México:

El Convenio de Budapest desde una perspectiva de derechos humanos

El Convenio de Budapest es un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”. Pero, ¿qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?

Imagen de la campaña #GobiernoEspía, sobre vigilancia estatal en México

El Convenio sobre Ciberdelincuencia, mejor conocido como el Convenio de Budapest, es un tratado internacional vinculante en materia penal, que establece herramientas legales para perseguir penalmente aquellos delitos cometidos ya sea en contra de sistemas o medios informáticos, o mediante el uso de los mismos. El Convenio nació, como señala su preámbulo, en vista de la necesidad prioritaria de aplicar “una política penal común” entre sus miembros, así como de mejorar la cooperación internacional entre ellos con el fin de “proteger a la sociedad frente a la ciberdelincuencia”.

En función de lo anterior, para abordar la efectividad del mismo o la necesidad de que México se adhiera a él, surge una primer interrogante: ¿qué se debe entender por una “política penal común”? Para atender esta cuestión, habría que recurrir primeramente a la concepción de “derecho penal” en sí misma. Esta suele dividirse en dos aspectos, el derecho penal objetivo, “ius poenale” y el derecho penal subjetivo, “ius puniendi”. Como explica Miguel Polaino Navarrete, el primero refiere al “conjunto de normas públicas que definen determinadas acciones como delitos e imponen las penas correspondientes”. El segundo, a la facultad o potestad del Estado para imponer dichas penas a quienes incurran en estas acciones. El derecho penal, por tanto, resulta ser una atribución única y exclusiva del Estado. Solo a este le compete definir su política penal y sancionar a aquellos ciudadanos que actúen de forma contraria a la misma.

Entonces, la necesidad de aplicar una “política penal común” implica otorgarle a los Estados signatarios del Convenio la facultad de, en términos de su preámbulo, “detectar, investigar y sancionar” aquellas conductas que, de acuerdo a las definiciones establecidas por el mismo Convenio, constituyen actos que ponen en peligro los sistemas, redes y datos informáticos, con el fin de “proteger los intereses legítimos en la utilización y el desarrollo de las tecnologías de la información”. De lo anterior, surge una segunda interrogante: ¿a qué intereses legítimos se refiere el Convenio? ¿Intereses legítimos según quién o para quién? Al tratarse de una potestad exclusiva de los Estados, es claro que la “legitimidad” detrás de los intereses en juego también deberá definirse por estos.

Por tratarse de un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”, o ser el marco de referencia en este sentido, el Convenio incorpora, de manera por demás vaga, amplia y general, las conductas mínimas que cada Estado deberá criminalizar en su derecho interno para combatir este fenómeno. El problema es que no todos los Estados parten de los mismos contextos ni enfrentan los mismos obstáculos. No todos los Estados son igual de democráticos, no todos los Estados son igual de transparentes y no todos los Estados garantizan o priorizan de la misma forma el respeto a los derechos humanos.

El Convenio pretende la implementación de nuevos tipos penales, así como el establecimiento de facultades de investigación más robustas para que los Estados puedan perseguir a los “ciberdelincuentes”. No obstante, el Convenio y sus principales promotores probablemente parten del supuesto de que el país firmante es un país democrático, un país en el que se respeta el Estado de Derecho. También del supuesto común de que son los particulares o los entes privados los principales responsables de la comisión de delitos informáticos. ¿Pero qué pasa cuando se trata de Estados con regímenes poco democráticos y/o poco transparentes? ¿Qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?

Durante la elaboración del Convenio surgieron preocupaciones, sobre todo por parte de la sociedad civil, en torno a que bajo la narrativa de buscar “proteger a la sociedad frente a la ciberdelincuencia”, el instrumento fuera utilizado como fundamento para expandir facultades de vigilancia e implementar restricciones demasiado vagas o ilegítimas al uso de internet y al contenido en línea. De hecho, desde 2001 se han presentado diversas iniciativas por parte de Estados que, operando bajo la misma supuesta línea de querer combatir la “ciberdelincuencia”, pretenden criminalizar y restringir arbitrariamente el derecho a la libertad de expresión en línea.

