La Electronic Frontier Foundation (EFF), European Digital Rights (EDRi) y otras 40 organizaciones de la sociedad civil han instado a la Asamblea del Parlamento y al Comité de Ministros del Consejo de Europa a que les concedan más tiempo para proporcionar el análisis y la información que tanto necesitan sobre el defectuoso tratado de vigilancia policial transfronteriza que su comité de ciberdelincuencia se apresuró a aprobar sin las debidas garantías de privacidad.

Los grupos de derechos digitales y humanos fueron en gran medida marginados y excluidos durante el proceso de redacción del Segundo Protocolo Adicional al Convenio de Budapest, un tratado internacional que establecerá procedimientos globales para que las fuerzas de seguridad de un país puedan acceder a los datos personales de los usuarios de las empresas tecnológicas de otros países. El Comité de Ciberdelincuencia del CdE (T-CY) -que supervisa el Convenio de Budapest- adoptó en 2017, cuando se iniciaron los trabajos del tratado de poderes policiales, unas normas internas que fomentaron un abanico más reducido de participantes para la redacción de este nuevo Protocolo.

El proceso ha sido en gran medida opaco, dirigido por funcionarios de seguridad pública y de las fuerzas del orden. Y las consultas periódicas del T-CY con la sociedad civil y el público han sido criticadas por su falta de detalle, sus cortos plazos de respuesta y el desconocimiento de las deliberaciones de los países sobre estos temas. El T-CY se apresuró a aprobar el texto el 28 de mayo, dando el visto bueno a unas disposiciones que ponen pocas limitaciones y proporcionan escasa supervisión sobre el acceso policial a los datos sensibles de los usuarios que tienen las empresas de Internet en todo el mundo.

El Protocolo se dirige ahora a la Comisión de Asuntos Jurídicos y Derechos Humanos de la Asamblea Parlamentaria del Consejo de Europa (PACE), que puede recomendar nuevas modificaciones. Esperamos que la PACE escuche las preocupaciones de la sociedad civil en materia de privacidad y emita un dictamen sobre la falta de garantías adecuadas de protección de datos.

En una carta, fechada el 31 de marzo, dirigida al Presidente de la PACE, Rik Daems, y al Presidente del Comité de Ministros, Péter Szijjártó, los grupos de defensa de los derechos digitales y de los derechos humanos afirmaron que es probable que el tratado se utilice ampliamente, con implicaciones de gran alcance para la seguridad y la privacidad de las personas en todo el mundo. Es imperativo que los derechos fundamentales garantizados en el Convenio Europeo de Derechos Humanos y en otros acuerdos no se eludan en favor del acceso de las fuerzas del orden a los datos de los usuarios, sin supervisión judicial ni fuertes protecciones de la privacidad. El plan del CoE es finalizar la adopción del Protocolo para noviembre y comenzar a aceptar las firmas de los países en algún momento antes de 2022.

Sabemos que el Consejo de Europa ha establecido altos estándares para su proceso de consulta y tiene un fuerte compromiso con la participación de las partes interesadas", dijeron la EFF y sus aliados en la carta. "La importancia de una divulgación significativa es aún más importante dado el alcance mundial del proyecto de Protocolo, y la inclusión prevista de muchas partes signatarias que no están obligadas por los instrumentos centrales de derechos humanos y protección de datos del Consejo."

En 2018, la EFF, junto con 93 organizaciones de la sociedad civil de todo el mundo, pidió al TC-Y que invitara a la sociedad civil como expertos en las reuniones plenarias de redacción, como es habitual en otras sesiones del Comité del Consejo de Europa. El objetivo era que los expertos escucharan las opiniones de los Estados miembros y se basaran en esos debates. Sin embargo, no pudimos trabajar para lograr este objetivo, ya que no se nos invitó a observar el proceso de redacción. Aunque la EFF ha participado en todas las consultas públicas del proceso del TC-Y desde nuestra carta de coalición de 2018, el nivel de participación permitido no ha cumplido con los principios significativos de transparencia, inclusión y responsabilidad de las múltiples partes interesadas. Como Tamir Israel (CIPPIC) y Katitza Rodríguez (EFF) señalaron en su análisis del Protocolo:

