El Presidente de Perú Ollanta Humala firmó el pasado 27 de julio el Decreto Legislativo 1182 que permite a la policía acceder sin órden judicial y en tiempo real a los datos de localización de manera 24/7 en casos de flagrante delito. Pero eso no la peor parte del decreto: obliga a los proveedores de telecomunicaciones y telefonia, por un año, a retener los datos sobre quién se comunica con quién, por cuánto tiempo, y desde dónde. También permite a las autoridades acceder a los datos al instante y en línea por de siete días después de emitida una orden judicial. Además, las compañías de telecomunicaciones deberán retener esos datos por 24 meses adicionales en sistemas de almacenamiento electrónico. Para colmo, el decreto cita erróneamente que los datos de localización están “excluidos” de la privacidad de las comunicaciones, garantizada en la Constitución peruana.

El decreto fue aprobado sin consulta pública alguna por parte del Poder Ejecutivo, sobre la base de un mandato del Congreso peruano de legislar en seguridad pública y la lucha contra el crimen. Llamativamente, el decreto fue publicado un día antes de la celebración de la independencia del Perú, una serie de festejos que coinciden con las vacaciones en la mayoría de las escuelas locales y empresas.

En respuesta a la aprobación del decreto, el director de la ONG peruana Hiperderecho y experto en derechos digitales, Miguel Morachimo, comentó a EFF:

Este decreto crea un claro error: asumiendo que la los datos de geolocalización de los teléfonos móviles no son protegidos por las salvaguardas de privacidad de la Constitución del Perú, el gobierno levanta toda clase de protección para estos datos y otorga acceso irrestricto a la policía y obliga a las ISPs a retener datos de comunicaciones por hasta casi tres años. Una política de ese tipo es controversial en sí, pero el hecho que fuera aprobada directamente por el Poder Ejecutivo sin un debate previo y en medio de un feriado nacional es especialmente antidemocrática.

El Decreto Legislativo tiene un significativo potencial para el abuso de su nuevas facultades. Ignora el hecho de que la mayoría de los teléfonos móviles de la actualidad constantemente transmiten una localización detallada de cada individuo a las compañías de telefonía, y que esa localización está centralizada en un solo lugar con el proveedor del servicio. La policía tendrá acceso a unos datos más precisos, más amplios y más indiscretos que nunca habrían sido posibles con la interceptación del contenido de las comunicaciones. El gobierno peruano debió haber sido más sensible al hecho de que las compañías de telecomunicaciones están registrando huellas detalladas de nuestra vida cotidiana.

Normas Internacionales en Derechos Humanos

Al establecer que los datos de localización están excluidos de las garantías constitucionales de privacidad de las comunicaciones en Perú, el Decreto Parlamentario contradice las normas internacionales en derechos humanos.

Respecto a la cuestión de si los metadatos de las comunicaciones están protegidos por el derecho a la privacidad, la decisión de la Corte Interamericana de Derechos Humanos en el caso Escher v. Brasil pone de manifiesto que tanto el contenido y los metadatos están protegidos:

“[El derecho a la privacidad] se aplica a las conversaciones telefónicas independientemente de su contenido e incluso, puede comprender tanto las operaciones técnicas dirigidas a registrar ese contenido, mediante su grabación y escucha, como cualquier otro elemento del proceso comunicativo mismo, por ejemplo, el destino de las llamadas que salen o el origen de las que ingresan, la identidad de los interlocutores, la frecuencia, hora y duración de las llamadas, aspectos que pueden ser constatados sin necesidad de registrar el contenido de la llamada mediante la grabación de las conversaciones. En definitiva, la protección a la vida privada se concreta en el derecho a que sujetos distintos de los interlocutores no conozcan ilícitamente el contenido de las conversaciones telefónicas o de otros aspectos, como los ya mencionados, propios del proceso de comunicación.”

