Traducción de Néstor Espinosa Robledo
Con el tiempo, los gobiernos han incrementado las tácticas y estrategias que utilizan para obtener acceso a los datos, incluido el acceso por voz y los datos de las comunicaciones de las personas. Particularmente, existe una tendencia que involucra acuerdos legales y técnicos que permiten a las autoridades gubernamentales acceder directamente a los flujos de datos, es decir, sin tener que solicitar permiso de acceso a los Proveedores del Servicio de Internet (PSI)que recopilan y/o transmiten los datos como parte de sus servicios, incluso sin notificación. Global Network Initiative (GNI por sus siglas en inglés) está cada vez más preocupada de que estos procedimientos a los que generalmente nos referimos como “acceso directo” en tanto que pueden constituir un impedimento en el ejercicio del derecho a la privacidad y otros derechos fundamentales.
Los procedimientos de acceso directo difieren de las solicitudes judiciales y los mecanismos de intercepción de las comunicaciones tradicionales. Primero, no suelen estar sujetos a los mismos mecanismos legales que median y supervisan las solicitudes de aplicación de la ley. Segundo, tienden a llevarse a cabo con una amplia gama de herramientas más allá de las soluciones de interceptación legal estandarizadas. Tercero, a veces no se reconocen ni se informan públicamente. Incluso cuando se encuentran consagradas en el marco legal, los detalles sobre cómo y cuándo se implementan suelen ser confidenciales. Por último, a diferencia de las solicitudes de acceso en aplicación de la ley, que tienden a basarse en objetivos concretos, los acuerdos de acceso directo suelen extraer datos de manera masiva.
Mientras que los procedimientos de acceso directo varían en su capacidad y ejecución dependiendo del país, estos comparten un resultado común: restringen la habilidad que tienen los Proveedores del Servicio de Internet para indagar, cuestionar y proporcionar información al usuario y la transparencia con respecto al acceso que tiene el gobierno. Cuando se excluye una empresa de esto, los gobiernos eliminan un actor importante y potencial para la protección de los derechos de los usuarios. Asimismo, y para empeorar esta situación, estos mecanismos a veces están autorizados por los gobiernos que tienen leyes o directivas secretas (resoluciones, decretos, circulares) redactadas de manera amplia que no concuerdan con estándares de transparencia (muchas veces a través de órdenes secretas a los operadores que les prohíbe reconocer su existencia) revisión independiente y responsabilidad.
En esta nota te mostramos las maneras en que el acceso directo se aplica en la práctica, los riesgos que tiene para los derechos humanos y las iniciativas que pueden ayudarte a mitigar dichos riesgos.
I. ¿Cómo funcionan los mecanismos de acceso directo?
Los procedimientos de acceso directo pueden no ser tecnológicos, pueden ser posibles a través de un uso mediano de la tecnología o un uso alto o intensivo de ésta . Por ejemplo, el acceso directo puede hacerse manualmente mediante acciones legales que exigen a los operadores de internet que den permiso de acceso a agentes gubernamentales a ciertos sectores y programas informáticos, mediante los cuales pueden monitorear y/o extraer datos de los usuarios a discreción. En otros escenarios, el acceso directo se logra a través de órdenes para que los Proveedores del Servicio de de Internet enruten sus redes a través de instalaciones gubernamentales o instalen alguna tecnología [1] que permita a los funcionarios gubernamentales extraer datos en masa. Además, algunos gobiernos pueden comprometer las redes de tecnología de la información sin el permiso de los operadores. Más allá de estas acciones, los agentes gubernamentales pueden realizar lo mismo utilizando software espía para extraer datos o interceptando las comunicaciones inalámbricas(por ej. vía satélite o Wi-Fi).
II. ¿Qué riesgos plantea el acceso directo para los derechos humanos?
Los regímenes de acceso directo tienden a eliminar a los proveedores de internet como una fuente potencial capaz de ejercer escrutinio, exigir transparencia y responsabilidad de las actividades de vigilancia efectuadas por el gobierno. Al hacerlo, aumentan significativamente el riesgo de que estas actividades resulten en una interferencia arbitraria o ilegal con los derechos de privacidad de los usuarios que poseen los servicios de internet.
