IFT facilita espionaje a autoridades: lineamientos violan privacidad y protección de datos
México D.F., a 8 de diciembre de 2015.- El pasado 2 de diciembre de 2015, el Instituto Federal de Telecomunicaciones (IFT) expidió los Lineamientos de Colaboración en Materia de Seguridad y Justicia (LCSJ) con el objeto de establecer la adopción de medidas obligatorias de las empresas de telefonía, en cumplimiento a los artículos 189 y 190 de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR). Estas disposiciones han sido sumamente controvertidas por propiciar esquemas intrusivos de monitoreo y vigilancia de las comunicaciones por parte de las autoridades.
En esta ocasión, el IFT facilitó la existencia de dichos esquemas en tanto no atendió el mandato constitucional de preservar la inviolabilidad de las comunicaciones y la protección a la vida privada como regla, aun cuando el Estado mexicano únicamente puede restringir el derecho a la privacidad únicamente de manera excepcional y bajo los parámetros de idoneidad, necesidad y proporcionalidad. Es decir, los lineamientos no contemplaron mecanismos de limitación o control a las autoridades ni salvaguardas para evitar y vincular sanciones ante injerencias abusivas o arbitrarias en las comunicaciones de las y los usuarios de telefonía. Por el contrario, excedieron los alcances de la LFTR y ampliaron el ámbito de vulnerabilidad para que los usuarios vean afectados sus derechos humanos a la privacidad y seguridad jurídica.
En el mismo sentido, ignoraron los criterios reiterados por la Suprema Corte de Justicia de la Nación (SCJN) y los estándares internacionales sobre la necesidad de protección de todo el proceso de comunicación y los «datos de tráfico de las comunicaciones». Dentro de otros, estos datos incluyen el registro de los números marcados y recibidos por un usuario de la red telefónica, la identidad de los comunicantes, la duración y horario de la llamada telefónica o la identificación de una dirección de protocolo de internet (IP). La intercepción y conocimiento antijurídico vulnera el derecho fundamental al secreto de las comunicaciones cuando se llevan a cabo sin las garantías necesarias para su restricción.[1]
Dicho de otra manera, la localización geográfica en tiempo real, la intervención en las comunicaciones y la conservación de los datos de los usuarios de telefonía a disposición de las autoridades quedaron expuestas a una injerencia abusiva e ilícita, contraria a los artículos 6 y 16 constitucionales, al no contar con un debido control judicial y mecanismos de impugnación para las y los ciudadanos ante la arbitrariedad.
Por ello, a continuación exponemos algunos de los aspectos más preocupantes para ARTICLE 19 relativos a la vigilancia ilegal en las comunicaciones, la protección de datos personales y la privacidad de las personas en ausencia de objetivos legítimos y controles judiciales efectivos para llevar a cabo la solicitud, transferencia, recepción, procesamiento, tratamiento, uso, fin y cancelación de la información y los datos conservados por las concesionarios y autorizados en posesión de las autoridades:
- La autorización judicial no es obligatoria para todo tipo de requerimiento de información o datos de tráfico de la comunicación:
- A pesar de que los Lineamientos pudieron haber subsanado las deficiencias de la LFTR ampliando el ámbito de protección de los derechos humanos de los usuarios de servicios de telecomunicaciones y evitar la invasión abusiva a su privacidad y protección de datos, los lineamientos contemplan el requisito de contar con autorización judicial únicamente para los casos que las leyes aplicables así lo establezcan. Así lo plantea para los casos de solicitud de localización geográfica en tiempo real y transferencia de datos de las comunicaciones, de lo contrario, la información deberá entregarse a las autoridades bajo solicitudes que solamente deberán fundar y motivar su requerimiento, dejando a las concesionarias y autorizadas establecer el control de legalidad y permitir un acopio masivo de metadatos y geolocalizaciones de los usuarios.
- Lo anterior, sumado a que no se prevé una tercera parte que observe la legalidad de las solicitudes, hace que el control de éstas recaiga sobre entes privados, es decir, los concesionarios y autorizados. Sin embargo, por tratarse de un límite a la privacidad de las personas en sus comunicaciones, esta debe tener causa justificada dotada de legalidad otorgada por órgano independiente, objetivo e imparcial que evite el abuso en las facultades de vigilancia, es decir, solamente un juez puede garantizar que las facultades de vigilancia se ejerzan de una manera necesaria y proporcionada.[2] Por lo tanto, ésta no puede ser convalidada por sujetos privados.
- En ese sentido, cualquier modalidad en la intromisión a las comunicaciones y los datos de tráfico de las personas usuarias de las telecomunicaciones, en ausencia de autorización judicial previa o inmediata, tienen carácter de injerencias arbitrarias. Además, las autoridades solicitantes pueden extender el alcance temporal (duración de la geolocalización) del requerimiento inicial sin necesidad de justificarlo o realizar otro requerimiento (Lineamiento NOVENO vinculado con el SÉPTIMO).
