¿Qué pasó con la Ley de Delitos Informáticos?

Cabina de Internet en Perú

En junio pasado, el Congreso peruano propuso una ley que penalizaba al usuario promedio de Internet por razones ajenas a su propia conducta. El proyecto de Ley de Delitos Informáticos pretendía limitar nuestro derecho constitucional al secreto de comunicaciones y otorgarle a la policía acceso fácil a nuestros datos personales.

Junto a Access Now, ejercimos presión por una nueva ley que proteja los derechos a la privacidad y la libertad de expresión de los usuarios de Internet. Esa lucha no ha terminado: el Proyecto de Ley de Delitos Informáticos aún está latente. Sin embargo, hasta que la sociedad civil no asuma un rol más fuerte en materia de políticas públicas sobre Internet, y los políticos peruanos no nos reconozcan como actores significativos, seguiremos viendo estos mismos problemas en nuevas leyes.

Al igual que muchos países en América Latina y otras regiones, Perú es un estado cuyos representantes políticos no están familiarizados con Internet y tecnologías en general. Nuestras políticas nacionales al respecto siguen siendo directrices genéricas que no sirven de guía para soluciones innovadoras y leyes inteligentes. A diferencia de otros asuntos de interés público, como la violencia política o la discriminación, existen pocas voces que contribuyen al debate público sobre política de Internet en el Perú desde la perspectiva de la sociedad civil. Como resultado de este vacío, los intereses de los usuarios no se ven representados en el Congreso cuando se proponen proyectos de ley que afectan a nuestros derechos.

Esta situación genera un desequilibrio en el resultado del proceso legislativo. A menudo, los únicos puntos de vista externos que se ponen sobre la mesa son los de empresas y inversionistas que pueden contratar abogados para que representen sus intereses. Muchas opiniones y puntos de vista valiosos desde la sociedad civil se pierden en los medios de comunicación y no llegan a transformarse en propuestas reales. A la vez, este desequilibrio también genera una opinión pública parcialmente informada, que solo llega a conocer un lado de la controversia.

Cualquier campaña de la sociedad civil sobre una política pública en Internet en Perú se enfrenta a un doble reto: facilitar la comprensión pública de las cuestiones en debate, por un lado, y equilibrar el debate desde la perspectiva de los derechos de los usuarios y de las libertades, por el otra. De lo contrario, tendremos más leyes como la Ley de Delito Informáticos, con una redacción vaga y errores de técnica legislativa que pueden terminar afectando derechos individuales.

Gracias al interés de muchas instituciones de la sociedad civil, nacionales e internacionales, los miembros del Congreso recibieron cartas con comentarios sobre los aspectos más críticos del proyecto. Recientemente, parece que el Congreso ya no está promoviendo activamente el Proyecto de Ley de Delitos Informáticos y, a cambio, se está trabajando en la adopción de la Convención de Budapest sobre la Ciberdelincuencia (el texto de la Convención puede leerse aquí). Sin embargo, dado no se ha hecho ningún anuncio oficial al respecto, esta batalla aún no ha terminado. De hecho, el pasado 18 de septiembre, el congresista Eguren instó al Congreso de la República a incluir el Proyecto de Ley de Delitos Informáticos en la agenda de debate del Pleno.

En este contexto, es necesario contar con una comunidad bien informada y voces fuertes de la sociedad civil. Por eso, un conjunto de jóvenes profesionales hemos decidido unir sus fuerzas para crear Hiperderecho, un grupo dedicado a estudiar y facilitar la comprensión pública de las políticas públicas en el Internet en el Perú. Como primer proyecto, Hiperderecho ha creado una plataforma educativa y positiva llamada “Una Mejor Ley de Delitos Informáticos”. La plataforma tiene la intención de explicar el proyecto, recogiendo toda la información disponible en línea. Además, también propone cinco cambios específicos que ayudarían a lograr un mejor equilibrio de los intereses en el texto del proyecto de ley. El texto completo de la propuesta se puede leer en la página web de Hiperderecho. Por supuesto, se trata de una plataforma social abierta a la retroalimentación y mejora continua. Esperamos contar con su presencia en línea. Además de expresar su opinión, también se puede leer el Proyecto de Ley y el espectro completo de los comentarios realizados a la misma, y tomar acción escribiendo al Congreso o a los congresistas particulares.

La versión original de este post se publicó en inglés en el blog de Access Now.

Foto: Asleeponasunbeam (CC BY-NC-ND)

Comentarios al Proyecto de Reglamento de la Ley de Protección de Datos Personales

Ayer concluyó el plazo para presentar comentarios al Proyecto de Reglamento de la Ley 29733 publicado por el Ministerio de Justicia en su página web [PDF, 9MB]. La Ley de Protección de Datos Personales, publicada en julio del año pasado, suspendía parcialmente su vigencia hasta la publicación de su Reglamento. El Reglamento fue elaborado por una Comisión Multisectorial y su proyecto fue hecho público para comentarios el mes pasado.

