31/7/12

La regulación descuidada de los “delitos informáticos”


Nota publicada en el diario La República, Perú. 


El derecho penal es la última herramienta que se debe aplicar para la prevención, sanción y control de conductas que la sociedad considera disvaliosas. Para cualquier estudiante de las ciencias penales, reconocer esta idea, que se traduce como la máxima de la “ultima rattio”, es algo común. También lo es la necesidad imperiosa que se respeten principios fundamentales que operan como un límite al poder punitivo del Estado.

Entre ellos están el principio de legalidad, que requiere la precisión en la determinación de las conductas prohibidas, y el principio de proporcionalidad, que rechaza la utilización del derecho penal más allá de lo estrictamente necesario. Lamentablemente, la Comisión de Justicia y Derechos Humanos del Congreso del Perú parece haber desconocido estos principios fundamentales de un estado de derecho al aprobar recientemente un proyecto de “Delitos Informáticos”.

El proyecto aprobado hace muy difícil conocer exactamente cuáles son las conductas prohibidas. Invito a cualquiera a leer los verbos típicos que se han utilizado en el documento que trascendió a la luz pública. Para dar solo un ejemplo que aparece al comienzo, según el proyecto es un delito reprimido con pena privativa de libertad de hasta tres años  “acceder a un sistema informático o mantenerse en él sin estar autorizado”. ¿Qué significa esta descripción? ¿Quién debe dar la autorización?

Podríamos seguir dando ejemplos descabellados como el anterior. Pero decía al comienzo que no solo se vulnera el principio que manda la claridad en la determinación de delitos, sino que también se incluyen penas que, al tratar de proteger bienes jurídicos diversos en la misma ley (el patrimonio, la fe pública y los derechos de autor), resultan desproporcionadas.

Sumando a los ejemplos antes citados, aquí va otro: al determinar que el “hurto de tiempo” –si leyó bien– es un delito, el proyecto puede privar de la libertad hasta por dos años a quien usa un sistema informático excediéndose del tiempo autorizado para hacerlo. Nuevamente no queda clara cuál es la conducta prohibida, pero aun haciendo un esfuerzo para delimitarla, parece excesiva la utilización del derecho penal en un caso que podría resolverse por otras vías menos lesivas.

Para que no queden dudas: es importante que en nuestros países discutamos seriamente la necesidad de regulación de Internet a efectos de proteger la privacidad, el patrimonio, los derechos de autor y para ayudar a desterrar la pornografía infantil e impedir discursos racistas o discriminatorios. Pero si el modo en que se implementen las políticas regulatorias es descuidado, pueden convertirse en un problema para el ejercicio de ciertos derechos más que una solución.

24/7/12

Internet Regulation and the Need for “Human Rights Impact Assessments” (HRIA) - a Proposal for Debate in Latin America



A recent study from the Initiative for Freedom of Expression Online – iLEI by its Spanish acronym – from the Center for the Study of Freedom of Expression and Access to Information (CELE) analyzed the growing interest on the part of governments in the region in monitoring the Internet.  This interest often turns into regulatory proposals that, despite the good intentions on which they are based, result in negative consequences in those cases that are approved and implemented, specifically when it comes to fundamental rights like privacy and freedom of expression.  To avoid this, we propose the need to carry out a human rights impact assessment (HRIA) as an initial step before introducing formal proposals for bills or administrative regulations.

In large part, we approached the iLEI study after learning about several legislative proposals in Argentina that were designed to create mechanisms for online content monitoring or detection.  In that study we concluded that content monitoring, particularly in the way that it was proposed in some of the legislative proposals, puts citizens´ fundamental rights at risk and threatens to dismantle the open and pluralist digital environment we know.

In the study we included a general overview of Internet architecture and an analysis of the concept of network control, emphasizing intermediaries and the use of technologies such as deep packet inspection (DPI).  We presented both topics (architecture and control), if even simply and briefly, because we observed in many of the legislative proposals we analyzed that the lawmakers or regulatory entities that were proposing the laws didn`t seem to have good information about these technical questions.

To fill this gap, we recommended that bills that seek to establish mechanisms to monitor content on the Internet begin with a HRIA. We also recommended that the results of the impact assessment be included explicitly in the presentation of motives for the initiative.

The idea to carry out these types of impact assessments is not new, and certainly not when it comes to dealing with issues that are technically complex.  Since the beginning of the 1970s for those public policies that could have a negative impact on the environment, there has been regulatory legislation in the United States that requires the federal government to evaluate the environmental impact of its decisions and the decisions of the states and private contractors that are financed by the federal government or with which the federal government is involved.  The European Union has made these environmental impact assessments obligatory since the mid 1980s for both public and private projects that could have a significant impact on the environment. 

Impact studies are already required in many places for projects that could affect privacy. These studies, known as “privacy impact assessments” (PIA) have been identified as obligatory in different government offices in the United Kingdom.  In fact, the Information Commissioner´s office has prepared several guides on how assessments should be carried out.

In conclusion, the need to have impact assessments before implementing public policies has been underway for many years.  Because of this, our proposal is to learn from these cases and the benefits that have come from impact assessments to be able to demand them for those public policies related to Internet, particularly when it comes to proposals for mechanisms for monitoring online content.  In this way, there would be a sort of “self control” of legislators and regulatory bodies: before any kind of proposal is made, it would be important to have a HRIA made by experts or specialized bodies.

La regulación de Internet y la necesidad de “estudios técnicos de impacto en DDHH” –ETIDH-: una propuesta para debatir en América Latina



Un reciente documento de la Iniciativa por la Libertad de Expresión en Internet –iLEI- del Centro de Estudios en Libertad de Expresión y Acceso a la Información –CELE- analizó el creciente interés de los gobiernos en monitorear la red. Ese interés se traduce en propuestas de regulación que, a pesar de las buenas intenciones en que se basan, conllevan consecuencias negativas en caso de aprobarse e implementarse, específicamente para derechos fundamentales como la privacidad y la libertad de expresión. Para evitarlo proponemos la obligatoriedad de realizar un “estudio técnico de impacto en derechos humanos” –ETIDH- como paso previo a la presentación formal de los proyectos de ley o de normas administrativas.

En buena medida, nos lanzamos al estudio que publicamos desde el iLEI luego de conocer la existencia de algunos proyectos de ley en Argentina que buscan establecer mecanismos de detección o monitoreo de contenidos en Internet. La conclusión del estudio es que esa actividad, sobre todo como se propuso en algunos proyectos de ley, pone en riesgo las garantías fundamentales de los ciudadanos, y amenaza con desmontar el entorno digital abierto y pluralista que conocemos.

En la investigación incluimos una explicación general sobre la arquitectura de Internet y un análisis del concepto de control en la red, haciendo énfasis en los intermediarios y en el uso de tecnologías como la Inspección Profunda de Paquete –deep packet inspection-. Ambas cuestiones (arquitectura y control) las expusimos –aunque de manera breve y simple- porque notamos que en muchos de los proyectos de ley estudiados, los legisladores o entes reguladores que los proponen parecen no tener una buena información sobre estas cuestiones técnicas.

Para suplir esta deficiencia, sugerimos que los proyectos de ley que buscan establecer mecanismos de monitoreo de contenidos en Internet cuenten con un ETIDH. Incluso sugerimos que los resultados de este estudio de impacto se  incluyan explícitamente en la exposición de motivos de la iniciativa.

La idea de contar con este tipo de estudios de impacto no es novedosa, sobre todo cuando se tratan cuestiones de complejidad técnica. En el ámbito de las políticas públicas que pueden involucrar un impacto negativo al medio ambiente, desde principios de los 70’ se incluyó en la legislación de los Estados Unidos normativa que pedía al gobierno federal que evaluara el impacto ambiental de sus decisiones (incluyendo también las acciones llevadas a cabo por los Estados o contratistas privados financiadas por el gobierno federal o en el que éste estuviera involucrado). La Unión Europea regula la obligatoriedad de estos estudios de impacto ambiental desde mediados de los 80’, incluyendo tanto proyectos públicos como privados que puedan tener un impacto significativo en el medio ambiente.

