia no es la excepción: en lugar de dejar florecer las expresiones en línea con un ánimo democrático, se buscará coartarlas en lo político y lo legal. Esperemos que en esta etapa de discusión pública, el gobierno rectifique su posición.

Mejorar la cooperación internacional también debería ser parte del debate sobre el cifrado

Las evidentes amenazas que hoy rodean al cifrado y que con razón acaparan titulares con la denominada batalla entre Apple y el FBI, han enturbiado otras discusiones. Es el caso de la reciente detención del vicepresidente de Facebook América Latina, el argentino Diego Dzodan. Para muchos este es otro ataque directo al cifrado y una presión inaceptable a Facebook. Lo cierto es que una mirada más calmada a los pocos hechos que se saben del asunto permite ver otras aristas importantes al momento de discutir sobre el cifrado.

Los hechos que se conocen son limitados porque el caso es confidencial. Lo que se sabe hasta ahora es que la justicia brasileña emitió una serie de órdenes judiciales que obligaban a Facebook, empresa dueña de WhatsApp, a entregar el contenido de una conversación en grupo en la aplicación de mensajería, así como otros datos, incluidos los de geolocalización. Esto, en el marco de un delito grave: según la justicia brasileña, serían pruebas que se utilizarán en una investigación sobre el crimen organizado y el tráfico de drogas. Hasta acá, todo conforme a lo que el marco legal permite (y que continuamente ocurre entre la justicia y estas empresas): bajo orden judicial y en la investigación de delitos graves, pedir la entrega de información privada de los usuarios.

Según Facebook, esta vez se excusaron de entregar esos mensajes porque simplemente no tenían la información: al estar las comunicaciones de WhatsApp cifradas de punto a punto, es imposible para la compañía acceder a los contenidos de los mensajes. Finalmente, la justicia brasileña, luego de cuatro meses de insistencia y multas que alcanzaron un millón de reales al día por incumplimiento de las órdenes judiciales, detuvo a Dzodan por una noche y luego fue liberado por un Habeas Corpus: un juez dictaminó que fue detenido indebidamente porque Dzodan no ha sido nombrado personalmente en los procesos judiciales. El proceso sigue bajo estricta confidencialidad.

Lo poco que se sabe bastó para un barullo mundial. Las reacciones fueron particularmente alarmantes en los medios estadounidenses, alentadas de seguro por todos los ataques del gobierno de EE.UU. contra el cifrado. Pero más allá de eso, una lectura general mostraba no solamente al Estado brasileño como “el malo de la película”, sino también se vislumbraba un apoyo no tan solapado y bastante ciego a las empresas de Silicon Valley en su actuar en el extranjero. Venture Beat llegó a decir:

«Aunque Dzodan solo pasó alrededor de 24 horas en la cárcel, su detención demuestra que los gobiernos extranjeros pueden tomar medidas que son mucho más directas –e inmediatas– que las perseguidas por el FBI en su esfuerzo de obligar a Apple a desbloquear un iPhone.» (traducción propia).

Antes de calificar buenos versus malos, hay que comprender que si bien esta discusión se trata sobre cifrado, es imposible entenderla en su fondo sin considerar la dimensión política que lo rodea. De hecho, tomar en cuenta estos factores puede aportar a una agenda política más ambiciosa y propositiva respecto a la necesaria defensa del cifrado.

Sí. Por lo que sabemos ahora, la decisión del juez brasileño es una amenaza al cifrado, en tanto demuestra lo peligroso que es cuando las autoridades no comprendan en profundidad este mecanismo de comunicaciones seguras y, en este caso particular, que sea imposible para Facebook entregar los mensajes requeridos. Pero es una amenaza distinta, mucho menos grave de lo que ocurre hoy en Estados Unidos, donde el tribunal ordenó a Apple crear una nueva versión especial del sistema operativo iOS de Apple para pasar por encima de varias características de seguridad integradas en el sistema operativo de la compañía.

