Borrador de los Principios internacionales sobre vigilancia de las communicaciones y derechos humanos

Nuestro objetivo es que estos principios le brinden a los grupos de la sociedad civil, la industria y los gobiernos un marco para evaluar si las leyes o proyectos de vigilancia actuales son compatibles con los derechos humanos. Nos preocupa ver cómo los gobiernos están fallando en desarrollar marcos legales que se adhieran a las normas internacionales de derechos humanos y que protejan adecuadamente la privacidad de comunicaciones, en particular a la luz de las innovaciones en las leyes y técnicas de vigilancia.

Estos principios son el resultado de una consulta con expertos de grupos de la sociedad civil y la industria en todo el mundo. Todo comenzó en una reunión en Bruselas en octubre de 2012 en la que se buscaba abordar las preocupaciones comunes relativas a la expansión global del acceso del gobierno a las comunicaciones. Desde aquella reunión en Bruselas hemos llevado a cabo nuevas consultas con expertos internacionales en leyes, políticas y tecnologías vinculadas a la vigilancia de las comunicaciones.[1]

Estamos lanzando una consulta mundial sobre estos Principios. Por favor, envíenos sus comentarios y sugerencias hasta el 3 de enero de 2013 por correo electrónico a la dirección: rights (arroba) eff (punto) org.

Preámbulo

La privacidad es un derecho humano fundamental y esencial para el mantenimiento de las sociedades democráticas. La privacidad es esencial para la dignidad humana, refuerza otros derechos, como el de la libertad de expresión y de asociación, y está reconocida en las leyes internacionales de derechos humanos.[2] Sólo se pueden justificar las actividades que atentan contra el derecho a la vida privada, incluyendo la vigilancia de las comunicaciones personales por parte de las autoridades públicas, cuando son necesarias para perseguir una finalidad legítima, proporcional en sentido estricto, y prescrita por la ley.[3]

Antes de la adopción pública de Internet, existían principios jurídicos bien establecidos y cargas logísticas inherentes al seguimiento de las comunicaciones que generalmente limitaban el acceso a las comunicaciones personales por parte de las autoridades públicas. En las últimas décadas, estas barreras logísticas a la vigilancia masiva se han reducido de forma significativa. La explosión de los contenidos digitales de las comunicaciones y la información acerca de las comunicaciones, o “metadatos de las comunicaciones”, el costo cada vez menor de almacenar y analizar grandes conjuntos de datos, y la entrega de contenidos personales a los proveedores de servicios hacen posible la vigilancia a una escala sin precedentes.[4]

A pesar de que se acepta universalmente que el acceso al contenido de las comunicaciones sólo debe ocurrir en situaciones excepcionales, la frecuencia con la que las autoridades públicas están buscando acceder a la información sobre las comunicaciones de una persona, o el uso de dispositivos electrónicos están aumentando dramáticamente y sin una supervisión adecuada.[5] Cuando se acceden y se analizan los metadatos de las comunicaciones, es posible crear un perfil de la vida privada de un individuo, incluyendo enfermedades, creencias políticas y religiosas, interacciones e intereses, y divulgar un perfil con un mayor nivel de detalle que el que se obtendría analizando sólo el contenido de la comunicación.[6] Sin embargo, los instrumentos legislativos y políticos a menudo permiten que los metadatos de las comunicaciones tengan un menor nivel de protección y no imponen suficientes restricciones en la forma en que estos datos pueden ser utilizados posteriormente por las agencias, incluyendo cómo son extraídos, compartidos y retenidos.

Por lo tanto es necesario que los gobiernos, las organizaciones internacionales, la sociedad civil y los proveedores privados de servicios establezcan el mínimo nivel de protección necesario para las comunicaciones digitales y los metadatos de las comunicaciones (colectivamente “información”) para que se correspondan con los objetivos establecidos en los instrumentos internacionales sobre derechos humanos, incluyendo el de una sociedad democrática regida por el estado de derecho. Los objetivos de estos Principios son:

  1. Proporcionar orientación para los cambios legislativos y avances relacionados con las comunicaciones y los metadatos de las comunicaciones, para asegurar que el uso generalizado de la tecnologías modernas de comunicación no resultan en una drástica erosión de la privacidad.
  2. Establecer las garantías adecuadas para regular el acceso por parte de las autoridades públicas (agencias gubernamentales, departamentos, servicios de inteligencia o las agencias del orden público) a las comunicaciones y a los metadatos de las comunicaciones sobre el uso individual de un servicio electrónico o medio de comunicación.

