Democracia Vigilada
Criminalización de la privacidad y la libertad en la red en la propuesta de ciberdelito del gobierno de Chile
A fines de octubre pasado, el presidente Sebastián Piñera firmó el Proyecto de Ley de Delitos Informáticos bajo la idea de fortalecer los sistemas de ciberseguridad del país. El proyecto, que busca materializar el Convenio de Budapest, espera ser discutido en el congreso y reemplazar la anterior normativa sobre esta materia. Si bien es cierto que no existe un marco jurídico adecuado para enfrentar los delitos que involucren los medios digitales, la propuesta del gobierno no promueve la seguridad digital, sino que más bien se trata de un ataque directo a la privacidad de las personas y a su capacidad para proteger su información, transformando la privacidad y la seguridad digital en un delito potencial.
La seguridad digital reducida a la acción criminal
La propuesta de Ley de Delitos Informáticos describe una serie de delitos digitales y sus sanciones con el objetivo de crear un marco jurídico que hasta ahora no existe de manera detallada. Para impulsarla, se toma como base las especificaciones generales que establece el Convenio de Budapest sobre cibercrimen, al cual Chile adhiere desde el 2016. Además, la propuesta señala nuevas atribuciones de investigación para el Ministerio Público y especificaciones para la retención y almacenamiento de la información de la población.
El problema que enfrentamos ante esta propuesta es que al abarcar tan ampliamente la actividad digital exclusivamente desde una ley penal, la ciberseguridad queda reducida a una tarea de persecución y castigo. Esto ocurre porque, en el proyecto, las condiciones de delito digital, y las garantías técnicas para su investigación, son lo suficientemente amplias como para que todo lo relacionado con la ciberseguridad sea una materia criminal. Así, desde las técnicas de protección de nuestros datos –el cifrado– y hasta nuestra información privada quedarían criminalizadas o bajo vigilancia permanente, desplazando el lugar central de la seguridad digital por la sola persecución de delitos. En definitiva, este proyecto de ley NO busca la seguridad de las personas, sino que pretende conseguir la capacidad para vigilarlas y desprotegerlas.
Hay algunos aspectos centrales en la propuesta que muestran las graves y autoritarias atribuciones que atentan contra los derechos básicos y la seguridad digital de cada uno de nosotros.
La Criminalización del Cifrado
En términos de seguridad digital, el cifrado es indiscutidamente una herramienta esencial que hace efectiva la posibilidad de resguardarnos. Todas las formas de seguridad de sitios web, empresas, bases de datos y sistemas de mensajerías se basan en algún tipo de implementación de técnicas de cifrado, que evitan que la información sea accesible y robada por cualquiera. Ahora bien, no solo las plataformas digitales y las instituciones utilizan el cifrado para resguardar su información, sino que también es una técnica fundamental para proteger la seguridad de las personas en contextos digitales. Más allá de si se trata de enfrentar un intento de robo de datos o resguardarnos de una organización comercial que intenta violar nuestra privacidad, lo que atraviesa todo esto es que el usar cifrado permite garantizar el resguardo de nuestra información y de nuestras comunicaciones. Por este motivo, instituciones, comercios y personas en todo el mundo utilizan cifrado para la seguridad digital, es decir, cualquier estrategia de ciberseguridad debiese concebir el cifrado como una práctica fundamental y por ende debe ser fomentado.
Pese al hecho de que, desde diversas miradas nacionales e internacionales, existe un reconocimiento de que el cifrado de extremo a extremo es la tecnología fundamental para toda propuesta de ciberseguridad; el gobierno de Chile hace oídos sordos y parece querer desconocer la realidad, incluyéndolo como agravante en el artículo 9 del proyecto:
- Utilizar tecnologías de encriptación sobre datos informáticos contenidos en sistemas informáticos que tengan por principal finalidad la obstaculización de la acción de la justicia.
El problema esencial de esta consideración es que, como ya alerta Derechos Digitales, no se puede distinguir con certeza cuándo una tecnología, tan importante y usada como el cifrado, es utilizada con “principal finalidad“ de obstaculizar la justicia y cuándo para resguardar los datos personales o institucionales. El único modo de tener seguridad digital es empleando la mayor cantidad de cifrado en los servicios informáticos que usamos y en nuestros propios datos. De hecho, ya lo hacemos. Al usar Whatsapp, redes sociales o al conectarnos a un sitio web que empiece con https, estamos utilizando un servicio digital que cifra sus conexiones. A su vez, podemos emplear nuestro propio cifrado con programas que permiten hacerlo.
De este modo, no se debiese admitir como agravante delictual el uso una tecnología de seguridad que ya está masificada y que es sinónimo de seguridad. Es tan absurdo como considerar agravante de un delito el vivir en una casa en la que cerramos con llave la puerta. Por ello, la criminalización del cifrado desincentiva la seguridad digital en las personas y en las instituciones, permitiendo además una interpretación arbitraria y autoritaria por parte Estado sobre qué cosas son delito.
Peor aún, dada la dificultad de discernir jurídicamente la “finalidad” de usar cifrado, el hecho de estar siendo investigado supondría la existencia de este agravante antes de llegar siquiera a declarar la culpabilidad o no de quien es investigado. Así, bastaría con que la investigación penal detecte el uso de cifrado en la persona investigada y la dificultad para acceder a sus datos para asumir que su uso es obstaculizar la justicia, por lo cual esta ley produce el crimen que quiere encontrar. Nuestra propia seguridad digital se transformaría en un agravante criminal previo, sin haber cometido necesariamente delito alguno. Es justamente por motivos como este que la ONU considera que es necesario fomentar el uso de las técnicas de cifrado y que los Estados no deben poner trabas a su implementación. Pese a esto, históricamente existen muchos antecedentes de políticas estatales, para nada accidentales, en contra del uso masivo del cifrado.
El Espionaje Masivo y la Privacidad como Pre-Delito
Una de las garantías mínimas de un proceso jurídico convencional es que la vigilancia de una persona solo puede ocurrir cuando ya está en curso una investigación basada en sospechas fundadas. Sin embargo, la propuesta de ley del gobierno establece una situación distinta. El punto B del artículo 16, exigirá a las empresas y proveedores de telecomunicaciones que almacenen, al menos por 2 años, todos los “datos relativos al tráfico” de las comunicaciones para que siempre estén a disposición del ministerio público. Estos datos, o metadatos, son la información acerca de nuestros hábitos digitales: ubicación, tiempo de conexión, con quién se habla, por medio de qué plataforma, con qué dispositivo, etcétera. La relevancia de los metadatos es que construyen un mapa, segundo a segundo, de lo que hacemos y establecen un perfil de nuestra identidad y de las personas con las cuales nos relacionamos. Por este motivo, la implementación del proyecto de ley del gobierno impondría una vigilancia masiva de las comunicaciones y de la actividad digital de todos los ciudadanos.
Lo anteriormente señalado vulnera las garantías mínimas que debe tener un Estado de Derecho, al que el gobierno dice respetar pero que a todas luces no honra en la práctica con su compromiso. Su propuesta de ley busca asumir que ser ciudadano consiste en estar vigilado, ya que desde la perspectiva penal que promueve, toda actividad digital es un delito potencial. Sin considerar las repercusiones sociales y políticas de su propuesta, esta iniciativa busca establecer un nivel de vigilancia que ni siquiera existía en los totalitarismos del siglo pasado, pero que ahora bajo la bandera de la “lucha contra el crimen” parece un acto loable y bien intencionado. Moleste a quien le moleste, la propuesta es claramente una forma más en que el autoritarismo institucional pretende extenderse y acotar las posibilidades de seguridad y libertad de la población.
