This article is also available in English here. La presente traducción es cortesía de Katitza Rodríguez.
Ayer, 22 países, entre ellos los Estados Unidos, firmaron un defectuoso acuerdo internacional sobre vigilancia transfronteriza destinado a contrarrestar la ciberdelincuencia y agilizar la obtención de pruebas electrónicas. Los gobiernos, incluidos los que participaron activamente en las negociaciones del documento, deberían pensárselo dos veces antes de adoptarlo, ya que el tratado puede erosionar la privacidad a escala mundial. El tratado, que se abrió a la firma esta semana, entrará en vigor una vez que cinco países completen el proceso de adopción ratificándolo.
El tratado en cuestión, el Segundo Protoco Adicional (el protocolo) al Convenio sobre la Ciberdelincuencia del Consejo de Europa, se negoció durante los últimos cuatro años en un proceso impulsado por las fuerzas del orden que excluyó a reguladores independientes y a la sociedad civil de muchos de sus debates centrales. Los procedimientos del protocolo pretenden mejorar la cooperación internacional en las investigaciones penales, pero como su redacción se encuentra fuertemente sesgado hacia el aumento de los poderes policiales, no protege suficientemente la privacidad y los derechos humanos de quienes estarán sometidos a su autoridad.
Más de 60 Estados que ratificaron el Convenio sobre la Ciberdelincuencia (también conocido como el Convenio de Budapest) – y que, por tanto, pueden adherirse al protocolo – tienen que tomar una decisión. El protocolo produce una serie de nuevos poderes de vigilancia transfronteriza, pero adopta normas débiles en materia de privacidad y derechos humanos y no incluye una supervisión apropiada y suficiente. La buena noticia es que, para aquellos que decidan ratificarlo, el protocolo ofrece opciones que podrían ejercerse, incluso después de la firma inicial, para mitigar algunos de sus perjuicios para los derechos humanos.
La privacidad y los derechos humanos se dejan de lado para agilizar las prioridades policiales
El protocolo no representa un enfoque proporcionado del acceso transfronterizo a los datos, sino que da prioridad a la aplicación de la ley en detrimento de la privacidad, la protección de datos y los derechos humanos.
La voluntad de los redactores del protocolo de dejar de lado los derechos humanos quizá se vea mejor en su rechazo a ciertas enmiendas sugeridas por el propio comité legislativo de Asuntos Jurídicos y Derechos Humanos del Consejo de Europa. El comité recomendó, sin éxito, la inclusión explícita del principio de proporcionalidad, articulando que el tratamiento de datos personales debe ser necesario y proporcionado y realizarse de forma que explícitamente reconozca importantes privilegios e inmunidades, como la confidencialidad médico-paciente, la protección de las fuentes de los periodistas y el privilegio abogado-cliente.
El protocolo rara vez requiere supervisión judicial y esencialmente usurparía el papel que desempeñan los organismos independientes de protección de datos en muchas jurisdicciones. Muchos marcos de privacidad confían a estos reguladores independientes la responsabilidad principal de garantizar una protección de datos suficiente para las transferencias de información personal a otras jurisdicciones. Pero según el protocolo, los reguladores independientes de la privacidad están impedidos de escrutinar las transferencias de datos para asegurarse de que cumplen con las normas nacionales, y sólo pueden interferir en las transferencias en circunstancias muy limitadas.
En países con una supervisión judicial mínima, las investigaciones transfronterizas pueden amenazar los derechos humanos. En lugar de establecer estándares altos de protección, el protocolo da prioridad al acceso de las fuerzas del orden en casi todo momento. Esto es quizás más evidente por su adopción explícita de estándares de protección de datos que no alcanzan el propio régimen de protección de datos del Consejo de Europa, el Convenio 108+, y en su enfoque en los datos del subscriptor, restando importancia al interés de la privacidad que se ve amenazado cuando el Estado tiene la facultad de identificar la actividad anónima en línea, en contradicción directa con el propio Tribunal Europeo de Derechos Humanos del Consejo.
Ceder el control de la interpretación al Comité de Ciberdelincuencia del Convenio de Europa
La aplicación e interpretación permanente de los instrumentos del Consejo de Europa, como el protocolo y su tratado subyacente, el Convenio sobre la Ciberdelincuencia, son supervisadas por comités. El comité encargado de supervisar la ciberdelincuencia (también conocido como T-CY) está poblado predominantemente por intereses de las fuerzas del orden, excluyendo a los reguladores independientes de la privacidad e incluso al propio comité de protección de datos del Consejo de Europa (T-PD).
