Las nuevas tecnologías, y en especial las relativas al IoT (Internet of things), conservan una relación de profunda intimidad con los usuarios, haciendo que la información almacenada pueda afectar derechos personalísimos. El impacto en el proceso penal.
De Vucetich a Negroponte.
Iván Vučetić, nacionalizado argentino con el nombre de Juan Vucetich, fue un antropólogo y policía de origen croata que puso por primera vez en práctica un sistema eficaz para la identificación de personas por sus huellas digitales, adoptado luego en todo el mundo. A fines del siglo XIX su método revolucionó la investigación criminal y se utiliza hasta el día de hoy.
A fines del siglo XX, otro inmigrante, pero esta vez un griego nacionalizado estadounidense, Nicholas Negroponte publicó un libro que hace 25 años anunciaba lo que estamos viviendo hoy. Su obra, editada en año 1995 “Ser digital” (Being Digital [1]) anticipaba la cotidianeidad plagada de bits e información que hoy estamos viviendo.
Lo digital de Vucetich y lo digital de Negroponte provocaron con una diferencia de casi un siglo, novedades revolucionarias que tienen impacto en el Derecho.
Podemos señalar otros hitos que desembarcan en historias conocidas, pero ninguno con la velocidad virtual de estos tiempos. Internet de las Cosas (IoT[2]) está cambiando la forma de entender el mundo. Objetos cotidianos conectados a Internet, que interactuando entre sí pueden recoger y almacenar información, realizar acciones automatizadas, tomar decisiones por sí solos y más. Novedosas tecnologías que pueden analizar datos y proporcionar nueva información que antes no existía o no se tenía en cuenta a la hora de tomar decisiones.
La independencia en el accionar de estos objetos y la transformación de nuestro vínculo con ellos, supone un cambio de paradigma y una modificación de la sociedad tal y como la conocíamos.
La gran cantidad de datos, junto con la difusión y descentralización de la información que circulará por la red, hace más complejo mantener un control sobre los datos de los usuarios que recogerán estos dispositivos. Los derechos a la privacidad e intimidad serán puntos en donde hacer foco, desde el punto de vista legislativo, para que no se vean vulnerados. El avance tecnológico trae aparejado un nuevo escenario para estos derechos.
El Internet de las cosas (IoT) hace referencia a la agrupación e interconexión de dispositivos y objetos a través de una red (por lo general Internet), dónde todos ellos pueden interaccionar. Respecto al tipo de objetos o dispositivos podrían ser cualquiera, desde sensores hasta objetos cotidianos como pueden ser la heladera, la cafetera, las luces o incluso ropa. Cualquier objeto que se pueda conectar a internet e interaccionar sin necesidad de la intervención humana, podría ser parte del exclusivo club IoT.
Esto nos lleva a un cambio total de paradigma y a nuevos interrogantes que antes ni estaban sobre la mesa. ¿Qué sucede con la privacidad de los usuarios? ¿no es acaso esta información nueva más privada que la que se podía recopilar con anterioridad? ¿Estamos dispuestos a que la empresa propietaria de los dispositivos IoT sepa tanto de nosotros?
Privacidad en IoT
“La privacidad es importante porque garantiza que nuestros derechos sean respetados y protegidos”, Privacy International [3]. Esta lucha constante entre la privacidad y la tecnología tuvo, tiene y tendrá, cada vez más, un foco preponderante.
Las empresas se van dando cuenta de que los datos personales son la clave para determinar una estrategia publicitaria o la segmentación de su mercado con mayor acierto, o los gobiernos para poder controlar más a su población.
La tecnología loT plantea una serie de desafíos de privacidad y protección de datos nuevos, además de los tradicionales que se ven amplificados según las nuevas formas de procesamiento de datos.
La cantidad de datos recogidos y los avances en técnicas de análisis de datos y cruces puede dar lugar al uso de datos para fines secundarios totalmente distintos del fin inicial. Datos sin significado aparente, pueden dar lugar a información relevante para otro fin.
La comunicación entre objetos puede activarse por defecto o de forma automática sin que el usuario lo sepa. La interacción entre objetos entre sí, objetos y dispositivos individuales o entre individuos y otros objetos da lugar a la generación de flujos de datos nuevos difíciles de controlar, en donde las herramientas clásicas usadas para garantizar la protección de derechos de los usuarios pueden perder eficacia.
En muchos casos el usuario puede no ser consciente del tratamiento de sus propios datos por parte de dispositivos inteligentes. La falta de información puede hacer difícil demostrar el consentimiento válido por parte de cada uno de los usuarios.
