Este articulo ha sido co-escrito por Maricarmen Sequera, Luis Pablo Alonso Fulchi y Katitza Rodríguez

El proyecto de ley de retención de datos de Paraguay obliga a los proveedores de servicios de Internet (ISPs) a conservar, durante 12 meses, los detalles de quién se comunica con quién, por cuánto tiempo, y desde dónde. También permite a las autoridades tener acceso a estos datos históricos mediante una orden del juez de garantías, exponiendo la información de geolocalización que revela el paradero físico de los paraguayos a través del tiempo. Este régimen expande la capacidad del gobierno Paraguayo de vigilar masivamente a sus ciudadanos, en última instancia, dañando la privacidad, la asociación, el anonimato y la libertad de expresión.

¿Cómo Funciona?

La mayoría de los proveedores de acceso Internet y transmisión de datos dan una dirección IP a los usuarios en el momento de su conexión a Internet, que cambia periódicamente. La propuesta en cuestión obligará a los ISPs y proveedores de telecomunicaciones a llevar un registro de sus asignaciones de dirección IP durante un período de 12 meses así como la información de "origen" y "destino" de las comunicaciones de los usuarios.  Esto permitirá a la policía solicitar a los ISPs y proveedores que identifiquen a una persona sobre la base de la IP que le había sido asignada en una fecha y hora determinada. Además podrán solicitar la información de con qué otras IPs se comunicó dicha persona. 

¿Por Qué Debería Preocuparte?

La retención obligatoria de datos de tráfico afecta a millones de usuarios inocentes, es decir, tú y tus amigos que no son sospechosos de ningún delito. Además compromete el anonimato en línea, que es crucial para los investigadores, periodistas, movimientos sociales, ONGs de derechos humanos, todos y todas aquellas que se dedican a la expresión política.

La retención de datos obligatoria es una medida nvasiva y desproporcionada. Esta obligación exige que se recolecte tu dirección IP y se retenga por cada paso que des en línea. Los riesgos de privacidad y libertad de expresión aumentan a medida que estas bases de datos se vuelven vulnerables al robo y la divulgación accidental. Los proveedores de servicios deben absorber el costo de almacenar y mantener estas grandes bases de datos y, a menudo pasan estos costos a los consumidores.

¿Cuáles son los Riesgos de la Retención Obligatoria de Datos de Tráfico? 

La  retención obligatoria de datos de tráfico crea un enorme potencial para el abuso y  debe ser rechazada por ser una infracción grave del derecho a la protección de datos personales y las  libertades fundamentales de las personas. Este proyecto apoya la vigilancia masiva de cada personas, lo que no debe ser tolerado en un país donde se valora la libertad y la democracia. Además afecta la confidencialidad de las comunicaciones entre médico-paciente, abogado-cliente, periodistas y sus fuentes, entre otras comunicaciones que pertenecen a la estricta esfera privada.

El proyecto de ley de retención de datos en Paraguay usa un lenguaje tan vago que permite una interpretación que va más allá que la Directiva Europea y aplica a cualquier persona física o entidad que ofrezca  acceso a Internet, como pueden ser cibercafés, cafeterías, bibliotecas, o empresas que proporcionan a sus empleados acceso a Internet en el trabajo.

¿Cuáles son las Condiciones que Restringen el Acceso a los Datos Conservados?

Una pregunta importante a realizar se refiere a las condiciones en que los funcionarios del gobierno Paraguayo pueden tener acceso a los datos conservados. En comparación de otros proyectos, este, no parece limitar el acceso a los datos retenidos a casos de investigaciones de delitos graves, y más bien, permite que los datos sean utilizados para cualquier tipo de delito tales como las descarga p2p, difamación y cualquier otro tipo delito de índole menor.

Una pregunta relacionada es la fuente de autoridad para el acceso (si bien es necesaria la autorización del juez de garantías), no queda claro en el proyecto si existe un nivel de sospecha o justificación que se deba cumplir para acceder a aquellos datos que el juez de garantías debe evaluar. Lamentablemente el proyecto de ley tampoco limita adecuadamente cuáles son aquellos datos de tráfico que serán conservados sino que da una lista meramente enunciativa y no taxativa como es la dirección IP, origen y destino de la misma, hora y fecha de conexión y en su caso, fecha y hora de desconexión.

La norma expresamente excluye el contenido de las comunicaciones, creando una distinción artificial entre contenido y metadatos. Como es de esperar, esta diferenciación se basa en el  modelo tradicional del servicio postal, que distingue entre la  información escrita en el sobre y el contenido del sobre.

Tal como explicamos en el análisis legal y jurisprudencia comparada de los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia de las Comunicaciones, esta antigua distinción carece de sentido debido a que los métodos de interceptación digital funcionan de otra forma, por  ejemplo, la interceptación del correo electrónico consiste en que el contenido y los metadatos estén disponibles de manera inmediata a los organismos que se encargan de realizar dicha intervención.