En México, por ejemplo, se ha documentado que autoridades han utilizado ataques informáticos para invadir la privacidad de defensores de derechos humanos, periodistas y otros actores de la sociedad civil. Según ha sido revelado, el Estado mexicano habría adquirido licencias de un costoso y sofisticado malware de vigilancia que, explotando vulnerabilidades en dispositivos electrónicos, permite al atacante tomar control absoluto del dispositivo con fines de vigilancia. Las investigaciones revelan que dicho malware de vigilancia se habría utilizado en contra de los defensores de derechos humanos, periodistas y otros actores de la sociedad civil de manera presumiblemente ilegal, al no mediar la autorización judicial pertinente, entre otros. Tal nivel de control e intrusión sobre las comunicaciones de una persona constituye una violación grave a su derecho a la libertad de expresión, a la privacidad e incluso, podría derivar en violaciones al derecho a la integridad y a la seguridad personal.

Cabe mencionar que estos hechos también implican la comisión de diversos delitos informáticos conforme al Convenio. Los mismos encuadran dentro de la descripción típica que hace este instrumento de los delitos de acceso ilícito, previsto en el Artículo 2; interceptación ilícita, previsto en el Artículo 3, y abuso de dispositivos, previsto en el Artículo 6, por ejemplo. Incluso, sin necesidad de recurrir al Convenio, esta violación grave implica la comisión de delitos que ya se encontraban tipificados en México, mucho antes de su comisión, como delitos graves.

Partiendo de un contexto como el anterior, ¿sería acorde a los principios y estándares internacionales en materia de derechos humanos el i) imponer la creación de nuevos tipos penales que dejan un amplio margen a la interpretación estatal, así como ii) dotar de mayores facultades de investigación a los Estados, con el fin “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, cuando existe evidencia sólida de que es el mismo Estado el que ha usado las tecnologías de la información y las comunicaciones para violar los derechos humanos de sus ciudadanos?

La respuesta más lógica sería que no, al contrario. Resultaría riesgoso otorgar mayores facultades de investigación, vigilancia, retención de datos y persecución de delitos (tipificados de forma todo menos precisa, clara y detallada) a países que, por mencionar un ejemplo, ya figuran entre los principales clientes de empresas de “ciberguerra” , como es el caso de NSO Group y México, los Emiratos Árabes Unidos y Turquía. Países que, se ha demostrado, en vez de recurrir a estas herramientas de “ciberguerra” en pro de la lucha contra el terrorismo y la delincuencia organizada, recurren a estas en contra de sus propios ciudadanos.

La creación del Convenio de Budapest como un intento de armonización en la materia pretendía justificarse a la luz de la complejidad técnica y la necesidad de colaboración internacional para afrontar el fenómeno de la “ciberdelincuencia”. Sin embargo, parece ser que a la fecha no se ha abordado lo suficiente el riesgo tangible que implicaría que, con base en el mismo Convenio, bajo el pretexto de “proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones”, Estados con regímenes autoritarios o poco democráticos justifiquen violaciones a derechos humanos e incluso, paradójicamente, mediante el mal uso de las tecnologías de la información y las comunicaciones, cometan delitos informáticos en contra de sus ciudadanos.

En vista de que no se ha otorgado mayor consideración a esta posibilidad ni se ha discutido profundamente la misma, que es por demás factible, cobra fundamental importancia que la sociedad civil participe en los procesos de adopción e implementación del Convenio de aquellos Estados con contextos similares al de México, con altos índices de corrupción e impunidad y bajos niveles de transparencia y rendición de cuentas, que decidan adherirse al mismo. De igual forma, que la misma sociedad civil e incluso la comunidad internacional den especial seguimiento a los instrumentos jurídicos y mecanismos de cooperación que de ello deriven, incluyendo su respectiva aplicación.

Si dichos procesos de implementación, instrumentos jurídicos y mecanismos de cooperación no gozan de las debidas garantías de transparencia, publicidad, objetividad, imparcialidad, legalidad y exacta aplicación de la ley penal, así como de mecanismos suficientes de supervisión independiente y de rendición de cuentas, la efectividad del Convenio para alcanzar su objetivo -proteger a los ciudadanos contra el mal uso de las tecnologías de la información y las comunicaciones- se tornaría lejana. Incluso, contraproducente.

***

Esta columna es la segunda de una serie colaborativa, coordinada por Derechos Digitales y desarrollada por algunas de las organizaciones más importantes de la región en materia de derechos humanos y tecnología. La serie contempla además investigaciones desarrolladas por las mismas organizaciones. En el caso de R3D, la publicación se titula “México y el Convenio de Budapest: posibles incompatibilidades” y puede ser descargada aquí.

La Red en Defensa de los Derechos Digitales (R3D) es una organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital.