El Ministerio de Seguridad de la Nación creó un "Protocolo General para la Prevención Policial del Delito con Uso de Fuentes Digitales Abiertas", que establece los mecanismos que las fuerzas de seguridad federales podrán emplear para detectar delitos vinculados a la pandemia de la COVID-19 en Internet.
La normativa, directamente vinculada a la emergencia pública en materia sanitaria, entró en vigencia este martes a partir de la publicación de la resolución 144/2020 en el Boletín Oficial. En el anexo de la resolución que lleva la firma de la ministra, Sabina Frederic, se establece que "la prevención policial del delito en el espacio cibernético procurará el conocimiento de posibles conductas delictivas cuyo acaecimiento sea previsible en función de la emergencia pública en materia sanitaria establecida" en virtud de la pandemia del coronavirus.
En ese marco, se deberá atender "al desarrollo de la criminalidad vinculada a la comercialización, distribución y transporte de medicamentos apócrifos y de insumos sanitarios críticos; a la venta de presuntos medicamentos comercializados bajo nomenclaturas y referencias al COVID-19 o sus derivaciones nominales, sin aprobación ni certificación de la autoridad competente; y a los ataques informáticos a infraestructura crítica -especialmente a hospitales y a centros de salud".
El protocolo indica que "la prevención policial del delito en el espacio cibernético se llevará a cabo únicamente mediante el uso de fuentes digitales abiertas" es decir "los medios y plataformas de información y comunicación digital de carácter público, no sensible y sin clasificación de seguridad, cuyo acceso no implique una vulneración al derecho a la intimidad de las personas".
Para instruir a las fuerzas de seguridad -Policía Federal Argentina, Gendarmería Nacional, Policía de Seguridad Aeroportuaria y Prefectura Naval-, la Secretaría de Seguridad y Política Criminal de la cartera "dispondrá el procedimiento estandarizado y la definición de los indicadores delictivos que orientarán la actividad preventora" durante la emergencia pública en materia sanitaria y creará una mesa consultiva conformada por asesores.
La norma indica que sólo podrán ser objeto de la prevención policial con uso de fuentes digitales los delitos enumerados en la resolución y que "las tareas de prevención deberán omitir aquellas conductas susceptibles de ser consideradas regulares, usuales o inherentes al uso de Internet y que no evidencien una intención de delinquir".
"Asimismo, se descartará toda posibilidad de acumulación de registros relativos a las personas, debiéndose proceder a su efectiva destrucción luego de concluida la actividad preventora", agrega.
También hace referencia a la obligación de que el personal policial aplique los principios de "protección de los datos personales", de "protección de la libertad de expresión", de "no criminalización de las protestas en línea" y de "destrucción del material prevenido o judicializado", entre otros que regulan la actuación.
El protocolo prohíbe "obtener información, producir inteligencia o almacenar datos sobre personas o usuarios por el sólo hecho de su raza, fe religiosa, acciones privadas, u opinión política, o de adhesión o pertenencia a organizaciones partidarias, sociales, sindicales, comunitarias, cooperativas, asistenciales, culturales o laborales, así como por la actividad lícita que desarrollen en cualquier esfera de acción".
También "emplear métodos ilegales o violatorios de la dignidad de las personas para la obtención de información", "comunicar o publicitar información sin autorización", "incorporar datos o información falsos", "utilizar fuentes digitales abiertas para monitorear y observar detenidamente individuos o asociaciones" y "almacenar los datos personales relevados a través del uso de fuentes digitales abiertas en registros o bases de datos, cuando no dieran lugar a actuaciones judiciales".
Autoridades de prevención del delito advierten que los usuarios se van a "tener que acostumbrar" a que la policía rastrille sus cuentas "abiertas" para investigar su conducta.
Sin embargo, defensores de los derechos humanos ironizan diciendo que un patrullero no entra en las viviendas ni mira qué hay en el armario, mientras que el ciberpatrullaje toma contacto con datos sensibles protegidos por la Ley de Habeas Data y por convenciones internacionales a las que adhirió Argentina y que, por lo tanto, tienen rango constitucional en el país.