[left]El debate del cifrado ha sido reconocidamente un debate de hombres blancos. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales.[/left]

Lo que acaba de ocurrir en Brasil es síntoma de un problema político general entre Silicon Valley y los países en vías de desarrollo. Como dice el interesante reportaje de Motherboard Brasil, a diferencia de lo que ocurre en Estados Unidos, donde hay una mayor cooperación entre las empresas y los servicios de inteligencia e investigación, las autoridades locales de otros países, especialmente en vías de desarrollo, tienen dificultades de base para que las compañías de Silicon Valley cumplan las leyes nacionales. Sin ir más lejos, WhatsApp, que tiene una administración diferente a Facebook, y con 100 millones de usuarios en Brasil, no tiene representación legal en el país. Este “detalle” es, como dice el reportaje, convenientemente omitido en los comunicados de la empresa en la detención de Dzodan.

Sin lugar a dudas, el cifrado está recibiendo certeros ataques por parte de muchas autoridades mundiales. Pero para proteger las comunicaciones seguras y, con eso, la privacidad y la misma integridad de internet, también es necesario plantear una agenda que avance en la cooperación internacional de forma amplia. En el marco de la investigación de crímenes, se debe avanzar en la cooperación internacional de pedido de datos de manera de hacerla más ágil y respetando el debido proceso. Pero también debe existir mejor cooperación de las empresas con los Estados: se debe avanzar decididamente en que las compañías de Silicon Valley comprendan, transparenten y faciliten su responsabilidad legal en los países en vías de desarrollo.

Asimismo, una agenda propositiva en la defensa del cifrado debe considerar cooperar con el entendimiento de nuestras autoridades judiciales sobre los alcances de este mecanismo: la importancia de un cifrado fuerte para los derechos de la población y de la integridad de internet, el porqué es imposible acceder a información fuertemente cifrada y la necesidad de recurrir a otras formas de investigación que no dañen este tipo de comunicaciones seguras.

El debate del cifrado ha sido reconocidamente un debate de hombres blancos, tanto para sus defensores como para sus detractores. Hacerlo más diverso es también considerar los contextos políticos en que se desenvuelve la discusión en ámbitos locales. Es justamente ese análisis el que puede ayudar a avanzar en una agenda política que de forma directa o indirecta proteja y fortalezca el cifrado.

La vulnerabilidad de nuestra información personal, ¿un mal incurable?

Hace pocos días, CIPER denunció públicamente una vulnerabilidad en los sistemas informáticos del Ministerio de Salud de Chile (MINSAL), una falla que permitía extraer hasta tres millones de archivos médicos. Entre ellos, fichas de pacientes del sistema público de salud, incluyendo el nombre, el número de identificación o RUT, el domicilio, la descripción del caso médico y el medicamento entregado. CIPER, además, indicó que dicha información estuvo desprotegida y no cifrada durante meses desde la detección de la vulnerabilidad, sin que se bloqueara debidamente el acceso a quienes no tienen autorización a conocerla.

Si bien la Ministra de Salud chilena ya anunció medidas para enfrentar la peligrosa situación, los interesados en acceder a la información sensible tuvieron tiempo de sobra para hacerlo. Aunque sea imposible asegurar la invulnerabilidad total de un sistema de tratamiento de información, buena parte de estos riesgos se podría haber prevenido mediante una política seria de seguridad de datos, como también de reglas efectivas de protección de información sensible de carácter médico.

Una parte del problema se relaciona con las pobres reglas de protección de datos personales. La actual ley chilena adolece de múltiples problemas, muchas veces denunciados. Como en varios países de la región, no existe en Chile una autoridad pública de control que vele por el cumplimiento de la ley de protección de datos y, por lo mismo, no existe institucionalidad suficiente para fiscalizar exigencias de seguridad.

Para los afectados, los costos de una reclamación judicial pueden ser muy altos y para obtener compensación se requiere probar el daño producido, el cual no siempre es evidente. Además, la ley no exige el registro de bases de datos privadas, pudiendo ser tratada dicha información por particulares sin que los afectados jamás se enteren; mientras tanto, en el caso de bases de datos de organismos públicos, tampoco hay reglas suficientes para asegurar condiciones de resguardo y reclamar ante la vulneración de la protección.

