Esta es la primera parte de la serie de artículos de la EFF sobre la propuesta de Convención de las Naciones Unidas contra la Ciberdelincuencia. Lee la Parte II para profundizar en el Capítulo IV que trata de los poderes de vigilancia nacionales; y la Parte III para profundizar en el Capítulo V relativo a la cooperación internacional: el contexto histórico, el enfoque del borrador cero, el alcance de la cooperación y la protección de los datos personales. La Parte IV trata de la criminalización de la investigación en materia de seguridad.

Ya se ha hecho público el tan esperado primer borrador oficial negociado de la propuesta de Convenio de las Naciones Unidas sobre la Ciberdelincuencia, fruto de muchos meses de negociaciones dirigidas por los Estados miembros y en las que la EFF ha participado activamente.

Si se aprueba, el convenio supondrá una nueva redacción de las leyes penales de todo el mundo que regulan el acceso transfronterizo de las fuerzas de seguridad a los datos personales, el uso de tecnologías de vigilancia por parte de un país para espiar a personas de otro país y la medida en que los países pueden obligarse mutuamente a cooperar, por ejemplo, en la interceptación en tiempo real de las comunicaciones de las personas. La EFF y sus socios internacionales llevan defendiendo a los usuarios desde que se propuso por primera vez la convención hace varios años, exigiendo una sólida protección de los derechos humanos, revisando el lenguaje propuesto para la convención, presentando recomendaciones y oponiéndose a disposiciones preocupantes, y dirigiéndose personalmente a los Estados miembros en las sesiones de negociación de este año y del anterior.

 Con la publicación de este "borrador cero", los Estados miembros iniciarán negociaciones artículo por artículo para alcanzar un consenso sobre un borrador final durante una sesión maratoniana de dos semanas, del 21 de agosto al 1 de septiembre. La EFF estará allí, continuando nuestra presión para que se incluyan sólidas protecciones de los derechos humanos en el tratado.

La EFF y Privacy International han estado estudiando detenidamente el borrador cero y han enviado a los Estados miembros nuestro primer conjunto de enmiendas. Pero antes de profundizar en las características más preocupantes del texto, he aquí un breve resumen de cómo hemos llegado hasta aquí.

Breve resumen del Convenio de las Naciones Unidas sobre la Ciberdelincuencia

Desde el principio de las negociaciones, la EFF se ha opuesto al proyecto de convenio en su conjunto, por considerarlo innecesario. A pesar de nuestras reservas, hemos participado activamente y de buena fe en todas las fases del proceso de negociación. Queremos asegurarnos de que el convenio propuesto sea específico y limitado en su ámbito de aplicación, y no incorpore delitos relacionados con el contenido ni autorice poderes de vigilancia inherentemente arbitrarios, excesivos o de duración indefinida. Además, cualquier autoridad de vigilancia -incluidas las transnacionales- debe estar sujeta a las limitaciones apropiadas.

Esperamos fervientemente que el convenio propuesto no se convierta en un instrumento de represión transnacional, como ha ocurrido en el pasado con otros mecanismos de cooperación policial. INTERPOL, por ejemplo, es una organización intergubernamental de 193 países que facilita la cooperación policial a escala mundial. Pero Human Rights Watch ha documentado numerosas denuncias sobre cómo China, Bahréin y otros países han abusado del sistema de notificaciones rojas de INTERPOL, una lista internacional de "personas buscadas", para localizar a críticos pacíficos de las políticas gubernamentales "por delitos menores y, lo que es más importante, para obtener beneficios políticos". El tratado de la ONU no debería dar a los gobiernos una base jurídica para justificar el uso de poderes de vigilancia ilimitados para delitos mal definidos que podrían explotarse en beneficio político, delitos menores o delitos que son intrínsecamente incompatibles con la legislación internacional sobre derechos humanos, especialmente cuando esto puede conducir a horrores como la tortura o las desapariciones forzadas. Seguiremos abogando por que se refuercen las salvaguardias para restringir el uso indebido de los poderes de vigilancia por parte de las fuerzas de seguridad.

La convención propuesta debe representar una norma mínima y no un límite máximo: debe servir como punto de partida, no como umbral superior. Y no debe utilizarse para socavar las sólidas salvaguardias nacionales preexistentes en materia de derechos humanos.

Está previsto que el convenio propuesto se adopte en enero de 2024. Prevemos que los Estados miembros se esforzarán por alcanzar un consenso para fomentar la adopción generalizada del proyecto de texto. Es posible que se celebre una votación si no se alcanza un consenso tras agotar todas las tácticas de negociación, ya que lo que está en juego y las amenazas que aborda esta propuesta de convención son importantes. Por el momento, no está claro si los Estados miembros llegarán a un acuerdo en enero o si será necesario ampliar el plazo.

Estas son dos entradas que resumen nuestras primeras conclusiones tras una revisión inicial de los borradores cero; tendremos más que decir antes de la reunión de Nueva York del mes que viene. Merece la pena recordar el principio de las negociaciones multilaterales según el cual "nada está acordado hasta que todo esté acordado".

