En el sentido más auténtico de una democracia, resulta peligroso cuando las regulaciones sobre ciberseguridad definen el concepto de 'lo que se intenta proteger'.
Este artículo fue publicado originalmente en animalpolitico.com el 19 de febrero de 2022.
Los esfuerzos para combatir el delito cibernético deben proteger, no socavar, los derechos humanos. El alcance de toda regulación debe ser limitado y no debe incluir delitos relacionados con la libertad de expresión.
En el sentido más auténtico de una democracia, resulta peligroso cuando las regulaciones sobre ciberseguridad definen el concepto de ‘lo que se intenta proteger’ y los castigos asociados a su vulneración con base en el Estado y en sus prioridades, en lugar de buscar la salvaguarda de las personas y de sus libertades. Cuando se parte de dicha lógica, las formulaciones de las políticas tienden a destacar por ser opacas y por excluir la participación de las distintas partes interesadas, y solo las personas titulares del Ejecutivo Federal, las agencias gubernamentales o las fuerzas armadas son quienes determinan lo que se puede -y no- hacer con la tecnología.
Si lo único que interesa es proteger al poder estatal, su infraestructura y hasta su reputación, los contenidos de las regulaciones casi siempre terminarán por abarcar la criminalización de expresiones, publicaciones y activismo en línea (como las acusaciones contra Ola Bini o Julian Assange), así como a los usos de tecnología legítimos y cotidianos que puedan interpretarse como un “peligro”. También, es probable que amenacen la integridad y confidencialidad de las comunicaciones entre las personas usuarias de las tecnologías, en detrimento de sus derechos fundamentales y de la propia arquitectura y naturaleza de internet.
Lo anterior no es menor, ya que internet y otras herramientas de información y comunicación a través de las telecomunicaciones han amplificado el ejercicio de derechos, muchas veces permitiendo la expresión, protestas y movilizaciones que son asediadas en las calles. Cuando existen tratados internacionales, leyes o prácticas de ciberseguridad que están desalineadas de un marco de derechos humanos y son susceptibles de abuso de poder, el ejercicio ciudadano es el que está en riesgo. Sin certidumbre de seguridad, libertad y protección en el uso que le damos a la tecnología existirá siempre un efecto inhibidor en su utilización. Se irá perdiendo ese espacio cívico, a través de lo digital, para pensar, buscar y compartir información sin intrusiones, y para que la sociedad se organice, coordine y haga uso de su voz.
ARTICLE 19 se ha dado a la tarea de analizar el impacto de las regulaciones emergentes sobre ciberseguridad en el derecho humano a la libertad de expresión y en el derecho a la privacidad, incluidas las que han surgido en México. La cascada de iniciativas legislativas mexicanas que se han intentado aprobar en materia de ciberseguridad han sido el claro ejemplo de todo lo que puede salir mal cuando se legisla desde las filias y fobias del Estado respecto a su ciberseguridad. ¿La razón? Éstas suelen pretender que innumerables actividades legítimas de expresión que involucran a computadoras u otros dispositivos tecnológicos se cataloguen como delitos, así como establecer obligaciones y facultades para que las empresas de telecomunicaciones y las autoridades puedan ver lo que las personas hacen y consumen en el ámbito digital.
Su no aprobación fue un logro de la sociedad civil, al insistir y señalar que estas iniciativas contenían delitos vagamente redactados y demasiado amplios relacionados con la expresión: como los relacionados con lo que se pudiera interpretar como “seguridad nacional”, “desinformación, “discurso de odio” o “moralidad”, por mencionar algunos. Estas leyes podían ser potencialmente utilizadas para encarcelar a quienes critican a las autoridades o a las voces disidentes, o incluso para bloquear el acceso a internet o a las plataformas digitales.
Aunque en 2021 el Congreso estuvo distraído del tema por el proceso electoral y por empujar otras prioridades del Poder Ejecutivo Federal, este año podrían revivir los esfuerzos enérgicos para legislar -nuevamente- desde la obsesión y desconocimiento desde los cuales se tiende a politizar sobre internet y los derechos digitales. Lamentablemente el populismo punitivo se ha vuelto la estrategia principal para fingir que se está trabajando para que las condiciones de seguridad mejoren para la ciudadanía. Al mismo tiempo, a medida en que más delitos se crean y los códigos penales se van engordando, las y los delincuentes y las redes criminales siguen y seguirán operando con impunidad; ya que la incapacidad, saturación y corrupción que impera en el sistema de justicia seguirán vigentes -hasta que no se haga un esfuerzo por lo contrario.
