Por Cynthia Wong
Hemos llegado a un punto de inflexión en el futuro de Internet. A fin de preservar Internet como una plataforma abierta y global para los derechos, el desarrollo y el comercio, necesitamos normas y principios que rijan la vigilancia digital, protejan la privacidad y se apliquen a todos los gobiernos.
Hasta mediados de 2013, el movimiento global por la libertad en Internet iba ganando impulso. Una amplia diversidad de gobiernos habían formado la Coalición de la Libertad de Expresión en Internet y se habían comprometido públicamente a promover que Internet sea libre, abierto y global mediante esfuerzos diplomáticos coordinados, dirigidos por Estados Unidos, el Reino Unido y sus aliados. En el Consejo de Derechos Humanos de Naciones Unidas hubo un amplio reconocimiento de que los mismos derechos que disfrutamos fuera de línea (offline) también debían ejercerse en línea (online).
Sin embargo, la confianza global en el liderazgo de Estados Unidos y el Reino Unido en cuestiones de libertad en Internet se ha quebrado desde que el ex contratista de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) Edward Snowden comenzara a revelar pruebas de los masivos programas de vigilancia de comunicaciones por parte de la NSA y su homólogo británico, el Cuartel General de Comunicaciones del Gobierno (GCHQ, por sus siglas en inglés). En una encendida crítica ante la ONU en septiembre de 2013, la presidenta de Brasil, Dilma Rousseff, condenó estas prácticas: “En ausencia del derecho a la privacidad, no puede existir una verdadera libertad de expresión y opinión y, por lo tanto, no es posible una democracia efectiva”, declaró Rousseff. “El derecho a la seguridad de los ciudadanos de un país nunca se podrá garantizar mediante la violación de los derechos de los ciudadanos de otro país”.
Las revelaciones de Snowden dejaron al descubierto la brecha existente entre los valores declarados por EE.UU. y el Reino Unido y su comportamiento. Incluso cuando defendían una Internet abierta y libre, estos gobiernos estaban recopilando datos de cientos de millones de personas en todo el mundo todos los días, incluso, en el caso de EE.UU., sobre la propia Dilma Rousseff. Para facilitar sus labores de espionaje de la comunidad en línea y descubrir amenazas a la seguridad nacional, también debilitaron sigilosamente la seguridad en Internet, paradójicamente convirtiendo a todos los usuarios de la red en un blanco más fácil y más vulnerable para los piratas informáticos (hackers) y los ladrones de identidad.
Aunque muchos gobiernos expresaron públicamente su indignación por el espionaje de la NSA y el GCHQ, en privado también podrían haber reaccionado con envidia. Aunque pocos pueden igualar los recursos de la NSA o el GCHQ, los gobiernos de todo el mundo están expandiendo su propia capacidad de vigilancia masiva y es probable que estén emulando a EE.UU. y el Reino Unido.
De no controlarse, esta dinámica pronto podría dar lugar a un mundo en el que cualquier búsqueda en Internet, contacto, correo electrónico o transacción sea almacenada en una o varias bases de datos del gobierno. Sin un gobierno capaz de garantizar la privacidad de sus propios ciudadanos frente al espionaje extranjero y una alianza entre las agencias de inteligencia para compartir datos sobre los ciudadanos de otros países, podría generar un escenario verdaderamente orwelliano. Si bien EE.UU. afirma que no utilizará la recopilación de información para anular la disidencia ni discriminar, los gobiernos han recurrido repetidamente a la vigilancia para estos fines.
El presidente Obama ha acogido con satisfacción la apertura de un debate sobre la vigilancia moderna, pero las conversaciones sobre protección y reformas en EE.UU. no se han traducido en un cambio perceptible para los usuarios globales de Internet. El gobierno de Obama se ha comprometido a adoptar más medidas de protección de los datos personales que ha recogido, pero ha hecho poco para reducir la magnitud de la vigilancia que lleva a cabo la NSA, especialmente en el extranjero. El Reino Unido, por su parte, se ha negado a responder a las preguntas más básicas sobre sus prácticas de recopilación de información y, en un acto de asombrosa arrogancia y flagrante desprecio de los derechos, adoptó precipitadamente en julio de 2014 una ley que amplía sus poderes de vigilancia. A la hora de defender sus programas, ninguno de los gobiernos se ha mostrado completamente dispuesto a reconocer los intereses de privacidad de las personas fuera de sus fronteras.
