Durante la primeras semanas de abril, delegaciones de todos los gobiernos del mundo se reunieron en la sede de la ONU en Viena para discutir el primer borrador de la futura convención internacional sobre usos criminales de las TIC. Debatieron sobre el tratado que establecerá el marco global sobre ciberdelitos, es decir, el instrumento internacional que definiría qué actividades en relación con la tecnología serán perseguidas penalmente por los Estados, las facultades de los mismos al investigar, qué tecnología podrán usar y cómo cooperarán. Por ejemplo, si habrá extradición por este tipo de crímenes.
Sobre la propuesta de un tratado mundial sobre ciberdelitos, varias organizaciones que nos dedicamos a la defensa de los derechos digitales hemos expresado nuestra oposición; señalando que este tratado no es necesario, pues ya existe un instrumento internacional que cuenta con amplio consenso como lo es Convenio de Budapest. Además, nos preocupa que el tratado que los países están construyendo no cuente con el soporte técnico y las salvaguardas necesarias y termine afectando los derechos a la libertad de expresión, la intimidad o el debido proceso de las personas. Aquí les compartimos algunos de los puntos que más han generado discusión:
Una convención con apoyos poco democráticos
La idea de crear un tratado global de ciberdelitos surgió de una propuesta de Rusia a través de una carta que se envió a la secretaría de la ONU y que fue apoyada por los gobiernos de Belarusia, Camboya, Venezuela, China, Corea del Norte, Nicaragua y Birmania. Todos países que, más allá de sus tendencias políticas, tienen en común políticas poco respetuosas de los derechos humanos.
A pesar de que hubo oposición de Estados Unidos y la Unión Europea, la propuesta terminó siendo aceptada y se conformó un comité especial para diseñar el borrador que se discutirá en la asamblea general en 2024.
Este comité especial se ha reunido en cinco ocasiones y en enero de este año se iniciaron las discusiones sobre el borrador que la presidenta del comité diseñó reuniendo las posiciones y propuestas de todos los países. Durante la quinta sesión, que acaba de terminar, se realizaron correcciones concretas al texto en los asuntos relacionados con cooperación internacional y capacidades de investigación. En enero se había discutido sobre el apartado de principios generales y de criminalización.
También vale la pena resaltar que la academia, la empresa privada, los expertos y las organizaciones de la sociedad civil hemos tenido la oportunidad de comentar el texto, ya sea durante las sesiones de trabajo o en eventos específicamente diseñados para ello. Si bien la participación ha sido limitada -por ejemplo las intervenciones de las partes interesadas son escasas y muy cortas-, es de destacar que este tipo de procesos comienzan a ser más abiertos. Desde Fundación Karisma hemos participado como observadoras de este proceso.
Criminalizando más de la cuenta
Dos de los principales problemas de la futura convención de ciberdelitos son la falta de claridad conceptual sobre el tema a regular y el exceso de punitivismo. Respecto a la primera, una de las principales críticas es que la convención debería enfocarse únicamente en los ciberdelitos, es decir, las actividades criminales que se cometen y tienen como objetivo la tecnología. En últimas, los delitos que afectan la disponibilidad, seguridad e integridad de la información y los sistemas.
Sin embargo, el borrador que se está discutiendo incluye una gran cantidad de delitos habilitados o facilitados por la tecnología. Nos referimos a delitos comunes que dada la integración de las tecnologías en la sociedad han empezado a cometerse a través de la misma. Por ejemplo, la estafa o la trata de personas. Ambos delitos pueden cometerse sin tecnología, pero hoy también es posible cometer estos delitos a través de internet. En resumen, para estas actividades ilegales la tecnología no es algo necesario.
El problema con la sobrecriminalización es que las facultades que se están asignando los Estados, de las que hablamos en el siguiente acápite, se estarían extendiendo a otro tipo de crímenes. Es decir, los Estados, con la excusa de luchar contra el ciberdelito, están aumentando sus capacidades generales de control y vigilancia sobre las personas, que explicaremos más adelante. Esto resulta especialmente claro en relación con varios países que están solicitando que la cooperación judicial entre Estados se aplique a todos los delitos, lo que incluye la extradicción, sin importar si tienen relación con la tecnología o no.