Esto es especialmente problemático, ya que las perspectivas interpretativas del T-CY entrarán inevitablemente en conflicto con la sociedad civil, como ya ha ocurrido en el pasado. Por ejemplo, en 2016, el Tribunal de Apelación del 2º Circuito de Estados Unidos emitió una sentencia histórica que limitaba el alcance extraterritorial de los poderes de producción de Estados Unidos y proporcionaba importantes protecciones para los derechos de privacidad de algunos ciudadanos de la UE. Tras esta decisión, el T-CY emitió una nota de orientación que ofrecía una interpretación controvertidamente amplia y conflictiva del alcance transterritorial del Convenio sobre la Ciberdelincuencia. Esta nota orientativa constituyó entonces un componente importante de la apelación del Departamento de Justicia de EE.UU. a la decisión del 2º Circuito, incluyendo la afirmación de que la decisión “socavaba el cumplimiento por parte de Estados Unidos de sus obligaciones en virtud de… [el Convenio sobre la Ciberdelincuencia]”.
Aunque los tribunales nacionales siempre tendrán la última palabra en la aplicación de la ley, laconducción de la policía en los instrumentos interpretativos emitidos por el T-CY son un componente integral y problemático del paquete que se pide a los Estados que acepten al adoptar el protocolo.
La sombra del régimen MLAT y las negociaciones en curso del tratado de la ONU
Es probable que la adopción del protocolo debilite los regímenes existentes de cooperación transfronteriza en materia de investigación. El actual sistema del Tratado de Asistencia Legal Mutua (MLAT) ha sido criticado por su lentitud y falta de respuesta. Muchos de estos problemas surgen de desafíos prácticos producto de las barreras lingüísticas o de la falta de recursos de los equipos de respuesta del MLAT.
Pero un factor central que retrasa el acceso a los datos transfronterizos es la complejidad de navegar sistemas de justicia penal que compiten entre sí. Como señaló recientemente la Dirección Ejecutiva del Comité contra el Terrorismo (CTED) del Consejo de Seguridad de las Naciones Unidas, la proliferación de poderes de investigación transfronterizos que compiten entre sí puede ser más perjudicial que beneficiosa al crear regímenes que se solapan y son potencialmente incompatibles. Este panorama fragmentado de investigación transfronteriza “frustra uno de los objetivos clave de las iniciativas de reforma, que es simplificar un conjunto excesivamente complejo y fragmentado de preocupaciones jurisdiccionales para acceder a las pruebas digitales”.
En lugar de formar a la policía para que se desenvuelva en sistemas jurídicos extranjeros y de buscar más inversiones y recursos para el régimen del MLAT, el protocolo añade otra capa de normas para que las fuerzas del orden se desenvuelvan. Por otra parte, un comité ad hoc de la ONU inició en abril las conversaciones sobre otro tratado de ciberdelincuencia. Ese tratado plantea sus propias amenazas a los derechos humanos, pero también es probable que se superponga y entre en conflicto con el protocolo, creando aún más capas de complejidad y quizás volviendo redundante al protocolo
Detección de violaciones de los derechos humanos
A pesar de la falta de salvaguardias en materia de derechos humanos y de que hay otro tratado sobre ciberdelincuencia en preparación, es probable que muchos Estados adopten el protocolo. Estos Estados tienen que tomar decisiones importantes, ya que el protocolo ofrece varias salvaguardias opcionales de privacidad y derechos humanos, muchas de las cuales deben seleccionarse al firmar o ratificar. Estas opciones proporcionarán un control más eficaz de las violaciones de los derechos humanos, un marco proporcionado para salvaguardar el anonimato en línea y un nivel sólido de protección de datos.
En los actuales escenarios de acceso transfronterizo a los datos, las autoridades centrales proporcionan un importante mecanismo de verificación para garantizar que las solicitudes se ajusten con las obligaciones de derechos humanos de cada Estado. Varias disposiciones operativas del protocolo limitan el importante papel de investigación que desempeñan estas autoridades centrales, y las partes deberían ejercer la discreción que ofrece el protocolo para mitigar este peligroso enfoque.
