12 Octubre 1999
Estimado Sr,

Como acordé en mi último mensaje, he aquí mi opinión al respecto de la comparecencia de 30 Septiembre 1999 en la Comisión sobre Redes Informáticas del Senado. Hay muchos temas interesantes cubiertos o mencionados en ella. Me temo que hablar de todos ellos resultaría muy largo, así que me centraré en el asunto Enfopol. Hay otros asuntos asimismo interesantes, como las posibles regulaciones sobre criptografía o actuaciones contra hackers, que podría comentarle si vd. lo desea en el futuro. De momento, he aquí mis reflexiones sobre Enfopol y la susodicha Comparecencia. Confío en que mi instinto de profesor me impida ser demasiado aburrido :-))

Me sorprende, en primer lugar, que alguien como el Capitán de la Unidad Central Operativa del Servicio de Policía Judicial de la Guardia Civil -señor Del Moral Torres) no haya oído hablar de Enfopol, aunque es posible. Su propia respuesta refleja una falta de conocimientos sobre el tema, si bien éste es un problema que abunda incluso entre los activistas anti-Enfopol. No es, en sí, un proyecto de búsqueda de información ilegal en la Red.

Tampoco, ya que estamos en ello, es una organización concreta. Enfopol es el nombre genérico que se da a una serie de documentos de la Comisión Europea relacionados con temas de cooperación policial. Así, hay documentos Enfopol que habla del movimiento de hooligans, por poner un ejemplo. Simplemente, se ha usado el término Enfopol en este contexto para representar tanto la Resolución de 1995 (de la que hablaré más adelante) como sus modificaciones, actualizaciones, plasmación en texto legal, etc.

De hecho, y como primer punto importante a señalar: Enfopol no está enfocado exclusivamente a Internet. En realidad, la Resolución original de 1995 no mencionaba Internet para nada, y se limitaba a sistemas de telefonía (fija, móvil, fax, etc). Es en la actualización de 1998-99 donde se expande para abarcar Internet y los nuevos sistemas de telefonía móvil por satélite (tipo Iridium).

En cuanto a los comentarios del Jefe del Grupo de Delitos Informáticos de la Brigada de Delincuencia Económico-Financiera de la Unidad Central de Policía Judicial, sr. García Rodriguez, ciertamente el proyecto Enfopol (llamémoslo así) ha estado rodeado de un halo de misterio. De hecho, se remonta a una serie de reuniones entre representantes de policías europeas y del FBI norteamericano en 1993. No entraré en "teorías de conspiración", pero lo cierto es que los esfuerzos de diferentes gobiernos (UE, Australia, Canadá, EEUU) por desarrollar un estándar para interceptaciones son, cuando menos, coincidentes en el tiempo.

En cualquier caso, el punto de partida de Enfopol en Europa es la Resolución del 17 de Enero de 1995 sobre interceptación legal de las telecomunicaciones. Dicha Resolución, de la que le adjunto copia está también disponible en la web oficial de la Unión Europea http://europa.eu.int/eur-lex/es/lif/dat/1996/es_496Y1104_01.html y constituye una serie de requisitos no vinculantes que han de cumplir los operadores y proveedores de sistemas de telecomunicaciones ante las llamadas (e indefinidas) autoridades competentes.

Dichos requisitos pueden resumirse con las palabras: todo, ahora y sin cortapisas. Constituye, por tanto, una ampliación sin precedentes de las capacidades de interceptación de las autoridades policiales en las redes telefónicas. En el análogo escrito, es algo así como si pasásemos de interceptar el correo postal de un sospechoso a, además, intervenir sus mensajes en contestador, las notas post-it de su frigorífico, su lista de la compra, sus facturas del coche, los extractos en papel de sus cuentas bancarias... es decir, un cúmulo de datos que sobrepasarían lo razonablemente exigible dentro del marco de una investigación policial.