Asimismo, el Alto Comisionado de las Naciones Unidas para los Derechos Humanos, en su reporte 2014 (A/HRC/27/37 – DOC) hizo énfasis en el derecho a la privacidad en la era digital:

19. [...] se ha sugerido que la interceptación o la recopilación de datos acerca de una comunicación, en contraposición al contenido de la comunicación, no constituyen en sí mismas una injerencia en la vida privada. Desde el punto de vista del derecho a la privacidad, esa distinción no es convincente. La agregación de la información comúnmente conocida como "metadatos" puede incluso dar una mejor idea del comportamiento, las relaciones sociales, las preferencias privadas y la identidad de una persona que la información obtenida accediendo al contenido de una comunicación privada [...].

20. Por todo ello, toda captura de datos de las comunicaciones es potencialmente una injerencia en la vida privada y, además, la recopilación y conservación de datos de las comunicaciones equivale a una injerencia en la vida privada, independientemente de si posteriormente se consultan o utilizan esos datos. Incluso la mera posibilidad de que pueda captarse información de las comunicaciones crea una injerencia en la vida privada y puede tener un efecto negativo en derechos como los relativos a la libertad de expresión y de asociación. La mera existencia de un programa de vigilancia en masa crea, por lo tanto, una injerencia en la privacidad.

Los encargados de las políticas deben entender que la adopción de amplios poderes de vigilancias menoscaba la privacidad y la seguridad de los ciudadanos, y es por ello incompatible con sus obligaciones internacionales en materia de derechos humanos. Para que sea legal cualquier medida de vigilancia bajo los estándares internacional de derechos humanos, debe estar prescrito por la ley. Debe ser “necesaria” para lograr un fin legítimo y “proporcional” a ese propósito deseado. Este requerimiento es importante para asegurar que los gobiernos no adoptan medidas de vigilancia que amenacen los fundamentos de una sociedad democrática.

En particular, los Trece Principios de Necesidad y Proporcionalidad, y la ley internacional de derechos humanos en general, se basan en la presunción  que las injerencias a los derechos fundamentales deben ser resueltos en una base de caso por caso. En este contexto, los mandatos de retención de datos, por su propia naturaleza, erradican cualquier consideración de proporcionalidad y debido proceso en favor de la interferencia indiscriminada al derecho de privacidad, y no podrían ser compatibles con las obligaciones en derechos humanos de los Estados. Perú debe retroceder en el sendero sin salida de la retención de datos obligatoria, y cumplir con sus obligaciones internacionales en derechos humanos.

Visualizando La Localización

Mientras tanto, los ciudadanos de Perú deben considerar solicitar el acceso a los propios datos personales retenidos por sus compañías de telefonía de acuerdo a la ley peruana de Protección de Datos. En Alemania, el político y defensor de la privacidad Malte Spitz aprovechó una ley similar de protección de datos, que como en muchos países de Europa, otorga a los individuos la facultad de saber qué tipo de datos sobre ellos almacenan las compañías privadas, y con ello obligar a su proveedora de telefonía a revelar qué registros que tenían sobre él. Spitz recibió 35,831 registros distintos sobre su uso del teléfono celular en un periodo de seis meses, que significa vasta información personal. Para demostrar cuán intrusivo son estos datos, Spitz eligió mostrarlo al público. Si todavía no lo ha hecho, vea este increíble mapa interactivo de los datos de localización de Spitz.

Es tiempo de instruir a todos nuestros legisladores y al público en general que los datos sensibles necesitan de una fuerte protección legal, no un pase de acceso libre. Esperamos que los defensores de derechos humanos del Perú evalúen todas las opciones legales para impugnar la legalidad de esta medida. EFF continuará reportando sobre la vigilancia móvil y en línea en Perú, y profundizar sobre el Decreto Legislativo con más análisis en los próximos días.

Más información: Nueva norma permite a la Policía saber dónde está cualquier persona sin orden judicial (Hiperderecho).