Por otra  parte, hoy en día los ISPs almacenan los metadatos en  formatos digitales y pueden adquirirlos masivamente en formas que no tienen equivalente en el servicio  postal.  Además, no hay comparación “postal” con la gran cantidad de actividad anónima en línea que se puede vincular a una persona cuando la información del suscriptor es revelada al Estado.

Estas distinciones fueron adoptadas como una especie de medida aproximada a la intimidad —la idea de que simplemente conociendo quien recibió la carta en un determinado momento no fuese tan reveladora como  el contenido mismo de la carta. Sin embargo, el aumento en la abundancia de metadatos, y las técnicas de acumulación y análisis de la misma, significa que incluso “simples metadatos” son capaces de revelar mucho más acerca de las actividades o pensamientos de un individuo que lo que sucedía hace treinta o cuarenta años atrás. 

Esto se debe, en parte, a la creciente cantidad y al alcance de los datos recolectados: a principios de 1980, por ejemplo, cuando el Tribunal Europeo de Derechos Humanos atendió por primera vez una denuncia sobre el uso de medidores telefónicos para recopilar detalles de las llamadas telefónicas de un sospechoso, la única información que se registraba eran los números de teléfono llamados y la duración de las llamadas telefónicas. 

En la actualidad, los organismos estatales buscan recopilar no solo las identidades de las personas que llaman, sino también sus datos de facturación, direcciones, datos de tarjetas de crédito, marca y modelo de los  teléfonos usados, y datos de localización geográfica de sus movimientos  físicos. 

Del mismo modo, en un ecosistema donde los individuos dejan sus huellas electrónicas tras todas sus interacciones digitales, la identificación del usuario de la dirección IP, el identificador de un dispositivo móvil,  la dirección IP de un correo electrónico, un identificador del  abonado móvil (IMSE)  o una dirección de correo electrónico pueden ser  tremendamente reveladores. De este modo, los metadatos pueden ser un “proxy de contenido”.  Además, hoy día la gente usa las tecnologías de las comunicaciones con más frecuencia que cuando las comunicaciones se hacían, mayormente, a través de cartas. Por último, e igualmente  importante, la capacidad del gobierno para recopilar todos estos  datos, por un largo periodo de tiempo y organizándolos por medio de  modernas técnicas de vigilancia permiten crear un retrato íntimo de la  vida de una persona a partir de simples datos de tráfico.

Corte Interamericana De Derechos Humanos: Escher y Otros vs. Brasil 

Sobre la cuestión de si los metadatos de las comunicaciones están protegidos por el derecho a la privacidad, la Corte Interamericana de Derechos Humanos ha decidido en Escher v Brasil que tanto el contenido como los metadatos están protegidos (Leer mas):

"114. Como   esta   Corte   ha   señalado   anteriormente,   aunque   las   conversaciones telefónicas no se encuentran expresamente previstas en el artículo 11 de la Convención, se  trata  de  una  forma  de  comunicación  incluida  dentro  del  ámbito  de  protección  de  la vida privada. El artículo 11 protege las conversaciones realizadas a través de las líneas telefónicas instaladas en las residencias particulares  o  en las  oficinas, sea su contenido relacionado  con  asuntos  privados  del  interlocutor,  sea  con  el  negocio  o  actividad profesional que desarrolla. De ese modo, el artículo 11 se aplica a las conversaciones telefónicas  independientemente  de  su  contenido  e  incluso,  puede  comprender  tanto  las operaciones  técnicas  dirigidas  a  registrar  ese  contenido,  mediante  su  grabación  y escucha, como cualquier otro elemento del proceso comunicativo mismo, por ejemplo, el destino   de  las  llamadas  que  salen  o  el  origen  de  las  que  ingresan,   la  identidad  de  los interlocutores, la frecuencia, hora y duración  de las llamadas, aspectos que pueden ser constatados sin necesidad de registrar el contenido de la llamada mediante la grabación de  las  conversaciones.  En  definitiva,  la  protección  a  la  vida  privada  se  concreta  en  el derecho  a  que  sujetos  distintos  de  los  interlocutores  no  conozcan  ilícitamente  el contenido   de   las   conversaciones   telefónicas   o   de   otros   aspectos,   como   los   ya mencionados, propios del proceso de comunicación".

Marco Normativo Paraguayo

El  patrimonio documental de las personas tiene un rango constitucional y se encuentra en el artículo 36 de la Constitución Nacional de Paraguay del año 1992.  La inviolabilidad de la correspondencia epistolar consagrada en el artículo 36 de la Carta Magna se extiende a todas las comunicaciones realizadas por cualquier medio. La Constitución también reconoce en su artículo 137 los tratados Internacionales ratificados por el Estado Paraguayo y consolidan la legalidad de los mismos sobre los derechos humanos.