La cantidad de datos recogidos y los avances en técnicas de análisis de datos y cruces puede dar lugar al uso de datos para fines secundarios totalmente distintos del fin inicial. Datos sin significado aparente, pueden dar lugar a información relevante para otro fin.
Deberán ser reformuladas, entonces, las formas que tienen las empresas y los gobiernos de obtener un consentimiento válido por parte de los usuarios Puede pasar que un usuario puede estar de acuerdo y dar su consentimiento para el intercambio de datos con un propósito y no estarlo con cierta información secundaria que podría usarse con otro fin.
A su vez, habrá que tener en cuenta también que la comunicación entre los dispositivos puede hacer que pequeñas piezas de información, tras su análisis, revelen hábitos, preferencias o patrones de comportamiento o formas de vida de los individuos, por lo que habrá que analizar todo en su conjunto.
loT en síntesis, plantea retos relacionados con la combinación entre los problemas de seguridad de los dispositivos y la optimización de recursos. No se sabe con claridad de qué forma los fabricantes conjugan la disponibilidad del procesamiento de los datos con la optimización de recursos y la implementación de medidas de seguridad. Asimismo, los dispositivos menos seguros conectados entre sí con diferentes niveles de procesamiento, pueden dar lugar a puntos débiles, vulnerabilidades, violaciones de datos, generando riesgos para los usuarios de IoT. Además, el almacenamiento de los datos se realiza sobre infraestructuras de proveedores y por tanto, la seguridad en deberá no sólo vincularse con los dispositivos, sino también, extenderse a enlaces de comunicación, infraestructura de almacenamiento y otros elementos que conformen el ecosistema tecnológico.
Regulaciones a la IoT – Nacionales e Internacionales. Protección de datos personales.
En relación con los datos personales, es ampliamente aceptado que éstos deben ser cuidados, puesto que revisten de características inherentes a las personas, y por lo tanto la constituyen. También es verdad que no todas las personas son conscientes de ellos, y por lo tanto desparraman sus datos por cualquier sitio, sin tener en cuenta si van a ser protegidos o no.
Ahora, en lo relativo a los sistemas IoT, la regla debería ser más específica. Los usuarios confían en sus dispositivos, y será responsabilidad, en mayor medida, de los fabricantes no “traicionar” a sus compradores, dejando puertas abiertas para que sus datos sean fácilmente accedidos por otras personas.
Así, las reglas de UE requieren que las organizaciones que traten datos personales en los sistemas IoT lleven a cabo evaluaciones de seguridad como así también hagan uso de las certificaciones de seguridad pertinentes.
En esta línea, una cantidad significativa de trabajo ya se ha hecho en esta materia de seguridad y de privacidad por la Unión Europea y los Estados Unidos. Bajo el Reglamento General de Protección de Datos discutido en el Parlamento Europeo, habrá fuertes incentivos regulatorios para las empresas desarrolladoras de sistemas que procesan datos personales para la protección de la seguridad y privacidad desde el diseño. La Comisión Federal de Comercio de los Estados Unidos (FTC) también sugiere a compañías que sigan el enfoque de "defensa en profundidad", considerando las medidas de seguridad en varios puntos distintos de sus sistemas, tales como el uso de medidas de control de acceso y la encriptación de los datos.
La privacidad es un tema regulatorio particularmente fuerte en los países europeos, en los que se incluye un amplio marco legal que contiene la Convención Europea sobre los Derechos Humanos del Consejo de Europa y el Convenio para la Protección de las Personas con respecto al tratamiento automatizado de datos personales y la Carta de los Derechos Fundamentales de la UE. Este marco ha sido influyente en el desarrollo de las leyes de privacidad en muchos países.
El alto volumen de flujos de datos personales podría presentar desafíos para la regulación tradicional de protección de datos - por ejemplo, desde que los individuos no son conscientes necesariamente cuando se comparten datos o capaces de revisar esa información antes de ser enviada a otras partes, creando un riesgo de auto-exposición y falta de control.
En el entorno IoT la cantidad de información personal que se puede derivar de los sensores, especialmente cuando se combina con perfiles de usuario y datos de otras fuentes, puede provocar serios inconvenientes en las posibilidades actuales del uso anónimo de los servicios.
Por ejemplo, los datos obtenidos por los sensores del dispositivo IoT más utilizado, el smart phone, pueden utilizarse para inferir información acerca del usuario, tal como, tipos de personalidad, la demografía y factores de salud (estados de ánimo, los niveles de estrés, tabaquismo, niveles de ejercicio y actividad física) e incluso la aparición de enfermedades como Parkinson o desorden bipolar.
Este tipo de información podría ser de utilidad para el seguro de salud respecto a la fijación de precios de la prima como así también para otras decisiones relacionadas con el empleo, el crédito o la vivienda.
En esta línea, para la protección de la privacidad individual, la Comisión Federal de Comercio de los Estados Unidos (FTC) sugirió el requerimiento de la notificación y consentimiento cuando datos personales son recolectados por aplicaciones IoT por fuera de la expectativa razonable de los consumidores.
Bajo la ley de la Unión Europea[4], los individuos deben ser capaces, en cualquier momento, de retirar su consentimiento a la totalidad o parte de los datos procesados, sin "ningún impedimento o restricción técnico u organizativo", utilizando herramientas que sean "accesibles, visibles y eficaces."
Comparando los estándares de la UE y EEUU, se puede ver como la Comisión Federal de Comercio de EEUU (FTC) prevé una mayor flexibilidad para los servicios IoT en la recolección de datos no requeridos inicialmente para proporcionar el servicio, mientras que bajo la normativa europea (más estricta), las autoridades de protección de datos de la UE "no pueden compartir este análisis".
En síntesis, el Derecho a la Protección de Datos prevé garantizar el libre y pleno ejercicio de cualquiera de los derechos (intimidad, honor, propia imagen, no discriminación, trabajo, etc.) mediante la protección de cualquier dato personal que pueda identificar o permitir la identificación de una persona.
Uso de IoT en el proceso Penal.
Los dispositivos de IoT han brindado cada vez más oportunidades clave para que los fiscales prueben su caso, pero esto puede plantear importantes cuestiones constitucionales en torno a la privacidad del acusado. Por ejemplo, el caso de la empresa Apple Inc., en el cual se debatió si resultaba lícito permitir que el Gobierno obligue a los fabricantes de dispositivos IoT a "ayudarlo a vigilar a los usuarios de sus productos", puesto que esto podría resultar en una expansión prácticamente ilimitada de la autoridad legal del Gobierno para “entrometerse subrepticiamente en la privacidad personal”.
Otro ejemplo se puede encontrar en el caso “Arkansas v. Bates” de 2015, en donde James Bates fue acusado de matar a un amigo cuyo cuerpo fue encontrado en un jacuzzi de su propia casa. Dos años después, el fiscal del estado desestimó la acusación al obtener información relacionada con las grabaciones del altavoz inteligente “Amazon Echo” perteneciente al acusado. Así, Amazon finalmente proporcionó la evidencia de los audios a instancias y con el consentimiento del acusado.
Sin embargo, en el caso Bates se evitó realizar un análisis sobre la constitucionalidad de obtener datos de un dispositivo doméstico conectado a Internet, perteneciente a un acusado. En un primer lugar Amazon intentó mantener las grabaciones y transcripciones fuera de los tribunales. Según la compañía, tanto el discurso del usuario, que es recibido por Echo y transmitido a Alexa, como las respuestas posteriores de Alexa, que son enviadas desde los servidores de Amazon y recibidos por Echo, son palabras protegidas bajo la Primera Enmienda de la Constitución de los Estados Unidos, la cual refiere a la libertad de expresión sin interferencia del Gobierno.
Es probable que la tendencia de buscar información en dispositivos IoT domésticos y utilizarlos como pruebas vinculantes en los tribunales continúe, puesto que son justamente estos dispositivos los que poseen información clave para resolver algunos de los crímenes más intrincados.
Ahora bien, ¿están los tribunales argentinos listos para un futuro IoT? Probablemente no.
También es probable que la Justicia tenga problemas con el aumento considerable de los datos de IoT, al menos inicialmente. A su vez, se plantean nuevos interrogantes cómo ¿Hay información relevante en esos dispositivos? ¿Está la información realmente en el dispositivo o en los servidores de la sede de la empresa? ¿Cómo se consiguen? ¿Qué se guarda y qué no? ¿Cuánto tiempo se guarda? ¿Cómo se conserva esa información?
IoT está cambiando las formas del proceso penal tal y como lo conocemos. Los nuevos medios de prueba, la forma en la cual se levanta la información o se la presenta al tribunal, evolucionan. A medida que la tecnología mejora, la búsqueda, la recopilación y la revisión deberían traer consigo procesos penales más agiles y más certeros. Sin embargo, esto requiere de un gran poder de resiliencia y de adaptación al cambio, en donde deben participar todos los actores del proceso penal argentino.
