El Consejo de Europa (CoE) está el Segundo Protocolo Adicional al Convenio de Budapest sobre la Ciberdelincuencia, que establecerá nuevas normas internacionales invasivas para el acceso de las fuerzas de seguridad a los datos de los usuarios y la cooperación entre los Estados que realizan investigaciones penales. En nuestra a la Asamblea Parlamentaria del Consejo de Europa, enmiendas para preservar el objetivo del Protocolo -facilitar investigaciones transfronterizas eficientes y oportunas entre países con sistemas jurídicos diferentes- al tiempo que se incorpora una línea de base muy necesaria para salvaguardar los derechos humanos. En este post, el segundo de una serie sobre nuestras recomendaciones, examinamos cómo el texto actual del Protocolo amenaza los derechos de privacidad en América Latina, una región con mayores desafíos para cumplir con las salvaguardas de los derechos humanos y el estado de derecho en comparación con muchos países europeos.
El artículo 7 del Protocolo es una de las disposiciones más problemáticas, ya que plantea problemas de privacidad en relación con el acceso transfronterizo de la policía a los datos de los abonados. Como , el artículo 7 establece procedimientos para que las fuerzas de seguridad de un país soliciten el acceso a los datos de los abonados directamente a los proveedores de servicios ubicados en otro país con arreglo a las normas jurídicas del país solicitante. Esto puede crear asimetrías injustificables en la legislación nacional al aplicar a las autoridades extranjeras una base jurídica más permisiva y menos protectora de la privacidad para acceder a los datos de los abonados que la que se concede a las fuerzas de seguridad locales en virtud de su propia legislación local.
El artículo 7 se centra en autorizar el acceso de la policía a los datos de los abonados. ¿Por qué son importantes los datos de los abonados? Su dirección IP puede indicar a las autoridades qué sitios web visita y con quién se comunica. Puede revelar identidades en línea que de otro modo serían anónimas, sus contactos en las redes sociales e incluso, a veces, su ubicación física a través del GPS. La policía puede solicitar su nombre, los datos de abonado para vincular su identidad a su actividad en línea, y eso puede utilizarse para crear un perfil policial muy detallado de sus hábitos diarios .
Cuándo y cómo las normas de cooperación directa policial transfronteriza afectarán perniciosamente a los países latinoamericanos
Vemos al menos dos posibles escenarios de lo pernicioso que podría ser el artículo 7 en los marcos de Latam para el acceso legal a los datos de las comunicaciones en las investigaciones penales. En primer lugar, esta disposición puede servir de influencia para nivelar a la baja los estándares en la región para acceder a la información de los abonados (y desvelar la identidad de un usuario). En segundo lugar, puede exportar potencialmente a nivel mundial una definición más amplia de lo que constituye la "información de los abonados", ampliando las categorías de datos de comunicaciones abarcadas por una norma de protección de tercera clase. En definitiva, el artículo 7 contiene graves defectos que deben ser corregidos antes de que pueda servir como un modelo sólido de protección de derechos a seguir y respaldar.
Con la adopción final del proyecto de Protocolo por parte del CdE, los países de América Latina que ya son parte del podrán ratificar o adherirse al Segundo Protocolo. Hasta la fecha, esos países son Argentina, Chile, Costa Rica, Colombia, República Dominicana, Panamá, Paraguay y Perú. Brasil y México fueron invitados a ser partes y actualmente actúan como observadores. El Convenio de Budapest, el primer tratado internacional que aborda los delitos informáticos y de Internet mediante la armonización de las leyes nacionales y el aumento de la cooperación entre las naciones, ha sido influyente en la región, actuando como modelo para la regulación de la ciberdelincuencia y la producción de pruebas electrónicas, incluso para los países que no son parte del Convenio. Como muchas autoridades policiales quieren tener acceso a posibles pruebas electrónicas a través de las fronteras, es probable que los países latinoamericanos busquen la adhesión al Protocolo por sus normas de cooperación. Pero si el texto final se aprueba sin nuestras enmiendas recomendadas, el Protocolo alentará a las Partes a reforzar las normas de privacidad más débiles que ya están en vigor en diferentes países de Latam, en lugar de fomentar una tendencia creciente en otras naciones de la región donde las leyes nacionales o las sentencias judiciales han proporcionado una mayor protección de los derechos humanos.