- Si bien en los casos de las intervenciones telefónicas sí contempla el requisito de contar con una orden judicial, el IFT no incluyó mecanismos de control de legalidad (revisión judicial) contra el abuso durante el proceso de entrega, uso brindado a la información o los datos recibidos, ni la temporalidad de conservación de la información en posesión de las autoridades ante posteriores impugnaciones. Por el contrario, obliga a contar con protocolos para la cancelación o supresión segura de la información una vez haya cumplido el fin para el que fue solicitada y recibida sin notificar al usuario (Lineamiento OCTAVO fracción VII). En estos casos, no existirán rastros para tener conocimiento de que nuestra información privada fue requerida por la autoridad facultada a las concesionarias y autorizadas, menos el fin para el cual fue utilizada. Por lo tanto, bajo el debido proceso y el derecho a un recurso efectivo, la conservación de la información una vez está en posesión de las autoridades facultadas es fundamental para poder acreditar injerencias abusivas o arbitrarias.
- Autoridades facultadas pueden delegar atribuciones para requerir información y datos de usuarios:
- Una facultad de vigilancia en las comunicaciones no debe ser transferible en ningún caso[3], sin embargo, el lineamiento SÉPTIMO fracción III abre la posibilidad de que las autoridades facultadas, de por sí imprecisas tanto en la LFTR como en los lineamientos, celebren acuerdos delegatorios de sus facultades con otras instancias para requerir información a concesionarios y autorizados. El principio de legalidad y la excepcionalidad a los límites de la privacidad son altamente vulnerados por estas medidas que amplían discrecionalmente el abanico de posibles autoridades para practicar injerencias antijurídicas. La imprecisión y desconocimiento expreso de quienes ostentan dicha facultad es inconstitucional.
- Son los concesionarios y autorizados quienes tendrán el deber de consultar y cerciorarse de que las autoridades requirentes de la información cuenten con las facultades expresas para ello, ya sea por las leyes aplicables o los ya comentados acuerdos delegatorios. Al respecto, el IFT no establece obligaciones a las autoridades facultadas para que sea información pública y accesible sobre sus facultades expresas, las autoridades designadas, áreas administrativas responsables de solicitud y recepción, tratamiento y uso de la información, tanto para concesionarios como para ciudadanos. Únicamente señala que “impulsará” la creación de Portales de Información para tales efectos.
- Prioridad a los requerimientos cuando se trate de una amenaza a la seguridad nacional: El lineamiento CUARTO obliga a los concesionarios y autorizados a priorizar todo requerimiento en el que se justifique por razones de amenazas a la seguridad nacional. La ambigüedad del concepto, descrito en la Ley de Seguridad Nacional, además de tener efectos para motivar una autorización judicial en el caso de intervenciones a las comunicaciones privadas podría prestarse para vigilar a cualquier actor disidente o contrario al gobierno en labores de inteligencia indebidamente justificadas. Es así como la utilización de términos vagos e imprecisos para la restricción de derecho a la vida privada y protección de datos de las personas en sus comunicaciones, también constituye una vulneración al principio de legalidad y certidumbre jurídica.
- Notificación a las y los usuarios:
- No establece mecanismo de notificación al usuario ex post sobre las injerencias a sus comunicaciones o datos privados. Es imposible que una persona impugne efectivamente la interferencia ilegal a sus comunicaciones si desconoce haber sido víctima de ello. Durante la consulta pública a los lineamientos, organizaciones de derechos humanos hicieron mucho énfasis en la necesidad de incluir estos mecanismos para garantizar el debido proceso y el acceso a un recurso efectivo en casos de intrusiones abusivas o arbitrarias que violan el derecho a la privacidad y la protección de los datos personales. Sin embargo, el IFT decidió ignorar las salvaguardas para limitar abusos y violaciones a tales derechos.
- Para que el principio de notificación sea efectivo, las leyes y normas deben diseñar mecanismos que permitan proceder en lo contencioso cualquier labor de vigilancia encubierta, tal como se ha discutido internacionalmente, la notificación puede practicarse una vez haya cesado el peligro de interferir u obstaculizar el objetivo para el cual se practicó la injerencia en la privacidad de las personas.
- Ausencia de mecanismos de transparencia:
- No existen obligaciones concretas en materia de transparencia, sólo opciones vacías para las autoridades. Los portales de información que podrán crear las autoridades pueden o no contener información relativa a qué autoridades son designadas, el acuerdo del DOF que les designó, las facultades expresas que les habilitan para solicitar datos, entre otra información. Es más, estos portales se podrán crear para efectos de los autorizados/concesionarios, no de la ciudadanía interesada. En adición, los informes semestrales que deben rendir las autoridades y los concesionarios son simplemente sobre números totales, sin especificar otra información importante para la rendición de cuentas, por ejemplo, sustentos legales de cada solicitud, si las solicitudes fueron intrusivas con el usuario, etc.
- Se vulnera el derecho de acceso a la información relacionada con vigilancia. Los lineamientos clasifican categóricamente como reservada o confidencial toda la información de las áreas responsables de entregar datos en los autorizados/concesionarios. Esto implica una reserva categórica de información que de acuerdo al artículo 108 de la Ley General de Transparencia publicada en el Diario Oficial de la Federación en mayo del presente año, en ningún caso se podrán clasificar documentos antes de que se genere la información y los sujetos obligados no podrán emitir acuerdos de carácter general ni particular que clasifiquen Documentos o información como reservada.
