Hace algunos días la Contraloría General de la República no tomó razón del decreto supremo N°866 presentado por los Ministerios del Interior, Transporte y Justicia; el denominado “decreto espía” por algunas organizaciones.
No pretendo caer en la permanente discusión respecto del balance entre las medidas que debe aplicar el Estado para darse la seguridad que espera, versus las garantías constitucionales que podrían restringirse o vulnerarse para mantener dicho estado de seguridad; esa es una discusión que, en mi opinión, debe darse necesariamente en el Congreso y regularse por medio de leyes claras y precisas. En esta ocasión expondré mi punto de vista respecto de los alcances del decreto aludido desde una perspectiva técnico-operativa.
A mi juicio y en comparación al DS N°142, que era el que se pretendía perfeccionar, los aspectos diferenciadores más relevantes del DS N°866 cuestionado son:
- Define como comunicaciones a todos los datos que acompañan las distintas formas de telecomunicaciones indicadas en el artículo 1° de la Ley N°18168;
- Amplía los datos asociados a las interceptaciones que deben ser proporcionados a los organismos que soliciten dicho procedimiento;
- Incorpora explícitamente el concepto de “datos comunicacionales”;
- Señala que estos últimos podrán ser requeridos por las instituciones facultadas por ley para hacerlo;
- Especifica cuáles son los datos comunicacionales que deben registrarse, agregando que las empresas tienen que preservarlos por al menos dos años.
También se ha indicado que el DS N°866 prohíbe a las empresas implementar mecanismos que dificulten la interceptación de comunicaciones (letra i del artículo 3°); sin embargo, este cuestionamiento sería infundado considerando que el numeral 5 del DS N° 142 es exactamente igual al articulado recién referido, por lo que no representa novedad alguna. Vale la pena agregar que con respecto a la interceptación de comunicaciones, el DS N°866 en su artículo primero señala que ésta deberá hacerse de acuerdo a lo establecido en el Código Procesal Penal, mientras que en el número uno del artículo tercero explicita que las interceptaciones deberán hacerse por orden judicial.
Es evidente, entonces, que con este decreto lo que se buscaba era diferenciar y dar un tratamiento distinto al proceso de interceptación de las comunicaciones, por un lado, y al procedimiento de acceso a los “datos comunicacionales”, por otro. Es más, del texto del DS N°866 se puede interpretar que en lo relativo a interceptación de comunicaciones, se mantienen prácticamente las mismas condiciones establecidas en el DS N°142; mientras que a los mencionados “datos comunicacionales” se habría buscado identificarlos como una entidad anexa pero diferente a la comunicación y, por lo mismo, no necesariamente sometidos a las restricciones aplicadas a la interceptación de comunicaciones.
¿Se puede hacer tal diferencia?, hagamos aquí algunas precisiones.
Básicamente la comunicación interpersonal se produce cuando una persona (receptor) entiende lo que otra (emisor) quiere decirle, independientemente del medio de comunicación que haya utilizado para hacerle llegar información. Cuando se produce una comunicación entre dos personas usando, por ejemplo, sus teléfonos celulares; es necesario entender que en dicho proceso junto con la comunicación propiamente tal, se produce entre los dispositivos telefónicos, las empresas de telecomunicaciones y una serie de dispositivos intermedios; un traspaso de otro tipo de datos que permiten que dicha comunicación sea posible.
En la jerga técnica/operativa relacionada con el monitoreo de comunicaciones, se conoce como «contenido» a la comunicación en sí misma (lo que hablan las personas en este caso) y como «metadatos», a todos los datos que acompañan a dicha comunicación o que la hacen técnicamente posible. En un correo electrónico el contenido vendría a ser el texto del mensaje, mientras que los metadatos corresponden a las direcciones electrónicas, las direcciones IP, las zonas horarias, el tipo de editor de correo usado, protocolos, etc.; es decir, todos los datos ocultos del correo, así como los datos que permiten que dicho correo electrónico pueda llegar a su destinatario. En el caso de las llamadas telefónicas, los metadatos pueden incluir la identificación y ubicación del aparato, la duración de las llamadas, la frecuencia de las mismas, etc.
Si lo anterior lo retrotraemos a la época en que todavía se escribían cartas, el contenido correspondería al texto escrito después del enunciado «estimada(o) xxxx:»; y los metadatos incluirían principalmente toda la información contenida en el sobre, así como la fecha de la carta, el nombre del destinatario, el idioma utilizado, el tipo de papel, el tipo de tinta o las características del mismo sobre. Lo interesante es que en la actualidad, los metadatos de prácticamente todos los métodos de comunicación modernos, pueden seleccionarse y almacenarse de manera automática para luego ser consultados mientras no se hayan borrado.
Ahora, cuando por medio de un requerimiento judicial se solicita la interceptación de las comunicaciones de una persona, lo usual es que se busque tener acceso a su contenido. Pero la efectividad de tal medida depende de, por un lado, que las partes que realizan la comunicación lo hagan sin mecanismos de protección, que eviten que el contenido se entienda aun cuando sea interceptado (como encriptación o códigos); o bien, que en el período de tiempo en que se produce la interceptación, efectivamente las personas comuniquen algo pertinente a lo que se investiga y que, además, sea útil.
Cuando el contenido de una comunicación es accesible y pertinente, es indudable su aporte a una investigación en curso; pero cuando tales características no se cumplen, de los metadatos se pueden obtener indicios complementarios muy valiosos. En efecto, permiten determinar patrones que luego evidencian perfiles de comportamiento; por ejemplo, los horarios de las comunicaciones, los números más llamados, el tipo de plan utilizado, los lugares donde se mueven los aparatos, etc. Sin embargo, para lograr estos perfiles se requiere acceso a un gran volumen de metadatos que estén relacionados con lo que se investiga lo cual, por lo general, requiere tiempo. Mientras mayor sea el volumen de metadatos almacenados y más largo el período de tiempo que abarcan, mejor serán los patrones que de ellos se puedan derivar.
Entonces, y de acuerdo a lo indicado en su artículo 1°, los datos comunicacionales a los que se refiere el decreto aludido, corresponden a los metadatos asociados a las comunicaciones, y no necesariamente al contenido de las mismas. Lo mismo se desprende del párrafo 1.- de su artículo 2°, donde se señala que a las empresas de telecomunicaciones se les puede solicitar ya sea una interceptación (contenido) o bien, los datos comunicacionales (metadatos).
En mi opinión la interceptación de comunicaciones se produce con el acceso al contenido de las mismas; es decir, a la información específica que una persona desea hacer llegar a otra y respecto de la cual ambas partes tienen el derecho a esperar privacidad e inviolabilidad, salvo situaciones excepcionales que deben estar contempladas en las leyes y dispuestas únicamente por orden judicial.
Asimismo, creo que los metadatos no son comunicación interpersonal, son datos relacionados con el proceso y negocio de las telecomunicaciones; por lo tanto, su registro y consulta no es equivalente a una interceptación. Me parece que en el DS N°866 no se explica claramente, la naturaleza de los datos comunicacionales como metadatos y su diferencia con el contenido de las comunicaciones, por lo que tampoco es posible hacer una distinción que permita darles un estatus diferente, que eventualmente justifique de mejor manera las modificaciones indicadas.
En mi humilde opinión, el mayor problema que radica en el DS N°866 es que en su redacción soslaya el hecho que algunos metadatos claramente pueden contener datos personales; es decir, información que representa algún aspecto particular de la vida de un individuo y respecto del cual este último podría esperar privacidad. En efecto, los detalles del plan telefónico o de Internet que se contrata, el conjunto de números a los que se llama, las páginas web visitadas, los horarios de conexión en que se conecta a Internet, etc.; definitivamente permiten hacer un perfil de varios aspectos de nuestra vida personal, los que muchas veces desearíamos mantener privados.
¿Pero cuál es el valor operacional de los metadatos? Para eso es interesante diferenciar tres actividades propias de las funciones operativas de los organismos de inteligencia o policiales: la investigación, la vigilancia y el análisis preventivo.
La investigación se asocia a la búsqueda de evidencia ya sea para identificar escenarios probables, como para comprobar una hipótesis después de ocurrido, por ejemplo, un delito. Es una actividad multidisciplinaria a posteriori, que busca establecer hechos respecto de un caso que se investiga.
La vigilancia corresponde a una actividad operativa de observación en tiempo real sobre un blanco, por un período y lugar determinado que puede desarrollarse con distintos métodos o tecnologías. Ejemplos clásicos son las vigilancias que se ven en películas, como cuando desde un furgón se escuchan las conversaciones de alguien en un edificio, cuando un agente sigue a pie a un sospechoso de espionaje para intentar identificar a su contacto o cuando un policía encubierto espera en la esquina el paso de una banda criminal.
En lo militar una vigilancia puede considerar el empleo de aeronaves para controlar la pesca ilegal en un área marítima; o bien monitorear el espectro electromagnético para descubrir anomalías que den cuenta de movimientos de fuerzas. La vigilancia siempre se hace sobre un objeto o sujeto predeterminado para controlarlo, determinar rutinas, descubrir anomalías u obtener información relevante.
El análisis preventivo corresponde a una actividad que busca identificar en un conjunto de informaciones, elementos de juicio que por sus características se consideren relevantes para prevenir alguna amenaza. Aquí no hay blancos específicos, sino que un análisis acucioso de grandes volúmenes de información, en busca de indicios que den cuenta de alguna actividad que se considere riesgosa.
Como ya se dijo, en una investigación los metadatos asociados a las comunicaciones son sumamente valiosos, ya que proveen materia prima relevante para conocer parte de las actividades de un sujeto bajo investigación. Lo más típico es que con ellos se elaboren líneas de tiempo, gráficos de relaciones, se haga geolocalización y se establezcan rutinas. Para la investigación de ciberdelitos, por su parte, resultan fundamentales para establecer la actividad en línea relacionada con los mismos.
En la vigilancia, por su parte, los metadatos serán relevantes cuando por medio de ellos se busque observar a alguien para; por ejemplo, establecer sus desplazamientos, determinar si se ha enlazado con una persona específica o si se conecta a un servidor determinado. Recordemos que aquí no se habla de interceptación del contenido de una comunicación (a la larga también un tipo de vigilancia), sino que se espera monitorear actividades accediendo a los metadatos de las comunicaciones en tiempo real.
Independiente de las consideraciones jurídicas, ni las vigilancias ni las investigaciones presentan, en mi opinión, complejidades técnicas que dificulten su ejecución. Mientras que para la vigilancia será más relevante una coordinación adecuada con las empresas de telecomunicaciones para lograr un acceso oportuno; para las investigaciones lo serán las competencias de los investigadores, así como la calidad y pertinencia de los datos para llegar a conclusiones relevantes.
Pero el análisis preventivo presenta otras complejidades.
Como ya se dijo, este tipo de análisis se realiza sobre grandes volúmenes de información sin que exista un blanco específico, constituyéndose como objeto de observación la mayor cantidad de datos posible; es decir, sería un análisis tendiente a obtener conclusiones del conjunto de metadatos. Por ejemplo, se podría intentar determinar quienes utilizan un protocolo de encriptación determinado, realizan llamadas telefónicas a una ciudad específica, en qué lugar convergen ciertos teléfonos celulares o quienes utilizan la red TOR[i] para mantenerse anónimos.
Y si bien este análisis preventivo puede hacerse fuera de línea, con los recursos suficientes podría también hacerse en tiempo real, dándose de hecho una vigilancia masiva e indiscriminada que por medio del análisis automatizado, permitiría identificar anomalías tanto durante el tránsito de los metadatos en los enlaces de telecomunicaciones, como en las bases de datos durante su almacenamiento.
Pero, francamente, considero que esta última posibilidad es muy poco probable en nuestro país, no sólo por los enormes costos que involucraría, sino también porque una vigilancia masiva de esa envergadura, destinada sólo a buscar eventuales conductas sospechosas, es altamente ineficiente y conlleva consideraciones éticas y jurídicas importantes. Por lo mismo, pienso que creer que eso puede materializarse hoy por hoy en Chile me parece exagerado.
Personalmente creo que el alcance del DS N° 866 no iba más allá de buscar facilitar el acceso a los metadatos, con el propósito de apoyar actividades de investigación de casos en concordancia al marco jurídico.
Para terminar, algunas reflexiones.
Mientras en el país se discute este relevante asunto respecto de los metadatos y la posibilidad de accederlos por parte de organismos nacionales, habría que preguntarse si las empresas de telecomunicaciones que los almacenan, algunas de ellas con dirección y capitales foráneos pueden o deben, en atención a sus legislaciones domésticas, ponerlos a disposición de organismos policiales o de inteligencia en sus países de origen (que en algunos casos si tienen los recursos para hacer vigilancia masiva).
Por otro lado, hay que tomar en cuenta que entre los “vistos” del DS N°866 se menciona el Convenio sobre la Ciberdelincuencia de Budapest, lo que no deja de ser un dato interesante ya que habría que preguntarse si ese acuerdo nos exige otorgar a organismos extranjeros, acceso a nuestros metadatos en aras de la cooperación contra el ciberdelito internacional.
Para finalizar, personalmente me llama la atención que a diferencia del DS N°142, el mismo al que se buscaba introducir mejoras, en el DS N°866 no se incluyó entre los vistos la Ley N°19974 del Sistema de Inteligencia del Estado.
Gracias por visitar el blog.
i: The Onion Router, TOR. Proyecto cuyo objetivo es el desarrollo de una red de comunicaciones sobre internet, con el propósito que sus usuarios puedan mantenerse anónimos mientras navegan, asegurando la integridad y confidencialidad de la información que viaja por ella.
Héctor Gómez Arriagada 