Oscar Montezuma y yo hemos presentado nuestros comentarios, a título individual, haciendo un fuerte énfasis a favor de la simplificación de la regulación. Como señalamos en el documento, creemos que es necesario realizar ajustes en el texto propuesto del Reglamento con la finalidad de hacer que el cumplimiento de la Ley sea mejor entendido por el público en general y por los agentes económicos que tratan datos personales. Una reglamentación muy compleja elevaría los costos de cumplimiento de la Ley por parte de los agentes económicos y, a su vez, la administración pública necesitaría de mayores recursos para la efectiva fiscalización de su cumplimiento. Creemos que es posible contar con una regulación sencilla de cumplir y que no pierda de vista la efectiva protección de los derechos individuales.

Comentarios al Proyecto de Reglamento de la Ley 29733 — Ley de Protección de Datos Personales por Oscar Montezuma y Miguel Morachimo [PDF]

También

Comentarios al Proyecto de Reglamento de la Ley 29733 — Ley de Protección de Datos Personales presentados por el Estudio Iriarte & Asociados [PDF]

El Perú, la privacidad, los mercados y la ley

Si usted se encuentra vinculado a alguna empresa de servicios públicos, de telemarketing, entidad financiera o de salud, call center o quizás algún negocio virtual esta nota seguramente será de su interés. El año pasado el Perú aprobó la Ley General de Protección de Datos Personales que básicamente postula que ninguna entidad pública o privada podrá utilizar información personal de ningún ciudadano sin su autorización “previa, informada, expresa e inequívoca”. Sin duda una iniciativa positiva que contribuye a un fin mayor: prevenir el uso de dicha información para actividades delictivas.

Recientemente el Ministerio de Justicia publicó el Proyecto de Reglamento de la citada ley. Entre otras cosas se precisa en detalle cómo deberá ser la autorización  antes mencionada, las medidas de seguridad que deberán tener las bases de datos, el plazo de adecuación para bases de datos existentes, las obligaciones de registro de bases de datos en un registro público nacional, la transferencia internacional de datos personales y el régimen de sanciones y multas, que alcanzan las 100 UIT. Incluso el proyecto se aventura a regular el tratamiento de datos por servicios de comunicaciones electrónicas y cloud computing.

Los 132 artículos del Proyecto revelan una clara vocación reglamentarista y merecen una lectura detenida a fin de salvaguardar un sano equilibrio entre la protección de la privacidad y el deseable flujo de información en el mercado. El plazo para presentar comentarios ante la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia vence el próximo jueves 12 de abril.

Hablando de protección de datos personales en serio: datosperu.org

Cualquiera que ha buscado en Internet el nombre una persona o empresa ha llegado alguna vez a una página como DatosPerú.org (o UniversidadPeru). Se trata de páginas que muestran bases de datos de personas y empresas, indicando en detalle su información legal y fiscal (gerentes, locales, vinculadas). Casi desde su inicio, estas páginas son vistas con preocupación por muchas personas que sienten vulnerada su privacidad viendo tanta información sobre uno mismo en Internet. En un país donde los secuestros y extorsiones son tan frecuentes, resulta una preocupación válida. ¿Son legales estas páginas? ¿Qué se puede hacer frente a ellas?

En principio, DatosPerú no contiene información secreta ni prohibida de ser publicada. De hecho, contiene información a la que cualquiera tiene acceso. Solo ha agrupado información que ya se encontraba disponible en SUNAT y en los portales de otras instituciones del Estado, es decir, información pública. La cantidad de información personal disponible públicamente es aún mayor que la mostrada en DatosPeru.

  • SUNAT (nombre, DNI, dirección, omisiones tributarias, teléfono),
  • ESSALUD (nombres, fecha y año de nacimiento),
  • INFOgob (fotografías, filiación política, declaración jurada y currículo, en el caso de candidatos), y,
  • Páginas Blancas (direcciones y teléfonos)

Todo eso sin pagar un sol. Porque si se dispone de dinero, están a nuestra disposición las bases de datos de Registros Públicos (propiedades, hipotecas, autos, empresas, accionistas), Reniec (registro civil) y la tan temidas centrales de riesgo como Infocorp. ¿Por qué es pública toda esta información? Todas estas bases de datos existen o están disponibles por disposición de alguna norma de orden legal, que ordena su publicidad para proteger la seguridad jurídica o el comercio.

