Derecho a la privacidad en Sudán: Pedido para promulgar una ley de protección de datos

Grafiti de cámara de vigilancia. Publicado y autorizado para reutilización en Pixabay.

El anterior régimen totalitario sudanés usó varios tipos de tácticas no eticas e infractoras para seguir en el poder, como invasión de la privacidad por medio de leyes injustas y tácticas de vigilancia con tecnologías importadas.

El régimen fue depuesto en abril de 2019, tras una serie de protestas a favor de la democracia que pusieron fin a 37 años de poder. Ahora, enfrenta intensa crítica por sus violaciones. Sudán se encuentra en un momento crítico de su historia para tener un debate sobre interacción entre el Estado, el sector privado y ciudadanos en términos de derechos de privacidad.

Sudán ha emprendido una transición de tres años hacia la democracia y un gobierno civil, y las autoridades de la transición deben evaluar reformas con la finalidad de promover y proteger el derecho a la privacidad.

Tecnologías importadas

Para espiar a usuarios y ciudadanos, el régimen depuesto usó tecnologías de vigilancia y rastreo vendido por empresas occidentales. El régimen debía importar estas tecnologías en secreto debido a las sanciones estadounidenses que prohibían al régimen adquirirlas.

En julio de 2013, Citizen Lab, laboratorio interdisciplinario de Toronto en la intersección entre tecnología y derechos humanos, identificó la presencia del dispositivo Blue Coat ProxySG en la red Canar, proveedor de servicio de internet privado sudanés, que permite la interceptación de sesiones encriptadas en internet. El dispositivo lo vendía la empresa californiana Blue Coat Systems, antes de ser adquirida por otra empresa de software estadounidense en 2016.

En febrero de 2017, Citizen Lab publicó otro informe que trazó un mapa del uso de software espía que vende la empresa italiana Hacking Team a Gobiernos en todo el mundo, incluidos regímenes represivos. El estudio encontró que 21 Gobiernos, incluido el de Sudán, usó el Sistema de Control Remoto (RCS) de la empresa, que «permite la vigilancia gubernamental de comunicaciones encriptadas de internet de un objetivo, aun cuando el objetivo esté conectado a una red que el Gobierno no puede interceptar». SSegún el mismo informe:

RCS’s capabilities include the ability to copy files from a computer’s hard disk, record Skype calls, emails, instant messages, and passwords typed into a web browser Furthermore, RCS can turn on a device’s webcam and microphone to spy on the target

Las capacidades del Sistema de Control Remoto incluyen la posibilidad de copiar archivos del disco duro de una computadora, grabar llamadas de Skype, correos electrónicos, mensajería instantánea y contraseñas tipeadas a un navegador web. Además, el sistema puede encender la cámara web y el micrófono de un dispositivo para espiar al objetivo.

Esta colaboración entre Hacking Team y el Gobierno sudanés no pasó desaparcibida, y la comunidad internacional la cuestionó. En junio de 2014, Naciones Unidas pidió a Hacking Team que brindara información sobre sus ventas al Gobierno sudanés. Según un informe de The Intercept, los «registros internos probaron que el Servicio Nacional de  Inteligencia y Seguridad de Sudán pagó 960 000 euros [1 071 504 dólares estadounidenses] por el Sistema de Control Remoto».

Marco legal existente

Manifestantes sudaneses reunidos frente a edificios gubernamentales en Jartum, Sudán, para celebrar la suscripción de la Proyecto de Declaración Constitucional entre representantes militares y civiles, 19 de agosto de 2019. Foto de Voice of America, dominio público vía Wikimedia Commons.

Según la ley sudanesa, las autoridades pueden acceder a datos de usuarios tras conseguir la orden de un fiscal o juez. El artículo 74 de la ley que regula las telecomunicaciones y el correo claramente permite la interceptación, vigilancia y escuchas —solamente con orden del fiscal o un juez especializado— y a los infractores se les sanciona con cinco años de prisión, multa o ambos.

La interceptación y las escuchas son ilegales. Por ejemplo, la ley de ciberdelitos de 2007 establece una sanción de hasta tres años de prisión, multa o ambos para todo aquel que «intervenga, capte o intercepte un mensaje a través de una red de información o hardware de cómputo o similar sin autorización del fiscal o la autoridad competente o quien sea propietario de la información. El término «autoridad competente» no está definido, con lo que la ley es objeto de abuso.

El artículo 28 de la ley de transacciones electrónicas de 2007 sanciona a todo aquel que revele datos encriptados para cualquier parte no autorizada o acceso a cualquier información sin aprobación, con diez años de cárcel, multa o ambos. La ley aborda las transacciones financieras como pagos en línea y contratos legales.

La ley contra la corrupción de 2016 protegía los derechos de privacidad de informantes, y sancionaba a todo aquel que revelara sus datos personales con dos años de cárcel, multa o ambos.

Vacío legal

Aunque estas leyes ofrecen protección, en la práctica no bastan para proteger la privacidad y datos de usuarios sudaneses de vigilancia gubernamental.

Ciertamente, el uso de herramientas de vigilancia, como el Sistema de Control Remoto de Hacking Team y Blue Coat ProxySG del anterior régimen, evidencia cómo pudieron las autoridades violar la privacidad de los usuarios sin necesidad de contar con una orden judicial.

El uso de términos imprecisos como “autoridad competente» —como en la ley de ciberdelito de 2017— sin una definición clara da a las empresas de telecomunicaciones un pretexto para entregar información del usuario a agencias de seguridad —hasta sin orden judicial.

En Sudán no hay supervisión independiente de cómo el Gobierno y el sector privado manejan los datos. Por ejemplo, en febrero de 2014, el Parlamento sudanés analizó públicamente la invasión de privacidad del Servicio Nacional de Inteligencia y Seguridad (NISS) a través de proveedores de servicio de internet y empresas de telecomunicaciones, como MTN-Sudan, ZAIN SUDANI y CANAR.

No se ha iniciado una investigación independiente y los medios locales informaron que el entonces ministro de Telecomunicaciones se negó a responder si se realizaba vigilancia legal de llamadas telefónicas y actividades en línea.

Además, Sudán no tiene autoridad de protección de datos ni ley de protección de datos que regule la recopilación, almacenamiento y uso de datos personales por parte de Gobiernos y el sector privado. Un principio básico de una ley de protección de datos efectiva es establecer un regulador independiente que supervise la implementación de la ley. Al no haber un marco legal, los datos personales estarán en riesgo de mal uso y abuso no solamente del Gobierno sino también del sector privado.

El actual marco legal existente no incluye disposiciones que exijan a empresas, sitios web y organizaciones que difundan o tengan una política escrita que explique su recopilación de datos o prácticas de difusión.

Sitios web, aplicativos y plataformas en línea sudaneses DEBEN tener términos y condiciones de uso y política de privacidad que explique cómo se recopila, usa y revela la información sobre clientes.

Por ejemplo, empresas emergentes en línea en Sudán que dependen principalmente del pago electrónico carecen de transparencia sobre cómo y gestionan la información de sus usuarios. Plataformas de compra en línea, como Dukan, Maglag y Sahla publican políticas de privacidad que revelan información limitada, o no revelan información, sobre recopilación, retención y difusión de datos. Otros sitios de comercio electrónico como ma3roud no publican políticas de privacidad. Aplicativos de transporte compartido como Tirhallemon y Tarha ofrecen enlaces a políticas de privacidad en las páginas de sus aplicativos, tal vez como un intento de cumplir con los requisitos de registro para las tiendas de Apple y Google Play. Solamente dirigen a los usuarios a sus sitios web —que no incluyen de políticas de privacidad.

Como parte de un acuerdo para compartir el poder para guiar a Sudán en los tres años transición hacia un gobierno civi, Corte Militar de Transición y la coalición política que representa a los manifestantes, Fuerzas de Libertad y Cambio, firmaron el Estatuto Constitucional para el Periodo de Transición 2019.

El artículo 54 del estatuto consagra el derecho a la privacidad. Afirma: «No se violará la privacidad de nadie ni se permitirá que se interfiera con la vida privada o familiar de nadie en su casa o correspondencia, salvo que lo exprese la ley».

Sin embargo, ante la falta de reformas con el fin de reforzar y proteger la privacidad, este derecho sigue bajo amenaza. Una ley de protección de datos efectiva en Sudán es crucial para cubrir vacíos legislativos, según las normas de derechos humanos internacionales y mejores prácticas para protección de datos.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.