Sobre la Ley Constitucional del Ciberespacio de la República Bolivariana de Venezuela: Breve Análisis Jurídico y Político sobre el futuro de la privacidad y la data en Venezuela.

Proyecto # 2019.01_baselegal
Project # 2019.01_legalbasis
eTAG: #noleyciberespacioVE
Tags: cyberspace, regulation, government, digital, rights, freedom, speech, privacy, anonymity.
A legal analysis about the Venezuelan Cyberspace Bill, proposed by the Asamblea Nacional Constituyente (National Constituent Assembly) in 2018, with the intent to authorize the government the physically and virtually access and control to any framework and data, with the intent of criminalize users activities.
Author / Autor: Rafael M. Martinez rafael@evenezuela.org – @rafaelmmv
PGP KEY 0x1768CE9030E65E94

En estos tiempos las redes sociales y las nuevas tecnologías han incomodado al gobierno de Nicolás Maduro, más cuando se analiza desde un punto de vista internacional, si posee la legitimidad necesaria para continuar como presidente de Venezuela.

Debido a esto, la Asamblea Nacional Constituyente de Venezuela, órgano cuya legalidad se encuentra cuestionada, ha propuesto la elaboración de un instrumento legal denominado en su anteproyecto, como Ley Constitucional del Ciberespacio de la República Bolivariana de Venezuela, redactada bajo la figura de una norma administrativa (ya que establece únicamente sanciones pecuniarias mediante un órgano de carácter administrativo), pero la cual consideramos posee terminología y estructura sustraída de la técnica utilizada para la redacción de normas de carácter penal.

Contando -por los momentos- con 7 capítulos y 47 artículos (más 5 disposiciones), el anteproyecto pretende justificar la creación de la ley alegando la necesidad del Estado en desarrollar los medios necesarios y constitucionales para garantizar la seguridad de la nación, estableciendo como ámbito de aplicación de la misma, a nuestra consideración, todo lo que exista en el universo (artículos 1 y 2). Aunque suene a ciencia ficción, la ley pretende regular todo dato (independientemente su naturaleza), sin importar si el titular de la propiedad es una persona natural o jurídica, ni su clasificación, ni su ubicación. Esto quiere decir, que toda persona en el territorio nacional o fuera de él, que posea datos, (ej. un servicio o website hospedado en EE.UU., documentos personales en Dropbox, etc.), quedaría sometida junto a dicha data, a la aplicación de esta ley. Asimismo, el proyecto claramente señala que no importa su categorización y esto es sumamente preocupante, pues al ser una ley constitucional, prela sobre las leyes especiales y orgánicas, pudiendo interpretarse que no debe someterse a las restricciones del secreto que gozan ciertas profesiones como el periodismo, la medicina y el ejercicio del derecho. ¿Que impediría que el día de mañana, bajo el amparo de esta ley, un tribunal condenase a una persona a revelar por ejemplo la contraseña de su Dropbox o incluso, como ha ocurrido en otras legislaciones, el passphrase para desencriptar contenido o la entrega de su llave GPG/PGP privada?

El anteproyecto enumera a su vez una serie de definiciones semi abstractas (artículo 4 y 7) que, a nuestro criterio, buscan la posibilidad de expandir su aplicabilidad a todo lo que el gobierno considere necesario, bajo el precepto de garantizar o defender la soberanía de la nación.

La definición de Ciberespacio de la República Bolivariana de Venezuela sin duda alguna es algo que a William Gibson no le hubiera hecho mucha gracia, ya que el concepto original de ciberespacio implica precisamente la ausencia de un mundo físico. Los constituyentistas, comienzan definiéndola como el entorno de interacción digital conformado por elementos tangibles y no tangibles que se generan durante el tiempo de interconexión e interoperabilidad de redes…; agregando al final: “así como cualquier forma de actividad que se realice o tenga efectos o repercusiones para la República Bolivariana de Venezuela”. Esta fórmula legislativa es muy común en nuestro ordenamiento al momento de elaborar artículos enunciativos y se equipara a la infame frase final de muchas disposiciones legales que expresan: “… y todo aquello que el funcionario competente tenga a bien determinar”.

