La reciente decisión del Comité de Ciberdelincuencia del Consejo de Europa (T-CY) de aprobar nuevas normas internacionales para el acceso de las fuerzas del orden a los datos de los usuarios sin una fuerte protección de la privacidad es un golpe para los derechos humanos mundiales en la era digital. La versión final del proyecto de Segundo Protocolo Adicional al Convenio de Budapest sobre la Ciberdelincuencia del Consejo de Europa (CoE), ampliamente adoptado, aprobado por el comité de redacción del T-CY el 28 de mayo, pone pocos límites a la recogida de datos por parte de las fuerzas de seguridad. Como tal, el Protocolo puede poner en peligro a los usuarios de la tecnología, a los periodistas, a los activistas y a las poblaciones vulnerables de los países con protecciones de privacidad poco sólidas, y debilitar el derecho de todos a la privacidad y a la libertad de expresión en todo el mundo.

El Protocolo se dirige ahora a los miembros de la Comisión Parlamentaria del Consejo de Europa (PACE) para que den su opinión. La Comisión de Asuntos Jurídicos y Derechos Humanos de la PACE puede recomendar nuevas enmiendas y decidir cuáles serán adoptadas por la Comisión Permanente o el Pleno. A continuación, el Consejo de Ministros votará si integra las recomendaciones de la PACE en el texto final. El plan del CoE es finalizar la adopción del Protocolo para noviembre. Si se aprueba, el Protocolo estará abierto a la firma de cualquier país que haya firmado el Convenio de Budapest en algún momento antes de 2022.

El siguiente paso para los países es la fase de la firma. Los países pueden presentar una firma sin reservas de ratificación, aceptación o aprobación. En ese momento, pueden reservarse el derecho a no acatar determinadas disposiciones del Protocolo, en particular el artículo 7 sobre la cooperación directa entre las fuerzas de seguridad y las empresas que poseen datos de los usuarios.

Si los países firman el Protocolo en su totalidad, se modificará la forma en que la policía estatal accede a los datos digitales de las empresas de Internet con sede en otros países, dando prioridad a las demandas de las fuerzas del orden, eludiendo la supervisión judicial y reduciendo el nivel de las garantías de privacidad.

El compromiso histórico del CoE con la transparencia brilla por su ausencia

Si bien la transparencia y el firme compromiso de colaborar con las partes interesadas externas han sido señas de identidad en la elaboración de los tratados del CoE, el proceso de redacción del nuevo Protocolo careció de una sólida participación de la sociedad civil. El T-CY adoptó normas internas que han fomentado un proceso en gran medida opaco, dirigido por funcionarios de seguridad pública y de las fuerzas del orden. Las consultas periódicas del T-CY con las partes interesadas externas y el público han carecido de detalles importantes, han ofrecido plazos de respuesta cortos y no han abordado de forma significativa las críticas.

En 2018, casi 100 grupos de interés público pidieron al CoE que permita las opiniones de los expertos de la sociedad civil en el desarrollo del Protocolo. En 2019, el Consejo Europeo de Protección de Datos (EDPB) pidió igualmente al T-CY que garantizara "una participación temprana y más proactiva de las autoridades de protección de datos" en el proceso de redacción, un llamamiento que sintió la necesidad de reiterar a principios de este año. Y al presentar el proyecto de texto del Protocolo para su comentario público final, T-CY sólo proporcionó 2,5 semanas, un plazo que, según el EDPB, "no permite un análisis oportuno y en profundidad" de las partes interesadas. Esa versión del Protocolo tampoco incluía el texto explicativo de las salvaguardias de protección de datos, que sólo se publicó más tarde, en la versión final del 28 de mayo, sin consulta pública. Incluso otras ramas del CoE, como su comité de protección de datos, han tenido dificultades para hacer aportaciones significativas en estas condiciones.

La semana pasada, más de 40 organizaciones de la sociedad civil pidieron al CoE que diera una oportunidad adicional para comentar el texto final del Protocolo. El Protocolo pretende establecer una nueva norma mundial en países con compromisos muy diversos en materia de privacidad y derechos humanos. Es esencial que las partes interesadas externas, incluidas las organizaciones de derechos digitales y los reguladores de la privacidad, realicen aportaciones significativas. Lamentablemente, la respuesta del Consejo de Europa ha sido amablemente rechazada, y es probable que finalmente adopte el Tratado en noviembre de 2021.

Con la escasa incorporación de las aportaciones de la sociedad civil, quizá no sorprenda que el Protocolo final dé prioridad a las cuestiones relacionadas con la aplicación de la ley, mientras que las protecciones de los derechos humanos y las salvaguardias de la privacidad siguen siendo en gran medida una idea tardía. En lugar de intentar elevar las protecciones globales de la privacidad, las salvaguardias centrales del Protocolo son en gran medida opcionales en un intento de acomodar a los países que carecen de protecciones adecuadas. Como resultado, el Protocolo fomenta la armonización de las normas mundiales al mínimo común denominador, debilitando el derecho de todos a la privacidad y a la libertad de expresión.

