Cuando se aprobó en 2015, la Ley de Comunicaciones Electrónicas de California (CalECPA) fue anunciada como un gran logro para la privacidad digital, porque obligaba a las fuerzas de seguridad a obtener una orden judicial en la mayoría de los casos antes de registrar los datos de un sospechoso, ya estuvieran en un dispositivo personal o en la nube. Pero la ley también contenía una medida de transparencia histórica: la legislatura ordenó al Departamento de Justicia de California (CADOJ) que publicar un conjunto de datos actualizados periódicamente de estas órdenes de registro en su sitio web.
Hasta el año pasado, la CADOJ estaba haciendo un buen trabajo subiendo estos datos a su base de datos OpenJustice donde alberga una serie de conjuntos de datos públicos relacionados con la justicia penal. Grupos de defensa y periodistas los utilizaban para comprender mejor el panorama de las búsquedas digitales y exigir responsabilidades a las fuerzas del orden. Por ejemplo, el Palm Springs Desert Sun analizó los datos y descubrió que las fuerzas del orden del condado de San Bernardino presentaban, por un amplio margen, más órdenes de registro electrónico que cualquier otra jurisdicción del estado. The Markup también publicó un artículo destacando una preocupante discrepancia entre el número de órdenes de búsqueda basadas en la geolocalización (también conocidas como órdenes de geovalla) declaradas por Google y el número de órdenes de búsqueda comunicadas por las agencias al Departamento de Justicia de California.
Pero entonces, el verano pasado, el CADOJ expuso accidentalmente los datos personales de 192.000 personas que habían solicitado un permiso de portación oculta de armas. Entre las diversas medidas que adoptó en respuesta, el CADOJ suspendió su sitio web OpenJustice. En los meses siguientes, otros conjuntos de datos -como los relativos al uso de la fuerza, las muertes en prisión, las denuncias contra funcionarios y las amenazas a proveedores de servicios de salud reproductiva- volvieron al sitio web.
Pero inexplicablemente faltan los datos electrónicos de las órdenes de registro, a pesar de que la CalECPA establece que el CADOJ "publicará todos esos informes en su sitio web de Internet en un plazo de 90 días a partir de su recepción".
El hecho de que el CADOJ no publique los datos de CalECPA es contrario a la ley, y la EFF pide a la Fiscal General Bonta que vuelva a poner los datos inmediatamente en el sitio web.
Cuando se le pidieron comentarios, un portavoz de la CADOJ dijo: "Estamos trabajando para que las demás funciones de OpenJustice vuelvan a estar en línea lo antes posible". También dijeron que, mientras tanto, podíamos presentar solicitudes de los datos por correo electrónico.
EFF hizo precisamente eso el 30 de septiembre de 2022 a través de una solicitud de la Ley de Registros Públicos de California (CPRA). Si la CADOJ hubiera seguido la ley, los datos habrían estado disponibles en línea al instante, pero en cambio, nos vimos obligados a esperar cuatro semanas después de que la CADOJ se concediera a sí misma una prórroga del plazo, y luego incumpliera ese plazo por una semana.
Puede descargar aquí los datos que obtuvimos entre 2016 y 2021.
Al examinar estos datos, es importante tener en cuenta que no abarcan todas las órdenes de registro de datos, sino solo determinadas categorías: cuando un organismo desconoce la identidad de la persona a la que se dirige o cuando retrasa la notificación del objetivo de la orden de registro.
Para cada una de estas órdenes de registro, la agencia debe revelar información sobre su solicitud, como la naturaleza de la investigación y del delito, si la orden se dirige a un dispositivo o a una cuenta, el nombre de cualquier empresa que haya recibido la orden de registro (como Google o Facebook), las categorías de datos buscados y la fecha de inicio y fin de la información buscada. Tras recibir los datos, la CADOJ debe publicarlos en un plazo de 90 días, pero también puede suprimir información personal de los mismos.
Los investigadores pueden utilizar estos datos para solicitar copias de las órdenes de registro, ya sea a través de una solicitud CPRA o acudiendo a los tribunales. En algunos casos, las órdenes o partes de las órdenes estarán selladas; anteriormente la EFF ha litigado sobre este asunto con el resultado de que algunos registros, mientras que los tribunales permitieron que otras secciones de los registros permanecieran sellados indefinidamente.
Estos archivos de órdenes de registro pueden revelar información importante. En el condado de San Bernardino, los datos y las órdenes de registro revelaron el uso de simuladores de sitios celulares, dispositivos que se hacen pasar por torres de telefonía móvil para rastrear y obtener información de teléfonos celulares. Basándonos en los datos de la CalECPA, también obtuvimos una copia de una orden de registro que el Departamento de Policía de la Universidad de Berkeley presentó para obtener los registros telefónicos de los asistentes a una protesta.
El público no debería tener que presentar solicitudes CPRA una y otra vez para recibir estos datos. La legislatura de California redactó una ley que establece que esta información debe estar disponible en línea, y la CADOJ debe cumplirla.
