Taller de Criptografía - Informe 21

ENFOPOL: ¿hemos sido derrotados?



 


Fecha: 26 Julio 2000


Puedo jurarlo por mi oso de peluche: realmente creía que el Consejo de Ministros de Justicia e Interior (JAI) se aplicaría el cuento y cambiaría su postura en consecuencia. Pero nasti de plasti. Como ya creo haber comentado, el dictamen del Parlamento Europeo en este asunto es obligatorio pero no vinculante. Y, al contrario que en 1998, donde un Proyecto anterior de Convenio fue modificado por el Parlamento Europeo y dichas modificaciones (pocas y de escasa sustancia, todo hay que decirlo) fueron aceptadas por el Consejo, en este caso se ha hecho casi omiso al trabajo del PE.

Vamos a resumir lo que sucedió en estos últimos meses. Para resumir: el Consejo de Ministros JAI se ha salido con la suya. Pero vamos paso a paso. Primero, una aclaración.


¿Por qué lo llamo Enfopol cuando quieren decir Convenio?

Como recordarán los lectores fieles, Enfopol es el nombre genérico que reciben los documentos creados por una comisión encargada del estudio de materias relativas a la actividad policial en la Unión Europea. Hay documentos Enfopol sobre diversas materias. Uno de dichos documentos (Enfopol 98, posteriormente Enfopol 19) se refería a un conjunto de requisitos técnicos sobre las necesidades policiales en materia de interceptación de las telecomunicaciones. Como suena bien, se ha usado "Enfopol" como término para designar esos documentos sobre interceptaciones y, en un sentido más general, los esfuerzos en pro de su adaptación a ley.

Dichos esfuerzos están recogidos en la forma del Convenio sobre Asistencia Judicial en Materia Penal, antes llamado Convenio sobre Asistencia Mutual Legal (que podemos acortar como "Convenio AML"). El Título III de dicho convenio se titula "Intervención de Telecomunicaciones", y es el equivalente legal de Enfopol. Por así decirlo, el Convenio AML regula legalmente las interceptaciones, y Enfopol 98 (y 19) especifica exactamente qué datos se han de interceptar.

Sin embargo, prescindir del epígrafe "Enfopol" podría dar lugar a confusiones, al hacer creer que desaparecido Enfopol se acabó el problema. Así que me permitiré seguire usando el término Enfopol para incluir los esfuerzos de la Unión Europea con vistas a convertirlo en un Convenio legal. Sé que hablar del Convenio y de Enfopol indistintamente también lía las cosas. Pero hay que tener en cuenta que el Convenio contiene más Títulos que el de intervención de comunicaciones anteriormente dicho. Espero no complicar demasiado las cosas.

En cualquier caso, resulta el mismo perro con distinto collar. Y ya que he usado un aforismo canino, seguiré aprovechándolo. Para entendernos, es como si el Convenio fuese un decreto que dijese que los perros han de ser vacunados; en ese caso Enfopol sería la lista concreta de vacunas, las fechas y forma en que han de dispensarse.


Consejo JAI: 27 de Marzo

La reunión del Consejo JAI de 27 Marzo 2000 (resumen de prensa disponible en la página del Consejo: http://ue.eu.int/, sección Prensa/Consejo/Justicia e Interior; si no aparece en la sección en español, pruebe en la de inglés) transcurrió como si nada. Dentro del punto "Asistencia Mutua en Asuntos Penales entre los Estados Miembros" se relata que el Consejo llegó a un acuerdo en los puntos que quedaban por resolver. En particular se resolvieron los problemas sobre interceptación (artículos 17 y 18). Se esperaba que se adoptase el Convenio en la sesión del Consejo JAI de 29 Mayo 2000. Sobre la opinión del Parlamento Europeo -que según el orden del día sería discutida en el Consejo JAI-, ni palabra. Tampoco se conocen los motivos por los que el Convenio no pudo ser adoptado, aunque según un artículo de Christiane Schulzki de 26 Mayo, puede haberse debido a un veto por parte de Luxemburgo.

