SANTO DOMINGO.- El presidente de la República Dominicana Luis Abinader impone ante el congreso proyecto de ley mordaza digital disfrazado para el combate de la ciberdelincuencia. La ley procederá a eliminar la 53-07 para permitir al Ministerio Público solicitar datos personales de cualquier ciudadano a todo proveedor de servicios, sin orden judicial previa, mecanismos de transparencia ni de rendición de cuentas que permitan controlar el uso de una herramienta de vigilancia que, además, puede ser utilizada para la investigación de cualquier delito, incluidos delitos menores o de bagatela.
La norma impuesta ante el congreso de la República, además impone un deber de secreto que hará imposible conocer con certeza el despliegue de intrusiones estatales que podrían afectar no solo el derecho a la privacidad de los ciudadanos, sino también la labor de periodistas y sus fuentes, medios de comunicación, organizaciones y movimientos sociales.
Vemos con preocupación la ambigüedad del texto legal al establecer como único requisito la existencia de una “investigación en curso”, sin siquiera exigir una especificidad individual, abriendo un amplio margen para solicitudes genéricas e indefinidas. En definitiva, el texto carece de las garantías de respeto y protección de derechos fundamentales que nuestra sistema jurídico exige para permitir el acceso a los datos personales de los ciudadanos.
Esta normalidad de la vigilancia estatal vulnera el derecho de todo ciudadano a no ser objeto de intrusiones gubernamentales injustificadas, uno de los pilares básicos de toda democracia, pues sin él resulta imposible el ejercicio de otros derechos tan fundamentales como la libertad de expresión, la libertad de asociación y la libertad de informar y ser informado, entre otros.
Siendo la separación y el control de los poderes de los organismos del Estado un eje central de todo sistema democrático, esperamos que el Congreso rechace cualquier norma que pretenda dotar al Estado de mayores herramientas de vigilancia sin contemplar los mecanismos necesarios para controlar su uso.
EL ORIGEN DEL PROYECTO DE LEY QUE ATENTA CONTRA LA PRIVACIDAD Y LIBERTAD DE EXPRESIÓN EN EL PAÍS
La Ley que Abinader sometio se basa en el Convenio sobre Ciberdelincuencia, mejor conocido como el Convenio de Budapest que la trabaja la organizacion de las naciones unidas (ONU), es un tratado internacional vinculante en materia penal, que establece herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos. El Convenio nació, como señala su preámbulo, en vista de la necesidad prioritaria de aplicar “una política penal común” entre sus miembros, así como de mejorar la cooperación internacional entre ellos con el fin de “proteger a la sociedad frente a la ciberdelincuencia”.
Republica Dominicana en el 2013 reafirmo su compromiso con el convenio, de esto surge una primera interrogante: ¿qué se debe entender por una “política penal común”? Para atender esta cuestión, habría que recurrir primeramente a la concepción de “derecho penal” en sí misma. Esta suele dividirse en dos aspectos, el derecho penal objetivo, “ius poenale” y el derecho penal subjetivo, “ius puniendi”. El primero refiere al “conjunto de normas públicas que definen determinadas acciones como delitos e imponen las penas correspondientes”. El segundo, a la facultad o potestad del Estado para imponer dichas penas a quienes incurran en estas acciones. El derecho penal, por tanto, resulta ser una atribución única y exclusiva del Estado. Solo a este le compete definir su política penal y sancionar a aquellos ciudadanos que actúen de forma contraria a la misma.
Entonces, la necesidad de aplicar una “política penal común” implica otorgarle a los Estados signatarios del Convenio la facultad de, en términos de su preámbulo, “detectar, investigar y sancionar” aquellas conductas que, de acuerdo a las definiciones establecidas por el mismo Convenio, constituyen actos que ponen en peligro los sistemas, redes y datos informáticos, con el fin de “proteger los intereses legítimos en la utilización y el desarrollo de las tecnologías de la información”. De lo anterior, surge una segunda interrogante: ¿a qué intereses legítimos se refiere el Convenio? ¿Intereses legítimos según quién o para quién? Al tratarse de una potestad exclusiva de los Estados, es claro que la “legitimidad” detrás de los intereses en juego también deberá definirse por estos.
Por tratarse de un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”, o ser el marco de referencia en este sentido, el Convenio incorpora, de manera por demás vaga, amplia y general, las conductas mínimas que cada Estado deberá criminalizar en su derecho interno para combatir este fenómeno. El problema es que no todos los Estados parten de los mismos contextos ni enfrentan los mismos obstáculos. No todos los Estados son igual de democráticos, no todos los Estados son igual de transparentes y no todos los Estados garantizan o priorizan de la misma forma el respeto a los derechos humanos.
El Convenio pretende la implementación de nuevos tipos penales, así como el establecimiento de facultades de investigación más robustas para que los Estados puedan perseguir a los “ciberdelincuentes”. No obstante, el Convenio y sus principales promotores probablemente parten del supuesto de que el país firmante es un país democrático, un país en el que se respeta el Estado de Derecho. También del supuesto común de que son los particulares o los entes privados los principales responsables de la comisión de delitos informáticos. ¿Pero qué pasa cuando se trata de Estados con regímenes poco democráticos y/o poco transparentes? ¿Qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?
Durante la elaboración del Convenio surgieron preocupaciones, sobre todo por parte de la sociedad civil, en torno a que bajo la narrativa de buscar “proteger a la sociedad frente a la ciberdelincuencia”, el instrumento fuera utilizado como fundamento para expandir facultades de vigilancia e implementar restricciones demasiado vagas o ilegítimas al uso de internet y al contenido en línea. De hecho, desde 2001 se han presentado diversas iniciativas por parte de Estados que, operando bajo la misma supuesta línea de querer combatir la “ciberdelincuencia”, pretenden criminalizar y restringir arbitrariamente el derecho a la libertad de expresión en línea.
En Republica Dominicana, por ejemplo, se ha documentado que autoridades han utilizado ataques informáticos para invadir la privacidad de defensores de derechos humanos, periodistas y otros actores de la sociedad civil. Según ha sido revelado, el Estado dominicano habría adquirido licencias de un costoso y sofisticado malware de vigilancia que, explotando vulnerabilidades en dispositivos electrónicos, permite al atacante tomar control absoluto del dispositivo con fines de vigilancia. Las investigaciones revelan que dicho malware de vigilancia se habría utilizado en contra de los defensores de derechos humanos, periodistas y otros actores de la sociedad civil de manera presumiblemente ilegal, al no mediar la autorización judicial pertinente, entre otros. Tal nivel de control e intrusión sobre las comunicaciones de una persona constituye una violación grave a su derecho a la libertad de expresión, a la privacidad e incluso, podría derivar en violaciones al derecho a la integridad y a la seguridad personal.
Cabe mencionar que estos hechos también implican la comisión de diversos delitos informáticos conforme al Convenio. Los mismos encuadran dentro de la descripción típica que hace este instrumento de los delitos de acceso ilícito, previsto en el Artículo 2; interceptación ilícita, previsto en el Artículo 3, y abuso de dispositivos, previsto en el Artículo 6, por ejemplo. Incluso, sin necesidad de recurrir al Convenio, esta violación grave implica la comisión de delitos que ya se encontraban tipificados en México, mucho antes de su comisión, como delitos graves.
Partiendo de un contexto como el anterior, ¿sería acorde a los principios y estándares internacionales en materia de derechos humanos el i) imponer la creación de nuevos tipos penales que dejan un amplio margen a la interpretación estatal, así como ii) dotar de mayores facultades de investigación a los Estados, con el fin “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, cuando existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos?
La respuesta más lógica sería que no, al contrario. Resultaría riesgoso otorgar mayores facultades de investigación, vigilancia, retención de datos y persecución de delitos (tipificados de forma todo menos precisa, clara y detallada) a países que, por mencionar un ejemplo, ya figuran entre los principales clientes de empresas de “ciberguerra” , como es el caso de NSO Group y México, los Emiratos Árabes Unidos y Turquía. Países que, se ha demostrado, en vez de recurrir a estas herramientas de “ciberguerra” en pro de la lucha contra el terrorismo y la delincuencia organizada, recurren a estas en contra de sus propios ciudadanos.
La creación del Convenio de Budapest como un intento de armonización en la materia pretendía justificarse a la luz de la complejidad técnica y la necesidad de colaboración internacional para afrontar el fenómeno de la “ciberdelincuencia”. Sin embargo, parece ser que a la fecha no se ha abordado lo suficiente el riesgo tangible que implicaría que, con base en el mismo Convenio, bajo el pretexto de “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, Estados con regímenes autoritarios o poco democráticos justifiquen violaciones a derechos humanos e incluso, paradójicamente, mediante el mal uso de las tecnologías de la información y las comunicaciones, cometan delitos informáticos en contra de sus ciudadanos.
