Cualquier política de seguridad digital debe tener en su núcleo al individuo y desarrollarse de conformidad con las normas de derechos humanos reconocidas en convenios regionales y en el derecho internacional, e integrar y aplicar una política pública de protección de datos personales.
La siguiente declaración fue entregada en la Escuela de Gobernanza del Sur en la ciudad de Washington DC, el día 1 de abril de 2016. Animamos a la OEA y a los países miembros a alinear las estrategias de ciberseguridad con perspectiva de Derechos Humanos. TEDIC y Karisma junto a otras organizaciones líderes de la región han elaborado este documento con los 10 puntos más importantes que la sociedad civil debe impulsar localmente. El mismo servirá de punto de partida para desarrollar una estrategia conjunta sobre este tema tan importante en nuestra región.
Declaración Conjunta de la Sociedad Civil a la Organización de Estados Americanos (OEA) y a los gobiernos de los países miembros sobre temas de seguridad digital en América Latina
Las organizaciones abajo firmantes:
Celebramos la decisión de la Organización de los Estados Americanos (OEA) de realizar un evento donde se vincula directamente la ciberseguridad con la libertad de expresión y la privacidad. El reconocimiento de este vínculo por la OEA y su promoción en la región permiten constatar que la agenda de la OEA para la región americana está recogiendo las críticas y aprendizajes de los últimos años. Por tanto, exhortamos a los países de la región a tener en cuenta este vínculo al momento de desarrollar las “estrategias de ciberseguridad”.
A medida que la OEA se compromete con este proceso debe redactar y adoptar definiciones que facilitarán discusiones futuras. El diseño de legislaciones y políticas de seguridad digital eficaces obliga a que todas las partes interesadas —gobierno, sector privado, comunidad técnica, academia y sociedad civil— conozcan los temas en cuestión. Esto supone acuerdos sobre cómo se definen estos temas. Con esto en mente, si en lugar de ciberseguridad —que apela a un contexto altamente militarizado— se habla de “seguridad digital” como un concepto más integral, que tiene en el centro a las personas y a las comunidades como sujetos, se tendrían mejores estrategias para la ciudadanía.
Si bien reconocemos la legitimidad de los gobiernos para hacer frente a la seguridad digital, enfrentar la criminalidad en el ciberespacio y proteger las infraestructuras críticas nacionales, las estrategias adoptadas han sido sinónimo de la expansión de la vigilancia estatal sin un examen adecuado de su necesidad y proporcionalidad. Esto ha sido a expensas de los derechos de las personas y en particular de los derechos a la libertad de expresión y a la privacidad. Hay una necesidad urgente de cambiar el enfoque. Las políticas de seguridad digital deben estar centradas en el ser humano. Cualquier política de seguridad digital debe tener en su núcleo al individuo y desarrollarse de conformidad con las normas de derechos humanos reconocidas en convenios regionales y en el derecho internacional, e integrar y aplicar una política pública de protección de datos personales.
Al avanzar, debemos tener en cuenta la creciente generación y procesamiento de los datos personales por las empresas y los gobiernos, y adoptar políticas de seguridad digital que incluyen la planificación de la seguridad en el diseño, despliegue y mantenimiento de los sistemas, que se centren en los esfuerzos de minimización de datos, así como en garantizar que estas decisiones sean discutidas en procesos abiertos y multidisciplinarios e incluyan la participación de las diversas partes interesadas —gobierno, sector privado, comunidad técnica, academia y sociedad civil—.
Recomendamos:
- Alinear cualquier estrategia de seguridad digital con los marcos legales de derechos humanos de cada país, del sistema interamericano y de estándares internacionales como los descritos en los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia de las Comunicaciones, dando especial relevancia a la protección y garantía al ejercicio de los derechos a la libertad de expresión, a la privacidad y a la libre asociación. Esto incluye mejorar los marcos legales nacionales para garantizar que la vigilancia de las comunicaciones se lleva a cabo de conformidad con las normas de derechos humanos, especialmente con base en los mencionados principios de necesidad y proporcionalidad, y que adopten y apliquen una política pública de protección de datos, particularmente en sus iniciativas y proyectos para compartir información entre países. En ese sentido, es recomendable que el programa de ciberseguridad de la OEA consulte y colabore con otras dependencias de la organización para que sus recomendaciones estén alineadas con los estándares en materia de libertad de expresión y derecho a la intimidad elaborados por la Comisión y la Corte Interamericana de Derechos Humanos y la Relatoría Especial para la Libertad de Expresión de la CIDH.
- Sustituir el concepto de ciberseguridad por el de seguridad digital, que trasciende el ámbito militar y que debe tener en su núcleo la protección de la ciudadanía, la persona y sus comunidades. La seguridad digital también debe servir para promover el desarrollo económico y social sobre la base de los principios del Estado de derecho y la protección de los derechos fundamentales.
- Adoptar instrumentos y mecanismos de transparencia y rendición de cuentas, incluido los planes de gobierno abierto, sobre la implementación y desarrollo de las estrategias de seguridad digital en cada país que sean medibles y verificables.
- Reconocer la importancia del cifrado seguro como un elemento de la seguridad digital necesario para la protección de las comunicaciones y de los datos. En consecuencia, es recomendable que los Estados promuevan y respeten su amplio uso y desarrollo por parte de la ciudadanía, las empresas y los gobiernos.
- Usar metodologías de análisis de riesgo como la “privacidad por diseño” y de análisis de impacto sobre los derechos humanos para fundamentar la formulación e implementación de políticas públicas de seguridad digital basadas en la evidencia.
- Reconocer que las organizaciones de la sociedad civil tienen debilidades y vulnerabilidades propias que no están siendo atendidas por las actuales estructuras de respuesta a ciberataques (CSIRT). Por tanto, es recomendable desarrollar CSIRT que protejan a la sociedad civil y que no dependan de las fuerzas del orden público, además de que tengan la capacidad para producir datos y respuestas para todos los estamentos de la sociedad en un marco de respeto por los derechos humanos.
- Promover e impulsar mejores sistemas informáticos, resilientes y actualizados, que permitan potenciar la seguridad digital. En este sentido, es recomendable que estos sistemas sean auditados de forma pública y constante, permitiendo que su código fuente esté disponible sin trabas legales.
- Incrementar la colaboración y el intercambio de experiencias entre los países incluyendo a todos los sectores de la población, en un esfuerzo abierto y multisectorial —gobierno, sector privado, comunidad técnica, academia y sociedad civil— que permita identificar las necesidades y opiniones de todos los sectores.
- Recoger e implementar experiencias y buenas prácticas de otras regiones en temas de seguridad digital —como las desarrolladas por la OCDE— y adaptarlas a las necesidades locales.
- Alentar a los gobiernos a adoptar políticas de seguridad digital públicas que incluyan su compromiso sobre el uso de productos que cumplan con estándares reconocidos de seguridad digital.
Firmantes: