← Atrás · ← Inicio · ← Volver al listado

[ADRN Issue Briefing] Peligros de la Convención de la ONU sobre Ciberdelincuencia para la Libertad de Expresión y la Privacidad: Un Cartel Global de Gobiernos para Mayor Poder y Datos

Categoría
Comentario e Informe Temático
Publicado
3 de abril de 2025
Proyectos relacionados
Cooperación para la DemocraciaRed de Investigación sobre Democracia en Asia

Nota del editor

Kyung Sin Park, profesor de la Universidad de Corea y director de Open Net, examina las amenazas potenciales que la Convención de las Naciones Unidas (ONU) sobre Ciberdelincuencia plantea a la libertad de expresión y al derecho a la privacidad. Park destaca las preocupaciones de que el borrador de la Convención incluya disposiciones que podrían criminalizar inadvertidamente la expresión legítima, ordenar una vigilancia ampliada sin salvaguardias adecuadas y permitir el intercambio de datos entre estados eludiendo las protecciones de privacidad. Además, las definiciones vagas de delitos podrían ser explotadas por regímenes autoritarios para reprimir la disidencia. Park pide enmiendas sustanciales al tratado para garantizar su cumplimiento con los estándares internacionales de derechos humanos, enfatizando la necesidad de salvaguardias sólidas de privacidad y protecciones para las actividades en línea lícitas.

unnamed(7).jpg
unnamed(7).jpg

La Convención de las Naciones Unidas (ONU) sobre Ciberdelincuencia, si entra en vigor, será un tratado multilateral por el cual los Estados Parte se obliguen a (1) criminalizar no solo ciertas conductas similares a ciberataques sino también ciertas conductas habilitadas por medios informáticos bajo sus respectivas leyes internas (es decir, regularlas como "ciberdelitos"); (2) recopilar, registrar, incautar y obligar a otros a conservar datos electrónicos en la investigación de cualquier delito bajo diversos métodos que los Estados Parte no estaban previamente obligados a implementar bajo ninguna ley internacional; y (3) compartir los datos así adquiridos entre sí para facilitar las investigaciones de los ciberdelitos o "delitos graves". Como una de las pocas normas que obligan a los gobiernos de todo el mundo a fortalecer sus restricciones sobre la conducta de los individuos y su capacidad para espiar a sus súbditos, abundan las preocupaciones sobre los derechos humanos. Este nuevo tratado internacional presenta peligros para la libertad de expresión y la privacidad. Algunas de las conductas que se exigen criminalizar pueden incluir la expresión legítima; la vigilancia estatal se convierte ahora en una obligación internacional sin una obligación clara de salvaguardar la privacidad; y el intercambio de datos entre estados no solo duplicará o triplicará la magnitud de las infracciones a la privacidad, sino que también eludirá las salvaguardias de privacidad existentes, como el requisito de orden judicial de calidad constitucional adecuada. En consecuencia, este nuevo tratado requiere enmiendas serias si ha de ser ratificado en el futuro.

Riesgo para la Libertad de Expresión: ¿"Lo que se criminaliza fuera de línea también debe criminalizarse en línea"?[1]

En primer lugar, cualquier mandato de criminalizar ciertas conductas informáticas afectará inevitablemente la libertad de expresión. Esto se debe a que la "conducta informática", por definición, implica la transmisión y recepción de mensajes, que constituyen expresión. Los tratados sobre ciberdelincuencia son el producto de la constatación de que, dado que la vida de las personas depende profundamente de Internet, algunos tipos de expresión o actividades informáticas pueden ser unilateralmente perjudiciales y, por lo tanto, requieren cooperación internacional para prevenirlas mediante el proceso legal. Por lo tanto, el borrador de la Convención, al igual que su predecesor, la Convención de Budapest, obliga a los Estados Parte a restringir ciertas formas de expresión o conducta informática al obligarlos a criminalizarlas. Entonces, al hacerlo, es importante no cruzar las líneas entre las expresiones unilateralmente perjudiciales como los ciberataques y la expresión ordinaria protegida por los derechos humanos.

La lista actual de estos delitos obligatorios parece inocua en la superficie. Los primeros siete delitos son actividades de ciberataque extraídas de la Convención de Budapest. Estos incluyen el acceso no autorizado, la interceptación no autorizada, la interferencia de datos, la interferencia de sistemas, el uso indebido de dispositivos, la falsificación relacionada con computadoras y el fraude relacionado con computadoras. Otros son delitos "habilitados por medios informáticos": los delitos relacionados con la pornografía infantil también se extraen de la Convención de Budapest y los tres nuevos de incitación o captación de menores, difusión de imágenes íntimas no consentidas y blanqueo de capitales no parecen controvertidos.