Por otro lado, preocupa que datos sensibles como estos no estén sujetos a mayors controles de seguridad y que se pueda acceder a ellos de forma tan sencilla. A la información abierta accede cualquiera, es por ello que Edward Snowden ha insistido en el deber que tienen los profesionales de proteger los datos de sus clientes no solo frente a delincuentes, curiosos y empresas privadas, sino también por agencias estatales de vigilancia.

Es cierto que el Ministerio responsable podría interponer acciones judiciales en contra de la empresa por el no cumplimiento de los estándares mínimos de seguridad del servicio prestado (contenidos, entre otros, en la Política General de Seguridad de la Información de 2014 del MINSAL) y, a su vez, sancionar a los funcionarios encargados de estas bases. Pero aquello no beneficia ni pone en mejor posición a las personas cuya información se hizo pública, incluyendo datos como su tratamiento por VIH o la agresión sexual que ameritó la entrega de la “píldora del día después”. Tampoco mejora los efectos que el acceso a esa información pueda conllevar: los problemas y peligros que enfrenta la ciudadanía producto de un mal tratamiento de datos personales no se resuelve con pugnas contractuales ni sanciones administrativas.

Tanto la protección legal de datos personales como el uso de mecanismos apropiados de seguridad son los modos que permiten proteger la privacidad de los usuarios y disminuir riesgos. Si bien los avances tecnológicos pueden requerir el manejo de nuestra información personal para el funcionamiento de un servicio, el estándar mínimo que se debe exigir es que tales datos sean debidamente resguardados, que es lo que espera una persona cuando confía información de este tipo a un órgano estatal.

Lo que este caso demuestra es que cuando los sistemas son incapaces de proteger información, personas reales son afectadas. No se trata de simples problemas técnicos ni de fallas de sistemas, sino de vulnerabilidad en el resguardo de información sensible, que conlleva riesgos para los derechos fundamentales de las personas. Para prevenir casos como este es que necesitamos mejores estándares de seguridad digital y de reglas adecuadas de protección de datos personales.

Cinco claves sobre el fallo que pone fin a los globos de vigilancia

La Corte de Apelaciones de Santiago, en un fallo unánime, acogió nuestro recurso de protección (en conjunto con Fundación Datos Protegidos y Corporación Fundamental) y ordenó el cese del uso de globos de vigilancia en Las Condes y Lo Barnechea. Así, la Segunda Sala del tribunal de alzada acogió acción cautelar y ordenó a municipios cesar de inmediato las actividades de captación, almacenamiento y procesamiento de las imágenes que se realizan por medio de los globos de vigilancia emplazados en dichas comunas. Acá te contamos qué dice el fallo concretamente:

UNO: Los globos afectan la vida privada

La Corte reconoce la afectación de los derechos a la vida privada y a la inviolabilidad del hogar hecha por los globos de vigilancia, acogiendo así nuestro argumento de que la vigilancia indiscriminada hecha por estos globos tiene un impacto negativo sobre los derechos fundamentales. Debido a que los globos cuentan con vasto poder para captar, grabar y almacenar imágenes en un amplio campo, abarcando tanto espacios públicos como privados, a la Corte no le quedó más que concluir que los derechos establecidos en los numerales 4 y 5 del artículo 19 de la Constitución, se ven vulnerados por el sistema de vigilancia.

DOS: Falta regulación expresa para la videovigilancia en Chile

La Corte reconoce la alta capacidad tecnológica de los globos, pero hace hincapié en la falta de regulación legal expresa para esta clase de videovigilancia en Chile. Por ello, debe aplicarse el principio de legalidad, especialmente por parte de órganos públicos. Así, que una atribución legal determinada que habilite a un organismo público como un municipio a realizar determinada actividad, no implica que la pueda realizar de cualquier modo, sino limitados por el respeto a derechos humanos.

TRES: La seguridad no es justificación para intromisión en la intimidad

Relacionado al punto anterior, la Corte establece que el fin de seguridad pública perseguido por las municipalidades, no permite justificar la intromisión ilegal en la intimidad que sufren los recurrentes. Para la Corte, “la única forma a través de la cual puede obtenerse un cabal resguardo de los mencionados derechos es el cese de la operación del sistema de vigilancia” operado por las municipalidades.