La erosión de la protección global del anonimato en línea

El nuevo Protocolo ofrece pocas salvaguardias para el anonimato en línea, lo que supone una amenaza para la seguridad de activistas, disidentes, periodistas y los derechos de libre expresión de la gente corriente que se conecta a Internet para comentar y criticar a políticos y gobiernos. Cuando las empresas de Internet entregan la información de los abonados a las fuerzas del orden, las consecuencias en el mundo real pueden ser nefastas. El anonimato también desempeña un papel importante a la hora de facilitar la opinión y la expresión en línea y es necesario para los activistas y manifestantes de todo el mundo. Sin embargo, el nuevo Protocolo no reconoce los importantes intereses de privacidad que pone en peligro y, al asegurar que la mayoría de sus salvaguardias son opcionales, permite el acceso de la policía a datos personales sensibles sin una supervisión judicial sistemática.

Como punto de partida, el texto explicativo del nuevo Protocolo afirma que "la información sobre los abonados... no permite sacar conclusiones precisas sobre la vida privada y los hábitos cotidianos de las personas afectadas", considerándola menos intrusiva que otras categorías de datos.

Esta caracterización se contradice directamente con el creciente reconocimiento de que la policía utiliza con frecuencia el acceso a los datos de los abonados para identificar comunicaciones y actividades anónimas profundamente privadas. De hecho, el Tribunal de Justicia de la Unión Europea (CJEU) sostuvo recientemente que permitir que los Estados asocien los datos de los abonados con la actividad digital anónima puede constituir una "grave" injerencia en la intimidad. El intento del Protocolo de pintar las capacidades de identificación como no intrusivas entra incluso en conflicto con el propio Tribunal Europeo de Derechos Humanos (ECtHR). Al codificar la conclusión contraria en un protocolo internacional, el nuevo texto explicativo puede disuadir a futuros tribunales de reconocer adecuadamente la importancia del anonimato en línea. Como sostuvo el ECtHR, hacerlo así supondría "negar la protección necesaria a una información que podría revelar buena parte de la actividad en línea de un individuo, incluidos detalles sensibles de sus intereses, creencias y estilo de vida íntimo".

Los artículos 7 y 8 del Protocolo, en particular, adoptan poderes policiales intrusivos al tiempo que exigen pocas garantías. Según el artículo 7, los Estados deben eliminar todos los obstáculos legales a la "cooperación directa" entre las empresas locales y las fuerzas del orden. Cualquier ley de privacidad que impida a las empresas de Internet identificar voluntariamente a sus clientes a la policía extranjera sin una orden judicial es incompatible con el artículo 7 y debe ser modificada. La "cooperación directa" está pensada como el principal medio para acceder a los datos de los abonados, pero el artículo 8 establece una facultad complementaria para obligar a las empresas que se nieguen a cooperar a revelar sus datos. Aunque el artículo 8 no exige la supervisión judicial de la policía, los países con una fuerte protección de la privacidad pueden seguir confiando en sus propios tribunales a la hora de obligar a un proveedor de servicios local a identificar a sus clientes. Tanto el artículo 7 como el 8 también permiten a los países filtrar y rechazar cualquier demanda de datos de los abonados que pueda amenazar los intereses esenciales de un Estado. Pero estos mecanismos de selección también son opcionales, y las denegaciones deben ser "estrictamente limitadas", con la necesidad de proteger los datos privados invocada sólo en "casos excepcionales".

Al dejar la mayor parte de las protecciones de la privacidad y los derechos humanos a la discreción de cada Estado, los artículos 7 y 8 permiten el acceso a los datos de identificación sensibles en condiciones que el ECtHR describió como "que no ofrecen prácticamente ninguna protección contra la injerencia arbitraria ... y ninguna salvaguardia contra los abusos de los funcionarios del Estado".

Los redactores del Protocolo se han resistido a las peticiones de la sociedad civil y de los reguladores de la privacidad para que se exija algún tipo de supervisión judicial en los artículos 7 y 8. Algunos organismos policiales se oponen a que se recurra a los tribunales, argumentando que la supervisión judicial conduce a resultados más lentos. Pero la participación sistemática de los tribunales es una salvaguardia fundamental cuando está en juego el acceso a datos personales sensibles.

La Oficina del Comisario de Privacidad de Canadá lo expresó de forma contundente: "La supervisión judicial independiente puede llevar tiempo, pero es indispensable en el contexto específico de las investigaciones policiales".

