El pasado lunes 28 de agosto, Derechos Digitales presentó ante la Contraloría General de la República observaciones de ilegalidad respecto al decreto Nº 866 del Ministerio del Interior, también conocido como “Decreto Espía”, que modifica el reglamento de interceptación de las comunicaciones y almacenamiento de datos comunicacionales.
El objetivo de la acción es impedir la toma de razón del decreto y, con ello, su entrada en vigencia, por limitar derechos garantizados en la Constitución, lo que solo es posible a través de una ley, y por ser por ser incompatible con el artículo 222 del Código Procesal Penal, la ley 19.628 Sobre la protección a la vida privada y el artículo 24 H de la Ley general de telecomunicaciones.
¿Pero qué dice exactamente el decreto Nº 866?
Pocas personas tuvieron acceso al contenido del decreto Nº 866 antes de ser presentado a la Contraloría General de la República, en tanto el Gobierno decidió redactar el decreto con el mayor sigilo, sin informar a la ciudadanía, la comunidad técnica ni la academia.
Mediante una solicitud de transparencia, Derechos Digitales tuvo acceso al decreto, cuyo contenido detallamos a continuación:
- Sobre el tipo de datos que deben ser recolectados:
El artículo 222 del Código Procesal Penal ordena a las empresas de telecomunicaciones a almacenar los rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados.
Por su parte, el artículo 8 del decreto Nº 866 obliga a las empresas de telecomunicaciones a almacenar “todos los datos comunicacionales”, definiendo “comunicación” de forma excesivamente amplia en el artículo 2 Nº4 como “la emisión o recepción de signos, señales, escritos, imágenes, sonidos e información de cualquier naturaleza”. Luego, en el artículo 10, hace una lista de los datos mínimos que deberán ser recolectados, incluyendo información sobre los participantes de la comunicación, datos de geolocalización y antecedentes que permitan conocer los datos administrativos y financieros del suscriptor, entre muchos otros.
Claramente el decreto plantea una exigencia mucho mayor que la ley respecto al tipo de datos que deberán ser recolectados.
- Sobre el plazo del almacenamiento de los datos:
El ya mencionado artículo 222 del Código Procesal Penal establece que las empresas de telecomunicaciones están obligadas a almacenar los números IP de las conexiones que realicen sus abonados por un plazo “no inferior a un año”.
Por su parte, el artículo 8 del decreto Nº 866 establece que los datos comunicacionales deben ser almacenados por un plazo no menor a dos años, planteando un mínimo superior al contemplado en ley.
- Sobre la obligatoriedad de la orden judicial
El artículo 5 del decreto Nº 866 establece la necesidad de contar con una orden judicial para solicitar la interceptación de las comunicaciones. Sin embargo, este requisito no está presente en relación a la conservación y entrega de datos comunicacionales, tratados en el artículo 8 y siguientes.
Esta omisión demuestra que el objetivo del decreto es dejar la puerta abierta a una interpretación que permite a las policías acceder a nuestra información sin la necesaria orden judicial.
- ¿Quién está autorizado para acceder a los datos comunicacionales?
El artículo 1 del decreto establece que la información recolectada por las compañías de telecomunicaciones debe estar a disposición del Ministerio Público y de “toda otra institución que se encuentre facultada por ley para requerirlo”.
Puesto que el Ministerio Público es la única institución facultada por la ley para acceder a los datos almacenados por las compañías de telecomunicaciones, esta redacción llama la atención y sugiere que podría ser usada para permitir el acceso de otras instituciones a estos datos.
Esto es problemático, puesto que la justificación para facultar el acceso exclusivamente al Ministerio Público es el resguardo de las garantías del debido proceso y la inclusión de otras entidades, como las policías, las ponen en riesgo.
- Trabas al cifrado
El artículo 3 i) del decreto Nº 866 prohíbe a las empresas mantener e incorporar tecnología o equipamiento que dificulte o impida la recolección de los datos de las comunicaciones. Esto entorpece la eventual implementación de tecnologías de cifrado que pudiese proteger tanto el contenido como los metadatos de las comunicaciones de los usuarios.