Este post es el tercero de una serie sobre nuestro nuevo informe Estado de las leyes de privacidad de las comunicaciones, un conjunto de preguntas y respuestas sobre privacidad y protección de datos en Argentina, Brasil, Chile, Colombia, México, Paraguay, Panamá, Perú y España. La investigación parte del trabajo de las directrices de los Principios Necesarios y Proporcionados para evaluar si las leyes de vigilancia digital son coherentes con las salvaguardias de los derechos humanos. Los dos primeros posts de la serie fueron "Una mirada al pasado y al futuro de la protección de datos" y "Los gobiernos latinoamericanos deben comprometerse con la transparencia de la vigilancia". Este tercer post ofrece una visión general de las normas y salvaguardias aplicables a las investigaciones penales en ocho países latinoamericanos y en España.

En diciembre de 1992, un abogado paraguayo descubrió el llamado "Archivo del Terror", un registro casi completo de los interrogatorios, torturas y vigilancia realizados durante los 35 años de dictadura militar de Alfredo Stroessner. Los archivos informaban de los detalles de la "Operación Cóndor", un programa clandestino entre las dictaduras militares de Argentina, Chile, Paraguay, Bolivia, Uruguay y Brasil entre las décadas de 1970 y 1980. Los gobiernos militares de esas naciones acordaron cooperar en el envío de sus equipos a otros países para rastrear, vigilar y asesinar a sus opositores políticos. Los Archivos del Terror enumeraban más de 50.000 muertes y 400.000 presos políticos en Argentina, Bolivia, Brasil, Chile, Paraguay, Uruguay, Colombia, Perú y Venezuela. La policía secreta de Stroessner utilizó informantes, cámaras con teleobjetivos y escuchas telefónicas para construir una base de datos en papel de todas las personas consideradas como una amenaza, además de sus amigos y asociados. El Archivo del Terror muestra hasta dónde puede llegar un gobierno cuando no es controlado por las autoridades judiciales, los organismos de control público y un público informado. Como hemos escrito, en América Latina abundan los abusos recientes de los poderes de vigilancia, y muchos países siguen luchando contra la cultura del secreto.

La sociedad civil de todo el mundo ha estado luchando para garantizar que se establezcan y apliquen sólidas salvaguardias legales, incluidas las descritas en los Principios Necesarios y Proporcionados. Nuestro informe sobre el estado de las leyes de privacidad de las comunicaciones se basa en este trabajo para proporcionar una visión general de las normas legales y las salvaguardias que se aplican hoy en día para las investigaciones penales en ocho países de América Latina y España.

Existen importantes protecciones contra la interceptación y la escucha de conversaciones

El método más común de vigilancia de las comunicaciones son las escuchas telefónicas o formas similares de interceptación de las comunicaciones. La mayoría de las leyes y sistemas jurídicos de los países abordan explícitamente esta intromisión y ponen límites a cómo y cuándo puede producirse. En Brasil, Colombia, México, Panamá, Paraguay, Perú y España, la constitución establece directamente que las comunicaciones privadas no pueden ser violadas sin una orden judicial. Las constituciones de México y Panamá también protegen el secreto de las comunicaciones privadas estableciendo que su violación está sujeta a sanciones penales. Más allá de las protecciones constitucionales, suele haber leyes penales contra la interceptación no autorizada, como en Brasil, Perú y España. En unos pocos países, existe una vía de emergencia separada en la que se puede realizar una revisión judicial después de la interceptación; Perú, España y México permiten este escenario de emergencia.

Aunque normalmente se necesitan órdenes judiciales para interceptar (o "intervenir") comunicaciones privadas, las normas que los tribunales penales deben aplicar al conceder estas órdenes pueden variar enormemente de un país a otro. Si has seguido los litigios sobre privacidad de la EFF, habrás comprobado la importancia de estas variaciones en las normas y la gran controversia que existe sobre cómo se aplican a determinadas tecnologías, desde las órdenes de geovalla (geofence warrants) hasta las órdenes dirigidas a identificadores como direcciones en lugar de personas.

