facebook   twitter   youtube 

Chuzadas legales: Más preguntas que respuestas

(Tiempo estimado: 6 - 12 minutos)

Vivian_Newman_chuzadas_RazonPublica

Vivian_Newman_RazonPubllicaEl “síndrome de las chuzadas” despierta suspicacias frente a un Decreto reciente y difícil de aplicar: técnicamente no es fácil armonizar la obligación de investigar a los culpables con el derecho a la intimidad, el habeas data y la libre expresión.

Vivian Newman Pont*

Vivian_Newman_chuzadas_juicio

¿Quiénes son “las autoridades competentes” a las que el proveedor tiene la obligación de suministrar la información?   Foto: tribunalatina.com

¿Chuzadas versión 2.0?

El 15 de agosto de 2012, el gobierno expidió el decreto 1704 por medio del cual se reglamenta la posibilidad de interceptar comunicaciones y se faculta al Fiscal para buscar pruebas y personas en líos con la ley penal.

Para entender el impacto de esta norma y no repetir las malas experiencias con las chuzadas del DAS, es necesario conocer su origen y fundamento, para luego examinar los principios que deben orientar la posibilidad de interceptar comunicaciones y concluir con un análisis básico del decreto y los interrogantes que suscita su aplicación.

Origen y fundamento

Para comenzar, es clave conocer la norma original que consagra la posibilidad de que el Fiscal intercepte comunicaciones: el artículo 235 del Código de Procedimiento Penal. Este artículo ha sido modificado dos veces en ocho años y en cada ocasión se ha ampliado su cobertura, lo que a su vez ha aumentado el efecto colateral sobre los derechos de terceros:

  • En 2004, el Fiscal podía interceptar con el “único” objeto de buscar pruebas, sólo en el espectro electromagnético y por una solicitud inicial de tres meses.
  • Hoy en día, el objeto de la interceptación se ha ampliado, pues se refiere a cualquier red de comunicaciones y tiene un plazo de hasta seis meses.

En principio, por mandato constitucional, sólo pueden ser interceptadas o registradas las comunicaciones privadas, mediante orden judicial (artículo 15 del Código Penal). Lo que en español corriente se entiende con la palabra “mediante” indicaría que debe haber una orden judicial y que ésta ha de ser previa.

Esta exigencia queda corroborada, pues existe el delito de interceptación de datos informáticos, que castiga con pena de prisión a la persona que “sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático…” (Artículo 269 del Código Penal).

Sin embargo, la Corte Constitucional ha considerado que basta un control judicial posterior que legalice la interceptación del Fiscal (artículo 250-2 del Código Penal). En la tensión existente entre derechos fundamentales — como la intimidad — y la función de la Fiscalía General de investigar delitos, prima pues esta última [1]. Es decir, como el Estado tiene el deber de investigar para ofrecer seguridad a la ciudadanía, tiende a flexibilizar los derechos fundamentales que se ven afectados con esta intervención.

Por el momento, pues, — y aunque todavía no se puede afirmar que haya cosa juzgada definitiva sobre esta norma — la Fiscalía puede chuzar sin permiso previo y solo está sujeta a una revisión posterior. Pero esta facultad debe ejercerse con extremo cuidado, porque conlleva serias restricciones, por lo que resulta conveniente tener en cuenta algunos principios mínimos.

Principios que se deben respetar

Del decreto se desprende que el Fiscal — amparado en su enorme poder de chuzar sin control previo — tiene acceso legal a una cantidad ingente de información, lo que crea un alto riesgo de manipulación de datos y de bases de datos privados de personas no involucradas en delitos potenciales, al tiempo que somete a los usuarios de Internet a la intranquilidad de saberse vigilados. Y todo esto se autoriza bajo reglas opacas, pues la norma está escrita en términos vagos, como es frecuente en materia de vigilancia y, en particular, cuando hay tecnologías novedosas.


 

Vivian_Newman_chuzadas_das

La Corte Constitucional ha considerado que basta un control judicial posterior que legalice la interceptación del Fiscal.

Foto: radiosantafe.com
  

Así pues, normas poco claras amenazan los derechos fundamentales a la intimidad, el habeas data y la libertad de expresión, para darle cierta prevalencia a la investigación criminal.

