Dejusticia-WHITE-with-transparent-background

Chuzadas legales: Más preguntas que respuestas

Vivian Newman Pont
noviembre 26, 2012

Publicado en: Razón Pública

El “síndrome de las chuzadas” despierta suspicacias frente a un Decreto reciente y difícil de aplicar: técnicamente no es fácil armonizar la obligación de investigar a los culpables con el derecho a la intimidad, el habeas data y la libre expresión.

 

El “síndrome de las chuzadas” despierta suspicacias frente a un Decreto reciente y difícil de aplicar: técnicamente no es fácil armonizar la obligación de investigar a los culpables con el derecho a la intimidad, el habeas data y la libre expresión.

¿Chuzadas versión 2.0?

El 15 de agosto de 2012, el gobierno expidió el decreto 1704 por medio del cual se reglamenta la posibilidad de interceptar comunicaciones y se faculta al Fiscal para buscar pruebas y personas en líos con la ley penal.

Para entender el impacto de esta norma y no repetir las malas experiencias con las chuzadas del DAS, es necesario conocer su origen y fundamento, para luego examinar los principios que deben orientar la posibilidad de interceptar comunicaciones y concluir con un análisis básico del decreto y los interrogantes que suscita su aplicación.

Origen y fundamento

Para comenzar, es clave conocer la norma original que consagra la posibilidad de que el Fiscal intercepte comunicaciones: el artículo 235 del Código de Procedimiento Penal. Este artículo ha sido modificado dos veces en ocho años y en cada ocasión se ha ampliado su cobertura, lo que a su vez ha aumentado el efecto colateral sobre los derechos de terceros:

En 2004, el Fiscal podía interceptar con el “único” objeto de buscar pruebas, sólo en el espectro electromagnético y por una solicitud inicial de tres meses.
Hoy en día, el objeto de la interceptación se ha ampliado, pues se refiere a cualquier red de comunicaciones y tiene un plazo de hasta seis meses.
En principio, por mandato constitucional, sólo pueden ser interceptadas o registradas las comunicaciones privadas, mediante orden judicial (artículo 15 del Código Penal). Lo que en español corriente se entiende con la palabra “mediante” indicaría que debe haber una orden judicial y que ésta ha de ser previa.
Esta exigencia queda corroborada, pues existe el delito de interceptación de datos informáticos, que castiga con pena de prisión a la persona que “sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático…” (Artículo 269 del Código Penal).

Sin embargo, la Corte Constitucional ha considerado que basta un control judicial posterior que legalice la interceptación del Fiscal (artículo 250-2 del Código Penal). En la tensión existente entre derechos fundamentales — como la intimidad — y la función de la Fiscalía General de investigar delitos, prima pues esta última [1]. Es decir, como el Estado tiene el deber de investigar para ofrecer seguridad a la ciudadanía, tiende a flexibilizar los derechos fundamentales que se ven afectados con esta intervención.

Por el momento, pues, — y aunque todavía no se puede afirmar que haya cosa juzgada definitiva sobre esta norma — la Fiscalía puede chuzar sin permiso previo y solo está sujeta a una revisión posterior. Pero esta facultad debe ejercerse con extremo cuidado, porque conlleva serias restricciones, por lo que resulta conveniente tener en cuenta algunos principios mínimos.

Principios que se deben respetar

Del decreto se desprende que el Fiscal — amparado en su enorme poder de chuzar sin control previo — tiene acceso legal a una cantidad ingente de información, lo que crea un alto riesgo de manipulación de datos y de bases de datos privados de personas no involucradas en delitos potenciales, al tiempo que somete a los usuarios de Internet a la intranquilidad de saberse vigilados. Y todo esto se autoriza bajo reglas opacas, pues la norma está escrita en términos vagos, como es frecuente en materia de vigilancia y, en particular, cuando hay tecnologías novedosas.

Así pues, normas poco claras amenazan los derechos fundamentales a la intimidad, el habeas data y la libertad de expresión, para darle cierta prevalencia a la investigación criminal.

Para avanzar en la armonización de estos dos extremos, son útiles los siguientes principios que se basan en estudios previos sobre vigilancia y derechos humanos [2]:

Necesidad: se debe tratar de información sin la cual las autoridades no pueden realizar su investigación criminal.
Proporcionalidad: sólo se debe solicitar información delimitada y específica y que sirva en un alto grado para evitar o sancionar un delito, luego de que las metodologías de investigación tradicionales se hayan agotado y bajo un plan para asegurar que cualquier información irrelevante sea destruida de manera inmediata.
Transparencia: los proveedores deben informar a los usuarios sobre el procedimiento de entrega de información a las autoridades.
Notificación: las autoridades deben informar a las personas afectadas tan pronto como concluya la investigación criminal o deje de ser necesaria la reserva.
Control de legalidad: como el control es posterior, el Fiscal debe rendir cuentas detalladas e integrales; el control no es sólo en cuanto a la orden del Fiscal de interceptar, sino en cuanto a los elementos que se obtienen de esa interceptación. Es decir que, además del cumplimiento de las reglas procedimentales, se deben demostrar la pertinencia y la totalidad de la información recolectada, al igual que la eliminación de los datos que no son relevantes.
Para evitar el posible abuso de poder, debe existir un contrapeso a la Policía Judicial y a la Fiscalía que represente los intereses privados de la ciudadanía, cuya información ha sido interceptada o cuyas bases de datos ya no están solamente en poder de los receptores originales.
Obligaciones para proveedores de Internet