Sin embargo, la definición de "fraude" en el Artículo 13 se ha ampliado de manera que permite su abuso para crear y hacer cumplir los delitos de "noticias falsas". Estos se han utilizado como pretexto para que los gobiernos autoritarios repriman a periodistas disidentes y defensores de los derechos humanos. Requiere la criminalización de “la pérdida de propiedad para otra persona mediante… cualquier engaño sobre circunstancias fácticas realizado utilizando [un sistema informático] [un dispositivo de tecnología de la información y las comunicaciones] que haga que una persona haga u omita hacer algo que de otro modo no haría u omitiría”. Las nociones de "engaño" y "omisión de hacer algo" son extremadamente vagas y podrían usarse para criminalizar y procesar actividades legítimas. El requisito de una pérdida de propiedad para otra persona puede satisfacerse si alguien sufre un daño financiero. Por ejemplo, un defensor de los derechos humanos que inicie un boicot de consumidores en línea a una empresa que apoya una dictadura militar podría ser fácilmente procesado bajo este delito si las fuerzas del orden pueden identificar imprecisiones fácticas menores en la literatura del boicot.

Además, el concepto de "interferencia con un sistema de tecnología de la información y las comunicaciones" en el Artículo 10 del borrador de la Convención, heredado de la Convención de Budapest, tiene el potencial de impedir la utilización de la tecnología por parte de los defensores de los derechos humanos. Por ejemplo, en Corea del Sur, un activista político fue arrestado e imputado por comentar y dar "me gusta" en masa en una aparente campaña para apoyar ciertas opiniones políticas exagerando el apoyo popular a ellas (Park 2019). Lo que lo diferenciaba de otros activistas políticos era que utilizaba las identidades informáticas de otras personas, aunque no sin consentimiento, y automatizaba la generación de comentarios y "me gusta" a través de software. Fue acusado del delito de décadas de antigüedad bajo la ley nacional de "interferencia con negocios mediante el uso ilegítimo de redes de información y comunicación", que ha sido la disposición principal utilizada para castigar la piratería informática. Sin embargo, el derecho a la comunicación anónima, como lo afirma la decisión del Tribunal Constitucional de Corea de 2012 sobre la Ley de Nombres Reales de Internet y el caso de la Corte Suprema de EE. UU. de 1995 Terry v. Ohio, permite a las personas asumir identidades ficticias o seudónimas. Para estar seguros, los verdaderos dueños de las identidades no se han quejado de ningún daño o falta de consentimiento. El hecho de que utilizara la automatización no debería ser la base de la ilegitimidad. Automatizar el ejercicio de la libertad de expresión no debería considerarse un delito, aunque pueda considerarse descortés y ruidoso, similar al uso de amplificadores en un aula. Si tales acciones se consideran delictivas, entonces la creación de un sitio web también se consideraría un delito. Dicha comentarios automatizados es diferente de la piratería informática, que sí socava el funcionamiento normal de la red.

Extrapolando del ejemplo anterior, podemos ver cómo la definición de piratería informática de la Convención puede ampliarse para reprimir actividades políticas legítimas que dependen de la tecnología digital. El mandato de criminalizarla en el borrador de la Convención, al igual que la Convención de Budapest, debería ir acompañado de algunas salvaguardias para evitar que se convierta en una herramienta para suprimir la democracia.

Además, dado que el propósito original de los tratados sobre ciberdelincuencia era proteger la integridad del sistema de información y comunicación, es paradójico que ni la Convención de Budapest ni el nuevo borrador de la Convención exijan excepciones para los investigadores de seguridad legítimos (es decir, hackers de sombrero blanco). El borrador de la Convención solo hace comentarios de pasada sobre las contribuciones de estos investigadores en la sección que discute las "Medidas Preventivas" contra futuros ciberdelitos, reconociendo su papel significativo en la mejora de la integridad del sistema.

