Esta es la tercera parte de la serie de artículos de la EFF sobre la propuesta de Convención de las Naciones Unidas contra la Ciberdelincuencia. Lee la Parte I para una rápida visión de los entresijos del borrador cero; la Parte III para una inmersión profunda en el Capítulo V relativo a la cooperación internacional: el contexto histórico, el enfoque del borrador cero, el alcance de la cooperación y la protección de los datos personales, y la Parte IV, que trata de la criminalización de la investigación sobre seguridad.
La sede de las Naciones Unidas en Nueva York está a punto de convertirse en el epicentro de uno de los debates mundiales más preocupantes que afectan a los derechos humanos en la era digital. A partir del 21 de agosto, delegados de todo el mundo se reunirán en una intensa sesión de dos semanas para examinar el muy controvertido "borrador cero" de una Convención de la ONU sobre Ciberdelincuencia que podría obligar a los Estados a redefinir sus propias leyes penales y de vigilancia a escala mundial.
Aunque el primer texto negociado de la convención propuesta, el "borrador cero", es profundamente defectuoso, se aplica aquí el principio de que "nada está acordado hasta que todo esté acordado". La FEP asistirá a la sexta sesión en Nueva York para participar en esos debates en calidad de observador.
En debates anteriores, abordamos las preocupaciones sobre los poderes de vigilancia ambiguos y las salvaguardias inadecuadas. Ahora profundizaremos en el muy debatido capítulo sobre cooperación internacional. Para mayor claridad y profundidad, nuestro análisis de este capítulo abarcará dos entradas. Este primer post abarca el contexto histórico de los mecanismos de cooperación internacional, el planteamiento del borrador cero en el capítulo V, el alcance de la cooperación y la protección de los datos personales. En el próximo post, continuaremos nuestro análisis del Capítulo V del borrador cero, abordando las amplias exigencias de la asistencia judicial recíproca, los escollos del intercambio de datos incontrolado y anárquico, y los retos de los mecanismos de respuesta rápida y la jurisdicción en materia de derechos humanos.
¿Qué va a pasar en Nueva York?
La EFF tiene estatuto de observador en estas conversaciones, lo que supone un notable avance en materia de transparencia en comparación con otras negociaciones de tratados. Esta participación nos permite un acceso significativo a los debates principales y numerosas oportunidades de interactuar con las delegaciones. Sin embargo, hacer valer nuestra influencia sigue siendo un reto. Dado que cada país dispone de un voto, lograr el consenso entre más de 140 países resulta desalentador. Como observadores, también podemos expresar nuestras preocupaciones semanalmente ante todos los Estados miembros. Sin embargo, los temas especialmente polémicos se trasladan a las "informales", sesiones exclusivas para los Estados miembros que nos excluyen a nosotros y a otras partes interesadas. Aunque las delegaciones tienen la opción de consultarnos fuera de estas sesiones, la exclusión en tiempo real sigue siendo motivo de grave preocupación.
Los Estados miembros aspiran a alcanzar un consenso total sobre el texto del proyecto de convenio. Si no lo consiguen, el asunto podría pasar a una votación en la que dos tercios de los gobiernos tendrían que llegar a un acuerdo para que se adoptara el tratado. Un consenso demostraría un apoyo más amplio a la aplicación del convenio. Aún no se sabe con certeza si se alcanzará o podrá alcanzarse un acuerdo definitivo a finales de enero o si los debates se prolongarán más allá de esa fecha. Aquí puede consultarse una cronología de la convención propuesta.
