Observaciones sobre la propuesta de reforma del Código Procesal Penal de la Ciudad de Buenos Aires

Carta enviada a la Comisión de Justicia de la Legislatura de la Ciudad de Buenos Aires en referencia al Expediente 1790-J-2018 el día 27 de agosto de 2018.

Por la presente, la Asociación por los Derechos Civiles (ADC), organización de la sociedad civil que defiende y promueve el pleno ejercicio de los derechos humanos, civiles, económicos, sociales y culturales desde hace más de 20 años, incluyendo los desafíos que estos derechos encuentran en el entorno digital, se dirige a Uds. para hacerles llegar nuestra preocupación por el proyecto de referencia, que en su artículo 28 propone incorporar al Código Procesal Penal (CPP) el art. 145 quinquies, que consagra diversas medidas especiales de investigación.

Las medidas contempladas por el proyecto (vigilancia acústica; vigilancia remota sobre equipos informáticos; vigilancia a través de dispositivos de captación de imagen; y vigilancia a través de dispositivos de seguimiento y de localización) otorgan a las fuerzas de seguridad y organismos intervinientes de facultad de utilizar herramientas tecnológicas con capacidad de afectar enormemente diversos derechos fundamentales de las personas, en particular el derecho a la privacidad y de protección de los datos personales, como así también la garantía del debido proceso.

En base a las consideraciones de hecho y derecho que desarrollaremos en el anexo adjunto, solicitamos la revisión y modificación de la normativa propuesta, toda vez que el proyecto, en su redacción actual:

  • No establece garantías estrictas para la protección de derechos fundamentales;
  • No contempla la previsión (o remisión) relativa a la adopción de medidas técnicas de seguridad necesarias para asegurar la integridad, veracidad y confidencialidad de la información recolectada;
  • No contempla ni resulta acorde a la ineludible necesidad — previa y permanente- de brindar y exigir capacitaciones específicas en los efectores de justicia acerca del impacto del uso de estas herramientas tecnológicas en los derechos de las personas.

En tal sentido, solicitamos que sean tenidos en consideración por esta Comisión el análisis y las recomendaciones que efectuaremos respecto de cada herramienta, que incluyen los recaudos previos que debieran adoptarse para su implementación.

Por su parte, y por el carácter altamente invasivo de esta herramienta, desaconsejamos en particular y en las actuales condiciones, la adopción de la medida de vigilancia remota sobre equipos informáticos.

Los preocupaciones y principios rectores que aquí compartimos con los Sres. Legisladores, y solicitamos sean considerados, resultan coherentes con lo que ADC expuso el pasado 28 de febrero de 2018 ante la Comisión Interamericana de Derechos Humanos en la Audiencia Temática “Inteligencia Digital, Ciberseguridad y Libertad de Expresión”.

Allí hicimos notar que, conforme nuestras investigaciones, surge que en Argentina y en la Latinoamérica en general, se ha dispuesto la rápida utilización de estos nuevos recursos tecnológicos sin realizar diagnósticos mínimos de situación y sin evaluar la necesidad de contar -y en su caso crear- las condiciones normativas, técnicas y presupuestarias indispensables para lograr su correcto uso.

Hicimos notar también que es necesaria una nueva concepción en la manera de regular medios de prueba, que permita ser sostenida en el tiempo y resistir los embates de los avances tecnológicos, a la vez que consagre las máximas garantías. El desafío del derecho procesal penal es el de brindar una regulación de carácter general a los sistemas informáticos, que establezca limitaciones jurídicas y temporales y requisitos legitimantes, y que aporte certezas a los elementos probatorios incorporados, que permita al proceso penal adaptarse a nuevos medios posibles.

Entendemos que proyecto en análisis adolece del mismo diagnóstico que expusimos ante la CIDH, por lo que solicitamos su revisión y modificación, a la luz de los argumentos que se detallarán en el anexo.

Quedamos a su disposición para realizar las aclaraciones y ampliaciones que se consideren necesarias, y dejamos los datos de contacto de los investigadores de referencia.