Por otro lado, Paraguay ha ratificado el Pacto de San José de Costa Rica, el cual protege los derechos civiles y políticos en su artículo 11.2, declarando:

 "Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación". 

A su vez, es miembro de MERCOSUR, por lo que está sujeto al Código de Ética de Abogados para el  MERCOSUR, en su artículo 4.2  dice:

"Las comunicaciones  se presumen  confidenciales —las comunicaciones epistolares entre  abogado y cliente,  no pueden ser reveladas a terceros".

Lamentablemente Paraguay no cuenta con una Ley de Datos Personales propiamente dicha. La ley Nº1682/2001 regula única y exclusivamente a los sistemas de información crediticios en las entidades bancarias y financieras. Esto dificulta la protección de datos sensibles. 

Por tanto, el anteproyecto de ley del Senado resulta anacrónico. A pesar de esta propuesta, el país cuenta con una interesante batería de normas que resguardan los derechos civiles en el territorio. 

Quizás el debate de este anteproyecto se debería llevar a un plano más profundo y discutir por un lado, la necesidad de una ley de protección de datos personales genuina, en torno a una agenda pública de debate. De todo esto, se esperaría como resultado una regulación robusta y eficiente que sirviera de piedra angular en la defensa de los derechos fundamentales.

Asimismo, Paraguay debe cumplir con sus obligaciones ya existentes: es decir que cualquier medida de vigilancia debe ser prescrita por la ley (para ser legal en virtud del derecho internacional de los derechos humanos). Además, debe ser "necesaria" para lograr un objetivo legítimo, idóneo y "proporcional" al objetivo deseado. Este requisito es importante para asegurarse que el gobierno no adopta medidas de vigilancia que amenazan los cimientos de una sociedad democrática. Por todo esto debe darse marcha atrás a este camino sin salida que resulta del mandato de retención de datos, y como ya se mencionó el Estado Paraguayo, debe cumplir con sus obligaciones internacionales de derechos humanos. Por su propia naturaleza, la vigilancia masiva no conlleva ningún tipo de dirección o de selección, y mucho menos ninguna obligación de las autoridades de demostrar una sospecha razonable o causa probable. En consecuencia, la vigilancia masiva es inevitablemente desproporcionada como una simple cuestión de definición.

--

Información Complementaria: Políticas Públicas Comparada

La Gran Sala del Tribunal de Justicia de la Unión Europea en su decisión de Digital Rights Ireland Ltd del 2014, declaró inválida la Directiva de conservación de datos de la Unión Europea. En otras palabras, nunca debería haber sido aprobado.

La Directiva considera que la recogida masiva de datos de Internet en Europa supone una "interferencia de amplio alcance y particularmente grave de los derechos fundamentales a la vida privada y a la protección de los datos personales".

La Gran Sala también sostuvo que, a  pesar de que la retención de datos de telecomunicaciones perseguía el objetivo legítimo de la lucha contra “delitos graves”, la naturaleza de la obligación implicaba “una injerencia en los  derechos fundamentales de la práctica totalidad de la población europea”, incluidas “las personas para las que no hay pruebas que sugieran que su conducta podría tener una vinculación, incluso indirecta o remota, con un delito grave”.

Más recientemente, se han emitido fuertes críticas a los mandatos de retención de datos por parte de organismos de política internacional. El 27 de marzo, el Comité de Derechos Humanos de la ONU (órgano de expertos independientes que supervisa la aplicación del Pacto Internacional de Derechos Civiles y Políticos por sus Estados Partes) emitió por primera vez un informe oficial sobre la privacidad en la era digital, instando a los Estados Unidos a que se "abstengan de imponer la retención obligatoria de datos por parte de terceros". Recientemente, la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, Navi Pillay, emitió un informe sin precedentes, criticando expresamente mandatos de retención de datos y declarando que ellos no son ni necesarias ni
proporcionales: "La retención de datos obligatoria por terceros, [...], parece innecesario y desproporcional".

Mientras tanto, América Latina ya en 2005, experimentó un rechazo judicial de un mandato de retención de datos: una regulación argentina obligaba a
los operadores de telecomunicaciones y proveedores de Internet a registrar, indexar y almacenar datos de tráfico por un período de 10 años. La Fundación Vía Libre, se defendió con una campaña de medios de comunicación, y en combinación con una estrategia de litigio dirigido por una organización del sector privado, lograron el rechazo del mandato por parte de la Corte Suprema de Argentina; este caso fue conocido como  “Halabi c/ PEN” (Fallos 332:111).