Este post es el cuarto de una serie sobre nuestro nuevo informe sobre el Estado de las leyes de privacidad de las comunicaciones, un conjunto de preguntas y respuestas sobre privacidad y protección de datos en Argentina, Brasil, Chile, Colombia, México, Paraguay, Panamá, Perú y España. La investigación se basa en el trabajo de los Principios Necesarios y Proporcionados, directrices para evaluar si las leyes de vigilancia digital son coherentes con las normas de derechos humanos. Los tres primeros posts de la serie fueron "Una mirada hacia atrás y hacia adelante sobre la protección de datos", "Los gobiernos latinoamericanos deben comprometerse con la transparencia de la vigilancia" y "Cuando las fuerzas del orden quieren sus comunicaciones privadas, ¿qué salvaguardias legales existen en América Latina y España?" Este cuarto post se suma al tercero, proporcionando una mayor comprensión de las normas y salvaguardias aplicables en relación con los metadatos de las comunicaciones en América Latina y España.

Los defensores de la privacidad trabajan para desmontar distinciones anticuadas y artificiales entre las protecciones de la privacidad que se conceden al "contenido" de las comunicaciones (las palabras escritas o habladas) y las que se proporcionan a los "metadatos". Los metadatos, como la identificación de las partes implicadas en la comunicación, las direcciones IP, las ubicaciones, la hora y la duración de las comunicaciones y los identificadores de los dispositivos, pueden revelar las actividades de las personas, dónde viven, sus relaciones, hábitos y otros detalles de sus vidas y rutinas diarias. Como afirmaron EFF, Article19 y Privacy International en el caso PIETRZAK contra Polonia ante el Tribunal Europeo de Derechos Humanos, "los "metadatos" son tan intrusivos como el contenido de las comunicaciones y, por tanto, deben recibir el mismo nivel de protección". Sin embargo, las leyes nacionales sobre privacidad suelen tratar los metadatos como menos dignos de protección en comparación con el contenido de una comunicación. Estas distinciones se basan en analogías artificiales con una época en la que las llamadas telefónicas utilizaban la marcación por pulsos y los ordenadores personales eran una rareza.

"estos datos, considerados en su conjunto, pueden permitir extraer conclusiones muy precisas sobre la vida privada [...], como los hábitos cotidianos, los lugares de residencia permanente o temporal, los desplazamientos diarios o de otro tipo, las actividades realizadas, las relaciones sociales de esas personas y los entornos sociales que frecuentan [...] En particular, estos datos permiten [...] establecer un perfil de las personas afectadas, información que no es menos sensible, habida cuenta del derecho a la intimidad, que el contenido mismo de las comunicaciones."

Asimismo, en el caso Escher y otros contra Brasil, la Corte Interamericana de Derechos Humanos reconoció que la Convención Americana de Derechos Humanos se aplica tanto al contenido de las comunicaciones como a los metadatos. La Corte dictaminó:

... El artículo 11 se aplica a las conversaciones telefónicas con independencia de su contenido, pudiendo incluso incluir tanto las operaciones técnicas destinadas a grabar este contenido..., como cualquier otro elemento del proceso de comunicación; por ejemplo, el destino u origen de las llamadas que se realizan, la identidad de los interlocutores, la frecuencia, el horario y la duración de las llamadas, aspectos que pueden ser verificados sin necesidad de grabar el contenido de la llamada .... En resumen, la protección de la intimidad se manifiesta en el derecho a que personas distintas de las que conversan no puedan obtener ilegalmente información sobre el contenido de las conversaciones telefónicas u otros aspectos inherentes al proceso de comunicación, como los mencionados.

No obstante, proteger los metadatos tanto como proteger los contenidos sigue siendo un reto importante. Una buena parte de los países incluidos en nuestros informes actualizados exigen ampliamente una orden judicial para que el gobierno pueda acceder a los metadatos (por ejemplo, México, Chile, Perú y España). Sin embargo, otros aplican esta protección al contenido de las comunicaciones, pero no a los datos que identifican una comunicación (como en Panamá y Paraguay). En Brasil, el nivel de protección de los metadatos de las comunicaciones telefónicas sigue siendo controvertido, mientras que la necesidad de una orden judicial es clara para acceder a los datos relacionados con las comunicaciones de Internet.

El Código Procesal Penal de Chile exige a las empresas de telecomunicaciones que conserven y revelen a los fiscales la lista de direcciones IP autorizadas y los registros de conexión durante al menos un año. El Código Penal, que regula las interceptaciones telefónicas, no detalla el procedimiento que deben seguir las empresas para poner a disposición estos metadatos. Sin embargo, debe atenerse a la norma que exige autorización judicial previa para todas las actuaciones que afecten, priven o restrinjan los derechos constitucionales del imputado o de un tercero, establecida en el artículo 9 de la misma ley. Sin embargo, las empresas de telecomunicaciones chilenas muestran una práctica desigual. Mientras que suelen exigir una orden judicial previa para entregar los registros de llamadas, GTD y VTR no mencionan este requisito para otros metadatos en sus directrices de aplicación de la ley. Entel, Claro, WOM y Telefónica son más tajantes a la hora de ofrecer compromisos en este sentido. El efecto de la campaña de Derechos Digitales ¿Quien Defiende tus Datos? Chile en este compromiso no puede ser exagerado.

¿Qué pasa con los datos de los abonados?

Los datos de los abonados incluyen el nombre del usuario, su dirección y los números de identificación del usuario (IMSI o IMEI). La legislación latina suele tratarlos como "datos de tráfico" o darles menos protección. Dependiendo de la jurisdicción, los datos de tráfico pueden incluir direcciones IP, registros de llamadas y mensajes o datos de localización. España, por ejemplo, exige autorización judicial previa para el acceso del gobierno a los datos de tráfico, pero tiene ciertas excepciones legales para datos específicos de los abonados. En Colombia, una resolución de 2008 exige a los proveedores de servicios de telecomunicaciones que permitan a la Dirección de Investigación Criminal de la Policía Nacional (Dijín) realizar una conexión remota para obtener los nombres, las direcciones de los domicilios y los números de móvil de los abonados. Las empresas deben conceder a la Dijín la capacidad de realizar "consultas" individualizadas para cada abonado, proporcionando un nombre de usuario y una contraseña para ello.

En México, los metadatos equivalen al contenido

En México, las normas legales dan explícitamente la misma protección a los datos que identifican las comunicaciones y al contenido de las mismas. Las fuerzas del orden también necesitan una orden judicial previa para acceder a los metadatos almacenados. En una demanda presentada por R3D.mx, la Suprema Corte de Justicia de México dictaminó en 2016 que los metadatos están igualmente protegidos por la Constitución que el contenido de las comunicaciones. Lamentablemente, el tribunal no anuló los mandatos de retención que obligan a los operadores de telefonía y a los proveedores de servicios de Internet a retener cantidades masivas de metadatos, como hizo el Tribunal de Justicia de la UE con la Directiva de Retención de Datos de la UE en 2014. El Tribunal de la UE dictaminó que obligar a los proveedores de servicios de Internet a retener datos de las comunicaciones de los clientes de forma masiva durante un máximo de dos años para "prevenir" y "detectar" delitos graves vulneraba los derechos de los usuarios a la privacidad y a la protección de datos en virtud de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE.

La Corte Suprema de Argentina también ha dictaminado que "las comunicaciones... y todo lo que las personas transmiten a través de los canales pertinentes forman parte de la esfera de la intimidad personal" y gozan de la protección constitucional de la privacidad. Sin embargo, el informe de transparencia de Telefónica para Argentina pone en duda que las autoridades sigan esta sentencia, dando la impresión de que los metadatos se entregan a las autoridades sin orden judicial previa.

Como muestran los ejemplos anteriores, los tribunales desempeñan un papel fundamental a la hora de aplicar las garantías constitucionales y legales de forma coherente con la naturaleza cambiante de las comunicaciones digitales y el alcance simultáneo de los datos que producen. Sin embargo, un fallo de la Corte Suprema de Paraguay en 2010 autorizó a los fiscales a solicitar directamente los metadatos a las empresas de telecomunicaciones sin una orden judicial. Esto se produjo a pesar de una disposición de la Ley de Telecomunicaciones que afirma que la inviolabilidad de las comunicaciones asegurada en la Constitución se refiere no sólo al contenido en sí, sino también a lo que indica la existencia de la comunicación, lo que abarcaría los datos de tráfico. En Panamá, es la extensa Ley de Retención de Datos del país la que permite a los fiscales solicitar directamente los datos de tráfico y de los abonados a los ISP. Entre otros usos, los datos retenidos pueden permitir a las autoridades identificar y rastrear el origen de las comunicaciones, establecer la hora, la fecha y la duración de las mismas, así como la ubicación del dispositivo móvil y la celda donde se origina la comunicación.

Los datos de localización merecen especial atención

Los datos de localización pueden revelar detalles íntimos de la vida cotidiana, como a quién vemos, a dónde vamos, cuándo visitamos al médico o a un grupo de autoayuda, y si participamos en protestas o en actividades políticas. Muchos servicios de comunicación y aplicaciones recopilan nuestros datos de localización de forma casi continua durante largos periodos de tiempo. Nuestra privacidad se ve amenazada por la confiscación de nuestros datos de localización por parte del gobierno tanto como por la confiscación del contenido de nuestras comunicaciones. A pesar de ello, los datos de localización almacenados suelen tratarse como otros metadatos (y, por tanto, pueden recibir una protección legal limitada en muchas jurisdicciones).

En España, Colombia, México y Perú existen leyes específicas que autorizan el seguimiento de la ubicación en tiempo real. El Código Procesal Penal de Panamá se refiere al "seguimiento por satélite". Las disposiciones (excepto en Colombia) generalmente requieren una orden judicial previa, mientras que España, México y Perú prevén una excepción en ciertas situaciones de emergencia. El Código de Procedimiento Penal de Brasil tiene una norma específica por la que los fiscales y las autoridades policiales pueden solicitar una orden judicial para obligar a las empresas de telecomunicaciones a revelar la ubicación de las víctimas o los sospechosos de un delito de tráfico de personas en curso. Sin embargo, si el juez no decide en un plazo de 12 horas, las autoridades pueden exigir los datos directamente. Esta disposición se encuentra actualmente en proceso de impugnación constitucional ante el Tribunal Supremo de Brasil.

En Perú, el Decreto Legislativo 1182 otorga a la unidad de investigación policial especializada del país la facultad de solicitar a los operadores de telecomunicaciones el acceso a los datos de localización de teléfonos o dispositivos electrónicos en tiempo real sin necesidad de una orden judicial cuando se cumplan simultáneamente tres requisitos: que exista un delito flagrante, que la pena por el delito investigado sea superior a cuatro años de prisión y que el acceso a esta información sea necesario para la investigación. La revisión judicial se realiza después de que la policía haya accedido a los datos. El decreto exige que un juez revise si el acceso en tiempo real fue legal en un plazo de 72 horas desde que se accedió a los datos de localización. El proceso por el que los datos de localización de los dispositivos se entregan a la policía no se ha hecho público. Las noticias peruanas informaron de que, para aplicar el Decreto Legislativo 1182, el Ministerio del Interior firmó un protocolo secreto con los ISP en octubre de 2015 para el acceso policial a los datos de localización. A partir de 2020, el documento sigue siendo clasificado. Buscando arrojar al menos algo de luz sobre cómo se utiliza la medida, el grupo de derechos digitales de Perú Hiperderecho presentó un conjunto de solicitudes de FOIA en 2016. Las respuestas han sido incompletas y entregadas de una manera que ha revelado pocas respuestas significativas. Los peruanos necesitan mucha más transparencia sobre este programa de vigilancia de la ubicación. 

Búsquedas inversas: ¿De ubicaciones a sospechosos?

Una preocupante práctica de investigación de datos de localización que va en aumento está relacionada con las solicitudes inversas. En lugar de comenzar con un sospechoso, una cuenta o un identificador específico (o unos pocos), la solicitud tiene como objetivo buscar todos los dispositivos activos dentro de un área geográfica determinada durante un período de tiempo concreto. La investigación barre una gran cantidad de datos de los dispositivos de las personas que se encontraban en la zona en el momento del delito, independientemente de que estén vinculados a la actividad delictiva.

A principios del año pasado, los medios de comunicación chilenos informaron de que los fiscales pidieron a las empresas de telecomunicaciones que entregaran todos los números de teléfono móvil conectados a las torres y estaciones base cercanas a cinco estaciones de metro de Santiago entre las 18:00 y la medianoche de un día concreto. Las solicitudes se enmarcan en una investigación sobre los desórdenes provocados por las subidas de las tarifas, que dieron lugar a un intenso periodo de malestar social y protestas. Según la información difundida, los fiscales solicitaron a un tribunal que ordenara el registro después de que parte de las empresas de redes móviles se negara a cumplir una petición directa.

En Brasil, el Tribunal Superior de Justicia (STJ) ha confirmado una petición judicial para que Google entregue los datos, como las direcciones IP, de todos los usuarios que, durante un periodo de tiempo de 15 minutos el 2 de diciembre de 2018, pasaron por un peaje en una autopista que atraviesa Río de Janeiro. Ese día, las cámaras del peaje identificaron el coche utilizado en una emboscada que mató a la concejala y defensora de los derechos humanos Marielle Franco, y a su conductor, Anderson Gomes, en marzo de 2018. El crimen ha desatado la indignación por ser una nefasta demostración de violencia política. Los sospechosos del crimen están detenidos, pero las investigaciones aún no han identificado quién ordenó el ataque. A la sentencia del TSJ de agosto de 2020 le siguió el recurso de Google ante el Tribunal Constitucional de Brasil. Es necesario examinar a fondo las normas necesarias y proporcionadas para evitar que las autoridades abusen del fallo judicial en el futuro.

En Estados Unidos, las búsquedas inversas suelen denominarse órdenes judiciales de geofence. En un caso relacionado con las búsquedas de información histórica sobre la ubicación de los teléfonos móviles en poder de Google, como hemos señalado, las órdenes siguen un proceso de varias etapas. Comienza obligando a Google a proporcionar datos de localización anónimos de todos los dispositivos que informaron de su ubicación dentro de un área específica. Termina con la exigencia por parte de los fiscales de que Google entregue información que identifique las cuentas de Google de los dispositivos específicos ubicados dentro del área de la geovalla. Recientes dictámenes de jueces federales de Estados Unidos han sostenido que estas órdenes judiciales violan los requisitos de causa probable y particularidad de la Cuarta Enmienda de la Constitución de Estados Unidos. Los argumentos planteados en América Latina coinciden con los que la EFF y otros han presentado contra las órdenes de geocerca en los Estados Unidos.