La propuesta de Convención de las Naciones Unidas sobre la Ciberdelincuencia es un amplio pacto de vigilancia que impone medidas intrusivas de vigilancia nacional y obliga a los Estados a cooperar en la vigilancia y el intercambio de datos. Exige a los Estados que se ayuden mutuamente en las investigaciones y enjuiciamientos por ciberdelincuencia, permitiendo la recogida, conservación e intercambio de pruebas electrónicas para cualquier delito considerado grave por la legislación nacional de un país, con unas garantías mínimas de derechos humanos. Esta cooperación se extiende incluso a países con un mal historial en materia de derechos humanos. Las negociaciones para este tratado comenzaron en 2022, iniciadas por una controvertida propuesta de la Federación Rusa. Si se aprueba, reescribirá las leyes de vigilancia en todo el mundo. Afectará a millones de personas, entre ellas defensores de los derechos humanos, periodistas, investigadores de seguridad y quienes dicen la verdad al poder. Sin salvaguardias claras y aplicables, el tratado corre el riesgo de convertirse en una herramienta para el abuso estatal y la represión transnacional, en lugar de proteger los derechos humanos. A continuación se exponen nuestras principales preocupaciones. Si desea una lista completa, consulte nuestras líneas rojas y el llamamiento a los delegados de la UE.
Principales preocupaciones de la EFF
El título del proyecto de Convenio es engañoso y problemático: La ciberdelincuencia es un problema real, pero equipararla a cualquier delito relacionado con las TIC es conceptual y prácticamente perjudicial. Los recientes esfuerzos a nivel nacional para ampliar su definición han llevado a la criminalización de actividades legítimas, como la crítica en línea, la expresión religiosa o el apoyo a LGBTQ. En el tratado propuesto, fomenta interpretaciones expansivas que podrían conducir a abusos de los derechos humanos y a la represión transnacional. Recomendación: Restringir la definición a los "ciberdelitos principales", como los ataques técnicos a ordenadores, dispositivos, datos y sistemas de comunicaciones. Excluir las actividades protegidas por los derechos humanos del ámbito de aplicación del tratado para evitar abusos y garantizar que estos derechos no se vean injustamente afectados debido a la equiparación de la ciberdelincuencia con cualquier delito que utilice las TIC.
Alcance expansivo y riesgos de penalización excesiva: El capítulo de criminalización del borrador de la Convención amplía peligrosamente su alcance al incluir delitos como el "grooming" y el CSAM, no solamente los ciberdelitos. Su definición de CSAM corre el riesgo de criminalizar la conducta consentida entre menores. Peor aún, un Protocolo propuesto podría añadir dos sesiones Ad Hoc más para discutir aún más delitos, ampliando aún más su amplio alcance. Recomendación: La criminalización debe limitarse a los artículos 7 a 11. Restringir el ámbito de aplicación del artículo CSAM para que se dirija solo a acciones intencionadas y maliciosas, excluir de la criminalización la actividad consentida entre menores, hacer obligatorias las exenciones para el contenido autogenerado por menores, garantizar que las disposiciones de financiación se dirijan solo a aquellos implicados a sabiendas en actividades ilegales, y excluir el uso de interés público de tales materiales, como pruebas en investigaciones criminales, y materiales científicos o artísticos.
El alcance excesivo de los poderes de obtención de pruebas permitirá el espionaje nacional y transfronterizo de los actos de expresión: El alcance abierto de los Capítulos IV y V corre el riesgo de socavar la cooperación policial en delitos cibernéticos reales al diluir los recursos. Permite a los gobiernos espiar a las personas para reunir posibles pruebas de cualquier delito si se ha cometido utilizando las TIC. También permite a un Estado ayudar a otro en la vigilancia de cualquier supuesto delito grave. Estas ampliaciones convierten el tratado en un amplio pacto de vigilancia. El artículo 23(2)(c) da luz verde a medidas invasivas para delitos menores y expresiones protegidas penalizadas abusivamente en algunos países. El artículo 35(1)(c) implica la cooperación para delitos graves, definidos como delitos castigados con penas de cuatro años o más, que pueden incluir actos de expresión considerados delitos graves en la legislación nacional. Este amplio alcance entraña el riesgo de un abuso masivo de poder. Recomendación: Limitar los artículos 23(2)(c) y 35(1)(c) a los artículos 7 a 11 y suprimir el artículo 23(2)(b). Apoyar la recomendación de ACNUDH de revisar la definición de crímenes graves para que signifique únicamente "aquellos que impliquen muerte, lesiones u otros daños graves", ya que sugerir simplemente el respeto de los derechos humanos dentro de un ámbito tan amplio es importante, pero insuficiente porque carece de protecciones aplicables contra el mal uso y el abuso. Garantizar la cooperación se limita a situaciones en las que existe una sospecha razonable de que la asistencia jurídica aportará pruebas de un delito penal.