Los aficionados a la ley de privacidad de EE.UU. pueden recordar la noción de "especificidad" que surgió del deseo de evitar las "órdenes generales" que permiten a las autoridades acceder a información privada sin estar vinculadas al objetivo o propósito específico de una investigación. En Brasil, Chile, México, España y Perú, la interceptación debe dirigirse a personas, líneas o dispositivos específicos. En el caso de España, se requiere esta identificación, siempre que se conozcan los datos; la ley de Brasil renuncia a la identificación cuando se demuestre que es "manifiestamente imposible" obtenerla. Tanto la ley chilena como la brasileña añaden un requisito de sospecha razonable.

Las leyes procesales penales también establecen que la interceptación de las comunicaciones es una medida excepcional que debe utilizarse en circunstancias limitadas y no en todas las investigaciones. Chile, Brasil, España y Perú limitan la interceptación a las investigaciones de delitos graves, castigados con penas mayores. Las protecciones constitucionales de Brasil, Perú, México, Paraguay y España exigen que cualquier medida de intervención sea necesaria o indispensable. La Constitución chilena exige que la ley establezca los "casos y formas" en que se pueden intervenir las comunicaciones privadas.

Las leyes de Argentina y Panamá especifican que la interceptación es una medida excepcional, pero son algo confusas en cuanto a lo que se entiende por "excepcional". La Corte Suprema argentina ha contribuido a aclarar la necesidad de aplicar a la interceptación de las comunicaciones la jurisprudencia existente que prohíbe la apertura de cartas u otro tipo de correspondencia; la interceptación debe estar autorizada por la ley, ser adecuada y estrictamente necesaria para lograr un objetivo legítimo.

En España, las "medidas de investigación de las comunicaciones" deben cumplir los principios de pertinencia, adecuación, excepcionalidad, necesidad y proporcionalidad. Estas normas son fundamentales para establecer límites y orientar la forma en que los jueces evalúan las solicitudes de datos. Las solicitudes suelen llegar en situaciones de urgencia; la aplicación de los principios ayuda a evitar que se responda de forma desproporcionada o sin responsabilidad. El derecho internacional de los derechos humanos y las normas interamericanas, vinculantes para varios países de la región, también refuerzan los principios que guían el examen de las órdenes de interceptación por parte de los jueces.

Las comunicaciones almacenadas están protegidas

La gran mayoría de los ordenamientos jurídicos que aparecen en los informes exigen una orden judicial para el acceso de las fuerzas de seguridad a las comunicaciones almacenadas, ya sea mediante procedimientos de interceptación, normas similares a las de "registro e incautación" u otras disposiciones constitucionales. Lamentablemente, esto puede ser polémico en el caso de los datos almacenados que no se consideran "correspondencia" o en el caso del contenido de las comunicaciones contenidas en los dispositivos a los que acceden las autoridades policiales en situaciones en las que normalmente se renuncia a una orden de registro.

En Brasil, la legislación del Marco Civil aprobada en 2014 exige una orden judicial para acceder tanto a las comunicaciones almacenadas como a las que están en curso en Internet, estableciendo una vía para anular la interpretación legal de que la protección constitucional otorgada al secreto de las comunicaciones (art. 5, XII) abarcaba la "comunicación" de datos, pero no los datos en sí. En 2012, el Tribunal Supremo de Brasil (STF) había seguido esta interpretación, estableciendo una distinción entre las conversaciones telefónicas y los registros de llamadas almacenados, para considerar lícita la identificación de otro sospechoso por parte de los agentes de policía que comprueban los registros de los dispositivos encontrados en una persona detenida sin una orden judicial previa. Sin embargo, en 2016, el Tribunal Superior de Justicia (STJ) del país se basó en la cláusula de protección de la privacidad de la Constitución (art. 5, X) y en el Marco Civil para dictaminar que se requieren órdenes judiciales antes de acceder a los mensajes de WhatsApp almacenados en un dispositivo obtenido por la policía cuando su propietario es sorprendido en el acto de cometer un delito. A finales del año pasado, fue el turno del Tribunal Supremo (STF) para anular su precedente de 2012. Como destacó el presidente del Tribunal,

Hoy en día, estos dispositivos son capaces de registrar la más variada información sobre sus usuarios. Los teléfonos móviles son la principal forma de acceso de los brasileños a Internet. Esta sola razón sería suficiente para concluir que las normas sobre protección de datos, flujos de datos y otras informaciones contenidas en estos dispositivos son relevantes.