Al mismo tiempo, desde el puno de vista forense, IoT plantea nuevos desafíos. Ante la gran cantidad de evidencia plausible y heterogénea, los investigadores digitales deberán desarrollar procedimientos forenses digitales para moverse dentro de este nuevo campo de examen. La investigación digital, en este sentido, resulta una fuente de evidencia potencial que cada vez abundará más, y podrá ayudar en gran medida en los procesos penales.
La evolución es clara. Pasamos del allanamiento físico a los domicilios, de revisar cajones, armarios, debajo de la cama, a la búsqueda de información en soporte digital. Luego entendimos que muchas de las pruebas podían estar en la PC y notebooks, por lo que las secuestramos y las llevamos físicamente a laboratorios para realizar análisis de sus discos duros y volcados de memoria RAM, aplicamos sistemas sofisticados para ver información que pudo haber sido borrada físicamente de estos almacenamientos. A partir de los “smartphones” entendimos que la información necesaria para entender un entramado criminal se podía encontrar dentro de los celulares, por lo que intentamos que no se nos bloqueen, o usamos algoritmos para poder desbloquerlos y acceder a la información. Avanzamos sobre sus registros internos, entendimos cómo funcionaban y llegamos a información que antes era impensable de acceder. Ahora, ¿es esto suficiente?
Remote Forencics
Por definición y diseño, los entornos IoT están conectados, son dinámicos y pueden ser activados o desactivados desde cualquier lugar en cualquier momento. Muchos dispositivos de IoT tienen sensores o actuadores que generan datos, a veces de forma autónoma y a veces en respuesta a acciones humanas (detección de movimiento, apertura de puertas). Es por ello que los dispositivos IoT son excelentes testigos digitales, capturando rastros de actividades de potencial uso en investigaciones.
El creciente número de dispositivos IoT en entornos personales presenta oportunidades y riesgos desde una perspectiva forense. Las vulnerabilidades de seguridad de los dispositivos IoT crean oportunidades para extraer rastros clave para la investigación penal, pero también podrían ser utilizadas por delincuentes para socavar un dispositivo.
No está demás decir que los rastros generados por los dispositivos de IoT no solo están presentes en el objeto físico, sino que también se pueden encontrar en los teléfonos inteligentes y en la nube.
En este sentido, el sistema judicial en su conjunto deberá estar preparado para afrontar estos nuevos desafíos. Cómo, cuándo y dónde levantar una prueba será el nuevo paradigma. No va a bastar más con un allanamiento a un domicilio ni con un secuestro de un teléfono móvil. Debemos estar en sintonía con las nuevas tecnologías por un simple motivo: los criminales ya las conocen y las están utilizando para vulnerar los derechos de las personas que debemos proteger.
Otro gran tema para los dispositivos IoT es el acceso transfronterizo de datos. El estado actual de la legislación lo trae el Convenio sobre la Ciberdelincuencia de Budapest, ratificado por la Argentina en 2018, que estipula en su artículo 32 que una parte podrá, sin autorización de otra tener acceso a datos informáticos almacenados accesibles al público (fuente abierta), independientemente de la ubicación geográfica de los mismos; o tener acceso a datos informáticos almacenados en otro Estado, o recibirlos, a través de un sistema informático situado en su territorio, si dicha parte obtiene el consentimiento lícito y voluntario de la persona legalmente autorizada a revelárselos por medio de ese sistema informático. A su vez también trae en su artículo 33 los principios generales relativos a la asistencia mutua, útiles para la colaboración en la obtención de datos informáticos o de pruebas en formato electrónico de un delito, entre estados miembros.
En el contexto IoT, en donde la mayor parte de la información se encuentra en “La Nube”, y esta “Nube” podría estar desagregada en varios servidores físicos de jurisdicciones distintas, es importante que lo relativo a la obtención de medios de prueba de este tipo se encuentre específicamente legislado, tanto a nivel nacional como a nivel internacional. No olvidemos que el convenio de Budapest es del año 2001, y si bien marcó un gran avance en ese tiempo, puede que sea momento de una actualización.
También tenemos el caso de “Estados Unidos v. Microsoft” en donde la compañía recibió una orden del gobierno estadounidense, valiéndose de una orden judicial justificada bajo la “Stored Communications Act” (SCA), para brindar información sobre una cuenta de email. La empresa facilitó la información disponible en sus servidores ubicados en Estados Unidos que se limitaban a los metadatos asociados a la cuenta, no así la información de contenido –los emails en cuestión– almacenada en su datacenter ubicado en Irlanda. Así las cosas, luego de fallos contrapuestos entre el tribunal interviniente y su alzada, la Corte Suprema de Justicia de los Estados Unidos decidió intervenir. Sin embargo, en 2018, antes que el Superior Tribunal se pronunciara se promulgó la “Clarifying Lawful Overseas Use of Data Act” o “CLOUD Act[5]”, la cual viene a enmendar la SCA, y le otorga a las fuerzas federales de ese país la potestad de obligar a las empresas privadas, mediante orden judicial, a que se les sean proporcionado los datos almacenados en los servidores, independientemente de si los datos se almacenan en los EE. UU. o en suelo extranjero.