CUATRO: El funcionamiento de los globos es ilegal

Si bien los órganos estatales están habilitados por la Ley Nº 19.628 para realizar tratamiento de datos personales, deben hacerlo dentro de sus funciones, y de una forma que respete el pleno ejercicio de derechos fundamentales de sus titulares. Para la Corte, al dejar en manos de privados la operación de globos que transgreden normas legales y constitucionales, el sistema es ilegal.

CINCO: La sentencia se puede apelar

La decisión de la Corte ordena de forma unánime el cese de la operación de los globos, en un paso importante para resguardar la privacidad. Pero la decisión no es definitiva en tanto la sentencia es susceptible de apelación ante la Corte Suprema, siendo esta la última instancia.

Lee nuestro comunicado de prensa sobre el fallo acá.

La economía política de internet

Frente a cualquier desarrollo tecnológico es posible preguntar quiénes son los gestores de tal tecnología. Plantear la pregunta por “¿quién es el dueño?” nos entrega luces respecto de porqué una compañía estaría dispuesta a invertir en determinados proyectos. Así es posible comprender, por ejemplo, cuáles son las motivaciones de Facebook por promover el acceso a internet; como hemos visto, detrás de iniciativas como Free Basics no prima necesariamente una preocupación altruista sino, más bien, el interés de Facebook por contar con un mayor número de usuarios de sus servicios. Si no pagas por un producto es altamente probable que el producto seas tú. Esto es plantear la pregunta por la economía política de las redes y dispositivos que usamos cotidianamente: saber quiénes son los propietarios nos permite conocer sus intereses.

La penetración masiva de las nuevas tecnologías en la vida cotidiana ha llevado a algunos a sostener que el acceso a internet puede incluso constituir un derecho humano. El problema que surge de lo anterior tiene que ver con la provisión de tal (eventual) derecho y la economía política tras este. Pensemos, por ejemplo, en la provisión de un bien imperioso para la existencia de la vida: el agua. Diversos han sido los modos en los cuales los estados han respondido a la provisión de tal bien. Desde modelos completamente estatales, hasta escenarios privatizados donde el Estado opera como “garante” de la provisión y el acceso al agua -modelo que bien conocemos en Chile.

Uno de los ámbitos en los cuales este tipo de relaciones puede despertar un mayor número de preguntas se relaciona con el surgimiento de las denominadas “ciudades inteligentes” (o “Smart Cities”). La idea es que mediante el uso de tecnologías de la información en tiempo real sería posible gestionar de mejor manera las complejas interacciones que se dan en las grandes urbes: desde el tráfico hasta la gestión de catástrofes naturales (se puede leer más sobre el particular aquí).

Sin embargo, el que una ciudad pase de ser “tonta” (o, al menos “no-inteligente”) a “inteligente” comporta un inversión que no es menor, sobre todo al considerar que contempla la implementación de una infraestructura considerable. Cabe aquí entonces nuevamente la pregunta: ¿quiénes y respondiendo a qué intereses estarían dispuesto a realizar tal inversión?

Empresas como CISCO Systems y Siemens han sido de las compañías que más en serio se han tomado las “ciudades inteligentes”. A la fecha, CISCO ha desarrollado planes para Holanda, India y Corea, por mencionar ejemplos de contextos diversos. En Latinoamérica, por otro lado, ciudades como Santiago ya han manifestado su intención y planificación en vistas a alcanzar el tan anhelado adjetivo de “inteligente”. ¿Cuáles serán los acuerdos público-privado que regirán este tipo de políticas? ¿Cuál será el rol de la ciudadanía a la hora de tomar parte en tales planes de desarrollo?

Las implicancias de tales cuestiones exceden la mera preocupación por la economía política y se sitúan en planos que afectan directamente nuestros derechos fundamentales. Cuando nos hallamos en la arena de la tecnología, sabemos que debemos enfrentarnos a cuestiones tales como la privacidad y el manejo de datos personales. Sin embargo, en los planes propuestos, las más de las veces estos cuidados siquiera son mencionadas.

