Esta es la segunda parte de la serie de artículos de la EFF sobre la propuesta de Convención de la ONU contra la Ciberdelincuencia. Lee la Parte I para conocer los pormenores del borrador cero;  la Parte III para profundizar en el Capítulo V relativo a la cooperación internacional: el contexto histórico, el enfoque del borrador cero, el alcance de la cooperación y la protección de los datos personales, y  la Parte IV, que  trata la  penalización de la investigación sobre seguridad .

A medida que se acerca una de las últimas sesiones de negociación para ultimar el Convenio de las Naciones Unidas sobre la Ciberdelincuencia, es importante recordar que el resultado y las implicaciones de las conversaciones internacionales van mucho más allá de las salas de reuniones de las Naciones Unidas en Viena y Nueva York. Representantes de más de 140 países de todo el mundo con prácticas policiales muy divergentes, como Irán, Rusia, Arabia Saudí, China, Brasil, Chile, Suiza, Nueva Zelanda, Kenia, Alemania, Canadá, Estados Unidos, Perú y Uruguay, se han reunido a lo largo del último año para impulsar sus posiciones sobre lo que el proyecto de convenio debería decir acerca de los poderes policiales transfronterizos, el acceso a los datos privados, la supervisión judicial de las prácticas de enjuiciamiento y otras cuestiones espinosas.

Como señalábamos en la Parte I de este post sobre el borrador cero del proyecto de convenio que está ahora sobre la mesa, el texto final dará lugar a la reescritura de leyes penales y de vigilancia en todo el mundo, a medida que los Estados miembros incorporen a sus marcos jurídicos los requisitos, autorizaciones y protecciones acordados. Millones de personas, incluidas las que a menudo están en el punto de mira de los gobiernos por defender los derechos humanos y abogar por la libertad de expresión, se verán afectadas. Por eso nosotros y nuestros aliados internacionales hemos estado luchando por los usuarios para garantizar que el proyecto de convenio incluya sólidas protecciones de los derechos humanos.

De cara a la sexta sesión de negociaciones, que comienza el 21 de agosto en Nueva York, el resultado de las conversaciones sigue siendo incierto. Aún quedan por resolver diversos asuntos, y la finalización del intrincado texto se enfrenta a plazos cada vez más cercanos. El principio fundamental de las negociaciones - "nada está acordado hasta que todo esté acordado"- subraya la complejidad y la delicada naturaleza de estas discusiones. Cada elemento del proyecto de convenio está interrelacionado, y la resolución de un aspecto depende de la consonancia de todas las demás áreas del texto.

En la Parte I, compartimos nuestras conclusiones iniciales sobre el borrador cero: se eliminaron algunas disposiciones perjudiciales, pero siguen existiendo poderes de espionaje ambiguos y excesivamente amplios para investigar cualquier delito, incluidos potencialmente los relacionados con la libertad de expresión. En la Parte II profundizaremos en una de las disposiciones más preocupantes del Convenio: los poderes de vigilancia nacional.

Estas disposiciones dotan a los gobiernos de amplios poderes de vigilancia, pero sólo ofrecen débiles controles y equilibrios para evitar posibles extralimitaciones en la aplicación de la ley. Los Estados podrían abusar de estos poderes tergiversando la libertad de expresión como ciberdelincuencia y explotando el amplio alcance de estos poderes de espionaje más allá de su propósito inicial. Aunque defendimos con éxito la exclusión de muchos de los delitos no cibernéticos más problemáticos de la sección de criminalización del borrador de la convención, el borrador sigue permitiendo a las fuerzas de seguridad recopilar y compartir datos para la investigación de cualquier delito, incluidos los delitos relacionados con el contenido, en lugar de limitar estos poderes a los ciberdelitos principales. Las obligaciones existentes en materia de derechos humanos en virtud del artículo 5, aunque son una inclusión positiva, no son lo suficientemente sólidas. En combinación con la ambigüedad inherente al proyecto, esto podría dar lugar a una aplicación abusiva o desproporcionada de estos poderes de vigilancia nacional.