¿Qué contiene el borrador cero?

La mayoría de las propuestas para incluir explícitamente los delitos no relacionados con la ciberdelincuencia se han suavizado, pero el texto del artículo 17 sigue siendo ambiguo y excesivamente amplio.

Los textos anteriores de disposiciones no negociadas contenían más de 30 delitos, como el tráfico de drogas, incluidos sólo porque se utilizaban sistemas informáticos en la comisión del delito. El nuevo borrador suprime algunos de estos delitos y ya no hace referencia explícita a delitos no relacionados con la ciberdelincuencia. Efectivamente, esto significa que bajo esta convención, sólo los ciberdelitos "principales" -no los delitos en los que el autor utiliza el correo electrónico, sino los delitos dirigidos a sistemas informáticos, como el uso de malware para entrar en un sistema informático- deberían ser los únicos definidos como "ciberdelitos". Sin embargo, se trata de una victoria agridulce. La lista de delitos en el borrador cero se ha hecho más corta, un gran alivio, con la mayoría de los delitos no cibernéticos eliminados, como defendimos. Sólo 11 de los 30 delitos se enumeran explícitamente en el borrador cero. Lamentablemente, estos delitos no se han eliminado del todo, aunque no se han vuelto a incluir en su forma original. Los Estados han hecho un compromiso, recortando la lista de delitos, pero dejando más espacio a los poderes de espionaje transfronterizo para investigar y perseguir estas listas de delitos.

 Además, el preámbulo del borrador cero (párrafo 3) sigue haciendo referencia a la preocupación de los Estados por el impacto de los sistemas informáticos en la escala, la velocidad y el alcance de delitos como el "terrorismo", "la trata de personas, el tráfico ilícito de migrantes", "la fabricación y el tráfico ilícitos de armas de fuego, sus piezas, componentes y municiones", y "el tráfico de drogas y el tráfico de bienes culturales".

 Esto sugiere un deseo de ampliar el alcance de la recogida y el intercambio de pruebas, incluso a través de las fronteras, más allá de los delitos explícitamente indicados en el texto, lo que puede intentarse, por ejemplo, invocando el artículo 17 de carácter abierto o el concepto de "delitos graves", "otros delitos" o simplemente actos ilegales. Por lo general, el preámbulo no es jurídicamente vinculante ni directamente aplicable; sin embargo, según la Convención de Viena sobre el Derecho de los Tratados, desempeña un papel crucial a la hora de determinar el contexto para interpretar la convención y aclarar la intención de los redactores.

Los delitos relacionados con la libertad de expresión ya no están explícitos en el borrador del Tratado, pero el artículo 17 revive de forma encubierta delitos no cibernéticos y delitos relacionados con la libertad de expresión como ciberdelitos
De forma similar a la sección anterior, las versiones anteriores del texto no negociado que condujeron al borrador cero habían propuesto docenas de nuevos delitos relacionados con el contenido en línea. Esto habría criminalizado ciertos discursos como ciberdelitos por el mero hecho de haber sido publicados en línea. Incluía disposiciones que habíamos criticado por excesivamente amplias, mal definidas y subjetivas; como hemos señalado antes, disposiciones similares en distintos países se han utilizado ampliamente contra periodistas, activistas y defensores de los derechos humanos. Entre ellos se incluían delitos que carecían de definiciones universalmente aceptadas -de los que muchos Estados han abusado para reprimir la libertad de expresión o asociación-, como la violación de los derechos de autor, los "delitos relacionados con el extremismo", los "delitos relacionados con el terrorismo" y la distribución de materiales "motivados por el odio político, ideológico, social, racial, étnico o religioso" y "la propagación de la discordia, la sedición, el odio o el racismo", entre otros.

 Esta larga lista de delitos relacionados con el contenido se ha eliminado del capítulo de penalización. Lamentablemente, el borrador cero del nuevo artículo 17 obliga a los Estados a aplicar la convención a los delitos "establecidos de conformidad con otras convenciones y protocolos internacionales", lo que reintroduce algunos de estos delitos no cibernéticos de nuevo en el texto y los convierte en ciberdelitos. Tales modificaciones pueden hacerse sobre la base de que la versión off line ya existe en tratados anteriores y para utilizar el artículo 17 con el fin de ampliar el alcance de la recogida transfronteriza de pruebas para la investigación de los delitos contemplados en el artículo 17. Estos tratados y protocolos internacionales pueden abarcar desde los acuerdos comerciales hasta el tráfico de drogas, pasando por los tratados que puedan llegar a ser aplicables en el futuro. 

Se han eliminado por completo las técnicas especiales de investigación, pero se mantienen los poderes de recogida e interceptación en tiempo real

Las versiones anteriores del texto no negociado autorizaban extrañamente a los Estados miembros a adoptar legislación que permitiera el uso de "técnicas especiales de investigación", sin definir en qué consistían. Este lenguaje podría haber permitido cualquier tipo de tecnología de vigilancia, desde malware a IMSI catchers, policía predictiva y otras herramientas de vigilancia masiva. Sin embargo, el borrador cero contiene otras disposiciones en materia de investigación, incluidos poderes muy intrusivos para la recopilación en tiempo real de datos de tráfico y la interceptación de comunicaciones.