Hacemos un llamado a los gobiernos para que establezcan protecciones más fuertes, como imponen sus constituciones y las obligaciones de derechos humanos, o como ellos reconozcan que los cambios tecnológicos u otros factores requieran una mayor protección.

Estos Principios se centran principalmente en los derechos para ser reivindicados en contra de las actividades de vigilancia del estado. Notamos que los gobiernos están obligados no sólo a respetar los derechos humanos en sus propias conductas, sino también a proteger y promover los derechos humanos de las personas en general.[7] Las empresas están obligadas a seguir las reglas de protección de datos y, sin embargo también deben responder a las solicitudes legales. Al igual que otras iniciativas,[8] esperamos brindar un poco de claridad, proporcionando los siguientes Principios sobre cómo las leyes estatales de vigilancia deben proteger los derechos humanos.

Los Principios

Legalidad: Cualquier limitación al derecho a la privacidad debe estar prescrita por la ley. Ni el Poder Ejecutivo ni el Judicial podrán adoptar o implementar una medida que interfiera con el derecho a la privacidad sin que antes exista una decisión de la Legislatura, la cual sea el resultado de un proceso amplio y participativo. Dada la velocidad de los cambios tecnológicos, las leyes que habilitan limitaciones sobre el derecho a la privacidad deben estar sujetas a revisiones periódicas por medio de un proceso legislativo participativo o un proceso regulatorio.

Propósito Legítimo: Las leyes sólo deben permitir el acceso a las comunicaciones o a los metadatos de las comunicaciones por las autoridades públicas autorizadas, con fines de investigación y en la busca de un propósito legítimo, en consonancia con una sociedad libre y democrática.

Necesidad: Las leyes que permiten el acceso a las comunicaciones o metadatos de las comunicaciones por las autoridades públicas autorizadas deben limitar este acceso a lo que es estrictamente necesario y demostrable, en el sentido de que existe una justificación muy positiva, y justificable en una sociedad democrática para que la autoridad persiga sus fines legítimos, y que de otro modo sería incapaz de seguir. La carga de la prueba para establecer esta justificación, tanto en los procesos judiciales como en los procesos legislativos, reside en el gobierno.

Adecuación: Las autoridades públicas deben abstenerse de adoptar o implementar cualquier medida intrusiva que permita el acceso a las comunicaciones o metadatos de las comunicaciones que no sea apropiada para el cumplimiento de los fines legítimos que justifican el establecimiento de dicha medida.

Autoridad Competente: Las autoridades capaces de adoptar decisiones relativas a las comunicaciones o metadatos de las comunicaciones deben ser competentes, actuar con independencia y contar con los recursos adecuados para el ejercicio de las funciones que se le asignen.

Proporcionalidad: las autoridades públicas sólo deben ordenar la conservación y el acceso a las comunicaciones o metadatos de las comunicaciones identificados específicamente, caso por caso, y de de acuerdo con una base legal específica. Las autoridades competentes deberán garantizar que se cumplan todos los requisitos formales y deberá determinar la validez de cada intento específico para acceder o recibir comunicaciones o metadatos de las comunicaciones. También deberán garantizar que cada intento es proporcionado en relación con los fines específicos de cada caso concreto. Las comunicaciones y metadatos de las comunicaciones son inherentemente sensibles y su adquisición debe ser considerada como altamente intrusiva. Por lo tanto, las solicitudes deberán establecer, como mínimo, que a) que existe un alto grado de probabilidad de que se ha cometido o se cometerá un grave delito; b) y que la evidencia de este crimen se podrá encontrar accediendo a las comunicaciones o metadatos de las comunicaciones buscadas; c) que se han agotado otras técnicas de investigación menos invasivas; y d) que existe un plan para asegurarse que la información recogida será únicamente la información razonablemente relacionada con el delito y que cualquier exceso en la información recolectada será inmediatamente destruido o devuelto. Ni el ámbito de aplicación de los tipos de información, el número o el tipo de personas de los cuales se busca su información, la cantidad de datos buscados, los datos retenidos en poder de las autoridades, ni el nivel de confidencialidad otorgada a la solicitud deben ir más allá de lo que constituye una necesidad demostrable para alcanzar los fines de una investigación específica.