Incorporar la supervisión judicial como umbral mínimo para el acceso transfronterizo también es factible. De hecho, la mayoría de los Estados incluidos en la encuesta de T-CY exigen en sus respectivas legislaciones nacionales la autorización judicial previa para al menos algunas formas de datos de los abonados.

Como mínimo, el texto del nuevo Protocolo es defectuoso porque no reconoce la naturaleza profundamente privada de la actividad anónima en línea y la grave amenaza que supone para los derechos humanos el hecho de que se permita a los funcionarios del Estado un acceso ilimitado a los datos de identificación. Conceder a los Estados este acceso hace que el mundo sea menos libre y amenaza gravemente la libertad de expresión. El énfasis del artículo 7 en la "cooperación" no judicial entre la policía y las empresas de Internet supone un riesgo especialmente insidioso, y no debe formar parte del Convenio finalmente adoptado.

Imposición de normas de privacidad opcionales

El artículo 14, que se ha dado a conocer recientemente por primera vez, tiene por objeto ofrecer garantías detalladas para la información personal. Muchas de estas protecciones son importantes, ya que imponen límites al tratamiento de datos sensibles, a la conservación de datos personales y al uso de datos personales en la toma de decisiones automatizada, sobre todo en países sin leyes de protección de datos. Las protecciones detalladas son complejas, y los grupos de la sociedad civil siguen desentrañando todo su impacto legal. Dicho esto, algunas deficiencias son inmediatamente evidentes.

Algunas de las protecciones del artículo 14 socavan activamente la privacidad: por ejemplo, el apartado 14.2.a prohíbe a los firmantes imponer cualquier "condición genérica de protección de datos" adicional al limitar el uso de los datos personales. El apartado 14.1.d también limita estrictamente cuándo las leyes de protección de datos de un país pueden impedir la transferencia de datos personales a otro país por motivos policiales.

En términos más generales, y en marcado contraste con las obligaciones de acceso legal del Protocolo, las mencionadas salvaguardas de la privacidad codificadas en el artículo 14 no son obligatorias y pueden ser ignoradas si los países tienen otros acuerdos en vigor (artículo 14.1). Los Estados pueden recurrir a una amplia variedad de acuerdos para eludir las protecciones del artículo 14. La OECD está negociando actualmente un acuerdo que podría desplazar sistemáticamente las protecciones del artículo 14 y, en virtud de la ley estadounidense Clarifying Lawful Overseas Use of Data (CLOUD), el poder ejecutivo de Estados Unidos puede celebrar "acuerdos" con otros Estados para facilitar las transferencias de datos con fines policiales. El apartado 14.1.c contempla incluso acuerdos informales que no son vinculantes, ni siquiera públicos, lo que significa que los países pueden eludir secreta y sistemáticamente las salvaguardias del artículo 14. No se establece ninguna obligación real para garantizar que estos acuerdos alternativos proporcionen un nivel adecuado o incluso suficiente de protección de la privacidad. Por lo tanto, los Estados pueden confiar en los poderes de aplicación de la ley del Protocolo mientras utilizan acuerdos paralelos para eludir sus protecciones de la privacidad, un hecho especialmente preocupante dado el bajo nivel de protección de datos de muchos signatarios previstos.

Las protecciones del artículo 14 también son problemáticas porque parecen quedarse cortas respecto a la protección de datos mínima que ha exigido el CJEU . La lista completa de protecciones del artículo 14, por ejemplo, se parece a la insertada por la Comisión Europea en su acuerdo "Escudo de Privacidad". Las empresas de Internet se apoyaron en el Escudo de Privacidad para facilitar las transferencias económicas de datos personales desde la Unión Europea (UE) a Estados Unidos hasta que el CJEU invalidó el acuerdo en 2020, al considerar insuficientes sus protecciones de la privacidad y sus recursos. Del mismo modo, la cláusula 14.6 limita el uso de datos personales en sistemas de toma de decisiones puramente automatizados que tengan efectos adversos significativos en intereses individuales relevantes. Pero el CJEU también ha considerado que un acuerdo internacional para la transferencia de datos de pasajeros aéreos a Canadá con fines de seguridad pública era incompatible con las garantías de protección de datos de la UE a pesar de incluir una disposición similar.

Conclusión:

Estos y otros problemas de fondo del Protocolo son preocupantes. El acceso transfronterizo a los datos se está convirtiendo rápidamente en algo habitual incluso en las investigaciones penales rutinarias, ya que todos los aspectos de nuestras vidas continúan su constante migración al mundo digital. En lugar de introducir sólidas protecciones de los derechos humanos y la privacidad en las investigaciones transfronterizas, el Protocolo desalienta la supervisión judicial, hace que la mayoría de sus salvaguardias sean opcionales y, en general, debilita la privacidad y la libertad de expresión.