Esta es la quinta parte de la serie de artículos de la EFF sobre la propuesta de Convenio de las Naciones Unidas sobre la Ciberdelincuencia. Lee la Parte I para conocer los pormenores del borrador cero; la Parte II para profundizar en el Capítulo IV, que trata de los poderes de vigilancia nacionales; la Parte III para profundizar en el Capítulo V, relativo a la cooperación internacional: el contexto histórico, el enfoque del borrador cero, el alcance de la cooperación y la protección de los datos personales, y la Parte IV, que trata de la criminalización de la investigación en materia de seguridad.
En el corazón de Nueva York se está produciendo un momento decisivo para la protección de los usuarios contra la vigilancia gubernamental sin restricciones, en la sexta sesión de las negociaciones para formular la Convención de las Naciones Unidas sobre la Ciberdelincuencia. Los delegados de los Estados miembros se han reunido en la sede de la ONU para mantener conversaciones esta semana y la próxima, que darán forma a los derechos digitales y a un juicio justo de miles de millones de personas. La EFF y sus aliados participarán activamente en las conversaciones, ejerciendo presión y realizando presentaciones. A pesar de las reiteradas objeciones de la sociedad civil, el borrador cero de la Convención se parece cada vez menos a un tratado sobre ciberdelincuencia y más a un amplio pacto mundial de vigilancia.
Durante los próximos 10 días, más de 145 representantes de los Estados miembros de las Naciones Unidas invertirán 60 horas en deliberaciones, con el objetivo de alcanzar un consenso sobre la mayoría de las disposiciones. En las reuniones paralelas, denominadas "informales", se abordarán las cuestiones más polémicas. Estas reuniones suelen estar cerradas a la sociedad civil y a otras partes interesadas, con lo que se eluden importantes aportaciones de los defensores de los derechos humanos y digitales sobre interpretaciones cruciales del texto del proyecto de tratado. El resultado de estos debates podría dar forma a las competencias y definiciones más controvertidas del tratado, lo que subraya la urgencia de una observación multilateral. Es fundamental que los Estados permitan a los observadores externos participar en estas reuniones informales durante las próximas dos semanas.
Los siguientes artículos del borrador cero, publicado en junio, son el centro de nuestras principales preocupaciones sobre el capítulo V, que trata de la vigilancia transfronteriza y de la medida en que los Estados miembros deben ayudarse mutuamente y colaborar en la vigilancia de los demás. También nos ocuparemos de otros artículos (24 y 17) del tratado propuesto, ya que son relevantes para el capítulo de cooperación internacional en materia de vigilancia.
Artículo 24: Las condiciones y salvaguardias deben aplicarse de forma coherente en todo el capítulo de cooperación internacional. Un borrador anterior reconocía la importancia de las condiciones y salvaguardias tanto en las medidas procesales penales como en los capítulos de cooperación internacional. Aunque el artículo 24, que exige salvaguardias de los derechos humanos como el respeto del principio de proporcionalidad y la necesidad de revisión judicial, podría reforzarse, es una disposición importante. Pero el borrador cero curiosamente restringe el ámbito de aplicación del artículo 24 a las medidas procesales penales, lo que significa que la cooperación internacional no está sujeta en absoluto a sus importantes condiciones y salvaguardias. El artículo 36, que trata de la protección de datos personales, impone algunas restricciones adicionales al tratamiento de datos personales, pero no incluye estos requisitos centrales.
Esto resulta especialmente problemático cuando las leyes y prácticas nacionales de los Estados son incompatibles con la legislación internacional sobre derechos humanos, como ocurre con demasiada frecuencia. Dada la sensibilidad de la cooperación internacional para la vigilancia y los riesgos inminentes de abusos de los derechos humanos, esta falta de salvaguardias es desconcertante. Resulta bastante irónico: Los Estados están obligados a respetar el artículo 24 en su territorio, pero dudan en garantizar el mismo nivel mínimo de protección en las colaboraciones internacionales. Sin duda, para una cooperación plena entre los Estados miembros, no deberían ser negociables unas salvaguardias mínimas sólidas en el capítulo del espionaje transfronterizo.
