Categoría: Privacidad

Geolocalización

La geolocalización de dispositivos móviles en tiempo real puede ser obtenida sin mandato judicial previo por la Policía

1. ¿En qué consiste esta política pública?

El acceso a metadatos es parte de las políticas públicas de recolección de datos derivados de las comunicaciones. Estas políticas se implementan con el fin de obtener información en tiempo real que facilite principalmente la investigación de los delitos, pero también se pueden emplear para la ubicación de personas desaparecidas, el seguimiento de actividades posiblemente delictivas, la represión de activistas y líderes de movimientos sociales, entre otros.

En el Perú existen diferentes leyes y disposiciones reglamentarias que permiten el acceso a datos y metadatos derivados de las comunicaciones, lo que incluye: El contenido, la ubicación, la frecuencia, los datos de navegación, etc. Por regla general, esta información solo es accesible para la Policía Nacional del Perú y/o el Ministerio Público luego de haber obtenido un mandato judicial. Sin embargo, también existen normas que permiten un acceso excepcional sin mandato judicial.

2. ¿Dónde está reconocida?

Abril 2002: Ley N° 27697, “Ley que otorga facultad al fiscal para la intervención y control de comunicaciones y documentos privados en caso excepcional”:

  • Otorga al Juez la facultad de conocer y controlar las comunicaciones de las personas investigadas, exclusivamente cuando se trate de los delitos mencionados a continuación: Secuestro, trata de personas, pornografía infantil, robo agravado, extorsión, tráfico ilícito de drogas, tráfico ilícito de migrantes, delitos contra la humanidad, atentados contra la seguridad y traición a la patria, peculado, corrupción de funcionarios, terrorismo, delitos tributarios y aduaneros, lavado de activos y delitos informáticos. (Ley: Artículo 1)
  • Otorga al Fiscal de la Nación, Fiscales Penales y Procuradores Públicos la potestad de solicitar al Juez la intervención en los casos antes descritos. (Ley: Artículo 2, inciso 6)

Julio 2004: Nuevo Código Procesal Penal (NCPP), Artículos 23 y 231: “La intervención de comunicaciones y telecomunicaciones”:

  • Otorga al Fiscal la potestad de solicitar al Juez la intervención y grabación de comunicaciones cuando sospeche la comisión de un delito cuya pena sea superior a 4 años de prisión y dicha intervención sea absolutamente necesaria para proseguir la investigación. El mandato del juez puede recaer sobre los investigados o personas de su entorno. (NCPP: Artículo 230, numerales 1 y 2)
  • Hace obligatorio para las empresas que ofrecen servicios de telecomunicaciones, facilitar en tiempo real los metadatos de geolocalización de teléfonos móviles y la interceptación y grabación de las comunicaciones ordenadas por mandato judicial de forma ininterrumpida las 24 horas de los 365 días del año, bajo pena de ser sancionadas. (NCPP: Artículo 230, numeral 4)
  • Otorga al Fiscal la potestad de conservar las grabaciones hasta que culmine el procesal penal o, al finalizar la investigación si esta no se judicializa, previa autorización del juez. (NCPP: Artículo 231, numeral 2)
  • Hace obligatorio notificar a el o los investigados sobre todo lo actuado (grabaciones, geolocalización, etc.), solo si el objeto de la investigación lo permite y en tanto esto no ponga en peligro la vida o la integridad corporal de terceros. Para que la intervención se mantenga en secreto será necesario una resolución judicial motivada y con plazo determinado. (NCPP: Artículo 231, numeral 3 y 4)

Julio 2015: Decreto Legislativo 1182, “Que regula el uso de los datos derivados de las telecomunicaciones para la identificación, localización y geolocalización de equipos de comunicación, en la lucha contra la delincuencia y el crimen organizado”:

  • Otorga a la Policía la potestad de acceder a los metadatos de geolocalización de los dispositivos móviles de cualquier ciudadano cuando se encuentren frente a un delito flagrante, este sea castigado con una pena superior a los 4 años y el acceso sea necesario para realizar la investigación. Este acceso no requiere mandato judicial previo y se regulariza ante el Juez con posterioridad. (DECRETO LEGISLATIVO: Artículo 3)
  • Hace obligatorio para las empresas que ofrecen servicios de telecomunicaciones, facilitar en tiempo real los metadatos de geolocalización de teléfonos móviles de forma ininterrumpida las 24 horas de los 365 días del año, bajo pena de ser sancionadas. (DECRETO LEGISLATIVO: Artículo 4, inciso 3)

3. Contexto

Las políticas públicas relacionadas al acceso a los datos y metadatos derivados de las comunicaciones se caracterizan por ser particularmente intrusivas para la privacidad pues rompen la expectativa de secreto que existe respecto de las comunicaciones habladas o escritas y la información derivada de ellas. Dependiendo de la regulación de cada país, dicho acceso puede ser amplio o restringido, además de contar con algunas salvaguardas que disminuyan la posibilidad de que esta política sea mal empleada. Por ejemplo, en la mayoría de países del mundo se protege el secreto de las comunicaciones y, cuando se permite el acceso, por regla general este solo puede ser otorgado por un Juez, que garantiza el respeto de ciertas garantías para los investigados. No obstante, pueden existir excepciones que permitan el acceso con mandato judicial posterior o incluso sin él, con lo que se reducen dichas garantías. Así mismo, puede existir reglas diferentes para los datos y los metadatos, si es que no se ha regulado claramente si estos últimos cuentan con igual grado de protección que los primeros. En todos los casos, se señala que estas políticas son necesarias para mejorar la seguridad ciudadana, específicamente respecto de la investigación de delitos.

En el Perú, la primera norma que regula la intervención de las comunicaciones es la Ley N° 27697 promulgada en 2002 durante el gobierno del presidente Alejandro Toledo. Previamente habían existido normas que permitían el acceso a documentos privados, pero solo a partir de esta se crearon protocolos específicos de actuación para la Policía y el Ministerio Público. Además, se establecieron obligaciones para las empresas de telecomunicaciones, que ahora debían asegurar el acceso en tiempo real y facilitar la intervención, además de mantener un registro de las grabaciones que pudieran ocurrir (de conversaciones, mensajes, etc.). Esta primera norma tenía una lista cerrada de delitos bajo los cuales se podía solicitar esta medida, la cual debía ser autorizada por un Juez.

Posteriormente, en 2004 entró en vigencia el Nuevo Código Procesal Penal (NCPP), aunque de forma limitada, siendo que hasta 2019, todavía no se ha implementado en todo el país. Este código modifica en gran parte el funcionamiento del sistema penal, lo que trae algunas innovaciones respecto a la forma en que se intervienen las comunicaciones. En ese sentido, tras sucesivos cambios, actualmente la norma se diferencia de la propuesta de la Ley N° 27697 (que cesará su vigencia cuando el NCPP esté vigente en todo el país) en la medida que ahora no hay una lista cerrada de delitos a los que se puede aplicar la intervención sino sólo el requisito de que estos tengan una pena mínima mayor de 4 años. El requisito de la autorización judicial siguió presente.

Finalmente, en 2013, durante el gobierno del presidente Ollanta Humala, se aprobó el Decreto Legislativo N° 1182, una norma que otorga facultades extraordinarias a la Policía Nacional para acceder a los metadatos de geolocalización en tiempo real. A diferencia de los dos regímenes anteriores, esta norma no requiere mandato judicial previo, sino una convalidación posterior y aplica a cualquier delito cuya pena mínima sea mayor de 4 años. Así mismo, mientras que en los casos anteriores, los protocolos de atención son públicos e incluso existe la posibilidad de los investigados de apelar estas medidas, en el caso de este Decreto, el protocolo es reservado y quienes sean investigados empleando la geolocalización no serán informados en ningún momento, salvo que las pruebas generadas por esta medida sean empleadas durante un proceso penal al finalizar la investigación.

4. ¿Cuál es el problema?

En muchas formas, el acceso a datos y metadatos de geolocalización como política pública representa en sí misma una amenaza a la privacidad de todos los ciudadanos. No obstante, sus efectos negativos pueden ser disminuidos a través de diferentes medidas, desde las obligaciones de las autoridades de respeto a derechos reconocidos como el secreto de las comunicaciones y la intimidad, hasta límites al acceso como las condiciones que lo habilitan, el tiempo máximo, quiénes pueden acceder, etc. En el Perú, algunos de los problemas asociados a esta política pública son:

  1. Afectan el derecho a la intimidad de todas las personas, aún las que no son investigadas por la comisión de delitos, pero que mantienen comunicación con personas investigadas. Pese a que las leyes actuales ordenan que las comunicaciones o las grabaciones que no sean necesarias para la investigación deben ser eliminadas, existen múltiples agentes a cargo de esta información, lo que aumenta el riesgo de fugas y la revelación por parte de terceros.
  2. Afectan el derecho a las personas a que sus metadatos (como el de geolocalización) sean igual de protegidos que sus comunicaciones pues las normas actuales permiten el acceso a las mismas sin un mandato judicial, lo que disminuye las garantías de las personas que son investigadas usando esta medida. Además, como el protocolo de uso es secreto y los investigados nunca son informados de la aplicación de esta medida, las situaciones de uso abusivo o desproporcionado no se pueden conocer generando impunidad en quienes lo utilizan indebidamente.
  3. Afectan la economía de los usuarios finales, pues los costos que asumen las compañías de telecomunicaciones al recolectar estos datos y metadatos y hacerlos disponibles de forma permanente a las autoridades se refleja finalmente en la contraprestación que estos tienen que pagar para acceder a los servicios de telecomunicaciones.