Sobre este tema hay que aclarar que el ciberespacio no es lo mismo que la internet. Según muchos autores, la internet es parte del ciberespacio, es decir, cuando la persona A se encuentra en Estados Unidos y la persona B se encuentra en Venezuela y estas entablan una comunicación, interactúan socialmente en el ciberespacio, usando la internet como herramienta; lo mismo aplica para cualquier mensaje de texto entre dos celulares, es una acción que ocurre en un ciberespacio, pero utilizando la red celular. Entonces, debe existir como elemento esencial una interacción, ya que el ciberespacio es un producto social, un entorno virtual y figurativo, y lo que se pretende con la eventual promulgación de esta ley, es controlar nuestro espacio virtual, que en muchos casos suele ser más complejo y rico en información que nuestro entorno real y por ellos ha sido tema de debates e incluso objeto de resoluciones internacionales que buscan protegerlo.

Establece el anteproyecto que este ciberespacio es de interés y orden público (artículo 5) y debido a esta naturaleza “el Estado desarrollará políticas de seguridad, reglamentos, administración y control en su acceso y uso, para asegurar el bien común, la soberanía y la institucionalidad en beneficio de la Nación”. Obviamente el ciberespacio es un bien de interés y orden público, pero la corriente moderna lo sitúa ahí para garantizar su protección y neutralidad, no para controlar el acceso y el uso del mismo. A través de la resolución A/HRC/20/L.13 del Consejo de Derechos Humanos de la Organización de las Naciones Unidades en el año 2012, se estableció que “los derechos de las personas también deben estar protegidos en Internet, en particular la libertad de expresión, que es aplicable sin consideración de fronteras y por cualquier procedimiento que se elija, de conformidad con el artículo 19 de la Declaración Universal de Derechos Humanos y del Pacto Internacional de Derechos Civiles y Políticos”. Por lo tanto, tener en el ordenamiento jurídico de un país, internacionalmente reconocido por poseer un sistema de gobierno autoritario, una ley que a través de un ente meramente administrativo (Centro Nacional del Ciberespacio de la República Bolivariana de Venezuela) que depende única y exclusivamente del Ejecutivo Nacional (artículo 28, 31 y 37) pueda establecer los límites de nuestros derechos digitales, de manera colectiva y sin tener que recurrir a medios judiciales, es sumamente preocupante. Recordemos que existen casos documentados de bloqueo digital, como el caso de Wikipedia el 12 de Enero de 2019 (https://netblocks.org/reports/wikipedia-blocked-in-venezuela-as-internet-controls-tighten-XaAwR08M) y los servicios de Twitter, YouTube e Instagram (https://vesinfiltro.com/noticias/twitter_youtube_instagram_2019-01/) el 21 de Enero del mismo año, ambos llevados al cabo por la Compañía Anónima Nacional Teléfonos de Venezuela (CANTV), que ha fungido últimamente como el censor digital para el gobierno, con el mero proposito de restringir el derecho consititucional a la  protesta y al control ciudadano.

Encontramos a la vez, definiciones que no debemos pasar por alto, como ciberdefensa, ciberterrorismo, ciberterroristas, ciberguerra, cibercrimen y ciberespionaje, todos términos de cierto aspecto bélico, los cuales son muy normales en legislaciones de países desarrollados, quienes elaboran un marco jurídico específicamente para contrarrestar ataques digitales de Estados u organizaciones extranjeras, pero preocupantes en países autoritarios, donde se han utilizado para generar censura, autocensura y persecución política. Hay que resaltar, que para la fecha no hay consenso en el derecho internacional público para la elaboración de un concepto de terrorismo, de ahí que no ha sido calificado formalmente como un crimen internacional y su ausencia en el Estatuto de Roma. El anteproyecto de ley lo define como: “Ataques cometidos a través o contra cualquier componente del ciberespacio… con la finalidad de producir terror en la sociedad o desestabilización económica, política y social que afecten la paz interna, la independencia, defensa, seguridad y soberanía”. Siguiendo con los ejemplos prácticos, si una persona publica a través de sus redes sociales -o email- informando sobre una protesta política o algún periodista informa sobre algún tema relevante en vivo y se produce algún hecho violento a posteriori, independientemente de si dicha persona es o no el sujeto activo del hecho, y el organismo competente determina que su publicación es un cibercrimen, ya que alteró o afecto la paz interna del estado, fácilmente podría bajo las definiciones de este anteproyecto, ser acusada de ciberterrorista. Un ejemplo aún más directo, la filtración de cualquier anteproyecto de ley podría considerarse un cibercrimen.