Estudios de impacto ya se requieren cuando existen proyectos que pueden afectar la privacidad. Estos estudios, conocidos como “estudios de impacto en privacidad” –privacy impact assesment –PIA- han sido indicados como necesarios en distintas oficinas gubernamentales en el Reino Unido. De hecho, la oficina del Comisionado de Información de ese país ha elaborado unas guías sobre cómo hacer el estudio.

En conclusión: la necesidad de contar con estudios de impacto antes de ejecutar políticas públicas se viene realizando desde hace muchos años. Por ello, nuestra propuesta consiste en aprender de esos casos y de los beneficios que tienen los estudios de impacto, para exigirlos en las políticas públicas vinculadas con Internet, particularmente cuando se tratan de propuestas de mecanismos para hacer monitoreo de contenidos online. De esta manera, operaría una suerte de “autocontrol” de legisladores y organismos regulatorios: antes de realizar cualquier propuesta se debería contar con un ETIDH realizado por expertos u organismos especializados.

22/7/12

The Challenge of Regulating the Internet


This article was published in Spanish at La Nación (http://www.lanacion.com.ar/1490316-el-desafio-de-regular-internet) Argentina, on July 14, 2012

The United Nations Human Rights Council recently adopted a resolution in which it affirms that both online and offline people should enjoy the same human rights, in particular, freedom of expression.  Exercising this right online has begun to appear on the agenda for public debate, although in our country, much like the rest of Latin America, concrete steps in this direction are few or are headed down the wrong path.

There are voices that argue in favor of regulating the Internet in order to protect freedom of expression, such as privacy and copyrights. Others advocate for Internet regulation to help eliminate child pornography and stop racist or discriminatory speech.  All of these are incontrovertible goals.  However, the way in which regulatory policies are implemented can become more of a problem than a solution when it comes to exercising certain rights.  With that in mind, I am proposing a simple idea that would help to avoid these unintended consequences. 

The lack of adequate regulation means that once the problems outlined above begin to concretely manifest themselves, policymakers turn to metaphors in the pursuit of solutions: “Internet is like mail,” so we can apply the laws that regulate postal communication; “Internet is a means of communication,” so we can apply the laws that regulate broadcasting and audiovisual communication; or “Internet is like the phone,” so we can apply the telecommunications regulatory framework.  The problem is that the Internet shares some characteristics with each of these technologies, but it is much more and it is different, so the direct application of rules not intended for the Internet generates negative effects when it comes to exercising fundamental rights.

So I am proposing that any Internet regulation policy be thought through with caution and situated in a framework that protects human rights. This would be the base from which regulation could be constructed.  The basic framework I am proposing is one that was articulated in a joint declaration by the Special Rapporteurs for Freedom of Expression from the U.N, The Inter-American Commission on Human Rights at the Organization of American States (OAS), the Organization for Security and Co-operation in Europe (OSCE) and the African Commission on Human and Peoples´ Rights.  The declaration, which was published in June of 2011, expresses fundamental standards that should be taken into account.

For example, the document points out that freedom of expression applies to the Internet just as it does to all other media, but that the regulatory approaches developed for other media cannot be directly applied to the Internet, but should be designed specifically for this medium.

It also affirms that those who provide Internet services such as access, search tools, or data retention in caches cannot be held responsible for content generated by third parties that is disseminated using these services assuming that the provider has not interfered with the content nor failed to comply with a court order that requires its elimination if they are able to do so. 

The document also makes reference to limits for blocking and content filtering, matters related to applicable jurisdiction for court cases, the importance of network neutrality and policies that should be applied to ensure broad Internet access.

Beyond the value this joint declaration has in terms of international and national law, Argentina, and other countries, could follow the Chilean example where in January of this year the Senate approved an Executive request to instruct the ministers “to begin developing public policies concerning access, use and regulation of the Internet, based on those criteria and recommendations contained in the Joint Declaration.”

Our lawmakers could sign onto a declaration with similar reach.  Or, the Executive could directly and formally adopt the criteria from the Joint Declaration.  With this simple idea, we would be laying the groundwork for the development of public policies related to Internet regulation that wouldn’t jeopardize fundamental rights that are guaranteed by our constitution and international human rights conventions.