Contexto histórico: Una mirada a los mecanismos de cooperación internacional
Históricamente, los Tratados de Asistencia Judicial Recíproca (TALM) han servido de columna vertebral para las investigaciones penales transfronterizas. Este sistema permite a la policía que necesita datos almacenados en el extranjero obtenerlos mediante la asistencia de la nación que los alberga. Como hemos dicho en repetidas ocasiones, el sistema MLAT fomenta la cooperación internacional. También favorece la privacidad. Cuando la policía extranjera busca datos almacenados en Estados Unidos, el sistema MLAT les obliga a cumplir los requisitos de la Cuarta Enmienda en materia de órdenes judiciales. Y cuando la policía estadounidense busca datos almacenados en el extranjero, se le exige que respete las normas de protección de la intimidad del lugar donde se almacenan los datos, que pueden incluir importantes criterios de "necesidad y proporcionalidad". Los MLAT, a menudo bilaterales, suelen ser objeto de críticas por sus prolongados plazos de respuesta a las solicitudes de datos. Estos retrasos suelen deberse a la falta de familiaridad de un país con la legislación extranjera sobre acceso a datos de otro. Es posible que algunos países no cuenten con un MLAT, ya que su reticencia suele deberse a la preocupación por la inadecuada protección de los derechos humanos. Aunque a las fuerzas de seguridad les preocupa que el sistema MLAT se haya vuelto demasiado lento, estas preocupaciones deberían abordarse con mejores recursos, formación y racionalización. En la actualidad, los países pretenden incluir nuevas normas para el MLAT en la próxima convención de la ONU. Estas normas afectarán sobre todo a los países que aún no tienen un acuerdo de asistencia judicial recíproca.
Algunos Estados han adoptado otros acuerdos internacionales. El
Segundo Protocolo Adicional al Convenio de Budapest del Consejo de Europa, que se abrió a la firma en 2022, ofrece herramientas de investigación transfronteriza simplificadas a costa de debilitar los derechos humanos y las salvaguardias. La tendencia del Protocolo a eludir las salvaguardias jurídicas tradicionales ha suscitado nuestras críticas. Tenemos muchas dudas sobre el Protocolo (lea aquí, aquí, aquí, aquí, incluidas nuestras propuestas de enmienda), en particular sobre cómo permite a cualquier autoridad competente -incluida la propia policía- solicitar directamente información sobre abonados a una empresa extranjera, pasando por alto cualquier participación del gobierno del otro país (o, en su mayor parte, de su ordenamiento jurídico, que establece diversas condiciones y salvaguardias). Hemos clasificado los problemas del Protocolo por socavar derechos y salvaguardias a través del mecanismo de cooperación directa; su interpretación errónea de la información sobre abonados, y el desequilibrio entre las facultades obligatorias de aplicación de la ley y las salvaguardias de derechos humanos prescindibles u opcionales; y, por último, las salvaguardias de protección de datos más débiles en comparación con otras normas internacionales asentadas. Una de las principales preocupaciones que hemos planteado en este debate es que, al tratar de armonizar las salvaguardias, se produzca una carrera a la baja de las protecciones de los derechos humanos. Como señaló recientemente la Dirección Ejecutiva del Comité contra el Terrorismo (CTED) del Consejo de Seguridad de la ONU:
"Acordar una norma común a todos los Estados conducirá casi con toda seguridad a una norma más baja que la que se lograría identificando una norma universal alta y pidiendo a los Estados que 'subieran el nivel'. La preocupación es que, con el fin de abordar los problemas jurisdiccionales de la aplicación de la ley, el derecho sustantivo se debilite, dando a la aplicación de la ley un acceso demasiado rápido con demasiado poco debido proceso. La tendencia a la universalización, en otras palabras, podría conducir a un mínimo común denominador en términos de garantías procesales."
Otros países han implantado leyes locales -como la Ley de la Nube en Estados Unidos y E-evidence en la Unión Europea-, cada una con sus propios problemas de derechos humanos (leer aquí y aquí). Ambas ampliaron la capacidad de las fuerzas de seguridad estadounidenses y europeas, respectivamente, para localizar y acceder a los datos de las personas a través de las fronteras internacionales.