Esta ampliación y extensión de los procedimientos de interceptación a las redes telefónicas resultó tanto más inquietante cuanto que fue llevado a cabo en el mayor de los secretos, sin debates públicos o parlamentarios de ninguna clase, y mediante "procedimiento escrito" Se puede hacer una idea del "halo de misterio" a que se refiere el señor García Rodriguez si se tiene en cuenta que la Resolución, aprobada el 16 de enero de 1995 [corrección: fue el día 15], no fue publicada de ninguna forma oficial u oficiosa, hasta que apareció en el boletín oficial de las CC.EE. con fecha .. de 4 diciembre [corrección: fue en noviembre] de 1996 (Diario Oficial n° C 329 de 04/11/1996 P. 0001 - 0006). Es como si hoy el Parlamento aprobase un decreto y lo guardase en el cajón hasta dentro de 20 meses. De hecho, la misma existencia de esta Resolución no fue conocida por casi nadie hasta que se filtraron ciertos documentos a finales de 1998.

Considerando cómo leyes mucho menos restrictivas han sido objeto de vigorosos debates parlamentarios (por poner un ejemplo, la conocida ley Corcuera), el sigilo de una Resolución tan relevante como la que nos ocupa resulta inquietante, y es lo que ha levantado un sentimiento anti-Enfopol entre cierta parte de la comunidad internauta. Nadie (bueno, quizá algunos hackers exaltados) niega la necesidad de dotar a las fuerzas policiales de instrumentos adecuados para poder actuar en el mundo de redes de hoy día, pero existen reservas sobre la amplitud y los procedimientos que se están llevando a cabo.

Por otro lado, los nuevos avances en la tecnología de las telecomunicaciones parece haber forzado a la U.E. a "actualizar" la Resolución de 1995 para adaptarla a las nuevas tecnologías. Eso llevó a la redacción de un nuevo borrador que supuestamente adaptaría dicha resolución a las nuevas redes (fundamentalmente, Internet y redes de datos similares), lo que llevó a los borradores Enfopol 98 y Enfopol 19; este último fue aprobado por el Parlamento Europeo el 17 de Mayo de 1999, cosa asimismo mencionada por el sr. García Rodriguez. Es decir, por un lado se afirma que Enfopol es no vinculante; por otro, se hace ver que Enfopol 19 no es más que una mera actualización de la Resolución de 1995

Permítaseme, en primer lugar, comentar el segundo punto. De creer algunas notas de prensa, parece que Enfopol 19 no sea más que un mero retoque actualizado de algo ya existente. Sin embargo, no es tanto una actualización como una expansión. La Resolución de 1995 ocupa unas 4-6 páginas; Enfopol 19, más de cuarenta. De hecho, Enfopol 19 consiste en muchas más cosas. Incluye referencias específicas a asuntos no mencionados en la Resolución de 1995, tales como comunicaciones por satélite, Internet, criptografía, tarjetas de prepago, etc. No sólo se especifican cómo los requisitos antiguos han de ser aplicados a sistemas como la telefonía móvil por satélite o Internet, sino que también incluye nuevos requisitos -no incluidos ni mencionados anteriormente- relativos a:

- información acerca de la identidad del sujeto que estén en posesión de los operadores o proveedores de redes de telecomunicación, servicios de telecomunicación y servicios de Internet (nombre y dirección tanto del usuario como de la persona que paga por el servicio, detalles de tarjetas de crédito con que se efectúan dichos pagos)

- información acerca de números de identificación para servicios de telecomunicación, con objeto de ayudar a la identificación del proveedor de la persona objeto de la interceptación

- información que esté en posesión de los operadores o proveedores de redes de telecomunicación, servicios de telecomunicación y servicios de Internet, referentes al número de servicio u otro código identificador de la persona interceptada (todo tipo de identificadores o códigos, direcciones IP, números de identificación personal PIN, entre otros)

- información en poder de los operadores o proveedores de redes de telecomunicación, servicios de telecomunicación y de Internet sobre los servicios y características opcionales a disposición de la persona objeto de vigilancia (desvío de llamada, llamadas en espera, terminación de llamada, preselección de un operador de larga distancia, correo mediante voz y marcación breve; correo electrónico como desvío de mensajes de correo electrónico).