14/7/12

El desafío de regular Internet


Nota publicada en el diario La Nación - Argentina


El Consejo de Derechos Humanos de las Naciones Unidas adoptó recientemente una resolución en la que afirma que tanto en el mundo offline como en el online las personas deben gozar de los mismos derechos humanos, en particular la libertad de expresión. El ejercicio de este derecho en Internet ha comenzado a incluirse en la agenda de discusión pública, aunque en nuestro país, como en el resto de América latina, los pasos concretos que se están dando o son pocos o tienen un rumbo equivocado.


Se escuchan voces que impulsan la necesidad de regulación de Internet a efectos proteger tanto la libertad de expresión, como la privacidad y los derechos de autor. Otras voces se muestran a favor de regular Internet para ayudar a desterrar la pornografía infantil e impedir discursos racistas o discriminatorios. Todos estos son fines indiscutibles. Pero el modo en que se implementen las políticas regulatorias puede convertirse en un problema para el ejercicio de ciertos derechos más que una solución. En esta nota, propongo una idea simple que puede servir para evitar consecuencias no buscadas.


La falta de regulación adecuada lleva a que, una vez enfrentados de manera concreta a los problemas señalados antes, se recurra a metáforas en búsqueda de soluciones: "Internet es como el correo", entonces apliquemos las reglas que regulan la comunicación postal; "Internet es un medio de comunicación", entonces apliquemos las leyes que regulan la comunicación audiovisual, o "Internet es como el teléfono", entonces apliquemos el marco regulatorio de las telecomunicaciones. El problema es que Internet comparte con esas tecnologías alguna característica, pero es mucho más y distinto, por lo que la aplicación directa de reglas no pensadas para Internet genera efectos negativos para el ejercicio de derechos fundamentales.


Sugiero entonces pensar cualquier política regulatoria de Internet con prudencia y a partir de un marco que proteja los derechos humanos. Este sería el piso sobre el cual construir la regulación. El marco base que propongo es el expresado mediante una declaración conjunta de los relatores especiales para la Libertad de Expresión de la ONU, de la Comisión Interamericana de Derechos Humanos de la OEA, de la Organización para la Seguridad y la Cooperación en Europa (OSCE) y de la Comisión Africana de Derechos Humanos y de los Pueblos. En ese documento emitido en junio de 2011, se expresan pautas fundamentales que deben tenerse en cuenta.


Por ejemplo, el documento señala que la libertad de expresión se aplica a Internet del mismo modo que a todos los medios de comunicación, pero que los enfoques de reglamentación desarrollados para los medios de comunicación no pueden transferirse sin más a Internet, sino que deben ser diseñados específicamente para este medio.


También expresa la declaración que quien ofrezca servicios de Internet como acceso, búsquedas o conservación de información en la memoria caché no deberá ser responsable por contenidos generados por terceros y que se difundan a través de estos servicios, siempre que no intervenga específicamente en dichos contenidos ni se niegue a cumplir una orden judicial que exija su eliminación cuando esté en condiciones de hacerlo.


El documento también hace referencia al límite al bloqueo y filtrado de contenidos, a cuestiones vinculadas a la jurisdicción aplicable en caso de juicios, a la importancia de la neutralidad de la Red y a las políticas que deben aplicarse para implementar un amplio acceso a Internet.


Más allá del valor que tiene en el derecho internacional y nacional esa declaración conjunta, en la Argentina y en otros países se podría seguir el ejemplo chileno donde el Senado aprobó en enero de este año una solicitud al presidente de la República para que instruya a sus ministros "para que se incorporen en el desarrollo de las políticas públicas referidas al acceso, uso y regulación de Internet, los criterios y recomendaciones contenidas en la Declaración Conjunta".


Nuestros legisladores podrían suscribir un documento con similar alcance. O el Poder Ejecutivo podría adoptar directa y formalmente los criterios que emanan de la declaración conjunta. Con esta simple idea, estaríamos entonces fijando un piso de desarrollo de políticas públicas relacionadas con la regulación de Internet que no ponga en jaque los derechos fundamentales garantizados por nuestra constitución y los pactos de derechos humanos.