A continuación, hablaremos del capítulo sobre espionaje doméstico del proyecto de convenio:

Medidas procesales penales (capítulo IV, artículo 23)

El artículo 23 de este capítulo amplía de manera preocupante el ámbito de aplicación del capítulo relativo a los poderes de vigilancia. Describe procedimientos para tratar no sólo los ciberdelitos especificados (los de los artículos 6 a 16), sino también para la recogida de pruebas electrónicas relacionadas con cualquier tipo de delito, independientemente de su gravedad o de si está conectado a un sistema informático. Esta ampliación significa que los poderes de espionaje nacional pueden utilizarse para investigar cualquier delito, desde ciberdelitos como la piratería informática hasta delitos tradicionales no relacionados con la ciberdelincuencia como el tráfico de drogas -incluso delitos de expresión en algunas jurisdicciones, como insultar a un monarca- siempre que haya pruebas digitales de por medio.

Además, el artículo 23 no estipula claramente que los poderes establecidos deban utilizarse únicamente para investigaciones o procedimientos penales específicos y selectivos; aunque la redacción del proyecto de convenio no obliga explícitamente a los proveedores de servicios a retener indiscriminadamente datos para la vigilancia masiva o expediciones de pesca, tampoco lo impide claramente.

Nuevos poderes de espionaje nacional

El proyecto de capítulo sobre medidas procesales penales introduce seis facultades de espionaje nacional (conservación acelerada de datos almacenados, conservación acelerada y revelación parcial de datos de tráfico, orden de presentación, registro e incautación de datos almacenados, recogida en tiempo real de datos de tráfico e interceptación de datos de contenido) con implicaciones de gran alcance para los derechos humanos. Si se hace un mal uso de estos poderes o se aplican de forma excesivamente amplia, pueden producirse graves intromisiones en la vida privada de las personas. Los datos personales pueden revelar información privada detallada de una persona, como contactos, historial de navegación, ubicación, detalles del dispositivo y pautas de comportamiento. Por ejemplo, una serie de búsquedas en Internet, visitas y llamadas telefónicas pueden revelar el estado de salud de una persona. El acceso a los datos personales representa una importante injerencia en el derecho a la intimidad y debe tratarse con las salvaguardias necesarias, como autorización judicial previa, transparencia, notificación, recursos, plazos y supervisión.

Por eso los Estados deben garantizar salvaguardias sólidas y detalladas en el proyecto de convenio. La EFF y más de 400 ONG han abierto el camino, presentando en 2014 los Principios Necesarios y Proporcionados, un conjunto de directrices que sirven de modelo sobre cómo aplicar la legislación de derechos humanos a la vigilancia de las comunicaciones. En informes judiciales y otros materiales, hemos debatido la sensibilidad de los datos de las comunicaciones y la aplicación de estos principios, incluidos los metadatos y los datos de los abonados. Pero, en su forma actual, las salvaguardias de derechos humanos del proyecto de convenio simplemente no son lo suficientemente sólidas como para proteger contra el uso indebido de los datos personales. Hay varios requisitos fundamentales que brillan por su ausencia.

Salvaguardias de los derechos humanos (artículos 5 y 24)

El proyecto de convenio contiene dos artículos sobre derechos humanos: una disposición general, el artículo 5, que se aplica a todo el proyecto de convenio, y el artículo 24, que describe las condiciones y salvaguardias aplicadas a los nuevos poderes de vigilancia nacional. Creemos que la versión actual del artículo 24 no proporciona las sólidas salvaguardias necesarias para proteger los derechos humanos y frenar la extralimitación de las fuerzas del orden, por lo que debería revisarse.