Artículo 2. Definiciones Las definiciones importan. Los Estados deben dar prioridad a la claridad en sus definiciones. El borrador cero del convenio utiliza términos amplios para los tipos de información que los Estados pueden revelar o solicitar en nombre de los demás. Aunque el Artículo 2 "Definiciones" detalla algunas categorías como "datos de tráfico", "contenido", "información del abonado" y "datos personales", no menciona términos clave como "datos" e "información", lo que podría allanar el camino para el uso indebido de datos sensibles o el acceso indiscriminado a bases de datos masivas (véase el análisis del Artículo 19)[1] Sin una aclaración explícita, hay margen para interpretar que estos términos podrían incluir datos personales y conducir al uso de datos personales sensibles sin salvaguardias.
En aras de la claridad y para evitar disputas posteriores al tratado, es imperativo que el proyecto de convenio deje de utilizar un lenguaje amplio al referirse a "datos" o "información" en sus disposiciones. Necesita definiciones inequívocas de los términos clave que utiliza y debe garantizar que no autoriza ningún tratamiento de datos personales enmascarado como "información" o "datos" sin las salvaguardias adecuadas.
Curiosamente, mientras que los "datos personales" tienen una definición clara en el artículo 2, el ámbito político internacional sigue lidiando con la categorización y los niveles de protección de las inferencias extraídas de los datos personales. La ambigüedad se cierne: ¿podrían los "datos" o la "información" abarcar potencialmente inferencias derivadas de fuentes biométricas, patrones de datos de tráfico o incluso contenido directo de comunicaciones conservadas en grandes bases de datos? ¿Cuál es el nivel de protección de esos datos?
Estos intrincados matices no han llegado a las discusiones plenarias. Y no está claro si estos diálogos fundamentales tendrán lugar a puerta cerrada y eludirán el escrutinio público o simplemente serán impulsados y comprendidos por unos pocos Estados, dejando a los demás a ciegas. Corresponde a los redactores aportar claridad a estas definiciones. Ya sea por error o a propósito, llevar estos términos al discurso público para una definición exhaustiva no sólo es oportuno, sino también urgente.
Artículos 35: Sigue sin haber un consenso claro sobre el alcance del capítulo de cooperación internacional. El borrador cero parece centrarse principalmente en los ciberdelitos descritos en los artículos 6 a 16. Sin embargo, el Artículo 35 amplía el alcance de la cooperación internacional para abarcar las pruebas electrónicas relacionadas con cualquier delito grave actual o futuro. Para garantizar que este Convenio siga centrándose en la investigación de los ciberdelitos y no se convierta en un vehículo para investigar todos y cada uno de los delitos, el Artículo 35 debería limitarse a la cooperación global en los delitos establecidos en los Artículos 6-16.
Artículo 35: La doble incriminación obligatoria debe ser la norma para la cooperación transfronteriza. El artículo 35 trata el principio de doble incriminación -según el cual un delito debe serlo en los dos países que cooperan para que se exija la cooperación en la investigación- como opcional. Este principio es vital para salvaguardar las libertades y garantizar que los países no se vean obligados a llevar a cabo investigaciones intrusivas de actividades que ni siquiera son delitos en su jurisdicción. El borrador cero debería hacer obligatoria la doble incriminación para defender las normas internacionales de derechos humanos.
Artículo 36: ¿Autorización de la vigilancia transfronteriza masiva? Dado que el artículo 36 no se limita a investigaciones o procedimientos "específicos", también abre la puerta al intercambio indiscriminado o masivo de información con fines de extracción de datos. Limitar el artículo 36 a investigaciones "específicas"[2] garantizaría que los poderes policiales se utilicen únicamente en casos individuales relativos a sospechosos concretos, en lugar de autorizar el intercambio generalizado de información.
Artículo 36, apartado 1: Protección de datos personales. El artículo 36(1) del borrador cero detalla las condiciones para las transferencias internacionales de datos. Su redacción actual es ambigua, sugiriendo el cumplimiento del "derecho internacional aplicable". Esto debería refinarse explícitamente a "derecho internacional de los derechos humanos" para enfatizar la importancia de las normas de protección de datos basadas en los derechos humanos. La protección de los datos personales es un derecho humano y a veces se aborda erróneamente de forma más permisiva en la legislación comercial. Además, junto con Privacy International, pedimos que se siguiera modificando este artículo para garantizar que se incluyeran los principios de tratamiento lícito y justo, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del almacenamiento, integridad y confidencialidad, y rendición de cuentas. Estos principios de protección de datos deben ajustarse a las normas internacionales vigentes en materia de derechos humanos.
