Los derechos humanos y el cifrado suelen considerarse interrelacionados. El cifrado puede ser una tecnología que ayude a implementar los derechos humanos básicos . En la era digital , la libertad de expresión se ha vuelto más controvertida; sin embargo, desde una perspectiva de derechos humanos, existe una creciente conciencia de que el cifrado es esencial para una Internet libre, abierta y confiable. [1]
Los derechos humanos son principios morales o normas de conducta humana que se protegen regularmente como derechos legales en el derecho nacional e internacional . [2] Se entienden comúnmente como derechos fundamentales inalienables [3] "a los que una persona tiene derecho inherente simplemente por el hecho de ser un ser humano". [4] Esos derechos son "inherentes a todos los seres humanos" [5] independientemente de su nacionalidad, ubicación, idioma, religión, origen étnico o cualquier otra condición. [3] Son aplicables en todas partes y en todo momento y son universales [2] e igualitarios . [3]
La criptografía es un subcampo de larga data tanto de las matemáticas como de la informática . En general, se puede definir como "la protección de la información y el cálculo mediante técnicas matemáticas". [6] El cifrado y la criptografía están estrechamente relacionados, aunque "criptografía" tiene un significado más amplio. Por ejemplo, una firma digital es "criptografía", pero técnicamente no "cifrado". [7] [1]
En el derecho internacional de los derechos humanos , la libertad de expresión está reconocida como un derecho humano en virtud del artículo 19 de la Declaración Universal de Derechos Humanos (DUDH) y del Pacto Internacional de Derechos Civiles y Políticos (PIDCP). En el artículo 19 de la DUDH se establece que "toda persona tiene derecho a no ser molestada a causa de sus opiniones" y "toda persona tiene derecho a la libertad de expresión; este derecho comprende la libertad de buscar, recibir y difundir informaciones e ideas de toda índole, sin consideración de fronteras, ya sea oralmente, por escrito o en forma impresa o artística, o por cualquier otro procedimiento de su elección". [8]
Desde la década de 1970, la disponibilidad de la informática digital y la invención de la criptografía de clave pública han hecho que el cifrado esté más ampliamente disponible (anteriormente, las técnicas de cifrado eran el dominio de los actores de los estados-nación ). Las técnicas criptográficas también se utilizan para proteger el anonimato de los actores que se comunican y la privacidad en general. La disponibilidad y el uso del cifrado siguen dando lugar a debates de política jurídica complejos, importantes y muy polémicos. Algunas agencias gubernamentales han hecho declaraciones o propuestas para reducir dicho uso y despliegue debido a los obstáculos que presenta para el acceso gubernamental. El auge de los servicios comerciales de cifrado de extremo a extremo ha impulsado más debates en torno al uso del cifrado y el estatus legal de la criptografía en general. [1]
El cifrado, tal como se definió anteriormente, es un conjunto de técnicas criptográficas para proteger la información. Sin embargo, el valor normativo del cifrado no es fijo, sino que varía según el tipo y el propósito de los métodos criptográficos utilizados. Tradicionalmente, las técnicas de cifrado se utilizaban para garantizar la confidencialidad de las comunicaciones e impedir el acceso a la información y las comunicaciones por parte de terceros y de los destinatarios previstos. La criptografía también puede garantizar la autenticidad de las partes que se comunican y la integridad del contenido de las comunicaciones, lo que proporciona un ingrediente clave para generar confianza en el entorno digital . [1]
En las organizaciones de derechos humanos existe una creciente conciencia de que el cifrado desempeña un papel importante en la consecución de una Internet libre, abierta y fiable. El Relator Especial de las Naciones Unidas sobre la promoción y protección del derecho a la libertad de opinión y de expresión, David Kaye , observó durante el Consejo de Derechos Humanos de junio de 2015 que el cifrado y el anonimato merecen un estatus protegido en el marco de los derechos a la privacidad y la libertad de expresión:
“El cifrado y el anonimato, los principales vehículos actuales de seguridad en línea, proporcionan a las personas un medio para proteger su privacidad, permitiéndoles navegar, leer, desarrollar y compartir opiniones e información sin interferencias y permitiendo a los periodistas, organizaciones de la sociedad civil, miembros de grupos étnicos o religiosos, aquellos perseguidos por su orientación sexual o identidad de género, activistas, académicos, artistas y otros ejercer el derecho a la libertad de opinión y expresión”. [9]
En el contexto de los medios y la comunicación, se pueden distinguir dos tipos de cifrado en los medios y la comunicación:
Entre las técnicas criptográficas más ampliamente implementadas está la securitización del canal de comunicaciones entre usuarios de Internet y proveedores de servicios específicos de ataques de intermediarios , acceso por parte de terceros no autorizados. Dada la amplitud de los matices involucrados, estas técnicas criptográficas deben ser ejecutadas conjuntamente tanto por el usuario del servicio como por el proveedor del servicio para funcionar correctamente. Requieren que los proveedores de servicios, incluidos los editores de noticias en línea o las redes sociales , las implementen activamente en el diseño del servicio. Los usuarios no pueden implementar estas técnicas unilateralmente ; su implementación depende de la participación activa del proveedor de servicios. [ cita requerida ] El protocolo TLS , que se vuelve visible para el usuario normal de Internet a través del encabezado HTTPS , se usa ampliamente para proteger el comercio en línea, los servicios de gobierno electrónico y las aplicaciones de salud, así como los dispositivos que componen las infraestructuras en red, por ejemplo, enrutadores, cámaras. Sin embargo, aunque el estándar existe desde 1990, la difusión y evolución más amplias de la tecnología han sido lentas. Al igual que con otros métodos y protocolos criptográficos, los desafíos prácticos relacionados con una implementación adecuada, segura y (más amplia) son significativos y deben tenerse en cuenta. Muchos proveedores de servicios aún no implementan TLS o no lo implementan bien. [ cita requerida ]
En el contexto de las comunicaciones inalámbricas , el uso de técnicas criptográficas que protegen las comunicaciones de terceros también son importantes. Se han desarrollado diferentes estándares para proteger las comunicaciones inalámbricas: estándares 2G , 3G y 4G para la comunicación entre teléfonos móviles, estaciones base y controladores de estaciones base; estándares para proteger las comunicaciones entre dispositivos móviles y enrutadores inalámbricos (' WLAN '); y estándares para redes informáticas locales. [10] Una debilidad común en estos diseños es que los puntos de transmisión de la comunicación inalámbrica pueden acceder a todas las comunicaciones, por ejemplo, el proveedor de telecomunicaciones . Esta vulnerabilidad se agrava cuando los protocolos inalámbricos solo autentican los dispositivos de usuario, pero no el punto de acceso inalámbrico . [1]
Tanto si los datos se almacenan en un dispositivo como si lo hacen en un servidor local, como en la nube , también existe una distinción entre "en reposo". Dada la vulnerabilidad de los teléfonos móviles al robo, por ejemplo, se puede prestar especial atención a la limitación del acceso al servicio proporcionado. Esto no excluye la situación de que el proveedor de servicios revele esta información a terceros, como otras entidades comerciales o gobiernos. El usuario debe confiar en que el proveedor de servicios actúe en su interés. Sigue existiendo la posibilidad de que un proveedor de servicios esté obligado legalmente a entregar información del usuario o a interferir en determinadas comunicaciones con determinados usuarios. [1]
Existen servicios que se promocionan específicamente con la afirmación de no tener acceso al contenido de las comunicaciones de sus usuarios. Los proveedores de servicios también pueden tomar medidas que restrinjan su capacidad de acceder a la información y la comunicación, aumentando aún más la protección de los usuarios contra el acceso a su información y comunicaciones. La integridad de estas tecnologías de mejora de la privacidad (PET) depende de decisiones de diseño delicadas, así como de la voluntad del proveedor de servicios de ser transparente y responsable . [2] Para muchos de estos servicios, el proveedor de servicios puede ofrecer algunas características adicionales (además de la capacidad de comunicarse), por ejemplo, la gestión de la lista de contactos, lo que significa que pueden observar quién se está comunicando con quién, pero tomar medidas técnicas para no poder leer el contenido de los mensajes. Esto tiene implicaciones potencialmente negativas para los usuarios; por ejemplo, dado que el proveedor de servicios tiene que tomar medidas para conectar a los usuarios que desean comunicarse utilizando el servicio, también tendrá el poder de evitar que los usuarios se comuniquen en primer lugar. [1]
Tras el descubrimiento de vulnerabilidades , existe una creciente conciencia de que es necesario invertir más en la auditoría de códigos ampliamente utilizados que surgen de la comunidad de software libre y abierto. La omnipresencia de modelos de negocio que dependen de la recopilación y el procesamiento de datos de los usuarios puede ser un obstáculo para la adopción de mecanismos criptográficos para proteger la información en reposo. Como afirmó Bruce Schneier : [11]
"La vigilancia es el modelo de negocio de Internet. Ha evolucionado hasta convertirse en una arquitectura de vigilancia sorprendentemente extensa, robusta y rentable. Muchas empresas y corredores de datos te están siguiendo prácticamente en cualquier lugar de Internet : diez empresas diferentes en un sitio, una docena en otro". [11] Los métodos criptográficos desempeñan un papel clave en la gestión de la identidad en línea . [11]
Los sistemas de credenciales digitales se pueden utilizar para permitir transacciones anónimas pero autenticadas y responsables entre usuarios y proveedores de servicios y para construir sistemas de gestión de identidad que preserven la privacidad. [12] [1]
Internet permite a los usuarios finales desarrollar aplicaciones y usos de la red sin tener que coordinarse con los proveedores de servicios de Internet pertinentes . Muchas de las herramientas de cifrado disponibles no son desarrolladas ni ofrecidas por proveedores de servicios u organizaciones tradicionales, sino por expertos de las comunidades de software libre y de código abierto (FOSS) e ingeniería de Internet. Un objetivo principal de estas iniciativas es producir tecnologías de mejora de la privacidad (PET) que puedan ser implementadas unilateralmente o en colaboración por usuarios interesados que estén listos, dispuestos y sean capaces de cuidar sus propios intereses de privacidad al interactuar con los proveedores de servicios. Estas PET incluyen aplicaciones de cifrado independientes, así como complementos de navegador que ayudan a mantener la confidencialidad de las comunicaciones basadas en la web o permiten el acceso anónimo a servicios en línea y motores de búsqueda. Tecnologías como los registradores de pulsaciones de teclas pueden interceptar el contenido a medida que se ingresa antes de aplicar el cifrado, por lo que no ofrecen protección. La piratería de sistemas y dispositivos de información para acceder a los datos en el momento del descifrado o después puede tener el mismo efecto. [1]
Las técnicas de computación multipartidaria (MPC) son un ejemplo de soluciones colaborativas que permiten a las partes, por ejemplo, las ONG con datos confidenciales, realizar análisis de datos sin revelar sus conjuntos de datos entre sí. Todos estos diseños aprovechan el cifrado para brindar garantías de privacidad y seguridad en ausencia de una autoridad centralizada confiable. [1]
Existen muchos avances en la implementación de criptomonedas que utilizan protocolos de cadena de bloques . Estos sistemas pueden tener muchos beneficios y estos protocolos también pueden ser útiles para nuevas formas de contratos y certificación electrónica, ayudas útiles cuando la infraestructura legal no está fácilmente disponible. En cuanto a la protección de la privacidad relacionada con los pagos, es un error común pensar que las técnicas criptográficas que se utilizan en Bitcoin garantizan pagos anónimos. La única protección que ofrece Bitcoin es el seudónimo . [13]
La disponibilidad de metadatos ( información no personalmente identificable generada por las comunicaciones/comportamientos de un usuario) puede representar una amenaza particular para los usuarios. Se trata de información que no está protegida por la ley y que los proveedores de servicios pueden observar a través de la prestación de servicios; incluyendo, entre otros: la hora, la frecuencia, la duración, las partes involucradas, etc. Los metadatos también se pueden utilizar para rastrear geográficamente a las personas y pueden interferir con su capacidad de comunicarse de forma anónima. [14] Como se señala en el informe del Centro Berkman , los metadatos generalmente no están encriptados de manera que los hagan inaccesibles para los gobiernos y, en consecuencia, "proporcionan una enorme cantidad de datos de vigilancia que no estaban disponibles antes de que [las tecnologías de comunicación por Internet] se generalizaran". [15] Para minimizar la exposición de metadatos significativos, puede ser necesario utilizar herramientas de encriptación en combinación con tecnologías que proporcionen anonimato en las comunicaciones. [ cita requerida ]
El enrutador Onion , más conocido como Tor , ofrece la posibilidad de acceder a sitios web y servicios en línea de forma anónima. Tor requiere una comunidad de voluntarios para ejecutar servidores proxy intermediarios que canalizan la comunicación de un usuario con un sitio web de modo que terceros no puedan observar con quién se está comunicando el usuario. Mediante el uso del cifrado, cada servidor proxy solo conoce parte de la ruta de comunicación, lo que significa que ninguno de los servidores proxy puede inferir por sí mismo tanto el usuario como el sitio web que está visitando. Además de proteger el anonimato, Tor también es útil cuando el ISP del usuario bloquea el acceso al contenido. [1] Esto es similar a la protección que puede ofrecer una VPN (red privada virtual). Los proveedores de servicios, como los sitios web, pueden bloquear las conexiones que provienen de la red Tor. Debido a que cierto tráfico malicioso puede llegar a los proveedores de servicios como tráfico Tor y debido a que el tráfico Tor también puede interferir con los modelos comerciales, los proveedores de servicios pueden tener un incentivo para hacerlo. Esta interferencia puede evitar que los usuarios utilicen los medios más efectivos para proteger su anonimato en línea. El navegador Tor permite a los usuarios ocultar el origen y los puntos finales de sus comunicaciones cuando se comunican en Internet. [1]
Ofuscación, la generación automática de señales "falsas" que son indistinguibles de las actividades reales en línea de los usuarios, proporcionando a los usuarios una "cobertura" ruidosa bajo la cual su información real y comportamiento de comunicación permanece inobservable. La ofuscación ha recibido más atención recientemente como un método para proteger a los usuarios en línea. TrackMeNot es una herramienta de ofuscación para usuarios de motores de búsqueda: el complemento envía consultas de búsqueda falsas al motor de búsqueda , lo que afecta la capacidad del proveedor del motor de búsqueda para construir un perfil preciso del usuario. Aunque se ha descubierto que TrackMeNot y otras herramientas de ofuscación de búsqueda son vulnerables a ciertos ataques que permiten a los motores de búsqueda distinguir entre consultas generadas por el usuario y generadas por computadora, es probable que futuros avances en la ofuscación desempeñen un papel positivo en la protección de los usuarios cuando la divulgación de información es inevitable, como en el caso de los servicios de búsqueda o basados en la ubicación . [1]
Los recientes incidentes de terrorismo han dado lugar a nuevos llamamientos a favor de restricciones del cifrado. [16] Aunque, en aras de la seguridad pública , existen muchas propuestas para interferir en la libre implementación de un cifrado fuerte, estas propuestas no resisten un escrutinio científico minucioso . Estas propuestas eluden un punto más fundamental, relacionado con lo que está en juego para los usuarios. Parece necesario que los gobiernos adopten medidas de seguridad más avanzadas, teniendo en cuenta el panorama de amenazas existente para los usuarios de las comunicaciones y la informática digitales . [16]
Aunque muchos gobiernos consideran que las técnicas de cifrado podrían representar un obstáculo para la investigación de delitos y la protección de la seguridad nacional , algunos países, como Alemania o los Países Bajos , han adoptado una postura firme contra las restricciones al cifrado en Internet. [17] En 2016, los Ministros del Interior de Francia y Alemania declararon conjuntamente la necesidad de trabajar en soluciones para los desafíos que pueden enfrentar las fuerzas del orden como resultado del cifrado de extremo a extremo, en particular cuando se ofrece desde una jurisdicción extranjera. [18] En una declaración conjunta, la Agencia Europea de Seguridad de las Redes y de la Información ( ENISA ) y Europol también han adoptado una postura contra la introducción de puertas traseras en los productos de cifrado. [19] Además, las restricciones tendrían graves efectos perjudiciales para la ciberseguridad , el comercio y el comercio electrónico . [20] [1]
La legislación sobre privacidad y protección de datos está estrechamente relacionada con la protección de los derechos humanos. Actualmente, hay más de 100 países con leyes de protección de datos. [21] Uno de los principios clave para el procesamiento justo y legal de la información personal regulado por las leyes de protección de datos es el principio de seguridad. Este principio implica que se toman las medidas de seguridad adecuadas para garantizar la protección de los datos personales contra el acceso ilícito por parte de personas distintas de los destinatarios previstos. [1] El Reglamento General de Protección de Datos de la Unión Europea , que se adoptó en 2016 y entrará en vigor en 2018, contiene un conjunto avanzado de normas con respecto a la seguridad de los datos personales. [1]
Para la ONU, el cifrado puede ser una protección contra las violaciones de datos personales , ya que puede facilitar la implementación de la privacidad y la protección de datos desde el diseño. [1] La criptografía también ha sido un ingrediente esencial para establecer las condiciones para el comercio electrónico a través de Internet. Los Principios de la OCDE se adoptaron para garantizar que la política criptográfica nacional no interfiriera en el comercio y para garantizar las condiciones para los avances internacionales en el comercio electrónico. [1]
El debate político sobre el cifrado tiene una importante dimensión internacional debido a la naturaleza internacional de las redes de comunicaciones e Internet, así como a las dimensiones de comercio, globalización y seguridad nacional. La OCDE adoptó una política para la recomendación de directrices relativas a la criptografía el 27 de marzo de 1997. Hay tres componentes en esta intervención política de la OCDE, que está dirigida principalmente a sus países miembros: una recomendación del Consejo de la OCDE, Directrices para la Política de Criptografía (como Anexo a la Recomendación) y un Informe sobre los Antecedentes y las Cuestiones de la Política de Criptografía para explicar el contexto de las directrices y las cuestiones básicas involucradas en el debate sobre la legislación y la política de criptografía . El quinto principio sobre la protección de la privacidad y los datos personales: analiza explícitamente la conexión con los derechos humanos como: "Los derechos fundamentales de las personas a la privacidad, incluido el secreto de las comunicaciones y la protección de los datos personales, deben respetarse en las políticas criptográficas nacionales y en la implementación y uso de métodos criptográficos". [1]
La Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura ( UNESCO ) ha identificado el cifrado como un elemento relevante para la política de privacidad y libertad de expresión. El Informe Keystones (2015) señala que "en la medida en que nuestros datos puedan considerarse representativos de nosotros mismos, el cifrado tiene un papel que desempeñar en la protección de quiénes somos y en la prevención del abuso del contenido de los usuarios. También permite una mayor protección de la privacidad y el anonimato en tránsito al garantizar que el contenido (y a veces también los metadatos) de las comunicaciones solo sean vistos por el destinatario previsto". [22] El informe reconoce "el papel que el anonimato y el cifrado pueden desempeñar como facilitadores de la protección de la privacidad y la libertad de expresión" y propone que la UNESCO facilite el diálogo sobre estas cuestiones. [1]
Los principios necesarios y proporcionados desarrollados y adoptados por los actores de la sociedad civil estipulan la protección de la integridad de los sistemas de comunicaciones como uno de sus 13 principios. [23] Los principios en sí no proporcionan una orientación explícita sobre cuestiones específicas de política criptográfica, como las puertas traseras o las restricciones al uso del cifrado. La orientación que ofrecen los principios de la OCDE y las posiciones recientes del Relator de las Naciones Unidas sobre el cifrado establecen la importancia del cifrado para la protección de los derechos humanos. Si bien no dan una respuesta definitiva a la pregunta de si un mandato para las puertas traseras de cifrado debe considerarse incompatible con el derecho internacional, sí apuntan en esa dirección. En general, la orientación disponible a nivel internacional aclara que cuando se imponen limitaciones al cifrado, deben observarse estrictamente las garantías pertinentes de derechos humanos. [1]
Desde los años 1990, en Estados Unidos se ha producido un amplio, activo y polémico debate político sobre el cifrado, que comenzó con las « guerras criptográficas ». Esto implicó la adopción de la Ley de Asistencia a las Comunicaciones para la Aplicación de la Ley (CALEA), que contiene requisitos para que los proveedores de telecomunicaciones y los fabricantes de equipos garanticen la posibilidad de escuchas telefónicas efectivas . [24] También implicó un debate sobre los controles de exportación existentes para productos de cifrado fuerte (teniendo en cuenta su clasificación como munición) y una investigación criminal sobre el desarrollador de software de correo electrónico criptográfico y activista Phil Zimmermann . El caso fue desestimado y el debate general se resolvió después de la liberalización de los controles de exportación para la mayoría de los productos comerciales con características de cifrado fuerte y la transferencia de estos artículos de la Lista de Municiones de Estados Unidos ( USML ), administrada por el Departamento de Estado , a la Lista de Control de Comercio (CCL), administrada por el Departamento de Comercio . [25] El Departamento de Comercio de Estados Unidos mantiene algunos controles sobre los artículos de la CCL, incluidos el registro, las revisiones técnicas y las obligaciones de presentación de informes, y sigue imponiendo licencias y otros requisitos para artículos de cifrado sensibles y las ventas de dichos artículos a gobiernos extranjeros. [1]
El debate se encendió después de las revelaciones de Edward Snowden y el aumento bien documentado de las medidas de cifrado implementadas por los servicios de Internet, los fabricantes de dispositivos y los usuarios, así como un llamado concertado de la comunidad técnica y la sociedad civil para aumentar el uso del cifrado y la seguridad para abordar las prácticas de vigilancia masiva . [26] La mayor adopción del cifrado por parte de la industria ha sido recibida críticamente por ciertos actores gubernamentales, en particular el FBI . [1] Esto condujo a la ampliamente difundida disputa de cifrado entre el FBI y Apple sobre la posibilidad de obtener acceso a la información en el iPhone para ayudar a la aplicación de la ley. En 2016, se presentaron varios proyectos de ley en el Congreso de los EE. UU. que impondrían nuevos límites al cifrado en la ley de los EE. UU. El sistema legal de los EE. UU. promueve y requiere que se implementen medidas de seguridad en los contextos relevantes, incluidos métodos criptográficos de varios tipos, para garantizar la seguridad en el comercio y los negocios. Las leyes relevantes son la Ley Federal de Modernización de la Seguridad de la Información (FISMA) de 2014, la Ley Gramm-Leach-Bliley , la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y también la Ley de la Comisión Federal de Comercio . Estas leyes contienen requisitos de seguridad y, por lo tanto, indirectamente exigen o estimulan el uso del cifrado en determinadas circunstancias. Por último, muchas leyes estatales de notificación de infracciones tratan los datos cifrados como un puerto seguro al eximir a las empresas que han cifrado datos de las obligaciones de notificación. [1]
Las consideraciones constitucionales y los derechos humanos desempeñan un papel importante en el debate en los Estados Unidos sobre el tratamiento legal de los métodos de cifrado. Las restricciones a la distribución de protocolos criptográficos y la publicación de métodos criptográficos se consideran una interferencia con la Primera Enmienda , la salvaguarda constitucional de los Estados Unidos que protege la libertad de expresión. [1] Los Estados Unidos tienen actores de la sociedad civil particularmente activos y fuertemente desarrollados que participan en la política y la práctica criptográficas.
Estados Unidos de América es un sitio principal para la investigación y la ingeniería criptográfica, el desarrollo y la implementación de innovaciones en servicios criptográficos. Existe una comunidad activa de organizaciones no gubernamentales que participan en el debate nacional e internacional sobre políticas de cifrado. [27] Las principales interferencias con el cifrado fuerte que se producen o se están considerando tienen lugar en el campo de la seguridad nacional , la aplicación de la ley y los asuntos exteriores . En esta área y al responder a la polémica pregunta de si se puede garantizar el acceso legal a comunicaciones específicas y cómo, el gobierno de los EE. UU. ha explicado internacionalmente su política como una que apunta a garantizar que el "cifrado implementado de manera responsable" ayude a "asegurar muchos aspectos de nuestra vida diaria, incluidas nuestras comunicaciones privadas y el comercio", pero también "a garantizar que los actores maliciosos puedan rendir cuentas sin debilitar nuestro compromiso con el cifrado fuerte" . [1]
En el marco del debate mundial sobre el cifrado a finales de los años 90, en Alemania también se debatió la necesidad y la legitimidad de imponer una prohibición general del cifrado de las comunicaciones debido a su impacto en las investigaciones penales. [28] Había profundas dudas sobre la legitimidad constitucional , así como preocupaciones sobre las consecuencias fácticas negativas de dicha prohibición. [28] En términos cualitativos, se considera que una serie de derechos fundamentales se ven afectados por las restricciones al cifrado: el secreto de las telecomunicaciones, las expresiones del derecho general de la personalidad e, indirectamente, todas las libertades comunicativas que se pueden ejercer a través de Internet. [29] El Gobierno federal estableció en 1999 puntos clave para la política criptográfica alemana que deberían, sobre todo, generar confianza en la seguridad del cifrado en lugar de restringirlo. [1] Además de las declaraciones del Ministro del Interior alemán sobre posibles restricciones futuras, Alemania se alinea con la posición del Relator Especial de la ONU David Kaye y adopta políticas de no restricción o de protección integral y solo adopta restricciones sobre una base de caso específico. En noviembre de 2015, representantes gubernamentales y del sector privado firmaron una "Carta para fortalecer la comunicación confiable" ("Charta zur Stärkung der vertrauenswürdigen Kommunikation"), en la que declararon: "Queremos ser el sitio de cifrado número uno del mundo" . [30] El gobierno alemán también ha utilizado su política exterior para promover estándares internacionales de privacidad. [1] En particular, Alemania, en un esfuerzo conjunto con Brasil, se comprometió en el Consejo de Derechos Humanos a nombrar un Relator Especial de la ONU sobre Privacidad. [25] Hay múltiples ejemplos de cómo ha habido esfuerzos por parte del gobierno para implementar una política de cifrado. Van desde acciones informales hasta leyes y regulaciones: la Ley de Seguridad de TI en 2015, la ley 'De-Mail'. También hay varias reglas sectoriales específicas para el cifrado y la seguridad de la información en Alemania, como la Ley de Telecomunicaciones (TKG). El Tribunal Constitucional alemán también ha proporcionado información valiosa para el manejo legal internacional de las técnicas de cifrado con el derecho básico de TI, con el que el tribunal constitucional reconoce que partes de la personalidad de uno van a parar a los sistemas informáticos y, por tanto, la protección aplicada tiene que viajar con ellos. [1]
Existen varias limitaciones a la libre implementación del cifrado por parte de los servicios de comunicaciones electrónicas a pesar de que la ley y la política indias promueven y exigen la implementación de un cifrado fuerte como medida de seguridad, como en la banca , el comercio electrónico y las organizaciones que manejan información personal sensible. [1] Existe una notable incertidumbre legal sobre el alcance legal preciso de estos requisitos de licencia y en qué medida podrían tener un efecto legal sobre (el uso o la implementación de) servicios por parte de los usuarios finales de los servicios cubiertos. El debate sobre el cifrado se encendió públicamente en la India en 2008 después de que el Gobierno publicara un borrador de propuesta con una serie de limitaciones previstas en el uso del cifrado. La política, emitida bajo la Sección 84A de la Ley de Tecnología de la Información de la India (Enmienda), 2008, duró poco, pero persisten las preocupaciones sobre la falta de salvaguardas para la privacidad y la libertad de expresión que ilustraba el borrador. [1] En respuesta a la protesta, el gobierno indio primero eximió a "los productos de cifrado de uso masivo, que actualmente se utilizan en aplicaciones web, sitios de redes sociales y aplicaciones de redes sociales como WhatsApp, Facebook, Twitter, etc." Poco después, retiró la política propuesta y aún no se ha hecho pública una nueva política. [1]
La sección 84A de la Ley de Tecnología de la Información de la India (modificación) de 2008 faculta al gobierno para formular normas sobre los modos de cifrado para el medio electrónico. Los comentaristas jurídicos han señalado la falta de transparencia sobre los tipos de uso y despliegue de cifrado permitidos y exigidos por la legislación india, especialmente en el ámbito de los servicios de comunicaciones electrónicas. [1] Así pues, el Gobierno central de la India tiene, en teoría, un amplio monopolio exclusivo sobre las comunicaciones electrónicas, que incluye el privilegio de proporcionar servicios de telecomunicaciones e Internet en la India. [1]
Tras las revelaciones de Edward Snowden en 2013, Brasil se situó a la cabeza de una coalición mundial que promovía el derecho a la privacidad en la ONU y condenaba la vigilancia masiva de los Estados Unidos. En los últimos acontecimientos, Brasil ha demostrado diversos objetivos en lo que respecta al uso y la aplicación de la encriptación. Por un lado, el país es líder en la provisión de un marco jurídico de reglas para Internet. [1] Pero también ha tomado varias medidas que pueden considerarse como una restricción a la difusión de la tecnología de encriptación. En 2015, en un proceso abierto a comentarios y debates públicos, el legislador brasileño redactó un nuevo proyecto de ley sobre privacidad ("proteção de dados pessoais"), que se envió al Congreso Federal de Brasil el 13 de mayo de 2016 y entró en vigor como Proyecto de Ley 5276 de 2016. [31] Regula y protege los datos personales y la privacidad, incluidas las prácticas en línea, e incluye disposiciones para métodos más seguros, como la encriptación en el tratamiento de los datos personales. La ley también aborda cuestiones de seguridad y el deber de las empresas de informar sobre cualquier ataque y violación de la seguridad. Con el Marco Civil (2014), que introduce principios como la neutralidad , el Marco Brasileño de Derechos Civiles para Internet , Brasil fue uno de los primeros países en introducir una ley que apunta a combinar todas las reglas de Internet en un solo paquete. Brasil tiene un modelo de gobierno electrónico bien establecido: la Infraestructura de Clave Pública Brasileña (Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil). [32] Desde 2010, los certificados ICP-Brasil pueden integrarse parcialmente en las identificaciones brasileñas, que luego pueden usarse para varios servicios como el servicio de ingresos fiscales, servicios judiciales o servicios relacionados con la banca. En la práctica, el certificado digital ICP-Brasil actúa como una identidad virtual que permite la identificación segura y única del autor de un mensaje o transacción realizada en un medio electrónico como la web. Los tribunales brasileños han tomado una postura contra el cifrado en los servicios de mensajería privada al ordenar repetidamente el bloqueo del servicio de mensajería WhatsApp . [33] Desde que pasó a un cifrado completo de extremo a extremo, el servicio ha sido bloqueado periódicamente como resultado de una orden judicial en un intento de hacer que la empresa cumpla con las demandas de información. [1]
La Carta Africana ( de Banjul ) sobre Derechos Humanos y de los Pueblos fue adoptada en el contexto de la Unión Africana en 1981. [34] Un Protocolo a la Carta, por el que se establece la Corte Africana de Derechos Humanos y de los Pueblos , fue adoptado en 1998 y entró en vigor en 2005. En el área de la política de información , la Unión Africana ha adoptado la Convención de la Unión Africana sobre Seguridad Cibernética y Protección de Datos Personales. [35] Las disposiciones sobre protección de datos personales en esta Convención generalmente siguen el modelo europeo para la protección de la privacidad de los datos y contienen una serie de disposiciones sobre la seguridad del procesamiento de datos personales. [1] Una iniciativa de la sociedad civil ha adoptado una Declaración Africana específica sobre Derechos y Libertades en Internet "para ayudar a dar forma a los enfoques de la formulación de políticas y la gobernanza de Internet en todo el continente". [36]
En los distintos países de la región del norte de África no se ha producido un aumento significativo de las acciones legales destinadas a suprimir el cifrado en las transformaciones que comenzaron en 2011. Aunque la legislación suele remontarse a antes de las transformaciones, la aplicación de la ley se ha vuelto más estricta desde entonces. No se observan diferencias en la posición con respecto a la criptografía entre los países que tuvieron revoluciones exitosas y atravesaron cambios de régimen y los que no. [1]
Túnez tiene varias leyes que limitan el anonimato en línea. [1] Los artículos 9 y 87 del Código de Telecomunicaciones de 2001 prohíben el uso de cifrado y prevén una sanción de hasta cinco años de prisión por la venta y el uso no autorizados de dichas técnicas. [37]
En Argelia , desde 2012, los usuarios necesitan legalmente autorización para el uso de tecnología criptográfica de la autoridad de telecomunicaciones competente ARPT (Autorité de Régulation de la Poste et des Télécommunications). [38]
En Egipto , el artículo 64 de la Ley de Regulación de las Telecomunicaciones de 2003 establece que el uso de dispositivos de cifrado está prohibido sin el consentimiento escrito de la NTRA, las autoridades militares y de seguridad nacional. [39]
En Marruecos , la importación y exportación de tecnología criptográfica, ya sea de software o de hardware, requiere una licencia gubernamental. La ley pertinente nº 53-05 (Loi n° 53-05 relative à l'échange électronique de données juridiques) entró en vigor en diciembre de 2007. [40]
En los países de la región de África Oriental no existen disposiciones específicas que restrinjan el uso de la tecnología de cifrado. Como en otros países africanos, la principal razón que se esgrime para la vigilancia estatal es la prevención de ataques terroristas . Kenia , por su proximidad a Somalia , ha citado esta amenaza para adoptar medidas restrictivas. El país ha aprobado recientemente una ley sobre informática y delitos cibernéticos, que se aprobará a finales de 2016. [41] En Uganda se han aprobado varias leyes y políticas de TIC en los últimos tres años, pero ninguna de ellas aborda el cifrado. En 2016, tras las elecciones presidenciales, el gobierno ugandés cerró redes sociales como Twitter, Facebook y WhatsApp. [42]
Los países de África occidental no limitan la importación o exportación de tecnología de cifrado, ni su uso, pero la mayoría de las empresas nacionales y extranjeras siguen recurriendo al uso de VPN para sus comunicaciones. Ghana presentó recientemente un proyecto de ley destinado a interceptar las comunicaciones electrónicas y postales de los ciudadanos, con el fin de ayudar a la prevención del delito. La sección 4(3) del proyecto de ley da permiso al gobierno para interceptar las comunicaciones de cualquier persona con sólo recibir una orden verbal de un funcionario público. [43] Recientemente, la Comisión de Comunicaciones de Nigeria ha redactado un proyecto de ley sobre la normativa de interceptación legal de las comunicaciones. [44] Si se aprueba, el proyecto de ley permite la interceptación de todas las comunicaciones sin supervisión judicial ni orden judicial y obliga a las empresas de telefonía móvil a almacenar las comunicaciones de voz y datos durante tres años. Además, el proyecto prevé dar a la Agencia de Seguridad Nacional el derecho a solicitar una clave para descifrar todas las comunicaciones cifradas. [1]
En Sudáfrica no se prohíbe a los usuarios utilizar el cifrado. [45] Sin embargo, la provisión de esa tecnología está estrictamente regulada por la Ley de Comunicaciones y Transacciones Electrónicas de 2002. [46]
Los países de África Central, como la República Democrática del Congo , la República Centroafricana , Gabón y Camerún, aún no cuentan con un marco jurídico bien desarrollado que aborde cuestiones de política de Internet. Internet sigue siendo un ámbito relativamente desregulado. [1]
Si bien las tecnologías digitales abarcan una amplia gama de derechos humanos , los derechos humanos a la libertad de expresión (artículo 19 del Pacto Internacional de Derechos Civiles y Políticos [PIDCP]) y el derecho a la vida privada (artículo 17 del PIDCP) son de particular relevancia para la protección de los métodos criptográficos. A diferencia de la Declaración Universal de Derechos Humanos (DUDH), que es una " ley blanda " internacional, el PIDCP es un tratado internacional jurídicamente vinculante . [47]
Las restricciones al derecho a la libertad de expresión sólo se permiten en las condiciones del artículo 19, párrafo 3. Las restricciones deberán estar previstas por la ley y deberán ser necesarias (a) para el respeto a los derechos o a la reputación de los demás o (b) para la protección de la seguridad nacional, del orden público o de la salud o la moral públicas . [1] Otra posibilidad de restricción se establece en el artículo 20 del PIDCP, [48] En el contexto de las limitaciones a la criptografía, las restricciones se basarán con mayor frecuencia en el artículo 19 (3)(b), es decir, los riesgos para la seguridad nacional y el orden público. Esto plantea la compleja cuestión de la relación y la distinción entre la seguridad del individuo, por ejemplo, frente a la interferencia con las comunicaciones electrónicas personales, y la seguridad nacional. El derecho a la privacidad [49] protege contra la "interferencia arbitraria o ilegal" en la privacidad de una persona, su familia, su hogar y su correspondencia. Además, el artículo 17(1) del Pacto Internacional de Derechos Civiles y Políticos protege contra los “ataques ilícitos” contra el honor y la reputación de las personas. [1] El alcance del artículo 17 es amplio. La privacidad puede entenderse como el derecho a controlar la información sobre uno mismo. [50] La posibilidad de vivir la vida como uno crea conveniente, dentro de los límites establecidos por la ley, depende efectivamente de la información que otros tienen sobre nosotros y que utilizan para orientar su comportamiento hacia nosotros. Esto forma parte de la justificación fundamental para proteger la privacidad como un derecho humano. [1]
Además del deber de no vulnerar estos derechos, los Estados tienen la obligación positiva de garantizar efectivamente el disfrute de la libertad de expresión y la privacidad de cada individuo bajo su jurisdicción. [51] Estos derechos pueden entrar en conflicto con otros derechos e intereses, como la dignidad , la igualdad o la vida y la seguridad de un individuo o intereses públicos legítimos. En estos casos, la integridad de cada derecho o valor debe mantenerse en la máxima medida posible, y cualquier limitación necesaria para equilibrarlos debe estar en derecho, ser necesaria y proporcionada (especialmente la menos restrictiva) en vista de un objetivo legítimo (como los derechos de los demás, la moral pública y la seguridad nacional). [1]
El cifrado respalda este modo de comunicación al permitir que las personas protejan la integridad, disponibilidad y confidencialidad de sus comunicaciones. [1] El requisito de comunicaciones sin inhibiciones es una condición previa importante para la libertad de comunicación, que es reconocida por los tribunales constitucionales, por ejemplo, la Corte Suprema de los Estados Unidos [52] y el Tribunal Constitucional Federal de Alemania [53] , así como el Tribunal Europeo de Derechos Humanos . [54] Más específicamente, la comunicación significativa requiere la capacidad de las personas para elegir libremente las piezas de información y desarrollar sus ideas, el estilo del lenguaje y seleccionar el medio de comunicación de acuerdo con sus necesidades personales. La comunicación sin inhibiciones también es una condición previa para el desarrollo personal autónomo. Los seres humanos desarrollan su personalidad al comunicarse con otros. [55] El primer Relator Especial de las Naciones Unidas sobre la privacidad, el profesor Joe Cannataci, afirmó que "la privacidad no es solo un derecho habilitante en lugar de ser un fin en sí mismo, sino también un derecho esencial que permite el logro de un derecho fundamental general al desarrollo libre y sin trabas de la propia personalidad" . [56] En caso de que se inhiba dicha comunicación, la interacción es sesgada porque una declaración no solo refleja las opiniones personales verdaderas (más íntimas) del hablante, sino que puede verse indebidamente influenciada por consideraciones que no deberían dar forma a la comunicación en primer lugar. [1] Por lo tanto, se altera el proceso de formación de la personalidad de uno a través de la interacción social . En una sociedad compleja, la libertad de expresión no se convierte en realidad cuando las personas tienen derecho a hablar. Un segundo nivel de garantías debe proteger la condición previa de hacer uso del derecho a expresarse. Si existe el riesgo de vigilancia, el derecho a proteger la libertad de expresión mediante el cifrado debe considerarse como uno de esos derechos de segundo nivel. Por lo tanto, la restricción de la disponibilidad y la eficacia del cifrado como tal constituye una interferencia con la libertad de expresión y el derecho a la privacidad, ya que protege la vida privada y la correspondencia. Por lo tanto, debe evaluarse en términos de legalidad , necesidad y propósito. [1]
La libertad de expresión y el derecho a la privacidad (incluido el derecho a las comunicaciones privadas) protegen materialmente una determinada conducta o un estado personal. [1] Está bien establecido en la teoría de los derechos fundamentales que los derechos sustantivos tienen que ser complementados por garantías procesales para ser efectivos. [57] Esas garantías procesales pueden ser derechos como el derecho a un recurso efectivo . Sin embargo, es importante reconocer que esos derechos procesales deben, al igual que los derechos sustantivos, ir acompañados de deberes procesales específicos de los gobiernos sin los cuales los derechos se erosionarían. Los derechos sustanciales tienen que ser interpretados de manera que también contengan el deber de hacer que los sistemas de gobernanza sean transparentes, al menos en la medida en que permitan a los ciudadanos evaluar quién tomó una decisión y qué medidas se han tomado. En este aspecto, la transparencia garantiza la rendición de cuentas. Es la condición previa para conocer los peligros para los derechos fundamentales y hacer uso de las respectivas libertades. [1]
La protección de los derechos humanos exige la participación de los proveedores de servicios, que suelen actuar como intermediarios que facilitan la expresión y la comunicación de sus usuarios de distintos tipos. [58] En los debates sobre la política criptográfica, la cuestión del acceso gubernamental legal –y las condiciones en las que debería producirse dicho acceso para respetar los derechos humanos– tiene un enfoque vertical y nacional. Las complejidades de la jurisdicción en el acceso gubernamental legal son significativas y plantean un rompecabezas aún sin resolver. En particular, se ha producido un cambio drástico desde el acceso gubernamental legal tradicional a las comunicaciones digitales mediante la focalización de los proveedores de telecomunicaciones con fuertes conexiones locales, al acceso mediante la focalización de los servicios de transmisión por Internet con menos conexiones o conexiones débiles con las jurisdicciones en las que ofrecen servicios a los usuarios. En esos casos, esos proveedores de servicios que operan a nivel internacional deberían (poder) entregar los datos y las comunicaciones de los usuarios a las autoridades locales. La implementación del cifrado por parte de los proveedores de servicios es un factor que complica aún más las cosas. [1]
Desde la perspectiva de los proveedores de servicios, parece probable que los métodos criptográficos deban diseñarse para que permitan proporcionar datos de los usuarios únicamente sobre la base de un proceso legal válido en determinadas situaciones. En los últimos años, las empresas y, en especial, los intermediarios en línea se han convertido cada vez más en el centro de atención del debate sobre la aplicación de los derechos humanos. [59] Los intermediarios en línea [55] no sólo tienen un papel de intermediarios entre los proveedores de contenido y los usuarios, sino también de "intermediarios de seguridad" en varios aspectos. Sus prácticas y valores predeterminados en materia de cifrado son muy relevantes para el acceso de los usuarios a esas tecnologías y su uso eficaz. Dado que una gran cantidad de datos viaja a través de sus enrutadores y se almacena en sus nubes, ofrecen puntos de acceso ideales para la comunidad de inteligencia y los actores no estatales . Por lo tanto, también, tal vez involuntariamente, funcionan como una interfaz entre el Estado y los usuarios en materia de política de cifrado. El papel tiene que reflejarse también en el debate sobre los derechos humanos, y exige una integración integral de la seguridad de la información y la comunicación de los usuarios en el modelo emergente de gobernanza de Internet de hoy. [1]
La UNESCO está trabajando para promover el uso de evaluaciones legales basadas en los derechos humanos en casos de interferencia con la libertad de usar y desplegar métodos criptográficos. [1] El concepto de Universalidad de Internet , desarrollado por la UNESCO, incluye un énfasis en la apertura, la accesibilidad para todos y la participación de múltiples partes interesadas. Si bien estos requisitos mínimos y buenas prácticas pueden basarse en un análisis legal más abstracto, estas evaluaciones deben realizarse en contextos específicos. El acceso seguro y autenticado a contenido disponible públicamente, por ejemplo, es una salvaguarda contra muchas formas de censura pública y privada y limita el riesgo de falsificación. Uno de los estándares técnicos más frecuentes que permite el acceso seguro y autenticado es TLS . Estrechamente relacionado con esto está la disponibilidad de acceso anónimo a la información. TOR es un sistema que permite la recuperación prácticamente anónima de información en línea. Ambos aspectos del acceso al contenido benefician directamente la libertad de pensamiento y expresión. El principio de seguridad jurídica es vital para todo proceso jurídico que concierna a métodos o prácticas criptográficas. El principio es esencial para cualquier forma de interceptación y vigilancia porque puede evitar temores irrazonables de vigilancia, como cuando las normas jurídicas subyacentes están redactadas con precisión. La seguridad jurídica puede evitar efectos amedrentadores al reducir un factor inhibidor clave para el ejercicio de los derechos humanos para la UNESCO. [1] Por lo tanto, es esencial la innovación continua en el campo de la criptografía y el establecimiento y la difusión de nuevas normas técnicas. Las normas criptográficas pueden caducar rápidamente a medida que aumenta la capacidad de procesamiento . La UNESCO ha señalado que la educación y la modernización continua de las técnicas criptográficas son importantes. [1]
El impacto sobre los derechos humanos sólo puede evaluarse analizando las posibles limitaciones que los Estados pueden establecer a esas libertades . La UNESCO afirma que la seguridad nacional puede ser un objetivo legítimo para acciones que limiten la libertad de expresión y el derecho a la privacidad , pero exige acciones que sean necesarias y proporcionales. [1] "La UNESCO considera que una injerencia en el derecho a la codificación como garantía consagrada en la libertad de expresión y en la privacidad es especialmente grave si:
Este artículo incorpora texto de una obra de contenido libre . Licencia CC BY SA 3.0 IGO (declaración de licencia/permiso). Texto extraído de Derechos humanos y cifrado, 14–59, Wolfgang Schulz, Joris van Hoboken, UNESCO. en.unesco.org/unesco-series-on-internet-freedom .
{{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite news}}: |last=tiene nombre genérico ( ayuda ){{cite book}}: Mantenimiento CS1: año ( enlace ){{cite book}}: Mantenimiento CS1: año ( enlace ){{cite book}}: Mantenimiento de CS1: falta la ubicación del editor ( enlace )