Por ejemplo, debe exigir la aprobación previa de un juez, fijar plazos y ofrecer a los objetivos un recurso si son espiados injustamente. También debería exigir a las autoridades que expliquen específicamente qué hechos justifican la interceptación de las comunicaciones de determinadas personas, y por qué. Y debe exigir a los gobiernos que informen al público de la frecuencia con que se han utilizado estos poderes. Llevamos años luchando en todo el mundo por salvaguardias obligatorias como éstas, por ejemplo a través de amicus curiae en casos judiciales, por ejemplo, nuestro amicus conjunto con ARTICLE19 y Privacy International, así como a través de los Principios Necesarios y Proporcionados .

Además, el artículo 24 sólo menciona el principio de proporcionalidad, omitiendo otros principios igualmente importantes, como los de legalidad y necesidad. Deja en manos de los Estados la decisión sobre qué tipo de supervisión es "apropiada en vista de la naturaleza de" cada poder de espionaje, lo que potencialmente permite a los Estados alegar que algunos poderes no requieren limitaciones o supervisión significativas. No existen salvaguardias o derechos mínimos específicos para los objetivos de la vigilancia, ni siquiera para las disposiciones de vigilancia más intrusivas que autorizan la recopilación de datos en tiempo real o la interceptación de contenidos.

Mientras tanto, el Artículo 5 dice que la "implementación" de sus obligaciones bajo el nuevo borrador de convención será "consistente con las obligaciones [de los estados] bajo el derecho internacional de los derechos humanos". Aunque esto suena bien, también puede interpretarse que sólo se aplica a los tratados de derechos humanos que un Estado determinado ya ha ratificado, lo que supone una gran laguna jurídica para los Estados. gran vacío legal  para  Estados como China, Bután, Brunei, Santa Sede, Arabia Saudí, Omán, Palaos, Niue, Myanmar, Malasia, Kiribati, Singapur, Sudán del Sur, Tonga, Emiratos Árabes Unidos y Cuba, que no han firmado o ratificado las principales normas de derechos humanos, como el Pacto Internacional de Derechos Civiles y Políticos (PIDCP), que otros Estados sí han ratificado.

Ante la oposición de algunos Estados a las salvaguardias de los artículos 5 y 24, e incluso las propuestas de suprimir el artículo 5, es fundamental considerar lo que realmente está en juego. Es importante señalar que estos artículos no duplican ni abarcan todo, sino que se aplican estrictamente a las disposiciones del propio convenio, ofreciendo un alcance crucial a estas competencias. La integración de los derechos humanos en el proyecto de convenio no es una cesión de soberanía, sino un reconocimiento de la responsabilidad compartida de los Estados de defender nuestra dignidad humana común. Estos derechos, universales por naturaleza, establecen las normas básicas para que todos vivamos libres de injusticia y persecución. No se trata sólo de una cuestión semántica o de tecnicismos jurídicos, la inclusión de estos artículos es fundamental para garantizar que el proyecto de Convención de las Naciones Unidas sobre la Ciberdelincuencia, en todos sus capítulos, incorpore el compromiso de los Estados de proteger y defender los derechos humanos.

En sesiones anteriores, algunos Estados abogaron por la eliminación del Artículo 5 o la consolidación de las protecciones en un único artículo, pero nosotros creemos fervientemente que reforzar el Artículo 5 es primordial. Lo más alarmante es que, a diferencia del Documento Consolidado de Negociación (CND) - un borrador anterior con las posiciones de todos los Estados-, el Artículo 24 del borrador cero ya no se aplica al capítulo de cooperación internacional. Esta cuestión es muy preocupante, ya que abre la puerta a la "explotación jurisdiccional", en la que un Estado podría aprovecharse de estas diferentes normas de salvaguardias nacionales para llevar a cabo actividades de vigilancia en una jurisdicción menos protegida que se considerarían ilegales por sí mismas. Reforzando las normas universales de salvaguardia, como se propone en los artículos 5 y 24, se podrían mitigar eficazmente estos posibles abusos.