Con la escasa incorporación de las aportaciones de la sociedad civil, quizá no sorprenda que el Protocolo final dé prioridad a las cuestiones relacionadas con la aplicación de la ley, mientras que las protecciones de los derechos humanos y las salvaguardias de la privacidad siguen siendo en gran medida una idea tardía. En lugar de intentar elevar las protecciones globales de la privacidad, las salvaguardias centrales del Protocolo son en gran medida opcionales en un intento de acomodar a los países que carecen de protecciones adecuadas. Como resultado, el Protocolo fomenta la armonización de las normas mundiales al mínimo común denominador, debilitando el derecho de todos a la privacidad y a la libertad de expresión.

El texto completo de la carta:

Re: Garantizar una consulta significativa en las negociaciones sobre la ciberdelincuencia

Nosotros, los individuos y organizaciones abajo firmantes, escribimos para pedir una oportunidad significativa para dar al proyecto final de texto del segundo protocolo adicional propuesto al Convenio 185, el Convenio de Budapest sobre la Ciberdelincuencia, la consideración completa y detallada que merece. Concretamente, le pedimos que ofrezca a las partes interesadas externas más oportunidades para comentar los cambios significativos introducidos en el texto en vísperas de la ronda de consulta final que termina el 6 de mayo de 2021.

El Segundo Protocolo Adicional pretende normalizar el acceso transfronterizo de las autoridades policiales a los datos personales electrónicos. Aunque en las Naciones Unidas y en la OCDE se están llevando a cabo iniciativas similares, el proyecto de Protocolo tiene el potencial de convertirse en la norma mundial para dicho acceso transfronterizo, sobre todo debido al gran número de Estados que ya han ratificado el Convenio principal. En estas circunstancias, es imperativo que el Protocolo establezca normas adecuadas para la protección de los derechos fundamentales.

Además, la iniciativa llega en un momento en que incluso las investigaciones penales rutinarias incluyen cada vez más elementos de investigación transfronterizos y, en consecuencia, es probable que el protocolo se utilice ampliamente. Por lo tanto, el protocolo adquiere una gran importancia a la hora de establecer normas internacionales, y es probable que se utilice ampliamente, con implicaciones de gran alcance para la privacidad y los derechos humanos en todo el mundo. Es importante que sus términos se consideren cuidadosamente y garanticen un equilibrio proporcionado entre el objetivo de asegurar o recuperar los datos a efectos de aplicación de la ley y la protección de los derechos fundamentales garantizados en el Convenio Europeo de Derechos Humanos y en otros instrumentos nacionales e internacionales pertinentes.

Dada la importancia de esta iniciativa, muchos de nosotros hemos seguido de cerca este proceso y hemos participado activamente, incluso en la Conferencia Octopus de Estrasburgo en noviembre de 2019 y en la última ronda de consultas que finalizó el 6 de mayo de 2021.

Aunque muchos de nosotros pudimos comprometernos de forma significativa con el texto tal y como estaba en rondas de consulta anteriores, es significativo que estas primeras iteraciones del texto estaban incompletas y carecían de disposiciones para proteger la privacidad de los datos personales. De hecho, el texto completo del proyecto de Protocolo no estuvo disponible públicamente antes del 12 de abril de 2021. El proyecto de texto completo introduce una serie de alteraciones significativas, entre las que destaca la inclusión del artículo 14, que añade por primera vez propuestas de normas mínimas para la privacidad y la protección de datos. Aunque se notificó previamente a las partes interesadas externas que estas disposiciones se estaban estudiando activamente y que se publicarían a su debido tiempo, la publicación del proyecto revisado el 12 de abril ofreció la primera oportunidad de examinar estas disposiciones y considerar otros elementos del Protocolo a la luz de estas protecciones prometidas.

Nos ha complacido especialmente la adición del artículo 14, y acogemos con satisfacción su importante intención subyacente de equilibrar los objetivos de aplicación de la ley con los derechos fundamentales. Sin embargo, la forma de hacerlo es necesariamente compleja e intrincada, e incluso en un examen preliminar superficial, es evidente que hay elementos del artículo que requieren un examen cuidadoso y reflexivo, a la luz del cual podrían ser susceptibles de mejora¹.

Como han señalado varias partes interesadas,² el último (y último) plazo de consulta fue demasiado corto. Es esencial que se conceda un tiempo adecuado para permitir un análisis significativo de esta disposición y que todas las partes interesadas tengan la oportunidad de hacer comentarios. Creemos que este compromiso continuado sólo puede servir para mejorar el texto.

La introducción del artículo 14 es especialmente detallada y transformadora por su impacto en la totalidad del proyecto de Protocolo. Teniendo en cuenta los múltiples sistemas nacionales que pueden verse afectados por el proyecto de Protocolo, ha resultado extremadamente difícil para los grupos de la sociedad civil, las autoridades de protección de datos y una amplia gama de otros expertos interesados proporcionar información significativa sobre este conjunto de salvaguardias tan esperado dentro del plazo de comentarios.

Las lagunas del informe explicativo que acompaña al proyecto de Protocolo complican aún más nuestro análisis. Reconocemos que el Informe Explicativo podría seguir evolucionando, incluso después de que el propio Protocolo esté finalizado, pero la ausencia de elaboración de una disposición fundamental como el artículo 14 plantea desafíos para nuestra comprensión de sus implicaciones y nuestra capacidad resultante para participar de manera significativa en este importante proceso de tratado.

Sabemos que el Consejo de Europa ha establecido altos estándares para su proceso consultivo y tiene un fuerte compromiso con la participación de las partes interesadas. La importancia de una divulgación significativa es aún mayor dado el alcance mundial del proyecto de Protocolo y la inclusión prevista de muchas partes signatarias que no están vinculadas por los instrumentos centrales de derechos humanos y de protección de datos del Consejo. Los desajustes entre el artículo 14 y los marcos jurídicos existentes en materia de protección de datos, como el Convenio 108/108+, exigen igualmente un examen minucioso para que se comprendan plenamente sus implicaciones.

En estas circunstancias, prevemos que el Consejo querrá conceder la máxima prioridad a garantizar que los derechos fundamentales queden adecuadamente salvaguardados y que el proceso de consulta sea lo suficientemente sólido como para infundir la confianza del público en el Protocolo en toda la miríada de jurisdicciones que van a considerar su adopción. Por supuesto, el Consejo será consciente de que estos objetivos no pueden alcanzarse sin una aportación significativa de las partes interesadas.

Estamos deseosos de ayudar al Consejo en este proceso. A este respecto, un compromiso constructivo de las partes interesadas requiere una oportunidad adecuada para evaluar plenamente el proyecto de protocolo en su totalidad, incluidos los numerosos y amplios cambios introducidos en abril de 2021. Anticipamos que el Consejo compartirá esta preocupación, y para ello sugerimos respetuosamente que el texto propuesto (incluido un informe explicativo completo) se difunda ampliamente y que se establezca un período mínimo de 45 días para que las partes interesadas presenten sus comentarios.

Somos conscientes de que el Comité T-CY esperaba una conclusión inminente del proceso de redacción. Dicho esto, añadir unos meses a un proceso de tratado que ya ha durado varios años de redacción interna es necesario y proporcionado, sobre todo cuando los beneficios de hacerlo incluirán la mejora de la responsabilidad pública y la legitimidad, un marco más eficaz para equilibrar los objetivos de aplicación de la ley con los derechos fundamentales, y un texto finalizado que refleje la aportación considerada de la sociedad civil.

Estamos deseando seguir colaborando con el Consejo en este asunto y en otros futuros.

