para reforzar la protección de los derechos humanos en el nuevo proyecto de tratado de vigilancia transfronteriza que está siendo revisado por la Asamblea Parlamentaria del Consejo de Europa (PACE). garantizar que el proyecto de tratado, que otorga amplios poderes policiales intrusivos para acceder a la información de los usuarios en las investigaciones criminales transfronterizas, contenga una base sólida para salvaguardar la privacidad y la protección de datos.
Desde la exigencia de que las fuerzas de seguridad obtengan una autorización judicial independiente como condición para solicitar datos de usuarios a nivel transfronterizo, hasta la prohibición de que los equipos de investigación de la policía se salten las salvaguardias de privacidad en los acuerdos de transferencia de datos secretos, nuestras recomendaciones presentadas a la PACE añadirán las tan necesarias protecciones de los derechos humanos al proyecto de al Convenio de Budapest sobre Ciberdelincuencia. Las recomendaciones pretenden preservar el objetivo del Protocolo -facilitar investigaciones transfronterizas eficientes y oportunas entre países con sistemas jurídicos diferentes- al tiempo que incorporan salvaguardias para proteger los derechos individuales.
, la credibilidad del Protocolo queda en entredicho. El Convenio de Budapest sobre la Ciberdelincuencia en cuanto a los signatarios: lo han ratificado Estados grandes y pequeños de todo el mundo. Sin embargo, el de sustituir el tratado por su propio propuesto puede estar añadiendo presión al Consejo de Europa (CoE) para que se apresure a aprobarlo en lugar de ampliar su para permitir una consulta significativa a las partes no interesadas. Pero si el CdE pretende ofrecer un enfoque más protector de los derechos humanos a la , debe predicar con el ejemplo corrigiendo los principales errores técnicos que hemos destacado en nuestra presentación y reforzando las salvaguardias de privacidad y protección de datos en el proyecto de Protocolo.
Este post es el primero de una serie de artículos que describen nuestras recomendaciones a la PACE. La serie también explicará cómo afectará el Protocolo a la legislación de otros países. El por el Comité de Ciberdelincuencia del Consejo de Europa (T-CY) proceso de varios años, en gran parte controlado por las fuerzas del orden.
Los grupos de la sociedad civil, los funcionarios encargados de la protección de datos y los abogados defensores durante el proceso, y el proyecto de Protocolo refleja este proceso profundamente defectuoso y desigual. La PACE puede recomendar más enmiendas al borrador durante el proceso de adopción y aprobación final del tratado. La EFF y sus socios instan a la PACE a utilizar nuestras recomendaciones para adoptar nuevas enmiendas al Protocolo para proteger la privacidad y los derechos humanos en todo el mundo.
La naturaleza intrusiva de las facultades de acceso a los datos de los abonados es errónea
Uno de los mayores defectos del proyecto es el tratamiento, en el artículo 7, de los datos de los abonados, la información más buscada por los investigadores de las fuerzas de seguridad. El texto explicativo del Protocolo afirma erróneamente que la información sobre los abonados "no permite sacar conclusiones precisas sobre la vida privada y los hábitos cotidianos de las personas afectadas", por lo que es menos sensible que otras categorías de datos.
Pero, como se cada vez más en , la información de los abonados, como la dirección y el número de teléfono de una persona, en determinadas condiciones, es utilizada con frecuencia por la policía para descubrir la identidad de las personas y vincularlas a actividades específicas en línea que revelan detalles de su vida privada. Revelar la identidad de las personas que publican de forma anónima expone detalles íntimos de la vida privada de los individuos. La caracterización despectiva de los datos de los abonados que hace el Protocolo entra en conflicto directo con , especialmente si se tiene en cuenta la amplia definición del Protocolo de la información de los abonados, que incluye las direcciones IP y otros identificadores en línea.
En nuestras recomendaciones, por lo tanto, instamos a PACE a alinear la descripción del proyecto de texto explicativo de los datos de los abonados con las opiniones judiciales de todo el mundo que los reconocen como información altamente sensible. El acceso ilimitado a los datos de los abonados vulnera el derecho a la intimidad y al anonimato, así como el derecho a la libertad de expresión en línea, poniendo en peligro a periodistas, denunciantes, políticos, disidentes políticos y otros.