Debido proceso: El debido proceso exige que los gobiernos respeten y garantizen los derechos humanos individuales, que cualquier interferencia con esos derechos será autorizada por la ley, y que el procedimiento legal que rige la forma en que el gobierno puede interferir con esos derechos está indicado debidamente y disponible para el público en general.[9] Si bien las investigaciones penales y otras razones de seguridad pública pueden justificar un acceso limitado a la información por las autoridades públicas, el otorgamiento de dicho acceso debe estar sujeto a las garantías de imparcialidad procesal. Todas las solicitudes de acceso deben estar sujetas a la autorización previa de una autoridad competente, salvo cuando exista un peligro de vida.[10]

Notificación del usuario: Sin perjuicio de la notificación y los requisitos de transparencia que deben asumir los gobiernos, los proveedores de servicios deben notificar a un usuario que una autoridad pública ha solicitado sus comunicaciones o metadatos de las comunicaciones, con el tiempo suficiente y la información sobre la petición para que el usuario puede impugnar la solicitud. En los casos específicos en los que la autoridad pública solicita retrasar la notificación al usuario afectado, o en una situación de emergencia en la cual el tiempo suficiente puede no ser razonable, debe obligarse a que la autoridad le demuestre a la autoridad judicial competente que analiza el pedido que dicha notificación pondría en peligro el curso de la investigación. En estos casos, es responsabilidad de la autoridad pública notificar a la persona afectada y al proveedor de servicios tan pronto como pase el riesgo o cuando concluya la investigación, según lo que ocurra primero.

La transparencia sobre el uso de la vigilancia del gobierno: La ley debe prescribir las capacidades de acceso de las autoridades públicas y el proceso de acceso, lo que debe ser transparente para los ciudadanos. El gobierno y los proveedores de servicios públicos deben proporcionar la máxima transparencia posible sobre el acceso de las autoridades públicas, sin poner en peligro las investigaciones en curso, y con la información suficiente para que los individuos tengan suficiente conocimiento para comprender plenamente el alcance y la naturaleza de la ley y, llegado el caso, recurrir a la justicia. Los proveedores de servicios también debe publicar el procedimiento que aplican para hacer frente a las solicitudes de datos de las autoridades públicas.

Supervisión: Se debe establecer un mecanismo de supervisión independiente para asegurar la transparencia de las solicitudes legales de acceso. Este mecanismo debe tener la autoridad para acceder a la información sobre las acciones de las autoridades públicas, incluido, cuando proceda, acceso a la información reservada o clasificada, para evaluar si las autoridades públicas están haciendo un uso legítimo de sus funciones legales, y para publicar informes periódicos y de datos relevantes sobre el acceso legal. Esto se suma a la supervisión ya proporcionada a través de otra rama del gobierno, como el Parlamento o una autoridad judicial. Este mecanismo debe ofrecer - como mínimo - información agregada sobre el número de solicitudes, el número de solicitudes que fueron rechazadas, y una especificación del número de solicitudes por proveedor y por tipo de delito.[11]

