Es urgente ajustar los marcos jurídicos para el uso de tecnologías de vigilancia en el país, especialmente por parte de las autoridades, que tienen el monopolio de las armas.
Por Carolina Botero
Clic aquí para visitar la entrada original
Las primeras reacciones del Ministerio de Defensa frente a los hechos del 9 de septiembre, desencadenados por el asesinato de un civil a manos de dos policías en Bogotá, incluyeron afirmaciones sobre vigilancia digital. Nos contaron que monitorearon las redes sociales para identificar perfiles que atizaban el ambiente y que se articulaban con tendencias internacionales.
Semejantes declaraciones iban acompañadas de datos genéricos, si bien violentos, en los que se criminalizaba tanto la indignación contra la policía, como una etiqueta que desde hace décadas se usa en contextos de rechazo a la violencia policial: #ACAB. Estas afirmaciones tan alegres podrían servir para justificar llevar al entorno digital la reacción represiva que estamos viviendo quienes habitamos en Bogotá; para alimentar tesis conspirativas sin presentar pruebas en medio de protestas sociales; o para insistir en que son la tecnología y la recolección de datos lo que solucionarán los problemas de nuestra sociedad. Es decir, vigilar para no cambiar nada.
¿Cuentan la policía y el ejército con las facultades legales para “monitorearnos” en redes? ¿Qué significa “monitorearnos” (o, como dice la ley, “monitorear el espectro”)? Aunque intuitivamente concluimos que el “monitoreo” no es individualizar personas y acecharlas -como tampoco lo es que tengan capacidades para crear “bots” y cuentas falsas-, pareciera que estas autoridades tienen otro entendido.
Ya había una sensación de desprotección frente a noticias como la de las “carpetas secretas” del ejército, publicada en enero, o la de la licitación para que la policía adquiera capacidades de ciberpatrullaje, hace unas semanas. Pero que la luctuosa jornada del 9 de septiembre se abra con una cacería de brujas en redes por parte de la cabeza de las fuerzas armadas es un balde de agua fría. Nada de esto contribuye a pensar que Colombia está preparada para tener esas capacidades de vigilancia y utilizarlas de manera sensata y controlada.
Es urgente ajustar los marcos jurídicos para el uso de tecnologías de vigilancia en el país, especialmente por parte de las autoridades, que tienen el monopolio de las armas.
¿Sabe usted que muchas autoridades les piden nuestros datos a las empresas que nos dan servicio de telefonía celular, fija e internet -información tan delicada como con quién hablamos, desde dónde hacemos nuestras llamadas o el historial de navegación-? De hecho, el Ministerio de Defensa actualmente podría pedir esta información en su exhaustiva cacería. Además, ¿qué pensaría usted si le dijera que, en Colombia, el Estado podrá instalar legalmente un software espía en nuestro celular para vigilarnos? Pero dejemos esto último para la segunda parte de esta columna.
Aunque cada tanto hay escándalos vinculados con los abusos de estas tecnologías de vigilancia, y cada vez entendemos mejor sus riesgos, todavía debemos convencer a nuestros políticos de la necesidad de regular esta actividad.
Sin embargo, hoy hay al menos dos propuestas en el Congreso que tocan algunos de estos temas. En esta primera entrega, explico qué es el monitoreo de Estado y la retención de datos, y analizo la propuesta que se encuentra en trámite. En una próxima columna me ocuparé del hackeo de Estado.
Hay que definir qué es el monitoreo del espectro
La ley en Colombia contempla que los organismos de inteligencia pueden “monitorear el espectro” (ley 1621/13) aunque no tienen facultades para interceptar comunicaciones. Pero, ¿qué significa “monitorear”? Ese es un gran vacío. No hay una definición, pero al no ser considerado como “interceptación de comunicaciones”, el monitoreo no está sujeto a control judicial. Por eso, hemos dicho que definir el monitoreo es lo que establecerá el alcance de las funciones de inteligencia y evitará que se siga desconociendo que esta actividad puede ser una interferencia a la intimidad de las comunicaciones de las personas.
La generalización de las herramientas de monitoreo de internet y redes sociales -conocidas también como inteligencia de redes, que son las técnicas y herramientas para recopilar información pública, correlacionar datos y procesarlos-, es otra razón para exigir claridades sobre el alcance del monitoreo y sobre qué medios debe aplicarse.