Lo que es aún más problemático es que el Artículo 4 del borrador de la Convención exige a los Estados Parte que extiendan sus leyes penales existentes, establecidas en virtud de tratados internacionales, a sus contrapartes en línea. Parece sugerir un principio de equivalencia, según el cual "lo que se criminaliza fuera de línea también debe criminalizarse en línea". Por ejemplo, una ley que criminaliza las amenazas de violencia física puede aplicarse a un activista disidente que utiliza un lenguaje agresivo contra los gobernantes de su país a través de una publicación en línea (Freedom Online Coalition Advisory Network 2024). El borrador de la Convención intenta abordar esta preocupación con el Artículo 6, que exige "consistencia" con el derecho internacional de los derechos humanos y prohíbe cualquier interpretación "que permita la supresión de derechos humanos o libertades fundamentales, incluidas… las libertades de expresión, conciencia, opinión, religión o creencia, reunión pacífica y asociación". Queda por ver si esta vaga referencia es suficiente. Aunque la mayoría de los gobiernos europeos parecen satisfechos (Ministerio de Asuntos Exteriores de los Países Bajos 2024), no es sorprendente que los titulares de cargos acepten darse más poder sobre (¡y más datos sobre! - véanse las siguientes secciones) sus súbditos de lo que las personas a las que se restringe y se vigila querrían permitir.

La Vigilancia Ahora Convertida en Obligación Legal Internacional: Los Peligros de un Tratado de Vigilancia en Ausencia de un Tratado de Privacidad

En segundo lugar, los Estados Parte, que antes no estaban obligados a realizar vigilancia, ahora estarán obligados a realizarla como un deber en virtud de esta nueva ley internacional. Las seis medidas de vigilancia obligatorias son las siguientes: conservación expedita de datos electrónicos almacenados, conservación expedita y divulgación parcial de datos de tráfico (como parte de los datos electrónicos almacenados conservados), orden de producción, registro e incautación de datos electrónicos almacenados, recopilación en tiempo real de datos de tráfico e interceptación de datos de contenido (hasta ahora, lo mismo que la Convención de Budapest).[2] Por ejemplo, ningún estado estaba previamente obligado a promulgar legislación que autorizara la interceptación de datos de contenido, un requisito ahora consagrado en la Convención. Tal deber surge no solo con delitos de ciberataque o delitos "habilitados por medios informáticos", sino en todos los delitos. Lo desconcertante es que actualmente no existe un tratado internacional que proteja la privacidad, aparte del Pacto Internacional de Derechos Civiles y Políticos (PIDCP), y su Artículo 17 sobre la privacidad es muy breve y no se ha aplicado plenamente para frenar el apetito de los gobiernos mundiales por la vigilancia sobre sus propios ciudadanos o los ciudadanos de otros, de hecho. En contraste, el Artículo 19 del PIDCP sobre la libertad de expresión, sobre el cual el Comité de Derechos Humanos de la ONU, el organismo encargado de supervisar el cumplimiento de los Estados Parte del PIDCP, ha emitido una observación general (Observación General 34) en 2011, relativamente reciente, tras haber asimilado las lecciones de la era digital desde la llegada de Internet a principios de la década de 1990. La Asamblea General de la ONU también ha nombrado y se ha beneficiado de los servicios del Relator Especial sobre la Libertad de Opinión y Expresión, quien ha actualizado y concretado las normas de libre expresión durante décadas a través de sus informes temáticos y de visita a estados. Las normas específicas sobre difamación, cierres de Internet, neutralidad de la red, radiodifusión, exención de responsabilidad de intermediarios, se promulgaron para la aplicación específica en diversas disputas sobre libertad de expresión en todo el mundo.

Sin embargo, ha habido comparativamente poca acción sobre el tema de la privacidad. Las leyes de protección de datos se han vuelto populares y se han extendido a un número cada vez mayor de países, algunos de los cuales han creado posiblemente el único tratado internacional sobre privacidad, a saber, el Convenio 108/108+. Sin embargo, las normas nacionales e internacionales de protección de datos suelen incluir exenciones significativas para las funciones de las agencias gubernamentales, como la vigilancia y el procesamiento de datos autorizado por ley, lo que las hace ineficaces para regular la recopilación de datos por parte de los gobiernos con fines de investigación penal. Los proponentes del borrador de la Convención parecen no ser conscientes de las implicaciones de un tratado que fomenta, si no exige, que los gobiernos mundiales restrinjan la privacidad de las personas en ausencia de un tratado de compensación que la proteja y promueva.

Toda esta erosión generalizada de la privacidad puede ser justificable si el tratado sobre ciberdelincuencia se limita a delitos graves de importancia universal. Lamentablemente, sin embargo, tanto en la Convención de Budapest como en el nuevo borrador de la Convención, el mandato para las medidas de vigilancia se aplica a todos los delitos. La limitación de "delitos graves" se aplica solo al intercambio internacional de datos, que se discutirá más adelante. Aunque estas medidas de vigilancia obligatorias deben ser moderadas por las leyes internas existentes (como la ley constitucional que protege los derechos de los vigilados) según el Artículo 24, párrafo 1, no hay garantía de que estas leyes internas operen en la dirección de promover la privacidad. Si bien la Convención de Budapest hace referencia explícita al PIDCP y otros tratados de derechos humanos con los que estas leyes internas deben alinearse, el borrador de la Convención solo menciona el "derecho internacional de los derechos humanos".