Salvaguardias insuficientes de los derechos humanos: El artículo 24, que aborda las condiciones y salvaguardias e incluye el principio de proporcionalidad, no incluye explícitamente otros principios cruciales como la legalidad, la necesidad y la no discriminación. La protección efectiva de los derechos humanos requiere la aprobación judicial antes de llevar a cabo la vigilancia, la transparencia sobre las medidas adoptadas y la notificación a los usuarios cuando se acceda a sus datos, a menos que ello ponga en peligro la investigación. El nuevo proyecto omite estas salvaguardias, y lo que es peor, remite las pocas salvaguardias existentes a las legislaciones nacionales, que pueden variar enormemente y no siempre proporcionar las protecciones necesarias. También carece de salvaguardias para la información legalmente privilegiada, no impide la autoincriminación forzosa y omite las protecciones para los abogados defensores penales. Estas lagunas suscitan preocupación por la erosión de los derechos humanos: el tratado no eleva el listón contra la vigilancia invasiva, sino que confirma incluso las protecciones más bajas, socavando potencialmente las sólidas normas existentes.
Altamente intrusivos poderes de espionaje secreto sin salvaguardias sólidas: El proyecto permite una amplia vigilancia secreta con salvaguardias débiles, lo que plantea riesgos significativos tanto a nivel nacional como internacional. En el ámbito nacional, permite la interceptación en tiempo real de datos de tráfico por cualquier delito, mientras que la interceptación de contenidos se limita a delitos graves, penados con cuatro años o más en la legislación nacional. Los proveedores de servicios están obligados a colaborar en estas actividades de vigilancia, a menudo bajo órdenes de silencio perpetuo, que impiden la notificación incluso cuando las investigaciones ya no están en peligro. En el ámbito internacional, el proyecto permite a un Estado ayudar a otro a llevar a cabo este tipo de vigilancia para delitos graves, obligando a las empresas a cumplir las solicitudes de vigilancia extranjeras, también en secreto perpetuo. Esta falta de transparencia y responsabilidad es una receta para abusos de poder sin control y socava la confianza en los servicios digitales. Recomendación: Suprimir los artículos 29, 30, 45 y 46.
Asistencia técnica obligatoria: El proyecto exige que los países cuenten con leyes que permitan a las autoridades obligar a cualquier persona con conocimientos sobre un sistema informático concreto a proporcionar la información necesaria para facilitar el acceso. Esto podría implicar pedir a un experto técnico o ingeniero que ayude a desbloquear un dispositivo o explique sus características de seguridad, lo que podría comprometer la seguridad o revelar información confidencial. (Por ejemplo, se puede pedir arbitrariamente a un ingeniero que revele un fallo de seguridad no corregido o que proporcione claves de cifrado firmadas que protegen datos). Recomendación: Suprimir el apartado 4 del artículo 28.
La cooperación sin ley de las fuerzas de seguridad corre el riesgo de erosionar los derechos humanos: La redacción actual del artículo 47 corre el riesgo de apoyar una cooperación sin límites en materia de aplicación de la ley sin detallar las limitaciones y salvaguardias necesarias exigidas por el derecho internacional de los derechos humanos. Los Estados no deben utilizar este Convenio para autorizar o exigir el intercambio de datos personales más allá del ámbito de aplicación de los tratados de asistencia judicial recíproca existentes, las salvaguardias establecidas en el marco de la asistencia judicial recíproca y el mecanismo de investigación de la asistencia judicial recíproca. La eliminación de estas salvaguardias sin proporcionar protecciones y limitaciones comparables invita al uso indebido del marco de asistencia judicial recíproca para el abuso y/o la represión. Recomendación: Limitar el artículo 47(1) a los artículos 7-11, suprimir los artículos 47(1)(b), (c) y (f), y hacer referencia a los artículos 24 y 36 en el artículo 47(2).
Protección insuficiente para los investigadores de seguridad y otros trabajos de interés público: El borrador de la Convención no exime de la criminalización a la investigación de seguridad, el periodismo y la denuncia de irregularidades, lo que plantea riesgos significativos para la ciberseguridad y la libertad de prensa en todo el mundo. Esto incluye a quienes participan en pruebas autorizadas o en la protección de sistemas TIC. Sin embargo, las disposiciones del proyecto sobre acceso ilegal, interceptación e interferencia carecen de requisitos obligatorios de intención criminal y daño, lo que amenaza con penalizar los esfuerzos de investigación de seguridad. Lista completa de recomendaciones disponible aquí.
Riesgos para los derechos LGBTQ y de género: El amplio alcance de la convención sigue planteando riesgos significativos para los derechos LGBTQ+ y de género. El capítulo de cooperación nacional e internacional podría aprovecharse para atacar a personas por su género u orientación sexual, especialmente si las leyes nacionales tipifican estas expresiones como delitos graves. Esto es especialmente preocupante dado el historial de leyes sobre ciberdelincuencia que se han utilizado indebidamente para perseguir a grupos marginados. Recomendación: Restringir el alcance de la recopilación de pruebas a los ciberdelitos principales. Revisar la definición de delito grave según la recomendación del ACNUDH.
¿Desea más información? Póngase en contacto con Katitza Rodríguez, Directora de Política de Privacidad Global de la EFF, en katitza@eff.org.
