Convención de la ONU sobre Ciberdelincuencia: ¿podría el remedio ser peor que la enfermedad?
Las negociaciones en curso para producir un tratado internacional que aborde el problema transfronterizo de la ciberdelincuencia podrían tener consecuencias de gran alcance para los derechos fundamentales de las personas. El plazo para concluir las negociaciones se acerca rápidamente sin que se haya alcanzado un acuerdo básico sobre el ámbito de aplicación del tratado, la definición de los delitos que abarcaría y las salvaguardias necesarias para evitar que se convierta en un medio para que los Estados autoritarios repriman actividades legítimas en internet. La sociedad civil está participando en el proceso para impedir que esto ocurra, consciente de que sería mucho mejor no llegar a ningún acuerdo que producir uno que entregue a los Estados represivos armas aún más poderosas que las que ya usan para reprimir el disenso.
Si usted nunca ha oído hablar de la Convención sobre Ciberdelincuencia, no es el único. Y si ahora se está preguntando si un tratado internacional contra la ciberdelincuencia es una buena idea, también está en buena compañía. Entre quienes hoy participan activamente en las negociaciones se cuentan Estados y organizaciones de la sociedad civil (OSC) que inicialmente se opusieron a la idea pero se vieron arrastrados al proceso cuando éste se abrió paso en las Naciones Unidas (ONU).
Las negociaciones llevan ya más de tres años: la última sesión de negociaciones se celebró en abril, y la más reciente ronda de consultas con múltiples partes interesadas acaba de concluir. Una sexta sesión está prevista para agosto y se espera poder aprobar un borrador del texto de la convención en febrero de 2024, para luego someterlo a votación en la Asamblea General de las Naciones Unidas (AGNU) hacia fines del año próximo. Pero aún queda mucho en el tintero y abundan los potenciales escollos en el camino.
Comienzos controvertidos
En diciembre de 2019, la AGNU votó a favor de comenzar a negociar un tratado contra la ciberdelincuencia. La resolución inicial fue patrocinada por Rusia, que dos años antes había empezado a hacer circular un borrador con su propuesta. La iniciativa de Rusia fue copatrocinada por varios de los regímenes más represivos del mundo: Bielorrusia, Camboya, China, Irán, Myanmar, Nicaragua, Siria y Venezuela. Varios de estos Estados ya habían aprobado sus propias leyes contra la ciberdelincuencia, que utilizaban para reprimir el disenso y el escrutinio legítimos con el pretexto de combatir una serie de delitos cibernéticos vagamente definidos, tales como calumniar a las autoridades, difundir “noticias falsas” e incitar al odio, el extremismo, la sedición o el terror.
La lucha contra la ciberdelincuencia sin duda requiere alguna forma de cooperación internacional, ya que se trata de una clase de delitos que atraviesan fronteras. Es un fenómeno global que tiene enormes impactos y con razón preocupa a mucha gente. Un tratado podría facilitar la cooperación internacional proporcionando medios para que los países colaboren, por ejemplo, intercambiando información, compartiendo conocimientos y trabajando juntos para prevenir, investigar y procesar ciberdelitos. Podría incentivar a los Estados a adaptar sus leyes nacionales a las normas internacionales, produciendo mayor coherencia, simplificando las investigaciones transfronterizas y aumentando la seguridad jurídica.
Pero esto no necesariamente quiere decir que se necesite un nuevo tratado. Muchas OSC siguen teniendo dudas al respecto. La organización de defensa de la libertad de expresión Artículo 19, por ejemplo, insiste en que el tratado no es necesario. Personas expertas han señalado que el verdadero problema radica en la insuficiente aplicación de los acuerdos internacionales ya existentes, y en particular del Convenio de Budapest del Consejo de Europa, de 2001. Abierto a Estados de todo el mundo, apenas ha sido ratificado por 68 y no es plenamente operativo.
Cuando se sometió a votación la resolución rusa, la Unión Europea (UE), Estados Unidos y muchos otros, junto con organizaciones de derechos humanos y de defensa de los derechos digitales, instaron a la AGNU a rechazarla. Pero una vez aprobada la resolución, se involucraron en el proceso, tratando de evitar el peor resultado posible: un tratado carente de salvaguardas de derechos humanos que pudiera utilizarse como herramienta represiva. Para los observadores críticos de la sociedad civil, esto significó que los Estados estuvieron cada vez más dispuestos a transigir, introduciendo y aceptando enmiendas que podrían erosionar garantías clave de los derechos humanos.
La resolución de diciembre de 2019 creó un “Comité Ad Hoc para elaborar una Convención Internacional Integral para contrarrestar el uso de las tecnologías de la información y las comunicaciones con fines delictivos” (CAH), presidido por la Oficina de las Naciones Unidas contra la Droga y el Delito (ONUDD) y abierto a la participación de todos los Estados miembros de la ONU, además de otros actores en calidad de observadores, incluida la sociedad civil.
La primera reunión del CAH para establecer las normas de procedimiento se celebró con retraso, a mediados de 2021, a causa de la pandemia. Fue aceptada la propuesta de Brasil de requerir una mayoría de dos tercios de los votos para la toma de decisiones, mecanismo que se utilizaría cuando no pudiera alcanzarse el consenso, en lugar de la mayoría simple que propugnaba Rusia. También se aprobó una lista de partes interesadas habilitadas para participar, entre ellas OSC, instituciones académicas y representantes del sector privado.
En la primera sesión de negociación, en febrero de 2022, se tomó otra importante decisión de procedimiento: entre las sesiones de negociación se celebrarían consultas para solicitar aportes de las partes interesadas, incluidas las OSC de derechos humanos. Estas consultas han dado a las OSC la oportunidad de hacer presentaciones y participar en debates con los Estados.
Voces desde las primeras líneas
Ian Tennant es presidente de la Alianza de ONG sobre Prevención del Delito y Justicia Penal, una amplia red de OSC que promueven una agenda de prevención del delito y justicia penal, y lidera la Representación Multilateral de Viena y el Fondo de Resiliencia de la Iniciativa Global contra el Crimen Organizado Transnacional. Ambas organizaciones participan como observadoras en las negociaciones del Tratado de la ONU contra la Ciberdelincuencia.
Las negociaciones del tratado se han abierto para que las OSC contribuyan al proceso mediante un mecanismo que no permite a los Estados vetar a OSC individuales. Hay espacio para que las OSC aporten sus contribuciones en cada punto del orden del día, así como a través de reuniones entre sesiones en las que pueden hacer presentaciones y liderar debates con los Estados miembros. Este proceso es, en cierto modo, un modelo de buenas prácticas que otros procesos de negociación de la ONU podrían imitar.
Las OSC, así como el sector privado, están aportando perspectivas vitales sobre las posibles repercusiones de las propuestas presentadas en las negociaciones del tratado, sobre cuestiones prácticas, en materia de protección de datos y en materia de derechos humanos. Fundamentalmente, las OSC hacen verificación de datos y aportan evidencia para respaldar o rebatir los argumentos de los Estados miembros a medida que éstos presentan sus propuestas y se debaten posibles compromisos.
Dependerá de los negociadores de todas las partes, y de lo lejos que estén dispuestos a llegar para lograr un acuerdo, que el tratado tenga un impacto significativo sobre la ciberdelincuencia y, al mismo tiempo, se mantenga fiel a las normas internacionales de derechos humanos y a la ética general de derechos humanos de la ONU. Este sería el resultado óptimo, pero dados la atmósfera política y los desafíos actuales, será difícil de conseguir.
Existe la posibilidad de que el tratado se adopte sin las salvaguardias adecuadas y que, en consecuencia, sólo sea ratificado por un pequeño número de países, lo cual disminuiría su utilidad, pero también conllevaría riesgos para los derechos únicamente para los países que lo suscriban. También existe la posibilidad de que el tratado contenga normas de derechos humanos muy estrictas, pero que por eso mismo no lo ratifiquen muchos países, lo cual limitaría su utilidad en materia de cooperación pero neutralizaría sus riesgos en materia de derechos humanos.