Sin embargo, el panorama no es totalmente sombrío. En 2014, varios actores importantes intervinieron y ocuparon el vacío de liderazgo dejado por EE.UU. y el Reino Unido. Destacadas instituciones de derechos humanos de la ONU han comenzado a articular lo que significa proteger la privacidad cuando la tecnología hace que la vigilancia se vuelva potencialmente generalizada. Y una nueva coalición de estados, encabezados por Alemania y Brasil, ha asumido el liderazgo en la lucha por la libertad en Internet, mientras que la Coalición de la Libertad de Expresión en Internet se esfuerza por recuperar su credibilidad.
Es fundamental seguir presionando a EE.UU. y el Reino Unido para que adopten reformas reales, pero el resto del mundo no debe esperar a que actúen. El temor al terrorismo y la ventaja comparativa que EE.UU. y el Reino Unido tienen en el campo de la vigilancia los enceguecen ante los daños que plantean estas prácticas, no solo para sus alianzas, sino también para sus propias instituciones democráticas. Estos daños incluyen el enfriamiento de libertades fundamentales como la de expresión y de asociación, el debilitamiento de la prensa y la libertad de información y la degradación del acceso al asesoramiento jurídico y la defensa legal. De hecho, es posible que estos países no cambien de rumbo hasta que sus propios ciudadanos no se enfrenten a niveles comparables de vigilancia por parte de potencias extranjeras.
Mientras tanto, los demás países deben asegurarse de que la vigilancia y la privacidad sigan formando parte de la agenda de derechos humanos en la ONU y en otros lugares. Estas cuestiones también deben ser planteadas con regularidad en las reuniones bilaterales, de manera que EE.UU. y el Reino Unido no salgan indemnes. La experiencia ha demostrado que si bien EE.UU. y el Reino Unido son a menudo reacios a liderar en el desarrollo de normas internacionales, al final adecuan sus prácticas a normas que los demás países aceptan cumplir.
“Recopilarlo todo”
Ahora vivimos en la era de los Big Data (datos masivos), en la que nuestras comunicaciones y actividades generan de manera rutinaria huellas digitales detalladas que pueden ser recogidas, analizadas y almacenadas a bajo costo. Paralelamente, los intereses comerciales llevan a una serie de empresas a acumular grandes reservas de información acerca de nuestras redes sociales, salud, finanzas y hábitos de compra. La precipitación del costo del almacenamiento de datos y la computación significa que estos datos pueden conservarse durante más tiempo y minarse en el futuro para fines imprevistos.
Estos expedientes digitales son atractivos para los gobiernos en una gran variedad de propósitos, tanto legítimos como ilegítimos. Los gobiernos pueden descubrir fácilmente patrones de comportamiento y asociaciones, tanto offline como online, accediendo a los datos en manos de empresas del sector privado, ya sea para frustrar amenazas de seguridad o para identificar una voz particularmente crítica contra la política gubernamental.
Los organismos de seguridad en EE.UU. y el Reino Unido han respondido mediante la construcción de enormes instalaciones de almacenamiento y recogiendo vorazmente la mayor cantidad posible de datos. En una visita al Reino Unido en 2008, el general estadounidense Keith Alexander, entonces director de la NSA, preguntó: “¿Por qué no podemos recoger todas las señales, todo el tiempo?” El Reino Unido se dispuso a hacer realidad ese objetivo con su programa Tempora, consistente en la interceptación masiva de datos que circulan por más de 200 cables submarinos que conectan a Europa con las Américas, África y otros territorios. Diversos medios de comunicación indicaron también que, el año pasado, el GCHQ podría haber estado capturando y almacenando imágenes procedentes de webcams de millones de usuarios de Internet.
En EE.UU., la NSA adoptó sin reservas la recopilación masiva de metadatos de los operadores de telecomunicaciones privados (y quizás otras entidades desconocidas), así como la intervención en masa del cable de fibra óptica. En 2014, informes basados en los documentos de Snowden mostraron que EE.UU. podría estar acumulando a diario millones de mensajes de texto en todo el mundo, recopilando todos los metadatos de telefonía móvil en cinco países e interceptando todas las llamadas telefónicas en dos de estos países.