Se define que son Datos Sensiblesaquellos datos referidos a la intimidad de una persona que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual” (artículo 4 ). Estos datos, son los que componen, según la doctrina, el denominado derecho a la intimidad.

Muy pocas personas conocen que en Venezuela, no existe formalmente legislación alguna que trate específicamente sobre el derecho a la privacidad y a la intimidad. Estos derechos se presumen protegidos, según ciertos doctrinarios, si se hace una interpretación amplia de tres artículos de la constitución nacional (artículos 28, 48 y 60), pero en realidad dichos artículos son genéricos y no protegen plenamente la data de una persona ni su privacidad, mucho menos el derecho que esta persona tiene al secreto y  a su inviolabilidad; sin decir que la misma constitución (artículo 57) prohíbe el anonimato. Igual ocurre con la figura del habeas data, la cual ha generado suficiente jurisprudencia, pero la misma no deja de enfocarse más en la forma que en el fondo. Pues bien, al no poseer nuestro ordenamiento un marco jurídico diseñado específicamente para la protección de la data, esta ley podría volverse un instrumento sumamente peligroso, que no solo afectaría nuestro derecho básico a la privacidad, sino también aquellos en el ámbito profesional, industrial e intelectual. ¿Qué ocurriría si un empleado de una empresa extranjera con datos técnicos en su portátil fuese objeto de esta ley, con el solo fin de obtener información que beneficiaría a una actividad industrial controlada únicamente por el Estado?. ¿Acaso el Estado no puede ser sujeto activo de espionaje industrial?

Así que al encontrarnos con toda esta terminología y combinaciones de palabras como: usuarios, control de acceso, seguridad de contenido, procedimientos, seguridad nacional, tenemos ciertamente una duda infundada sobre cuál sería la verdadera naturaleza jurídica de esta ley. Encontramos un sistema llamado Seguridad de Contenido (artículo 10) que pretende establecer un conjunto de herramientas a través de acciones técnicas y jurídicas para garantizar el respeto, la paz, tolerancia y convivencia pacífica, para que el Estado (mediante el ente administrativo competente), como garante de la ciberseguridad (artículo 11), pueda diseñar políticas públicas con el objeto, entre otros, de contrarrestar el odio, lo cual nos remite inmediatamente a la Ley Contra el Odio, por la Convivencia Pacífica y la Tolerancia, promulgada por la misma Asamblea Nacional Constituyente el 8 de noviembre del 2017 como un instrumento meramente político. Se establece de la misma manera la corresponsabilidad en la seguridad del ciberespacio (artículo 13), obligando a todos los entes del estado, a las personas jurídicas y a los ciudadanos, a colaborar en la protección y en la defensa del mismo; y estableciendo como circunstancia atenuante la disposición de cooperar con la investigación (artículo 43), dando nacimiento a una especie de sujeto que aquí denominados cibercooperante.

Se crea la figura de las Infraestructuras Críticas, como aquellas infraestructuras tecnológicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, estando conformadas por las instalaciones, redes, sistemas y equipos físicos y de la tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales de la Nación, los cuales enumera: la seguridad y defensa, salud, banca, finanzas, energía, petróleo, comunicaciones, telefonía y cualquier otra infraestructura tecnológica que cumpla funciones de interés y cuya afectación pueda perjudicar gravemente el orden interno, económico, desarrollo estratégico, soberanía y seguridad, independientemente de la naturaleza pública o privada del órgano responsable de su gestión (artículo 14). La definición e inclusión de esta figura, se establece para poder diseñar una serie de políticas que buscan en su espíritu, regular su seguridad y protegerlas ante cualquier amenaza que afectaría la estabilidad y la misma seguridad de la Nación. Al ente regulador se le otorga la facultad de realizar una serie de análisis de riesgos y de medidas de seguridad implementadas en todas estas infraestructuras (artículo 17), incluyendo una suerte de inventario, que se le da el carácter de secreto, el cual contendrá una descripción, medios de contactos con las mismas (se podría interpretar como medio de conexión), tipo de instalación, datos geográficos y de localización, información de seguridad, riesgos evaluados y cualquier otro aspecto relevante.