La “Cloud Act” viene a decirnos “señores y señoras, aquí no hay fronteras”. Per se no es un enunciado del que esté en desacuerdo, puesto que para el mundo digital no existen hace tiempo las fronteras físicas. Sin embargo, la decisión debería ser tomada por todos los Estados y no unilateralmente por el gigante norteamericano.
IoT amplía enormemente la cantidad herramientas disponibles para resolver un ilícito. Sin embargo, deben tenerse muy en cuenta cuestiones de privacidad y derecho de defensa en juicio. También debemos estar preparados no solamente para recoger prueba, sino también para procesarla, preservarla y analizarla.
A su vez, una vez más entran en juego los derechos fundamentales de las personas y la soberanía de los países sobre su territorio. De hecho, las prerrogativas extraterritoriales que la “Cloud Act” concede a las autoridades estadounidenses colisionan con las disposiciones recogidas por el artículo 46 del, también reciente, Reglamento General de Protección de Datos de la Unión Europea. Este apartado estipula que “el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas”. Asimismo, el artículo 48 de la misma normativa señala que "cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro…”.
Problemas, soluciones y estrategias.
IoT amplía enormemente la cantidad herramientas disponibles para resolver un ilícito. Sin embargo, deben tenerse muy en cuenta cuestiones de privacidad y derecho de defensa en juicio. También debemos estar preparados no solamente para recoger prueba, sino también para procesarla, preservarla y analizarla.
Debe tenerse en cuenta que las ventajas de lo digital no solamente pueden beneficiar las fuerzas de la ley, también podrían servirles a los propios delincuentes, por eso es necesaria una sólida capacitación en los operadores de la Justicia.
En materia normativa también se requieren ajustes y actualizaciones y no solamente en legislación local, sino en materia internacional ya que en el mundo digital no existen las fronteras nacionales.
Tradicionalmente los conflictos sobre derechos personales amparados por normas constitucionales se daban entre los ciudadanos y los gobiernos soberanos. Pero ahora el conflicto se hizo exponencial, ya que los datos personales son recopilados por diversidad de actores y diversidad de dispositivos de todo tipo, agregado así una capa adicional de complejización al fenómeno de las nuevas tecnologías en nuestra vida cotidiana.
El desafío es entonces que el Derecho pueda encontrar un vector de interpretación que sirva para establecer reglas universales claras a nivel supranacional que den certeza y seguridad al tráfico infinito que se produce segundo a segundo.
* El Dr. Nicolás Aguinsky es abogado especialista en nuevas tecnologías y se desempeña en el Poder Judicial de la Nación. El presente articulo es la versión reducida de la tesis con el mismo título, realizada en el marco del Posgrado en Cibercrimen y Evidencia Digital de la Universidad de Buenos Aires.
Bibliografía:
Notas
[1] Título original Being Digital. Editorial Alfred A. Knopf. Fecha de publicación 1995. Edición traducida al español: Título: Ser Digital, Editorial Atlántida. Buenos Aires,1995.
[2] Por sus siglas en inglés, Internet of Things
[3] Comunicación conjunta de la Asociación por los Derechos Civiles y Privacy International previa al examen de la República Argentina, Comité de Derechos Humanos, 117° Sesión 27 de Junio- 22 de Julio 2016.
[4] Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) es un reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea (UE).
[5] La Ley de Aclaración del Uso Legal de Datos en el Extranjero o la CLOUD Act es una ley federal de los Estados Unidos promulgada en 2018 mediante la aprobación de la Ley de Asignaciones Consolidadas, 2018. La CLOUD Act modifica Communications Act (SCA) de 1986 para permitir que las fuerzas del orden federal obliguen a las empresas de tecnología con sede en EEUU Mediante una orden judicial o citación a proporcionar los datos solicitados almacenados en servidores, independientemente de si los datos se almacenan en los Estados Unidos o en el extranjero.
[6] El presente articulo es la versión reducida de la tesis con el mismo título, realizada en el marco del Posgrado en Cibercrimen y Evidencia Digital de la Universidad de Buenos Aires.