Esto se debe a otro mandato preocupante del artículo 7: en los países con leyes que impiden a los proveedores de servicios responder voluntariamente a las solicitudes de datos de los abonados sin las salvaguardias adecuadas -como un requisito de motivo razonable y/o una orden judicial- el artículo 7 exige que se eliminen estos "impedimentos" legales para las solicitudes transfronterizas. Los países con normas más estrictas pueden reservarse el derecho a no cumplir el artículo 7, pero sólo en el momento de la firma/ratificación/aprobación, y no en una fase posterior. Esto significa que, en el futuro, las Partes se verán atascadas con los defectos inherentes al artículo 7 y no podrán designar el artículo 8 -otra disposición ligeramente más protectora de la privacidad en el Protocolo para obtener datos a través de las fronteras- como el único medio para acceder a algunos o todos los tipos de datos de los abonados, incluso si sus sistemas legales, debido a nuevas leyes o decisiones judiciales, reconocen finalmente salvaguardias adicionales para la información de los abonados.
Además, aunque el Protocolo estipula importantes salvaguardias para la protección de datos, su texto actual contiene disposiciones que permitirán a los Estados parte eludirlas (como explicaremos con más detalle en el tercer post de esta serie).
Nivelando a la baja la protección de la información de los abonados
Los países de la región han adoptado de garantías de privacidad en las investigaciones penales. El de cuenta con buenas normas, al menos en el papel, que exigen la autorización judicial para revelar datos de comunicaciones almacenados, incluida la información de los abonados, y exigen que las autoridades especifiquen los objetivos y los periodos de tiempo, así como que justifiquen la necesidad de la información buscada. En de acceder a los datos de los usuarios de Internet (dados cadastrais, en portugués), las autoridades con poder legal expreso para acceder a la información de los abonados no están obligadas a obtener una orden judicial para acceder a los datos. Las solicitudes directas de las autoridades a los proveedores de servicios la base legal explícita de la solicitud y deben especificar las personas cuya información se busca (están prohibidas las solicitudes colectivas genéricas y no específicas).
Pero los organismos policiales brasileños que las solicitudes directas sólo están autorizadas para ciertos casos legalmente especificados y presionan para que se interpreten sus poderes de forma más amplia. La Asociación Nacional de Proveedores de Servicios Móviles (ACEL) acudió para afirmar que los usuarios tienen protección constitucional de la privacidad cuando el gobierno solicita datos de comunicaciones, incluida la información de los abonados. Pero con el caso aún pendiente en los tribunales, una del Código de Procedimiento Penal del país pretende ponerse del lado de las fuerzas del orden autorizando de forma general a la policía y a los fiscales a solicitar directamente los datos de los abonados a los proveedores de servicios.
Este impulso para permitir que los agentes de la ley accedan a los datos de los abonados sin una orden judicial previa refleja las malas prácticas adoptadas en algunos países latinoamericanos como , y Colombia. En , una simple resolución administrativa que los proveedores de servicios de telecomunicaciones deben permitir a las autoridades conectarse remotamente con sus sistemas para obtener información de los usuarios. Otros países, como , no tienen normas legales ni jurisprudencia que aborden específicamente el acceso de las fuerzas de seguridad a la información de los abonados.