Esto no es algo nuevo en el ámbito y mucho menos es dañino desde un punto de vista preventivo, de ahí que actualmente existen regulaciones y estándares internacionales de seguridad informática para este tipo de infraestructuras (como el caso de los protocolos de seguridad para compras online), pero lo que preocupa es la capacidad que el Estado tendría sobre estas redes y las implicaciones que esto conlleva. La ausencia de limitaciones técnicas al permitir recaudar o solicitar, con o sin autorización (artículo 19, 22, 23, 25 y 26), cualquier tipo de dato e incluso la instalación de software, deja abierta una gran puerta en lo que a derecho a la privacidad se refiere. Tener acceso ilimitado y en tiempo real a los servidores de un proveedor de servicios VPN o email, es uno de los escenarios que podrían presentarse; la única excepción valida sería si existiese la comisión de un delito y se requiera, en el ámbito penal de una investigación, realizar un procesos de geolocalización de una conexión o información determinada y aun así, el proveedor tendría derecho a limitar el acceso únicamente en lo que respecta a esa conexión y no a la totalidad de su infraestructura; igualmente perderia el derecho a establecer en sus condiciones de uso la aplicación de un Warrant Canary (https://es.wikipedia.org/wiki/Warrant_canary). Lo más equiparable para ejemplificar, sería el derecho a la inviolabilidad del hogar, el cual también es una extensión del derecho a la privacidad y la propiedad; solo un organismo judicial tendría la potestad para emitir una orden de esa naturaleza, ya que existe un proceso y unos principios que garantizan la protección de los derechos, pero tratar de darle la misma facultad a un ente administrativo, que no recurre en normas especiales ni en principios jurídicos para la toma de sus decisiones, sería un antecedente muy peligroso.

En un juego de doble sentido, establece que los usuarios del ciberespacio venezolano, deberán respetar la protección integral de los datos personales, incluyendo aquellos que sean de acceso público, respetando el derecho al honor y a la intimidad de las personas (artículo 20). Aunque esta norma es sumamente positiva para aquellos escenarios como la divulgación de imágenes con contenido sexual sin el consentimiento de sus partes, el gobierno quiere es proteger a través de las sanciones, la intimidad de sus sujetos, ya que ha sido a través de las redes sociales donde se ha generado la mayor fuente de información sobre delitos de corrupción y de tráfico de influencias en el país.

Un punto curioso de este anteproyecto de ley, es que en algunas secciones se hace hincapié en que todo proceso de fiscalización y manipulación de datos deberá realizarse con el fin de proteger la seguridad del Estado, e incluso señala en uno de sus artículos “… solo cuando sea necesario para el cumplimiento de las funciones de defensa nacional en materia de seguridad de tecnología de información y seguridad de contenido, o para ejercer funciones de apoyo a la investigación penal” (artículo 22); pero al mismo tiempo establece como responsabilidad de los titulares de datos (artículo 4: “Cualquier propietario de datos personales o sensibles”) y de los proveedores de servicios (difusión de mensajes, internet y TIC), reportar o denunciar a las autoridades competentes cualquier situación irregular que afecte el acceso y el uso del ciberespacio nacional, así como mensajes, información o contenidos que perjudiquen el honor, la reputación, la privacidad de las personas (en especial niños y adolescentes) o bien que afecten la paz interna, orden político, económico, social y el bien común en general (artículo 24, punto 2). Para que un proveedor de servicios pueda cumplir con esta norma, requerirá una supervisión constante del contenido que pasa por su plataforma, siendo esto una violación gravísima a nuestros derechos esenciales si se aplicase en determinados servicios; bajo este criterio toda cuenta de email podría ser revisada y toda llamada telefónica grabada. También cabe señalar que establece al mismo tiempo la responsabilidad de defender y respetar la privacidad de la información (artículo 24, punto 6), lo que termina de evidenciar que este anteproyecto de norma fue redactado por personas ajenas a la técnica jurídica.