En EE.UU., la EFF trabajó para ayudar a los tribunales a aplicar correctamente la doctrina del "registro incidental a la detención" a las nuevas tecnologías. Esta doctrina permite a veces a la policía registrar un objeto, como un bolso, simplemente porque la persona que lo lleva ha sido detenida, aunque no haya motivos para creer que contiene algo sospechoso. En el caso Riley contra California (2014), el Tribunal Supremo de Estados Unidos sostuvo que esta doctrina no justifica el registro del teléfono de un detenido. La EFF presentó un informe amicus curiae en apoyo de esta sentencia.

En Panamá, tanto el Código Procesal Penal como la Ley de Investigación del Crimen Organizado exigen una orden judicial antes de incautar la correspondencia o los documentos privados, incluidas las comunicaciones electrónicas. Los datos almacenados en los dispositivos electrónicos incautados, sin embargo, sólo están sujetos a una revisión judicial posterior. Mientras que el plazo para esta revisión en la Ley de Enjuiciamiento Criminal es de diez días, puede tardar hasta 60 días en el caso de las investigaciones sobre delincuencia organizada. Los acusados y sus abogados serán invitados a participar en el análisis de los datos contenidos en los dispositivos, pero el examen puede proceder sin su participación.

Trazar la línea divisoria entre la "correspondencia" y otros tipos de datos electrónicos para determinar si se aplican protecciones más fuertes o más débiles es un reto en el contexto digital. Además, el intento de trazar esta distinción suele pasar por alto la forma en que la información "que no es contenido", como el historial de mensajería o los datos de localización, también puede revelar detalles íntimos y sensibles que merecen una protección similar. Aquí profundizamos en esta cuestión. Sin embargo, incluso cuando nos centramos en el contenido de las comunicaciones, existe una gran preocupación por el nivel de protección de la privacidad en la región.

La norma de revisión judicial de Colombia, preocupante después de la interceptación

Podríamos imaginar que todos los países siguen ahora esta pauta establecida: un agente de la ley solicita permiso a un juez para realizar algún tipo de acción de investigación que de otro modo estaría prohibida; el juez considera la solicitud y emite una orden, y entonces el agente procede según los parámetros aprobados por el juez.

Pero Colombia, sorprendentemente, a veces hace las cosas al revés, con un juez que autoriza retroactivamente medidas de investigación que ya se han tomado. La Corte Constitucional colombiana ha señalado que, como regla general, es necesaria la autorización previa de un juez si una investigación va a interferir en los derechos fundamentales de la persona objeto de la misma. Existe una excepción a esta regla: cuando la ley faculta a la Fiscalía General de la Nación para interferir en los derechos de una persona con el fin de recoger información relevante para una investigación penal, las acciones realizadas están sujetas a revisión judicial a posteriori. Esta excepción debe limitarse estrictamente a los registros, las visitas domiciliarias, las incautaciones y las interceptaciones de comunicaciones. Sin embargo, la definición de interceptación por un reglamento administrativo incluye tanto el contenido como los metadatos relacionados, nivelando hacia abajo, en lugar de hacia arriba, la protección concedida a los datos de las comunicaciones.

Por otra parte, la Corte Constitucional colombiana ha sostenido también que las prácticas de las fuerzas del orden, como la búsqueda selectiva de información confidencial de un acusado en una base de datos, requieren una autorización judicial previa. En los Estados Unidos, las fuerzas del orden no pueden buscar en una base de datos sin una orden judicial previa, salvo excepciones específicas como el consentimiento y la emergencia. El trabajo de la EFF en EE.UU. se centra en garantizar que las órdenes judiciales sean necesarias y tengan un alcance proporcionado. Por ejemplo, si lo único relevante para una investigación son los correos electrónicos enviados a la persona X durante la semana Y, la orden debe limitar la búsqueda en la base de datos a ese ámbito.

