Por: Carlos A. FERREYROS SOTO
Doctor
en Derecho Informático e Informática Jurídica
IRETIJ
- Université de Montpellier I Francia.
cferreyros@hotmail.com
PROLOGO
El presente es un articulo originalmente publicado en inglés, el 28 de setiembre de 2020, en el EUROPEAN LAW BLOG NEWS AND COMMENTS ON EU LAW, traducido al castellano por el arriba suscrito, cuya autoría pertenece a FRANCK DUMORTIER, VAGELIS PAPAKONSTANTINOU y PAUL DE HERT. El enlace a este recurso se encuentra en: https://europeanlawblog.eu/2020/09/28/eu-sanctions-against-cyber-attacks-imposed-and-defense-rights-wanna-cry/
_____________________________________________________________
El 30 de julio de 2020, en el marco de la Política Exterior y de Seguridad Común (PESC), el Consejo de la Unión Europea ha impuesto por primera vez "Medidas restrictivas específicas" contra seis individuos chinos y rusos, así como tres entidades legales - dos ubicadas en los países antes mencionados y una en Corea del Norte, por su participación en importantes ciberataques o intentos de ciberataques contra la UE o sus Estados miembros. Estos incluyen ciberataques conocidos como 'WannaCry', 'NotPetya' y 'Operación Cloud Hopper' y el intento de ciberataque contra la OPAQ (Organización para la Prohibición de Armas Químicas).
Esta reacción materializa por primera vez el régimen de
sanciones cibernéticas que
se adoptó en 2019 con el fin de poner en funcionamiento" la Caja de herramientas de la diplomacia cibernética ”
para contrarrestar las amenazas a la paz y la seguridad internacionales en el
ciberespacio. Además de las herramientas diplomáticas comunes, como medidas
preventivas, cooperativas y de estabilidad, este marco permite al Consejo
imponer sanciones dirigidas a agentes estatales o no estatales con el objeto de
responder y disuadir ciberataques importantes, "incluso en caso de
actividades cibernéticas que no alcanzan el nivel de hechos internacionalmente
ilícitos pero que se consideran actos inamistosos”.
Según el Consejo, estas medidas restrictivas específicas deben diferenciarse de
la atribución de responsabilidad por los ciberataques a un tercer Estado, que
es una decisión política soberana que cada Estado miembro puede tomar en
función de cada caso. El objetivo de las medidas restrictivas impuestas por la
UE es provocar un cambio en la política o
actividad del país objetivo, parte del país, gobierno, entidades o individuos. Sin
embargo, como destaca Yuliya Miadzvetskaya,
"La práctica muestra que una vasta mayoría de ciberataques con
consecuencias de alto impacto, como StuxNet,
WannaCry y NotPetya, fueron orquestados a pedido y con el apoyo de los
gobiernos y no solo por algunos hacktivistas
aleatorios”. Por tanto, en la práctica, la delimitación entre la atribución de
responsabilidad a un Estado y las medidas selectivas impuestas a las personas
potencialmente patrocinadas por ese Estado son bastante superficiales. Por
supuesto, las disposiciones de la Directiva sobre Ataques contra Sistemas de Información ,
incluidas sus sanciones, serían aplicables en el caso de agentes delictivos sin
vínculos significativos con un Estado patrocinador.
Concretamente, la Decisión del
Consejo enumera a las personas físicas y jurídicas" consideradas
responsables por, proveer apoyo o fueron involucradas en, o facilitaron
ciberataques o intentos de ciberataques”. En consecuencia, en principio, debe
impedirse que las personas y entidades incluidas en la lista entren en el
territorio de la UE, todos sus fondos y recursos económicos se congelen y se
prohíba poner fondos a su disposición.
¿Derechos de
defensa?
Debido a sus sustanciales
impactos negativos, la lista de personas y entidades objetivo deben respetar
los derechos fundamentales, en particular el derecho a un recurso efectivo y a
un juicio justo, pero también el derecho a la protección de los datos
personales de las personas físicas debería, por ejemplo, atribuírsele erróneamente
una actividad cibernética maliciosa.
Como sostuvo el
Tribunal de Justicia de la Unión Europea en el caso Kadi I, "la
judicatura Comunitaria […] debe garantizar la revisión completa de la legalidad
de todos los actos de la Unión a la luz de los derechos fundamentales que
forman parte integrante del ordenamiento jurídico de la Unión Europea” (Párrafo
326. En Kadi II,
la Corte detalló además que el derecho de defensa" incluye el derecho a
ser oído y el derecho a tener acceso al expediente, sujeto a intereses
legítimos en mantener la confidencialidad” (párr. 99). En cuanto al derecho a
un juicio imparcial, se "exige que el interesado pueda conocer las razones
en las que se basa la decisión que se toma en relación con él, ya sea mediante
la lectura de la propia decisión o solicitando y obteniendo la divulgación de
esas razones, sin perjuicio de la facultad del órgano jurisdiccional competente
de exigir a la autoridad concernida que revele dicha información, de manera que
le permita defender sus derechos en las mejores condiciones posibles y decidir,
con pleno conocimiento de los hechos relevantes, si tiene algún sentido recurrir
al tribunal competente, y para que éste ultimo esté plenamente en condiciones
de revisar la legalidad de la decisión en cuestión. (párr. 100) Por lo tanto, la
decisión de someter a una persona o entidad a medidas restrictivas específicas
requiere criterios claros, adaptados a cada caso específico, para determinar
qué personas y entidades pueden incluirse en la lista, que también deben
aplicarse con el fin de eliminarlos de la lista. Además, el Consejo está sujeto
a la obligación de motivación establecida en el artículo 296 TFUE que implica
que la motivación identifica" no solo el fundamento jurídico de dicha
medida, sino también las razones individuales, específicas y concretas por las
que las autoridades competentes consideran que el interesado debe estar sujeto
a medidas restrictivas” (Il-Su Kim & KNIC, párr. 70).
Este requisito de
fundamentar suficientemente con pruebas las razones invocadas para incluir a
personas y entidades en una lista a las que se imponen medidas restrictivas no
es fácil de combinar con la dificultad de atribuir con cierto grado de certeza
ciberataques complejos y cuasi anónimos. Por tanto, el Consejo considera que "la
atribución podría establecerse, a partir de un análisis de datos técnicos e
inteligencia de todas las fuentes, incluso sobre los posibles intereses del
agresor”. Sin embargo, revelar tales pruebas podría implicar potencialmente la
divulgación de información sensible que afecte a la seguridad de la UE o de sus
Estados miembros. Por lo tanto, "el derecho a la divulgación de evidencia
como parte de los derechos de la defensa no es un derecho absoluto”, sino que
impone "sopesar el interés público en la no divulgación contra aquella del
acusado teniendo a la vista el material” (Jasper c.
Reino Unido ,
párr. 52). En los casos en que la defensa no haya recibido pruebas por motivos
de interés público, corresponde a los tribunales nacionales decidir si tal no
divulgación era estrictamente necesaria o no. En resumen, para el interesado,
acceder al claro razonamiento de las medidas restrictivas sobre la base del
derecho a un juicio justo puede implicar prácticamente un proceso judicial
largo y pesado.
¿Mejores
alternativas en la caja de herramientas?
Por estas razones,
una alternativa interesante sería invocar el derecho de acceso a los datos
personales necesarios para la correcta identificación del interesado, a la
exposición de motivos y a cualquier otro dato relacionado con los mismos. Como
recordatorio, el artículo 17, apartado 3 del Reglamento (UE) 2018/1725 establece
que el derecho de acceso implica el derecho a obtener una copia de los datos
personales en proceso. Ciertamente, ese derecho no puede afectar negativamente
los derechos y libertades de los demás; no obstante, "el resultado de
tales consideraciones no debería ser una negativa a proporcionar toda la
información al interesado”.
Por supuesto, en
los campos de la cooperación judicial en materia penal y de la cooperación
policial, el artículo 81, párrafo 1 del Reglamento establece que "el
responsable del tratamiento puede restringir, total o parcialmente, el derecho
de acceso del interesado en la medida y durante el tiempo en que dicha
restricción parcial o completa constituya una medida necesaria y proporcionada
en una sociedad democrática con el debido respeto por los derechos
fundamentales y los intereses legítimos de la persona física interesada, a fin
de, [entre otras cosas] proteger la seguridad nacional de los Estados Miembros”.
En tales casos, el responsable del tratamiento debe informar al interesado, sin
demoras indebidas, por escrito de cualquier denegación o restricción de acceso
y de las razones de la denegación o restricción. No obstante, dicha información
puede ser omitida cuando su provisión socave, por ejemplo, la seguridad
nacional. Además, el responsable del tratamiento debe informar al interesado de
la posibilidad de presentar una reclamación ante el Supervisor Europeo de
Protección de Datos (SEPD) o de buscar un recurso judicial ante el Tribunal de
Justicia. Por último, el responsable del tratamiento debe también documentar la
razones de hecho o de derecho sobre las cuales basa la decisión y poner esa
información a disposición del SEPD cuando la solicite.
Sin embargo, en el
contexto de la PESC, el responsable del tratamiento no podrá invocar las
limitaciones mencionadas. En ese ámbito, el derecho de acceso es "directo”,
en el sentido de que el interesado puede obtener acceso directamente del
responsable del tratamiento y no a través del SEPD. En consecuencia, la
reciente Decisión del Consejo va acompañada de un aviso de protección de datos para
la atención de los interesados a los que se aplican las medidas restrictivas.
Según dicho aviso, el responsable de la operación de tratamiento de datos
personales es la Secretaría General del Consejo que ha designado un Delegado de
Protección de Datos (RPD) al que pueden contactar los interesados para el
ejercicio de sus derechos como el derecho de acceso, así como los derechos de
rectificación u oposición.
Además, en el
ámbito de la PESC, el derecho a recibir una copia de los datos personales
objeto del tratamiento solo puede estar restringido por un acto legal, de
conformidad con el artículo 25 del Reglamento (UE) 2018/1725. Hasta donde
sabemos, tal acto legal no ha sido aún adoptado. Según el régimen de la precedente Reglamento, el artículo 24 de
las medidas de ejecución contenidas en la Decisión 2004/644/CE del Consejo previó
que por razones legítimas, como la seguridad nacional, el responsable del
tratamiento podría restringir el alcance de la información a la que el
interesado podría tener acceso. En tal eventualidad, "salvo en caso de
absoluta necesidad, el responsable del tratamiento deberá consultar previamente
al DPO, cuya opinión no obligará a la Institución. El responsable del
tratamiento responderá sin demora a las solicitudes relativas a la aplicación
de excepciones o restricciones al ejercicio de los derechos y fundamentará esta
decisión”. Aunque la Decisión 2004/644/CE todavía parece estar en vigor en
Eur-lex, nos parece dudoso que tal excepción al derecho de un interesado pueda
considerarse conforme con el Artículo 25, §2 del "nuevo” Reglamento según el
cual el acto legal restrictivo debe contener disposiciones específicas en
cuanto a, entre otras cosas, los fines del tratamiento o las categorías de
tratamiento, el alcance de las restricciones introducidas, las salvaguardias
para prevenir el abuso o el acceso o transferencia ilícitos y los riesgos para
los derechos y libertades de los interesados,
En
el contexto de medidas restrictivas, desde la perspectiva de los interesados,
la posibilidad de tener acceso directo a la información sin restricciones
tratada por el Consejo, incluidos los datos necesarios para la correcta
identificación de la persona afectada por esas medidas, así como la motivación
que explique el razonamiento de su inclusión en la lista - obviamente es un
medio adicional interesante para asegurar sus derechos de defensa. Si no están
de acuerdo con la reacción del RPD, huelga decir que, sin perjuicio de
cualquier recurso judicial, administrativo o extrajudicial, los interesados
pueden presentar una denuncia ante el SEPD.
No hay comentarios:
Publicar un comentario