Transparencia de mentira y #CornejoLeaks

A propósito de la difusión de un grupo de correos electrónicos del ex Primer Ministro, se viene discutiendo la posibilidad/legalidad de que todas las comunicaciones de los altos funcionarios del gobierno sea públicas. Dado el estado actual de nuestra cultura política, me parece una idea bien intencionada pero inocente.

Actualmente, existen muchas obligaciones de transparencia específicas para los altos funcionarios. En este grupo, destaca la obligación de publicar las agendas diarias de cada funcionario en la página web. (Artículo 5 de la Ley de Transparencia) Sin embargo, cualquiera que ha intentado sacar algo valioso de esto se habrá dado cuenta de que esta obligación se cumple poco y mal.1 Estas agendas no son más que una versión editada y políticamente correcta de lo que hace un funcionario en su día a día. Si un funcionario va a tener una reunión para concertar una decisión o dejarse influenciar por fuera de las vías regulares, no lo va a escribir en su agenda. En los casos en los que se cumple, se llena una o varias semanas después de que las reuniones se llevaron a cabo.

Continuar leyendo


  1. Hat tip para Llenametuagenda.pe 

Infografía: La ley que podría filtrar todo lo que vemos en Internet

Seguro que todos por aquí ya conocen la Ley Chehade. El Proyecto de Ley de Protección del Menor de Contenidos Pornográficos en Internet (pdf), presentado por el congresista Omar Chehade propone que todas las conexiones a Internet en Perú sean filtradas por una Comisión Estatal con la finalidad de proteger a los niños del contenido obsceno y pornográfico. Los filtros serían aplicados por todas las empresas que brindan acceso a Internet, salvo que el usuario solicite ser excluido del programa, y podrían incluir páginas personales, blogs, servicios de almacenamiento de fotos o vídeos, redes sociales e incluso sistemas de mensajería. En Hiperderecho hemos preparado una infografía especial con tres buenas razones para no aprobar este Proyecto de Ley. Adicionalmente, hace un par de semanas enviamos una carta a todos los congresistas que integran la Comisión de la Mujer y Familia. Desde esta semana, estamos invitando a todos los interesados a hacerse escuchar y escribirle a los congresistas mediante este formulario. Continuar leyendo

Mátenlos a todos, Dios sabrá reconocer a los suyos…

En el año 1209, durante la denominada “Cruzada Albigense”, al ver los soldados que la población de Beziers (incluyendo miles de católicos) protegía a los cátaros que guiaban su vida espiritual y que todos los habitantes de la ciudad estaban dispuestos a morir con ellos consultaron a los representantes del Papa acerca de cómo realizar el ataque a los “herejes” sin afectar a la población católica. La respuesta que recibieron fue la que nos da el título en esta ocasión y procedieron a cumplirla matando a cerca de 7 mil personas en un evento que hasta hoy es recordado. Esta frase atribuida al Papa Inocencio III en la toma de Beziers puede ser muy bien aplicable a lo que estamos viendo respecto a la ley que pretende bloquear el acceso a la pornografía en Internet. Este último viernes se llevó la Audiencia Pública organizada por la Comisión de Constitución del Congreso para discutir el Proyecto de Ley Sobre la Protección al Menor de Contenido Pornográfico presentado hace un tiempo por el Congresista Omar Chehade. Me sorprendió mucho constatar que dentro del público -y en pleno siglo XXI–hubieran personas que consideraban defendible que el Estado constituya una comisión encargada de monitorear y filtrar los contenidos que, según el criterio de sus miembros, pudieran afectar el pudor o considerarse obscenos. Algunos participantes se animaron, inclusive, a pedir mayor regulación de los medios de comunicación, de los contenidos de televisión, de dictar sanciones para los diarios y revistas que incluyen fotos “subidas de tono” e inclusive controlar el contenido de los espectáculos públicos. Si bien es cierto que la protección de la niñez pudiera ser un argumento que convenza a algunos; en estas líneas queríamos compartir con ustedes algunas impresiones respecto a la inconveniencia (y posible inconstitucionalidad) de este proyecto. Para hacerlo sencillo, el proyecto de ley en cuestión postula que los niños se encuentran en riesgo de sufrir una afectación en su desarrollo intelectual, moral, sicológico o espiritual porque en Internet existe mucha pornografía. Los defensores de este proyecto de ley consideran que para proteger a los menores no es suficiente la capacidad de discreción de los padres para cuidar a sus hijos ni el hecho de que existan leyes que ya protegen a los menores, por ejemplo, obligando a las cabinas de Internet a instalar filtros de contenido violento o pornográfico o sancionando con cárcel los delitos de grooming o pornografía infantil. Los defensores del proyecto consideran que es necesario crear una comisión de notables que determinen, según sus propios estándares, que contenidos afectan el pudor o pueden considerarse obscenos para ordenar su inmediato bloqueo y así impedir el acceso de los peruanos (incluidos los adultos) a dicho contenido. Como hombre libre y de buenas costumbres no puedo menos que estar de acuerdo con cualquier persona que quiera proteger a los menores de edad; pero, en este caso, considero que el mecanismo de protección propuesto termina siendo excesivo en una sociedad democrática al pretender reemplazar la racionalidad de los padres de familia por la omnisciencia de algunos funcionarios del Estado que bloquearán contenidos a discreción. Independientemente de los cuestionamientos antes mencionados, a continuación detallo algunas de mis preocupaciones legales y técnicas respecto a esta norma:

Continuar leyendo

¿Redes Sociales en el trabajo?

El 27 de abril último se aprobó en el Senado del Estado de Washington un proyecto de ley denominada “Employer Social Media Password Bill” algo así como la “Ley para Empleadores sobre el Uso de Claves de Redes Sociales” que pueden ver aquí. Actualmente esta norma se encuentra a la espera de la firma del Gobernador de dicho Estado para entrar en vigencia y regula el acceso de los empleadores a las cuentas privadas de los trabajadores en redes sociales. En este post compartiremos con ustedes las principales regulaciones de esta norma y nuestros comentarios al respecto.

La ley prohíbe a los empleadores:

  • Solicitar a sus trabajadores o postulantes a puestos de trabajo la entrega de sus claves de acceso a redes sociales.
  • Obligar a los trabajadores a ingresar a sus cuentas en redes sociales delante de ellos, es decir, de forma y manera que permita al empleador tener acceso al contenido de la cuenta del trabajador.
  • Obligar al trabajador a agregar al empleador, o a cualquier otra persona indicada por el empleador, como contacto en cualquier red social.
  • Obligar al trabajador a modificar la configuración de su cuenta en alguna red social de modo que se eliminen restricciones al acceso de terceras personas.
  • Aplicar sanciones o tomar cualquier medida en contra del trabajador o postulante que se niegue a realizar alguna de las actividades señaladas precedentemente.

Si bien alguna vez había leído un artículo señalando la ilegalidad de estas prácticas; no le presté mucha atención pues me pareció bastante lógico que así fuera. En efecto, siempre he considerado que la información que ingresamos a las redes sociales y que pretendemos que se mantenga en un ámbito privado o con alguna restricción de acceso debía mantenerse así. Nunca pude imaginar que alguien pretendiera obligar a otra persona a revelar información que no desea que salga de su círculo personal.

Lamentablemente, pareciera que anduve equivocado pues sospecho que, al menos en los EUA, está costumbre está alcanzando ribetes de plaga ya que las legislaturas estatales se están viendo forzadas a regular estas prohibiciones mediante leyes expresas. Como vemos en este documento, las legislaturas de California, Illinois, Maryland, Michigan, New Jersey, New Mexico y Utah han promulgado normas que protegen las claves de acceso a redes sociales de los trabajadores y ya empieza a circular la pregunta de si es necesario dictar una norma Federal al respecto.

Otras disposiciones de la norma bajo comentario permiten a los empleadores acceder a la información contenida en las cuentas de sus trabajadores en redes sociales cuando se cumplan (todas) las siguientes condiciones:

  • Cuando resulte necesario para obtener información requerida en una investigación.
  • Cuando la investigación derive de una denuncia acerca de las actividades del trabajador en redes sociales.
  • Cuando el propósito de la investigación sea: (i) asegurar el cumplimiento de leyes, regulaciones o prohibiciones relacionadas con la actividad del trabajador o (ii) determinar la transferencia ilegal de información confidencial del empleador, información propiedad del empleador o información financiera del empleador.
  • Que el empleador no hubiera solicitado la clave de acceso a la cuenta del trabajador en la red social.

Hasta ahora pareciera que todo va bien y que el trabajador podría vivir tranquilo pues el propósito de la norma sería básicamente limitar el acceso a la información de las redes sociales del trabajador únicamente aquellos casos cuando se sospeche de actos ilegales que pudieran afectar gravemente al empleador. No obstante ello, existen algunas otras disposiciones que nos preocupan y que tienen que ver con las herramientas (software y hardware) proporcionados por el empleador.

En efecto, según esta norma las protecciones mencionadas líneas arriba no serán aplicables cuando se trate de redes sociales internas, intranets, herramientas colaborativas o mecanismos de comunicación proporcionadas por el empleador. Tampoco se aplican a cuentas o equipos pagados o proporcionados por el empleador ni cuando se trata de cumplir disposiciones contenidas en políticas de recursos humanos del empleador o normas legales que le resulten aplicables independientemente del lugar en donde se usó la red social (en el trabajo o fuera de el).

Como señala Antonio Rodriguez en este post (aquí) en el Perú aún no tenemos una norma aprobada al respecto aunque sí algunos proyectos de ley (aquí) y algunas sentencias del Tribunal Constitucional (aquí) con posiciones y declaraciones de diferente índole. Es importante destacar que en ninguna de ellas se establece que el empleador pudiera tener algún derecho a exigir la clave de acceso a la cuenta privada que algún trabajador pudiera tener en una red social ni siquiera en circunstancias en que se pudiera afectar gravemente al empleador.

Pareciera que el debate empezará pronto y será necesario que se tome una decisión al respecto definiendo claramente cuál será la regla aplicable al uso de redes sociales en el trabajo y fuera de él.

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

El acceso a Internet como derecho humano

Según dan cuenta los expertos, la semana pasada se produjeron restricciones en los servicios de Internet en Venezuela, Corea del Norte y el Líbano. Mientras los gobiernos se defienden señalando que son acciones necesarias para protegerse de ataques externos; la sociedad civil las rechaza señalando que se trata de actos de censura y propone que el acceso a Internet sea regulado como un derecho humano. En este post trataremos de dar algunos pincelazos acerca de este interesante tema con el objeto de promover la discusión al respecto.

El domingo 14 de abril, día de las elecciones en Venezuela, las páginas web y cuentas de twitter de Nicolás Maduro y su partido (el PSUV) fueron atacadas por un grupo de ciberactivistas denominado “Lulzsecperu” (mas información aquí) quienes lograron tomar el control de las mismas y publicar en nombre de los titulares reales durante casi tres horas. El gobierno venezolano, como da cuenta el diario español El País, decidió apagar el acceso a Internet para recuperarse del ataque. No obstante ello, deja mucho que pensar el hecho que, por lo menos las cuentas de Twitter, no se encuentran ubicadas en Venezuela y no resultaría necesario tomar medidas tecnológicas dentro del territorio de ese país sino, por el contrario, en los servidores o con la empresa que presta el servicio (ubicados, como sabemos, en Estados Unidos). Algunos suspicaces quisieron ver acá nuevamente la sombra de la censura, sobre todo si tenemos en cuenta la importancia que alcanzaron las redes sociales en las elecciones venezolanas (ver aquí) por lo que conviene retomar la discusión acerca de la naturaleza de derecho humano que debe tener o no Internet.

Por otro lado, durante la semana pasada también, se produjeron diversos pronunciamientos de autoridades y expertos respecto a la necesidad de otorgar a Internet el rango o la categoría de derecho humano. En efecto, durante un desayuno organizado por el Centro Nacional de Tecnologías de la Accesibilidad se puso en relieve la importancia del acceso a Internet para la reducción de cualquier brecha social por lo que debería democratizarse y convertirse en un derecho universal. Del mismo modo, Andrew Lippman (fundador del Media Lab del MIT) en un evento organizado por Blackberry; afirmó la necesidad de que el acceso a Internet sea alcance el nivel de un derecho humano (ver aquí).

Estos recientes pronunciamientos resaltan el papel de Internet en la reducción de brechas sociales y en el desarrollo humano en general por lo que concluyen que debería promoverse el acceso universal para otorgar mejores oportunidades de vida a todos los seres humanos. Sin embargo, existen opiniones que abordan el tema desde otro ángulo. No solo proponen que toda la humanidad tenga acceso a Internet sino que ésta sea libre, es decir, sin intervención estatal, sin censura y con la posibilidad de acceder a cualquier información sin limitaciones.

Al respecto, el año pasado la Organización de las Naciones Unidas emitió un pronunciamiento en donde básicamente señala que los mismos derechos humanos de que gozamos en el mundo offline deberían ser aplicables en el mundo online. En ese sentido, propone que los estados garanticen dentro de Internet el disfrute efectivo del derecho a la libertad de expresión así como el respeto de otros derechos como el derecho a la educación, la atención de la salud y el trabajo, el derecho de reunión y asociación y el derecho a elecciones libres.

Estamos de acuerdo en la importancia de Internet como herramienta para reducir las brechas entre seres humanos, como herramienta para la multiplicación de oportunidades para aquellos que hoy no las tienen o como herramienta para acercar el conocimiento o la información a aquellos sectores que hoy no lo tienen cerca. Aunque existe mucho que hacer para lograrlo desde el punto de vista técnico, económico y político en el mundo creo que ello no debe ser óbice para garantizar que dentro de Internet (o para aquellos que acceden a ella) se exija el respeto de aquellos derechos de que los humanos gozamos en el mundo físico.

En ese sentido, debemos rechazar cualquier intento por limitar o condicionar el tipo de información al que podamos tener acceso o la posibilidad o no de comunicarnos con otras personas así como cualquier intento de supervisar las conversaciones de los usuarios o sancionar la manifestación de nuestras ideas.

No obstante ello, teniendo en cuenta la cada vez mas presente posibilidad de una ciberguerra o de ciberataques a la arquitectura de Internet en un país debemos preguntarnos si resulta aceptable el bloqueo total del acceso a esos servicios para proteger la seguridad de una nación. En principio pareciera que sí pero siempre quedará la duda de quien es el responsable de definir la naturaleza del ataque y del concepto de seguridad nacional. Esta pregunta tendrá tantas respuestas como visiones geopolíticas existan y, sin duda, podría prestarse a abusos que deriven en control y censura.

Espero sus comentarios. Mientras tanto los dejo con este interesante video:

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

El mercado de valores y las redes sociales

El mercado de valores es aquel mecanismo que permite a los inversionistas realizar operaciones sobre valores de renta fija o variable de tal forma que aquellos con excedentes de capital encuentren a los que requieren de flujos dinerarios que les permitan solventar sus negocios. En este artículo, comentaremos la reciente regulación del mercado de valores norteamericano que permite notificar hechos relevantes mediante del uso de redes sociales.

Para lograr que la determinación de precios en este mercado sea adecuada y responda a la ley de oferta y demanda resulta indispensable que todos los inversores tengan acceso a la misma información (al mismo tiempo y en la misma calidad) y que los emisores compartan su información relevante de un modo veraz, suficiente y oportuno. Esta obligación busca eliminar los beneficios económicos que la asimetría de información podría generar en el mercado.

Para ello se exige que los emisores de valores pongan en conocimiento del mercado cualquier información relevante que pudiera afectar la decisión de invertir o no en un determinado valor en particular evitando que cualquiera se pueda beneficiar de algún dato desconocido para los demás. Por esta razón, las entidades reguladoras del mercado de valores del mundo establecen una serie de obligaciones que deben cumplirse -bajo amenaza de sanción- para lograr este equilibrio en el acceso a información.

En Julio del año pasado el CEO de Netflix, Reed Hastings, publicó en su cuenta de Facebook personal que, por primera vez en la historia de la empresa, sus usuarios habían consumido más de mil millones de horas en un mes. Este post disparó la inmediata respuesta del regulador norteamericano del mercado de valores –la Securities and Exchange Commission o SEC– quien notificó el inicio de investigaciones y la posibilidad de una inminente sanción.

La SEC señalaba que la información publicada podría haber afectado la cotización de los valores de Netflix y que, por lo tanto, debió sujetarse a los mecanismos de revelación establecidos. Netflix se defendió diciendo que la información no era material o relevante para el mercado por lo que no habría causado daño a los inversionistas.

Luego de todo este tiempo de investigaciones la SEC ha determinado que las redes sociales son mecanismos aceptables para comunicar información relevante para la empresa ampliando, de este modo, su opinión original en el sentido que solamente las páginas web corporativas cumplían con esta cualidad. No obstante ello, la SEC se ha cuidado de señalar que para que la comunicación de información a través de redes sociales sea aceptable y efectiva es preciso que los inversionistas hayan sido informados previamente de la futura utilización de estos medios para dar a conocer información relevante de la empresa. Si ello se cumple estaremos frente a un “fair disclosure” o una divulgación aceptable.

El mundo de las comunicaciones está cambiando y el mercado de valores recoge estos cambios para beneficio de un mejor y más rápido flujo de información. Sin embargo, persiste la duda de si estos nuevos “medios de comunicación” garantizan que la información llegue a todos los inversionistas de una manera que no beneficie a algunos en perjuicio de otros.

En principio, pareciera que la obligación de informar la utilización de estos nuevos medios protegería a todos los inversores al permitirles tomar las medidas necesarias para mantenerse al día con la información relevante de la empresa. No obstante ello, algunas preguntas quedan en el aire ¿Qué pasará con aquellos inversionistas que no usan twitter o facebook? ¿Se encontrarán en desventaja respecto de aquellos que sí? ¿Sería bueno que se obligue a los emisores a utilizar otros medios que garanticen una mejor distribución de la información?

Estaremos atentos a la evolución de esta normativa. Mientras tanto, les dejo el texto del Release No. 69279 de la SEC que regula esta materia (aquí).

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

Lo que nos dejó la UIT

La semana pasada culminó en Dubai la Conferencia Mundial de Telecomunicaciones Internacionales (WCIT). En esta polémica reunión, representantes de más de 140 países revisaron los reglamentos de la UIT con la finalidad de adaptarlos y corregirlos. En este contexto, un fuerte bloque de países proponían incluir a Internet dentro del ámbito de control de la UIT y con ello terminar con el modelo multisectorial de gobernanza hasta ahora vigente.

Afortunadamente, gracias en parte a una gran presión de la sociedad civil, las propuestas intervencionistas no prosperaron y el texto final del Reglamento fue mucho menos problemático. Sin embargo, sí resulta de preocupación la vaguedad de algunos de sus artículos y, en general, la poca transparencia y participación con la que se intentó llevar a cabo esta “toma de control” de Internet.

La semana pasada escribó una nota para el diario El Comercio de Perú  comentado la reunión y la decisión de Perú de no firmar el acuerdo hasta no contar con la autorización del Ejecutivo.

Es necesario el debate

El saldo de la última reunión de la UIT no es del todo negativo aunque preocupa. El peligro era que se incluya dentro de su ámbito de control a Internet, desequilibrando el modelo de gobernanza multisectorial vigente. Si bien el texto final del acuerdo tiene cierto lenguaje controvertido, las propuestas más polémicas promovidas por países como Rusia fueron finalmente desestimadas.

Entre lo positivo, destaca que no se ampliaron las definiciones para incluir a Internet como parte de las comunicaciones reguladas por la UIT. Así mismo, el preámbulo señala que los países implementarán el tratado en concordancia con sus obligaciones internacionales en derechos humanos. Por el contrario, preocupan aspectos negativos como la vaguedad de ciertos artículos, que podrían ser interpretadas como una autorización para que los Estados intervengan fiscalizando los contenidos de comunicaciones electrónicas.

Creo que antes de obligarnos como país a asumir nuevas reglas sobre nuestras comunicaciones es necesario debatirlas. Perú no debe de firmar el Acuerdo o debe de tomarse el tiempo necesario para discutir internamente con todos los sectores involucrados la pertinencia de su adhesión.

Artículo en El Comercio

Más información: ¿Qué es la UIT?

Publicado originalmente en el blog de Hiperderecho

¿Qué diablos fue la SOPA Criolla?

Durante la última semana, se ha hablado mucho de una supuesta Ley SOPA promovida por nuestro Ministerio de Comercio Exterior y Turismo. Al mismo tiempo, se promovieron una serie de reuniones al respecto a través de una página web y una cuenta de Twitter supuestamente asociadas al Ministerio (luego, ambas fueron retiradas sin explicación). Sin embargo, ni el Ministerio ni otro representante autorizado se pronunciaron al respecto. Esta amplia desinformación ha provocado un gran malestar por parte de ciertos usuarios de Internet que llegaron a escribir una petición pública al Ministerio (no faltaron los memes).

Antecedentes

En el 2006, Perú suscribió un Tratado de Libre Comercio con Estados Unidos (TLC) en el medio de una gran polémica. Como con cualquier otro tratado, correspondía adecuar nuestra legislación local a las nuevas obligaciones y estándares a los que nos obligaba el Tratado. El plazo para hacerlo terminó en agosto de 2010 y, efectivamente, se aprobaron y  renovaron muchas normas en ese proceso. Es famoso el “paquete” de Decretos Legislativos que aprobó el Ejecutivo durante el 2008, gracias a las facultades concedidas por el Congreso, y que trataban diversas materias desde libre competencia hasta medio ambiente. Luego de ese plazo, se aprobaron nuevos cambios a través del Congreso sin dictamen previo ni discusión, que se materializaron en la Ley 29316 de enero de 2009.

El capítulo de Propiedad Intelectual del TLC obliga a Perú a contar con normas similares a las de Estados Unidos en materia de protección de los derechos de autor y de la propiedad industrial. La idea es que la legislación peruana sea compatible y ofrezca los mismos niveles de garantías que las de Estados Unidos. Esta adecuación se hizo parcialmente, a través de la referida Ley 29316, que introdujo varios cambios a nuestra Ley sobre el Derecho de Autor como las reglas sobre las medidas tecnológicas efectivas (DRM) o las retransmisiones a través de Internet.

Digo que la adecuación de la Ley sobre el Derecho de Autor fue parcial porque no incluyó la parte correspondiente a las Limitaciones a la Responsabilidad de los Proveedores de Servicios (ISPs). Esta es desde hace un par de años una tarea pendiente del Estado Peruano, que se torna más relevante en la actualidad de cara a la negociación de otros tratados con capítulos fuertes sobre propiedad intelectual, como el TLC con la Unión Europa y el TPP.

¿Qué hay que cambiar?

Lo que hay que hacer es incorporar un sistema que señale en qué casos los que provean servicios de Internet (como empresas de telecomunicaciones) o de Internet (como cualquier página web con contenido generado por usuarios) son responsables por las infracciones a los derechos de autor que comenten sus usuarios. Es decir, se trata regular mecanismos de notificación y bajada de contenidos (notice and takedown) similares a los que tienen la mayoría de páginas web. Estos mecanismos permiten a los titulares afectados solicitar que se retire el contenido de la página. En varios casos, si los propietarios de la página reciben estas solicitudes y no lo hacen serán considerados como responsables de la infracción. Es mucho más lo que se puede decir sobre este tema (por eso, resulta necesario un proceso participativo) pero dejémoslo ahí por ahora.

¿Entonces?

En algún momento, el Ministerio decidió reactivar este proceso y terminar la adecuación de nuestra legislación sobre derechos de autor. Sabían que no iba a ser una tarea fácil por la controversia que ello había ocasionado en países como Chile o Costa Rica. Entonces contrataron al abogado Erick Iriarte para que elabore un Anteproyecto de Ley que sirva de base para empezar el proceso. En paralelo, aparecieron una página web registrada y operada por la empresa Faya Corp. S.A.C. y una cuenta de Twitter en los que se difundía la realización de una serie de talleres participativos con distintos sectores interesados como industrias de contenidos, proveedores de servicios, entre otros. Según las propias declaraciones de Iriarte, tanto la página web como la cuenta de Twitter eran parte de la “Consulta Pública” que estaba llevando a cabo como consultor contratado por el Ministerio y el Banco Interamericano de Desarrollo.

Alguien tuvo la muy mala idea de emparentar esta iniciativa con la de la famosa Ley SOPA. Este Proyecto de Ley, promovido el año pasado por Estados Unidos para combatir las violaciones a los derechos de autor en Internet, imponía un modelo agresivo de persecución a las páginas involucradas en actividades ilícitas (similar al que le aplicaron a Wikileaks.org). Nuestro proceso de adecuación, si bien trata sobre alguno de los temas de la Ley SOPA, tiene poco que ver con el propósito de la norma extranjera porque no se trata de desaparecer páginas sino de cuidar que dentro de ellas no se infrinjan derechos de autor. Al denominarla SOPA Criolla se arrastró buena parte de la imagen negativa que se tenía sobre la Ley SOPA a la iniciativa del Mincetur. Ahí empezaron los problemas.