No es primera vez que un gobierno impulsa iniciativas que atentan contra la libertad de las personas, de hecho, durante el anterior gobierno ya se había intentado establecer estas medidas extremas de vigilancia con el denominado Decreto Espía. Sin embargo, la Contraloría General de la República determinó que era inadmisible que materias medidas que vulneraban la privacidad se promulgaran como un decreto del gobierno y no por medio de una ley. En esta ocasión, con la experiencia anterior, vuelve a aparecer el decreto espía en forma de “pequeña” incorporación dentro de un proyecto de ley más amplio, buscando cumplir esta vez con todas las formalidades para legalizar la vigilancia masiva. Por esto, no es de extrañar que, en este nuevo intento, el propio Hernán Larraín, uno de los que denunció ante la Contraloría el problema legal del Decreto Espía, ahora sea uno de los firmantes, en calidad de ministro, del proyecto de ley con las mismas propuestas invasivas a la privacidad.
Es en este contexto que debemos ser enfáticos y recordar que la Vigilancia Masiva, que es utilizada por muchos Estados y que ha sido denunciada como práctica abusiva incluso por el Parlamento Europeo, no debe ser aceptable en ningún caso, no solo porque es un atentado flagrante contra la libertad de las personas y contra la autonomía de las comunidades, sino que además ni siquiera garantiza cumplir su objetivo de combatir el crimen o el terrorismo.
La Ambigüedad como Fuerza Jurídica
Si bien los contenidos penales ya descritos sobre la propuesta de ley son lo suficientemente graves como para entender que amenazan elementos esenciales de la libertad, la privacidad y los derechos mínimos que las hacen posibles, la propuesta posee otro recurso más para validar su fuerza: la ambigüedad.
En el artículo 2 del proyecto se define que Acceso ilícito es “El que indebidamente acceda a un sistema informático”. De modo similar, el artículo 1 indica que Perturbación informática es
El que maliciosamente obstaculice o perturbe el funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de datos informáticos.
Una vez establecidas estas definiciones, la propuesta pasa a la tipificación de delitos en términos de acceso indebido y de perturbación, por lo que la base de sus categorías penales descansa en estas consideraciones. Si bien el problema de la definición específica es frecuente en los textos jurídicos, en este caso no es algo menor.
Efectivamente, como se trata de una ley penal, establecer definiciones vagas como “indebido”, “perturbación” o “malicioso” supone necesariamente que la ley tendrá que especificarse en el propio proceso de investigación. Como el texto no contiene la categorización suficiente como para evitar abusar de sus propios criterios, quedará en manos de las policías y los aparatos jurídicos especificar los contextos que determinen la existencia de un crimen, restando sentido al proceso legislativo y potenciando la actividad policial como forma de realizar la justicia penal.
De este modo, la ambigüedad se transforma en fuerza jurídica que, dadas las anteriores condiciones sobre el cifrado y la vigilancia, permiten generar un proyecto de ley que como mínimo es autoritario y, además, un atentado enfático a los derechos y libertades que el propio gobierno dice defender.
La libertad y la seguridad digital no son delito
Existen más elementos en la propuesta de ley que agravan todavía más su aplicación, como el uso de “técnicas especiales de investigación” que carecen de la claridad suficiente como para discernir sobre su validez. Sin embargo, los elementos antes señalados construyen el marco legal que permite la aceptación por parte de las instituciones estatales y privadas de la vigilancia masiva y la criminalización autoritaria. Por este motivo, es necesario rechazar categóricamente sus elementos centrales:
- La Criminalización del Cifrado
- La vigilancia masiva por medio de la retención de datos
- La utilización expresiones ambiguas para definir delitos
Debemos oponernos a esta propuesta de ley mientras mantenga alguno de estos contenidos y formas, cuyo efecto es criminalizar las acciones sociales que realizamos en los medios digitales. Además, es necesario difundir el derecho al uso libre del cifrado y masificarlo, para así demostrar que su implementación no es una actividad criminal sino una necesidad para la seguridad digital y la libertad de expresión de la sociedad. Es urgente discutir cómo queremos relacionarnos con la tecnología y ser activos y críticos ante una avanzada política que pretende arrebatarnos la posibilidad de resguardarnos y ejercer nuestra libertad en la red.