Es decir, añade información altamente sensible sobre el sujeto interceptado, tal como sus códigos de identificación personal (PIN), datos de tarjeta de crédito para pagos de servicios o mensajes de correo electrónico. Nada de esto apareció en la Resolución de 1995.

También incluye una serie de requisitos relativos a las medidas de seguridad que han de tomar los operadores de redes y prestadores de servicios de telecomunicaciones, fundamentalmente para garantizar la rápida e irrestricta disposición de los datos a las autoridades competentes así como el secreto de la interceptación en sí. Se ordena también que "Los operadores de redes y proveedores de servicios deberán aprobar con regularidad controles de seguridad ante las autoridades competentes." No se menciona el tipo de control de seguridad, quién lo implementará, y bajo qué condiciones. Lo que también puede dar lugar a malas interpretaciones si las autoridades competentes consideran que un operador poco cooperativo no cumple algun control de seguridad. Finalmente -aunque no menos importante-, impone la obligación de entregar datos o claves criptográficas en el caso en el que un ciudadano decida proteger su información mediante procedimientos de cifrado de datos, con lo que se entra en el espinoso (y no resuelto todavía) debate sobre la utilización de sistemas criptográficos.

Hasta cierto punto, Enfopol 19 recuerda la ley norteamericana CALEA (Communications Assistance to Law Enforcement Act). Originariamente, fue adoptada para que las reglamentaciones sobre interceptaciones en las redes fijas y de telefonía móvil analógica pudiesen ser asimismo aplicadas a la nueva telefonía móvil digital. Sin embargo, la aplicación dada actualmente por el FBI norteamericano, con el asentimiento de la Comisión Federal de Comunicaciones (FCC) ha llevado CALEA mucho más allá de los fines para los que fue inicialmente aprobada. Una vez el "Calea Europeo" haya sido convertido en ley, dichos abusos son asimismo posibles y difíciles de evitar. No olvidemos que, una vez que una estructura de interceptación ha sido establecida, los propósitos para los que se fundaron pueden cambiar. En palabras de Philip Zimmermann (el creador del programa de cifrado PGP): "una vez que se ha establecido una infraestructura de comunicaciones optimizada para la vigilancia, un cambio en las condiciones políticas podría llevar a un abuso de este nuevo poder. Las condiciones políticas podrían variar con la elección de un nuevo gobierno, o quizá más abruptamente desde el atentado contra un edificio federal".

En suma, por si a pesar de todos mis esfuerzos esta parte de la explicación ha resultado pesada, pueden los últimos párrafos resumirse afirmando que la nueva Resolución del Parlamente Europeo ("Enfopol 19") dista mucho de ser una mera actualización, para convertirse en una extensión de la misma. No solamente se pretende, como afirma el sr. García Rodriguez "tener canales ágiles de de solicitud de información hacia los operadores de red y hacia los proveedores de acceso a Internet", sino convertir a éstos en fuentes irrestrictas de información para las autoridades competentes policiales. Y al menos la copia en castellano habla de requisitos; el ejemplar en alemán habla de "exigir" (erfördern).

Le adjunto copia traducida al castellano del borrador Enfopol 98 original, que contiene la mayoría de los asuntos mencionados anteriormente. Por complitud, le adjunto también las modificaciones a dicho borrador -ya en inglés-, a saber: Enfopol 98 Rev 1 (10/11/98), Enfopol 98 Rev 2 (3/12/98), Enfopol 98 Rev 2 Cor 1 (26/1/99) y Enfopol 19 (15/3/99).