Pantallazo de la cuenta de Twitter de Responsabilidad ISP Perú

El segundo problema surgió porque los talleres, que tenían fechas especiales para cada sector involucrado, no incluían a las organizaciones de la sociedad civil ni usuarios interesados. Este malestar motivó que se circule una petición virtual dirigida al Ministerio de Comercio Exterior y Turismo y a Erick Iriarte, su aparente vocero, solicitando mayor transparencia en este proceso y que se otorguen los espacios para la sociedad civil.

Facebook de Mincetur

Sin embargo, esta semana ambos canales de comunicación fueron borrados. A través de su cuenta de Facebook, el Ministerio de Comercio Exterior y Turismo ha negado expresamente tener relación alguna con la página web responsabilidad-isp.pe o con la cuenta de Twitter @isp_responsab.

El tercer cuestionamiento al proceso lo hizo el Diario Correo, en una nota publicada ayer, donde señalaba el potencial conflicto de interés que pesaría sobre Erick Iriarte en este caso al despempeñarse profesionalmente también como asesor de diversas empresas productoras de contenidos y proveedores de servicios. Al respecto, el congresista Carlos Tubino (Fujimorista) solicitó al Ministerio actuar con mayor transparencia en este proceso legislativo.

Silencio

Creo que este proceso ha estado plagado de malentendidos ocasionados por la nula estrategia de comunicación del Mincetur para un tema tan sensible. No hay nada de raro en que se contrate a un abogado para que elabore un Anteproyecto (bastante común en el caso de normas especializadas). Tampoco veo problema en que el abogado contratado decida organizar reuniones por su cuenta para conversar el Proyecto con algunas partes interesadas. El problema es que, por la forma en la que fueron presentadas, hacían parecer que se trataban de talleres públicos, organizados por el Ministerio, y donde claramente era necesario incluir a la sociedad civil. Creo que nadie entendió que los talleres promovidos a través de esa web eran absolutamente privados, en el sentido de organizados por un privado. Con su silencio, el Ministerio avaló tácitamente los talleres y quedó como una entidad que no está abierta a la participación de la sociedad civil.

Peor aún, desmentir su vinculación al proceso a través de Facebook luego de que se sacaron las páginas nos deja a todos un mal sabor. A mí, que soy optimista, me deja la idea de que no es algo que se esté llevando a cabo con la seriedad y planificación que merece. Otros han visto en esto un sincero ánimo de enturbiar el debate y dejar de lado a la sociedad civil. Pero lo que realmente necesitamos es una comunicación oficial del Ministerio señalando cómo, cuándo y a través de quién piensa llevar a cabo este proceso de consulta. No más criolladas como la de la SOPA Criolla.

Más sobre el tema en el blog de Chillinfart

Actualización (20/11/12): El Ministerio finalmente publicó una nota de prensa refiriéndose al tema pero sin referirse a los cuestionamientos al proceso en sí.

Infografía: ¿Qué es el TPP?

Infografía sobre el TPP

El Trans Pacific Partnership Agreement es un nuevo tratado comercial que viene discutiéndose en privado y de cuyas negociaciones Perú forma parte. De lo poco que se conoce de este tratado, su capítulo sobre Propiedad Intelectual Para saber más sobre el Trans Pacific Partnership Agreement pueden leer el dossier que preparó la ONG Derechos Digitales de Chile.

Infografía elaborada por El Bello Público

Rudy Palma, hacker por accidente

3055389463_029e344d5c_o

De niño vi muchas veces en la televisión el clásico ochentero WarGames (John Badham, 1983). En la película, un adolescente hábil con las computadoras intenta infiltrarse en la red de su proveedor de videojuegos favoritos para probar su próximo juego Global Thermonuclear War antes de su lanzamiento. Por accidente, termina conectándose a una red militar y el juego que piensa que está jugando en realidad podría desencadenar la tercera guerra mundial. Cuando el Estado lo descubre, es detenido e interrogado bajo los cargos de espionaje y de colaboración con los rusos. El funcionario que lo interpela no le cree cuando le dice que él solo estaba jungado. ¿Cómo lo logró? Adivinando que la contraseña de acceso sería el nombre del hijo de una de las personas cuyo nombre aparecía en la carpeta. Era un hacker, sí, porque descubrió una puerta trasera del sistema pero él quería hackear a una empresa de videojuegos y no poner en riesgo la seguridad nacional. Era un hacker con suerte.

Rudy Palma, nuestro así llamado primer ciber-hacker-periodista-2.0, es todo lo contrario: no es un hacker y tuvo muy mala suerte. Este caso ha llamado mi atención por varias razones. Creo que cometió un delito, como él mismo lo ha confesado. Sin embargo, también creo que no hemos comprendido exactamente de qué trata este caso, la forma tendenciosa en la que han sido consignados los cargos y las implicancias que esto tiene para todos.