Por otro lado, el hecho de que se amplíe el ambito de aplicación del tratado pone de manifiesto la crítica que hemos hecho desde la sociedad civil respecto a que no es necesario un tratado global sobre ciberdelitos, pues en esta materia ya existe un referente claro, la Convención de Budapest, suscrita por varios países (incluído Colombia), y que para el resto de actividades (delitos comunes cometidos a través de la tecnología) ya hay multiples instrumentos internacionales, por ejemplo, la Convención contra la delincuencia organizada trasnacional o contra la trata de personas.
Ahora bien, más allá del problema general de que se esté discutiendo un tratado de ciberdelitos que incluye otro tipo de delitos y de que la parte de procedimiento se quiera aplicar a todos los delitos, hay ciertas conductas incluidas en el borrador que son muy preocupantes ya que pueden poner en riesgo los derechos a la intimidad, la libertad de expresión o la protesta social.
Hablamos, por ejemplo, de los delitos asociados con el terrorismo (Art 26 y 29) cuyas redacciones amplias pueden resultar peligrosas para periodistas, defensoras de derechos humanos y para la ciudadanía, en especial en paises poco democráticos que consideren actividades legítimas como llamar a un plantón en redes sociales como terrorismo. Vale la pena resaltar que la misma ONU destacó que el mal uso de este tipo de disposiciones se han utilizado contra manifestantes en Colombia.
Otro ejemplo de los problemas con el aparte sobre la criminalización son los delitos de acceso no autorizado a los sistemas informáticos (Art 6) o los de usos inadecuados de la tecnología (ART 10). Este tipo de delitos han sido usados en contra de denunciantes e investigadores de seguridad digital en varios países. Para el caso colombiano esto es especialmente grave porque, a pesar de que es una obligación desde 2020, aún no existe una ruta de divulgación de vulnerabilidades. Es decir cualquier actividad investigativa que involucre un análisis no malintencionado de los sistemas que son propiedad del gobierno nacional (como una investigación periodística o académica) puede ser judicializada; incluso si se intenta advertir de buena fe al Estado de un fallo en sus sistemas con la finalidad de que lo repare.
El último ejemplo que queremos presentar, en esta lista no exhaustiva, es sobre los delitos consagrados entre los artículos 18 y 21 relacionados con la difusión de contenido sexual.
Empezamos por señalar, por supuesto, que los delitos asociados con la difusión no consentida de imágenes y con el abuso de menores son de la mayor gravedad y los Estados deben combatir estos fenómenos de forma prioritaria. No obstante, los delitos de difusión no consentida de material sexual son delitos comunes que pueden ser habilitados por la tecnología y que ya cuentan con legislación internacional aplicable, por lo que no necesitan ser regulados de nuevo. Además, la forma en que este tipo de crímenes fueron consagrados en el convenio de ciberdelitos es amplia y generalista, lo que puede terminar afectando contenidos de denuncia de este tipo de crímenes, ya sea de periodistas o de las víctimas, o las interacciones o expresiones consentidas entre adolescentes durante su desarrollo sexual.
En resumen, los treinta delitos incluídos en la convención no sólo no son necesariamente ciberdelitos, sino que algunos ya están regulados a nivel internacional (como los de tráfico de armas o de sustancias prohibidas). Además varios están consagrados de formas tan amplias que pueden terminar afectando actividades legítimas y los derechos humanos de las personas.
Carta blanca para los Estados en el solitario virtual
El segundo problema estructural del convenio es que las facultades que se están auto asignando los Estados, ya sea para investigar o para colaborar entre sí, son tan generales e intrusivos que ponen en riesgo los derechos humanos, más aún cuando no se establecen salvaguardas para los derechos de las personas de forma clara.
El capítulo procesal establece las facultades que los Estados tendrán para investigar, entre las que se incluyen la recolección de información en tiempo real a través de los prestadores de servicios de internet, la revisión de equipos y redes, la orden de presentación ante una autoridad, los registros y embargos, entre otras.
Al respecto, es muy importantes el artículo 42 sobre Condiciones y salvaguardas. Este artículo debería incluir en su versión final menciones directas a los derechos humanos y a los principios de necesidad, legalidad y proporcionalidad, salvaguardas básicas que han sido solicitadas retirar por algunas delegaciones bajo el argumento de que la convención que se está discutiendo no es sobre derechos humanos.
Por otro lado, hace falta que se incluyan algunas garantías básicas en un proceso de investigación criminal como lo son la notificación a la persona que está siendo investigada, la posibilidad de interponer un recurso efectivo contra la decisión del Estado y la revisión anterior y/o posterior de un juez.
La falta de garantías y las capacidades entregadas nos preocupan ya que se puede crear un marco que legitime la vigilancia masiva. En especial, nos causan incertidumbre las facultades relacionadas con la obtención de datos de tráfico y contenido en tiempo real. De nuevo, tenemos inquietudes sobre el poder que se da a los Estados respecto a las empresas intermediarias en la prestación de los servicios de internet (como obligarlas a instalar programas en su infraestructura o entregar información para vigilar a la ciudadanía) y la autorización del uso de cualquier tecnología, lo que puede incluir, accesos a los dispositivos finales a través de malware. En palabras sencillas, por ejemplo, el uso de software espía en los celulares y computadores de las personas.
Finalmente, en lo que se refiere a la cooperación internacional hay preocupaciones serias sobre las condiciones para que los estados cooperen y apliquen medidas como la asistencia técnica, el envío de información o la extradición. En este punto, personas expertas han señalado que es muy preocupante que el tratado no incluya garantías básicas como el principio de doble incriminación (para extraditar el delito debe existir en los dos países) o la posibilidad de rechazar una solicitud cuando es plausible la vulneración de derechos humanos en el país solicitante o si la solicitud de extradición está fundamentada en prejuicios de género, raza, religión, orientación sexual, tendencia política, entre otros. Esto es preocupante, porque el nuevo tratado incluye delitos que ya están regulados en otras convenciones con salvaguardas y, de aprobarse en la Asamblea General la versión actual del tratado de ciberdelitos, significaría una baja sustancial de garantías que ya existen.
El futuro de la tecnología y qué hacer
Aunque el panorama parece oscuro, ya que al interior de la discusión el contrapeso a las posturas poco democráticas no parece terminar de consolidarse, aún está por verse cuántos cambios incluirá el segundo documento borrador (que por primera vez incluye comentarios directos al texto) que la presidenta del comité especial mostrará a los países a finales de agosto de 2023. El documento final se presentará a la asamblea general el próximo año para su adopción.
Este es el momento para que la sociedad civil presione a los gobiernos intentando generar los mayor cambios posibles en el texto o incluso su rechazo. El convenio de ciberdelitos, en su versión actual, es la viva muestra de una norma que no debió ser y del que solo podemos esperar que sea lo menos lesivo posible. Esperemos que eso cambie.
Aquí puedes ver la grabación el evento.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: La nueva convención de ciberdelitos: innecesaria y peligrosa
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co
Acompáñanos en @Karisma en Twitter, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok
Relacionados
El largo camino a una reforma integral
La gravedad de los abusos cometidos por la Policía impulsó a varias organizaciones de la sociedad civil colombiana a exigir la reforma a esta institución.
SIDMO, el mejor secreto de la nueva ESMAD
En 2021 tras múltiples denuncias ciudadanas sobre el uso excesivo de la fuerza por parte de la policia en el Paro Nacional, el gobierno anunció que habría unaEn 2021 tras múltiples denuncias ciudadanas sobre el uso excesivo de la fuerza reforma policial.