Las normas del artículo 7 del Protocolo para la cooperación directa de los proveedores de servicios con las fuerzas del orden se ajustan a las normas de privacidad más débiles de la región. También obstaculiza los compromisos de mejores prácticas de las empresas para interpretar las leyes locales de manera que proporcionen la mayor protección de la privacidad para los usuarios. En colaboración con la EFF, los principales grupos de derechos digitales de América Latina y España han presionado a las empresas para que asuman mayores compromisos en este sentido. Las evaluaciones de , inspiradas en el proyecto "Who Has Your Back" de la EFF, han animado a las empresas a mejorar sus prácticas de privacidad en los últimos años, demostrando que las leyes locales de privacidad deberían ser el suelo, y no el techo, de los esfuerzos de las empresas para apoyar los derechos fundamentales de los usuarios.
Por ejemplo, los ISP chilenos han adoptado las mejores prácticas para exigir una orden judicial antes de entregar la información de los usuarios (véanse las directrices de aplicación de la ley de y ) y para cumplir únicamente con las solicitudes individualizadas de datos personales (además de Claro, véanse las directrices de ). La ley chilena no crea explícitamente una distinción artificial entre los diferentes tipos de datos de comunicaciones, pero en cambio el Código Procesal Penal del país permite un estándar más protector al requerir una orden judicial previa en todos los procedimientos que afecten, priven o restrinjan los derechos constitucionales de privacidad de un acusado o un tercero. Desde 2017, los "Quién defiende tus datos" han pedido a las empresas chilenas que se comprometan con la interpretación más protectora de las relativas a la divulgación de datos de comunicaciones, incluidos los datos de los abonados.
A principios de 2020, la Fiscalía de Chile trató de obtener todos los números de teléfonos móviles que se habían conectado a las antenas de las estaciones de metro de Santiago, donde los incendios marcaron el inicio de la país. Con la obtención de los números de teléfonos móviles se podría identificar a sus propietarios. La mayoría de los proveedores de servicios de Internet la petición directa de la fiscalía sin un examen judicial. Este caso es una clara demostración de cómo la información de los abonados, que desvela la identidad de un usuario vinculada a actividades concretas, puede proporcionar detalles sensibles de la vida cotidiana de las personas.
En nuestra presentación, recomendamos eliminar el artículo 7, ya que erosiona las normas de privacidad incluso cuando ya existen protecciones adecuadas. Esta enmienda permitiría que el artículo 8, mencionado anteriormente, se convirtiera en la base jurídica principal por la que se accede a los datos de los abonados en contextos transfronterizos. El artículo 8 autoriza a la autoridad solicitante a presentar una orden de exhibición a la autoridad nacional receptora para que ésta pueda obligar a los proveedores de servicios locales a exhibir los datos de los abonados almacenados y los "datos de tráfico". Aunque el artículo 8 también podría beneficiarse de salvaguardias adicionales, como el establecimiento de una norma de autorización judicial previa, proporciona protecciones más sólidas que el artículo 7. El artículo 8 requiere la participación de las autoridades nacionales de la Parte receptora que pueden, aplicando las normas contenidas en sus propias leyes nacionales, obligar a presentar los datos de los abonados al proveedor de servicios local situado en su territorio.
Ampliación del alcance de la protección de tercera clase a los datos de los abonados
Hemos la protección de "segunda clase" que todavía se concede a los metadatos en la región. Las leyes de Latinoamérica suelen tratar los metadatos como menos dignos de protección en comparación con el contenido de una comunicación. El Convenio de Budapest siempre ha promovido la distinción entre "datos de tráfico" (equivalentes a los "metadatos") e "información del abonado", y los define por separado. El Protocolo utiliza esta distinción para incorporar un menor nivel de protección a la información del abonado en el contexto de las solicitudes transfronterizas. Sin embargo, tal y como , estas categorías formalistas de "contenido", "información del abonado" o "metadatos" ya no son adecuadas para medir el grado de intrusión de la vigilancia de las comunicaciones en la vida privada y las asociaciones de las personas. Aunque hace tiempo que se ha acordado que el contenido de las comunicaciones merece una protección significativa en la ley debido a su capacidad para revelar información sensible, ahora está claro que otra información que surge de las comunicaciones, incluidos los datos de los abonados y los metadatos, puede revelar aspectos profundamente sensibles sobre un individuo y, por tanto, merece una protección igualmente sólida.