Acceso directo de las autoridades gubernamentales a las comunicaciones interceptadas

Los mecanismos de acceso directo son situaciones en las que las autoridades policiales o de inteligencia tienen una "conexión directa a las redes de telecomunicaciones para obtener contenidos y datos de comunicaciones digitales (tanto móviles como de Internet), a menudo sin previo aviso ni autorización judicial y sin la participación ni el conocimiento de la empresa de telecomunicaciones o el proveedor de servicios de Internet que posee o gestiona la red". El Tribunal Europeo de Derechos Humanos dictaminó que el acceso directo es "especialmente propenso a los abusos". El Industry Telecom Dialogue ha explicado que algunos gobiernos exigen dicho acceso como condición para operar en su país:

"algunos gobiernos pueden exigir el acceso directo a la infraestructura de las empresas con el fin de interceptar las comunicaciones y/o acceder a los datos relacionados con las comunicaciones. Esto puede dejar a la empresa sin ningún control operativo o técnico de su tecnología. Mientras que en los países con sistemas judiciales independientes la interceptación real mediante dicho acceso directo puede requerir una orden judicial, en la mayoría de los casos falta una supervisión independiente del uso proporcionado y necesario de dicho acceso."

Como ya hemos escrito antes, la EFF y nuestros socios han instado a las empresas privadas a que emitan informes de transparencia, explicando cómo y a qué escala entregan la información privada de los usuarios a las entidades gubernamentales. Esta práctica está creciendo en todo el mundo. Hemos encontrado una sorpresa en los informes de transparencia de Millicom y Telefónica. Ambas compañías globales de telecomunicaciones operan actualmente en Colombia, y ambas revelan que no reportan el número de veces que las comunicaciones de alguien en sus líneas móviles fueron interceptadas porque las autoridades gubernamentales realizan directamente el procedimiento en sus sistemas sin su ayuda o conocimiento.

Según el informe de Millicom, los requisitos de acceso directo a las redes móviles de las empresas de telecomunicaciones en Honduras, El Salvador y Colombia impiden que los proveedores de servicios de Internet sepan con qué frecuencia o durante qué períodos se produce la interceptación. Millicom informa que en Colombia la empresa está sujeta a fuertes sanciones, incluyendo multas, si las autoridades descubren que obtuvo información sobre la interceptación que tiene lugar en su sistema. Por ello, Millicon no dispone de información sobre la frecuencia y duración de la interceptación de las comunicaciones. Millicom afirma que en Paraguay también existe un requisito de acceso directo, pero los procedimientos allí permiten a la empresa ver las órdenes judiciales necesarias para que las autoridades gubernamentales inicien la interceptación. Hasta donde sabemos, no hay nada en la legislación de Paraguay que obligue explícita y públicamente a los proveedores de telecomunicaciones a proporcionar acceso directo.

Técnicas modernas de vigilancia

El Tribunal Europeo de Derechos Humanos, en el caso Marper contra el Reino Unido, ha observado que el derecho a la intimidad se vería debilitado de manera inaceptable si se permitiera el uso de "técnicas científicas modernas en el sistema de justicia penal a cualquier precio y sin sopesar cuidadosamente los beneficios potenciales del uso extensivo de dichas técnicas frente a importantes intereses de la vida privada". No podemos estar más de acuerdo.

Desgraciadamente, la región está plagada de accesos indebidos a los datos de las comunicaciones de las personas y de una cultura del secreto que persiste incluso cuando los regímenes autoritarios ya no están en vigor. Desde las recurrentes escuchas telefónicas ilegales hasta el uso ilimitado de programas maliciosos, las amplias pruebas de las tácticas de vigilancia indebida utilizadas por los gobiernos de la región son probablemente la punta del iceberg.

En nuestra investigación, no hemos visto ninguna legislación específica que autorice a las fuerzas de seguridad el uso de simuladores de torres celulares (CSS). Los CSS, a menudo llamados IMSI catchers o Stingrays, se hacen pasar por torres de telefonía móvil y engañan a nuestros teléfonos para que se conecten a ellas y la policía pueda localizar a un objetivo. En Estados Unidos, la EFF se opone desde hace tiempo al uso de los CSS por parte del gobierno. Son una forma de vigilancia masiva, que obliga a los teléfonos de innumerables personas inocentes a revelar información a la policía, lo que viola la Constitución de Estados Unidos. Interrumpen las comunicaciones celulares, incluidas las llamadas al 911. Se despliegan de forma desproporcionada en las comunidades de color y en los barrios más pobres. Aprovechan las vulnerabilidades del sistema de comunicación celular que el gobierno debería solucionar en lugar de explotar. En Estados Unidos, la EFF sostiene que el gobierno no debería adquirir IMSI catchers, pero si lo hace, no deberían utilizarse para nada más que para localizar un teléfono concreto. Deberían requerir una orden judicial, utilizarse sólo para delitos violentos y exigir el borrado inmediato de los datos no relacionados con el objetivo. También debe haber mecanismos de supervisión que garanticen que la herramienta se utiliza respetando el principio de proporcionalidad.