Nuestra Ley de Protección de Datos Personales (.pdf) considera como dato personal a toda información sobre una persona natural que la identifica o la hace identificable, distinguiéndolo de los datos sensibles calificados como datos biométricos que por sí mismos pueden identificar al titular, raza, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical e información relacionada a la salud o a la vida sexual.

Un tratamiento de datos personales como el que realiza DatosPerú debería de ser autorizado previamente por el titular. Sin embargo, el que realiza SUNAT, RENIEC o EsSalud no necesita de ninguna autorización porque se encuentra exceptuados del ámbito de aplicación de la Ley.

¿Qué pasa entonces con la información contenida en bases de datos públicas cuando son reproducidas por privados? El artículo 14 precisa que “no se requerirá consentimiento del titular cuando se  trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público“. En otras palabras, si algún dato personal ya está contenido en una “fuente accesible para el público”, no será necesario que el titular autorice su tratamiento. Las fuentes accesibles para el público son bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, y que deberían de estar establecidas por el reglamento.

El problema es que la tan anunciada Ley de Protección de Datos Personales aún no tiene reglamento y, por ende, no sabemos cuáles serán las fuentes accesibles para el público. En julio se encargó su elaboración a una Comisión y se le otorgó un plazo de ciento viente (120 días), que venció a inicios de este año. Sin embargo, no resulta difícil imaginar que el Reglamento reconocerá la base de datos de SUNAT como una fuente accesible para el público. Lo que significa que, con o sin Ley, será poco lo que podamos hacer frente a páginas como DatosPerú.

La página del gobierno estadounidense que reúne a las iniciativas de Open Data gubernamentales alrededor del mundo la ha registrado como la iniciativa oficial del Estado Peruano. Frente a esto, dos entidades de la sociedad civil han hecho la consulta formal al Estado sobre si DatosPerú está gestionado por el Gobierno. Les adelanto la respuesta: no lo está. Lo que, como todo parece indicar, no significa que su actividad sea ilegal.

Actualización (14/03): En el Proyecto de Reglamento de la Ley de Protección de Datos se reconoce como una fuente de acceso público a la base de datos de SUNARP y a “todo otro registro o base de datos calificado como público”. Por tanto, todos los datos contenidos en estas bases de datos pueden ser tratados libremente.

Ilustración: Charlie Collins (CC BY-ND)

Derecho al olvido: Alfacs Vacances contra Google Spain por Miquel Peguera

Miquel Peguera mantiene uno de los blogs, en mi opinión, mas interesantes sobre responsabilidad de Internet Service Providers (ISP). Miquel es profesor Agregado de Derecho Mercantil en la Universitat Oberta de Catalunya (Barcelona, España) y Doctor en Derecho por la Universidad de Barcelona (2006), con una tesis doctoral sobre la responsabilidad de los intermediarios en la Sociedad de la Información. Los invitamos a revisar este interesante aporte de Miquel con relación al famoso “derecho al olvido” que tanto se ha venido discutiendo en Europa a propósito del caso Alfacs Vacances contra Google Spain. ¡Muchas gracias Miquel!

Derecho al olvido: Alfacs Vacances contra Google Spain
por Miquel Peguera

Quiero aprovechar la amable invitación de Óscar Montezuma a participar en el blog para referir brevemente una reciente sentencia dictada en España en relación con el llamado “derecho al olvido”. Se trata de la sentencia de 23 de Febrero de 2012 del Juzgado de Primera Instancia de Amposta (Tarragona) en el caso del camping Los Alfaques contra Google Spain.

El demandante es la sociedad mercantil “Alfacs Vacances S.L.”, titular de un camping situado cerca de Tarragona. En 1978, el camping sufrió un terrible accidente. Un camión que transportaba líquido altamente inflamable ardió en llamas cuando circulaba por la autopista que pasa junto al camping. Como consecuencia de la explosión y de la enorme bola de fuego que se extendió sobre el camping fallecieron más de 200 personas y muchas otras resultaron heridas por quemaduras graves. A pesar de que el accidente ocurrió hace ya más de 30 años, y de que el camping no tuvo ninguna responsabilidad en el mismo, cuando alguien busca en Google “Camping Los Alfaques”, los primeros resultados se refieren precisamente al accidente, apareciendo incluso cuatro terroríficas imágenes de cuerpos carbonizados. Ciertamente no es la mejor publicidad para atraer nuevos clientes.

La empresa titular del camping interpuso una demanda civil contra Google Spain S.L. alegando que el orden y el modo en que Google decide mostrar los resultados de la búsqueda constituyen una intromisión ilegítima en su derecho al honor. En la demanda, Alfacs S.L. pedía que se condenara a Google Spain S.L. a cesar en su conducta supuestamente vulneradora del derecho al honor de la demandante, así como una indemnización por los daños morales sufridos.