Otro planteamiento más contundente que han adoptado algunos países sobre el acceso transfronterizo de las fuerzas de seguridad a los datos exige que determinados proveedores de servicios estén bajo la jurisdicción física local de los países en los que tienen un número sustancial de usuarios. Aunque la asunción de jurisdicción basada en la presencia significativa de usuarios podría considerarse justificada en otros contextos, se convierte en polémica cuando se obliga a las empresas a cumplir una demanda de datos arbitraria o desproporcionada, e incluso se las penaliza por resistirse a la jurisdicción por motivos de derechos humanos, y cuando ya existen normas internacionales para el acceso transfronterizo. Se
han aprobado muchas leyes que obligan a las empresas a "tomar todas las medidas necesarias" para aceptar la jurisdicción local y cumplir las leyes locales que son incompatibles con la legislación internacional sobre derechos humanos (lea aquí sobre Turquía, India, Indonesia y muchos otros países). Esto puede implicar obligar a los proveedores a almacenar físicamente los datos sobre los residentes de una nación dentro de ese país o a abrir una oficina local, facilitando así a las autoridades locales el acceso a los datos o presionando al personal para que cumpla con peticiones arbitrarias o desproporcionadas. Se pueden imponer sanciones draconianas por incumplimiento, con posibles interferencias en los servicios en línea o su prohibición total si las empresas no obedecen. La EFF reprocha estas medidas draconianas por motivos de derechos humanos, y cuando las empresas se ven sometidas a la fuerza a la jurisdicción, y por tanto, a cumplir todas estas leyes draconianas, sin vías para impugnarlas por motivos de derechos humanos.
La sociedad civil ha venido advirtiendo de que se está abusando o tergiversando los mecanismos internacionales de cooperación existentes en materia de aplicación de la ley para permitir la represión política, incluso más allá de los mandatos de localización forzosa de datos que pretenden eludir las normas de cooperación internacional. INTERPOL, por ejemplo, es una organización intergubernamental de 193 países que facilita la cooperación policial mundial. Pero Human Rights Watch ha documentado numerosas denuncias de cómo China, Bahréin y otros países han abusado del sistema de notificaciones rojas de INTERPOL, una lista internacional de los "más buscados", para localizar a críticos pacíficos de las políticas gubernamentales por delitos menores, pero en realidad, para obtener beneficios políticos.
El enfoque del borrador cero sobre la cooperación internacional (Capítulo 5)
El borrador cero incluye también todo un capítulo sobre cooperación internacional en investigaciones policiales. Los países que se adhieran a la convención prometerán dotar de nuevos poderes a sus propias fuerzas del orden, pero también permitirán nuevos tipos de cooperación con organismos gubernamentales extranjeros, con una responsabilidad escandalosamente escasa para garantizar que no se abusa de dicha cooperación.
Ahora, este proyecto de convenio sienta las bases para la cooperación policial entre dos países cualesquiera, para compartir o recabar pruebas con escasos controles y contrapesos, sin ningún requisito de revisión de los derechos humanos o supervisión independiente. Los datos privados sobre disidentes podrían entregarse a regímenes brutales simplemente porque aleguen que esos disidentes son ciberdelincuentes.
Ámbito de aplicación de la cooperación internacional (Capítulo I, Artículo 5, Capítulo II, Artículos 17, Capítulo IV, Artículo 24, Capítulo V, Artículo 35)
Se podría pensar que este convenio sólo se aplica a las investigaciones de ciberdelitos específicos, basándose en la lista de delitos que figura al principio (Artículos 6-16). Pero entonces el Artículo 35, en las normas de fondo para la cooperación internacional, abre la puerta a otros delitos, incluyendo (a través del Artículo 17) aquellos cubiertos por cualquier otro tratado internacional; esto incluye delitos que ya existen (como el tráfico de drogas o los acuerdos comerciales) así como aquellos que podrían llegar a ser "aplicables" en el futuro.
Limitar esto a "delitos graves", como hace el borrador, no es suficiente. Los poderes de esta convención deberían aplicarse únicamente a los delitos graves recogidos en los artículos 6 a 16 de la convención: los ciberdelitos principales que tienen como objetivo los ordenadores y los sistemas de comunicación.
El alcance de la cooperación internacional de esta convención debería centrarse únicamente en investigaciones y procedimientos penales específicos. Parte del lenguaje sobre el alcance de las medidas procesales penales y la cooperación internacional se tomó del Convenio de Budapest, pero una palabra importante - "específica"- se omitió de alguna manera. Sin ella, el proyecto de convenio no impide que los Estados autoricen la vigilancia masiva o las expediciones de pesca. Y aunque estas prácticas también deberían impedirse por el principio de proporcionalidad en virtud de las condiciones y salvaguardias del artículo 24, el borrador cero ha eliminado la aplicación de ese artículo al capítulo de cooperación internacional.