Anexo

A) Recomendaciones en particular respecto de las herramientas mencionadas en el proyecto.

Herramientas de vigilancia acústica, a través de dispositivos de captación de imagen, y a través de dispositivos de seguimiento y localización.

Consideramos que deben tenerse en cuenta las siguientes precisiones mínimas para la protección de los derechos fundamentales y las garantías constitucionales (especialmente el debido proceso y el principio de inocencia):

  1. Establecer un listado concreto de delitos en los cuales se podrá recurrir a este tipo de medidas para su investigación. Debido al carácter sensible de las herramientas tecnológicas, el recurrir a este tipo de medidas debería ser la excepción y por ende, su procedencia debe ser limitada a supuestos expresamente previstos con anticipación, sin dejar un amplio margen de discrecionalidad con fórmulas de interpretación ambiguas.
  2. Determinar una clasificación de la intensidad de la sospecha de la persona investigada y en base a dicha distinción, permitir el uso de las tecnologías más invasivas únicamente cuando exista un sospecha suficiente o imperiosa.
  3. Consagrar un robusto principio de subsidiariedad y en consecuencia, autorizar el uso de las herramientas más sensibles sólo cuando las otras alternativas de investigación hayan demostrado ser notoriamente inútiles o ineficaces para lograr el éxito de la investigación (como ultima ratio en la investigación penal).
  4. Fijar un límite temporal determinado razonable, tanto para la duración de las medidas de vigilancia como para la cantidad de veces que puede ser renovada.
  5. Disponer la obligación de notificar a la persona que está siendo objeto de investigación dentro de un plazo razonable luego de haber concluido el desarrollo de las medidas de vigilancia con el objetivo de revisar la procedencia y legalidad de las actuaciones, teniendo acceso a los recursos procedentes para su defensa a través de su letrado. En el caso que la notificación deba postergarse, por suponer un peligro para la eficacia de la investigación o poner en riesgo la vida de personas, tal postergación debe encontrarse autorizada por el juez competente.
  6. Establecer la obligación de publicar periódicamente informes de transparencia con los detalles de las operaciones de vigilancia llevadas a cabo, los cuales deberán contener mínimamente: la cantidad de solicitudes de medidas especiales de investigación (tanto las aprobadas como las rechazadas), la identificación de la fiscalía solicitante y juez que autorizó la medida, los delitos investigados especificados en la solicitud, el método, extensión y duración de las medidas de vigilancia implementadas. De este modo, la sociedad tendrá la oportunidad de controlar la efectividad y legitimidad de las actividades producidas.

Herramienta de vigilancia remota sobre equipos informáticos.

Toda vez que esta medida supone la legitimación de actividades de “hacking estatal”. Para el propósito de la presente, entendemos al término “hacking” como el acto o la serie de actos que interfieren con un sistema y hacen que actúe de forma involuntaria o imprevista por el fabricante, el usuario o propietario del sistema (entendiendo por sistema a cualquier combinación de hardware y software o un componente del mismo).

El hacking es una técnica de vigilancia distinta de las otras medidas establecidas en el proyecto, debido a que este tipo de vigilancia puede llevarse a cabo en forma remota, subrepticia, a través de múltiples jurisdicciones y a escala, pudiendo afectar a múltiples personas a la vez, permitiendo a las autoridades el acceso secreto a dispositivos informáticos (computadoras personales, notebooks, tablets, celulares, bases de datos, servidores, por nombrar tan solo algunos) y a toda la información que allí se almacena. En tal sentido, es indiscutible el rol que dichos dispositivos tienen en nuestra vida cotidiana, como vías para acceder a entretenimiento, realizar compras y manejar finanzas personales, compartir momentos íntimos con familiares y amigos, guardar información sobre condiciones médicas, entre otra infinidad de usos.