Integridad de las comunicaciones y sistemas: Los proveedores de servicios tienen la responsabilidad de transmitir y almacenar las comunicaciones y los metadatos de las comunicaciones de forma segura y en el grado que sea mínimamente necesario para la operación. Es esencial que las nuevas tecnologías de la comunicación incorporen mecanismos de seguridad y privacidad en las fases de diseño. Para, en parte, garantizar la integridad de los sistemas de los proveedores de servicios, y para reconocer el hecho de que comprometer la seguridad por los propósitos del gobierno casi siempre afectará la seguridad de manera más general. Los gobiernos no podrán obligar a que los proveedores de servicios integren mecanismos de vigilancia o capacidad de monitoreo en sus sistemas. Los gobiernos tampoco podrán exigir que estos sistemas sean diseñados para almacenar o retener información específica para los organismos policiales o para fines de vigilancia. Por otra parte, nunca se podrá exigir a los proveedores de servicios que retengan o recolecten datos a priori y las solicitudes de preservación de las comunicaciones y metadatos de las comunicaciones deberán decidirse caso por caso. Por último, las capacidades actuales deben ser objeto de auditoría por un organismo independiente de supervisión pública.

Garantías para la cooperación internacional: En respuesta a los cambios en los flujos de la información y las tecnologías y servicios que ahora se utilizan para comunicarse, los gobiernos pueden tener que trabajar de forma transfronteriza para combatir el crimen. Los tratados de asistencia legal mutua (MLAT, por su sigla en inglés) deben garantizar que, cuando podría aplicarse a las comunicaciones y a los metadatos de las comunicaciones leyes de más de un estado, se aplicará el estándar más alto disponible. Los procesos de asistencia legal mutua, y la forma en que se utilizan, también deben estar claramente documentados y abiertos al público. Los procesos deben distinguir cuando las agencias del orden público pueden colaborar para fines de inteligencia o compartir la evidencia actual. Por otra parte, los gobiernos no pueden utilizar la cooperación internacional como un medio para vigilar a los ciudadanos de una manera que sería ilegal en virtud de sus propias leyes. Los estados deben verificar que los datos recolectados o entregados, y el modo de análisis bajo los MLAT, se limita realmente a lo permitido. En ausencia de un tratado de asistencia legal mutua, los proveedores de servicios no deben responder a las solicitudes del gobierno de un país en particular solicitando información de los usuarios, si estas peticiones no incluyen las mismas garantías que los proveedores requerirían de las autoridades nacionales, y si las garantías no coinciden con estos principios.

Garantías contra el acceso ilegítimo: Para proteger a las personas contra los intentos injustificados de acceder a sus comunicaciones y metadatos de las comunicaciones, los gobiernos deben asegurarse que aquellas autoridades y organizaciones que inician, o son cómplices, en una interceptación o acceso innecesario, desproporcionado o extra-legal, sean objeto de suficientes y significativas sanciones disuasorias, incluyendo la protección y recompensas para los informantes, y permitiendo que las personas afectadas por dichas actividades puedan tener acceso a vías de reparación. Cualquier información obtenida de una manera que sea incompatible con estos principios es inadmisible como prueba en cualquier procedimiento, así como cualquier evidencia derivada de dicha información.

El costo de la vigilancia: El costo económico de proporcionar acceso a los datos de los usuarios debe ser asumido por la autoridad pública a cargo de la investigación. Las restricciones financieras brindan un control institucional sobre el uso excesivo de las solicitudes, pero los pagos no deberán superar los costes reales en que el proveedor de servicios incurre para revisar y responder a las órdenes. Esto último proporcionaría un incentivo económico perverso que va en contra de los los derechos de los usuarios.