En lo que respecta al uso del malware por parte de las fuerzas de seguridad, excepto en España, ningún otro país de nuestra investigación autoriza claramente el malware como herramienta de investigación en las investigaciones criminales, a pesar del uso generalizado de esta tecnología por parte del gobierno. El malware o software malicioso busca acceder o dañar un ordenador sin el consentimiento del propietario. El malware incluye spyware, keyloggers, virus, gusanos o cualquier tipo de código malicioso que se infiltre en un ordenador. Se sabe que el malware, por ejemplo, se utiliza en México, Panamá, Venezuela, Colombia, Brasil, Chile, Ecuador, Honduras y Paraguay con insuficiente autorización legal. En algunos países, la ley contempla la posibilidad de que algunas autoridades requieran autorización judicial para la intervención de comunicaciones privadas con fines específicos, y esa podría ser la autoridad legal empleada por algunos gobiernos para utilizar malware.

Por ejemplo, en Paraguay, el artículo 200 del Código Procesal Penal establece que un juez puede autorizar la intervención de la comunicación "con independencia de los medios técnicos que se utilicen para intervenirla"; sin embargo, las protecciones constitucionales y el derecho internacional de los derechos humanos equilibran dicha interferencia con el derecho a la intimidad. Cualquier solicitud de intervención debe cumplir una prueba de tres pasos: estar prescrita por la ley; tener un objetivo legítimo; y ser necesaria y proporcionada. Las limitaciones también deben interpretarse y aplicarse de forma estricta. En Guatemala, la Ley de Control y Prevención del Lavado de Dinero autoriza el uso de cualquier medio tecnológico disponible para la investigación de cualquier delito para facilitar el esclarecimiento del mismo.

En Estados Unidos, el trabajo de la EFF sobre el malware se ha centrado en el despliegue de herramientas de hackeo del gobierno en violación de la Cuarta Enmienda. El uso de herramientas de hackeo remoto por parte del FBI contra todos los visitantes a visitantes específicos de un sitio web que contiene material de explotación infantil, en particular, señala la necesidad de limitar la autoridad de hackeo para garantizar que cumplan con los requisitos de causa probable y particularidad de la Cuarta Enmienda.

Conclusión:

La policía y las agencias de inteligencia nunca deben tener acceso directo e irrestricto a los datos de las comunicaciones. Todo acceso a los datos de las comunicaciones debe estar prescrito por la ley mediante mandatos claros y precisos y estar sujeto a condiciones específicas, como que el acceso sea necesario para prevenir un delito grave; que se obtenga una autorización judicial independiente; que se proporcione una base fáctica para acceder a los datos; que el acceso esté sujeto a una supervisión independiente y efectiva, y que se notifique a los usuarios, especialmente en los casos de vigilancia secreta (aunque sea a posteriori). También creemos que cualquier marco legal para acceder a los datos de las comunicaciones debería incluir protecciones especiales para los datos de las comunicaciones de las organizaciones de la sociedad civil, similares a las que disfrutan los abogados y la prensa. De lo contrario, las protecciones del Estado de Derecho y de los derechos humanos fracasarán continuamente. El acceso sin restricciones a los datos de las comunicaciones o a cualquier dato personal a través del acceso directo a las redes, los programas maliciosos o los captadores de IMSI constituyen graves violaciones de los derechos humanos. En Schrems I, el Tribunal Europeo de Derechos Humanos dejó claro que los marcos jurídicos que conceden a las autoridades públicas el acceso a los datos de forma generalizada comprometen "la esencia del derecho fundamental a la vida privada", es decir, cualquier ley que comprometa la "esencia del derecho a la vida privada" no puede ser nunca proporcionada ni necesaria.