Por ese motivo, insisten en que la policía sólo debería ingresar en redes sociales y en otros medios de comunicación solamente si una orden judicial lo autoriza y en el marco de un proceso concreto.
Al mismo tiempo, admiten que en caso de pandemia, las autoridades pueden ingresar a los sitios públicos de Internet en los que se vuelca información privada de los ciudadanos, aunque cumpliendo ciertos requisitos.
Eduardo Ferreyra, de la Asociación por los Derechos Civiles (ADC), dice a iProUP: "Si bien el rastreo de datos de salud puede ser necesario para que las autoridades aborden pandemias como el coronavirus, debemos evitar que esta situación sea utilizada por los gobiernos para incurrir en actividades de vigilancia". Por ese motivo, considera que cualquier uso de datos abiertos debe cumplir con los requisitos establecidos por la legislación.
"Esto significa que debe recolectarse sólo información indispensable para la tarea, evitar la difusión de nombres de personas afectadas, impedir que esa información sea utilizada para otros fines y sobre todo, destruirla una vez que la razón de la recolección haya desaparecido", puntualiza.
Ferreyra enfatiza que "en definitiva, la pandemia no debe justificar la vigilancia masiva y el posterior perjuicio a los derechos de las personas".
Por el contrario, los abogados especializados en derecho de los consumidores advierten que fallos de la Corte Suprema dejan abierta la puerta a juicios civiles de usuarios afectados contra el Estado y contra las empresas que facilitaron información a la policía sin su consentimiento y sin orden judicial.
La realidad en la Argentina está lejos de los estándares deseados. Un estudio de ADC muestra que la mayoría de las empresas que proveen Internet no requiere de autorización de un magistrado para la entrega de información ni siquiera en el caso de delitos comunes, así como tampoco otras que recolectan datos sensibles por las redes u otras aplicaciones.
Autoridades, a favor del rastrillaje digital
La fiscal titular de la Unidad Especializada en Delitos e Infracciones Informáticos del Ministerio Público porteño, Daniela Dupuy, defiende en diálogo con iProUP que "la policía tenga el poder de entrar a redes abiertas, siempre que pueda probar que no violó la intimidad ni la privacidad del usuario accediendo a metadatos".
"La información policial sobre la comisión de delitos tomada de fuentes públicas es válida", enfatiza Dupuy. Agrega que "el mismo usuario elige que se lo pueda investigar cuando decide tener un perfil público en Facebook, por ejemplo".
"El ciberpatrullaje por sitios abiertos es del mismo orden que la prevención que hace la policía cuando recorre las calles. Igualmente, puede tomar conocimiento de delitos en fuentes públicas de Internet", asegura la fiscal.
Y ejemplifica que del mismo modo que la policía llega a saber mediante un recorrido por las calles que en determinado barrio, a tal hora, en tal plaza, se roban carteras y así puede reforzar la vigilancia en ese sitio, las fuerzas de seguridad pueden tomar conocimiento de que se distribuye pornografía infantil utilizando un software que puede ver cualquiera.
El monitoreo de redes sociales debe evitar estigmatizar a los ciudadanos
Incluso, la fiscal Dupuy admite hasta cierto punto la realización de tareas de inteligencia artificial siempre que se evite estigmatizar personas o grupos con el uso de software. "Estamos logrando condenas en la Justicia de la ciudad de Buenos Aires cuando se puede comprobar la legitimidad del accionar policial. Es decir, que fue realizado por medios válidos y que haya sido ordenado por un fiscal", añade Dupuy.
Esa legitimidad se logra incluso cuando la policía con delitos que no se estaban investigando por orden judicial, según Dupuy, si la policía declara que la información recolectada en redes sociales "estaba en una carpeta abierta", fue obtenida "sin bucear, lo que se llama plain view en el derecho comparado".
En la misma línea, Florencia Bossi, especialista en defensa de datos personales del estudio Allonca, considera que al publicar detalles de la vida privada en los sitios públicos de datos se pierde el control de esos datos como sujetos a la confidencialidad.