En nombre de la seguridad, EE.UU. y el Reino Unido han pasado por alto cualquier noción de proporcionalidad: supuestamente, solo las personas de las que se tenga motivos para creer que pudieran presentar una amenaza real pueden ser vigiladas. Solo una pequeña parte de los usuarios de Internet o teléfonos móviles que actualmente están siendo vigilados podría llegar a ser sospechosa de cometer un delito, y mucho menos de mantener vínculos con el terrorismo.
En gran medida, los gobiernos han hecho la mayor parte de esto en secreto, con la excepción de las contadas ocasiones a lo largo de los años en que informantes de seguridad nacional han proporcionado algo de información y ahora las revelaciones de Snowden.
Decepcionante liderazgo
¿Qué es lo que han hecho EE.UU. y el Reino Unido para frenar la vigilancia masiva en respuesta a la indignación pública? Para los miles de millones de usuarios de Internet de todo el mundo fuera de estos países, la respuesta es: casi nada.
El 17 de enero de 2014, el presidente Obama anunció medidas para restringir el uso, la retención y la divulgación de datos personales recogidos por las agencias de inteligencia en la Directiva de Política Presidencial 28. Estas nuevas medidas pretenden adaptar las normas sobre los datos recopilados de las personas no estadounidenses (extranjeros en el extranjero ) para que se parezcan más a las normas que rigen los datos recogidos de personas de Estados Unidos. Si bien la directiva representa un mayor nivel de transparencia (sobre todo en comparación con la mayoría de los gobiernos), las reglas en sí son imprecisas, no van lo suficientemente lejos para evitar el abuso y no generan derechos que las personas no estadounidenses puedan hacer valer ante los tribunales. Tampoco están consolidadas, dado que no están incorporadas en la legislación y, por lo tanto, podrían ser modificadas por cualquier gobierno estadounidense posterior. Lo que es aún más importante es que las nuevas medidas no impiden la recopilación a gran escala de datos y comunicaciones de individuos no vinculados a un delito, lo que permite que los enormes bancos de datos de información interceptados sigan creciendo cada vez más, los cuales a su vez podrían ser explotados por futuras administraciones.
La Ley Libertad de EE.UU., el principal vehículo para la reforma legislativa en el país, tenía el propósito de acabar con la colección masiva de metadatos y otros registros en EE.UU. Pero en noviembre de 2014 el proyecto de ley no logró avanzar en el Congreso. Sin embargo, aunque hubiera sido aprobada y a pesar de lo importancia de su adopción, la ley habría abordado solo uno de los programas revelados por los documentos de Snowden, pero no habría hecho casi nada para abordar las preocupaciones sobre la privacidad de los miles de millones de usuarios de Internet a nivel mundial fuera de EE.UU., cuya información personal podría estar almacenada en las bases de datos de la NSA. En el momento de redactarse este artículo, parece que un Congreso dominado por los republicanos podría ser aún menos receptivo a los esfuerzos por controlar la recopilación masiva de datos.
En el Reino Unido, las autoridades siguen “sin confirmar ni negar” que el GCHQ intercepta las comunicaciones de millones de individuos. El gobierno se ha negado a responder a las preguntas más básicas sobre sus prácticas, así que es muy difícil evaluar sus afirmaciones de que estos programas son legales y necesarios para proteger la seguridad. Sin embargo, en una respuesta a una demanda judicial, el gobierno del Reino Unido reconoció que interpreta la ley para permitir que las agencias reúnan potencialmente millones de comunicaciones a través de servicios populares como Twitter, Gmail y Facebook sin una orden judicial, simplemente porque los servidores de estas empresas suelen estar ubicados en el extranjero. Esta revelación plantea serias dudas sobre las afirmaciones del GCHQ de que estos poderes son necesarios para proteger la seguridad pública.
Un aspecto más preocupante es que EE.UU. y el Reino Unido siguen argumentando que no tienen la obligación legal de proteger la privacidad de nadie fuera de sus respectivos territorios. En otras áreas del derecho de los derechos humanos, EE.UU. también ha argumentado que no tiene obligaciones ante las personas fuera de su territorio y tan solo este año ha admitido que puede tener algunos deberes conforme a la Convención contra la Tortura hacia los extranjeros que captura físicamente, pero solo en los territorios donde ejerce “autoridad gubernamental”. En contraste con su resistencia a asumir obligaciones extraterritoriales con respecto a la vigilancia, EE.UU. afirma su autoridad para obligar a las compañías con sede en EE.UU. a entregar información sobre cualquier usuario en cualquier parte del mundo, independientemente de dónde estén almacenados esos datos, prácticamente sin ningún tipo de protección para la privacidad de los no estadounidenses en el extranjero. El Reino Unido también ha reconocido obligaciones extraterritoriales de derechos humanos en circunstancias como la detención de extranjeros en el extranjero. Pero en el ámbito de la privacidad y la vigilancia, el Reino Unido clasifica las comunicaciones que salen de las Islas Británicas como “externa” y la ley del Reino Unido ofrece escasas protecciones para la privacidad de las comunicaciones “externas”.