Afortunadamente, el Artículo 24, párrafo 2, sí incluye (como lo hace la disposición comparable de la Convención de Budapest) "revisión judicial o de otro tipo independiente, el derecho a un recurso efectivo, motivos que justifiquen la aplicación, y la limitación del alcance y la duración de dicha facultad o procedimiento", lo que corresponde a las órdenes judiciales en muchas democracias. Uno podría haber esperado que muchos países donde la vigilancia se ha llevado a cabo sin aprobación judicial ahora estén obligados a implementar requisitos de aprobación judicial para la vigilancia futura. Sin embargo, el Artículo 24, párrafo 2, extingue esa esperanza al introducir una limitación: "[d]e conformidad y de conformidad con la legislación interna de cada Estado Parte".[3] Por supuesto, se supone que la ley interna "proporcionará la protección de los derechos humanos de conformidad con sus obligaciones en virtud del derecho internacional de los derechos humanos" en virtud del párrafo 1, pero como discutimos anteriormente, carece de especificidad. En ausencia de un tratado específico que exija la aprobación judicial para la vigilancia, las disposiciones del Artículo 24, párrafo 2, se vuelven ineficaces.

Que estas medidas de vigilancia, aunque ya administradas voluntariamente por muchos gobiernos, se conviertan en una obligación en virtud del derecho internacional es preocupante cuando el riesgo de riesgo moral entre los gobiernos en ejercicio, rápidos en acordar darse más datos, no ha sido cubierto por un tratado de compensación que proteja la privacidad.

Vigilancia Duplicada y Sin Revisión: Deberíamos Tener Derecho a que los Jueces Revisen las Órdenes Judiciales para Investigarnos, Obligados a Respetar Nuestra Privacidad

En tercer lugar, el intercambio de los frutos de la vigilancia entre los Estados Parte naturalmente menoscaba la privacidad de la persona vigilada. Si una agencia de aplicación de la ley realiza un registro e incautación de un individuo y comparte la información resultante con otra agencia de aplicación de la ley, es equivalente a que dos agencias distintas realicen sus respectivas actividades de vigilancia sobre ese individuo. Tal duplicación de la restricción a la privacidad puede ocurrir de la misma manera cuando las nacionalidades de las dos agencias de aplicación de la ley son diferentes, como en un escenario típico contemplado por el borrador de la Convención.

El derecho internacional de los derechos humanos y el derecho procesal penal constitucional se centran en el punto en que los datos privados cruzan el límite entre el dominio privado de una persona y la aplicación de la ley, pero no tanto en lo que sucede con los datos después. La ley de protección de datos tiene el potencial de regular el uso o la transferencia de datos obtenidos como resultado de actividades de vigilancia. Sin embargo, esto puede ser eludido por cualquier estatuto que autorice dicho intercambio, ya que la mayoría de las normas de protección de datos hacen excepciones a los mandatos legales o al uso para funciones de agencias públicas. Ahora el borrador de la Convención exige el intercambio de datos adquiridos entre los Estados Parte.

Dicho intercambio de datos no solo erosiona cuantitativamente el interés de privacidad del vigilado, ya que más de un Estado Parte ahora tendrá acceso a los datos, sino que sufre un importante defecto de calidad constitucional: la adquisición de los datos por el Estado Parte receptor no es revisada por nadie en cuanto al equilibrio entre la necesidad de dicha vigilancia y la privacidad del individuo sujeto a ella. Esto implica que el Estado Parte receptor puede estar obteniendo la información por razones que no justifican la restricción de privacidad que ha sufrido el individuo vigilado. Un escenario más diabólico es cuando un periodista disidente que vive en el Estado A es registrado e incautado en su servidor de correo ubicado en el Estado B, por la ley de este último, por ejemplo, por infracción de derechos de autor, y el Estado B comparte los resultados del registro e incautación con el Estado A, que luego puede utilizar la información para investigar su delito político en casa. En este escenario, no hubo un magistrado neutral que sopesara y justificara la violación de la privacidad frente a la necesidad y proporcionalidad de la investigación penal por parte del Estado A. El juez del Estado B, sin ningún deber constitucional de respetar la privacidad del periodista que vive en el Estado A, solo habrá sopesado la privacidad del operador del servidor de correo frente a la necesidad del Estado B de investigar la infracción de derechos de autor. El resultado final es que la privacidad del periodista se habrá visto restringida sin las salvaguardias adecuadas. Las llamadas del Artículo 24 a una "revisión judicial independiente" como salvaguardia de los derechos humanos se convierten en un grito vacío.

