Los gobiernos que incurren en acciones masivas de espionaje electrónico, como Estados Unidos, y las empresas que desarrollan programas informáticos intrusivos podrían ser demandados por violar la Convención contra la Ciberdelincuencia.
Ese tratado, que se adoptó en Budapest en 2001 y está vigente desde 2004, contiene una provisión sobre la protección de la privacidad y los datos personales ante intromisiones no autorizadas. La Convención establece que sus países miembros deben tipificar penalmente cuatro conductas contra la confidencialidad, la integridad y la disponibilidad de datos y sistemas informáticos: acceso ilícito, interceptación ilícita, interferencia en el funcionamiento, y abuso de dispositivos que faciliten la comisión de estos delitos.
La cibervigilancia «viola la Convención, y los autores pueden ser demandados» ante el Comité de ese tratado, explica la profesora Lorena Pichardo, de la Facultad de Derecho de la Universidad Nacional Autónoma de México. La Convención fue adoptada en el marco del Consejo de Europa, el principal organismo de derechos humanos del continente europeo. Pero se sumaron otros Estados no miembros, como Canadá y Estados Unidos, que la ratificó en 2006. En total, 51 estados firmaron la Convención y 40 la ratificaron. De los diferentes países latinoamericanos que son observadores del Consejo de Europa, como Argentina, Chile, Colombia, Costa Rica, México, Panamá, Paraguay y República Dominicana, solo esta última ratificó el convenio.
Es posible presentar una queja ante el Comité, aunque todo se remite a las leyes nacionales que sus miembros deben aprobar para cumplir el contenido de la Convención. También se puede apelar al Tribunal Europeo de Derechos Humanos. Una demanda «puede tener éxito, pero sería parcial, porque entre los países del convenio hay intereses en juego. La ley se puede doblar y acomodar» a las legislaciones nacionales, recuerda el académico en tecnologías de la información y comunicaciones Enoc Gutiérrez, de la Universidad Autónoma del Estado de México.
Gutiérrez y sus colegas Lucio Ordóñez y Víctor Saucedo plantearon en 2012 la necesidad de crear una legislación especial sobre delitos informáticos con un tribunal exclusivo, en un artículo que analizaba las leyes de México, Estados Unidos y la Unión Europea. Es que la Convención no contempla que esos ciberdelitos puedan ser métodos de espionaje ejercido por un Estado. Se supone que cuando un gobierno busca acceso transfronterizo a datos informáticos, lo hace para investigar delitos y perseguir delincuentes.
Y, en ese contexto, el artículo 32b de la Convención de Budapest introdujo una excepción al principio de soberanía territorial. «Un país Parte puede, sin autorización de otro país Parte: acceder a datos informáticos almacenados que estén disponibles al público (de fuente abierta) sin importar dónde se encuentren geográficamente; o acceder o recibir, mediante un sistema de ordenadores en su territorio, datos informáticos almacenados en otro país Parte, si obtiene el consentimiento voluntario y legal de la persona que tiene la autoridad para revelar los datos mediante ese sistema informático», dice el artículo 32b.
El Comité de la Convención celebró su novena sesión plenaria el 4 y 5 de junio, un día antes de que los periódicos The Guardian y The Washington Post publicaran las primeras informaciones de Snowden, y no debatió nada vinculado al ciberespionaje. Pero el subgrupo sobre Jurisdicción y Acceso Transfronterizo a los Datos ha planteado en un reciente informe que nuevas realidades, como el almacenamiento de información en la nube y la práctica de las autoridades judiciales y policiales nacionales, hacen necesario revisar el alcance del artículo 32b.
Las actuales discusiones «ilustran que las autoridades encargadas de hacer cumplir la ley de muchos países acceden a datos almacenados en ordenadores de otros Estados para obtener evidencia electrónica. Tales prácticas suelen ir más allá de las limitadas posibilidades previstas en el artículo 32b y en la Convención de Budapest en general», dijo el subgrupo.
Estas mayores facultades implican riesgos para los derechos humanos, advirtió. «Los datos personales están crecientemente resguardados por entidades privadas, incluyendo proveedores de servicios en la nube. El acceso de agencias gubernamentales o su entrega a esas agencias puede violar las regulaciones de protección de datos», señalaron los expertos.
La Agencia Nacional de Seguridad de Estados Unidos (NSA) y otras entidades de inteligencia emplean software (programas informáticos) que les permiten interceptar comunicaciones privadas en todo el mundo. México, por ejemplo, adquirió de empresas estadounidenses y europeas software para seguir llamadas telefónicas, mensajes de correo electrónico, chats, visitas a páginas de Internet y redes sociales. Hay al menos 95 corporaciones que desarrollan y distribuyen ese tipo de programas en todo el mundo, 32 son estadounidenses, 17 británicas y el resto proviene de una veintena de naciones, según archivos que publicó en diciembre de 2011 la organización Wikileaks. En esa lista se mencionan 78 productos distintos, que incluyen interceptores de señales, programas troyanos, transmisores, grabadoras y aplicaciones de rastreo.
«Cualquier tecnología con tan enorme potencial de violación de derechos fundamentales debería ser objeto de la mayor protección jurídica, sobre todo si está en manos de corporaciones privadas cuyo funcionamiento está dictado por objetivos puramente empresariales», advirtieron en diciembre de 2012 dos funcionarios del Ministerio del Interior de España, Miguel Ángel Castellano y Pedro David Santamaría, en el artículo «El control del ciberespacio por parte de gobiernos y empresas». La experta en derecho Lorena Pichardo, sostiene que la legislación nacional suele tener primacía en casos que invocan principios supranacionales. «Si ya tenemos espionaje, la gravedad de pedir datos a otros Estados» es redundante, señala.
Gutiérrez cree que los marcos internacionales existentes no protegen a la ciudadanía y hace falta una tipificación específica. Sus estudios se enfocan en cómo pasar de las tecnologías de información y comunicación a las de aprendizaje y comunicación. «Cuando un ciudadano actúa en una red social como Facebook, simplemente por el hecho de aceptar los términos del contrato dice que puede compartir información con bancos o instituciones gubernamentales», indica. «Nos roban información y no nos damos cuenta».