El decreto que regula las chuzadas impone tres obligaciones principales a los proveedores de servicios de telecomunicaciones:

Garantizar los puntos de conexión y facilitar el acceso para la captura del tráfico que curse por sus redes;
Suministrar a las “autoridades competentes” los datos actualizados del suscriptor — identidad, dirección de facturación, etcétera…— conservándolos hasta por cinco años.
Suministrar en tiempo real la información de sus bases de datos para determinar donde están las terminales (computadores y otros dispositivos) de los usuarios.
Para entender el alcance de estas obligaciones es preciso imaginar la estructura y el funcionamiento de Internet – lo cual intentaré hacer aquí con muchísimas simplificaciones.[3]
El Internet es una red que transporta los datos hacia su destino no por una vía central y cerrada (como en el teléfono), sino por diferentes rutas y diferentes direcciones, dependiendo de factores como la velocidad de la conexión y el tipo y el tamaño de la información.

Los datos se separan en paquetes en el punto de origen, viajan por la red indiscriminadamente a través de enrutadores o nodos (como el router que uno tiene en su casa y que con los demás enrutadores son la columna vertebral del sistema) y se rearman en su estado original cuando llegan a su destino.

Así, por ejemplo, si A, desde una dirección IP llama por Skype a B que es otra dirección IP, la voz e imagen de A se descomponen y viajan por diferentes rutas y en diferentes paquetes mezclados con la voz, datos, video y texto de otra gente que está usando la red y se recomponen al llegar a B.

Muchas preguntas difíciles

Volviendo al decreto, la manera más sencilla de acceder a la información que transita por las redes y servicios de telecomunicaciones es a través de los intermediarios, que son como unos porteros y se conocen como prestadores de servicios de Internet y telefonía celular (como Telmex, ETB, Claro o Telefónica) y como operadores de servicios en línea (como Facebook y Google).

Por esto, el decreto impone a los proveedores la obligación de garantizar que haya puntos de acceso o puertas de entrada (backdoors), para cuando las autoridades requieran monitorear los paquetes y los enrutadores de la red para llegar a un destino.

El problema radica en que no existe un programa, un software o un dispositivo que permita monitorear o inspeccionar de manera profunda la información de una persona sin recibir la de otra que se encuentra en el mismo paquete o que use los mismos o similares nodos, porque entre otras cosas nunca se sabe exactamente por qué ruta o dirección circula la información, de manera que las autoridades tendrán que acceder a los paquetes y a las direcciones que llevan información de muchos abonados de ese proveedor, sin que puedan hacer ninguna distinción.

Como se puede apreciar, la estructura de Internet es muy distinta del sistema análogo, donde, por ejemplo, sólo se escuchaban las conversaciones que salieran o llegaran a un teléfono.

Son muchas las preguntas técnicas que surgen al tratar de aplicar el Decreto de manera adecuada. Se me ocurren algunas que se concentran en dos categorías:

las que se relacionan con los sujetos de las obligaciones;
las que atienden a la protección de la intimidad y datos personales.
Con respecto a la primera categoría, es importante asegurarse de que — si el Decreto se refiere a proveedores que desarrollen su actividad comercial en el territorio nacional — no cobije a universidades, bibliotecas o sistemas comunitarios que provean conexiones a redes:
Se entendería que Telmex y ETB tienen estas obligaciones, pero ¿Google y Facebook las tienen?
¿No es acaso ambiguo exigir a los proveedores que entreguen información de sus suscriptores “una vez cumplidos los requisitos legales a que haya lugar”?
¿Quiénes son “las autoridades competentes” a las que el proveedor tiene la obligación de suministrar la información?
Y en cuanto a los datos de terceros recogidos en el monitoreo que pueden no ser relevantes — por ejemplo, la foto de la novia desnuda o la dirección de facturación del servicio prestado al amante — es clave definir la tecnología que se utilizará y el máximo de protección de los derechos de otros usuarios:
¿Se pueden o se deben eliminar datos sabiendo que en Internet siempre se puede recuperar la información, dado que el borrado nunca es permanente?
¿Cómo distinguir esta interceptación del monitoreo del espectro electromagnético que ya la Corte (Comunicado de prensa No 27 de julio de 2012 de la Corte Constitucional que informa sobre la exequibilidad del proyecto de ley estatutaria de inteligencia y contrainteligencia) definió como “rastrear de manera aleatoria e indiscriminada un bien del Estado, sin que involucre seguimiento individual”, cuando enchufarse a las “backdoors” conlleva acceso indiscriminado a la información que fluye en la red?
¿Cómo se determina el nivel de la conexión específica a la que se enchufa la policía judicial: en función de la dirección IP que se investiga o alrededor de un dispositivo de una zona delimitada como puede ser un barrio?
¿No es excesivamente gravoso y complejo para los proveedores tener que guardar y proteger información por cinco años, cuando cada día hay nuevos hackers y nuevos métodos de sustraer información en la red?
Las preguntas anteriores deben responderse siguiendo los principios mínimos de protección de la intimidad y de los datos personales mencionados más arriba, para así armonizar mejor la tensión evidente en el Decreto entre la obligación estatal de investigar delitos mediante interceptación y la garantía de derechos fundamentales como la intimidad, el habeas data y la libertad de expresión.
De esta manera podremos entender el Internet como una herramienta de comunicación que contribuye a proteger y no a deteriorar la democracia.

Powered by swapps