Puesto en contacto con el Consejo, este que escribe fue informado que el Consejo "ha examinado cuidadosamente la opinión del PE (algo es algo) y ha decidido aceptar las enmiendas 2, 7, 22, 41, 63, 80 y, con carácter parcial, las 16, 42 y 59". Respecto a la enmienda Palacio, "aún no hemos tomado una postura". De todas ellas, solamente una enmienda afecta al Título III (Intervención de Telecomunicaciones): la número 59, que afecta al artículo 16, apartados 7 - 9... casualmente los menos importantes.


El virus Enfopol se extiende

Mientras el Consejo JAI se prepara para la reunión de 29 Mayo, parece que a Enfopol (o al Convenio AML, Título III, como prefiráis) le salen hermanitos por doquier.

El 29 de Abril de 2000, el Consejo de Europa divulga un Borrador de Convenio Internacional "Crimen en el Ciberespacio", que muy oportunamente recuerda recientes ataques contra diversos servidores (Amazon, CNN) para "dirigir la atención a los peligros de que Internet y otras redes informáticas deben afrontar". Este borrador sobre ciber-crimen persigue fines muy loables, pero comparte con el Convenio AML un cierto regustillo enfopolesco: se criminalizan, prohíben y proscriben muchas cosas, pero se olvida proteger a los presuntos criminales. Ahí va un botón de muestra:

  • Artículo 26 - Asistencia mutua con relación al acceso de datos almacenados
    1. Una de las Partes puede pedir a otra de las Partes que registre, acceda a, capture u securice, o divulgue datos, almacenados en un sistema informático, el cuál esté localizado en el territorio de dicha otra Parte"


(No puedo sino imaginarme el buen uso que podría hacer el FBI norteamericano o el MI-5 británico de este artículo cada vez que crea que alguien le está perjudicando en cualquier parte del mundo. Por supuesto, no busquen artículos sobre la protección de dichos datos, la presunción de inocencia ni menudencias parecidas). No entraré aquí a una discusión de este Borrador, porque nos llevaría un Informe completo (el lector interesado puede leer un artículo de Eusebio del Valle en Hispasec (2 Mayo 2000). Solamente daré dos apuntes. Primero: el artículo 28, titulado "Interceptación" no aparece; bajo su epígrafe se lee simplemente "[bajo discusión]". Segundo: en un alarde de ingeniosa ironía que a los creadores de Echelon y otras redes de espionaje de seguro les hará mucha gracia, el artículo 3 prohíbe la "Interceptación ilegal", definida como aquella cometida "sin permiso [without right]" Es como aquel viejo aforismo: si tienes un buque, eres un pirata; si tienes una flota, eres un conquistador.

Mientras tanto, crece en el Reino Unido las críticas a la nueva ley RIP, que entre otras cosas aumenta extraordinariamente los poderes policiales de interceptación y registro. Uno de los puntos más polémicos obliga al sospechoso a entregar sus claves de cifrado a la policía en en transcurso de una investigación. Si no lo hace -o si no puede demostrar que no tiene dichas claves- es automáticamente condenado a dos años de prisión. Y si se le ocurre decir a alguien que ha entregado sus claves, !cinco años más, cortesía del departamento de prisiones de Su Majestad Británica! Las últimas noticias que tengo me sugieren que la Cámara de los Lores ha modificado algunos artículos de dicha ley, aunque los cambios son de menor importancia.

Se ha hecho público que el servicio de seguridad británico (MI5) está ultimando un centro de interceptación que permitirá monitorizar todos los mensajes de correo electrónico que entran en, o abandonan, el Reino Unido, así como para descifrarlos. Los proveedores de servicio de Internet (ISP) están obligados a "enchufarse" a dicho centro para permitir la localización de mensajes. (A mediados de Julio se ha revelado que el FBI norteamericano tiene ya en funcionamiento un sistema de conexión con los ISP y de monitorización+flitrado de mensajes, que lleva el nombre código Carnivore).