Bossi argumenta a iProUP que al publicar en sitios web abiertos se da un "consentimiento" para el uso de cualquiera de los datos personales incluidos, también de las autoridades. "No se puede decir que son privados, por eso hay que tener cuidado con lo que se publica en Internet", advierte.
El ciberpatrullaje
Desde la vereda de enfrente, Ferreyra asegura: "El ciberpatrullaje en redes abiertas es una medida que impacta en la privacidad y en la protección de datos personales".
"El argumento de que es similar al patrullaje policial de las calles no contempla particularidades del ámbito digital: cada movimiento en Internet deja un rastro, que sumado al poder de la tecnología para agregar y recopilar información hace que todos esos datos se vuelvan sensibles", afirma el letrado.
"Si los movimientos van a ser vigilados con el argumento de que son públicos, la gente se inhibirá de determinados comportamientos válidos", asegura. Y Aclara: "No nos oponemos a que la policía investigue delitos en redes sociales, siempre que lo haga con la orden de un juez y en un caso concreto".
En su visión, "el ciberpatrullaje no es asimilable al que se realiza en las calles y es muy riesgoso", por lo que entiende que las leyes deben actualizar el concepto de privacidad para que alcance al "derecho de las personas a controlar su información y lo que otros hacen con ella".
Lejos de los estándares
Un estudio de ADC sobre empresas con acceso a datos por Internet revela que varias empresas no prevén pedir la autorización de un juez en el marco de un proceso judicial para brindar datos a la policía sobre sus usuarios, y tampoco diferencias entre la entrega de datos de contenido y metadatos.
En tal sentido:- Telecom informa que puede relevarse del deber de privacidad "por resolución judicial". Pero puede interpretarse datos de contenido y metadatos en conjunto
- Movistar exige autorización judicial ante el requerimiento de información de clientes, si bien deja la puerta abierta a la vía administrativa. No establece diferencias entre datos de contenido y metadatos
- En Telecentro e iPlan no existen referencias al modo en que las autoridades gubernamentales deberán solicitar información personal
- DirectTV y Claro pueden entregar información por un pedido de autoridades administrativas y tampoco diferencian entre datos y metadatos
Juicios por espionaje
El abogado Flavio Lowenrosen, especialista en derecho del consumidor, confía a iProUP: "Hay datos reservados en las transacciones, ya que pueden contener información sensible o estar protegidos por el secreto bancario o la intimidad del usuario".
Por ese motivo, la Corte Suprema sentenció en la causa Halabi la inconstitucionalidad de una ley que ordenaba a "todo prestador de servicios de telecomunicaciones" a la "captación y derivación de las comunicaciones que transmiten, para su observación remota a requerimiento" de jueces o fiscales.
El argumento del máximo tribunal fue que "la norma ponía a disposición del Estado toda información a la que tuvieran acceso las empresas proveedoras de telefonía o Internet "afectaba el derecho a la intimidad amparado en el artículo 19 de la Constitución Nacional", recuerda Lowenrosen.
Las actividades de ciberpatrullaje no deben guadar
datos ni vulnerar la privacidad de los usuarios
La Corte le dio a su sentencia un alcance colectivo, erga homnes, para todo ciudadano, por lo que la ley quedó sin efecto.
Los argumentos del tribunal supremo consistieron en que "todo lo que los individuos transmiten por esas vías integra la esfera de intimidad personal" y, por tanto, está bajo "garantía contra su lesión" mediante "toda injerencia o intromisión arbitraria o abusiva en la vida privada de los afectados".
Por otra parte, la Corte señaló que fue la misma ley impugnada la que previó que las empresas de comunicación no serían responsables civilmente por los daños que denunciara un particular por la recolección de datos por estos medios, sino el propio Estado.
Además, la norma reconoció que "el sistema de captación, derivación y registro de comunicaciones que implementó podría no respetar las garantías mínimas exigibles para tan drástica injerencia en la esfera íntima de los particulares" según el tribunal.