Para avanzar en la armonización de estos dos extremos, son útiles los siguientes principios que se basan en estudios previos sobre vigilancia y derechos humanos [2]:

  1. Necesidad: se debe tratar de información sin la cual las autoridades no pueden realizar su investigación criminal.
  2. Proporcionalidad: sólo se debe solicitar información delimitada y específica y que sirva en un alto grado para evitar o sancionar un delito, luego de que las metodologías de investigación tradicionales se hayan agotado y bajo un plan para asegurar que cualquier información irrelevante sea destruida de manera inmediata.
  3. Transparencia: los proveedores deben informar a los usuarios sobre el procedimiento de entrega de información a las autoridades.
  4. Notificación: las autoridades deben informar a las personas afectadas tan pronto como concluya la investigación criminal o deje de ser necesaria la reserva.
  5. Control de legalidad: como el control es posterior, el Fiscal debe rendir cuentas detalladas e integrales; el control no es sólo en cuanto a la orden del Fiscal de interceptar, sino en cuanto a los elementos que se obtienen de esa interceptación. Es decir que, además del cumplimiento de las reglas procedimentales, se deben demostrar la pertinencia y la totalidad de la información recolectada, al igual que la eliminación de los datos que no son relevantes.
  6. Para evitar el posible abuso de poder, debe existir un contrapeso a la Policía Judicial y a la Fiscalía que represente los intereses privados de la ciudadanía, cuya información ha sido interceptada o cuyas bases de datos ya no están solamente en poder de los receptores originales.

Obligaciones para proveedores de Internet

El decreto que regula las chuzadas impone tres obligaciones principales a los proveedores de servicios de telecomunicaciones:

  1. Garantizar los puntos de conexión y facilitar el acceso para la captura del tráfico que curse por sus redes;
  2. Suministrar a las “autoridades competentes” los datos actualizados del suscriptor — identidad, dirección de facturación, etcétera…— conservándolos hasta por cinco años.
  3. Suministrar en tiempo real la información de sus bases de datos para determinar donde están las terminales (computadores y otros dispositivos) de los usuarios.

Para entender el alcance de estas obligaciones es preciso imaginar la estructura y el funcionamiento de Internet – lo cual intentaré hacer aquí con muchísimas simplificaciones.[3]

El Internet es una red que transporta los datos hacia su destino no por una vía central y cerrada (como en el teléfono), sino por diferentes rutas y diferentes direcciones, dependiendo de factores como la velocidad de la conexión y el tipo y el tamaño de la información.

Los datos se separan en paquetes en el punto de origen, viajan por la red indiscriminadamente a través de enrutadores o nodos (como el router que uno tiene en su casa y que con los demás enrutadores son la columna vertebral del sistema) y se rearman en su estado original cuando llegan a su destino.

Así, por ejemplo, si A, desde una dirección IP llama por Skype a B que es otra dirección IP, la voz e imagen de A se descomponen y viajan por diferentes rutas y en diferentes paquetes mezclados con la voz, datos, video y texto de otra gente que está usando la red y se recomponen al llegar a B.

Muchas preguntas difíciles

Volviendo al decreto, la manera más sencilla de acceder a la información que transita por las redes y servicios de telecomunicaciones es a través de los intermediarios, que son como unos porteros y se conocen como prestadores de servicios de Internet y telefonía celular (como Telmex, ETB, Claro o Telefónica) y como operadores de servicios en línea (como Facebook y Google).


 

Vivian_Newman_chuzadas_operadores

Hoy en día, el objeto de la interceptación
se ha ampliado, pues  se refiere a
cualquier red de comunicaciones y tiene
un plazo de hasta seis meses.   
Foto: contactcenters.wordpress.com

 

Por esto, el decreto impone a los proveedores la obligación de garantizar que haya puntos de acceso o puertas de entrada (backdoors), para cuando las autoridades requieran monitorear los paquetes y los enrutadores de la red para llegar a un destino.

El problema radica en que no existe un programa, un software o un dispositivo que permita monitorear o inspeccionar de manera profunda la información de una persona sin recibir la de otra que se encuentra en el mismo paquete o que use los mismos o similares nodos, porque entre otras cosas nunca se sabe exactamente por qué ruta o dirección circula la información, de manera que las autoridades tendrán que acceder a los paquetes y a las direcciones que llevan información de muchos abonados de ese proveedor, sin que puedan hacer ninguna distinción. 

Como se puede apreciar, la estructura de Internet es muy distinta del sistema análogo, donde, por ejemplo, sólo se escuchaban las conversaciones que salieran o llegaran a un teléfono.

Son muchas las preguntas técnicas que surgen al tratar de aplicar el Decreto de manera adecuada. Se me ocurren algunas que se concentran en dos categorías:

  • las que se relacionan con los sujetos de las obligaciones;
  • las que atienden a la protección de la intimidad y datos personales.

Con respecto a la primera categoría, es importante asegurarse de que — si el Decreto se refiere a proveedores que desarrollen su actividad comercial en el territorio nacional — no cobije a universidades, bibliotecas o sistemas comunitarios que provean conexiones a redes:

  • Se entendería que Telmex y ETB tienen estas obligaciones, pero ¿Google y Facebook las tienen?
  • ¿No es acaso ambiguo exigir a los proveedores que entreguen información de sus suscriptores “una vez cumplidos los requisitos legales a que haya lugar"?
  • ¿Quiénes son “las autoridades competentes” a las que el proveedor tiene la obligación de suministrar la información?