El Régimen Sancionatorio que se pretende crear es meramente pecuniario, es decir, consta únicamente en el pago de multas; pero al querer ser una ley de carácter administrativa, se somete en lo que no colide con ella, a la Ley Orgánica de Procedimientos Administrativos, específicamente al procedimiento ordinario ahí contemplado. Esto debería ser algo en teoría favorable, porque en esencia el procedimiento administrativo debería ser expedito, pero los efectos jurídicos de este tipo de procedimiento son curiosos y a veces hasta parecieran desafiar la lógica jurídica, cuando se aplican de la manera incorrecta o distinta a la naturaleza original para las que fueron creadas. En principio todo proceso administrativo debe agotarse plenamente para poder ser recurrido ante la jurisdicción de las cortes competentes, es decir, si creemos que la decisión o la dirección en la que se está llevando el procedimiento por parte de los funcionarios de la Dirección del Centro Nacional del Ciberespacio de la República Bolivariana de Venezuela no es el correcto, debemos iniciar un procedimiento judicial, paralelo al administrativo, para que un Juez competente, que obviamente tendrá un criterio jurídico mucho más amplio, pueda decidir sobre el asunto en cuestión.

El anteproyecto enuncia una serie de medidas cautelares, la cual definiremos para efectos de este análisis como la figura diseñada por el derecho procesal para proteger o salvaguardar la integridad de un derecho en específico, bien sea porque está siendo objeto de una violación o que corre el riesgo de desaparecer, para garantizar la eficacia de la resolución del conflicto que se está discutiendo. Esta protección, salvo que se demuestre lo contrario o se den garantías suficientes que puedan resarcir dicho derecho en riesgo, se encuentra vigente durante todo el tiempo que el proceso (administrativo o judicial) dure, y se extingue al momento en que dicho proceso genere una decisión. Ahora bien, en materia de derecho administrativo, los efectos de las decisiones tomadas en este ámbito no se suspenden por el simple hecho de recurrir a un ente judicial (salvo excepciones muy especiales). El anteproyecto establece las medidas cautelares que el Centro Nacional del Ciberespacio de la República Bolivariana de Venezuela puede dictar, bien sea de oficio o a solicitud de parte, e igualmente establece el procedimiento de oposición a dichas medidas.

Nuestra preocupación reside en los efectos que se podrían generar sobre la integridad de la data y de las infraestructuras tecnológicas, si fueran objeto de este tipo de medidas, ya que el anteproyecto permitiría su bloqueo, desactivación y destrucción, siempre que se consideren como factores que atenten contra las tecnologías de información y que impliquen amenazas y ataques que puedan afectar o dañar la seguridad en el ciberespacio venezolano y la estabilidad económica, política y social de la nación (artículo 46). En el ámbito informático es necesario que exista la destrucción como medida cautelar, ya que hay sistemas diseñados para generar ataques de diversos tipos con el único objetivo de deshabilitar un sistema, por ejemplo un Ataque de Denegación de Servicio DoS o un malware; o bien que exista la necesidad de eliminar información sensible que se encuentra al dominio público, como datos bancarios o médicos e incluso relativos a la seguridad nacional. Lo preocupante de estas medidas, es el hecho de que posiblemente sean en toda la legislación venezolana, las medidas cautelares más absolutas en manos de un ente administrativo; no limitar su uso podría derivar en un claro abuso de poder.