Es casi seguro que estos enfoques con escasa visión de futuro de EE.UU. y el Reino Unido acaben perjudicando a sus propios ciudadanos, conforme otros gobiernos sigan su ejemplo. A medida que las redes de Internet siguen globalizándose, una cantidad cada vez mayor de datos sobre residentes estadounidenses y británicos saldrán de los territorios de EE.UU. y el Reino Unido, y otros países se sentirán libres de recopilar y almacenar sin límite esos datos.
EE.UU. y el Reino Unido han proporcionado una hoja de ruta para que los gobiernos de todas las tendencias políticas construyan sus propios sistemas de vigilancia masiva. Aunque actualmente pocos puedan igualar los recursos o capacidad de la NSA y el GCHQ, muchos otros gobiernos adoptan un enfoque igualmente opaco y codicioso hacia la recopilación de datos digitales.
Detractores de la codificación
Los documentos de Snowden revelan que la NSA también debilitó los estándares de encriptación y retuvo información sobre brechas de seguridad en productos comerciales para poder explotarlos antes de que las empresas pudieran solucionarlos. Además, los medios de comunicación sugieren que el GCHQ está desarrollando maneras de descifrar la codificación, especialmente para el tráfico de Internet que intercepte. Estas tácticas pueden facilitar la vigilancia y recopilación sigilosa de datos de dispositivos y redes, no solo por EE.UU. y el Reino Unido, sino potencialmente también por otros actores. Si bien desencriptar códigos siempre ha sido parte esencial de la misión de la NSA, cualquier técnica que socave la seguridad general de las aplicaciones y redes de Internet ponen a todos los usuarios de la web en riesgo.
En 2014, las principales compañías tecnológicas estadounidenses redoblaron sus esfuerzos para fortalecer la seguridad de sus dispositivos y servicios contra el espionaje. Estas medidas se han convertido en un imperativo comercial a medida que la pérdida de la confianza empuja a los usuarios a empresas no estadounidenses. En septiembre de 2014, Google y Apple anunciaron que los datos almacenados en sus teléfonos móviles serían codificados por defecto, y ninguna de ellas podría desencriptar los datos almacenados en caso de una solicitud del gobierno. Google, Microsoft, Yahoo, Facebook y otros servicios han tomado medidas adicionales para proteger los correos electrónicos y mensajes conforme se adaptan a los cambios en Internet que los expertos en seguridad y los activistas de derechos humanos han impulsado durante años. A medida que los periodistas y grupos de defensa de los derechos recurren cada vez más a las herramientas globales en línea para su trabajo, muchos ven estas mejoras de seguridad como un resultado fundamental del caso Snowden. Para los grupos vulnerables o aquellos que viven bajo regímenes autoritarios, proteger la comunicación y las asociaciones del espionaje abusivo puede ser una cuestión de vida o muerte.
Sin embargo, funcionarios del gobierno de EE.UU. y el Reino Unido han respondido a estas nuevas medidas de seguridad acusando a las empresas de tecnología de facilitar el asesinato, el terrorismo y los abusos a menores. En su primera semana en el cargo, en noviembre de 2014, Robert Hannigan, director del GCHQ, escribió un editorial en el que se refería a las empresas tecnológicas de EE.UU. como “la red de mando y control preferida de los terroristas y criminales” y aseguraba que la mayor codificación es una práctica especialmente útil para el grupo extremista Estado Islámico, también conocido como ISIS, y otras organizaciones terroristas. Del mismo modo, en un discurso en septiembre de 2014, James Comey, director del FBI, sostuvo que “la codificación amenaza con conducirnos a todos a un lugar muy oscuro” y sitúa a los criminales por encima de la ley. Por su parte, los gobiernos buscan una cooperación todavía mayor por parte de las principales empresas de tecnología, incluso a través de “puertas traseras” integradas en los dispositivos y servicios que les permitan un mayor acceso a la comunicación del usuario.