En vista de que no se ha otorgado mayor consideración a esta posibilidad ni se ha discutido profundamente la misma, que es por demás factible, cobra fundamental importancia que la sociedad civil participe en los procesos de adopción e implementación del Convenio de aquellos Estados con contextos similares al de México, con altos índices de corrupción e impunidad y bajos niveles de transparencia y rendición de cuentas, que decidan adherirse al mismo. De igual forma, que la misma sociedad civil e incluso la comunidad internacional den especial seguimiento a los instrumentos jurídicos y mecanismos de cooperación que de ello deriven, incluyendo su respectiva aplicación.
Si dichos procesos de implementación, instrumentos jurídicos y mecanismos de cooperación no gozan de las debidas garantías de transparencia, publicidad, objetividad, imparcialidad, legalidad y exacta aplicación de la ley penal, así como de mecanismos suficientes de supervisión independiente y de rendición de cuentas, la efectividad del Convenio para alcanzar su objetivo -proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones- se tornaría lejana. Incluso, contraproducente.
A además del tratado Requeriría que las naciones encerraran a cualquiera que sea culpable de «insultar públicamente, a través de un sistema informático» a ciertos grupos de personas sobre la base de características como la raza o la etnia, un requisito que podría ser un delito enviar bromas por correo electrónico sobre los polacos o preguntarse si ocurrió el Holocausto.
El gobierno canadiense ha ya sugerido que el tratado sobre ciberdelincuencia, redactado por Consejo Europeo, pide a los proveedores de Internet que vuelvan a cablear sus redes para facilitar la vigilancia por parte de la policía y las agencias de inteligencia.
El tratado también incluye severas sanciones por derechos de autor. Él dice que las naciones participantes deben aprobar leyes penales dirigidas a la piratería y la elusión de Internet, una medida similar a Ley de derechos de autor del milenio digital– cuando los actos «se cometan voluntariamente, a escala comercial y mediante un sistema informático».
Otra sección requiere que las naciones participantes prohíban el acto de «poner a disposición» en Internet cualquier tipo de hardware o software diseñado para cometer una larga lista de delitos cibernéticos, incluida la «interceptación ilegal» o la «interferencia de datos». En algunos casos, incluso la mera posesión de dicho hardware o software debe tipificarse como delito.
El ePrivacy Center envió un carta El Comité de Relaciones Exteriores del Senado dijo el año pasado que el tratado no debería ser ratificado porque «crearía técnicas de investigación invasivas sin brindar garantías significativas de confidencialidad y libertades civiles».
En resumen el la ley de ciberdelincuencia busca que las autoridades encargadas de la procuración de justicia puedan hacer lo siguiente: (i) conservación rápida de datos informáticos almacenados; (ii) conservación y revelación parcial de los datos relativos al tráfico; (iii) orden de presentación; (iv) registro y confiscación de datos informáticos almacenados; (v) obtención en tiempo real de datos relativos al tráfico, e (vi) interceptación de datos relativos al contenido.
El proyecto de ley establece su propio ámbito de aplicación, sus principios rectores y las definiciones que para su aplicación corresponden. En su parte central, el proyecto tipifica cada uno de los ciberdelitos y los clasifica en ciberdelitos contra la confidencialidad, integridad y disponibilidad de datos y sistemas de información; ciberdelitos contra las personas; ciberdelitos financieros y de sustracción; ciberdelitos contra la propiedad intelectual; ciberdelitos contra las telecomunicaciones; y ciberdelitos contra la nación y ciberterrorismo
El proyecto de ley también dispone los organismos competentes para la persecución y enjuiciamiento de tales delitos, dentro de los cuales se incluyen el Ministerio Público, la Comisión Interinstitucional contra el Ciberdelito, el Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT) y la División de Investigación de Delitos Informáticos (DIDI).
Por otro lado, el proyecto define las reglas de derecho procesal, las cuales regulan aspectos diversos tales como las medidas de investigación, la recopilación y control de evidencias, el decomiso de bienes, la competencia jurisdiccional y la acción pública. También son contempladas de manera particular la sostenibilidad del sistema y la cooperación internacional.