Related Issues

International Privacy Standards
Privacy
Necessary and Proportionate
Vigilancia de Estado & Derechos Humanos

Related Updates

UN Cybercrime Treaty - Civil Society Letter
Deeplinks Blog by Katitza Rodriguez | July 20, 2023

El primer borrador de la Convención de la ONU sobre Ciberdelincuencia elimina disposiciones preocupantes, pero un poder de vigilancia transfronteriza peligroso y sin límites sigue en la mesa

Esta es la primera parte de la serie de artículos de la EFF sobre la propuesta de Convención de las Naciones Unidas contra la Ciberdelincuencia. Lee la Parte II para profundizar en el Capítulo IV que trata de los poderes de vigilancia nacionales; y la Parte III...

Three upside down question marks
Deeplinks Blog by Veridiana Alimonti | May 12, 2023

Tras ocho años impulsando compromisos de los ISP en América Latina: Un balance de victorias y desafíos para la privacidad de los usuarios

Las empresas de telecomunicaciones latinoamericanas y españolas han realizado importantes avances en sus políticas y prácticas de privacidad, pero las lagunas persistentes y las tendencias preocupantes plantean riesgos potenciales para los usuarios de Internet y telefonía móvil, según un nuevo informe consolidado publicado hoy por la EFF. El informe...

Deeplinks Blog by Karen Gullo | April 14, 2023

Comunicado de prensa para Latinoamérica: La propuesta de tratado de la ONU sobre ciberdelincuencia carece de suficientes salvaguardias de derechos humanos, lo que agrava las amenazas a la privacidad y las libertades civiles en Latinoamérica

VIENA-El martes 18 de abril, a las 10:00 am hora del Pacífico (1:00 pm hora del Este), expertos de Electronic Frontier Foundation (EFF) y tres aliados latinoamericanos de derechos digitales informarán a los reporteros sobre las amenazas únicas a la privacidad que plantea la propuesta de Tratado sobre Delitos...

Press Release | April 14, 2023

Latam Media Briefing: Proposed UN Cybercrime Treaty Lacks Sufficient Human Rights Safeguards, Exacerbating Threats to Privacy and Civil Liberties in Latam

VIENNA—On Tuesday, April 18, at 10:00 am Pacific Time (1:00 pm Eastern Time), experts from Electronic Frontier Foundation (EFF) and three Latin American digital rights allies will brief reporters about the unique threats to privacy posed by the proposed UN Cybercrime Treaty, which could authorize the use of s...

Press Release | April 6, 2023

Media Briefing: Proposed UN Cybercrime Treaty Negotiations Headed in Troubling Direction, Sidestepping Human Rights Protections and Threatening Free Expression, EFF and Allies Warn

San Francisco—On Thursday, April 13, at 10:00 am Pacific Time (1:00 pm Eastern Time, 7 pm CEST), experts with Electronic Frontier Foundation (EFF) and four international allies will brief reporters on the grave threat to human rights posed by ongoing UN Cybercrime Treaty negotiations that could lead to broad surveillance...

students use books and tablets to hide from a spying eye
Deeplinks Blog by Karen Gullo | March 31, 2023

After Students Challenged Proctoring Software, French Court Slaps TestWe App With a Suspension

In a preliminary victory in the continuing fight against privacy-invasive software that “watches” students taking tests remotely, a French administrative court outside Paris suspended a university’s use of the e-proctoring platform TestWe, which monitors students through facial recognition and algorithmic analysis.TestWe software, much like Proctorio, Examsoft, and other...

multi-colored hands with circuit patterns reach to the sky
Deeplinks Blog by Karen Gullo, Tamir Israel | August 30, 2022

EFF Calls for Limiting Mandatory Cooperation, Safeguarding Human Rights in International Cybercrime Investigations as Talks Resume for Proposed UN Cybercrime Treaty

In a new round of talks this week to formulate a UN Cybercrime Treaty, EFF is calling for strictly limiting the scope of the convention’s international cooperation provisions and safeguards to ensure that states respect human rights when responding to legal assistance requests.EFF is among a group of...