Consulta sobre la legislación de ciberseguridad en Macao. Imagen vía All About Macau con autorización.

Macao, región urbana autónoma en la costa sur de China, está elaborando una ley de ciberseguridad basada en una consulta pública que se llevó a cabo en diciembre de 2017.

Los críticos políticos han expresado que la actual propuesta no protege suficientemente la privacidad de los ciudadanos, y que brinda un marco legal para la vigilancia masiva.

Macao es una excolonia portuguesa que y se unificó con China en 1999, aunque conservó un alto grado de autonomía como región administrativa especial (similar a Hong Kong) con su propia Constitución como la «Ley Básica» escrita bajo el principio de “Un país, dos sistemas».

La ley de seguridad nacional de Macao de 2009 penalizó los actos de sedición, incluidos algunos tipos de discurso. La ciudad está ahora en camino a revisar la ley de ciberseguridad propuesta. Una larga «lista de vigilancia» de personas que han hablado en favor de la democracia en Hong Kong ha sido calificada como una «amenaza» a la estabilidad de la ciudad y esas personas están prohibidas entrar a Macao durante periodos delicados, como durante la visita de líderes de China continental o durante campañas electorales.

El 11 de diciembre de 2017 el Gobierno macaense inició una consulta pública de 45 días sobre la ley de ciberseguridad propuesta. Los líderes del sector comercial y los ciudadanos comunes y corrientes están invitados a remitir sus opiniones por escrito.

Bajo la ley propuesta, los operadores de telecomunicaciones y los proveedores de servicio de internet serían responsables de implementar un sistema de registro de «nombre real», incluidas tarjetas de módulo de identificación del abonado, conocidas como SIM. También exige a los proveedores de servicio de internet retener los registros de actividad en línea al menos por un año.

Según la propuesta actual, la ley autorizaría implementar un comité permanente de ciberseguridad y un sistema de alerta de incidentes de ciberseguridad, y un centro de emergencia para enfrentar cualquier amenaza de ciberseguridad. El comité estará autorizado para vigilar el tráfico de datos en línea en código binario, y también rastrear e investigar ciberataques futuros.

El documento también propone que las empresas que funcionan en 11 sectores cruciales apliquen medidas de protección, incluidos operadores de internet y medios masivos, suministro de agua y energía, sistemas financieros, juegos y apuestas, y salud, entre otros, según el Documento Consultativo 4.2. Estos sectores estarían bajo la supervisión departamentos y autoridades gubernamentales relacionados. Por ejemplo, la Autoridad Monetaria de Macao, tras instrucciones del centro de emergencia de ciberseguridad, sería responsable de supervisar la implementación de medidas en los sistemas bancarios y financieros.

Los funcionarios del centro de emergencia de ciberseguridad tendrían garantizado el derecho de entrar a oficinas e instalaciones de los operadores de servicio de internet (en el sector público y privado) para inspección. Se pedirá a los operadores que cumplan todas las solicitudes razonables de los funcionarios y sigan todas las instrucciones que emitan sobre mantenimiento de sus redes de comunicación (Documento Consultativo 5.2).

Al contratar para puestos claves, a los operadores dentro de estos sectores se les exigirá consultar con las autoridades sobre antecedentes de los candidatos (Documento Consultativo 5.1), que brinda poder irrestricto a la policía.

Las penalidades para los operadores que no cumplen con la ley podrian llegar hasta los 500 millones de patacas macaensas, o aproximadamente US$62 millones.

¿Ciberseguridad o vigilancia masiva?

Wong Sio Chak, secretario de Seguridad, destacó que las autoridades no vigilarían las actividades en línea de las personas ni restringiría la libertad de expresión de los habitantes de Macao. Pero los ciudadanos están preocupados.

La Asociación de Servidores Civiles de Macao emitió una carta abierta donde plantea la preocupación que vigilar y rastrear los datos en línea a través del código binario es “arbitrario, desproporcionado e ilegal».

Según el artículo 32 de la Constitución de Macao, “ninguna autoridad pública o persona puede violar la libertad y confidencialidad de las comunicaciones de los habitantes, por la razón que fuera”, salvo en casos de seguridad pública necesaria o investigaciones penales llevadas a cabo y autorizadas por autoridades locales.

La Asociación de Servidores Civiles de Macao señaló que el código binario “se puede convertir fácilmente en datos completos” y las autoridades podrían vigilarlos a menos que haya una amenaza real:

In accordance with international standards, monitoring of such data [by the authorities] should only be allowed after cyber attacks, in order to avoid spreading over critical city infrastructures, or in the following up of investigations.

Según los parámetros internacionales, la vigilancia de esa información [por parte de las autoridades] solamente se puede permitir después de ciberataques, para evitar la difusión de infraestructuras urbanas críticas o en investigaciones de seguimiento.

También expone que la responsabilidad de vigilar los datos solamente se debe relegar a operadores individuales de ciberseguridad de infraestructuras críticas y no por medio de un sistema centralizado.

New Macau Society también criticó a la ley por draconiana, pues solamente destaca la responsabilidad de los ciudadanos y sectores de negocios pero no define los mecanismos para que el público vigile y contrarreste el poder de la policía de ciberseguridad para evitar actos abusivos.

El activista político Jason Chao cree que una vez vigente, la ley de ciberseguridad autorizaría un “marco legal para vigilancia masiva».

Chao señala que, con la autorización a la policía de ciberseguridad de viigilar los códigos binarios de internet, flujo de datos y formatos de paquetes de datos, la policía tendrá poder excesivo para interceptar datos de las comunicaciones.

Chao cree que extender más el poder de la policía puede minar los privilegios de los reporteros con respecto a la protección de las fuentes de información, y señala que los medios de comunicación están definidos como una de los 11 sectores críticos.

Como ciudad turística, Macao ha emitido 1.38 millones de tarjetas SIM prepagadas en máquinas expendedoras y tiendas. Con la implementación de la legislación de registro con nombre real, los turistas deberán registrar su identidad al comprar una tajreta SIM. Chao enfatiza que la nueva ley no solamente afectaría a los habitantes de Macao, sino también a los turistas.

Cuando se complete el proceso de consulta, el Gobierno redactará un proyecto para su posterior deliberación en el legislativo.