Este es un extracto editado de nuestra conversación con Ian. Lea la entrevista completa aquí.
Preocupaciones de derechos humanos
Varias OSC de derechos humanos y derechos digitales -entre ellas Access Now, Artículo 19, el CyberPeace Institute, Derechos Digitales, la Electronic Frontier Foundation, Global Partners Digital, Human Rights Watch, Privacy International y R3D- están tratando de influir en el proceso del tratado, individualmente y como parte de coaliciones más amplias de sociedad civil y múltiples partes interesadas.
En palabras de la Electronic Frontier Foundation, este tratado tiene “el potencial de reescribir las leyes penales de todo el mundo, posiblemente añadiendo más de 30 delitos penales y nuevos poderes policiales expansivos para investigaciones penales tanto nacionales como internacionales”. En vistas de lo que está en juego, en vísperas de la primera sesión de negociaciones unas 130 OSC y personas expertas instaron al CAH a incluir salvaguardas de derechos humanos en el tratado, advirtiendo que, de lo contrario, éste podría convertirse en “una poderosa arma de opresión” y dar lugar a “una carrera a la baja entre las jurisdicciones con las protecciones de derechos humanos más débiles”.
Voces desde las primeras líneas
Stéphane Duguin es director ejecutivo del CyberPeace Institute, una OSC fundada en 2019 para ayudar a OSC humanitarias y a comunidades vulnerables a limitar el daño de los ciberataques y promover un comportamiento responsable en el ciberespacio.
El principal desafío ha sido definir el ámbito de aplicación del nuevo tratado, es decir, la lista de delitos que se penalizarán. En general, los Estados están de acuerdo en que el tratado debe incluir los delitos ciberdependientes. Sin embargo, la inclusión de los delitos habilitados por la tecnología es más controvertida. No existe una definición internacionalmente aceptada para estos delitos cibernéticos. Algunos Estados consideran delitos cibernéticos a delitos relacionados con los contenidos que circulan en internet, tales como la desinformación, la incitación al extremismo o el apoyo al terrorismo. Se trata de delitos basados en el discurso, cuya penalización puede conducir a la criminalización del discurso o la expresión en línea, con repercusiones negativas sobre los derechos humanos y las libertades fundamentales.
Muchos Estados que probablemente serán futuros signatarios del tratado utilizan este tipo de lenguaje para atacar el disenso. Sin embargo, existe un consenso generalizado en torno de la inclusión de excepciones limitadas sobre delitos habilitados por la tecnología, como la explotación y el abuso sexual de menores en línea y el fraude informático.
No hay forma de llegar a una definición amplia de los delitos habilitados por la tecnología a menos que vaya acompañada de salvaguardias muy estrictas en materia de derechos humanos. A falta de tales salvaguardias, el tratado debería abarcar un espectro limitado de delitos. Pero no hay acuerdo sobre la definición de las salvaguardias ni sobre cómo ponerlas en práctica, sobre todo en lo que respecta a la protección de datos personales.
Tanto para las víctimas como para los perpetradores, no hay ninguna diferencia entre los delitos ciberdependientes y los habilitados por la tecnología. Si eres víctima, eres víctima de ambos. Muchos grupos criminales –y también agentes estatales– utilizan las mismas herramientas, infraestructuras y procesos para realizar ambos tipos de ataques.
Aunque es necesario incluir más delitos cibernéticos, la forma en que esto se está haciendo es incorrecta, ya que no se están introduciendo salvaguardias ni definiciones claras. La mayoría de los Estados que lo están impulsando han demostrado sobradamente que no respetan ni protegen los derechos humanos, y algunos de ellos –como China, Egipto, India, Irán, Rusia y Siria– han propuesto incluso eliminar toda referencia a las obligaciones internacionales en materia de derechos humanos.
Este es un extracto editado de nuestra conversación con Stéphane. Lea la entrevista completa aquí.
Ya en la primera sesión de negociación se puso de manifiesto que no había una definición clara de lo que constituye ciberdelincuencia ni de qué ciberdelitos debían regularse por el tratado. Sigue sin haber claridad al respecto.
