El ciberpatrullaje que opera como actividad de seguimiento sobre toda la población

Forma parte ya naturalizada de los vínculos entre la gente a partir del desarrollo de las TIC; el problema surge cuando, con un método parecido, la Policía utiliza esa técnica que llama “ciberpatrullaje” con el objetivo de prevenir e investigar delitos.

Problema porque la Policía cuenta con mayor tecnología (por ejemplo, detectar el IP de las máquinas o los móviles utilizados), pero fundamentalmente porque no hay un marco normativo claro que establezca a quién se investiga, por qué motivo, durante cuánto tiempo y qué destino tiene la información recogida.

El límite

La irrupción de las redes sociales y el exacerbado narcisismo parece convalidar que toda la información que circula por las redes abandona el espacio de lo privado y pasa a ser de dominio público. Pero, como advierte la organización de la sociedad civil Datysoc: “Contrariamente a la creencia popular, el control sobre qué datos personales se hacen públicos en las redes sociales no es simplemente una cuestión de sencilla elección voluntaria. En consecuencia, la réplica común, ‘si no quería que otra gente (como la Policía) lo leyera, ¿por qué lo hizo público?’, no es de hecho una pregunta sensata. Sostenemos que esto contribuye en gran medida al argumento de que el material colocado en las redes sociales ‘abiertas’ aún puede llevar consigo expectativas razonables de privacidad”.

Datysoc se presenta como un laboratorio de datos y sociedad que es un proyecto incubado por DATA Uruguay que reúne un equipo interdisciplinario de profesionales interesados en promover un marco de referencia sobre la situación de los derechos humanos en la era digital en Uruguay. Para Datysoc, lo realizado por la actividad policial no es prevención del delito sino inteligencia, aunque cometa errores gruesos como la detención del joven Dante del barrio Santa Catalina, que nada tenía que ver con el joven instigador de las peleas multitudinarias.

Reconocer entre dientes

El semanario Búsqueda informó que ante una acción judicial de esta organización ante el Tribunal de Apelaciones en lo Civil de 4° Turno, obligó al Ministerio del Interior a confirmar que sí desarrollaba la práctica del ciberpatrullaje, pero por toda respuesta fundamentada recibió un SÍ.

Las actividades de ciberpatrullaje que se utilizan para la investigación de ciberdelitos, incluido entre ellos el de la pornografía infantil, son llevadas adelante por unidades especializadas del Ministerio del Interior (Dirección Nacional de Inteligencia, Delitos Complejos, Crimen Organizado), pero no queda claro si son los únicos que realizan esta actividad, porque el método de ciberpatrullaje tampoco es tan sostificado. En el caso del joven Dante nunca quedó claro si su detención se debió a un error de procedimiento operativo basado en los resultados del ciberpatrullaje.

Complejiza el tema, además, el concepto instalado desde el Gobierno de la “apariencia delictiva”, donde cualquier pibe que se saque una foto de gorro y en una moto puede ser motivo de seguimiento.

Sugerencias al sistema político

Datysoc hace una serie de sugerencias a los parlamentarios para modificar algunos artículos que le den un marco normativo al accionar policial.

En un documento enviado al Parlamento, sugiere: “Revisar los aspectos más problemáticos (y posiblemente inconstitucionales) de la ley nro. 19.696 del Sistema Nacional de Inteligencia del Estado. En ese sentido, proponemos:

• Modificar la definición de inteligencia policial (artículo 3 literal E), diferenciándola claramente de las actividades de instrucción y prevención del delito y detallando de forma granular cuáles serían los objetivos exactos para los cuales podría recogerse la información.
• Modificar la definición de fuentes abiertas (artículo 3 literal H), diferenciando las plataformas digitales de comunicación social respecto de otras fuentes abiertas. Recomendamos especialmente que se adopte la definición de fuentes públicas o accesibles al público del artículo 9 bis de la ley nro. 18.331 de Protección de Datos Personales.
• Incluir dentro del concepto de procedimientos especiales del artículo 20 aquellas actividades que impliquen el uso de SOCMINT (El SOCMINT permite obtener información de forma masiva a través de las redes sociales, tanto para usos legítimos como no legítimos) en redes sociales u otros espacios digitales en los que haya una razonable expectativa de privacidad, de forma tal que queden incluidos dentro de aquellas situaciones que requieren una autorización judicial previa.
• Incluir de forma expresa, dentro de las prohibiciones previstas por el artículo 7, la prohibición de actividades de monitoreo sistemático e indiscriminado de la ciudadanía (vigilancia masiva).
• Requerir que la autorización judicial prevista en el artículo 20 inciso 1 contenga un estándar legal mínimo de fundamentación basado en factores de proporcionalidad y necesidad, duración máxima y determinación de los plazos para el cese de la actividad.
• Requerir autorización judicial fundada para la designación de agentes encubiertos, fijándose plazos máximos y la responsabilidad del agente tomando en cuenta los aspectos de proporcionalidad de su actuación.
• Adecuar el régimen de acceso y clasificación de información a los estándares internacionales plasmados en los Principios de Johannesburgo sobre la Seguridad Nacional, la Libertad de Expresión y el Acceso a la Información.
• Regulaciones específicas separadas para cada organismo integrante del SNIE que permitan diferenciar en forma detallada las obligaciones, límites y habilitaciones dentro de cada dimensión del ciclo de la inteligencia policial.
• Ante la negativa del Ministerio del Interior de informar a la sociedad civil sobre actividades de monitoreo en redes o actividades de SOCMINT con fines de prevención del delito, se recomienda a los legisladores realizar un pedido de informe parlamentario solicitando esta información.

De constatarse el uso policial de SOCMINT, se recomienda:

• Introducir las modificaciones necesarias a la Ley de Procedimiento Policial y al Código del Proceso Penal de modo que se garantice el debido proceso cuando el monitoreo de internet, aun sin intervención de comunicaciones, se torna en un mecanismo de vigilancia selectiva, así como la obligación de establecer protocolos de actuación.
• Crear obligaciones legales para que el Ministerio del Interior haga pública información sobre el uso de tecnologías para la vigilancia y actividades de inteligencia. Algunos de los datos que deben publicarse incluyen el tipo de tecnologías usadas, el número de personas afectadas, los motivos del uso de las tecnologías, así como los responsables por su correcto uso”.

Estas modificaciones, que difícilmente sean tomadas en cuenta en periodo electoral, lleva a la organización de la sociedad civil a realizar recomendaciones al Ministerio del Interior y éstas son algunas de las propuestas:

• Abstenerse de realizar actividades que impliquen SOCMINT en redes sociales sin autorización judicial.
• Cumplir con la Ley de Acceso a la Información Pública y con las resoluciones de la Unidad de Acceso a la Información Pública. La información que deba permanecer reservada por comprometer cuestiones operativas relacionadas con la seguridad pública o la lucha contra el crimen, debería detallarse especialmente, probando el daño a la seguridad pública en cada caso, y no indicarse de forma genérica, de acuerdo con lo establecido en los artículos 8 y 9 de la Ley de Acceso a la Información Pública y el artículo 25 de su decreto reglamentario.
• Evitar una cultura institucional de secretismo innecesario, impulsando procesos de transparencia, rendición de cuentas y participación ciudadana significativa que contribuyan al control ciudadano de las actividades de inteligencia y seguridad pública.
• Diseñar protocolos específicos y públicos para las actividades de SOCMINT, diferenciando el uso con fines de inteligencia del uso con fines de instrucción criminal y prevención del delito y facilitando, al mismo tiempo, la evaluación sobre su necesidad y proporcionalidad.
• Publicar toda la información posible sobre contratos relacionados con la adquisición de tecnología que se usa para actividades de vigilancia, con el fin de facilitar el control ciudadano.

Litigio judicial

Datysoc presentó en noviembre del 2022, ante la Unidad de Acceso a la Información Pública, una solicitud que el Ministerio respondió en parte y que llevó a un litigio judicial que culminó en el 2024.

Datysoc solicitaba saber:

“1) Si existen dependencias dentro del organismo que realicen la recolección de datos personales en fuentes abiertas (*) para la prevención y/o investigación de delitos, indique cuáles dependencias. Indicar, además, la normativa, regulación y/o protocolo de actuación que sustenta dicha recolección.

(*) Se debe entender por ‘fuentes abiertas’ aquellas de acceso abierto (entendido este como acceso libre, que no exige registración previa) o semi-abierto (entendido como aquél que exige registración previa, puede ser pago o no pago). Incluimos en este concepto a las redes sociales a las que se accede en Internet.