Respecto al primer punto (que Enfopol es una resolución no vinculante), en efecto así es. Se afirma, de hecho, que "Estos requisitos se entenderán sin perjuicio del derecho nacional y deberán interpretarse de acuerdo con las disposiciones nacionales aplicables." Sin embargo, cabe preguntarse por qué quince países se ponen de acuerdo en adoptar un amplio conjunto de normas técnicas si después no tienen la intención de llevarlas a práctica convirtiéndolas en ley. Esto plantea la doble cuestión de 1) qué cabida tendrán las garantías jurídicas en Enfopol, o qué cabida tendrán los requisitos de Enfopol en las garantías jurídicas actuales, y 2) cómo Enfopol será traducido a ley. Enfopol 19, en primer lugar, habla constantemente de "autoridades competentes" (en inglés, Law Enforcement Agencies); en el Anexo se define éstas como "Un servicio autorizado por ley para llevar a cabo interceptaciones de las telecomunicaciones" Con referencia a criptografía, se definen como "Una organización autorizada mediante autorización legal, basada en la ley nacional, para recibir material de clave criptográfica y toda la información necesaria para descifrar los datos o los datos en texto llano"

Sin embargo, la ley definirá esas autoridades competentes de forma distinta en los diferentes países de la Unión (recordemos que estas Resoluciones sobre interceptaciones tienen alcance comunitario). ¿Son los Mossos d´Esquadra una autoridad competente, por ejemplo? ¿Lo son sus homólogos de Escocia, Córcega o Baviera? La segunda definición es aún más confusa, ya que puede incluir o no a entidades de espionaje tipo CESID o MI-6, lo que plantearía la cuestión de si es conveniente que servicios de inteligencia militar pudiesen interceptar por medio de las redes de interceptación policiales y ampararse en su reglamentación. O lo que es peor, al revés. ¿Podrá un cuerpo policial usar los métodos de sus homólogos militares, dotados de menores controles jurídicos? La posibilidad es, cuando menos, inquietante.

En segundo lugar, se afirma que las autoridades competentes (quienquiera que sean) solamente podrán realizar las interceptaciones por medio de una autorización legal, la cual se define como "Permiso concedido a una autoridad competente bajo ciertas condiciones para interceptar telecomunicaciones específicas. Típicamente se refiere a una orden concedida por una entidad legalmente autorizada." Lo que vuelve a plantear un serio problema de ambigüedad. ¿Quién es la "entidad legalmente autorizada"?

Lo lógico sería considerar que se trata de un juez, pero esa entidad puede englobar cualquier cosa, con tal que cuente con una autorización, la cual no se dice quién la establece ni cómo? ¿Podrá actuar como "entidad legalmente autorizada" un ente designado por el gobierno? ¿Un órgano dependiente directamente de Presidencia o del Ministerio del Interior? Puede aplicarse aquí la lógica o el sentido común; pero el mero hecho de que no se especifique claramente quién es -y quién no- esa entidad legal autorizada, ni quién es el autorizador, abre la puerta a un sinfín de peligros potenciales.

Permítaseme mostrar tan sólo un ejemplo del tipo de problemas que uede llegar a ocurrir. Uno de los obstáculos que han impedido la plasmación de Enfopol en ley nacional concierne al problema del "acceso remoto" Esto consiste en lo siguiente. En los sistemas de telefonía móvil por satélite (Globalstar, ICO, Iridium), las llamadas van del usuario directamente al satélite, y de ahí se retransmite hastal el destinatario por medio de una estación central de recepción. En el caso de la red Iridium, dicha estación se halla en Italia.

El problema consiste en cómo puede un policía danés (pongamos por caso) interceptar una llamada que hace una persona en dicho país. La opción más ventajosa consistiría en interceptarla en la estación central. El problema que se plantea es: ¿cuál será el papel de las autoridades judiciales o policiales italianas en dicha interceptación? ¿Se les solicitará permiso, se les informará, o simplemente se las ignorará? En el borrador que le incluyo (Justpen 7, de fecha 19/2/99), se afirma que "13 delegaciones consideran que en esquema de acceso remoto, los derechos del estado miembro donde se ubica la estación de recepción no se infringen. En consecuencia, el estado miembro de la estación terrestre NO DEBE SER INVOLUCRADO" Es decir, en el ejemplo, las autoridades italianas no tendrán siquiera conocimiento de que se lleva a cabo una interceptación, no podrán regularla y los sujetos interceptados no podrán solicitar protección jurídica al respecto.

