viernes, 17 de febrero de 2023

PEGASUS Y SPYWARES EQUIVALENTES - ESTUDIO (BORRADOR) ENCARGADO POR EL PARLAMENTO EUROPEO.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com

Resumen

Este estudio sobre: "El uso de Pegasus y los spywares de vigilancia equivalentes", fue encargado por el Departamento Temático de Derechos de los Ciudadanos y Asuntos Constitucionales del Parlamento Europeo a petición de la Comisión de Investigación que investiga el uso de Pegasus y los spywares de vigilancia equivalentes (PEGA). El referido estudio proporciona una descripción del marco legal (incluida la supervisión y mecanismos de reparación) que rigen el uso de Pegasus y programas espías equivalentes en una selección de Estados miembros.

El texto íntegro en inglés del estudio fue publicado en diciembre de 2022. El Resumen Ejecutivo del presente estudio fue traducido del inglés por es suscrito con la ayuda del aplicativo Google Traduction https://www.europarl.europa.eu/RegData/etudes/STUD/2022/740151/IPOL_STU(2022)740151_EN.pdf 

El interés de conocer este estudio radica en que algunos Estados miembros de la Unión Europea utilizaron a gran escala Pegasus y otros softwares espías equivalentes para atacar derechos fundamentales de las personas, incluidos activistas, figuras de la oposición, periodistas, diplomáticos y miembros del Poder Judicial.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados ayudados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico : cferreyros@hotmail.com

 _______________________________________________________

RESUMEN EJECUTIVO

En 2017, el Parlamento Europeo encargó un estudio sobre “Marcos Legales para la Piratería por parte de las fuerzas del orden: Identificación, Evaluación y Comparación de Prácticas”[1]

. El estudio examinó los marcos legales y las prácticas para la piratería por parte de las fuerzas del orden mediante el análisis de los debates a nivel internacional y de la UE sobre el tema. El informe se produjo a raíz de casos de alto perfil en los que las autoridades encargadas de hacer cumplir la ley no pudieron acceder al material necesario para investigaciones específicas. Investigó los riesgos que el uso de técnicas de piratería tenía en la seguridad de Internet, así como en la privacidad y los derechos fundamentales. Se centró en las herramientas desarrolladas por las autoridades encargadas de hacer cumplir la ley y sólo examinó tangencialmente los productos de piratería comercial y spyware. 

Derechos fundamentales como el derecho a la privacidad, a la protección de datos, a la libertad de expresión son piedras angulares del ordenamiento jurídico europeo. Los límites a estos derechos existen y se consideran necesarios. Las restricciones a estos derechos son posibles de acuerdo con la Carta de los Derechos Fundamentales de la UE siempre que sean proporcionados y necesarios. Los Códigos de Procedimiento Penal de todos los Estados miembros evaluados como parte de este estudio prevén el uso de técnicas especiales de investigación que pueden incluir, explícitamente o no, la piratería informática y el uso de softwares espías. Estas limitaciones cuando se investigan ciertos delitos permiten que la policía utilice estas técnicas siguiendo el debido proceso y autorización judicial por períodos de tiempo específicos. Los servicios de inteligencia también utilizan técnicas similares, incluido el softwares espías. El marco dentro del cual operan estos es más opaco, en parte debido a la naturaleza secreta de sus operaciones. Por lo tanto, la existencia de mecanismos sólidos de supervisión ex ante y ex post es crucial para garantizar que los servicios de inteligencia operen de acuerdo con estándares aceptables para las sociedades democráticas, según lo establecido por la Comisión de Venecia. 

En julio de 2021, CitizenLab, Amnistía Internacional, Forbidden Stories y 17 organizaciones de medios[2] dieron a conocer la noticia de que los gobiernos (incluidos los europeos) utilizaron a gran escala Pegasus y otros softwares espías equivalentes para atacar a personas, incluidos activistas, figuras de la oposición, periodistas, diplomáticos y miembros del Poder Judicial. Esto dio lugar a preguntas en diferentes Estados miembros y más allá sobre quién era responsable del uso de Pegasus y spywares equivalentes. Hasta la fecha, NSO, la empresa que creó Pegasus, ha admitido haber vendido el software a 14 Estados miembros de la UE. Otros equivalentes spywares utilizados por los gobiernos de la UE también han sido identificados por empresas, organizaciones de la sociedad civil y periodistas de investigación, incluidos Predator y Candiru. 

En todos los países cubiertos por este estudio, existe un marco legal para el uso, importación, venta, etc. de armas cibernéticas, incluido el software espía como Pegasus o equivalente. Sin embargo, en todos los casos, este marco, que se aplica a la población en general, incluye excepciones específicas para las fuerzas del orden y las agencias de inteligencia. Su uso suele englobarse bajo el paraguas de “técnicas especiales de investigación”, y está regulado por códigos de procedimiento penal, leyes de seguridad interior o medidas equivalentes. 

En las sociedades democráticas, se debe alcanzar un equilibrio entre garantizar que los servicios de inteligencia y seguridad puedan operar de manera efectiva, mientras cumplan con las normas y estándares democráticos. La responsabilidad pública es necesaria para minimizar cualquier abuso de poder. En varios países incluidos en este informe, ha habido una falta de rendición de cuentas en la adquisición y uso de Pegasus y spywares equivalentes. 

Más específicamente, existe un alto nivel de opacidad en el proceso de adquisición de Pegasus o spywares equivalentes. Esto se debe en parte a la compleja estructura de empresas como NSO, que operan a través de diferentes entidades legales ubicadas dentro y fuera de la UE. La forma en que se obtiene el spyware también es difícil de rastrear. En algunos casos, como Alemania, la Oficina Central de Tecnología de la Información en el Sector de Seguridad (ZITiS) no participó en la adquisición del software por parte de la Oficina Federal de Policía Criminal de Alemania (BKA). En otros casos, como Grecia (para la compra de Predator), el software espía parece haber sido utilizado por el servicio de inteligencia, mientras que el Estado sigue afirmando que no compró el software. 

Los mecanismos de supervisión establecidos para garantizar el uso de técnicas de investigación especiales, en particular aquellas que involucran el spyware como Pegasus o similares, se realizan con pleno respeto de la ley y los derechos fundamentales parecen ser muy débiles o completamente ineficaces en algunos Estados miembros. La falta de independencia de los mecanismos de supervisión en Hungría, Grecia, Polonia y España ha llevado a lo que solo puede describirse como un uso abusivo de Pegasus o spywares equivalentes. El sistema de los Países Bajos de tener un comité compuesto por dos magistrados y un experto técnico que tome una decisión vinculante sobre el uso de técnicas especiales de investigación parece ser una solución sólida, aunque está abierta a críticas. 

La brecha evidente identificada en este informe es la ineficacia de los mecanismos de reparación cuando se ha tomado la decisión de utilizar Pegasus o spywares similares. Todos los casos de abuso de estos programas espías han sido identificados por periodistas de investigación, la sociedad civil u organizaciones privadas. Los mecanismos efectivos de supervisión ex post deberían haber descubierto instancias controvertidas del uso de Pegasus y softwares espías equivalentes por parte de las agencias de inteligencia y las fuerzas del orden contra periodistas, políticos y activistas de derechos civiles nacionales. Estos deberían haber incluido también mecanismos de reparación individuales y colectivos apropiados y efectivos para rendir justicia y asegurar que tales abusos no vuelvan a ocurrir en el futuro. 

Las capacidades de Pegasus y spywares equivalentes, que permiten el acceso al contenido de un dispositivo, sus metadatos y la posibilidad de grabar entradas de video y audio de forma remota, son extremadamente invasivas. Según el Supervisor Europeo de Protección de Datos (SEPD), es "poco probable que cumpla los requisitos de proporcionalidad" establecidos por el TJUE y el TEDH. Más allá de los aspectos de los derechos fundamentales relacionados con la vigilancia, existen preocupaciones sobre la participación de empresas privadas en procedimientos de investigación intrusivos, mientras que los derechos fundamentales vinculan principalmente al Estado y no necesariamente a los proveedores de spywares. 

El informe de 2017 identificó cómo las autoridades encargadas de hacer cumplir la ley habían experimentado un aumento exponencial en los datos a los que podían acceder al obtener el control de un dispositivo, incluidos datos que pueden no haber sido relevantes para la investigación inicial. Este riesgo se ve nuevamente exacerbado por tecnologías como Pegasus y los softwares espías equivalente dado lo intrusivos que son. Dado que es poco probable que los riesgos para los derechos fundamentales derivados del uso de dichas herramientas superen la prueba de proporcionalidad, el despliegue regular de Pegasus o de spywares similares no sería compatible con el ordenamiento jurídico de la UE. 

En consecuencia, algunas de las recomendaciones del informe de 2017 siguen vigentes y se han actualizado. Se relacionan con la necesidad de más investigación sobre la eficacia de los mecanismos de supervisión y la necesidad de que los Estados miembros adopten marcos jurídicos claros y eficaces. 

Se recomienda además que los Estados miembros se abstengan de utilizar tecnologías que tengan un claro impacto perjudicial sobre los derechos humanos, y que se controle su proporcionalidad, eficacia y uso.

Se recomienda una regulación más clara y estricta del mercado de Pegasus o spywares equivalentes. El Parlamento Europeo podría solicitar a la Comisión que presente una propuesta legislativa para exigir que todas las empresas de vigilancia domiciliadas en sus países actúen de manera responsable y sean responsables del impacto negativo de sus productos y servicios sobre los derechos humanos.

Dada la importancia de las organizaciones de la sociedad civil y los periodistas de investigación para descubrir el abuso de Pegasus y los spywares equivalentes, la recomendación final es que el Parlamento Europeo continúe sus esfuerzos para apoyar la libertad y la independencia de la prensa, así como sus esfuerzos para proteger a los denunciantes.



[1] Parlamento Europeo, Legal Frameworks for Hacking by Law Enforcement: Identification, Evaluation and Comparison of Practices, 2017, disponible en: https://www.europarl.europa.eu/RegData/etudes/STUD/2017/583137/IPOL_STU(2017) 583137_ES.pdf

[2] Consulte el sitio web de Forbidden Stories, disponible en: https://forbiddenstories.org/case/the-pegasus-project/


No hay comentarios:

Publicar un comentario