2: Si se han realizado y/o aprobado estudios, regulaciones, propuestas de regulaciones, o documentos para los cuales se hayan recopilado datos en ‘fuentes abiertas’, indicar cuáles y facilitar enlace o archivo correspondiente.

3: Si se ha negociado y/o firmado contratos con empresas privadas que se dediquen a la recopilación y análisis de datos en ‘fuentes abiertas’ (por ejemplo UCINET), indicar con cuáles, con qué fines y facilitar copia del contrato correspondiente”.

El 1 de marzo de 2023 la UAIP exhortó al Ministerio del Interior a dar respuesta, respondiendo en junio de ese año que la información solicitada era de carácter reservado.

En abril, el Dr. Gabriel Ohanian Hagopian, del Juzgado Letrado de Primera Instancia en lo Contencioso Administrativo de 1º Turno falló: “Acogiendo parcialmente la demanda y condenando al Ministerio del Interior para que en el plazo de 10 días entregue la información requerida por la actora en las tres preguntas (fs 6), en la parte general de las mismas y como se indicó para cada caso en los considerandos que anteceden. II. Desestimando la demanda en lo demás. III. Sin especial sanción en la Instancia. IV. Consentida o ejecutoriada, se archive (HF 6 BPC). Notifíquese personalmente,” fallo que fue apelado tanto por Datysoc como por el Ministerio del Interior. (Litigio judicial se puede leer en https://datysoc.org/litigio-ciberpatrullaje/#seccion6).

Conclusiones

De las actividades de monitoreo, Datysoc concluye que: “La ley nro. 19.696 que regula el Sistema Nacional de Inteligencia del Estado (SNIE) confunde las tareas de instrucción y prevención del delito con las de inteligencia policial y habilita la vigilancia en redes sociales y la creación de perfiles falsos con fines de vigilancia sin orden judicial. También encontramos que la definición de fuentes abiertas que establece la ley del SNIE incluye a las redes sociales, mientras que la Unidad Reguladora y de Control de Datos Personales (URCDP) establece que éstas no podrían considerarse fuentes abiertas sin violentar el derecho humano a la protección de datos personales. Este último es uno de los varios argumentos que nos permite concluir que el ciberpatrullaje sin control judicial no cumple con estándares básicos de necesidad y proporcionalidad, y que no se trata de una actividad de prevención del delito, sino que constituye lisa y llanamente una actividad de inteligencia policial ilegítima.

La presente demanda nos permitió confirmar que el MI se encuentra efectivamente haciendo tareas de ciberpatrullaje sin un marco normativo que ofrezca garantías. De lo relevado hasta el momento, no se desprende que el MI tenga los recursos ni las capacidades para realizar un monitoreo de plataformas digitales en gran escala. El escenario más plausible es el de la existencia de personal dedicado a patrullar las redes en situaciones puntuales o con objetivos específicos. Estas actividades se hacen sin una normativa que garantice los derechos de las personas cuyos datos personales están en juego. Los casos recientes que reseñamos en este informe, que incluyen la investigación inapropiada a un trabajador de prensa y la detención por error de un adolescente, ponen de relieve la necesidad urgente de establecer límites al monitoreo de la actividad de las personas en Internet y de construir protocolos para que la policía proceda adecuadamente en los casos muy específicos que ameritan procedimientos de ese tipo.

Los nuevos hallazgos confirman las preocupaciones planteadas por Datysoc en nuestro informe de 2023. Tal como dijimos en aquel momento, y más aún a la luz de la nueva información, resulta cada día más urgente establecer normas que regulen estas prácticas, así como obligaciones de transparencia que garanticen que los procedimientos policiales cumplen con el debido proceso y los estándares internacionales de legalidad, necesidad y proporcionalidad, prohibiendo bajo toda circunstancia la vigilancia masiva e indiscriminada a la ciudadanía”.

La experiencia

Fuente consultadas por Caras y Caretas expresan que: “En principio diría que las tareas de patrullaje cibernético no son una mala herramienta, todo lo contrario. Ahora bien, a la hora de accionar las tareas operativas, deben estar acompañadas por tareas de inteligencia muy seriamente instrumentadas. Al llegar a ese punto, el error debe ser casi nulo. Partimos de la base de que en redes lo que más circula es información anónima o falseada. Esto nos lleva a extremar las medidas a la hora de operar”.