Las contraseñas

Rudy Palma tiene 35 años y antes de trabajar en Perú 21, según su perfil de LinkedIn, había trabajado en el Ministerio de la Mujer y en el Instituto Prensa y Sociedad. Quizás por su experiencia laboral o por mera intuición, un día se le ocurrió que podía acceder a cuentas de correos ajenas usando como contraseña el nombre del usuario del correo. A todos nos ha pasado: nos dan una cuenta de correo o los datos de acceso a cierto sistema y por dejadez o desconocimiento nunca cambiamos la contraseña. Aprovechando esta mala costumbre, Rudy Palma tuvo acceso a las cuentas de correo de varios ministros y autoridades de alto rango. Según informes, se ha determinado que accedió hasta veinticinco veces en un solo día a la cuenta del Ministro de Comercio Exterior y Turismo.

Los encargados de sistemas, cuya labora es precisamente cuidar la seguridad de la red, lógicamente niegan esta teoría. Ellos dicen que las contraseñas eran “muy complejas”, dando a entender que era imposible que se llegue a ellas por deducción y que seguramente Rudy Palma debió de apelar a recursos más sofisticados. Traen a nuestra cabeza imágenes de hackers amaneciéndose frente a computadoras llenas de códigos. Yo creo que es una defensa apresurada para no asumir la responsabilidad que les toca por tener prácticas tan malas respecto del manejo de contraseñas y la seguridad de su red. ¿Se imaginan que Google les diese por defecto una contraseña igual a su nombre de usuario cuando abren una cuenta en Gmail? ¿No pensarían que es una irresponsabilidad de su parte?

Ya sé que suena ilógico creer que varias decenas de autoridades públicas coincidan todos en tener como contraseña para sus cuentas de correo electrónico su propio nombre de usuario. Pero suena todavía menos coherente pensar que alguien con la capacidad y el tiempo para quebrar sofisticadas estructuras de seguridad accedería a estas cuentas de correo: (i) desde la computadora de su trabajo, (ii) vía web (HTTP) y no a través de otro protocolo menos rastreable, y, (iii) sin usar una máscara de IP. Incluso los pedófilos y los estafadores, en el peor de los casos, operan desde una cabina Internet. Peor aún, ¿se  imaginan a un hacker reenviándose estos correos electrónicos a una cuenta de correo que asociada a su nombre y apellido? En una de sus últimas declaraciones filtradas por la prensa, Rudy Palma dijo que también intentó acceder a las cuentas de correo de Palacio de Gobierno pero desistió porque la página tardaba demasiado en cargar.

La pista

Apoya la teoría de las contraseñas adivinadas el que, aparentemente desde el 2008, Rudy Palma hacía lo mismo con distintas cuentas y entidades sin levantar la más mínima sospecha por parte de sus víctimas o los encargados de sistemas. Al haber adivinado la contraseña, el periodista se conectaba como si fuese el propio usuario y no generaba ninguna respuesta anómala por parte del servidor de correo. Si hubiese roto algún sistema de seguridad, hubiese dejado una huella lo suficientemente severa como para no pasar desapercibido cuatro años.

En muchos casos, pudo haber configurado alguna regla en el buzón de correo para que todos los correos que le lleguen sean reenviados a su cuenta, con lo que no necesitaba saber en todo momento las contraseñas. En otros, parece que tuvo la suerte de que esas cuentas de correo no cambien de contraseña durante ciertos periodos de tiempo. Les apuesto a que muchas todavía siguen teniendo la misma contraseña.

Según el reportaje de Caretas, alguien amenazó al Ministro de Educación Silva Martinot con revelar cierta información de su vida privada a la que había tenido acceso a través de su correo electrónico institucional. El Ministro, al comprobar que efectivamente se trataban de sus correos, recurrió al área de sistemas del Ministerio para averiguar cómo pudieron filtrarse. Recién entonces vieron la lista de las IPs desde donde se había accedido al correo del Ministro y descubrieron, entre ellas, que aparecía una que correspondía al diario Perú 21.

El Ministro llevó estos registros al diario y, a su vez, el personal de sistemas de Perú 21 identificó que dichos accesos al correo del ministro provenían desde la computadora de Rudy Palma. Inmediatamente, el diario despidió al redactor y lo puso a él y a su computadora a disposición de la Fiscalía. Luego, emitió un comunicado de prensa en donde se desvinculaban de haber participado directa o indirectamente en estos hechos. Palma no negó los hechos, reconoció haber accedido a esas cuentas y declaró haber actuado en solitario.

Si no hubiese sido por este intento de chantaje, nadie hubiese notado hasta ahora la actividad silenciosa aunque torpe de Rudy Palma. Hasta donde se conoce, no se ha logrado vincular a Palma con los correos amenazadores recibidos por el Ministro Silva Martinot aunque sí se ha encontrado que algunos de estos fueron reenviados desde la cuenta del Ministro a la de Palma. La revista Caretas publica hoy que, incluso luego de la detención del periodista, el Ministro seguía recibiendo los mismos mensajes de chantaje.

Los cargos

Rudy Palma usaba esta información como insumo para elaborar notas periodísticas para el diario donde trabajaba como redactor de Economía. Una forma bastante heterodoxa de conseguir exclusivas, sin duda. Las investigaciones han encontrado varias de estas noticias filtradas, como cambios de funcionarios, proyectos normativos y agendas de reuniones.

Por estos hechos, Rudy Palma está siendo procesado como presunto autor de tres delitos distintos: (i) violación de la correspondencia, (ii) delito informático en la modalidad de utilización indebida del sistema informático, y (iii) delito contra el Estado y la Defensa Nacional en la modalidad de revelación de secretos nacionales.

Violación de la correspondencia

El artículo 161 del Código Penal señala que el que “abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga” que no le está dirigido, “o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado” comete el delito de violación de correspondencia. En este caso, el correo electrónico se entiende como un medio análogo y el tipo penal encaja perfectamente con los hechos. Todos estamos de acuerdo, conforme a la confesión de Palma, que cometió el delito de violación de la correspondencia. Este delito tiene como pena máxima dos (2) años.

Delito informático

El caso del delito informático es un poco más complejo. Según el artículo 207-A del Código Penal, se considera delito informático utilizar o ingresar indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos. Es decir, el Código considera tanto el ingreso indebido como la utilización indebida (entiendo: no autorizada) de una base de datos, sistema o red de computadoras con la finalidad de interferir, interceptar, acceder o copiar información.

Según los hechos, Palma habría ingresado de forma no autorizada (indebida) a una cuenta de correo electrónico (parte de una base de datos) con la finalidad de acceder y copiar información ahí contenida. Este delito tiene como pena máxima dos (2) años. Si lo hizo con la finalidad de obtener un beneficio económico, como podría argumentarse en este caso, la pena se extiende a tres (3) años.

Difusión de Secretos Nacionales

La imputación más polémica es la de revelación de secretos nacionales. En concreto, la Fiscalía cree que al haber tenido acceso y usado como base para elaborar notas periodísticas una Agenda de Consejo de Ministros, detalles sobre la negociación de un tratado comercial con Venezuela y la entrada al país de una unidad naval y personal militar de Chile se habrían revelado secretos nacionales. Este delito tiene como pena máxima quince (15) años, la misma que le corresponde a las lesiones por violencia familiar, la trata de personas y la violación de persona en estado de inconsciencia.

Creo que la Fiscalía confunde la calificación de “secreto nacional”, que el Código Penal define como aquellos secretos que el interés de la República exige guardar, con la información prohibida de ser revelada para el régimen de publicidad de los actos estatales. La Ley de Transparencia y Acceso a la Información pública distingue, en su artículo 15, tres tipos de información que están exceptuadas del régimen de transparencia: (i) secreta: información militar o de inteligencia previamente clasificada por los funcionarios autorizados para hacerlo; (ii) reservada: información cuya revelación originaría un riesgo a la seguridad e integridad territorial del Estado y la defensa nacional en el ámbito externo, al curso de las negociaciones internacionales y/o la subsistencia del sistema democrático previamente clasificada; y, (iii) confidencial: aquella que afecte a terceros o contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y consultivo previo a la toma de una decisión de gobierno.

Cuando el Código Penal alude a secretos que el interés de la República exige guardar y le asigna una pena de quince (15) años está pensando en información secreta de especial cuidado y previamente clasificada como tal por parte de las autoridades competentes. Los documentos cuyo contenido supuestamente Palma divulgó, por el contrario, más parecen información reservada (autorización de entrada de militares extranjeros) y cuya revelación no está en capacidad de poner en riesgo las relaciones internacionales ni el orden interno. La información que Palma reveló es tan confidencial como lo son las actas de sus propias declaraciones en este caso, a los que la prensa ha tenido acceso y difundido indiscriminadamente como en tantos casos, o como lo es cualquier expediente administrativo en trámite de Indecopi u Osiptel.

Lo siguiente

Si lo difundido por la prensa es cierto, Palma no es un hacker. Podría decirse que incluso su conocimiento sobre redes informáticas y buzones de correo es limitada. Me recuerda mucho más a Chris Chaney, ese treintañero aburrido y desempleado de un suburbio de Estados Unidos, quien respondiendo a las preguntas de verificación de identidad logró acceder a las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis, entre otras celebridades, y filtrar sus fotografías personales. Él tampoco quiso ser un hacker, recién tuvo una computadora propia a los veinte años, y su curiosidad lo llevó a una condena de sesenta años en prisión.

Hay muchos que han visto en este caso un enseñamiento contra un medio de prensa o la excusa perfecta para introducir regulación más estricta sobre la prensa. De hecho, ciertas irregularidades procesales y la inclusión del delito de revelación de secretos estatales no parecen fortuitas.

Yo creo que, si se desestima el cargo de los secretos estatales, esta es una oportunidad excelente para el Estado de demostrar cómo se puede impartir justicia y condenar a periodistas por delitos que efectivamente cometieron sin poner el riesgo las garantías para la libertad de expresión. Mientras tanto, Rudy Palma ha sido trasladado al penal que le corresponde y espera su proceso. En su foto de perfil en Facebook ahora hay un perro.  Otra de sus fotos es una ilustración donde se lee: El mundo necesita de gente que ame lo que hace.

Ilustración: Ben Heine (C)