La doble incriminación obligatoria debe ser la norma de la cooperación transfronteriza (capítulo V, artículo 35)
La doble incriminación -el principio de que un acto considerado delito se considera ilegal en los dos países que cooperan- debe ser una piedra angular, pero actualmente el artículo 35 trata la norma de la doble incriminación como opcional. Esta norma no sólo salvaguarda la libertad de expresión y la disidencia, sino que también impide que los países impongan sus leyes universalmente. Abogamos firmemente por hacer de la doble incriminación una disposición obligatoria. Las naciones libres y democráticas deben exigirlo para no verse obligadas a adoptar las definiciones de delito de otras naciones represivas, especialmente en los casos en que la blasfemia o la crítica a figuras públicas se consideren delitos, definiciones incompatibles con la legislación de derechos humanos.
Aunque las naciones democráticas pueden confiar en su propio compromiso con los derechos humanos y en su propia aplicación del principio de doble incriminación, es esencial reflexionar sobre las repercusiones más amplias. Si el proyecto se acepta en su forma actual, sin salvaguardias estrictas ni un ámbito de aplicación definido, podría sentar las bases jurídicas para la colaboración internacional en la persecución e investigación de delitos relacionados con el contenido, y de otros delitos incompatibles con el derecho internacional de los derechos humanos. Esto podría fortalecer involuntariamente a los regímenes autoritarios, dándoles herramientas para la represión transnacional cuando la disidencia silenciosa bajo el disfraz de lesse majeste o difamación criminal. Aunque los artículos 5 y 24 ofrecen ciertas protecciones, su redacción debe refinarse aún más para limitar el ámbito de aplicación del proyecto de convención a los delitos compatibles con el derecho internacional de los derechos humanos, y para garantizar su aplicación coherente en la cooperación internacional.
Protección de datos personales (artículo 36, apartado 1)
El artículo 36 (1) describe las condiciones en las que los gobiernos pueden transferir datos personales como parte de la cooperación internacional en investigaciones. La redacción actual exige a los gobiernos que cumplan su propio Derecho interno y, de manera más general, el "Derecho internacional aplicable". Dado que este tema a veces se aborda erróneamente de forma más permisiva en el derecho mercantil, instamos a incluir una referencia más precisa al "derecho internacional de los derechos humanos". Este cambio subrayaría la necesidad de normas de protección de datos basadas en los derechos humanos.
Asimismo, apoyamos la sugerencia de Article19 de suprimir la palabra "aplicable", ya que las normas internacionales de derechos humanos son universales, vinculantes y no subjetivas. En nuestra presentación conjunta con Privacy International, proponemos una enmienda al artículo 36(1) para integrar normas mínimas de protección de datos basadas en los derechos humanos, como los principios de tratamiento lícito y justo, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del almacenamiento, integridad y confidencialidad, y rendición de cuentas. Los principios de protección de datos arraigados en la legislación internacional vigente sobre derechos humanos han obtenido reconocimiento en la Observación General del Comité de Derechos Humanos sobre el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, y en el informe del Alto Comisionado de las Naciones Unidas para los Derechos Humanos sobre el derecho a la privacidad en la era digital. Las consiguientes resoluciones de la Asamblea General sobre el derecho a la privacidad en la era digital han abogado por una legislación de protección de datos alineada con la legislación internacional de derechos humanos.
Conclusión
El borrador cero de la propuesta de Convención de la ONU sobre Ciberdelincuencia hace saltar demasiadas alarmas. Aunque su intención -fomentar la cooperación internacional contra la ciberdelincuencia- es aparentemente noble, sus implicaciones podrían ser catastróficas. En su estado actual, el borrador ofrece amplias posibilidades de uso indebido, desde la represión política hasta la elusión de las salvaguardias legales. Los debates de este mes en Nueva York no son sólo de procedimiento: determinarán si la Convención sirve como herramienta para la verdadera justicia o se convierte en un arma contra ella.
Es esencial que la sociedad civil y otras partes interesadas lleven a cabo un escrutinio y una supervisión rigurosos del proceso, y que los Estados miembros mantengan un compromiso inquebrantable con los derechos humanos. Se trata de un tratado jurídicamente vinculante: Puede obligar a reformar las legislaciones nacionales de todo el mundo, fomentando poderes de vigilancia expansivos y anárquicos y una carrera a la baja en la protección de la privacidad. Debemos luchar mientras podamos.