Artículo 40.1: Limitar el alcance de la asistencia judicial mutua (ALM). El artículo 40(1) del borrador cero abarca claramente los principales ciberdelitos definidos en los artículos 6-16 del tratado. Sin embargo, se extiende más allá de eso a todos los delitos graves, definidos como aquellos punibles con una privación de libertad máxima de al menos cuatro años. Aunque el Artículo 40(1) insta a los Estados Partes a prestarse mutuamente "la más amplia asistencia", es imperativo que el alcance de esta cooperación no incluya la cooperación obligatoria con investigaciones sobre disposiciones nacionales draconianas.
Artículos 40(3) y (4): Poder general en la MLA. El artículo 40(3) permite a los Estados emprender una serie de acciones de vigilancia intrusiva mutua, incluida la recopilación de datos de tráfico en tiempo real, la interceptación de datos de contenido y las acciones relacionadas con "datos" en un sistema informático, lo que incluye la búsqueda, la incautación y la divulgación. Incluso si la información se define de modo que excluya, por ejemplo, los datos personales, las solicitudes de asistencia judicial recíproca en virtud del artículo 40(3)(h) pueden abarcar fines como el suministro de información, "elementos de prueba" (que es al menos tan intrusivo como la "información", independientemente de cómo se defina esta última).
Además, el artículo 40.4 permite a la autoridad competente de un Estado compartir proactivamente información relacionada con asuntos penales sin una solicitud inicial si se considera beneficioso para los procesos penales de otro Estado. Dicha "información" (que aún no está definida) incluye probablemente datos personales y podría abarcar resultados de escuchas telefónicas, escaneos de dispositivos o incluso pistas de investigación indirectas. Nada en la disposición limita el alcance ni especifica los objetivos de la información compartida. La amplitud de lo que puede compartirse, por el mero hecho de su posible utilidad para la aplicación de la ley en otro país, exige directrices y controles estrictos para garantizar que no se abusa o se hace un uso indebido de esta facultad.
Artículo 40(6) y (7): Por qué los principios de ALM podrían ser atractivos para algunos Estados. Aunque el artículo 40(6) respeta las obligaciones de los tratados multilaterales existentes, los Estados pueden optar por este proyecto de tratado en lugar de uno existente, según el artículo 40(7). Esto es preocupante, ya que las disposiciones de este Convenio ofrecen menos salvaguardias que muchos ALM. En los casos en que los Estados han optado explícitamente por no celebrar tratados de ALM entre sí, el artículo 40(7) impone los mecanismos establecidos en este convenio, obligando de hecho a estos Estados a cooperar.
Artículo 40(8): La doble incriminación en la ALM debe ser obligatoria. Aunque el artículo 40(8) otorga a los Estados la capacidad de rechazar la asistencia basándose en la ausencia de doble incriminación, al mismo tiempo ofrece a los Estados un poder discrecional ilimitado para prestar asistencia, incluso si la actividad en cuestión no es delictiva dentro de su propia jurisdicción. Esta latitud no sólo socava el principio de la doble incriminación, sino que también corre el riesgo de que los Estados sucumban a presiones externas y presten asistencia en investigaciones que entran en conflicto con sus propias normas jurídicas y éticas. Para garantizar una auténtica cooperación internacional, el artículo debería imponer inequívocamente la doble incriminación y reducir la discrecionalidad subjetiva en la prestación de asistencia.
Artículo 40(21): Deben reforzarse los motivos de denegación de ALM. El artículo 40(21) del tratado permite prudentemente a los Estados denegar la asistencia judicial recíproca en circunstancias específicas: si la solicitud no se ajusta a las directrices del artículo, si existe un riesgo potencial para la soberanía, la seguridad, el orden público u otros intereses primordiales del Estado requerido, si las prohibiciones nacionales impiden la ejecución de la acción solicitada por delitos similares, o si aceptar la solicitud va en contra de los principios de asistencia judicial recíproca del Estado. Aunque estas disposiciones son un paso en la dirección correcta, abogamos firmemente por que el artículo 40 otorgue a los Estados mayor discrecionalidad para denegar la asistencia en casos relacionados con "un delito político o un delito conexo con un delito político". Además, la denegación debe ser obligatoria cuando la ejecución de la solicitud pueda afectar negativamente a "la protección de los derechos humanos o las libertades fundamentales".