La versión actual del proyecto de convenio, carente de salvaguardias sólidas, corre el riesgo de permitir un uso discrecional o prejuicioso de los poderes de vigilancia. Nuestra nueva conjunta  presentación  con  Privacy International para la próxima sexta sesión de negociación ha propuesto salvaguardias explícitas (en nuestra versión actualizada del artículo 24) siempre que se concedan nuevos poderes a las fuerzas del orden. También creemos en la necesidad de que los proveedores de servicios denieguen las solicitudes de datos por motivos de derechos humanos. Nunca se insistirá lo suficiente en la necesidad de adoptar los cambios que sugerimos para el artículo 24 y reforzar el artículo 5. Estas modificaciones despejarían ambigüedades y reforzarían la protección de los datos personales. Estas modificaciones eliminarían ambigüedades y garantizarían el cumplimiento de los derechos humanos universalmente reconocidos, tanto dentro del proyecto de convenio como a escala mundial. Lamentablemente, la Convención de Budapest carece de una disposición similar al artículo 5 del borrador cero, que se aplica a todos los capítulos del proyecto de convención de la ONU. Esto es preocupante, dado que la mayoría de los Estados democráticos han propuesto habitualmente un texto basado en el lenguaje que ya existe en la propia Convención de Budapest, y apenas han introducido modificaciones.

Definiciones (artículo 2)

Otro motivo de preocupación es el término recurrente e indefinido "autoridades competentes", que aparece en todo el borrador cero. En particular, las seis competencias enumeradas anteriormente incluyen una disposición similar, que establece que "Cada Estado Parte adoptará las medidas legislativas y de otro tipo que sean necesarias para habilitar a sus autoridades competentes." Sin embargo, el término aún no figura en el artículo 2 del borrador cero, que enumera las definiciones de los términos. En el contexto de la Convención de Budapest, este término se ha definido en sentido amplio para incluir a diversas entidades, como los fiscales o la propia policía, que carecen de imparcialidad e independencia. Si el concepto de "autoridades competentes" se copia literalmente del Convenio de Budapest, se corre el riesgo de reproducir sus deficiencias. Ello se debe al importante potencial de extralimitación y abuso de poder por parte de autoridades que no son imparciales ni independientes, lo que suscita serias preocupaciones.

Interceptación de datos de contenido (artículo 30)

Esta facultad permite la interceptación de datos de contenido en tiempo real, otorgando a las fuerzas del orden la capacidad de vigilar las comunicaciones en el momento en que se producen. El Artículo 30 pide a los Estados Partes que adopten medidas legislativas que faculten a las "autoridades competentes" para recopilar o registrar datos de contenido en tiempo real para "una serie de delitos graves que determinará la legislación nacional", sin restricción a los ciberdelitos. La noción de "delitos graves" de algunos Estados puede incluir expresiones sobre política o religión, o críticas al gobierno o a funcionarios públicos. También exige la cooperación de los proveedores de servicios para ayudar en la recopilación o grabación de datos "dentro de [sus] capacidades técnicas existentes". Además, se puede ordenar a los proveedores de servicios (que pueden ser cualquier tipo de intermediario de comunicaciones, como un proveedor de servicios de Internet, una red social o un proveedor de servicios en la nube) que mantengan la confidencialidad de la interceptación.

Como mencionamos anteriormente, este tipo de poder de vigilancia intrusiva debería requerir la aprobación previa de un juez, establecer límites de tiempo para la interceptación y proporcionar a los objetivos un recurso efectivo si son espiados injustamente. Nuestra nueva presentación conjunta con Privacy International para la próxima sexta sesión de negociación pide que se expliciten algunas de estas salvaguardias y que estos poderes se limiten a los ciberdelitos concretos de los artículos 6 a 16 definidos en el proyecto de convenio.