Las fuerzas del orden y los funcionarios de seguridad sostienen que las puertas traseras en los sistemas de codificación son necesarias para proteger la seguridad pública. Sin embargo, irónicamente estas acciones dejan a los usuarios de Internet y telefonía móvil –a todos nosotros— en una posición menos segura. Los expertos en seguridad afirman que este tipo de puertas traseras, una vez instaladas, crean nuevas vulnerabilidades, ya que pueden ser manipuladas por los piratas informáticos, ladrones de identidad y otros agentes maliciosos. Desde un punto de vista técnico, es casi imposible crear una puerta trasera que solo pueda ser utilizada por actores designados como “buenos”.
Los detractores de la codificación en los gobiernos de EE.UU. y el Reino Unido también se olvidan de que no son los únicos que exigirán tener acceso a las puertas traseras. Si Google, Apple y otras empresas acatan sus demandas, será difícil denegar el mismo acceso a otros gobiernos. Incorporar la privacidad y la seguridad en la tecnología por diseño es la forma más eficaz de proteger la seguridad de los usuarios de una serie de agentes nocivos. Si el GCHQ no puede obligar a Apple a desbloquear un iPhone ya que Apple no tiene la llave, entonces tampoco pueden hacerlo las agencias de inteligencia en China o Rusia.
El verdadero costo de la vigilancia
Como comunidad global, ni siquiera hemos empezado a lidiar con los verdaderos costos de la vigilancia, no solo para la privacidad, sino también para otros derechos y valores muy definidos.
Un informe conjunto publicado por Human Rights Watch y la Unión Americana para las Libertades Civiles, en julio de 2014, documentó los efectos insidiosos de la vigilancia a gran escala sobre el ejercicio del periodismo y el derecho en EE.UU. Entrevistas con decenas de periodistas mostraron que el incremento de la vigilancia, combinado con medidas más estrictas para prevenir las filtraciones y el contacto del gobierno con los medios de comunicación, está intimidando a las fuentes de información, cada vez más reacias a hablar con los periodistas (incluso sobre temas de interés público no clasificados) por temor a represalias, a perder sus autorizaciones de seguridad o puestos de trabajo o incluso a ser demandados. En última instancia, esto está teniendo un impacto negativo en la cantidad y la calidad de la cobertura de las noticias, sobre todo en temas relacionados con la seguridad nacional, la inteligencia y la aplicación de la ley. Este efecto socava el papel del cuarto poder a la hora de garantizar que el gobierno rinda cuentas.
Steve Coll, redactor de la revista New Yorker y decano de la Escuela de Posgrado de Periodismo de la Universidad de Columbia, explicó: “Todos los reporteros de seguridad nacional que conozco dirían que el ambiente en el que los periodistas profesionales tratan de descubrir fallas en las políticas [y] malas decisiones militares es mucho más complicado y mucho más frío”. Que el público comprenda las políticas de seguridad nacional que se llevan a cabo en su nombre es esencial para el funcionamiento de democracias saludables y sociedades abiertas.
Otro reportero especializado en temas de seguridad nacional describió el impacto que las revelaciones de Snowden han tenido sobre la capacidad de los periodistas para proteger a sus fuentes: “Yo solía pensar que las personas más cautelosas no estaban en riesgo, [que] podían proteger a sus fuentes y evitar que su identidad fuera revelada. Ahora sabemos que este no es el caso. Eso es lo que significó Snowden para mí. Hay un registro de todos los lugares a los que he ido, todos los lugares en los que he estado”.
Muchos periodistas están tomando medidas extraordinarias para resguardar a sus fuentes y protegerlas de represalias, incluso mediante el uso de teléfonos de prepago desechables o fuertes sistemas de codificación, o evitando completamente el uso de móviles e Internet. En palabras de un periodista, se están viendo obligados a adoptar tácticas de traficantes de drogas y delincuentes solo para hacer su trabajo. Abogados –y en particular los abogados defensores— que hablaron con Human Rights Watch describieron cómo habían adoptado tácticas similares para proteger la confidencialidad de las comunicaciones con sus clientes, un elemento esencial del derecho a la asistencia legal.