Artículo 41: Extralimitación y ambigüedad del alcance ampliado de la red 24*7. La red 24*7 del artículo 41, destinada a prestar "asistencia inmediata" en relación con los principales ciberdelitos contemplados en los artículos 6 a 16, arroja una red demasiado amplia al permitir también la obtención de pruebas para cualquier delito grave. Este alcance tan amplio suscita dudas sobre la adhesión de los Estados al principio de doble incriminación. Además, al permitir ampliamente la obtención e intercambio de pruebas electrónicas en una amplia gama de delitos, el artículo 41 elude las salvaguardias y procedimientos especificados en el artículo 24 y las salvaguardias del artículo 40, principios generales de la asistencia judicial recíproca.
Esto podría llevar a situaciones en las que la supervisión y el control designados por la autoridad central se vieran comprometidos o se eludieran por completo. Cuando se confía en las autoridades centrales para tramitar las solicitudes aceleradas, esto podría sobrecargar los recursos de los Estados Parte, aumentando el riesgo de uso indebido. Por último, en aras de la eficacia del tratado y de la confianza de los Estados Parte, es esencial perfeccionar el ámbito de aplicación del artículo delimitando más claramente las funciones del contacto designado para que se limite a proporcionar asesoramiento técnico, ayudar a identificar posibles delitos, facilitar respuestas rápidas a los delitos en curso y reforzar las medidas de cifrado y autenticación para evitar posibles amenazas. La red 24/7 no debería ocuparse de la recogida, conservación o intercambio de pruebas, ni de ningún dato personal, ya que dicho intercambio debería ser conforme al artículo 40 y estar sujeto a las salvaguardias del artículo 24.
Artículos 45-46: Eliminar la recogida de datos de tráfico y la interceptación de contenidos en la MLA. Pedimos la supresión de los artículos 45 y 46, sobre datos de tráfico en tiempo real e interceptación de contenidos. Estos son algunos de los poderes de vigilancia más intrusivos y es especialmente preocupante ponerlos a disposición de un gobierno extranjero bajo demanda sin exigir garantías igualmente amplias y sólidas. Hemos pedido que se eliminen poderes similares del capítulo de espionaje nacional (artículos 29 y 30) a menos que se apliquen salvaguardias significativas (incluida la autorización judicial previa, la especificidad, los límites temporales y la proporcionalidad, en particular, la transparencia, la supervisión y un recurso efectivo). Del mismo modo, pensamos que estos poderes no deberían estar disponibles en respuesta a solicitudes de gobiernos extranjeros sin salvaguardias igualmente sólidas.
Artículo 47: Cooperación policial sin ley. El Artículo 47(1) enfatiza ostensiblemente la estrecha cooperación entre los Estados Partes, con la intención de mejorar las acciones de aplicación de la ley contra los delitos especificados en el tratado. Al lanzar una red demasiado amplia, permite la cooperación en los "delitos contemplados en el presente Convenio" (que incluye el infame artículo 17), y elude la necesidad de aplicar las condiciones y salvaguardias previstas en los artículos 23(1) y 24. Limitar el apartado 1 del artículo 47 para que sólo se aplique a la cooperación en delitos contemplados en el Convenio y garantizar que se aplican las salvaguardias y limitaciones fundamentales es una condición crucial para cualquier cooperación policial.
Artículo 47(1)(b)(f): Eliminar los artículos que eluden las salvaguardias incluidas en el ALM. Junto con Privacy International, hemos pedido que se eliminen los artículos 47(1)(b) y (f), cuyo objetivo es impedir que los Estados Partes compartan datos personales de forma que se eludan las salvaguardias incluidas en la MLA. Los Estados no deben aprovechar el tratado para autorizar o exigir el intercambio de información personal fuera de los límites del ALM existente, las salvaguardias establecidas el mecanismo de investigación del ALM: La autoridad central. Estas salvaguardias no deben eliminarse sin establecer protecciones y limitaciones comparables.