5. ¿Existen políticas públicas similares en la región y el mundo?

Efectivamente, el uso del acceso a datos y metadatos existe en diferentes partes del mundo. En ese sentido, queremos comparar el caso del Perú con el de otros países. Para ello vamos a tomar tres ejemplos:

a) Paraguay

En Paraguay también existen normas que regulan la intervención de las comunicaciones, lo que incluye no solo el acceso al contenido de las mismas sino también a los metadatos. No obstante, respecto de los metadatos, en 2015 se quiso aprobar una regulación que permitía el acceso del tráfico IP de todos los ciudadanos a través de dispositivos móviles. A diferencia de Perú, en donde se pueden obtener todos los metadatos derivados de las comunicaciones, en el caso del proyecto paraguayo, solo se accedía al tráfico hecho a través de Internet (incluyendo los datos de geolocalización) y solo en los casos en que se estuvieran investigando los delitos de: Terrorismo, pedofilia y narcotráfico. Sin embargo, finalmente esta norma no prosperó y actualmente en Paraguay no existen normas similares a las que hay en Perú respecto al acceso a datos y metadatos sin orden judicial.

b) México

México presenta un caso similar a Perú pues en el año 2012 se realizó una reforma parcial de la Ley Federal de Telecomunicaciones y Radiodifusión, en la que se incluyeron varias disposiciones que permitían el acceso a los metadatos de geolocalización en tiempo real y sin mandato judicial previo. Estas normas actualmente se encuentran vigentes, aunque han recibido muchas críticas pues pese a que el acceso a estos metadatos está restringido a la investigación de ciertos tipos de delitos, el margen de discrecionalidad es alto.

Foto de Tom Rumble para Unsplash

Videovigilancia urbana

La instalación de cámaras y la entrega de grabaciones a pedido de la Policía son obligatorias a nivel nacional

1. ¿En qué consiste?

La videovigilancia es una tecnología de vigilancia operada a través de cámaras de video cuyo propósito es llevar un registro permanente o semipermanente de los acontecimientos que ocurren en los lugares en que estas se encuentran instaladas. Como herramienta de política pública, la videovigilancia consiste en ordenar el despliegue de dichas cámaras en lugares públicos estratégicos con el argumento de que su presencia ayuda a prevenir y luchar contra la delincuencia, y también facilita la investigación de los delitos.

En el Perú existen diferentes leyes y disposiciones reglamentarias sobre las cámaras de vigilancia. La mayoría de ellas regulan en qué lugar es obligatorio colocarlas, quiénes son los encargados de hacerlo y cuál es el procedimiento para que las grabaciones sean entregadas a la Policía Nacional del Perú y/o al Ministerio Público en el curso de una investigación criminal.

Leer más

Privacidad es seguridad

¿Dónde radica realmente nuestra sensación de inseguridad? Caminamos por la calle mientras somos observados por cámaras de vigilancia públicas y privadas. Nuestros desplazamientos, llamadas y datos de navegación por Internet son registrados también por las empresas de telecomunicaciones. Muchas operaciones diarias como hacer un depósito en el banco o comprar una línea telefónica requieren ahora de nuestra huella digital. Todas estas medidas, estos pasos adicionales que a veces son una verdadera molestia, han sido pensados con el fin último de hacernos sentir más seguros. En algunos casos por iniciativa propia, en otros por obligación legal, hemos ido cediendo poco a poco pequeñas parcelas de intimidad sin preguntar por qué o para qué. Nos hemos acostumbrado a pensar que el precio de tener seguridad es renunciar a una parte de nuestra privacidad.

Durante los últimos diez años, muchas políticas públicas en materia de seguridad ciudadana han consistido en sacrificar la privacidad de todos los peruanos casi de forma inopinada. Parece mentira pero hubo un tiempo no muy lejano en el cual la intervención de las comunicaciones era una situación de excepción, aplicable solo a delitos muy graves. También donde la información sensible de una persona como sus desplazamientos o huellas digitales eran casi inaccesibles a terceros. Como una ola imparable, las políticas de seguridad han borrado sistemáticamente las diferencias que se tenía sobre lo que es privado y lo que es público. El paradigma máximo de esta tendencia son ahora las “ciudades inteligentes” donde todo lo que pasa en el ámbito urbano es registrado y medido, y los “servicios inteligentes” como filtros que sirven para excluirnos y separarnos en base a nuestros datos. Hoy estamos más observados que antes. Corremos el peligro de acostumbrarnos a que en los próximos años solo vamos a continuar renunciando a nuestra privacidad.

