EFF está presentando un nuevo proyecto sobre los Derechos de los Desarrolladores (Coders' Rights) para conectar el trabajo de investigación sobre seguridad informática con los derechos fundamentales de sus practicantes a lo largo de las Américas. El proyecto busca apoyar el derecho a la libertad de expresión que se encuentra en el corazón de la creación y el uso del código por parte de los investigadores quienes examinan los sistemas informáticos y transmiten sus descubrimientos entre sus pares y con el público en general.
Para iniciar el proyecto, la EFF publicó hoy un informe titulado "Protegiendo los Derechos de los Investigadores de Seguridad en las Américas" (PDF), con el fin de proporcionar la base legal y política para nuestro trabajo, esbozando los estándares de derechos humanos que los legisladores, jueces y, en particular, la Comisión Interamericana de Derechos Humanos, deberían utilizar para proteger los derechos fundamentales de los investigadores de seguridad.
Empezamos este proyecto por que nunca antes tanto hackers como investigadores de seguridad habían sido tan importantes para la seguridad de Internet como ahora. Al identificar y revelar vulnerabilidades, los hackers son capaces de mejorar la seguridad de cada usuario que depende de los sistemas de información para su vida diaria y su trabajo.
Los investigadores en seguridad informática trabajan, a menudo en forma independiente con respecto a las grandes instituciones públicas y privadas, analizando, explorando y corrigiendo las vulnerabilidades que se encuentran dispersas en el panorama digital. Aunque la mayor parte de este trabajo se lleva a cabo discretamente como consultores o empleados, a veces su trabajo se realiza en aras del interés público, lo que reúne titulares y aplausos de los investigadores, pero también puede atraer demandas civiles o penales. Pueden ser atacados y amenazados con leyes destinadas a prevenir la intrusión maliciosa, incluso cuando su propio trabajo es cualquier cosa menos malicioso. El resultado es que los investigadores en materia de seguridad trabajan en un entorno de inseguridad jurídica, a pesar de que su trabajo se vuelve más vital para el funcionamiento ordenado de la sociedad.
Partiendo de derechos reconocidos por la Convención Americana sobre Derechos Humanos y de ejemplos de la jurisprudencia de América del Norte y del Sur, este estudio analiza los derechos que tienen los investigadores en seguridad; cómo se expresan estos en la particular disposición de los instrumentos de derechos humanos en las Américas, y cuál es la mejor manera de interpretar los requerimientos de las leyes de derechos humanos – incluyendo el derecho a la privacidad, la libertad de expresión y el derecho al debido proceso – al ser aplicados a la investigación sobre seguridad de la computación y a sus practicantes. En cooperación con expertos técnicos y jurídicos de todo el continente, pasamos a explicar esto:
-
La programación informática es una actividad expresiva protegida por la Convención Americana de Derechos Humanos. Explicamos cómo la libertad de expresión se encuentra en el corazón de la creación y el uso del código informático por parte de los investigadores para examinar los sistemas informáticos y transmitir sus descubrimientos entre sus pares y al público en general.
-
Los tribunales y la ley deben garantizar que la creación, posesión o distribución de herramientas relacionadas con la ciberseguridad estén protegidas por el artículo 13 de la Convención Americana sobre Derechos Humanos, como actos legítimos de libertad de expresión, y que no sean penalizados o restringidos de otro modo. Estas herramientas son fundamentales para la práctica de la defensa de la seguridad y tienen usos legítimos y socialmente deseables, como la identificación y el ensayo de vulnerabilidades prácticas.
-
Los legisladores y jueces deben desalentar el uso del derecho penal como respuesta al comportamiento de los investigadores de seguridad que aunque, técnicamente, pueda infringir una ley de delitos informáticos, es socialmente beneficioso.
-
Las leyes sobre la ciberdelincuencia deberían incluir la intención maliciosa y el daño real en su definición de responsabilidad penal.
-
Las "Condiciones de servicio" (ToS, por sus siglas en inglés) de las entidades privadas han creado una responsabilidad penal inapropiada y peligrosa entre los investigadores al redefinir el "acceso no autorizado" en los Estados Unidos. En América Latina, bajo el Principio de Legalidad, las disposiciones de los ToS no pueden ser utilizadas para cumplir con normas legales vagas y ambiguas establecidas en las disposiciones penales (por ejemplo, "sin autorización"). La responsabilidad penal no puede basarse en la forma en que las empresas privadas desean que se utilicen sus servicios. Por el contrario, la responsabilidad penal debe basarse en leyes que describan de manera precisa qué conductas están prohibidas y cuáles son punibles.
-
Las penas por delitos cometidos mediante el uso de computadoras no deben ser, como mínimo, mayores que las penas por delitos análogos cometidos sin computadoras.
-
Las sanciones dispuestas en el derecho penal deben ser proporcionales al delito, especialmente cuando los delitos cibernéticos demuestran pocos efectos nocivos, o son comparables a las infracciones tradicionales menores.
-
Son necesarias medidas proactivas encaminadas a garantizar la libre circulación de la información en la comunidad de la investigación sobre seguridad.
Nos gustaría agradecer a Nate Cardozo, Abogado Principal de la EFF, a Kurt Opsahl, Director Ejecutivo Adjunto y Consejero General, a Katitza Rodríguez, Directora de Derechos Internacionales, a Jamie Lee Williams, Abogada de la EFF, así como a Ramiro Ugarte y a Tamir Israel, Abogado de la Clínica Canadiense de Políticas de Internet e Interés Público del Centro de Derecho, Tecnología y Sociedad de la Universidad de Ottawa, por su ayuda en la investigación y redacción de este documento.