Del caso resulta interesante señalar lo siguiente:

a) El demandante no era una persona física, sino una sociedad mercantil, y por tanto no se trataba de una cuestión de protección de datos personales, que son exclusivamente los referidos a personas físicas. La mayoría de reclamaciones contra Google por los resultados del buscador se han basado en el derecho a la protección de datos personales y se han tramitado ante la Agencia Española de Protección de Datos. En este caso, en cambio, se trataba de un procedimiento por violación del derecho al honor, planteado ante la jurisdicción civil.

b) El demandante no dirigió su demanda contra las fuentes originales de las noticias o reportajes sobre el accidente. Entendió que tales fuentes se hallan protegidas por la libertad de expresión. Su reclamación fue sólo contra Google, por considerar que el modo en que el buscador selecciona y presenta los resultados perjudica al honor de la sociedad demandante.

c) La demanda no se dirigió contra la compañía estadounidense Google Inc., sino exclusivamente contra su filial española, la sociedad Google Spain, S.L.

El juez admitió el argumento de la demandada de que quien gestiona el buscador es en realidad la compañía californiana Google Inc., mientras que su filial española desarrolla exclusivamente tareas de promoción y marketing. Así pues, la demanda fue desestimada íntegramente, sin llegar a entrar en el fondo del asunto, al considerar el juez que Google Spain S.L. carecía de legitimación pasiva. Habida cuenta de que la acción se basaba en las opciones adoptadas por el buscador y que solicitaba, además de una indemnización, el cese de dicha conducta para lo sucesivo, el juez entendió que resulta improcedente dirigir esas peticiones contra Google Spain, puesto que al no intervenir en la selección de los resultados, no puede ser responsable de los mismos, ni puede tampoco impedir que sigan apareciendo en el futuro.

¿Qué hubiera ocurrido si la demanda se hubiera dirigido contra la matriz, Google Inc.? El precedente más claro está en el caso conocido como Palomo v. Google, (sentencia de 13 de mayo de 2009 del Juzgado de Primera Instancia número 19 de Madrid, confirmada en apelación por la sentencia de la Audiencia Provincial de Madrid, de 19 de Febrero de 2010).

En este caso, una persona demandó a Google Inc. por determinados resultados que enlazaban a informaciones de carácter difamatorio. El tribunal consideró que Google Inc. quedaba protegida por la norma de exclusión de responsabilidad establecida en el artículo 17 de la Ley de Servicios de la Sociedad de la Información (LSSI)

Según la sentencia, Google no tuvo conocimiento efectivo del carácter ilícito de los contenidos enlazados, y por tanto cumplió con los requisitos establecidos en el artículo 17 para quedar libre de responsabilidad. De acuerdo con una interpretación estricta de dicho artículo, para que un proveedor de servicios de enlaces tenga conocimiento efectivo de que el contenido al que enlaza es ilícito, es preciso que previamente se haya dictado una orden judicial o administrativa que declare la ilicitud de dicho contenido, cosa que no había sucedido en el caso. Por otra parte, el tribunal analizó la debatida cuestión de si la LSSI resulta aplicable a Google Inc. y consideró que sí, basándose en que Google Inc. tiene una sociedad filial con establecimiento permanente en España (Google Spain S.L.).

El TJCE y el filtrado de los datos de los usuarios

El Tribunal de Justicia de las Comunidades Europeas ha emitido una sentencia que constituye una victoria para aquel principio que limita la responsabilidad de los intermediarios (ISPs) por la naturaleza -ilegal o no- de los archivos que intercambian sus usuarios.

Antecedentes

Como antecedente del caso diremos que en el año 2004 la sociedad de gestión colectiva belga SABAM  (Société d’Auteurs Belge – Belgische Auteurs Maatschappij) constató que los usuarios de Scarlet Extended SA, un ISP que brindaba sólo acceso a Internet, descargaban utilizando redes del tipo peer-to-peer (P2P) infinidad de obras de su repertorio sin autorización. En virtud de ello, SABAM solicitó judicialmente a Scarlet que implementara un sistema general de filtrado que impidiera o bloqueara cualquier forma de envío o recepción de archivos sin autorización de los titulares de los derechos de autor. La demanda fue estimada por un tribunal de primera instancia de Bruselas y recurrida por Scarlet, alegando que la implementación de un sistema general de filtrado era inviable técnicamente y que vulneraba el derecho comunitario. Antes de analizar el fondo del asunto, la Corte de Apelaciones de Bruselas interpuso una cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas para determinar si el sistema de filtrado exigido a SABAM era conforme al Derecho comunitario.