Inicia su trámite en el congreso una propuesta legislativa presentada por Iván Cepeda, Antonio Sanguino y otros, que plantea una reforma a la ley 1621 de 2013 en donde se define el monitoreo (artículo 3) para limitarlo al “desarrollo de labores preventivas, que no entrañan una intervención intensa en los derechos fundamentales; y se realiza sobre comunicaciones de personas indeterminadas, desde aparatos y números no especificados y por el tiempo razonable y estrictamente necesario para precisar los alcances de una investigación u operación en curso legalmente autorizada”.
Hay que reconocer que, de pasar esta norma su trámite en el Congreso, la discusión sobre las capacidades de las autoridades de inteligencia en casos como los mencionados al inicio de este texto, servirá para dejar claro que no cualquier autoridad puede usar esta herramienta y que no se puede llamar “monitoreo” a la individualización de personas. Una vez se identifica a alguien y se le sigue en internet o en las redes sociales, ya no se “monitorea” su accionar, sino que se le vigila. Si eso involucra actos de interceptación de comunicaciones, solo puede hacerse en el marco de un proceso penal, con autorización de la Fiscalía y posterior control de un juez.
La norma es un buen primer paso, pero todavía hay mucho para discutir en este tema (como, por ejemplo, detalles sobre el uso de la inteligencia de fuentes abiertas -Osint, por sus siglas en inglés- ya mencionadas.
Hay que limitar la retención de datos en Colombia
Los servicios de telecomunicaciones son uno de los espacios donde más datos se producen, y los gobiernos suelen obligar a los proveedores de estos servicios (como Claro, ETB o Telebucaramanga) a retenerlos y entregarlos para diversos propósitos. Vale la pena reconocer que, en la prestación de este servicio, las personas usuarias tenemos una relación de dependencia con las empresas de telecomunicaciones en al menos dos niveles: por un lado, el de la provisión del servicio en sí mismo, y por el otro, el de la salvaguarda de los datos que fluyen a través de la conexión. Confiamos en que nos presten el servicio y nos guarden los datos que se generan porque estos pueden revelar aspectos de nuestra vida íntima, aun sin necesidad de conocer el contenido de las llamadas.
Las obligaciones legales de retención de datos buscan la conservación de información que generan las conexiones de telefonía fija, celulares o de Internet. Esas normas suelen establecer el tipo de datos que los operadores deben conservar, el tiempo que deben retenerlos, las condiciones y los facultados para su acceso.
En Colombia, esta obligación se consagra en beneficio de las autoridades de inteligencia (ley 1621/13) y para la investigación criminal (decreto 1704/12). Como indicamos en 2016, en el estudio “¿Es legítima la retención de datos en Colombia?”, la “ambigüedad con la que está redactada la norma, la falta de control judicial y el tiempo exagerado al que están obligados los prestadores a conservar los datos, entre otras razones, dan cuenta de esa distancia entre los estándares internacionales y el régimen colombiano”.
La propuesta de reforma a la ley de inteligencia, encabezada por Cepeda y Sanguino, aborda este problema en el artículo 44. En adelante, aunque se mantiene el plazo de cinco años en la retención de datos, las solicitudes de esa información requerirán de una autorización judicial, de una operación autorizada y tendrán que ser técnicamente viables. La norma limita la información que se puede pedir, obliga a los organismos de inteligencia y contrainteligencia a proteger esta información e indica quiénes son las autoridades que pueden hacer las solicitudes. Además limita esta operación a procesos judiciales.
Esta norma ayudará a que las empresas asuman la obligación, con mejor información, frente a las personas a las que sirven. Estas empresas han estado navegando en la ambigüedad de las leyes por años, teniendo que violar, quizá con demasiada frecuencia, la confianza que depositamos en ellas en la medida en que, de negarse a entregar nuestros datos, pueden recibir sanciones.
Ahora bien, debería aprovecharse esta reforma para restringir también el plazo de la retención de datos. En Europa se han dado debates interesantes sobre este asunto. La Corte Federal alemana, por ejemplo, al analizar una norma equivalente a la colombiana, la declaró inconstitucional. Y eso que el plazo de retención era de seis meses.
Y ya que estamos haciendo la lista de deseos, esta reforma también se requiere para la investigación criminal y debería incorporar la obligación de notificar a los afectados que sus datos han sido entregados a las autoridades. Así sucede en Perú, por ejemplo, con los datos de localización.