En el Reino Unido, documentos publicados en noviembre de 2014 como resultado de un recurso judicial muestran que los servicios de seguridad y de inteligencia del país disponen de políticas que permiten la interceptación de las comunicaciones confidenciales entre abogado y cliente por razones de seguridad nacional, posiblemente incluso en los casos en que los organismos gubernamentales eran los demandados. El grupo de derechos humanos Reprieve presentó el caso en nombre de familias libias que alegaron haber sido sometidas a entregas extraordinarias y torturas. El director de asesoría jurídica de Reprieve, Cori Crider, declaró que estas políticas plantean “implicaciones preocupantes para todo el sistema británico de justicia” y cuestionó la frecuencia con la que el gobierno ha “amañado el juego a su favor en el proceso judicial en curso sobre la tortura”.
Esta investigación inicial solo roza la superficie. Por ejemplo, una encuesta en abril de 2014 a 2.000 estadounidenses sobre el impacto de las revelaciones de la NSA reveló que casi la mitad –47 por ciento— había cambiado su perspectiva de cara a la actividad en línea como consecuencia de la información sobre el programa de vigilancia de la NSA. Los encuestados respondieron que ahora piensan más detenidamente acerca de a dónde van, lo que dicen y lo que hacen en línea, y alrededor de un 25 por ciento son menos propensos a utilizar el correo electrónico. Otros estudios han documentado los costos económicos reales y proyectados que la vigilancia de la NSA ha supuesto para la industria de Internet estadounidense (hasta US$180 millones en ventas perdidas para la industria de la computación en la nube), conforme la pérdida de confianza en las tecnologías y servicios de origen estadounidense empuja los negocios hacia el extranjero. Un informe del Open Technology Institute publicado en julio de 2014 empieza a catalogar algunos de estos costos, así como los daños a la apertura de Internet, los intereses estadounidenses de política exterior y la seguridad cibernética.
Quizás una de las mayores víctimas de las revelaciones de Snowden fuera la autoridad moral de EE.UU. y el Reino Unido para criticar los abusos de vigilancia de otros gobiernos y predicar con el ejemplo.
Un informe de marzo de Human Rights Watch documentó cómo el gobierno de Etiopía utiliza la vigilancia de datos para monitorear a los grupos de la oposición y los periodistas, y para silenciar a las voces de la disidencia. Con un acceso prácticamente sin restricciones a las redes móviles, las agencias de seguridad interceptan regularmente las llamadas y tienen acceso a los registros telefónicos, que luego son reproducidas durante interrogatorios abusivos, sin ningún tipo de proceso o supervisión.
Un ex miembro del partido de la oposición en Etiopía dijo a Human Rights Watch: “Un día me arrestaron y me lo enseñaron todo. Me mostraron una lista con todas mis llamadas telefónicas y me pusieron una conversación que tuve con mi hermano. Me detuvieron porque hablamos de política por teléfono. Era el primer teléfono que había tenido jamás y pensé que por fin podía hablar con libertad”.
A principios del año, el gobierno de Etiopía detuvo a un grupo de blogueros que escribía sobre temas de actualidad bajo el nombre colectivo de Zona 9. Ahora los blogueros de Zona 9 enfrentan cargos por motivos políticos en virtud de la defectuosa ley antiterrorista de Etiopía. Los cargos citan como evidencia el hecho de que los periodistas viajaron fuera del país para recibir capacitación sobre cómo codificar sus comunicaciones.
El Estado etíope no es EE.UU. ni el Reino Unido, pero las declaraciones y acciones de EE.UU. y el Reino Unido sentaron un preocupante precedente que socava su credibilidad en cuestiones de derechos y que será citado por muchos otros gobiernos. Si EE.UU., el Reino Unido y sus aliados continúan argumentando, por ejemplo, que los metadatos no merecen muchas medidas de protección de la privacidad, entonces, ¿cómo pueden impugnar de manera efectiva a Etiopía cuando el gobierno adopte el mismo argumento legal? Y si las autoridades estadounidenses y británicas continúan denigrando y debilitando el uso generalizado de la codificación para proteger a los usuarios ordinarios de Internet, ¿cómo podrán sus gobiernos condenar de manera creíble a otros gobiernos que prohíben y castigan el uso de la codificación en nombre de la seguridad nacional?
Normas internacionales para la era digital
Las revelaciones de Snowden han desatado un debate global sobre la vigilancia moderna, la seguridad nacional y los derechos humanos. Ahora la privacidad forma parte por primera vez de la agenda de una serie de estados e instituciones internacionales.