Leer más

Hiperderecho presenta: ¿Quién Defiende Tus Datos?

Por segunda vez consecutiva, con el apoyo de la Electronic Frontier Foundation de Estados Unidos, hemos desarrollado un estudio comparativo sobre las mejores prácticas que tienen las compañías que ofrecen servicios de Internet en el Perú cuando se trata de proteger la privacidad de sus usuarios. Quién defiende tus datos (QDTD) compara a las cinco principales empresas operadores del país y ofrece esta información con el fin de que los usuarios puedan tomar decisiones mejor informadas a la hora de contratar estos servicios.

¿Por qué es importante Quién Defiende Tus Datos?

El primer reporte de Quién Defiende Tus Datos se publicó a finales de 2015, un momento particularmente sensible para la privacidad en el mundo. Un par de años atrás se habían producido las revelaciones del espionaje masivo por Edward Snowden y la situación sobre los derechos humanos en línea era especialmente crítica. En ese momento, un reporte como QDTD no solo era una apuesta por lograr mayor transparencia sino un verdadero llamado de atención a los actores involucrados en la gestión de nuestras comunicaciones y datos personales.

Desde su primera edición, el reporte QDTD ha evaluado a los seis principales operadores del servicio de acceso a Internet en el país: Bitel, Claro, Entel, Inkacel, Movistar y OLO. Para ello se han contemplado cinco categorías: Políticas de privacidad, medidas de autorización judicial, notificación al usuario, transparencia y compromiso con la privacidad. Cada categoría está conformada por varios indicadores, bajo las cuales estas empresas son evaluadas y revelan el estado en el que se encuentran sus prácticas en estas áreas.

Leer más

Celebra el Día del Internet Seguro con Hiperderecho

Este 5 de febrero celebraremos el Día Mundial del Internet Seguro. El objetivo de esta fecha es es promover y debatir sobre la necesidad de tener un Internet que ofrezca más seguridad para todas las personas, en especial para las niñas, niños y adolescentes. Para la celebración de este año, se ha elegido el tema:Juntxs podemos hacer una Internet mejor”.

Desde Hiperderecho, queremos aportar al debate en la región sobre qué mecanismos hacen un Internet más seguro. Nosotros creemos que la tecnología es una herramienta con gran potencial para desarrollar oportunidades y mejorar capacidades de todas las personas. Sin embargo, somos conscientes que existen una serie de amenazas y barreras que limitan que grupos en situaciones de vulnerabilidad puedan aprovechar al máximo este potencial. Es en el espacio entre estas dos fuerzas que nuestro trabajo se orienta a entender y proponer ideas sobre cómo mejorar el equilibrio de fuerzas y representaciones en línea.

Únete a nuestra conversación en Twitter este 5 de febrero a las 11:00 am. Estaremos usando los hashtags #InternetSeguro, #DíaDelInternetSeguro y #SID2019 para conversar sobre privacidad, seguridad y violencia de género en línea.

Taller gratuito de seguridad en Twitter

Además, el jueves 7 de febrero, de 5:30pm – 7:30pm, estaremos realizando un taller gratuito para la comunidad local sobre seguridad digital a cargo de nuestros amigos de Twitter donde desarrollaremos temas como:

  • Por qué usar Twitter
  • Buenas prácticas de seguridad en Twitter
  • Las reglas de seguridad y privacidad en Twitter
  • Herramientas de seguridad de Twitter

Si te interesa participar, inscríbete en este formulario y te enviaremos los detalles del lugar. Solo hay cupos para diez (10) personas. La participación es completamente gratuita.

¿Qué hacen las empresas de telecomunicaciones con nuestros datos?

Esta semana se habló mucho sobre cómo se almacena nuestra información dentro de las empresas de telecomunicaciones. A propósito del caso del registro de llamadas que Telefónica tendría de Keiko Fujimori, vale la pena entender qué tipo de información se encuentra bajo el poder de estas empresas y bajo qué reglas se trata.