La supresión de las salvaguardias invita a utilizar indebidamente el marco de la ALM para la represión transnacional. Además, el artículo 24 no se aplica al capítulo de cooperación internacional, y la redacción actual del artículo 36 no especifica ningún principio mínimo de protección de datos, por lo que la protección ofrecida a la puesta en común de datos personales en virtud de este artículo es insuficiente. Además, los datos en cuestión tienen el potencial de revelar la localización de un solicitante de asilo o de disidentes políticos, lo que invita a hacer un mal uso del marco penal de la MLA.
Letra c) del apartado 1 del artículo 47: Suprimir inteligencia artificial, inferencias, bases de datos: los términos difusos tienen implicaciones de gran alcance. El Artículo 47(1)(c) esboza el requisito de que los Estados Parte se comprometan a cooperar estrechamente, centrándose específicamente en el suministro de "elementos o datos necesarios para fines analíticos o de investigación'' cuando se considere adecuado. En particular, como se explicó en el capítulo 4, esta disposición carece de precisión, ya que, una vez más, no está vinculada a investigaciones o procedimientos policiales específicos. Además, nada en esta disposición excluye el intercambio de "datos personales", incluidos datos biométricos, "datos de tráfico" u otras categorías como datos de localización, lo que podría llevar a compartir datos intrusivos sin una solicitud de asistencia específica.
Además, la falta total de limitación del ámbito de aplicación o de especificación del objetivo de la disposición puede servir de autorización para que las fuerzas de seguridad compartan bases de datos biométricos masivos o conjuntos de datos de entrenamiento de inteligencia artificial, como señaló nuestro aliado, el artículo 19. Las graves implicaciones potenciales para los derechos humanos de este intercambio de datos sin control son enormes. Los datos biométricos y los sistemas de reconocimiento facial y de voz se han utilizado en varios países para identificar, vigilar y perseguir a manifestantes, minorías, migrantes, defensores de los derechos humanos, periodistas y líderes de la oposición. La Convención no debe ser la ocasión para intensificar estas peligrosas pautas más allá de las fronteras. Por lo tanto, el artículo 47(1)(c) suscita preocupaciones similares a las del artículo 40(4), ya que otorga a un Estado la capacidad de compartir "información relativa a asuntos penales" sin necesidad de una solicitud formal.
Conclusión: Unas medidas de cooperación internacional de amplio alcance, ambiguas e inespecíficas, con pocas condiciones y salvaguardias, son sencillamente una receta para el desastre que puede poner en peligro los derechos básicos a la intimidad y a la libertad de expresión. En su estado actual, el capítulo de cooperación internacional del tratado, o como nosotros lo llamamos, el "capítulo de espionaje internacional o transfronterizo", carece de las sólidas salvaguardias y protecciones de datos personales necesarias para llenar bg agujeros en el texto que pueden ser fácilmente explotados cuando los gobiernos quieren perseguir a periodistas, defensores de los derechos humanos y disidentes.
[1] Véase Pruebas, datos personales, "datos almacenados mediante un sistema informático" [40(3)(d)], "información" [40(3)(h), 47], "evaluaciones de expertos" [40(3)(h)], "información relativa a asuntos penales" [40(4)], "registros, documentos o información gubernamentales" [40(30)(b)].
[2] Convenio de Budapest, informe explicativo, apartado 182: "Dado que los poderes y procedimientos de esta Sección tienen por objeto investigaciones o procedimientos penales específicos (artículo 14), las órdenes de presentación se utilizarán en casos individuales relativos, por lo general, a determinados suscriptores. Por ejemplo, sobre la base del suministro de un nombre concreto mencionado en la orden de presentación, puede solicitarse un número de teléfono o una dirección de correo electrónico concretos. Sobre la base de un número de teléfono o una dirección de correo electrónico concretos, podrá solicitarse el nombre y la dirección del abonado en cuestión. La disposición no autoriza a las Partes a emitir una orden legal para revelar cantidades indiscriminadas de información del abonado del proveedor de servicios sobre grupos de abonados, por ejemplo, con fines de minería de datos".