Respecto a la vertiente legal, resulta muy curioso el procedimiento por el que Enfopol (o como queramos llamarlo) va a ser convertido en ley. Un envío de dicha Resolución a cada parlamento nacional resultaría lento y problemático, toda vez que cada país desearía introducir modificaciones y no enmiendas, eso si no resulta de entrada rechazado. Más aún, daría lugar a un debate público.

El modo en que se ha elegido ha sido otro. Fundamentalmente, grupos similares a los que desarrollaron los borradores de Enfopol han compilado y desarrollado un borrador de Convenio sobre Asistencia Mutua en Asuntos Penales (por medio de documentos que llevan la denominación genérica Justpen). Ese borrador será, según todos los indicios, aprobado en la reunión de jefes de estado y gobierno que se llevará a cabo los días 15 y 16 de octubre de 1999 en la localidad de Tampere (Finlandia).

Según la propia web de la presidencia (finlandesa) de la Unión, el orden del día "deberá ser ambicioso y centrarse en cuestiones de gran prioridad política con el propósito de llegar a resultados concretos y tangibles en el establecimiento de un espacio de libertad, seguridad y justicia. Se espera asimismo que esta reunión "aporte un impulso decisivo a los trabajos en materia de inmigración y asilo, a la lucha contra la delincuencia organizada y a la cooperación judicial en materia civil y penal." En diversas reuniones del Consejo de Ministros sobre Justicia y Asuntos de Interior pueden hallarse referencias a dicho Convenio de Asistencia, en relación a problemas de interceptación como el ya mencionado de "acceso remoto"

Puede consultarse en http://ue.eu.int/Newsroom/tree-browse.cfm?BID=86&LANG=7 (del Consejo de la UE). Por ejemplo, en el último Consejo de 26-Mayo-1999 (cuyos asistentes españoles eran Dña. Margarita MARISCAL de GANTE y MIRÓN, Ministra de Justicia, y D. Leopoldo CALVO-SOTELO, Subsecretario de Estado del Ministerio del Interior ), el epígrafe "Proyecto de Convenio sobre Asistencia Judicial en Materia Penal comenzaba:

"El Consejo ha abordado nuevamente la cuestión de la intervención de las telecomunicaciones, que incluye las redes tradicionales, la telefonía móvil y las comunicaciones por satélite, tema que constituye uno de los últimos problemas pendientes y especialmente espinosos de este proyecto de Convenio."

Le adjunto dos documentos adicionales, uno escrito por mí mismo sobre el tema, y otro compilado por la organización británica Statewatch.

¿Por qué usar un Consejo especial de jefes de Estado y Gobierno? Se me ocurren tres motivos.

Primero: al incluir las resoluciones Enfopol dentro de un Convenio sobre Asistencia Jurídica en Materia Penal, inscrito a su vez en una entidad de nombre tan altisonante como "Espacio de Libertad, Seguridad y Justicia", se la oculta de la opinión pública y se la hace aparecer (caso de que alguien apunte a su mera existencia, ya que apenas hay borradores con referencia al Convenio) como un mero epígrafe dentro de un gran esquema beneficioso para todos.

Segundo: las reuniones de los Consejos de Ministros de Justicia e Interior ha resultado infructuosos. Durante el último año, problemas tales como el del "acceso remoto" ha detenido los avances en ese campo, impidiendo un acuerdo sobre el conjunto de medidas del Convenio.