Sumado a este mal augurio, a nivel internacional ha comenzado formalmente un proceso para desarrollar una convención internacional sobre ciberdelitos, convocado por las Naciones Unidas, y del cual México probablemente será parte. Aunque no es el primer esfuerzo internacional que se crea en este sentido, sí es el más ambicioso. También el más peligroso, ya que en 2021 Rusia presentó una propuesta de redacción para la convención, la cual se caracteriza por reflejar el espíritu autoritario de ese país.
La redacción incluye prohibir “la humillación por medio de las tecnologías de la información y comunicación” y “la creación y el uso de datos digitales para engañar”, por mencionar algunas. Utiliza terminologías demasiado amplias (como “instalaciones de infraestructura crítica”, que se definen como cualquier sistema de información -sin importar la aplicación, la escala o la importancia de éste-) que pueden aplicarse para proteger a las autoridades de las críticas. Además, pretende que se intuyan como “softwares maliciosos” las herramientas de cifrado y anonimato. El documento también propone la aplicación de medidas de investigación y asistencia legal entre empresas de telecomunicaciones y autoridades en delitos que van más allá del uso estricto de las tecnologías.
Es inmensamente preocupante que dicha convención esté sujeta a abusos, perpetuando muchos de los problemas existentes y repetidos en el mundo, incluido nuestro país. Desde sociedad civil hemos reiterado que consideramos innecesaria y desacertada una convención internacional sobre ciberdelincuencia. Pero, si ha de proceder, el objetivo debe ser combatir el uso de las tecnologías de la información y las comunicaciones con fines delictivos sin poner en peligro los derechos fundamentales de aquellos a quienes busca proteger, para que las personas puedan disfrutar y ejercer libremente sus derechos, en línea y fuera de línea.
Los esfuerzos para combatir el delito cibernético deben proteger, no socavar, los derechos humanos. El alcance de toda regulación debe ser limitado y no debe incluir delitos relacionados con la libertad de expresión. Como muchas herramientas, las tecnologías se pueden usar tanto para fines legítimos como ilegítimos. Intentar definir qué constituye un uso malicioso de una computadora o dispositivo electrónico tan solo puede depender de la forma en que se use. Por ello, debe considerarse la intención expresa de delinquir para perseguir y castigar cierta acción, más que la mera posesión o uso de determinadas tecnologías.
También, se debe velar siempre por el interés público para garantizar la protección de las actividades expresivas legítimas que impliquen el acceso a sistemas y datos informáticos, como la investigación periodística, académica y de seguridad, o la denuncia de irregularidades por parte de personas alertadoras para exponer actividades ilegales gubernamentales o privadas.
Sobre todo, hay que reconocer el uso del cifrado y anonimato como vitales para el ejercicio de la libertad de expresión en línea, así como para el trabajo de la sociedad civil, la defensa de derechos humanos y el periodismo. Toda restricción a su uso constituye una restricción a la libertad de expresión y debe evitarse a toda costa.
Por último, en el caso de órdenes de asistencia obligatoria para que las empresas de telecomunicaciones cooperen con las autoridades de procuración de justicia, tales órdenes deben ser absolutamente necesarias y el medio menos intrusivo disponible, basado en leyes de acceso público claramente limitadas en su alcance, enfocadas en un objetivo específico e implementadas bajo escrutinio judicial independiente e imparcial.
Como las tecnologías son utilizadas para el ejercicio de derechos y la propia arquitectura y gobernanza de internet fueron construidas para que exista un balance de poder entre la comunidad técnica, la sociedad civil, las empresas, los gobiernos y las personas usuarias, toda regulación debe garantizar la participación libre, activa y significativa de todas las partes interesadas en el proceso de redacción.
Las iniciativas que se podrían seguir gestando en México y la convención internacional representan una amenaza para los derechos humanos en línea. Un enfoque de ciberseguridad basado en los derechos humanos significaría poner a las personas en el centro y garantizar que haya confianza y seguridad en las redes y dispositivos que refuercen, en lugar de amenazar, la seguridad humana y la democracia.
* Martha A. Tudón M. es coordinadora de Derechos Digitales en ARTICLE 19, oficina para ARTICLE 19 México y Centroamérica