Las consideraciones respecto a lo que es visto como público puede fácilmente teñirse de un manto de duda al evaluar el rol que ejercen las compañías privadas. A modo de ejemplo, resulta interesante destacar la implementación de Facebook at Work (FAW) en el Gobierno argentino.

FAW es la aplicación de Facebook para la gestión del trabajo en organizaciones; la compañía sostiene que, dada la familiaridad con el entorno de la plataforma, es una herramienta de fácil adopción para organizaciones de todo orden, incluso administraciones estatales. Es lo que ha decidido el gobierno de Macri en Argentina, constituyendo el primer ejemplo de un país que adopta el servicio para la gestión gubernamental. Aún cuando existen quienes han manifestado sus precauciones en razón de la seguridad del servicio y las implicancias de éste la opción “modernizadora” parece haber tenido mayor valía para el Gobierno argentino. ¿Hasta dónde estarán resguardados los datos de una administración estatal en un servidor privado? ¿Existen las garantías requeridas respecto al manejo de los datos personales de los funcionarios? ¿Qué se hará con la información recabada?

Nunca está demás volver a plantear la pregunta por la economía política, en vistas de comprender qué es lo que impulsa el surgimiento de iniciativas como las “ciudades inteligentes”, Free Basics o, incluso, la plataforma de gestión organizacional de un estado. Responder tal pregunta nos ayuda a comprender estas iniciativas de forma más completa, habilitando a los diversos sectores involucrados y, especialmente, a la ciudadanía a tener elementos de juicio.

¿Qué sigue con la Ley Telecom?

En México, la Ley Federal de Telecomunicaciones y Radiodifusión, conocida como “Ley Telecom”, fue objeto de muchas controversias y debates a mediados de 2014. Dos años después de que el movimiento #YoSoy132 irrumpiera las elecciones en contra del ahora presidente Enrique Peña Nieto, el Gobierno buscaba promulgar una ley que atentara contra la neutralidad en la red y bloqueara señales de internet durante protestas.

Gracias a la resistencia social, muchas de estas propuestas no prosperaron; sin embargo, nefastas reglas sobre vigilancia de comunicaciones privadas se convirtieron en ley de la federación, en los artículos 189 y 190. Estos artículos ponen seriamente en riesgo el derecho a la privacidad de los mexicanos. Por esa razón, la constitucionalidad de tales normas será revisada por la Suprema Corte de Justicia de la Nación, en un juicio promovido por la Red en Defensa de los Derechos Digitales (R3D).

La ley obliga a las empresas de telecomunicaciones a “colaborar con la justicia” en varios aspectos que tienen que ver con la entrega de información para ayudar a las investigaciones. En principio, esto parecería un objetivo válido y legítimo en un país donde el narcotráfico y el crimen organizado son una realidad cotidiana. Basta recordar las fugas del líder del cartel de Sinaloa, el Chapo Guzmán, para entender el ánimo del aparato estatal de requerir de esta colaboración.

Sin embargo, dos de estas obligaciones se convierten en medidas desproporcionadas para esos fines, pues afectan más derechos de los que terminan asegurando. Además, no se establece la necesidad de una orden judicial para controlar qué informaciones se entregan, eliminando resguardos elementales para el derecho al debido proceso.

El primer problema es la localización geográfica en tiempo real. Las empresas de telecomunicaciones deben entregar toda información sobre la ubicación de sus usuarios que permita encontrarlos dondequiera que estén, a “autoridades” que no se encuentran especificadas (artículo 190, fracción I). Con esto cualquier autoridad puede rastrear a cualquier usuario, sin controles previos. En un país con un serio déficit democrático y en el que funcionarios públicos son los principales responsables de agresiones a periodistas y disidentes, la medida podría ser utilizada fácilmente para perseguir voces incómodas dentro del marco de la legalidad formal.

En segundo lugar, estas empresas deben conservar un registro y control de todas las comunicaciones que se realicen desde cualquier tipo de línea para identificar datos como el nombre, domicilio, tipo de comunicación, origen, número de destino, ubicación geográfica, fecha, hora y duración, identificación y características técnicas de los dispositivos. Esta retención se obliga por un periodo hasta de dos años, para permitir que las “autoridades competentes” puedan acceder a ellas y consultarlas en tiempo real.