El fallo del Tribunal de Justicia

En un fallo del 24 de noviembre de 2001 (Asunto C‑70/10) el Tribunal de Justicia ha sentenciado cuestionando la implementación de este sistema de filtrado general, básicamente por los siguientes argumentos:

La jurisprudencia del Tribunal ha establecido que la competencia atribuida a los órganos jurisdiccionales nacionales debe permitirles exigir a los ISPs para que adopten medidas dirigidas, no sólo a poner término a las lesiones de derechos de propiedad intelectual ya causadas a través de sus servicios de la sociedad de la información, sino también de evitar nuevas lesiones (Asunto C‑324/09, apartado 131) (El concepto de “conocimiento efectivo” en el caso L’Oreal vs. Ebay). De la misma jurisprudencia se deduce que las modalidades de los requerimientos judiciales que los Estados miembros deben prever, como las relacionadas con los requisitos a cumplirse y el procedimiento que debe seguirse, quedarán reguladas por el Derecho nacional.

Tanto las normas nacionales como su aplicación por los órganos jurisdiccionales nacionales deben respetar las limitaciones previstas en las Directivas 2001/29 y 2004/48, así como las fuentes del Derecho a las que estas Directivas hacen referencia.

Dichas normas no podrán afectar lo dispuesto en la Directiva 2000/31, en lo particular cuando prohíbe a las autoridades nacionales adoptar medidas que obliguen a un ISP a proceder a una supervisión general de los datos que se transmiten en su red. El Tribunal ha declarado que dicha prohibición se extiende, concretamente, a las medidas nacionales que obliguen a un prestador de servicios intermediarios, como un ISP, a proceder a una supervisión activa del conjunto de datos de cada uno de sus clientes con el fin de evitar cualquier futura lesión de los derechos de propiedad intelectual. Tal obligación de supervisión general sería incompatible con lo dispuesto en el artículo 3 de la Directiva 2004/48, según el cual, las medidas contempladas por esta Directiva deben ser equitativas y proporcionadas y no deben resultar excesivamente gravosas.

A este respecto, el establecimiento de dicho sistema de filtrado implicaría: (i) que el PAI identifique, en primer lugar, de entre el conjunto de las comunicaciones electrónicas de todos sus clientes, los archivos correspondientes al tráfico «peer-to-peer»; (ii) que identifique, los archivos que contengan obras sobre las que los titulares de derechos de propiedad intelectual tengan supuestamente derechos; (iii) que determine, cuáles de esos archivos se intercambian de un modo ilícito; y, (iv) que proceda, a bloquear los intercambios de archivos que considere ilícitos.

Por lo tanto -dice el Tribunal-, dicha supervisión exigiría una vigilancia activa de la totalidad de las comunicaciones electrónicas efectuadas en la red del ISP y, por lo tanto, comprendería todos los datos que se vayan a transmitir y todos los clientes que utilicen dicha red. Habida cuenta de lo anterior declara que el requerimiento judicial por el que se ordena a Scarlet establecer un sistema de filtrado le obligaría a una supervisión activa del conjunto de datos respecto de todos sus clientes con el fin de evitar cualquier futura lesión de los derechos de propiedad intelectual. De ello se desprende que el citado requerimiento judicial impondría al ISP una obligación de supervisión general prohibida.

Para el Tribunal, la protección del derecho fundamental de propiedad, del que forman parte los derechos vinculados a la propiedad intelectual, debe ponderarse con respecto a la protección de otros derechos fundamentales (Asunto C‑275/06, Operadores de acceso pueden mantener el anonimato de quienes decargan música). Por otro lado, los efectos del requerimiento de filtrado general también puede vulnerar los derechos fundamentales de los clientes del ISP, como su derecho a la protección de datos de carácter personal y su libertad de recibir o comunicar informaciones.

Consecuencias

Sobre el particular, algunos han afirmado que esta sentencia constituye una victoria a cualquier tipo de censura en la Red poniendo como excusa los derechos fundamentales (Dans: La censura en nombre del copyright supone una violación de los derechos fundamentales). No es correcto, supongo que el error parte del hecho que no deben haber leído la sentencia.

El Tribunal de Justicia no ha dejado de recordar que los Estados tienen la obligación de proteger a los derechos de propiedad intelectual; sin embargo, lo que no pueden hacer es imponer una obligación generalizada de monitoreo y filtrado a cargo de los ISPs, en la medida que constituye una violación a determinados derechos fundamentales, principalmente el de libertad de empresa del ISP.

Sobre el caso recomendamos: TechnoLlama (European Court of Justice rules against indiscriminate intermediary filtering) y Del Derecho y las Normas (El TJUE contra la vigilancia indiscriminada del P2P y por la neutralidad de la red).

