Artículos

El peligroso ejemplo de la ley “fisgona” de Reino Unido para el resto de gobiernos – Technology Review

En vigor desde enero, la Ley de Poderes de Investigación de Reino Unido, planea retener los datos de los usuarios e incluso modificar sus dispositivos para vigilarlos

Los defensores de los derechos civiles están poniendo el grito en el cielo a causa de una nueva ley de vigilancia digital en Reino Unido, y no sólo porque afirman que viola la privacidad de las personas residentes en Reino Unido. A algunos les preocupa que la ley se convierta en un ejemplo y precedente para otros países democráticos.

La norma, que se aprobó a finales de noviembre y sustituye a la vieja ley de vigilancia desde principios de año, se llama Ley de Poderes de Investigación (o, como la llaman sus críticos, “El Estatuto de los Fisgones”). El nuevo texto legal consagra la autoridad de las agencias de seguridad e inteligencia de Reino Unido para vigilar en línea, hackear dispositivos considerados relevantes para su trabajo y obligar a las empresas tecnológicas a facilitar los datos de sus usuarios de una forma nunca vista hasta ahora. Podrían llegar incluso a obligar a las empresas a modificar el diseño de sus productos. También otorga a los investigadores la autoridad de utilizar estos poderes “en bloque”, lo que les permitiría acceder a grandes conjuntos de datos que pueden incluir información sobre personas no relevantes para las investigaciones en marcha. Podrían llegar incluso a hackear los dispositivos de personas sin sospecha alguna de haber cometido un acto criminal.

Los contrarios a la norma discrepan de muchas de sus partes, pero la lucha más publicitada tiene que ver con la nueva prerrogativa que da al Gobierno para obligar a los proveedores de servicios de internet a retener los “historiales de conexión” -páginas web visitadas, apps móviles utilizadas, las veces que se accedió, la duración de la visita…- hasta 12 meses para todos sus clientes. El Gobierno y las fuerzas de seguridad no necesitarían una orden judicial para acceder a esos datos. “No existe ningún estado del mundo democrático occidental que tenga nada parecido”, afirma el profesor invitado sobre leyes de vigilancia de la Universidad Reina María de Londres (Reino Unido) y antiguo director adjunto de Don’t Spy on Us, una coalición de organizaciones no gubernamentales a favor de reformar y controlar las leyes de vigilancia, Eric King.

Reino Unido ha sido pionero en la retención de datos impuesta por el Gobierno (aunque ya era común en países autoritarios). En 2006, el papel de Reino Unido fue fundamental en la elaboración de una regulación de la Unión Europea para requerir a los estados miembro almacenar los datos de las telecomunicaciones de sus ciudadanos durante un mínimo de seis meses. En 2014, no obstante, el Tribunal de Justicia de la Unión Europea dictaminó que la norma violaba el derecho a la privacidad. Desde entonces, Reino Unido no ha logrado definir un régimen de retención de datos que no haya sido desestimado por los tribunales.

Brasil y Australia también han instaurado leyes específicas para retener datos. Estados Unidos no, pero el Departamento de Justicia de Estados Unidos ha abogado por la retención obligatoria de datos. También lo han hecho algunos miembros del Congreso. Después de las revelaciones del caso Snowden, el ya expresidente Barack Obama emitió una directiva presidencial de política para limitar la recogida de datos en bloque por el Gobierno federal. Pero Donald Trump podría rescindirla o trabajar con el Congreso para exigir a los proveedores de servicios de internet que retengan los datos de forma que los investigadores puedan acceder a ellos más tarde, lo que seguiría el modelo legislativo de Reino Unido. “Si la administración Trump quiere ampliar sus poderes de vigilancia o buscar aprobación para un uso más agresivo de los actuales, por desgracia podría señalar la nueva ley de Reino Unido como precedente”, explica la abogada de Privacy International, Camilla Graham Wood.

Los proveedores de servicios de internet ya pueden recopilar información sobre las páginas web que visitamos. En la UE, la ley obliga a eliminarlos una vez que ya no se necesiten. Fuera de la UE, la cantidad de tiempo que los proveedores pueden retener esos datos varía, aunque pocos publican cuánto tiempo lo hacen. Time Warner Cable, por ejemplo, asegura que retiene historiales de direcciones IP durante hasta seis meses.

Al igual que los anteriores, el nuevo intento de Reino Unido para retener y acceder a los datos digitales de sus ciudadanos podría vérselas para sobrevivir en los tribunales, al menos mientras el país pertenezca a la Unión Europea. El mes pasado, el Tribunal de Justicia Europeo sentenció que la retención de datos “generalizada e indiscriminada”, frente a la retención específica con el propósito de resolver un crimen grave, viola la ley de privacidad europea. La decisión no es un buen presagio para la nueva ley de vigilancia de Reino Unido. Según el profesor e investigador de tecnologías de la información, propiedad intelectual y derecho de la comunicación de la Universidad del Este de Anglia (Reino Unido) Paul Bernal, “se van a producir muchas batallas legales respecto a eso durante el próximo año”.

Pero incluso si la disposición del Gobierno para retener los datos es anulada o reducida, sus detractores seguirán alarmados. Asegura que las facultades que introduce la ley llevarán a Reino Unido y otros países que sigan su ejemplo por el camino equivocado para lograr una sociedad digital libre y abierta. El gran alcance de la nueva autoridad de Reino Unido fijaría un precedente dramático, según explica el director internacional de la Fundación Frontera Electrónica, Danny O’Brien. Las empresas podrían ser forzadas a vigilar a sus usuarios o romper las protecciones de privacidad de sus dispositivos y servicios, además de verse obligadas a hacerlo en secreto.

“La idea de que puedas poseer y controlar tu propio dispositivo deja de ser posible” si el Gobierno puede pedir que sea modificado para debilitar su privacidad, señala O’Brien. Obligar a una empresa a debilitar o tumbar una función de privacidad como la encriptación requeriría una orden judicial. Pero si el Gobierno británico puede obligar a las empresas a mantener en secreto estos casos, probablemente también impediría el tipo de debate público que ocurrió en Estados Unidos en 2016 después de que el FBI intentara obligar a Apple a escribir un código para terminar con la encriptación de un iPhone.