El artículo 7, principal mecanismo del protocolo para el acceso transfronterizo a los datos de identificación del suscriptor, prevé que las fuerzas de seguridad de un país se dirijan directamente a los proveedores de servicios de otro país para requerir la entrega de los datos de los usuarios. Por defecto, las autoridades centrales no tendríanque aprobar ninguna solicitud, y en muchos casos ni siquiera sabrán que se ha hecho una. El artículo 7.5 permite a los Estados exigir al menos que se notifique a su autoridad central cuando se envíen requerimientos a los proveedores de servicios de su jurisdicción, proporcionando un mecanismo de control de baja fricción que podría proteger contra las solicitudes de datos de usuarios que violen las normas de derechos humanos.
El artículo 12 del protocolo esboza un marco para los equipos conjuntos de investigación, que combinan funcionarios de las fuerzas del orden de varias jurisdicciones en una unidad facultada para investigar un delito transfronterizo. El protocolo autoriza a estos equipos a adoptar sus propios acuerdos en relación con las garantías de privacidad, las solicitudes de asistencia en la investigación y las transferencias de datos personales entre los miembros del equipo, eludiendo de hecho los mecanismos existentes del MLAT. Acuerdos que pueden incluso anular las salvaguardias explícitas de protección de datos y las limitaciones de la investigación adoptadas en el protocolo y pueden ser alcanzados por funcionarios individuales de las fuerzas del orden sin necesidad de consultar o incluso notificar a las autoridades centrales. Además, la invocación del artículo 12.3 garantizaría que las autoridades centrales participen, o al menos conozcan, estos acuerdos y sus implicaciones.
Salvaguardar el anonimato
El mencionado artículo 7 del protocolo crea un marco para la cooperación directa entre los funcionarios encargados de la aplicación de la ley en un Estado y los proveedores de servicios en otro con el fin de identificar a los suscriptores.
Los datos de identificación de los suscriptores son uno de los tipos de información personal más buscados por las fuerzas del orden, por lo que no es de extrañar que el tratamiento de los datos de los suscriptores por parte del protocolo ofrezca una protección muy limitada contra la interferencia arbitraria en la privacidad y el anonimato. Pero el poder de identificar a personas anónimas voluntariamente supone una amenaza directa para abogados, periodistas, disidentes políticos, defensores de los derechos humanos y políticos. Es importante contar con garantías adicionales, especialmente en los intercambios transfronterizos, en los que los proveedores de servicios encargados de evaluar las solicitudes de datos de los suscriptores pueden desconocer el contexto político u otro contexto en el que las solicitudes se realizan.
En un implícito reconocimiento de la naturaleza controvertida de este intrusivo poder transfronterizo, el protocolo permite a las partes eludir el artículo 7 como medio principal para las solicitudes transfronterizas de datos de los suscriptores, reservándose el derecho a no aplicar esta disposición. Los Estados harían bien en ejercer esta opción. El artículo 8 del protocolo, que también puede utilizarse para las solicitudes de datos de los suscriptores, proporciona una base más adecuada (pero aún expedita). Se basa en las salvaguardias existentes en los regímenes jurídicos nacionales, prevé solicitudes suficientemente detalladas para evaluar si la incursión prevista en la intimidad está justificada, permite a los Estados confiar en su poder judicial para autorizar las solicitudes extranjeras y crea vehículos más eficaces para que los Estados descubran y rechacen las solicitudes de datos de los suscriptores que amenazan los derechos humanos.
Como alternativa, si los Estados deciden mantener el artículo 7, deberían comprometerse a adoptar canales seguros para comunicar y autentificar las solicitudes. Los proveedores de servicios no son eficaces a la hora de verificar las solicitudes que podrían provenir de cualquier agente de policía de cualquiera de las docenas de Estados partes; en el pasado esto ha demostrado ser un terreno fértil para solicitudes fraudulentas. Aunque el protocolo no exige a las partes que establezcan canales de comunicación seguros, al menos permiten a las partes establecer los suyos propios si así lo deciden.
Por último, los Estados deberían aplicar el apartado 7.2.b, que exige que las autoridades judiciales o fiscales participen en las solicitudes de identificación transfronterizas. Esto minimizará el alto potencial de abuso que surge cuando cualquier agente de policía individual puede emitir una solicitud de datos y también mitigará en cierta medida las oportunidades de solicitudes fraudulentas.
