Opacidad y falta de debate marcan ratificación de Convenio de Budapest por parte de Brasil

Imagen cortesía de Laís Martins

A mediados de diciembre de 2021, el Congreso de Brasil ratificó el Convenio de Budapest sobre delitos cibernéticos tras un proceso inusualmente rápido marcado por escaso debate y casi nula transparencia. Los expertos advierten que el despliegue fue algo problemático, entre otras cosas porque el tratado puede poner en riesgo los datos de los ciudadanos y abrir el camino a la criminalización del trabajo de los activistas e investigadores de InfoSec.

El presidente brasileño, Jair Bolsonaro, aún no ha firmado el proyecto de ley, aprobado en las dos cámaras del Congreso, para vincular legalmente a Brasil con el acuerdo internacional. Sin embargo, como parte de una floreciente comunidad de activistas en Brasil, los investigadores de InfoSec corren ahora el riesgo de ser perseguidos legalmente por su labor de identificación de brechas de seguridad y compromisos de datos. El tratado también permite a las autoridades de Brasil obtener datos de los ciudadanos sin necesidad de autorización judicial.

El Convenio de Budapest sobre delitos cibernéticos data de 2001 y fue iniciado por el Consejo de Europa. El tratado ha sido ratificado actualmente por 67 países, y pretende armonizar las legislaciones nacionales sobre ciberdelincuencia, establecer un marco común de investigación y protocolos y facilitar la cooperación entre los Estados firmantes.

Con un proceso que comenzó en diciembre de 2019, el Senado y la Cámara de Diputados de Brasil aprobaron la legislación que ratifica el tratado en 2021. Sin embargo, durante este tiempo, académicos y organizaciones de la sociedad civil que trabajan en derechos digitales quedaron de lado, con poca información sobre el documento y sin oportunidad de participar en el debate.

Además de la falta de debate público, el proceso de ratificación en Brasil también estuvo marcado por algo de desinformación promovida por el propio Gobierno. En comunicaciones oficiales, el Gobierno brasileño anunció que los invitados tienen un plazo de tres años tras la invitación para decidir sobre la ratificación. El plazo expira cinco años después de la invitación, como se recoge en la invitación del Consejo de Europa. El Ministerio Público Federal de Brasil hizo declaraciones públicas presionando para que se aprobara rápidamente. Este escenario fomentó una falsa sensación de urgencia para conseguir la aprobación del proyecto de ley.

La Coalición por los Derechos Digitales (CDR en inglés), compuesta por 48 organizaciones académicas y de la sociedad civil, critica la «excesiva celeridad» del proyecto de ley, injustificada por lo mucho que está en juego. Sin embargo, la rapidez de la ratificación no es la única preocupación señalada por los expertos.

Los países invitados pueden adherirse solo parcialmente a la convención y rechazar algunas partes del tratado, por ejemplo. Este mecanismo permite a los Estados ratificar la convención sin comprometer su legislación nacional sobre el tema. A diferencia de muchos otros Estados signatarios, Brasil se adhirió plenamente al tratado, sin ejercer su derecho de reserva.

Esta ratificación sin críticas es especialmente problemática debido a dos artículos que, según los expertos, pueden utilizarse para “condenar erróneamente las actividades legítimas y rutinarias de los activistas e investigadores de InfoSec”. Otros países firmantes han optado por omitir estos dos artículos.

Así, el artículo 7 del tratado establece que “una de las partes implicadas” podría modificar el texto para exigir que la “falsificación informática” se cometa con la intención de responsabilizar penalmente a las personas que realicen dicha práctica. Esta enmienda protegería a los activistas e investigadores de InfoSec, que con frecuencia buscan y exploran sitios web del Gobierno, la banca y los minoristas en línea en busca de violaciones de seguridad, por ejemplo. Brasil optó por seguir adelante sin modificar el texto, explica Paulo Rená, activista de Aqualtune Lab y becario de derecho, lo que expone directamente a estos actores. Otros país, como Bélgica y Estados Unidos, optaron por este tipo de protección cuando ratificaron la convención.

En la práctica, si un investigador descubre tras su propia investigación que sus datos personales se han visto comprometidos en una de las filtraciones masivas de datos que han afectado al país en los últimos años y decide ponerse en contacto con la empresa o agencia gubernamental por sus datos expuestos, ahora puede ser denunciado ante las autoridades por cometer un delito.

“Esto puede ocurrir con un minorista en línea, el Ministerio de Sanidad, una empresa extranjera, una universidad”, explica Rená. “Puede ser un arrebato autoritario de personas que, desde una perspectiva jerárquica, no entienden cómo funciona la comunidad tecnológica, un grupo que tradicionalmente difunde este tipo de información de forma más abierta”.

Los autoridades en Brasil no ven con buenos ojos a activistas e investigadores de InfoSec. Un ejemplo de este tipo de «arrebato autoritario» descrito por Rená se vio en mayo de 2021 durante la Comisión Parlamentaria dedicada a investigar cómo manejó el gobierno de Bolsonaro la crisis del coronavirus.

En una de las comparecencias públicas, un funcionario del Ministerio de Sanidad acusó al periodista Rodrigo Menegat de «hackear» TrateCov, aplicación de telemedicina elaborada por el Gobierno que recomendaba tratamientos según los síntomas ingresados en la aplicación. La aplicación era deliberadamente defectuosa, ya que recomendaba tratamientos cuya eficacia científica ha sido negada para casi todos los tipos de síntomas. Menegat, que actualmente trabaja para Deutsche Welle en Brasil y miembro activo de la comunidad brasileña de periodismo de datos, se limitó a inspeccionar el código de la aplicación para descubrir el fallo. A pesar de que el código es información pública, accesible a cualquier persona en internet, Menegat fue inculpado como hacker.

Si embargo, la ratificación del Convenio de Budapest por parte de Brasil no es una amenaza solo para la comunidad de InfoSec. Casi todos los ciudadanos brasileños corren ahora el riesgo de que las autoridades se apropien de sus datos personales sin necesidad de autorización judicial previa.

“La convención, en este artículo [15 párrafo 2], se convierte en una gran vulnerabilidad para el debido proceso legal. Estas medidas pueden ser tomadas sin control judicial. El Ministerio Público Federal puede obtener acceso a datos personales sin necesidad de pedir autorización a un juez si actúa bajo el ámbito del Convenio de Budapest, por lo que el control judicial no es la norma. El razonamiento de cualquiera de los mecanismos del Convenio de Budapest no es la norma. La delimitación de quiénes son las personas y la duración de estas medidas no es la norma. Excepcionalmente, si se indica, cuando proceda, se exigirá el control judicial”, añadió Rená.

Esto abre caminos al abuso de poder, incluso por parte de opositores políticos y de instituciones como el Ministerio Público Federal, que ya ha sido acusado de esas prácticas cuando intervino el teléfono del gabinete presidencial de la expresidenta Dilma Roussef para interceptar sus conversaciones.

Rená explica además que esto también se convierte en un problema porque choca con el Marco Civil de Internet de Brasil de 2014. También es preocupante porque impacta en proyectos de ley y áreas que aún no han sido reguladas en el Congreso, como el proyecto de ley de Fake News y el proyecto de ley de protección de datos para la seguridad pública y la persecución penal.

Tira y afloja

Las negociaciones que se están llevando a cabo ahora tras la aprobación del Congreso son aún menos transparentes. Una de las decisiones que hay que tomar ahora es quién será el «punto de contacto» del tratado en Brasil, órgano que, en la práctica, actuará como vigilante del convenio.

Según Rená, el órgano elegido tendrá una posición privilegiada, actuará como una especie de «embudo» por el que tienen que pasar necesariamente todas las investigaciones.

Se conocen pocos detalles sobre el proceso en curso para elegir este órgano, pero un informe de Brazilian Report de principios de febrero sugiere que hay una lucha política por el control. El fiscal general, Augusto Aras, habría pedido directamente al presidente Bolsonaro que su departamento se concentre en el Convenio de Budapest. Mientras tanto, el Ministerio de Justicia también está probando suerte, pidiendo que la supervisión del convenio sea entregada a la Policía Federal y a la Dirección de Cooperación Internacional y Recuperación de activos (DRCI), departamento del ministerio.

Sin embargo, de ser elegido, el Ministerio de Justicia sería objeto de amplias críticas por las acusaciones de injerencia política bajo la presidencia de Bolsonaro. Por formar parte del poder ejecutivo, este órgano estaría menos blindado contra la intromisión política.

Grupos como la Coalición por los Derechos Digitales proponen que la autoridad más adecuada para encargarse de la convención sería la Autoridad Nacional de Protección de Datos (ANPD), ya que sería la única con un objetivo estricto de privacidad y protección de datos. La opinión pública solo conocerá el final de la saga cuando Brasil comunique su decisión sobre el «punto de contacto» al Consejo de Europa, lo que no tiene un plazo establecido para ocurrir.


Por favor, visita la página del proyecto para más artículo de Unfreedom Monitor.

 

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.