Tercero: no soy entendido de leyes, pero un abogado al que he consultado me confirma que el Convenio, en cuanto que Tratado Internacional, NO puede ser modificado ni alterado de ninguna forma por los parlamentos nacionales. Solamente puede aprobarse o rechazarse, pero sin alterar una sola coma. Esto lo convierte en una especie de trágala donde los posibles (aunque embrionarios) abusos quedan enfrentados a la realidad apremiante de llevar adelante un gran esquema paneuropeo de libertad, seguridad y justicia.

Una vez aprobado dicho Convenio, las ambigüedades que lo plagan siguen en pie. Y, del mismo modo que se "vende" la idea de Enfopol como mera actualización de normas ya existentes, no resulta descabellado que una futura revisión de la Ley de Enjuiciamiento Criminal altere o modifique el artículo 579 que regula las garantías jurídicas referentes a registros e interceptaciones de correo, bajo la justificación de una armonización o normalización de leyes europeas de carácter similar. De ese modo, la Resolución de 1995 sobre Interceptación Legal de las Telecomunicaciones acabaría dejando en papel mojado los artículos 18.2 y 18.4 de la Constitución, que regulan tanto la privacidad de las comunicaciones como el no uso de la informática para acabar con dicha privacidad.

Y esto no solamente por el carácter amplio y paneuropeo del Convenio, sino por el hecho de que recientemente se aprobó el funcionamiento de la nueva policía Europol, la cual puede no solamente recabar información de las policías nacionales y crear bases de datos sobre actividades de ciudadanos en Europa, sino que mediante convenios puede COMPARTIR sus datos con otras entidades tanto de dentro como de fuera de Europa. Según esto, información privada obtenida mediante Enfopol puede acabar virtualmente en cualquier fichero nacional de datos, sea del FBI o de la policía de Hong Kong. Sobre este particular no me extenderé aquí, si bien es un peligro que por su importancia merece ser estudiado con la mayor atención, prestando atención no solo a la vertiente de persecución policial de delitos sino también a sus potenciales peligros y abusos.

En resumen. Las intervenciones del señor García Rodriguez y del Capitán Del Moral ( de la Unidad Central de Policía Judicial y del Servicio de Policía Judicial de la Guardia Civil, respectivamente) resultan interesantes por lo que afirman, pero mucho más por lo que omiten. Las solicitudes de ambos comparecientes en lo relativo a una mayor coordinación internacional en la lucha contra la delincuencia informática son legítimas y razonables. Pero tan importante como eso, o más, resulta definir qué tipos de poderes han de darse a las autoridades policiales competentes, y qué limitaciones y salvaguardias han de establecerse. De lo contrario, lo que comienza como una herramienta policial que debe ser usada en casos excepcionales corre el riesgo de convertirse en una norma habitual de actuación donde la interceptación es lo habitual en lugar de lo excepcional. Considerar las escuchas como algo cotidiano, o cuando menos razonable, lleva a un tipo de sociedad incompatible con un régimen democrático moderno. Ejemplos, por desdicha, no faltan.

Recomiendo, en consecuencia, que el Parlamento adopte los pasos necesarios para estudiar más ampliamente las consecuencias de las resoluciones Enfopol y de su traslación a ley via el Convenio para Asistencia Jurídica Mutua en Asuntos Penales. Considerando que no solamente concierne a Internet sino a cualquier otro tipo de comunicaciones, sería deseable que las actuaciones al respecto por parte de la Comisión de Redes Informáticas del Senado fuesen coordinadas y complementadas con las de otras Comisiones, ya existentes o futuras, relativas a las comunicaciones en general.

Adjunto un archivo (attachment) denominado "enfopol.zip" que contiene los documentos mencionados en el presente texto, en formatos html y pdf. Confío en que los textos que le adjunto, así como éste, no le resulten demasiado pesados desde el punto de vista técnico. Me reitero nuevamente a su disposición para cualquier aclaración o información adicionar en las que pueda serle de utilidad, y aprovecho la oportunidad de nuevo para saludarle muy atentamente.

Arturo Quirantes Sierra.