Imaginemos que existe un portal de noticias en internet y el mismo está hospedado en un servidor privado, ubicado en el territorio nacional; manejemos el escenario que dicho portal publica una serie de documentos privados, con el fin de exponer un trabajo de investigación periodística sobre corrupción (llamémoslo “patata papers”). Bajo la visión de este instrumento, el Centro Nacional del Ciberespacio podría iniciar un procedimiento administrativo para investigar la filtración de dicha data y para impedir la continuidad de ese hecho (la publicación), que considera afecta la estabilidad económica de la nación, por ello dicta una medida cautelar de destrucción del código fuente de todos los elementos que compone el sitio web, así como cualquier tipo de respaldo (backup) que se encuentre en la infraestructura del proveedor de servicios; recordemos, aún no se ha determinado si el portal web es una amenaza real al ciberespacio venezolano, eso aún está por determinarse. De demostrarse en las resultas del proceso que dicha data no generaba en realidad desestabilidad económica, sería imposible recuperarla. ¿Cuál sería la situación si los datos eliminados fuesen el único medio probatorio para determinar un acto ilegal o para determinar la inocencia de una persona?.

Concluimos entonces en que la ley objeto de este breve análisis, carece de toda técnica legislativa, y no refleja la realidad del funcionamiento de las infraestructuras digitales, obviando completamente la existencia de la identidad digital de los individuos, así como todos los derechos que giran entorno a esta; carece de principios jurídicos modernos; ignora el papel crucial que ha tenido el desarrollo de las tecnologías de la comunicación en la sociedad; y no aporta situaciones de hecho que no puedan ser actualmente solucionadas con nuestro ordenamiento jurídico vigente, mediante la aplicación del principio de la equivalencia funcional de la norma. Asimismo, presenta un supuesto imposible, ampliar el ámbito geográfico de su aplicación, violando el principio de territorialidad de la ley.

Tras haber analizado el contenido del anteproyecto de la Ley Constitucional del Ciberespacio de la República Bolivariana de Venezuela, podemos determinar que posee fines meramente políticos, debido a que:

1.- Se quiere establecer un sistema de control que promueve la censura y la autocensura, incluso en el ámbito privado de la persona, al atentar directamente contra el derecho a la privacidad y a la intimidad.

2.- Establece un sistema de control y fiscalización de data que permitiría sin control alguno, que el Estado, a través de un ente administrativo, usando plataformas tecnológicas propiedad de entes privados, pueda acceder a información sin autorización del titular ni de órgano judicial.

3.- Establece que toda data o información que se encuentre o transite por el denominado ciberespacio venezolano, es de interés y orden público, violando entre otros, el derecho a la propiedad privada, a la intimidad y a la privacidad y dando puerta franca al Estado para actuar de oficio ante cualquier instancia, administrativa o judicial, en contra de titulares de datos legítimos y contra proveedores de servicios.

4.- Viola todo principio rector del derecho a la privacidad de las comunicaciones, al obligar a los proveedores de servicios a mantener un monitoreo permanente sobre la información que utiliza sus infraestructuras tecnológicas.

5.- No establece en su articulado ningún límite respecto a su territorialidad, lo que permitiría que a futuro se pudieran suscribir acuerdos con otras naciones o entes privados, con el objeto de perseguir data en otras infraestructuras tecnológicas e incluso el intercambio no autorizado de la misma.

6.- Establece medidas cautelares que podrían generar daños irreparables a los individuos, al prever la destrucción como medida administrativa preventiva.

7.- En ningún artículo del anteproyecto de ley se aplica de manera eficiente el principio de la equivalencia funcional de la norma (principio de analogía), lo que la haría colindar distintas normas y principios en nuestra legislación.

8.- Viola preceptos básicos procesales como la presunción de inocencia y el principio de integridad de la prueba, entre otros.

9.- y por último, el anteproyecto de ley viola principios básicos reconocidos por el derecho internacional, específicamente en materia de derechos humanos y la integración de los derechos digitales a estos, lo que es una clara violación a la Constitución Nacional vigente, la cual establece que los instrumentos internacionales relativos a la protección de los derechos humanos, suscritos y ratificados por Venezuela tienen jerarquía constitucional, prevalecen en el orden interno, en la medida en que contengan normas sobre su goce y ejercicio más favorables a las establecidas por ella misma y en las leyes de la república.

Deja un comentario

avatar
  Subscribe  
Notify of
Scroll hacia arriba

Pin It on Pinterest