Y en cuanto a los datos de terceros recogidos en el monitoreo que pueden no ser relevantes — por ejemplo, la foto de la novia desnuda o la dirección de facturación del servicio prestado al amante — es clave definir la tecnología que se utilizará y el máximo de protección de los derechos de otros usuarios:

  • ¿Se pueden o se deben eliminar datos sabiendo que en Internet siempre se puede recuperar la información, dado que el borrado nunca es permanente?
  • ¿Cómo distinguir esta interceptación del monitoreo del espectro electromagnético que ya la Corte (Comunicado de prensa No 27 de julio de 2012 de la Corte Constitucional que informa sobre la exequibilidad del proyecto de ley estatutaria de inteligencia y contrainteligencia) definió como “rastrear de manera aleatoria e indiscriminada un bien del Estado, sin que involucre seguimiento individual”, cuando enchufarse a las “backdoors” conlleva acceso indiscriminado a la información que fluye en la red?
  • ¿Cómo se determina el nivel de la conexión específica a la que se enchufa la policía judicial: en función de la dirección IP que se investiga o alrededor de un dispositivo de una zona delimitada como puede ser un barrio?
  • ¿No es excesivamente gravoso y complejo para los proveedores tener que guardar y proteger información por cinco años, cuando cada día hay nuevos hackers y nuevos métodos de sustraer información en la red?

Las preguntas anteriores deben responderse siguiendo los principios mínimos de protección de la intimidad y de los datos personales mencionados más arriba, para así armonizar mejor la tensión evidente en el Decreto entre la obligación estatal de investigar delitos mediante interceptación y la garantía de derechos fundamentales como la intimidad, el habeas data y la libertad de expresión.

De esta manera podremos entender el Internet como una herramienta de comunicación que contribuye a proteger y no a deteriorar la democracia.

* Subdirectora del Centro de Estudios DEJUSTICIA.

Vivian_Newman_chuzadas_Anyelik

Escribir un comentario

Agradecemos a los investigadores, académicos y profesionales que contribuyen con sus artículos, declaraciones y caricaturas inéditos para ser publicados en la Revista Razón Pública. Los autores son responsables de sus ideas y de la presentación de los hechos en este documento.

“Los comentarios en Razón Pública están sujetos a moderación, (de 8 am a 6pm hora de Colombia) con el fin de garantizar un intercambio de opiniones en tono respetuoso - serán bienvenidas la crítica aguda y la ironía - que enriquezcan el debate y resulten interesantes para lectores y autores.
En consecuencia, no se aceptarán comentarios del siguiente perfil:
1. Que constituyan descalificaciones, ataques o insultos contra los autores o contra otros participantes del foro de comentarios.
2. Que incluyan contenidos, enlaces o nombres de usuarios que razonablemente puedan considerarse insultantes, difamatorios o contrarios a las leyes colombianas.
3. Comentarios sin sentido o repetidos, que serán eliminados sin piedad.

Los comentarios no reflejan necesariamente la opinión de Razón Pública, sino la de los usuarios, únicos responsables de sus propias opiniones.”


Código de seguridad
Refescar

Comentarios  

Burbano
0 # Burbano 01-12-2012 03:35
Respecto a la parte política, la intromisión a la red en lugares donde mas de un usuario comparte la misma IP publica si puede violentar los derechos de los demás usuarios y también podría ser usada esta ley como excusa para perseguir ocultamente a otra persona. Digamos que el gobierno dice que un periodista nuevo tiene contactos con la guerrilla y entonces puede vigilar la IP pública del periódico, esto le da acceso a toda la información del periódico completo y sus investigaciones , quitándoles independencia y quebrantando la libertad de expresión identificando contactos clave o temas por el estilo. Así que esta leí se debería limitar un poco mas teniendo en cuenta los factores técnicos tal vez a dos etapas. La primera una “chuzada compartida” entre el ISP como representante y veedor de los derechos de los demás usuarios, donde identifiquen la IP privada del usuario y luego la “chuzada independiente” del gobierno con los datos filtrados de el usuario especifico que la debe brindar el ISP. Pues técnicamente se puede lograr y así no quebrantar los derechos de los demás.
Respecto a la parte técnica para los ISP si es posible y fácilmente solo tomar información de la IP especifica sin tomar otros datos y creo yo que ellos deberían garantizar esto. El proceso es más o menos como usted lo describió, pero existen varios software conocidos que permiten filtrar los paquetes que pasan por la red y capturar solo los que provienen o van a una IP específica. Yo añadiría que la asignación de las IP, a los usuarios de a pie, no es fija esta cambia a lo largo del tiempo, pero esta información también la tiene el proveedor, Sin embargo todas las personas que viven o trabajan en un mismo sitio comparten la IP publica y de pronto ahí viene el problema hasta no identificar cual es la IP privada. Esto es más fácil en los casos de los proveedores de internet móvil pues esta IP si es única por dispositivo y no es compartida como las de las oficinas o lugares públicos.
Responder | Responder con una citación | Citar | Reportar al moderador

Esta semana en Razonpublica