La regulación descuidada de los “delitos informáticos”

Nota publicada en el diario La República, Perú.  http://www.larepublica.pe/columnistas/analisis-eduardo-bertoni/la-regulacion-descuidada-de-los-delitos-informaticos-31-07-2012 El derecho penal es la última herramienta que se debe aplicar para la prevención, sanción y control de conductas que la sociedad considera disvaliosas. Para cualquier estudiante de las ciencias penales, reconocer esta idea, que se traduce como la máxima de la “ultima rattio”, es algo común. También lo es la necesidad imperiosa que se respeten principios fundamentales que operan como un límite al poder punitivo del Estado. Entre ellos están el principio de legalidad, que requiere la precisión en la determinación de las conductas prohibidas, y el principio de proporcionalidad, que rechaza la utilización del derecho penal más allá de lo estrictamente necesario. Lamentablemente, la Comisión de Justicia y Derechos Humanos del Congreso del Perú parece haber desconocido estos principios fundamentales de un estado de derecho al aprobar recientemente un proyecto de “Delitos Informáticos”. El proyecto aprobado hace muy difícil conocer exactamente cuáles son las conductas prohibidas. Invito a cualquiera a leer los verbos típicos que se han utilizado en el documento que trascendió a la luz pública. Para dar solo un ejemplo que aparece al comienzo, según el proyecto es un delito reprimido con pena privativa de libertad de hasta tres años  “acceder a un sistema informático o mantenerse en él sin estar autorizado”. ¿Qué significa esta descripción? ¿Quién debe dar la autorización? Podríamos seguir dando ejemplos descabellados como el anterior. Pero decía al comienzo que no solo se vulnera el principio que manda la claridad en la determinación de delitos, sino que también se incluyen penas que, al tratar de proteger bienes jurídicos diversos en la misma ley (el patrimonio, la fe pública y los derechos de autor), resultan desproporcionadas. Sumando a los ejemplos antes citados, aquí va otro: al determinar que el “hurto de tiempo” –si leyó bien– es un delito, el proyecto puede privar de la libertad hasta por dos años a quien usa un sistema informático excediéndose del tiempo autorizado para hacerlo. Nuevamente no queda clara cuál es la conducta prohibida, pero aun haciendo un esfuerzo para delimitarla, parece excesiva la utilización del derecho penal en un caso que podría resolverse por otras vías menos lesivas. Para que no queden dudas: es importante que en nuestros países discutamos seriamente la necesidad de regulación de Internet a efectos de proteger la privacidad, el patrimonio, los derechos de autor y para ayudar a desterrar la pornografía infantil e impedir discursos racistas o discriminatorios. Pero si el modo en que se implementen las políticas regulatorias es descuidado, pueden convertirse en un problema para el ejercicio de ciertos derechos más que una solución.

Internet Regulation and the Need for “Human Rights Impact Assessments” (HRIA) - a Proposal for Debate in Latin America

A recent study from the Initiative for Freedom of Expression Online – iLEI by its Spanish acronym – from the Center for the Study of Freedom of Expression and Access to Information (CELE) analyzed the growing interest on the part of governments in the region in monitoring the Internet.  This interest often turns into regulatory proposals that, despite the good intentions on which they are based, result in negative consequences in those cases that are approved and implemented, specifically when it comes to fundamental rights like privacy and freedom of expression.  To avoid this, we propose the need to carry out a human rights impact assessment (HRIA) as an initial step before introducing formal proposals for bills or administrative regulations.

In large part, we approached the iLEI study after learning about several legislative proposals in Argentina that were designed to create mechanisms for online content monitoring or detection.  In that study we concluded that content monitoring, particularly in the way that it was proposed in some of the legislative proposals, puts citizens´ fundamental rights at risk and threatens to dismantle the open and pluralist digital environment we know.

In the study we included a general overview of Internet architecture and an analysis of the concept of network control, emphasizing intermediaries and the use of technologies such as deep packet inspection (DPI).  We presented both topics (architecture and control), if even simply and briefly, because we observed in many of the legislative proposals we analyzed that the lawmakers or regulatory entities that were proposing the laws didn`t seem to have good information about these technical questions.

To fill this gap, we recommended that bills that seek to establish mechanisms to monitor content on the Internet begin with a HRIA. We also recommended that the results of the impact assessment be included explicitly in the presentation of motives for the initiative.

The idea to carry out these types of impact assessments is not new, and certainly not when it comes to dealing with issues that are technically complex.  Since the beginning of the 1970s for those public policies that could have a negative impact on the environment, there has been regulatory legislation in the United States that requires the federal government to evaluate the environmental impact of its decisions and the decisions of the states and private contractors that are financed by the federal government or with which the federal government is involved.  The European Union has made these environmental impact assessments obligatory since the mid 1980s for both public and private projects that could have a significant impact on the environment. 