El problema es el mismo: no se pide orden judicial y no se aclara qué autoridades pueden acceder a estos datos. Además, la retención por un periodo de dos años es demasiado larga si se piensa en la investigación de crímenes en en un juicio.

La retención no se refiere al contenido de las comunicaciones (es decir, a los mensajes intercambiados) sino a los “metadatos”, que aunque no versen sobre el contenido mismo pueden revelar mucho más que estos últimos. La ley mantiene dicha obligación de retención, aun cuando se ha reconocido en tribunales internacionales que se trata de una forma de vigilancia masiva, contraria a los derechos humanos.

Hasta ahora no sabemos si estas medidas han ayudado efectivamente a combatir el crimen organizado, pero ni aun en ese caso sería aceptable una invasión tan profunda y extensa a los derechos fundamentales de los mexicanos.

Acercándonos al fin del proceso judicial de revisión de estas reglas, esperamos que la Suprema Corte de Justicia mexicana haga valer las reglas constitucionales y los estándares internacionales, y opte por proteger los derechos de la población en lugar de ceder ante una retórica de seguridad sin evidencia. Al igual que otras organizaciones, Derechos Digitales pronto dará su opinión formal al tribunal.

Los debates sobre vigilancia en Europa que pueden influir en América Latina

En Latinoamérica no es extraño mirar al desarrollo en la Europa de la posguerra como un ejemplo digno de seguir en materia de reconocimiento de derechos humanos. Ello incluye al derecho fundamental a la privacidad, y de manera especial, a la protección de los datos personales. Por largo tiempo, gobiernos locales han aspirado a un reconocimiento del derecho a la autodeterminación informativa de forma análoga a la de los países del Viejo Continente. Pero las revelaciones de Snowden de vigilancia masiva y la amenaza terrorista están cambiando el escenario.

Coletazos del caso Snowden

La transferencia de datos personales desde la Unión Europea a organizaciones en Estados Unidos estaba autorizada dentro del marco regulatorio del “Safe Harbour” (puerto seguro), resolución de la Comisión Europea lograda tras un acuerdo con el Departamento de Comercio de EE. UU.

Esto cambió recientemente tras el reclamo del austríaco Max Schrems ante la autoridad de protección de datos personales de Irlanda (DPC), debido a la transferencia de datos mediante Facebook a EE. UU. La DPC se rehusó a investigar, por lo que Schrems acudió al Tribunal de Justicia de la Unión Europea (TJUE) para cuestionar esa negativa.

Y acá vino el gran golpe: el TJUE no solamente analizó si la DPC debía ceñirse a la decisión sobre “Safe Harbour”, sino que se pronunció sobre este último en sí mismo, declarando que no provee un nivel adecuado de protección de datos personales, por ser incapaz de prevenir el acceso masivo por parte de autoridades de inteligencia estadounidenses a datos personales transferidos desde Europa. Desde entonces, el “Safe Harbour” no es por sí solo suficiente para autorizar transferencias de datos.

El reclamo que llevó a la decisión trataba precisamente de encontrar respuestas sobre el uso de datos, fundado en las revelaciones de Snowden sobre la vigilancia masiva a mediados de 2013. La falta de protección a los datos por el régimen estadounidense, y en particular, por la vigilancia masiva de la NSA, incluía una falta de deber de compensación contraria a la Carta de Derechos Fundamentales de la Unión Europea.

Para mantener la tranquilidad y las relaciones comerciales, se anunció un nuevo acuerdo entre las autoridades de EE. UU. y Europa, con el rimbombante nombre de “Privacy Shield” (escudo de privacidad), del que se entregaron lineamientos generales y cuyos detalles se negocian. Sin embargo, ¿puede ese nuevo acuerdo proteger los datos de los ciudadanos de la UE frente a la maquinaria de vigilancia masiva de los EE. UU.?

La respuesta es que, mientras no existan reformas sustantivas a las reglas que autorizan la vigilancia dentro de los Estados Unidos, ningún país tiene asegurado el respeto a la privacidad de las comunicaciones de sus habitantes en internet.

Como destaca Schrems, el nuevo entendimiento se basa en compromisos débiles de EE. UU. de no incurrir en prácticas de vigilancia masiva, sin auténticas reformas normativas y sin limitantes al acceso a los datos de europeos. El mayor temor es que un nuevo acuerdo sea una jugada política para que, con una frágil promesa de cambio a la gran maquinaria de vigilancia masiva, todo el comercio basado en la transferencia de datos siga como si nada hubiera pasado. Business as usual.

La excusa del terrorismo

Varios países en Europa han tenido en este siglo ataques terroristas dentro de sus territorios que siguen teniendo fuertes repercusiones en las políticas sobre seguridad y vigilancia. A esto se suma que la profunda crisis de refugiados que huyen desde la violencia en el Medio Oriente, sirve para alimentar algunos temores sobre las amenazas extranjeras, especialmente del radicalismo que usa a la religión como excusa. La respuesta política a los ataques y a los grupos de refugiados en Europa ha puesto a la seguridad como objetivo y llevado a la adopción de legislación de emergencia, quitando peso a importantes salvaguardas sobre derechos fundamentales.

Así ocurre, por ejemplo, con el Reino Unido. Firme aliado de EE. UU. en materias internacionales (y comerciales), el gobierno actual introdujo un proyecto de reforma a sus reglas sobre investigación criminal y recolección de inteligencia, después de varios años de intentos de reforma y polémica por los excesos de su aparataje de seguridad nacional. El proyecto de ley sobre poderes de investigación (Investigatory Powers Bill, o IPBill), cuyo borrador fue publicado en noviembre de 2015, intenta así entregar amplias facultades a los órganos de investigación y persecución. Así, considera, entre otros, obligar a la retención de metadatos, realizar recolecciones masivas de información de comunicaciones, intervenir equipos a distancia, y posiblemente exigir el descifrado de comunicaciones seguras. A pesar de los comentarios críticos formulados por empresas e instituciones, y los cuestionamientos sustantivos de tres comités distintos dentro del parlamento británico, persiste la presión por establecer un marco de intervención de comunicaciones durante 2016.

El caso de Francia es especialmente dramático. Poco después del ataque a Charlie Hebdo, una nueva ley antiterrorista fue aprobada entregando vastos poderes de vigilancia al Estado, permitiendo la intervención de correos y teléfonos sin autorización judicial (aumentando facultades ya existentes desde 2013). Pero los múltiples ataques de París en noviembre de 2015 demostraron la inutilidad de la vigilancia de comunicaciones. La terrible sucesión de hechos llevó rápidamente a culpar a Snowden (!) e impulsar nuevas medidas de seguridad. Hasta mayo de 2016 se ha extendido el estado de emergencia en toda Francia, con fuertes restricciones a libertades individuales que han resultado en abusos. Es más, el gobierno pretende introducir nuevas modificaciones constitucionales y legales para aumentar las facultades estatales relacionadas con la seguridad (incluida la vigilancia), convirtiendo así al estado de excepción y restricción de garantías fundamentales en “el nuevo normal”.

Seguir o ser guía

Lo que ocurre en Europa no es indiferente para el resto del mundo, y menos para Latinoamérica. Como muestra de ello, hace pocos años la sociedad civil regional dio su parecer sobre la relevancia de la nueva reglamentación europea sobre datos personales, con miras a la fijación de estándares globales sobre esa protección y, con ello, sobre derechos fundamentales afectados como la privacidad.

Sin embargo, cuando encontramos que los mismos países que nos sirven de guía incurren en prácticas que ponen en riesgo los datos de sus ciudadanos, o los someten a la vigilancia masiva, privilegiando relaciones comerciales o cediendo a la narrativa de la seguridad nacional, perdemos parte de la esperanza en que las políticas de los gobiernos locales sean más sensibles a los derechos fundamentales.

Por tal motivo, es importante que a nivel local y regional se continúe construyendo narrativas propias de defensa de los derechos digitales, así como también se debe seguir con atención -y muchas veces con apoyo concreto- las luchas que activistas europeos tienen para defender los derechos humanos de los ataques que, lamentablemente, cada día se hacen más comunes en el contexto digital.