Notas al Pie

  1. ^ Para obtener mayor información sobre los antecedentes de estos Principios y el proceso de su elaboración, ver https://www.privacyinternational.org/blog/towards-international-principles-on-communications-surveillance/.
  2. ^ Artículo 12 de la Declaración Universal de los Derechos Humanos, Artículo 14 de la Convención de las Naciones Unidas sobre Trabajadores Migrantes, Artículo 16 de la Convención de las Naciones Unidas para la Protección del Niño, Artículo 17 del Pacto Internacional de Derechos Civiles y Políticos; convenciones regionales, incluidas el Artículo 10 de la Carta Africana sobre los Derechos y el Bienestar del Niño, el Artículo 11 de la Convención Americana sobre Derechos Humanos, el Artículo 4 de los Principios de la Unión Africana para la Libertad de Expresión, el Artículo 5 de la Declaración Americana de los Derechos y Deberes del Hombre, el Artículo 21 de la Carta árabe de Derechos Humanos, y el Artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades fundamentales; Principios de Johannesburgo sobre Seguridad Nacional, Libertad de Expresión y Acceso a la Información, Principios de Camden para la Libertad de Expresión y la Igualdad.
  3. ^ Martin Scheinin, “Informe del Relator Especial sobre la promoción y protección de los Derechos Humanos y las libertades fundamentales en la lucha contra el terrorismo”, pág. 11, disponible en http://www2.ohchr.org/english/issues/terrorism/rapporteur/docs/A_HRC_13_37_AEV.pdf. Ver también las observaciones generales Nº 27, adoptadas por el Comité de Derechos Humanos, de conformidad con el Artículo 40, Apartado 4, del Pacto Internacional de Derechos Civiles y Políticos, CCPR/C/21/Rev.1/Add.9, 2 de noviembre de 1999, disponible en http://www.unhchr.ch/tbs/doc.nsf/0/6c76e1b8ee1710e380256824005a10a9?Opendocument.
  4. ^ Los metadatos pueden incluir información acerca de nuestras identidades (información de suscriptor, información del dispositivo), intereses, incluyendo enfermedades, religión, opiniones políticas (sitios web visitados, libros y otros materiales leídos, vistos o escuchados, las búsquedas realizadas, los recursos utilizados), interacciones (orígenes y destinos de las comunicaciones, personas con las que se interactuó, amigos, familiares, conocidos), ubicación (lugares y tiempos, proximidades con los demás); en resumen, los registros de casi todas las acciones de la vida moderna.
  5. ^ Por ejemplo, sólo en el Reino Unido, hay aproximadamente 500.000 solicitudes de metadatos de las comunicaciones cada año, y actualmente existe un régimen de ‘auto-autorización’ de los organismos policiales, quienes están facultados para autorizar sus propias solicitudes de acceso a la información que se encuentra en poder de los proveedores de servicios. Entretanto, los datos proporcionados por los Informes de Transparencia de Google muestran que.
  6. ^ Ver como ejemplos la reseña del trabajo de Sandy Petland, ‘Reality Mining’, en MIT’s Technology Review, 2008, disponible en http://www2.technologyreview.com/article/409598/tr10-reality-mining/ o Alberto Escudero-Pascual y Gus Hosein, ‘Cuestionando el acceso legal a los datos de tráfico’, Comunicaciones de la ACM, Volúmen 47 Número 3, marzo de 2004, páginas 77 - 82.
  7. ^ Reporte de Frank La Rue, Relator Especial para la Libertad de Expresión de la Organización de las Naciones Unidas, 16 de mayo de 2011, disponible en http://www2.ohchr.org/english/bodies/hrcouncil/docs/17session/a.hrc.17.27_en.pdf.
  8. ^ La Global Network Initiative establece normas para ayudar al sector de las TICs a proteger la privacidad y la libre expresión de sus usuarios. Ver http://www.globalnetworkinitiative.org.
  9. ^ Tal como se define en las convenciones internacionales y nacionales mencionadas más arriba.
  10. ^ Cuando en esos casos de emergencia no se aplica la revisión judicial, una orden debe ser tratada con carácter retroactivo dentro de las 24 horas.
  11. ^ Un ejemplo de este tipo de informes es el Reporte de Escuchas de los EE.UU, publicado por el organismo nacional del servicio judicial. Desafortunadamente, esto aplica sólo a la intercepción de comunicaciones y no al acceso de los metadatos de las comunicaciones. Ver http://www.uscourts.gov/Statistics/WiretapReports/WiretapReport2011.aspx. El Comisionado de interceptación de las comunicaciones de Reino Unido publica un informe que incluye algunos datos agregados, pero que no provee los datos suficientes para analizar los tipos de pedidos, el alcance de cada solicitud de acceso, el propósito de las solicitudes, y su supervisión. Ver http://www.intelligencecommissioners.com/sections.asp?sectionID=2&type=top.