Estos dos poderes de vigilancia fueron dejados de lado en "consultas informales" en sesiones anteriores, y ahora vuelven a estar en el borrador cero, y se debatirán por primera vez en la sesión plenaria de agosto. Ya habíamos pedido anteriormente la supresión de estos poderes porque hemos observado una falta de consenso entre los Estados miembros para incluir salvaguardias jurídicas sólidas. Pero nuestra preocupación va más allá: existen enormes disparidades entre los Estados miembros en cuanto al nivel de protección de este tipo de datos, lo que incluye preocupaciones sobre el Estado de Derecho y la falta de imparcialidad e independencia del poder judicial.

Copiar, Pegar, Repetir los Problemas de Vigilancia Doméstica: Vuelve el lenguaje del Convenio de Budapest de 2001, ahora con salvaguardias diluidas contra los poderes de vigilancia

Las propuestas sobre el capítulo de procedimiento penal y aplicación de la ley (Capítulo IV) se basan ahora directamente, casi palabra por palabra, en el texto preexistente del Convenio de Budapest sobre Ciberdelincuencia de 2001, que tiene muchos problemas, pero que muchos países ya han firmado. Lamentablemente, algunas disposiciones problemáticas del Convenio de Budapest se importaron al por mayor y, cuando se introdujeron modificaciones, debilitaron las salvaguardias y las limitaciones a los poderes de vigilancia.

Oportunidad perdida: Las facultades de vigilancia policial transfronteriza deben contar con salvaguardias férreas para proteger la intimidad y los derechos de libertad de expresión de los usuarios

El Convenio de Budapest contiene una disposición sobre condiciones y salvaguardias que establece controles y equilibrios en el uso de los poderes de vigilancia, algo positivo aunque no tan sólido como desearíamos. El borrador cero, en una de las relativamente pocas desviaciones del lenguaje de Budapest, en realidad diluye las salvaguardias. Aunque mantiene la referencia al principio de proporcionalidad, no incluye explícitamente el principio de necesidad. El proyecto de convenio, al menos, no sólo debería mantener los principios esbozados en el artículo 15 del Convenio de Budapest, sino que debería ampliar el artículo para incorporar salvaguardias adicionales.

En particular, debe exigir una base fáctica que justifique el acceso o la aplicación de los poderes de vigilancia; y la obligación de exigir una justificación válida y fundamentada para invocar y aplicar estos poderes procesales. Estos poderes deben basarse en hechos objetivos y verificables y establecer normas mínimas claras. Sin estas disposiciones, el convenio podría permitir un uso arbitrario, sesgado o especulativo de la vigilancia. Debería exigirse una autorización previa independiente, preferiblemente judicial, de los poderes de vigilancia. Esta salvaguarda sirve como capa adicional de protección para evitar posibles abusos, reforzando la rendición de cuentas y defendiendo el Estado de Derecho. El artículo también debería exigir a los Estados que publiquen "periódicamente datos estadísticos sobre el uso de las facultades y los procedimientos", para aumentar aún más la transparencia y la rendición de cuentas. Este control proporciona una capa de responsabilidad para asegurarse de que los Estados no se están extralimitando o abusando de sus poderes y permite el escrutinio público y el debate.

 Aunque mantener y ampliar las salvaguardias es un paso inicial crucial hacia la adopción de una convención que respete los derechos humanos, estas salvaguardias por sí solas seguirán siendo insuficientes. Como hemos señalado antes, existe una llamativa ausencia de un sistema sólido y eficaz para hacer cumplir los derechos humanos a escala internacional, y la mayoría de los países occidentales han mostrado vacilaciones a la hora de controlar sus propios poderes excesivos de vigilancia. Tomemos, por ejemplo, los esfuerzos de la OCDE para restablecer la confianza en los flujos de datos transfronterizos, tras las revelaciones de Snowden. La iniciativa establece principios esenciales que incluyen el principio de proporcionalidad, necesidad y legalidad. Sin embargo, el texto también afirma irónicamente que las prácticas de vigilancia de los firmantes están en consonancia con los derechos humanos, a pesar de los numerosos contraejemplos que sugieren lo contrario.

 Por último, para que la Convención se convierta realmente en un instrumento respetuoso con los derechos humanos, debería, como mínimo, autorizar a los órganos de derechos humanos de la ONU a examinar la aplicación de la Convención y evaluar el cumplimiento por parte de los Estados de las salvaguardias de la Convención, así como de las obligaciones de los Estados en virtud de los tratados de derechos humanos.

Conclusión

En la Parte II de nuestros análisis, revisaremos las preocupantes disposiciones del borrador cero que amplían el alcance de las medidas procesales penales, la cooperación internacional, tratan la doble incriminación como opcional y dejan fuera las salvaguardas de los derechos humanos. Seguiremos proporcionando actualizaciones a medida que desarrollemos nuestras posiciones y nos preparemos para debatir estas preocupaciones en persona el mes que viene en Nueva York.