Otras formas de equilibrar los poderes policiales intrusivos del Protocolo
El protocolo no logra equilibrar sus poderes intrusivos de aplicación de la ley con las protecciones de datos modernas. De hecho, muchas de las normas explícitas de protección de datos adoptadas por el protocolo entran en conflicto con los propios instrumentos de protección de datos del Consejo de Europa. Por ejemplo, en consonancia con las tendencias de modernización de la protección de datos, el Convenio 108+ trata los datos biométricos, como las plantillas de reconocimiento facial, como “sensibles” y exige protecciones adicionales cuando se procesan dichos datos. Sin embargo, el artículo 14.4 del protocolo impide a los Estados tratar los datos biométricos como “sensibles” a menos que se puedan demostrar riesgos adicionales.
El protocolo permite que prevalezcan acuerdos de protección de datos más fuertes, como el Convenio 108+, pero solamente si todas las partes del protocolo implicadas en una interacción concreta están también obligadas por el instrumento internacional en cuestión. Por lo tanto, los Estados que decidan adoptar el protocolo como mecanismo para las investigaciones transfronterizas deberían considerar la posibilidad de adherirse también al Convenio 108+.
Además de las medidas mencionadas, los Estados deberían considerar la adopción de las siguientes salvaguardias generales en la legislación nacional antes de adoptar el protocolo:
- Exigir la autorización judicial previa para el acceso a los datos no contenidos, incluidos los metadatos y los datos de los suscriptores;
- Basar la autorización judicial previa e independiente en una sólida demostración de que la medida de investigación que se contempla aportará pruebas de un delito grave;
- Establecer una supervisión reguladora eficaz e independiente de los regímenes de acceso a los datos transfronterizos, con auditorías, controles aleatorios e informes anuales;
- Notificar a los usuarios sobre las solicitudes gubernamentales de acceso a sus datos personales, y proporcionar mecanismos efectivos de reparación e información suficiente para que puedan evaluar cualquier impacto en sus derechos humanos y libertades;
- Exigir que el gobierno informe anualmente sobre el volumen, la naturaleza y el alcance de las demandas de acceso a datos enviadas a través de las fronteras, así como sobre las demandas de datos recibidas de otros Estados.
- Adoptar medidas legales que garanticen que las solicitudes de mordaza -órdenes de confidencialidad y secreto- no se invoquen indebidamente cuando las fuerzas de seguridad exigen el acceso a los datos;
- Garantizar explícitamente que los marcos jurídicos nacionales reconozcan los datos biométricos como información personal categóricamente sensible en todos los casos que debe ser tratada con los más altos niveles de protección.
Estas salvaguardias mitigarán además los daños derivados de la adopción del protocolo y son las mejores prácticas generales para las fuerzas del orden.
Conclusión
Es prematuro saber qué Estados se adherirán al protocolo y qué salvaguardias o reservas añadidas se ejercerán. EDRi (European Digital Rights, por su nombre en inglés) está urgiendo al Parlamento Europeo a que solicite un dictamen del Tribunal de Justicia de la Unión Europea sobre la compatibilidad del protocolo con el marco constitucional de la UE. La Unión Europea y sus Estados miembros harían bien en apoyar esta petición y esperar el resultado de dicho dictamen.
Otros Estados también deberían considerar la posibilidad de obtener asesoramiento jurídico y constitucional independiente antes de comprometerse. A medida que la recopilación de pruebas transfronterizas se convierte en una parte cada vez más importante de la actividad policial cotidiana, es imperativo que estas investigaciones se realicen de una manera que dé prioridad a los derechos humanos y a la privacidad.
IMAGEN: Foto de ISSOUF SANOGO/AFP vía Getty Image
* * *
Tamir Israel (@tamir_i) es abogado de la Samuelson-Glushko Canadian Internet Policy & Public Interest Clinic (CIPPIC) de la Facultad de Derecho de la Universidad de Ottawa.
Katitza Rodríguez (@txitua) es Directora de Políticas de Privacidad Global en la Electronic Frontier Foundation. Fue asesora del Foro de Gobernanza de Internet de la ONU (2009-2010). En 2018, CNET nombró a Katitza como uno de los 20 latinos más influyentes en tecnología en Estados Unidos.