Impact studies are already required in many places for projects that could affect privacy. These studies, known as “privacy impact assessments” (PIA) have been identified as obligatory in different government offices in the United Kingdom.  In fact, the Information Commissioner´s office has prepared several guides on how assessments should be carried out.

In conclusion, the need to have impact assessments before implementing public policies has been underway for many years.  Because of this, our proposal is to learn from these cases and the benefits that have come from impact assessments to be able to demand them for those public policies related to Internet, particularly when it comes to proposals for mechanisms for monitoring online content.  In this way, there would be a sort of “self control” of legislators and regulatory bodies: before any kind of proposal is made, it would be important to have a HRIA made by experts or specialized bodies.

La regulación de Internet y la necesidad de “estudios técnicos de impacto en DDHH” –ETIDH-: una propuesta para debatir en América Latina

Un reciente documento de la Iniciativa por la Libertad de Expresión en Internet –iLEI- del Centro de Estudios en Libertad de Expresión y Acceso a la Información –CELE- analizó el creciente interés de los gobiernos en monitorear la red. Ese interés se traduce en propuestas de regulación que, a pesar de las buenas intenciones en que se basan, conllevan consecuencias negativas en caso de aprobarse e implementarse, específicamente para derechos fundamentales como la privacidad y la libertad de expresión. Para evitarlo proponemos la obligatoriedad de realizar un “estudio técnico de impacto en derechos humanos” –ETIDH- como paso previo a la presentación formal de los proyectos de ley o de normas administrativas.

En buena medida, nos lanzamos al estudio que publicamos desde el iLEI luego de conocer la existencia de algunos proyectos de ley en Argentina que buscan establecer mecanismos de detección o monitoreo de contenidos en Internet. La conclusión del estudio es que esa actividad, sobre todo como se propuso en algunos proyectos de ley, pone en riesgo las garantías fundamentales de los ciudadanos, y amenaza con desmontar el entorno digital abierto y pluralista que conocemos.

En la investigación incluimos una explicación general sobre la arquitectura de Internet y un análisis del concepto de control en la red, haciendo énfasis en los intermediarios y en el uso de tecnologías como la Inspección Profunda de Paquete –deep packet inspection-. Ambas cuestiones (arquitectura y control) las expusimos –aunque de manera breve y simple- porque notamos que en muchos de los proyectos de ley estudiados, los legisladores o entes reguladores que los proponen parecen no tener una buena información sobre estas cuestiones técnicas.

Para suplir esta deficiencia, sugerimos que los proyectos de ley que buscan establecer mecanismos de monitoreo de contenidos en Internet cuenten con un ETIDH. Incluso sugerimos que los resultados de este estudio de impacto se  incluyan explícitamente en la exposición de motivos de la iniciativa.

La idea de contar con este tipo de estudios de impacto no es novedosa, sobre todo cuando se tratan cuestiones de complejidad técnica. En el ámbito de las políticas públicas que pueden involucrar un impacto negativo al medio ambiente, desde principios de los 70’ se incluyó en la legislación de los Estados Unidos normativa que pedía al gobierno federal que evaluara el impacto ambiental de sus decisiones (incluyendo también las acciones llevadas a cabo por los Estados o contratistas privados financiadas por el gobierno federal o en el que éste estuviera involucrado). La Unión Europea regula la obligatoriedad de estos estudios de impacto ambiental desde mediados de los 80’, incluyendo tanto proyectos públicos como privados que puedan tener un impacto significativo en el medio ambiente.

Estudios de impacto ya se requieren cuando existen proyectos que pueden afectar la privacidad. Estos estudios, conocidos como “estudios de impacto en privacidad” –privacy impact assesment –PIA- han sido indicados como necesarios en distintas oficinas gubernamentales en el Reino Unido. De hecho, la oficina del Comisionado de Información de ese país ha elaborado unas guías sobre cómo hacer el estudio.

En conclusión: la necesidad de contar con estudios de impacto antes de ejecutar políticas públicas se viene realizando desde hace muchos años. Por ello, nuestra propuesta consiste en aprender de esos casos y de los beneficios que tienen los estudios de impacto, para exigirlos en las políticas públicas vinculadas con Internet, particularmente cuando se tratan de propuestas de mecanismos para hacer monitoreo de contenidos online. De esta manera, operaría una suerte de “autocontrol” de legisladores y organismos regulatorios: antes de realizar cualquier propuesta se debería contar con un ETIDH realizado por expertos u organismos especializados.