No obligar a la cooperación directa entre los proveedores de servicios y las fuerzas de seguridad extranjeras
El artículo 7 pide a los Estados que adopten una legislación que permita a las fuerzas de seguridad de un país solicitar la producción de datos de los abonados directamente a las empresas situadas en otro país, con arreglo a la norma jurídica del país solicitante. Debido a la variedad de marcos jurídicos entre los signatarios de las Partes, las leyes de algunos países autorizan a las fuerzas del orden a acceder a los datos de los abonados sin las salvaguardias adecuadas, como por ejemplo sin autorización judicial previa y/o sin un requisito de motivos razonables. El artículo se aplica a todos los proveedores de servicios públicos o privados, definidos de forma muy amplia para abarcar a los proveedores de servicios de Internet, proveedores de correo electrónico y mensajería, sitios de medios sociales, operadores de telefonía móvil, servicios de alojamiento y captura, independientemente de que sean gratuitos o a cambio de una remuneración, y de que se dirijan al público o a un grupo cerrado (por ejemplo, una red comunitaria).
En el caso de los países con fuertes salvaguardias legales, el artículo 7 les obligará a eliminar cualquier ley que impida a los proveedores de servicios locales que tengan datos de los abonados responder voluntariamente a las solicitudes de esos datos por parte de agencias o gobiernos extranjeros. Así, un país que exija una autorización judicial independiente para que las empresas locales de Internet presenten información sobre sus abonados, por ejemplo, tendrá que modificar su legislación para que las empresas puedan entregar directamente los datos de los abonados a entidades extranjeras.
Hemos criticado el artículo 7 por no proporcionar, o excluir, salvaguardias fundamentales que sí se incluyen en muchas leyes nacionales. Por ejemplo, el artículo 7 no incluye ninguna restricción explícita a las actividades de focalización que implican derechos fundamentales, como la libertad de expresión o de asociación, e impide categóricamente que un Estado exija a la policía extranjera que demuestre que los datos de los abonados que busca van a impulsar una investigación penal antes de justificar el acceso a los mismos.
Por eso hemos instado a la PACE a eliminar por completo el artículo 7 del texto del Protocolo. Los Estados seguirían pudiendo acceder a los datos de los abonados en contextos transfronterizos, pero en su lugar se basarían en otra disposición del Protocolo (el artículo 8), que también presenta algunos problemas pero incluye más salvaguardias para los derechos humanos.
Si se mantiene el artículo 7, el Protocolo debería modificarse para facilitar a los Estados la limitación de su ámbito de aplicación. Tal como está el texto actualmente, los países deben decidir si adoptan o no el artículo 7 al aplicar el proyecto de Protocolo. Pero el alcance de la protección legal que muchos estados proporcionan a los datos de los abonados está evolucionando, ya que muchos tribunales y legislaturas reconocen cada vez más que el acceso a estos datos personales puede ser intrusivo y puede requerir garantías adicionales. Tal y como está redactado, si un signatario del Protocolo añade más salvaguardias a su régimen de acceso a los datos de los abonados -por motivos de orden público o en respuesta a una decisión judicial-, la ampliación de estas salvaguardias a la policía extranjera le hará incumplir sus obligaciones en virtud del Protocolo.
Dado que el proyecto de Protocolo otorga poderes de aplicación de la ley con impacto directo en los derechos humanos y estará a disposición de un número diverso de signatarios con diferentes sistemas de justicia penal y registros de derechos humanos, recomendamos que proporcione las salvaguardias adicionales para las solicitudes de datos transfronterizos:
-
Permitir que una Parte exija una autorización judicial independiente para las solicitudes extranjeras de datos de los abonados emitidas a los proveedores de servicios en su territorio. O incluso mejor, nos gustaría ver una obligación general que obligue a una supervisión independiente en cada solicitud de datos de los abonados transfronterizos.
-
Permitir que se notifique a las autoridades del país donde se encuentran los proveedores de servicios las solicitudes de datos de los abonados y que se les dé suficiente información para evaluar su impacto en los derechos y libertades fundamentales.
-
Adoptar medidas legales que garanticen que las solicitudes de mordaza -solicitudes de confidencialidad y secreto- no se invocan de forma inapropiada cuando las fuerzas de seguridad solicitan el acceso a los datos de los abonados transfronterizos.
Agradecemos a la PACE la oportunidad de presentar nuestras preocupaciones mientras formula su propio dictamen y recomendaciones antes de que el tratado llegue al órgano final de aprobación del CdE, el Consejo de Ministros. Esperamos que la PACE se tome en serio nuestra preocupación por la privacidad y los derechos humanos. En las últimas semanas, la EFF y el mundo entero