Tecnología GPS y privacidad

Recientemente la Corte Suprema de Estados Unidos ha enfrentado un caso muy interesante que pone nuevamente sobre el tapete la relación entre la tecnología y el derecho. La Corte Suprema se hizo la siguiente pregunta: ¿puede el gobierno monitorear a un individuo por la supuesta comisión de un delito utilizando un dispositivo GPS sin contar con una orden judicial? Primero abordaremos algunos aspectos técnicos sobre el sistema GPS para luego comentar los aspectos legales involucrados.

¿Qué es el GPS?

Son las siglas detrás de Global Positioning System (GPS), un sistema de navegación satelital compuesto de veinticuatro satélites puestos en órbita y gestionados por el gobierno de los Estados Unidos. Inicialmente se trató de un tipo de tecnología de uso exclusivamente militar; sin embargo, a inicios de los años ochenta se liberalizó de manera que pudiera ser utilizado por cualquier individuo y de manera gratuita. Es este sistema el que nos permite ubicar direcciones a través de nuestros dispositivos móviles, ubicarnos geográficamente de manera efectiva en lugares desconocidos y hasta ubicar vehículos (no en vano ingeniosos taxistas limeños anuncian sus servicios de transporte ofreciendo como garantía de seguridad el contar con un sistema de GPS).

¿De qué trata el caso?

La policía y el FBI colocaron, subrepticiamente y sin contar con una orden judicial, un dispositivo GPS en el auto de Antoine Jones ubicado en una playa de estacionamiento ante las sospechas de que éste era narcotraficante. Jones fue monitoreado por veinticuatro horas al día durante veintiocho días y parte de la evidencia obtenida por las autoridades fue utilizada en el proceso judicial que se abrió en su contra y llevó a su eventual condena. Posteriormente una corte de apelación revirtió el fallo de la instancia inferior al descubrir que la utilización del dispositivo violó la Cuarta Enmienda que indica lo siguiente:

El derecho de los individuos a que tanto ellos como sus domicilios, papeles y efectos se encuentren a salvo de inspecciones y embargos arbitrarios, será inviolable, y no se expedirán para tales efectos ordenes ó autorizaciones que no se encuentren sustentandas en un motivo verosímil (probable cause), estén fundamentados a través de juramento o declaración y describan con particularidad el lugar que deba ser inspeccionado y las personas o cosas que han de ser detenidas o embargadas.

El caso fue elevado a la Corte Suprema y ésta aceptó revisarlo. El clásico análisis de la cuarta enmienda consiste en determinar si la persona contaba con una expectativa de privacidad y si dicha expectativa es una que la sociedad se encuentra preparada para asumir como ‘razonable’. Un análisis nada sencillo pero sobre el cual existe diversa jurisprudencia que ha ido sentando los criterios a tomar en cuenta.

Posiciones de las partes.

Durante la audiencia pública llevada a cabo el pasado 8 de noviembre, el procurador general declaró que la propia Corte Suprema había indicado en casos anteriores que no existía expectativa de privacidad cuando un individuo se moviliza en la vía pública y que la tecnología GPS permitió acceder a información que ya se encontraba expuesta y a disposición de cualquier interesado en acceder a ella. Al respecto cabe precisar que, efectivamente, en United States v. Knotts (1983) la Corte Suprema no calificó como inspección el monitoreo que hizo la policía con un beeper del vehículo de un individuo. Asimismo, indicó que no existió una expectativa razonable de privacidad en su traslado de un lugar a otro a través de la vía pública. En tal sentido la policía no tuvo la necesidad de solicitar un mandato judicial y actuó correctamente.

Por su parte, la defensa indicó que no existiría ninguna expectativa razonable de privacidad en que una autoridad instale un dispositivo subrepticiamente de manera que éste monitoree la vida de un ciudadano veinticuatro horas por veintiocho días.

En el Perú la regulación de la privacidad no goza de un desarrollo profundo y extenso. En todo caso existe culturalmente una preocupación más cercana a la utilización de la información personal por parte de privados que por parte del Estado (contrario a lo ocurrido en Estados Unidos, donde hay mayor presión regulatoria con respecto al accionar del gobierno). Curioso ya que tenemos antecedentes de gobiernos que han hecho uso irresponsable de vasta información personal para fines ilícitos.

El caso resulta interesante además porque plantea muchas interrogantes como dónde queda el límite entre el uso de la tecnología y la esfera íntima del individuo, más aún en aquellos casos donde existen razones de interés público que requieren una acción rápida de las autoridades. Por otro lado que ocurre con las cámaras de vigilancia ciudadana que se encuentran instaladas en diversas ciudades del mundo incluso en Lima, ¿existe ahí una expectativa razonable de privacidad ó en el presente caso nos encontramos frente a una situación distinta?¿el interés público contenido en la seguridad ciudadana implica acaso cierta renuncia de la privacidad? Estaremos pendientes de la resolución final de este caso ya que sentará nuevos criterios dentro de la regulación de la privacidad en Estados Unidos.