La ONUDD identifica dos tipos principales de ciberdelitos: los delitos ciberdependientes, como la intrusión en redes, la interferencia en sistemas informáticos o la distribución de programas maliciosos, que solamente pueden cometerse mediante el uso de tecnologías de la información y la comunicación (TIC), y los delitos habilitados por la tecnología, que se vuelven más fáciles de cometer gracias a las TIC pero también pueden cometerse sin ellas, como el tráfico de drogas o de armas, el lavado de dinero o la distribución ilegal de productos falsificados.
A lo largo del proceso de negociación ha habido discrepancias sobre si el tratado debía centrarse en un conjunto limitado de delitos ciberdependientes o si también debía abordar una serie de delitos habilitados por la cibernética. Estos últimos, advierten los grupos de derechos humanos, incluyen varios delitos relativos a contenidos que podrían invocarse para reprimir las libertades cívicas fundamentales de asociación, expresión y reunión pacífica.
Estas preocupaciones han sido destacadas por la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, que ha mantenido que el tratado no debería incluir delitos relacionados con el contenido de la expresión en línea y ha subrayado que debería hacer referencia clara y explícita a acuerdos internacionales vinculantes sobre derechos humanos como el Pacto Internacional de Derechos Civiles y Políticos, de modo de garantizar que sea interpretado y aplicado en consonancia con los principios universales de los derechos humanos.
Los objetivos del nuevo tratado son reducir la probabilidad de que se produzcan atentados y, cuando éstos ocurran, limitar los daños y garantizar que las víctimas tengan acceso a justicia y reparación. De lo que se trata es de proteger no a los Estados, sino a las personas.
Un segundo desacuerdo importante se refiere al alcance y las condiciones de la cooperación internacional. Si no se definen claramente, los acuerdos de cooperación podrían dar lugar al intercambio masivo de datos, violando disposiciones sobre privacidad y protección de datos, en vez de limitarse al intercambio de evidencia concreta vinculada a investigaciones puntuales. En ausencia del principio de doble incriminación -según el cual la extradición sólo puede aplicarse a una acción que constituya delito tanto en el país que la solicita como en el que la concede-, las autoridades estatales podrían verse obligadas a investigar en nombre de otros Estados actividades que no constituyen delito en sus propios países. De ese modo podrían acabar convirtiéndose en ejecutores de la represión ajena.
La sociedad civil ha presionado para que se reconozca un conjunto de principios sobre la aplicación de los derechos humanos a la vigilancia de las comunicaciones. Según dichos principios, debe prevalecer la doble incriminación, y cuando las leyes difieran y puedan aplicarse las de más de un Estado, debe aplicarse la que resulte en un mayor nivel de protección de los derechos. Debe garantizarse que los Estados no utilicen los acuerdos de asistencia mutua y las solicitudes de cooperación extranjera para eludir restricciones legales nacionales. Los procesos para cumplir dichos acuerdos deben estar claramente documentados, a disposición del público y sujetos a garantías de equidad procesal.
Ahead of the negotiations to tackle #cybercrime, ARTICLE 19 warned against the Convention, deeming it to be ‘unnecessary and ill-advised.’
— ARTICLE 19 (@article19org) April 11, 2023
⤵️ We recently stated why the latest draft does not meet international human rights standards on #FreeSpeechhttps://t.co/s059wRE43D
Quién es quién
Liderado por Rusia, el grupo de Estados que promueven un tratado de amplio alcance sin salvaguardas explícitas de derechos humanos está mucho más unido que el grupo que se le enfrenta. El primer grupo incluye a China y a muchos Estados africanos y caribeños, así como a miembros del Grupo Árabe.
Del otro lado, apoyando un tratado que incluya un número limitado de delitos ciberdependientes con fuertes salvaguardas de privacidad, protección de datos y derechos humanos, se sitúan los Estados de la UE, Japón, Estados Unidos, varios Estados latinoamericanos y otros que han adoptado el Convenio de Budapest. Este grupo coincide en algunos principios básicos pero discrepa en varias cuestiones clave, tales como la severidad de las cláusulas de protección de datos, la inclusión o no de algunos delitos sobre contenido, tales como la infracción de derechos de autor, y el alcance aceptable para la cooperación. En particular, la UE y Estados Unidos han estado enfrentados en temas de privacidad y protección de datos.
Dentro del segundo grupo, algunos Estados han cambiado de postura. Por ejemplo, cuando las negociaciones entraron en su cuarta sesión, algunos llegaron a aceptar un mayor nivel de cooperación en el marco del tratado, siempre y cuando el abanico de delitos incluidos siguiera siendo lo suficientemente reducido. Pero desde entonces algunos han vuelto a insistir en que para mitigar los riesgos para periodistas, denunciantes, investigadores y activistas de la sociedad civil se necesita dotar a la cooperación de un alcance limitado.
Sin embargo, los del primer grupo parecen estar ganando en audacia, y recientemente han llegado a cuestionar la inclusión de lenguaje de derechos humanos en el preámbulo del tratado y a proponer la eliminación de salvaguardas básicas de los derechos humanos frente a los poderes de vigilancia de los Estados.
Asimismo, el grupo liderado por Rusia aboga por un proceso rápido que requiera de apenas 30 adhesiones para la entrada en vigor del tratado, mientras que el otro grupo busca elevar la vara, requiriendo un mínimo de 70.
Un futuro incierto
Tras la tercera consulta multisectorial celebrada en noviembre de 2022, el CAH publicó un borrador conocido como “documento consolidado de negociación”. En la cuarta sesión de negociaciones, celebrada en enero de 2023, las principales preocupaciones de la sociedad civil se centraron en el largo y creciente número de delitos penales enumerados en el borrador, muchos de ellos referentes a contenido -incluyendo ahora, a iniciativa de China, el de “difusión de información falsa”-.
Pero las cuestiones más controvertidas, como la inclusión de delitos vagamente definidos relativos a contenidos y la definición de procedimientos para la interceptación de contenidos, la recogida y almacenamiento de datos y la administración de pruebas electrónicas, no se debatieron en las sesiones plenarias, sino en grupos informales no abiertos a la sociedad civil.
La quinta sesión de negociaciones dio lugar a un mecanismo -una “conferencia de las partes” como las que utilizan otros tratados- para la implementación del acuerdo, pero no aportó ningún consenso sobre cuestiones sustantivas. Esto significa que se llegó a un acuerdo sobre cómo aplicar un tratado que aún no existe y que puede que nunca llegue a materializarse del todo.
No está claro cómo podrá el CAH superar la profunda división persistente para elaborar el “borrador cero” que se espera que comparta en las próximas semanas. Si cumple el plazo dejando sin decidir los temas polémicos, la próxima sesión, prevista para agosto, podría suponer el paso de la búsqueda de consenso a la votación, a menos que los Estados negociadores decidan concederse algo más de tiempo.
Al día de hoy, el proceso aún podría concluir a tiempo, o con retrasos limitados, tras una votación forzada de un tratado polémico y carente de consenso que, por lo tanto, no entre en vigor o lo haga para el limitado número de Estados que lo ratifiquen. O podría aplazarse repetidamente, perder impulso y acabar disolviéndose. Para la sociedad civil involucrada en el proceso tal evolución podría no ser particularmente negativa: es mejor ningún acuerdo que uno que conceda a los Estados represivos herramientas aún más poderosas para sofocar el disenso.
NUESTROS LLAMADOS A LA ACCIÓN
-
Los Estados deben limitar el ámbito de aplicación del tratado a un conjunto claramente definido de delitos ciberdependientes.
-
Los Estados deben asegurarse de que todas las secciones del tratado incluyan garantías explícitas de procedimiento y salvaguardas de derechos humanos.
-
Los Estados deberían mostrar su voluntad de hacer frente a la ciberdelincuencia mediante su adhesión al Convenio de Budapest.
Ilustración de portada de CIVICUS