Varias grandes instituciones de derechos humanos de la ONU han comenzado a examinar las prácticas modernas de vigilancia. En marzo de 2014, el Comité de Derechos Humanos, un órgano internacional de expertos e intérprete autorizado del Pacto Internacional de Derechos Civiles y Políticos (PIDCP) –un tratado mundial del que EE.UU. es miembro— hizo un llamamiento a EE.UU. para que se asegure de que toda la vigilancia sea necesaria y proporcionada para alcanzar objetivos legítimos, independientemente de la nacionalidad o la ubicación de las personas afectadas.
En julio de 2014, la principal funcionaria de derechos humanos de la ONU, la entonces Alta Comisionada para los Derechos Humanos, Navi Pillay, difundió un informe pionero sobre la privacidad en la era digital que desafiaba directamente los argumentos de EE.UU. y el Reino Unido para sus programas secretos de vigilancia masiva.
Pillay concluyó que la vigilancia masiva “se está convirtiendo en un hábito peligroso en lugar de una medida excepcional”. La Alta Comisionada dijo que el espionaje sin control podría perjudicar diversos derechos humanos, incluidas las libertades de expresión y asociación. La responsabilidad de los gobiernos, señaló, es demostrar que sus prácticas eran necesarias y proporcionales a sus objetivos de seguridad. En otras palabras, espiar a todo el mundo porque se puede no significa que se deba hacer.
El informe de la Alta Comisionada fue publicado después de una insistente campaña por parte de defensores de la privacidad y un grupo de países, encabezados por Alemania y Brasil, para presionar a EE.UU. y el Reino Unido a poner fin a la vigilancia masiva y salvaguardar la privacidad de las personas en todo el mundo. Llenando el vacío de liderazgo, Alemania y Brasil, junto con Austria, Liechtenstein, México, Noruega y Suiza, dirigieron la aprobación de la resolución de la Asamblea General de la ONU de diciembre de 2013 que solicitaba la elaboración del informe de la Alta Comisionada.
Ante la inacción de EE.UU., el Reino Unido y sus aliados más cercanos, estas instituciones de la ONU han comenzado a esbozar un enfoque de principios para la vigilancia y los derechos humanos en la era digital, basándose en normas ampliamente aceptadas del derecho internacional de los derechos humanos.
Varios temas críticos que surgen de este trabajo ponen directamente en duda las justificaciones de la vigilancia masiva:
• La vigilancia daña una serie de derechos más allá de la vida privada, incluidas las libertades de expresión, asociación y movimiento, así como el derecho a un abogado. Si las personas no pueden acceder a Internet sin temor a la vigilancia excesiva, el poder de las tecnologías digitales para promover el ejercicio de los derechos quedará notablemente mermado. Los periodistas no podrán proteger a sus fuentes, los abogados no podrán garantizar la confidencialidad de las comunicaciones con sus clientes y los defensores de derechos humanos no podrán hacer su trabajo con seguridad.
• Los Estados tienen la obligación de proteger los derechos de privacidad de los usuarios fuera de sus fronteras. En nuestra era en que todo el mundo está interconectado, es insostenible argumentar que el derecho a la privacidad termina en la frontera mientras que la vigilancia carece de ellas.
• La vigilancia masiva es por naturaleza indiscriminada y es presuntamente ilegal. El artículo 17 del PIDCP establece que cualquier injerencia en la vida privada debe ser proporcionada y ajustarse estrictamente a un propósito. El hecho de que la vigilancia masiva y la recopilación de datos puedan arrojar algo de información que algún día podría resultar útil no puede justificar la invasión de la privacidad de todos.
• Los Estados deben reconocer que cuando recogen datos privados están perjudicando la privacidad y otros derechos, independientemente de si luego esos datos son utilizados o no. Saber que el gobierno puede adquirir datos acerca de las comunicaciones y actividades en línea de cualquiera puede socavar la libertad de expresión y de asociación, incluso si esos datos nunca son objeto de abusos. Los Estados deben imponer límites significativos sobre cuándo pueden recogerse estos datos, además de cómo pueden ser utilizados y durante cuánto tiempo pueden ser conservados.
• Los Estados deben aumentar la transparencia y la supervisión sobre los poderes de vigilancia y recopilación de información. Hay razones legítimas de secretismo al abordar amenazas de seguridad nacional. Pero esos poderes deben estar sujetos a la supervisión para evitar las extralimitaciones y el abuso, incluso mediante órganos judiciales y parlamentarios.