Cuando se tiene conocimiento o se sospecha de estos procedimientos, es probable que también limiten los derechos a la libertad de expresión, el de asociación y reunión pacífica de las personas. Cuando los datos son extraídos a través del acceso directo se pueden utilizar para acusar, detener, condenar o encarcelar a personas, situación que podría infringir el derecho a la libertad, la seguridad de la persona y el debido proceso. En términos más generales, los Estados que recurren al acceso directo probablemente debilitan la confianza pública tanto en la responsabilidad del gobierno como en la fiabilidad y seguridad de las tecnologías de las comunicaciones. Este abuso de confianza puede llevar a consecuencias masivas y dañinas de tipo político, social y económico.
III. ¿Qué se puede hacer para evitar o mitigar estos riesgos?
Los gobiernos que estén considerando los procedimientos de acceso a los datos de los usuarios de las telecomunicaciones deben recordar y mantenerse fieles a sus compromisos políticos en torno al derecho internacional de los derechos humanos.
GNI pide a los gobiernos que utilicen únicamente medidas específicas y proporcionales y justificadas para acceder a los datos e información de los usuarios y que se abstengan de implementar o ampliar las políticas de acceso directo.
Si a pesar de nuestras observaciones, los gobiernos optan por implementar o ampliar políticas de acceso directo, con el fin de mitigar sus daños en la mayor medida posible, deben estar autorizados en leyes claras, de fácil acceso, comprensibles, transparentes, a las que se les pueda integrar mecanismos de rendición de cuentas.
Si bien el diseño de la legislación puede variar según el marco legal de cada país y otros factores contextuales, como mínimo deben cumplir lo siguiente: (i) proporcionar procedimientos de autorización, supervisión y reparación quesean suficientes para garantizar que la vigilancia realizada sea proporcional al fin permitido y que brindan garantías efectivas contra el abuso; [2] (ii) permitir que los Proveedores del Servicio de Internet divulguen información sobre la interceptación y el acceso a los datos en sus redes (o telecomunicaciones), y (iii) asegurar que el acceso se divulgue al usuario de manera oportuna en caso de que sean usados en procedimientos civiles, administrativos o penales.
Los gobiernos también deberían considerar el fortalecimiento de los controles de exportación de tecnologías que están destinadas a ser utilizadas en los procedimientos de acceso directo en países con antecedentes autoritarios y/o un Estado de Derecho débil, de acuerdo con los Principios Rectores de las Naciones Unidas para las Empresas y los Derechos Humanos. Las empresas que venden tecnologías que pueden ser utilizadas por los gobiernos para ser empleadas en los procedimientos de acceso directo deben considerar incluir requisitos de licencia relacionados con el respeto del debido proceso y los derechos a la libertad de expresión y privacidad.
IV. Para seguir adelante
Siguiendo con lo expuesto anteriormente, los procedimientos de acceso directo plantean amenazas a los derechos humanos que requieren mayor investigación y discusión. Esto incluye la necesidad de obtener más información sobre las medidas legales y técnicas, así como posibles variaciones o modificaciones a las mismas, además, un análisis adicional sobre sus impactos en los derechos humanos. GNI se compromete a seguir explorando este tema y da la bienvenida a otros que estén interesados en compartir información y colaborar con nosotros en este trabajo.
Referencias
Texto original disponible en: https://globalnetworkinitiative.org/defining-direct-access-2/
[1] A veces se les llama indirectamente “cajas negras”, que no es un término descriptivo muy útil. Además, estas tecnologías pueden incluir “conexiones a las redes”, “inspección profunda de los paquetes” y “proxies SSL”. Muchos de estos se pueden utilizar para fines legítimos de gestión de redes y de calidad de servicio, así como para facilitar la interceptación de comunicaciones. Estos pueden copiar flujos de comunicación completos sin interrumpir la actividad de comunicación original, tácticas que a veces también se denominan “duplicación” o “supervisión basada en sondeos”.
[2] En la decisión de 2015 Roman Zakharov de Rusia, en el Tribunal Europeo de Derechos Humanos dictaminó que las disposiciones legales de Rusia que rigen la interceptación de comunicación eran incompatibles con el artículo 8 del Convenio Europeo de Derechos Humanos porque no proporciona suficientes procedimientos de autorización para la supervisión de interceptaciones o la consagración de remedios efectivos efectivos.
Traducción licenciada con una licencia Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported