Autor

El estado de derecho en el ciberespacio: mitos y realidades

Foto: Canadian Internacional Council

La tecnología digital emergente en el ciberespacio ha generado capacidades que han resultado en un gran aumento de los riesgos de seguridad en todo el mundo. En este orden, los países enfrentan un gran reto para implementar regulaciones para proteger sus sociedades lo suficientemente rápido como para mantenerse al día con las amenazas cibernéticas que surgen a diario. El objetivo de este ensayo es analizar el estado actual de las regulaciones del ciberespacio en América Latina y el Caribe (LAC) enfocado en los sistemas legales existentes y la asociación público-privada base fundamental para el ejercicio del estado de derecho en el ciberespacio y los desafíos que enfrentan para ejercerlo.

Con la finalidad de proporcionar claridad sobre el  marco teórico de los conceptos empleados en este ensayo conceptualizaremos el estado de derecho en base a  The Origins of Polical Order (Fukuyama, 2011) específicamente en lo referente al Estado de derecho basado en la ley como cuerpo abstracto de reglas de justicia fundamentadas en valores y principios de la sociedad y no en la legislación como ejercicio de la función del poder político.

En Latinoamérica y el Caribe, como en todo el mundo, existen tres sistemas legales: el sistema civil, el sistema común y la combinación de los dos sistemas anteriores.  Sin embargo, los tres se han mostrado limitados para proporcionar el marco legal apropiado que sustente en forma eficiente la regulación del ciberespacio en las sociedades democráticas sustentadas en el Estado de derecho. La regulación de las funciones de ataque, defensa, resiliencia, privacidad, libertad de expresión, entre otras, de los sectores públicas y privadas en el ciberespacio es esencial para la ciberseguridad nacional y global. Sin embargo, los esfuerzos exitosos hasta el presente de la Unión Europea (UE), en lo relativo a la privacidad, han encontrado eco en Latinoamérica y el Caribe.

Otro factor determinante para la regulación son los principios en los cuales se sustentan los sectores públicos y privados actores fundamentales en el ciberespacio por una parte, el sector público enfocado en el principio de proteger el bien común, y por otra, el sector privado enfocado en la generación de ganancias comerciales. De ahí se desprende la necesidad de la convergencia de ambos sectores, bajo un marco regulatorio común, para cumplir los objetivos de la ciberseguridad en el  marco del Estado de derecho.

Sistemas legales y asociaciones público-privadas

La asociación público-privada (APP) es un elemento esencial de la seguridad cibernética, ya que los sectores público y privado son centrales en la lucha contra las amenazas cibernéticas.  Por otra parte, Centro y Suramérica utiliza el derecho civil que tiene sus raíces en el sistema legal romano.  El sistema de derecho civil solo reconocen a las leyes aprobadas a través del sistema legislativo como leyes vinculantes; por otro lado, el sistema de derecho consuetudinario, está influenciado por la jurisprudencia si bien este sistema utiliza un proceso constitucional y legislativo, también consideran que las decisiones judiciales son leyes vinculantes esto permite que el sistema de derecho consuetudinario sean más maleables, ya que no siempre se tiene que pasar por el largo y riguroso proceso legislativo para implementar nuevas regulaciones.

Independientemente del sistema legal, la capacidad de funcionamiento eficiente y de recuperación a un ataque dependerá de la cooperación exitosa entre ambos sectores para ello se requiere comprender el desafío que constituye crear APP a través de contratos dado el sistema legal del país. Los países de derecho civil no tienen mucha libertad de contrato, ya que las partes del contrato a menudo no pueden decidir qué disposiciones quieren contratar, y muchas disposiciones no se incluyen expresamente, sino que están implícitas en otras leyes subyacentes que hacen innecesario repetirlos contractualmente. Esto puede ser problemático debido a la ambigüedad de las reglas del contrato; igualmente, en el sistema de derecho civil los contratos son más cortos debido a la omisión de un lenguaje específico, lo que deja que las disputas entre las partes se resuelvan por lo establecido en la ley inclusive después de la creación del contrato.  Otro aspecto importante con respecto a las regulaciones de seguridad cibernética con respecto a las APP es que el sistema de derecho civil deja mucho margen de error debido a al lenguaje utilizado. Los sistemas de derecho civil están establecidos en leyes codificadas, en consecuencia, muchos acuerdos de APP no serán ejecutables si no están en congruencia exacta con las leyes del país. Esto retrasará la creación de APP, ya que los contratos a menudo deberán reorganizarse para adaptarse a las leyes del país.

Regulaciones del ciberespacio en países que utilizan sistemas de derecho civil

Para el análisis de los países de LAC, que utilizan el sistema legal civil, hemos seleccionado a Brasil y Colombia como los países que más han avanzado en el establecimiento de legislación para las actividades del ciberespacio. Brasil, el país más avanzado en tecnología de información y comunicaciones, es un objetivo principal para los ataques cibernéticos.  La Constitución Federal brasileña garantiza primero la protección de la privacidad como un derecho fundamental de todas las personas. La legislación más reciente de Brasil que trata temas de ciberseguridad es la Ley General de Protección de Datos de Brasil (LGPD, por sus siglas en portugués), que se centra en regular el uso y la protección de datos personales por parte de los sectores público y privado (Kujawski, 2018). La LGPD se ha seguido a la UE en su Reglamento General de Protección de Datos (GDPR) ya que contiene muchas disposiciones similares. Sin embargo, ninguna agencia está encargada de la coordinación general entre más de siete ministerios y departamentos diferentes que controlan aspectos de privacidad y seguridad en el sector cibernético. En términos de legislación para combatir el delito cibernético, en el Congreso de Brasil se han introducido muchos proyectos de ley que, de aprobarse, permitirían el acceso a datos personales sin una orden judicial, lo cual es materia muy sensitiva y que cuenta con un amplio rechazo público debido a las preocupaciones por la privacidad.

Al igual que Brasil, los fundamentos del derecho civil de Colombia garantizan el derecho a la privacidad en su Constitución e incluye un derecho de «habeas data», que permite a los ciudadanos el derecho a conocer y controlar la información personal que se ha recopilado en bases de datos públicas o privadas. El enfoque de la legislación de seguridad cibernética de Colombia se ha centrado en la protección de datos. Si bien Colombia es un buen ejemplo y constituye el primer país de LAC en reconocer plenamente las principales recomendaciones de la Convención de Budapest para aplicar en el país las mejores prácticas, en materia de legislación sobre delitos digitales. No obstante, aún no se ha implementado una política comprensiva para el país con respecto a la ciberseguridad y la defensa, y los grupos de la sociedad civil tienen muchas reacciones negativas con respecto al enfoque de CONPES 8354 en asuntos militares y económicos como consecuencia existen preocupaciones sociales y de derechos humanos más amplias, como la privacidad de los ciudadanos.

Regulaciones del ciberespacio en países que utilizan sistemas de derecho consuetudinario

Para analizar países con sistemas legales comunes, hemos elegido Belice y Trinidad y Tobago los cuales han dado algunos pasos para combatir los problemas cibernéticos. Hasta la fecha, la legislación sobre transacciones electrónicas es lo más cerca que Belice ha estado de la legislación cibernética. Sin embargo, Belice es uno de los únicos países de la región de Latinoamerica y el Caribe que no tiene reglamentaciones relacionadas con la protección de datos o la ciberseguridad como delito en general, aunque si cuenta con una Ley de Libertad de Información (2000) que protege la información personal de los ciudadanos, pero no menciona los datos electrónicos (Belize, 2000). La Estrategia de desarrollo, a mediano plazo, de Belice 2010-2013 sirvió como marco para la creación de legislación para, entre otras cosas, abordar cuestiones de «protección de datos y privacidad, Cibercrimen y seguridad de la red». Además, Belice lleva a cabo eventos de colaboración útiles, como simposios, y ha creado varias estrategias que se ocupan de las futuras regulaciones de seguridad cibernética, no obstante, el país no ha implementado completamente ninguna de las pautas que abordan cuestiones cibernéticas y carece de las APP para la cooperación.

El enfoque de Trinidad y Tobago con respecto a la ciberseguridad ha estado enfocado en la protección de datos (DPA) de 2011, que brinda protección a la privacidad personal y la información que es recopilada por organismos públicos y privados. Sin embargo, la agencia encargada no ha entrado en funciones (Tobago, 2012). Existe cuestionamiento porque al entrar en funciones podría ponerse en peligro la privacidad de las personas e inclusive el ejercicio del periodismo cuando las autoridades actúen sin la necesidad de una orden judicial (Lyn-der-say, 2019). La falta se debe a que las leyes en proyecto aún no aprobadas impide el desarrollo de las capacidades para que Trinidad y Tobago pueda avanzar en esta materia. Además, el retraso en la toma de conciencia y los avances en seguridad cibernética se debe también a la falta de recursos financieros y humanos.

Regulaciones del ciberespacio en países que utilizan una combinación de los sistemas de derecho civil y común

Con respecto a los países de la región de LAC que utilizan una combinación de ambos sistemas legales, analizaremos los esfuerzos legislativos de Guyana y Puerto Rico.  Guyana actualmente no tiene legislación sobre protección de datos. En 2015, el gobierno modificó su Proyecto de Ley de Instituciones Financieras para permitir que la Autoridad de recaudación de Ingresos de Guyana (GRA) acceda a los datos de todos los ciudadanos para diversos fines de investigación. Esto recibió críticas de la Comisión del Sector Privado (PSC) debido a la falta de legislación que protege la información confidencial. En 2018, se aprobó un proyecto de ley de Cibercrimen que fue originalmente criticado por la oposición política por cláusulas que restringían los derechos de la prensa y los denunciantes por críticas hacia el gobierno. Sin embargo, el gobierno introdujo varios correctivos no obstante,  persisten desacuerdos en el Congreso sobre varias disposiciones y algunas fracciones políticas se oponen.  Finalmente, Guyana no está vinculada oficialmente a la Convención de Budapest como miembro completo ya que el proyecto de ley no está alineado con la Convención  y carece de disposiciones que permitan la cooperación internacional y cumplan de esta forma con los requisitos del convenio.