• El sector privado tiene la responsabilidad de respetar los derechos cuando se le pide que facilite la vigilancia o la recopilación de datos. Cuando las empresas de Internet o de telecomunicaciones entregan datos de los usuarios o ayudan con la vigilancia sin las protecciones adecuadas, corren el riesgo de ser cómplices en las violaciones resultantes.
El camino por recorrer
Si bien la controversia Snowden se ha centrado en EE.UU. y el Reino Unido, tal como se ha señalado anteriormente, no hay ninguna razón para suponer que las leyes o prácticas de otros gobiernos son mejores. La mayoría de las normativas de privacidad fueron implementadas durante la infancia de Internet, antes de que existieran las redes sociales o los teléfonos inteligentes. Ahora se están quedando cortas a la hora de brindar una protección adecuada de los derechos. Y, por supuesto, también están los gobiernos como Etiopía, China y Rusia, que se dedican de manera rutinaria a la vigilancia abusiva como una cuestión de política y diseño.
Gracias a Brasil y Alemania, hay un impulso internacional para desarrollar normas y directrices y establecer instituciones para asegurar que la privacidad siga teniendo sentido en la era digital. Como parte de este esfuerzo en los próximos meses, Human Rights Watch respaldará la creación de una nueva relatoría especial sobre el derecho a la privacidad en el Consejo de Derechos Humanos de Naciones Unidas, ocupada por un experto independiente encargado de examinar las prácticas de vigilancia por parte del Estado de una manera continua y sistemática.
Sin embargo, en el momento de redactarse este artículo, todavía impera un deseo de asegurar una participación comprometida por parte de EE.UU. y el Reino Unido, conforme se van materializando los debates sobre la vigilancia de masas en estos escenarios internacionales. El instinto de tratar a EE.UU. y el Reino Unido con guantes de seda diplomáticos no es sorprendente, dada su capacidad tecnológica y poder político. Pero en última instancia, este enfoque puede ser contraproducente. En el corto plazo, son más propensos a jugar el papel de los saboteadores en lugar de los promotores de normas basadas en principios. Esto fue especialmente evidente durante el debate que condujo a la resolución de la Asamblea General de la ONU en diciembre de 2013 sobre la privacidad en la era digital, cuando EE.UU. y el Reino Unido presionaron tras bambalinas, con cierto éxito, para que se diluyera el texto, y nuevamente en noviembre de 2014, con respecto a la resolución de seguimiento sobre el mismo tema.
Por supuesto, es necesario seguir presionando para que EE.UU. y el Reino Unido adopten reformas e instar a estos gobiernos a que extiendan las protecciones de privacidad a los que se encuentran más allá de sus fronteras. Pero no debemos permitir que la parálisis política en EE.UU. y el Reino Unido obstaculice el desarrollo de normas internacionales de privacidad. Un proceso de amplia participación internacional, incluso con aliados estratégicos, puede facilitar que con el tiempo EE.UU. y el Reino Unido acaben aceptando y asimilando fuertes normas internacionales. Cuando otras naciones e instituciones internacionales prediquen con el ejemplo y establezcan fuertes normas de derechos humanos, harán que EE.UU. y el Reino Unido también se sumen.
Sin embargo, el desarrollo de una normativa global es solo un primer paso. Las revelaciones de Snowden han demostrado hasta dónde están dispuestas a llegar las agencias de seguridad cuando pueden operar sin una supervisión adecuada ni un sistema de rendición de cuentas. A medida que se desarrollan nuevas capacidades de vigilancia y los Estados abordan nuevas amenazas –ya sea el terrorismo y el extremismo violento como los ataques cibernéticos— son imprescindibles el continuo escrutinio público y la implementación nacional de normas globales. El informe de Pillay ha aportado unas directrices muy necesarias. Ahora la responsabilidad recae sobre los parlamentos y los legisladores de todo el mundo para que examinen las prácticas de vigilancia y evalúen sus costos y beneficios tangibles con más atención y de manera pública dentro de un marco de derechos humanos.
La vigilancia debe permanecer en la agenda de los derechos humanos, tanto nacional como mundial. De lo contrario, corremos el riesgo de que Internet se convierta en el panóptico que ve todo de los gobiernos.
Cynthia Wong es investigadora principal de Internet y los derechos humanos de Human Rights Watch