Mayores detalles del caso acá

El registro obligatorio de usuarios de cabinas de Internet


El mes pasado, el Tribunal Constitucional Chileno declaró inconstitucional una norma de la ley contra el abuso infantil que ordenaba la creación de un registro de usuarios de cabinas de Internet. La disposición, aprobada dentro de la ley que sanciona el acoso sexual de menores y pornografía infantil, obligaba a todo establecimiento cuyo negocio principal sea ofrecer Internet a llevar un registro pormenorizado de cada usuario de cada computadora y a condicionar la prestación del servicio a la entrega de los datos personales. Este registro sería de carácter reservado y solo podría ser puesto a disposición del Ministerio Público bajo orden judicial.

En su Sentencia, el Tribunal determinó que la medida afectaba el derecho a la vida privada de las personas, tal como había señalado la ONG Derechos Digitales, al obligarlos a ser parte de una base de datos de posibles infractores por el solo hecho de acceder a Internet. Al mismo tiempo, el Tribunal señaló que no resultaba válido imponer esta obligación a las cabinas de Internet y no a otros espacios como universidades, hoteles o restaurantes que también ofrecían ese servicio.

En Perú debemos de leer esta noticia con cuidado. Nuestra Ley 28119 (.pdf), que prohíbe el acceso a de menores de edad a páginas pornográficas a través de cabinas de Internet, contiene desde el año 2007 una norma similar. Al igual que en el caso chileno, ordena a las cabinas a llevar un registro detallado de todos sus usuarios:

Artículo 5.— Registro de usuarios
Los administradores de cabinas públicas de internet llevan un registro escrito de los usuarios mayores de edad, que incluye el número del Documento Nacional de Identidad – DNI o el documento que, por disposición legal, esté destinado a la identificación personal, número de cabina y hora de ingreso y salida, por un período no inferior a los seis (6) meses.

En el Reglamento de la Ley (.pdf), aprobado en diciembre de 2010, se amplía el registro para incluir también a los acompañantes de los usuarios de las cabinas. Sobre su régimen de publicidad, al Reglamento le basta con indicar que deberá de ser exhibido “cuando así sea requerido por una autoridad competente”. Las sanciones por el incumplimiento de la norma, administradas por una Comisión Multisectorial bajo el ámbito de los gobiernos locales, van desde el cierre por cinco días hasta la clausura definitiva del local.

Siguiendo la línea de lo sostenido por el Tribunal chileno, creo que nuestra norma plantea serios cuestionamientos constitucionales. Entiendo que, en atención al interés superior del menor, pueden plantearse límites a los derechos fundamentales. Sin embargo, creo que en este caso la obligación de entregar los datos personales a los administradores de cabinas, sin las garantías ni las responsabilidades del caso, es colocar en estado de indefensión al ciudadano. Esta obligación, además, pasa por alto el derecho a acceder en forma anónima a la red como parte del derecho a la libertad de expresión. Más aún, exigir este registro podría traer dos consecuencias alternativas: (1) que ninguna cabina lo lleve, por engorroso, como sucede actualmente; o, (2) que, para salvaguardar su privacidad, los usuarios empiecen a preferir otros establecimientos como restaurantes o establecimientos con wifi gratuito lo que afectaría el negocio de las cabinas de Internet.

Por último, en Chile, el propósito de la norma era lograr identificar a los usuarios que no pueden ser identificados porque se conectan desde cabinas de Internet. Aquí, la norma es sobre el acceso de menores a cabinas de Internet y el potencial riesgo que ello entraña. Entonces, ¿por qué resulta necesario un registro? Lo cierto es que el contenido de la Ley y su Reglamento ha sido desarrollado en varias ordenanzas municipales, pero no he encontrado ninguna que recoja la obligación del registro.  ¿A qué se debe esta ausencia? ¿Será que las municipalidades no han querido hacerse cargo de esta obligación desproporcionada?

Foto: Bill Herndon (CC BY-ND)

Operación AndesLibre: Anonymous ataca al Estado Peruano


El tema del día es el inicio de la Operación AndesLibre a cargo del colectivo de hacktivistas internacionales Anonymous. En su comunicado, exponen su preocupación por la forma en la que amenazan a libre expresión a través de una estrategia de vigilancia y control de las comunicaciones en Chile y Perú.

En el caso de Chile, esta reacción obedecería al reciente contrato suscrito entre el Estado Chileno y la empresa BrandMetric con la finalidad de monitorear los comentarios en redes sociales sobre la administración Piñera. En buena cuenta, se trataba de un servicio de clipping y monitoreo de medios no muy distinto al que tienen la mayoría de empresas en la actualidad (inclusive en Perú). Lo que parece haber enervado a la opinión pública chilena es que este clipping incluirá, además, la referencia a la ubicación geográfica de cada usuario mostrando la información de geoubicación que el usuario haya elegido compartir. Hasta donde trascendió, no consistía en hackear nada sino más bien en recopilar todo lo que ya estaba en Internet y había sido hecho público por los propios usuarios. Más sobre el caso en Derechos Digitales.

En el caso de Perú, nadie está muy seguro de cuál fue la gota que derramó el vaso. Roberto Bustamante ensaya una explicación. Dando vueltas en Internet, he encontrado un supuesto correo electrónico enviado por un miembro de Anonymous y copiado en PasteBin que daría la pauta para la operación. Sobre la razones para el ataque al Estado Peruano, señala:

Por otro lado en Perú se esta dando la censura a los medios y la manipulacion a datos personales de caracter privado y una futura filtración de estos datos. Sobre el tema de la censura hay amenazas a la prensa por medio de los gobiernos regionales, impidiendo que estos se expresen, ante la gran desaprobacion de los actuales gobernantes regionales.

El correo presenta un formato similar al de anteriores comunicaciones y usa la misma herramienta que usa Piratas de la Red, grupo vinculado a Anonymous, para algunas de sus comunicaciones. La comunicación, además, incluye links a las siguientes noticias sobre Perú:

  1. García espera aclaración del TC antes de criticar fallo que prohíbe difundir audios de ‘chuponeos’ (El Comercio, 12/12/2010)
  2. Censura en Perú: Manuel Saldaña inconsciente tras una paliza por criticar al alcalde de Alto Amazonas (Periodistas en Español, 13/03/2011)
  3. Censura en Perú: Alerta de la Asociación Nacional de Periodistas en Ayacucho (Red Mundial de Periodistas contra el Crimen Organizado y la Corrupción, 12/05/2011)
  4. García provocó caos en Puno como en los Cuatro Suyos (La Primera, 28/05/2011)
  5. Perú: Organizaciones denuncian censura de anuncio televisivo sobre esterilizaciones forzadas (Instituto Prensa y Sociedad, 02/06/2011)
  6. Controversia por Ley de Datos Personales (Diario 16, 08/06/2011)

Por lo visto, son varios temas los que preocupan a Anonymous y no tienen nada que ver con las declaraciones de algún candidato en campaña. Más bien, parecen girar en torno a dos ejes: (i) las recientes amenazas a libertad de prensa, en particular a medios regionales; y (ii) la protección de datos personales. Ambos temas, de una manera u otra, han estado presente en los medios durante las últimas semanas y el Estado no ha dado la cara más favorable en ninguno.

Hasta ahora, todavía no se ha determinado ningún ataque a una web peruana. En Chile, ya empezaron con la web de la Subsecretaría de Telecomunicaciones. Pueden seguirse los ataques desde las cuentas de Twitter @IberoAnon y @AnonOps_Cl.

Actualización (23/06 — 15:30 horas): A través de la página de Piratas de la Red, se señala que Anonymous ya logró atacar con efectividad seis páginas del Estado Peruano, que incluyen la de la Agenda Digital Peruana, las Águilas Negras, la DICAPI, entre otras. No en todos los casos se ha tratado de un ataque dirigido a sacar de circulación el sitio web, sino que también a sacar información secreta o nombres de bases de datos y accesos.

Actualización (23/06 — 23:40 horas): Prensa Libre ha difundido un reportaje sobre la amenaza de ataque.

Actualización (24/06 — 17:35 horas): La cuenta del colectivo Anonymous de Chile anuncia que la segunda fase de la operación se llevará a cabo mañana a partir del mediodía, hora peruana. Esta vez, el ataque se centrará en Perú y está motivado en la suscripción del TPPA, tratado de libre comercio que a su parecer vulneraría los derechos e intereses del pueblo peruano.

Este post irá actualizándose, conforme tengamos más información.

Foto: Gaelx (CC BY-SA)

La privacidad después de Facebook, en Gaceta Constitucional


El número 40 de la revista Gaceta Constitucional, publicación de Gaceta Jurídica, incluye un artículo mío titulado “La privacidad después de Facebook” (.pdf). El artículo describe la problemática existente entre el uso de servicios de redes sociales a través de Internet y el derecho fundamental a la privacidad. En particular, analizo la forma en que los límites de lo público y lo privado han sido redibujados por el influjo de servicios de redes sociales como Facebook y los posibles escenarios de vulneración del derecho a la privacidad en estos entornos.

Agradezco al equipo editorial de Gaceta Constitucional por haber tenido la gentileza de volverme a invitar a participar en su revista. Pueden visitar su página web para enterarse de dónde y cómo pueden adquirirla.