Cuando el proyecto de convenio habla de "contenido", se refiere a "la sustancia o el propósito" de la comunicación, "como texto, mensajes de voz, grabaciones de audio, grabaciones de vídeo y otros tipos de información". Entendemos que "otros tipos de información" podrían incluir cosas como imágenes o archivos adjuntos a un correo electrónico. Nos gustaría ver más claridad, por ejemplo, en el tratamiento de la navegación web, para asegurarnos de que las páginas que alguien visita en un sitio web, como los artículos de Wikipedia, se consideran contenido. Esta información es potencialmente sensible, ya que puede revelar detalles sobre los intereses e incluso las creencias de una persona. Llevamos años argumentando que la distinción entre contenido y no contenido es obsoleta para evaluar el carácter intrusivo de la vigilancia y la sensibilidad de la información privada. Muchas cuestiones de privacidad dependen de esta distinción, que a menudo ya no puede soportar el peso que se le atribuye. (Véase "Cambios tecnológicos y definiciones" en los Principios Necesarios y Proporcionados para ver un ejemplo). Entendemos que numerosas leyes han utilizado estos conceptos, a menudo a raíz del Convenio de Budapest, por lo que ir más allá de ellos sigue siendo un reto, pero seguimos luchando por una mayor protección de la información sensible de todo tipo.

Una forma de salvaguardar estos datos sensibles en el proyecto de convenio es reforzando el artículo 24 para aplicar expresamente principios y salvaguardias de manera uniforme a todo tipo de poder de vigilancia. Pero si eso no es posible, deberíamos proporcionar protecciones sólidas como las descritas anteriormente.

La recogida de datos de tráfico en tiempo real también es muy intrusiva (artículo 29)

La recogida de datos de tráfico en tiempo real permite comprender las pautas de comunicación y las conexiones entre distintas entidades. Se trata también de una facultad altamente intrusiva. Dado el carácter sensible de los datos de tráfico en tiempo real, que podrían abarcar la ubicación de las personas, sus relaciones, sus hábitos de navegación y sus pautas de comunicación, la adopción de tales medidas debe tratarse con sumo cuidado.

Basándose en la definición de datos de tráfico del artículo 2, se podría argumentar que incluye información de localización. Los datos de tráfico incluyen datos utilizados para rastrear e identificar el origen y el destino de una comunicación, así como datos sobre la ubicación del dispositivo utilizado para la comunicación, junto con la fecha, la hora, la duración y el tipo de comunicación.

Este poder puede ayudar a las fuerzas de seguridad a trazar el mapa de las redes de ciberdelincuentes. Sin embargo, las implicaciones para la privacidad son considerables si este poder no se limita estrictamente ni se salvaguardan al máximo los datos, ya que podría utilizarse para rastrear el comportamiento en línea de personas inocentes, incluida su ubicación física. Esa información revela si las personas se encontraban en el mismo lugar en el mismo momento, y con quién se comunican o no en determinadas circunstancias, y permite trazar el mapa de sus relaciones personales y ubicaciones concretas a lo largo de un periodo de tiempo.

En virtud de este artículo, los Estados Partes deben aprobar leyes nacionales que autoricen a sus autoridades competentes a recopilar o registrar datos de tráfico en tiempo real, u obligar a los proveedores de servicios a hacerlo por ellos cuando los proveedores puedan. Pedimos que estos poderes sólo estén disponibles para los ciberdelitos definidos en los artículos 6 a 16 del proyecto de convenio, o como máximo para los delitos graves. En cualquier caso, las salvaguardias que proponemos en el artículo 24 deberían aplicarse a este poder, incluida la necesidad de obtener autorización judicial previa.

Registro e incautación de datos almacenados (artículo 28)

Esta disposición permite a las autoridades registrar y confiscar datos almacenados en un sistema informático, incluidos los dispositivos personales. En virtud de este poder de búsqueda, las autoridades pueden buscar en el ordenador u otros dispositivos digitales de alguien, encontrar los datos que necesitan y confiscarlos o asegurarlos.