Asimismo, el hacking puede conducir a formas modernas de vigilancia en tiempo real, como prender los diversos sensores y componentes del dispositivo de manera encubierta, como la cámara o el micrófono, el GPS para conocer la ubicación precisa, u obtener información continua acerca de todas las actividades que una persona hace con ellos, como capturas de pantalla de lo que la persona está viendo, las pulsaciones sobre el teclado y todo lo que se escribe (nombres de usuario, contraseñas, historial de navegación en internet, etc.), además de acceder a todas las comunicaciones realizadas con el dispositivo (mensajes, correos electrónicos, llamadas). Por otro lado, el hackeo permite la manipulación de los datos almacenados en un dispositivo informático, ya sea a través de su adulteración, borrado o introducción de información. Todas estas actividades pueden llevarse a cabo eliminando cualquier rastro de la intrusión.

Finalmente, el carácter altamente invasivo de la vigilancia remota supone que el organismo que implemente la medida podrá tener acceso a toda la información almacenada en el dispositivo y no sólo aquella relevante para la investigación. De la misma manera, aquella información podrá no pertenecer a la persona vigilada sino a terceros ajenos que hayan entrado en contacto con el vigilado o que hayan utilizado su dispositivo.

Frente a este panorama, desaconsejamos la incorporación de la medida de vigilancia remota sobre equipos informáticos, hasta tanto y en cuanto no se proceda con la consagración mínima de las consideraciones que fueron expuesta precedentemente, en conjunto con las que manifestamos a continuación:

  1. Debe evaluarse si los operadores judiciales cuentan actualmente con el conocimiento suficiente para comprender las consecuencias sobre la privacidad y la protección de datos personales –entre otros derechos– del poder que herramientas digitales, como las que habilita el uso de técnicas de hacking, pueden ocasionar. Si así no fuese el caso, no se debería autorizar esta medida hasta tanto haya un período de capacitación, que incluya el asesoramiento de técnicos y expertos en derechos humanos y tecnología.
  2. Debe sancionarse de manera conjunta una normativa específica sobre regulación técnica que establezca un protocolo acerca de la forma en que dichas operaciones serán llevadas a cabo, la realización de auditorías técnicas del software y hardware utilizado para llevar a cabo las operaciones (las cuales deben permitir determinar la trazabilidad de todos los pasos seguidos para el hackeo de los dispositivos y verificar el que las herramientas utilizadas para el mismo se ciñen a las funciones para las cuales se las autorizó), así como las medidas de seguridad a adoptarse en las bases de datos de las fuerzas de seguridad que serán encargadas de llevar a cabo estas técnicas para evitar que la información recolectada sea filtrada, robada o alterada.
  3. Establecer una disposición específica que exija la obligación de reportar y publicar cuál/es fueron las vulnerabilidades utilizadas para llevar a cabo las tareas de vigilancia remota sobre dispositivos informáticos. El reporte debe ser realizado tanto al fabricante del dispositivo objeto de la medida como a las autoridades competentes (por ejemplo, Equipo de respuesta a incidentes de seguridad informática o CSIRT).
  4. Ninguna medida de hacking Estatal debe prohibir, dificultar o incrementar el riesgo legal de que otros interesados realicen actividades de investigación, desarrollo, capacitación, transferencias de tecnología, entre otros, en seguridad informática en general y especialmente en la investigación de vulnerabilidades y su explotación, análisis de malware, informática forense, y demás prácticas.
  5. Distinguir los casos en que la información se encuentra alojada en un servidor ubicado en el extranjero. En este caso, el procedimiento para poder acceder a estos datos debería ser como regla general el establecido en los Tratados de Asistencia Legal Mutua o en mecanismos de cooperación internacional similar. De esta manera, el Estado en donde están alojados los datos podrá colaborar en controlar la legalidad del procedimiento.

B) Alcances y riesgos de las medidas de vigilancia

A continuación desarrollamos una breve explicación sobre las medidas de vigilancia más preocupantes que busca incorporar el proyecto de reforma.

La vigilancia acústica habilita al Estado a utilizar micrófonos para grabar conversaciones del investigado, siempre y cuando se encuentren fuera del domicilio de cualquiera de los interlocutores. Hoy en día es posible encontrar en el mercado micrófonos tan grandes como una tarjeta de crédito (llegando a un rango aproximado de 12 metros), o diminutos como el botón de una camisa. En cualquier caso, los audios grabados luego pueden ser procesados con tecnologías de identificación biométrica, específicamente reconocimiento de voz, para identificar inequívocamente al interlocutor.

Por otra parte, la vigilancia a través de dispositivos de seguimiento y localización habilitaría, por ejemplo, el uso de rastreadores equipados con GPS para conocer en tiempo real la ubicación geográfica del investigado, ya sea directamente de su persona o de un vehículo. Además, tecnologías como IMSI-Catchers (o Stingrays, por su nombre comercial), permiten simular una antena celular con el fin de captar las señales de los teléfonos en un radio determinado para conocer con un mayor grado de precisión la ubicación del teléfono móvil del investigado, así como de todo el conjunto de personas que se encuentran dentro del rango determinado, debido a que los teléfonos celulares se conectan automáticamente a la antena que se hace pasar por legítima.

La medida de vigilancia más invasiva, debido a su potencial alcance en la recolección de información e intromisión en la intimidad de la persona, es la vigilancia remota sobre equipos informáticos. Esta medida implica utilizar un tipo de software conocido como malware (software malicioso) con el objetivo de tomar control del dispositivo de la persona investigada para obtener distintos tipos de información sin su conocimiento.

A nivel global, la industria comercial del malware maneja miles de millones de dólares al año en transacciones. En los últimos años, la cantidad de empresas que ofrecen servicios profesionales de malware, orientados específicamente a fuerzas de seguridad y otros organismos Estatales, ha crecido exponencialmente. Desde el 2015, dos empresas han cobrado especial relevancia en América Latina, la italiana Hacking Team y la israelí NSO Group; con más firmas siendo creadas periódicamente, una guía sobre la industria de la vigilancia puede consultarse aquí.

Organizaciones académicas y de la sociedad civil como Citizen Lab, R3D y Derechos Digitales, han investigado y denunciado exhaustivamente el uso del malware comercializado por Hacking Team y NSO, fundamentalmente por parte de actores gubernamentales, siendo México el principal país comprador de este tipo de tecnología en la región.

El software comercializado por Hacking Team, Remote Control System (RCS), o Pegasus en el caso de NSO Group, permite –una vez infectado el dispositivo– acceder a todo tipo de información, convirtiendo el dispositivo en un verdadero espía de bolsillo. Este tipo de malware permite monitorear prácticamente cualquier acción realizada en el dispositivo infectado: ver el historial de navegación en internet; ver los archivos abiertos, cerrados y borrados; grabar todas las pulsaciones realizadas en el teclado en cualquier idioma (keylogger); ver archivos impresos; acceder al historial de conversaciones en aplicaciones de mensajería, emails y chats (por ejemplo, Skype, WhatsApp); prender el micrófono para grabar conversaciones; tomar fotografías con la webcam –en el caso de computadoras personales– o cámaras frontales/traseras –en el caso de teléfonos celulares–; tomar capturas de pantalla del dispositivo; registrar el historial de llamadas; registrar la ubicación geográfica (por GPS y/o celdas de telefonía); ver la información del calendario, contactos y fotografías almacenadas. Todo esto sin ser detectado por la persona que utiliza el dispositivo.

En su redacción actual, el proyecto omite considerar cuestiones esenciales para un ejercicio legítimo de dicha facultad. ¿Quién sería el responsable de llevar adelante dichas actividades? ¿Cuál sería el software utilizado? ¿El software sería comprado como una solución empaquetada a empresas especializadas o desarrollado por el mismo Estado? ¿Se llevarían a cabo auditorías –idealmente independientes– para asegurarse que el software hace exclusivamente lo que se determinó en la orden autorizada por el juez? ¿Qué tipo de mecanismos de control se pondrían en lugar para una adecuada rendición de cuentas del uso del software y las operaciones llevadas a cabo con el mismo?