Puerto Rico, aunque es un territorio incorporado como estado asociado a los Estados Unidos, la región de LAC, así como la mayoría de los puertorriqueños, ven el territorio como parte de América Latina. Antes de su afiliación con los EE. UU., Puerto Rico utilizaba solamente el código civil español. Debido a que EE. UU. Utiliza un sistema de derecho consuetudinario basado en la doctrina del precedente judicial, Puerto Rico adoptó un sistema legal mixto que incorporaba aspectos de derecho consuetudinario y civil. Si bien Puerto Rico adopta la legislación de seguridad cibernética de los EE. UU., El territorio ha implementado sus propias regulaciones, sobre la protección de datos. En la actualidad, no se cuenta con una autoridad general o una ley única que describa amplias regulaciones de protección de los datos de los ciudadanos. Hasta ahora, los intentos de Puerto Rico de adaptar y diseñar leyes para la regulación del ciberespacio muestran su compromiso de abordar las nuevas amenazas que surgen del acceso mejorado a la información personal. El problema principal que enfrenta el país es la falta de una ley y autoridad global de protección de datos o ciberseguridad para abordar los problemas de privacidad y seguridad. Además, la ausencia de cualquier regulación de seguridad cibernética, específicamente con respecto a la infraestructura crítica de Puerto Rico.

Conclusiones:

Los países de la región de América Latina y el Caribe enfrentan muchos desafíos de seguridad cibernética, entre ellos, las regulaciones que permitirán el ejercicio del Estado de derecho. La mayoría de los obstáculos para estos países radican en el intento de aplicación de sistemas legales bajo los parámetros tradicionales de diseño e implementación (civil, consuetudinario y combinado) y la coordinación entre los sectores público y privado.  Observamos países que se centran en la protección de datos y la privacidad pero a menudo descuidan la definición y protección de su infraestructura crítica, países que forman una legislación sobre delitos informáticos que se centran en acceder a la información de los ciudadanos y han recibido rechazo público por la preocupación creciente de los ciudadanos en relación a la privacidad.  Los países de derecho civil también pueden tener dificultades para establecer APP útiles debido a la falta de libertad de contratación. Aunque muchos países de LAC que utilizan el derecho consuetudinario aún no han creado jurisprudencia sobre estos temas, la naturaleza fluida de dicho sistema en regiones como los EE. UU. Ha demostrado que permite un entorno legal más flexible. La UE con un sistema mixto ha servido como pionera en los esfuerzos regulatorios cibernéticos, y a menudo influye en las acciones de las regiones como LAC, probablemente le resulte a la UE más fácil lidiar con los problemas de ciberseguridad porque utilizan un sistema  que incorpora aspectos tanto del derecho civil como del derecho consuetudinario.

Finalmente, en el plano internacional, muchos países de LAC, han acordado adherirse a la Convención de Budapest, sin embargo, los países que han firmado y ratificado la Convención de Budapest aún no han implementado sus recomendaciones. Si bien las Naciones Unidas (ONU) han intentado trabajar para aliviar las amenazas internacionales de ciberseguridad, no se ha hecho mucho en el frente de la adhesión internacional. Los actos de delito cibernético son casi imposibles de identificar y ningún tribunal de la comunidad internacional escucha casos relacionados con delitos informáticos internacionales.

Debido a estos problemas, así como a los mencionados anteriormente, es probable que la región de LAC continúe siguiendo a la UE al establecer sus propias regulaciones, y la utilización de la cooperación internacional y el establecimiento de APP son los mecanismos más factibles para aumentar las posibilidades del ejercicio del estado de derecho en el ciberespacio con los retos y oportunidades que presenta en Latinoamerica, el Caribe y el mundo en general.

Solo la existencia de reglas comunes hace posible la relación pacifica de los individuos en la sociedad
 Friedrich August von Hayek

COMPARTIR

1 comentario en «El estado de derecho en el ciberespacio: mitos y realidades»

  1. En un mundo globalizado donde la presencia de las nuevas amenazas de orden híbrido están relacionadas con el Ciberespacio, se observa que tiene implicito un interés de aumentar la vulnerabilidad de las personas a nivel global; en tal sentido, es múy válido lo previsto en la Convención de Busdapest.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las ideas contenidas en este análisis son responsabilidad exclusiva del autor, sin que refleje necesariamente el pensamiento del CEEEP ni del Ejército del Perú

NEWSLETTER