- De acuerdo a este ordenamiento general, la clasificación de información reservada se realizará conforme a un análisis caso por caso, mediante la aplicación de la prueba de daño.
- Vacío normativo sobre las responsabilidades y esquemas de sanciones para autoridades:
No se crean obligaciones para las autoridades en materia de protección, tratamiento y control de datos conservados e información de geolocalización. Los lineamientos sólo mencionan que los concesionarios y autorizados tienen obligaciones en la Ley Federal de Protección de Datos en Posesión de Particulares. Respecto a las autoridades facultadas y designadas, relacionan que “estarán sujetas a disposiciones aplicables”. Proyecto de Ley General de Protección de Datos en Posesión de Sujetos Obligados Autoridades no contempla obligaciones al respecto, remitiendo a Ley Federal de Telecomunicaciones. Es decir, las leyes se remiten entre sí, pero ninguna crea obligaciones concretas.
- Los lineamientos superan ilegalmente su objetivo y la LFTR:
- Regulan intervenciones de comunicaciones. El 189 y 190 de la LFTR y los Lineamientos sólo deben regular las solicitudes de datos conservados y de geolocalización, sin embargo, los Lineamientos pretenden regular algunos aspectos de intervención de comunicaciones. Si bien el lineamiento décimo segundo reconoce esto, el lineamiento cuarto pretende que los requisitos para una solicitud de datos conservados sean los mismos de intervención, añadiendo para esta última el requisito de adjuntar “la autorización judicial” correspondiente. Al ser una restricción severa del derecho a la privacidad, la intervención en comunicaciones por orden judicial debe seguir un proceso mucho más exhaustivo, y no sólo un “adendum” al proceso de solicitud de datos recabados.
- Permiten solicitar datos conservados que no se contemplan en la LFTR. El lineamiento décimo cuarto, fracción IV, obliga a concesionarios y autorizados a conservar, y permite que las autoridades soliciten, los datos relacionados con lugar, fecha y hora de compra de dispositivos y/o tarjetas SIM, así como datos de distribuidores de equipos prepagos. Estos datos no están relacionados en la lista taxativa del 190 de la LFTR. Asimismo, el lineamiento décimo quinto fracción III permite grupos de trabajo conformados por concesionarios y autoridades definan e implementen qué nueva información se va a recabar y requerir “conforme a evolución tecnológica”, dejando esta opción absolutamente abierta y violando la taxatividad del art. 190 de la LFTR.
De esta manera podemos afirmar que el derecho a la privacidad es plenamente nulificado en los lineamientos, fortalece un esquema de monitoreo y vigilancia encubierta sin salvaguardas ni certidumbre jurídica para las y los usuarios de servicios de telefonía. Para que tanto la LFTR y los lineamientos garanticen la protección al derecho a la privacidad y a los datos personales en el uso de las telecomunicaciones, éstas deben imponer restricciones firmes a cualquier margen de discreción de los funcionarios públicos, ser suficientemente claras en sus términos para proporcionar a los ciudadanos información adecuada sobre las condiciones en que pueden o serán interferidos secretamente por las autoridades e imponer garantías suficientes para evitar el riesgo de abuso de poder o arbitrariedades.[4]
Sin embargo, el derecho de las personas a comunicarse sin intromisiones externas aún no cuenta con la protección debida conforme a los criterios nacionales e internacionales que mandatan su garantía y respeto. En este caso, la próxima Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados tiene una invaluable oportunidad para establecer los controles y garantías judiciales necesarias que subsanen las violaciones incurridas en la LFTR y los Lineamientos.
[1] SCJN (2011), DERECHO A LA INVIOLABILIDAD DE LAS COMUNICACIONES PRIVADAS. SU OBJETO DE PROTECCIÓN INCLUYE LOS DATOS QUE IDENTIFICAN LA COMUNICACIÓN, Tesis: 1a. CLV/2011, Tomo XXXIV, Agosto de 2011, Primera Sala, Novena Época.
Corte IDH. Caso Escher y otros Vs. Brasil. Excepciones Preliminares, Fondo, Reparaciones y Costas. Sentencia de 6 de julio de 2009. Serie C No. 200, Párrafo 114.
[2] Necesarios y Proporcionados, Principios Internacionales sobre la Aplicación de los Derechos Humanos a la vigilancia de las comunicaciones, página 33: https://www.article19.org/data/files/medialibrary/37564/NECESARIOS-&-PROPORCIONADOS-ES.pdf
[4] Ibid, pág. 39.
Nota para prensa
Para mayor información, favor de contactar a comunicacion@article19.org o hablar al + 52 55 1054 6500 www.articulo19.org
ARTICLE 19 es una organización independiente de Derechos Humanos que trabaja alrededor del mundo para proteger y promover el derecho a la libertad de expresión. Toma su nombre del Artículo 19 de la Declaración Universal de los Derechos Humanos, la cual garantiza la libertad de expresión.