A través de una nota periodística, supimos que hace unos meses Telefónica se negó a cumplir con dos órdenes judiciales que la obligaban a entregar la información del tráfico de llamadas de ciertas líneas de la ex candidata. La negativa de la empresa se sustentaba en que la información solicitada comprendía registros de un plazo mayor al que legalmente se debía conservar (tres años) y, por ende, no contaba con la misma. Sin embargo, una trabajadora de la empresa del área encargada de responder a las autoridades descubrió en su momento que esta información sí existía en el sistema y ahora denuncia que la empresa negó el acceso de forma deliberada. Posteriormente, en algo que Telefónica ha repetido esta semana, se supo que la empresa siempre tuvo la información solicitada.

Ante ello, caben hasta tres lecturas de los hechos. La primera, propuesta por la nota periodística, es que Telefónica tendría algún motivo político particular para negar el acceso a esta información. Esto significa que simplemente usó como excusa el plazo legal con un fin ulterior: encubrir a Keiko Fujimori. Aunque es posible, creo que esta teoría es la menos interesante para aprender más sobre nuestros derechos como usuarios. Sin descartarla, vamos a dejar esta lectura a un lado para explorar otras dos posibles explicaciones de los mismos hechos.

Leer más

¿Por qué deberíamos o no dar nuestro número de DNI al comprar?

Un reciente comunicado de la Asociación Peruana de Consumidores y Usuarios de Perú (ASPEC) invitaba a los peruanos a no proporcionar su número de Documento Nacional de Identidad (DNI) al comprar en establecimientos comerciales. La nota señala que dicha exigencia es ilegal, salvo cuando se busca deducir el gasto para fines tributarios o en transacciones mayores a 700 soles. A propósito de esto, nos parece que vale la pena pensar qué pasa cuando elegimos entregar nuestro número de documento.

La razón más frecuente por la cual alguien entrega su número de DNI a un comercio es para participar en programas de lealtad o de puntos. Para ello también podríamos usar una tarjeta con sellos, un código especial o cualquier otra credencial física o virtual, pero es probable que a veces la dejemos en casa u olvidemos el número y perdamos sus beneficios. En realidad, resulta más fácil usar un número que de todas maneras ya hemos memorizado y que se encuentra en un documento que es casi obligatorio portar cada vez que salimos. Pero entonces, cuando entregamos el número de DNI ¿a qué renunciamos en favor de esta conveniencia?

Leer más

Presentan Proyecto de Ley para crear un registro web de personas desaparecidas

Hace unos meses la congresista Estelita Bustos presentó un nuevo Proyecto de Ley en el Congreso para crear el portal web del Registro Nacional de acceso público para difundir la información de las personas desaparecidas. Mediante esta iniciativa se busca reemplazar un sitio web que actualmente es inaccesible y facilitar la labor de las autoridades, además de ofrecer herramientas a la ciudadanía para contribuir con la búsqueda e identificación de las víctimas.

¿Qué propone?

El Proyecto de Ley N° 02875/2017-CR propone crear un portal web del Registro Nacional de Personas Desaparecidas que sea de acceso público para difundir la información de las personas desaparecidas y/o extraviadas, menores o adultas y las fallecidas no identificadas con la denominación de “NN.” También incluye a las personas internadas en nosocomios o institutos de salud mental y los que se encuentren privados de su libertad o no disciernen su identificación, con el fin de su inmediata localización.

Leer más

¿Cómo podría hackearse el voto electrónico en Perú? (parte 2)

En las próximas elecciones municipales de octubre, ONPE implementará el Voto Electrónico Presencial, reemplazando la tradicional cédula de papel con tablets. En esta segunda entrega de nuestra serie sobre el VEP, hablaremos de los problemas técnicos que hemos detectado.

Leer más

¿Cómo así RENIEC vende nuestros datos personales?

El mes pasado publicamos nuestro reporte Identidad Biométrica en Perú, una indagación legal y tecnológica sobre cómo funcionan los sistemas de identificación digital en nuestro país. Una de las cosas que investigamos fue cómo funcionaba el sistema de consultas en línea de Registro Nacional de Identificación y Estado Civil (RENIEC), la autoridad de identificación de Perú. Lo que descubrimos fue un negocio público y claro en torno a permitir el acceso a nuestra información personal. Un arreglo comercial que no necesariamente se traduce en más seguridad o trámites más simples para los ciudadanos.

Todos sabemos que RENIEC tiene nuestra información completa incluyendo nombres, fecha de nacimiento, sexo, domicilio, nombres de padres y madres, entre otros. Al mismo tiempo, hemos visto las fichas RENIEC en la televisión o los periódicos. Sin embargo, sabemos poco sobre quiénes pueden consultar la información del Archivo Nacional de Identificación, en qué casos y bajo qué condiciones.

Leer más