Con un saludo,

1. Electronic Frontier Foundation (internacional)

2. Derechos digitales europeos (Unión Europea)

3. Consejo de Colegios de Abogados de Europa (CCBE) (Unión Europea)

4. Acceda ahora (internacional)

5. ARTÍCULO19 (Global)

6. ARTÍCULO19 Brasil y Sudamérica

7. Asociación para el Progreso de las Comunicaciones (APC)

8. Asociación de Tecnología, Educación, Desarrollo, Investigación y Comunicación - TEDIC (Paraguay)

9. Asociación Colombiana de Usuarios de Internet (Colombia)

10. Asociación por los Derechos Civiles (ADC) (Argentina)

11. Asociación de Libertades Civiles de la Columbia Británica (Canadá)

12. Chaos Computer Club e.V. (Alemania)

13. Fideicomiso de Desarrollo de Contenidos y Propiedad Intelectual (CODE-IP) (Kenia)

14. net (Suecia)

15. Derechos Digitales (Latinoamérica)

16. Digitale Gesellschaft (Alemania)

17. Digital Rights Ireland (Irlanda)

18. Danilo Doneda, Director de Cedis/IDP y miembro del Consejo Nacional de Protección de Datos y Privacidad (Brasil)

19. Electronic Frontier Finland (Finlandia)

20. works (Austria)

21. Fundación Acceso (Centroamérica)

22. Fundación Karisma (Colombia)

23. Fundación Huaira (Ecuador)

24. Fundación InternetBolivia.org (Bolivia)

25. Hiperderecho (Perú)

26. Homo Digitalis (Grecia)

27. Human Rights Watch (internacional)

28. Instituto Panameño de Derecho y Nuevas Tecnologías - IPANDETEC (Centroamérica)

29. Instituto Beta: Internet e Democracia - IBIDEM (Brasil)

30. Instituto de Tecnología y Sociedad - ITS Río (Brasil)

31. Grupo Internacional de Vigilancia de las Libertades Civiles (ICLMG)

32. Iuridicium Remedium z.s. (República Checa)

33. IT-Pol Dinamarca (Dinamarca)

34. Douwe Korff, profesor emérito de Derecho Internacional, Universidad Metropolitana de Londres

35. Laboratório de Políticas Públicas e Internet - LAPIN (Brasil)

36. Laura Schertel Mendes, profesora de la Universidad de Brasilia y directora de Cedis/IDP (Brasil)

37. Open Net Korea (Corea)

38. OpenMedia (Canadá)

39. Privacidad Internacional (internacional)

40. R3D: Red en Defensa de los Derechos Digitales (México)

41. Samuelson-Glushko Clínica Canadiense de Política de Internet e Interés Público - CIPPIC (Canadá)

42. Usuarios Digitales (Ecuador)

43. org (Países Bajos)

44. Xnet (España)

1 Véase, por ejemplo, Access Now, comentarios sobre el proyecto de 2º Protocolo Adicional al Convenio de Budapest sobre Ciberdelincuencia, disponible en: https://rm.coe.int/0900001680a25783; EDPB, contribución a la 6ª ronda de consultas sobre el proyecto de 2º Protocolo Adicional al Convenio de Budapest del Consejo de Europa sobre Ciberdelincuencia, disponible en: https://edpb.europa.eu/system/files/2021-05/edpb_contribution052021_6throundconsultations_budapestconvention_en.pdf.

2 Alessandra Pierucci, correspondencia a la Sra. Chloé Berthélémy, de fecha 17 de mayo de 2021; Comité Consultivo del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, Dirección General de Derechos Humanos y Estado de Derecho, Dictamen sobre el Proyecto de Segundo Protocolo Adicional, 7 de mayo de 2021, https://rm.coe.int/opinion-of-the-committee-of-convention-108-on-the-draft-second-additio/1680a26489; EDPB, véase la nota 1; Carta conjunta de la sociedad civil, 2 de mayo: disponible en https://edri.org/wp-content/uploads/2021/05/20210420_LetterCoECyberCrimeProtocol_6thRound.pdf.