El artículo 28.4 exige a las Partes que establezcan leyes u otras medidas que permitan a sus autoridades competentes ordenar a cualquier persona con conocimientos sobre el funcionamiento de un ordenador o dispositivo concreto que facilite la información necesaria para registrar dicho ordenador o dispositivo. Esto podría implicar la comprensión del propio dispositivo, su red, cualquier medida de seguridad que proteja sus datos u otros aspectos de su funcionamiento. Se trata de una redacción similar a la que ya figura en el Convenio de Budapest y que lleva años preocupando a los tecnólogos, ya que podría interpretarse como una forma de obligar a un ingeniero que no esté dispuesto a ayudar a romper un sistema de seguridad. En el peor de los casos, podría interpretarse que incluye órdenes desproporcionadas que pueden llevar a obligar a las personas a revelar al gobierno una vulnerabilidad que no se ha solucionado. También podría implicar obligar a las personas a revelar claves de cifrado, como las claves de firma, basándose en que son "la información necesaria para permitir" alguna forma de vigilancia.

PI y la EFF recomiendan encarecidamente que se elimine el artículo 28.4 en su totalidad. Si se mantiene, los redactores deberían incluir material en la exposición de motivos que acompaña al proyecto de Convenio para aclarar los límites a la hora de obligar a los tecnólogos a revelar información confidencial o a realizar trabajos en nombre de las fuerzas de seguridad. Una vez más, también sería conveniente disponer de normas jurídicas claras sobre cómo se puede autorizar a las fuerzas de seguridad a confiscar y examinar los dispositivos privados de las personas. El artículo 28.3(d), similar al texto del Convenio de Budapest, también permite a las fuerzas de seguridad obtener una orden para borrar datos de un dispositivo.

Orden de fabricación (artículo 27)

Esta facultad se divide en dos partes. El artículo 27(a) implica obligar a alguien a entregar datos almacenados que ya existen, normalmente datos almacenados como mensajes de usuarios, correos electrónicos, datos en la nube o incluso copias de seguridad en línea de los dispositivos de las personas. El artículo 27(b) obliga a los proveedores de servicios a entregar información sobre los abonados, como la identidad o la información de contacto de un usuario concreto.

La información de los abonados suele tratarse como menos sensible y está menos estrictamente protegida que otros tipos de datos, pero es el medio más común por el que las fuerzas de seguridad identifican a una persona asociada con alguna actividad en línea. En algunos estados, los gobiernos han buscado el acceso indiscriminado a estos datos (y por tanto a la capacidad de identificar personas) sin sospecha individualizada. En otros casos, pueden entregarse voluntariamente sin ningún proceso legal. La capacidad de poner nombres y direcciones a la información en línea se relaciona inmediatamente con el poder de intimidar y reprimir la disidencia, y hace que la gente dude de que pueda hacer cualquier cosa en línea sin que su nombre sea fácilmente entregado al gobierno. Estos escenarios subrayan la necesidad de que el proyecto de convenio exija normas legales para todo tipo de vigilancia, incluida la revelación de las identidades de los abonados.

Los tribunales de muchos lugares han  reconocido la importancia del anonimato en Internet y el perjuicio que supone para la libertad de expresión online que la identidad de las personas quede expuesta con demasiada facilidad. Deberíamos asegurarnos de que el borrador de la convención no impone un estándar bajo para identificar a los hablantes en línea, ni impide a los tribunales adoptar un estándar más alto en el futuro.

Conclusión

A medida que nos acercamos a la última sesión de negociación del Convenio de las Naciones Unidas sobre la Ciberdelincuencia, es importante subrayar la necesidad de reforzar las salvaguardias de los derechos humanos previstas en los artículos 5 y 24 para garantizar que el poder se corresponda con la rendición de cuentas, en lugar de inclinar la balanza a favor de salvaguardias débiles que no frenen suficientemente las extralimitaciones.

Las negociaciones del proyecto de convenio representan una batalla mundial infravalorada por nuestros derechos y libertades digitales. La conclusión de estas conversaciones influirá profundamente en la vida digital de miles de millones de personas en todo el mundo. Por ello, los Estados deben esforzarse por garantizar que el acuerdo resultante no menoscabe nuestros derechos humanos, sino que los refuerce y aumente. Los derechos digitales son derechos humanos, y nuestro futuro digital depende de las decisiones y acciones de los negociadores.