Agenda antidelincuencia quiere aumentar sin justificación el poder de espionaje del Estado

A comienzos del 2015, el gobierno de Chile ingresó al parlamento el proyecto de ley que “Facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal en dichos delitos”, también conocida como la agenda corta antidelincuencia.

Si bien, hasta el momento el debate público ha girado en torno a la más polémica de estas medidas, el control preventivo de identidad, es preocupante cómo otras medidas propuestas por el Legislativo, que pueden resultar igualmente atentatorias contra los derechos de las personas, no han recibido el nivel de debate público que requieren. Esto ocurre con la propuesta de interceptación de comunicaciones por simples delitos.

Estando el proyecto en segundo trámite constitucional, los senadores Espina, Harboe y Larraín presentaron una indicación cuyo objetivo es extender la facultad del ministerio público para, previa autorización del juez de garantía, interceptar comunicaciones telefónicas o de otras formas de telecomunicación.

En efecto, el artículo 222 del Código Procesal Penal restringe la posibilidad de interceptar comunicaciones a aquellos casos donde la supuesta conducta del sospechoso pudiese merecer pena de crimen, y sólo cuando ésta resulte imprescindible para la investigación. De aprobarse el proyecto con la indicación, esta facultad se extendería a ciertas conductas punibles con pena de simple delito, como robo en lugar no habitado, el robo a cajeros automáticos, hasta el hurto de ganado, entre otros.

La restricción de esta figura sólo a hechos castigados con pena de crimen sigue una lógica que el proyecto desconoce de forma peligrosa: la interceptación de comunicaciones constituye una vulneración del derecho constitucional a la inviolabilidad de toda forma de comunicación privada. Como ha indicado el ex relator especial de la ONU, estos derechos sólo pueden limitarse en circunstancias excepcionales, ya que la vigilancia de las telecomunicaciones socava gravemente no sólo la privacidad, sino que también la libertad de expresión.

El sistema actual vela porque dicha limitación sea excepcional al hacerla aplicable sólo a ciertos delitos que resulten lo suficientemente graves para que la intercepción de comunicaciones privadas resulte justificable. El proyecto, por el contrario, infringe este criterio al permitir la vigilancia de comunicaciones privadas para simples delitos ¿Cómo podría considerarse excepcional la interceptación de comunicaciones si se permite para la persecución de delitos menores como el hurto de ganado y la receptación?

Como ha establecido repetidamente el Tribunal Constitucional, para que una ley que pretende limitar derechos fundamentales no resulte inconstitucional, debe cumplir con los requisitos de necesidad y de proporcionalidad. Que una ley sea “necesaria” quiere decir que la finalidad que busca no puede alcanzarse satisfactoriamente por ningún otro medio que resulte menos lesivo para los derechos fundamentales ¿Cumple este criterio la ley corta? Resulta difícil imaginar que no existen otras medidas que permitan combatir de forma más efectiva los delitos menores contra la propiedad, que aumentar la capacidad del Estado para vigilar las comunicaciones privadas de las personas.

El criterio de proporcionalidad exige una ponderación donde se compare el nivel de afectación que producirá la medida con su beneficio eventual. Si la limitación resulta mayor que el beneficio eventual, entonces la medida no cumple con el criterio de proporcionalidad. Es justamente lo que sucede en este caso, ya que no existe evidencia de que aumentar las facultades de vigilancia del Estado permita una persecución más eficiencia de los delitos menores con la propiedad.

En este sentido, de aprobarse el proyecto de ley de agenda corta antidelincuencia, habrá un serio detrimento de los derechos online y offline de las personas. Por otro lado, se seguirá legislando en una materia sumamente sensible para la ciudadanía echando mano a recetas obsoletas que optan el camino fácil y mediático, sin evidencia de su necesidad y proporcionalidad y con serios problemas de adecuación a un marco de derechos humanos.

Como bien ha señalado la directora de Instituto Nacional de Derechos Humanos, Lorena Fríes, la seguridad también es un derecho fundamental y los ciudadanos tienen el derecho de exigir que el Estado los proteja de la delincuencia, pero ese deber no puede cumplirse afectando gravemente otros derechos y libertades.