La Convención de Budapest diluye tal riesgo al permitir que los Estados Parte rechacen la transferencia de datos si los Estados Parte solicitantes la requieren para la investigación de un "delito político". No existe tal limitación en el borrador de la Convención. La única limitación es que sea uno de los ciberdelitos definidos en el borrador de la Convención o "delitos graves (delitos que conllevan más de 4 años de prisión)". Esto significa que, si un Estado Parte que castiga la homosexualidad o la disidencia política con penas de prisión de 4 años realiza una solicitud de datos, el Estado receptor tiene el deber de cooperar en virtud del borrador de la Convención. La doble incriminación (es decir, el requisito de que el delito por el cual se realiza la solicitud de datos también sea un delito en el estado receptor), si fuera una condición obligatoria para dicha transferencia de datos, habría diluido el daño a la privacidad antes mencionado, pero se hizo opcional. Los proponentes del borrador de la Convención argumentan que los Estados Parte son libres de rechazar la solicitud de datos por motivos de doble incriminación o por otras razones. Sin embargo, tal respuesta puede ser válida desde una perspectiva de soberanía nacional, pero ignora el hecho de que el intercambio de los datos en sí mismo erosiona y daña la privacidad de la persona vigilada, como se demostró anteriormente, ya que tal negativa está a discreción del Estado Parte receptor. ¡Recuerde que la persona sobre la que se realiza el intercambio de datos nunca ha sido incluida en lo que podría resultar ser una cartelización entre gobiernos en ejercicio que buscan más datos! ■

Referencias

Freedom Online Coalition Advisory Network. 2024. “Proactive Advice: UN Convention Against Cybercrime.” 16 de septiembre. https://freedomonlinecoalition.com/foc-advisory-network-proactive-advice-un-convention-against-cybercrime/?hilite=UN+Convention+Against+Cybercrime(Consultado el 16 de diciembre de 2024)

Park, Kyung-sin. 2019. “Politics and Internet is an Inevitably Explosive Mix: the case of online opinion rigging.” Open Net. 13 de abril. http://old.opennetkorea.org/en/wp/2540(Consultado el 16 de diciembre de 2024)

Ministerio de Asuntos Exteriores de los Países Bajos. 2024. “Freedom Online Coalition Chair’s Response to the FOC-AN’s Proactive Advice on the UN Cybercrime Treaty.”


[1] Esta famosa frase es un juego de palabras con las resoluciones repetidas del Consejo de Derechos Humanos de las Naciones Unidas desde 2012. La original dice: "Lo que está protegido fuera de línea también debe estar protegido en línea".

[2] Existen otras medidas obligatorias recién añadidas a la Convención, como la confiscación de los productos del delito, la protección de testigos y la asistencia a las víctimas, que no discutiré aquí.

[3] Artículo 24. Condiciones y salvaguardias

1. Cada Estado Parte garantizará que el establecimiento, la aplicación y el uso de las facultades y procedimientos previstos en el presente capítulo estén sujetos a las condiciones y salvaguardias previstas en su legislación interna, la cual garantizará la protección de los derechos humanos, de conformidad con sus obligaciones en virtud del derecho internacional de los derechos humanos, e incorporará el principio de proporcionalidad.

2. De conformidad y en aplicación de la legislación interna de cada Estado Parte, dichas condiciones y salvaguardias incluirán, según corresponda en vista de la naturaleza del procedimiento o la facultad de que se trate, entre otras cosas, la revisión judicial o de otro tipo independiente, el derecho a un recurso efectivo, los motivos que justifiquen la aplicación y la limitación del alcance y la duración de dicha facultad o procedimiento. (énfasis añadido)


Kyung Sin Park es Profesor de la Facultad de Derecho de la Universidad de Corea y Director de Open Net.


■ Editado por Hansu Park, Investigador Asociado

    Para consultas: 02 2277 1683 (ext. 204) | hspark@eai.or.kr

Archivos adjuntos

  • Park_Perils_of_the_UN_Cybercrime_Convention_241220_ADRNIssueBriefing.pdf

*Este texto es una traducción mediante IA de un original escrito en inglés. Pueden existir errores de traducción o matices imprecisos.

← Atrás · ← Inicio · ← Volver al listado