Lamentablemente, la Convenio de la , que incluye las direcciones IP, agrava el del dándole un tratamiento de tercera clase.
Esta definición va más allá, por ejemplo, de la de los datos de los abonados (dados cadastrais). De hecho, las direcciones IP se consideran parte de los registros de conexión y aplicación, que sólo se revelan mediante una autorización judicial previa, sin la excepción de las solicitudes directas, mencionada anteriormente, que puede aplicarse a los datos de los abonados. Como subraya el Informe Explicativo del Protocolo, la información relacionada con la dirección IP y otros números de acceso puede ser tratada como datos de tráfico en algunos países, razón por la cual el Segundo Protocolo Adicional (Artículo 7, párrafo 9.b) permite a las Partes reservarse el derecho de no aplicar el Artículo 7 a ciertos tipos de números de acceso.
Sin embargo, la reserva del artículo 7, párrafo 7.9.b, sólo es posible cuando la divulgación de esos números de acceso a través de la cooperación transfronteriza directa "sea incompatible con los principios fundamentales de [el] sistema jurídico nacional". Pero en muchos sistemas jurídicos de Latinoamérica, el control judicial y/o la presencia de motivos razonables para los datos de las comunicaciones no están claramente explicados. A menudo se basan en una legislación que no distingue claramente los tipos de información, en una jurisprudencia que sólo las comunicaciones telefónicas o en interpretaciones protectoras fomentadas por las mejores prácticas de las empresas. Esta situación no sólo podría obstaculizar el uso de la cláusula de reserva, cuando los países acaben firmando el Protocolo, sino que también podría funcionar como una herramienta para difundir un entendimiento general del alcance de la "información del abonado", convenientemente servido con normas de protección de tercera clase.
Conclusión:
En la que ha afirmado la protección de datos como un derecho fundamental bajo la Constitución del país, los jueces del Tribunal Supremo de Brasil señalaron cómo los cambios en nuestro panorama tecnológico exigen un tratamiento más cauteloso de la información de los abonados. La jueza Rosa Weber recordó las guías telefónicas públicas que contenían los nombres, números de teléfono y direcciones de las personas, afirmando que "lo que se podía hacer a partir de la publicación de esos datos personales [hace unas décadas] no es comparable con lo que se puede hacer en el nivel tecnológico actual, en el que potentes tecnologías de procesamiento de datos, cruce de datos y filtrado permiten la formación de perfiles individuales extremadamente detallados". Mencionando también las guías telefónicas públicas, la jueza Cármen Lúcia llegó a decir que "¡este mundo se ha acabado!", refiriéndose a cómo la información personal puede ahora reunirse y analizarse para revelar detalles de nuestra vida personal.
El artículo 7 del Segundo Protocolo está muy desfasado con respecto a la realidad de cómo la tecnología actual puede utilizarse para amenazar la intimidad, basándose en un supuesto anticuado e incorrecto, presentado en , de que la información de los abonados "no permite sacar conclusiones precisas sobre la vida privada y cotidiana de las personas afectadas".
Esperamos que la Asamblea Parlamentaria del CdE elimine el artículo 7 en su totalidad del texto del Protocolo, permitiendo que el artículo 8 constituya la base principal por la que se divulga la información de los usuarios en contextos transfronterizos. Esto permitiría que la cooperación transfronteriza en el acceso a la información privada de las personas se alinee adecuadamente con los avances en la protección de la privacidad que se realizan en la legislación nacional. Esto ayudará a evitar la deriva hacia una protección de tercera clase para la información del usuario que puede revelar la identidad de las personas y vincularlas a actividades específicas en línea. Por otra parte, si la Asamblea Parlamentaria mantiene el artículo 7, debe modificarse para evitar que los esfuerzos extranjeros eludan las salvaguardias nacionales al tratar de acceder a los datos de los usuarios.
Lee más sobre este tema:
Convenio global sobre las fuerzas policiales debilita la privacidad y los derechos humanos