Y aún hay más. Del 14 al 17 de Mayo de 2000, los países del G-8 y los representantes de las industrias informáticas se reunieron en París para incrementar la cooperación para combatir la cibercriminalidad. Se presentó el borrador sobre ciber-crimen del Consejo de Europa, mencionado anteriormente, el cual levantó ampollas entre los representantes de la industria (que al parecer no quieren convertirse en ramas auxiliares de la policía). Se puso de manifiesto el enfrentamiento entre varios países europeos (fundamentalmente, Francia), partidarios de un "cuadro jurídico internacional" y Estados Unidos, que prefieren la creación de una "policía cibernética mundial" (por supuesto, ya podéis imaginaros qué país sería el jefe de policía). Los interesados pueden acceder a la página de la Reunión del G-8 y a la prensa (p. ej. El País 16 mayo 2000, 17 mayo 2000, 25 mayo 2000).

Si listamos los esfuerzos, iniciativas y proposiciones legales desarrolladas en los últimos meses por todo el mundo para interceptar comunicaciones (legalmente o no), podríamos llenar no un Informe sino un archivador entero. Cada una de dichas propuestas se presenta de modo lógico, y por supuesto con el loable propósito de perseguir a los malos y permitir el triunfo de la verdad y la justicia (estilo Capitán Trueno), pero vistas en conjunto dan una tendencia nada tranquilizadora. Las nuevas fronteras ya tienen nuevos vigilantes. Todo por el pueblo ... pero sin el pueblo.


Consejo JAI: 29 de Mayo

Volvamos a lo que nos ocupa. El 29 de Mayo de 2000, todos los informativos españoles daba cuenta de un acuerdo firmado entre Mayor Oreja y su análogo británico sobre Gibraltar, que daba lugar a un acuerdo de cooperación sobre investigaciones financieras (blanqueo de dinero y similares). Pero solamente en un periódico digital pude leer algo sobre el Convenio AML, que fue firmado inmediatamente después.

El comunicado de prensa posterior, tras informar de la adopción del Convenio, añade que "suplementa acuerdos existentes" como el de Schengen y que, al contrario que éste, también se aplicará a países como Noruega e Islandia.

El nuevo Convenio ALM difiere en algunos puntos del presentado al Parlamento. Examinémoslo. Pero antes, otro toque de fina ironía. En la misma reunión, el Consejo de Ministros JAI hizo una declaración sobre el polémico sistema de espionaje electrónico Echelon, aunque sin llamarlo en ningún momento por su nombre. El Consejo "tuvo un intercambio de puntos de vista sobre los debates del Parlamento Europeo relativos a la interceptación de las telecomunicaciones fuera de cualquier marco legal" y pidió a la presidencia que fomente "cualquier medida preventiva que pueda proteger contra el abuso de las nuevas tecnologías." Yo propondría que dichas medidas comenzasen con la abolición del Convenio ALM. ¿Aceptarán sugerencias?


Aquí está el Convenio


En el momento en que escribo esto, el Convenio no ha sido aún publicado en el Diario Oficial de las Comunidades Europeas (DOCE). Por ello, me basaré en el texto que fue presentado ante el Consejo JAI para su adopción. Dicho texto (Copen 32, Comix 342) está disponible en la base de datos SEMDOC de Statewatch, pero al ser una base de pago no puedo divulgarlo (en realidad, nadie me lo ha prohibido, pero no me parece ético hacerlo); además, no está traducido. Así que espero que os fiéis de mi palabra en lo que sigue.

Estas son las principas modificaciones respecto al Borrador entregado al Parlamento Europeo para su estudio. Solamente comentaré las partes relacionadas con Enfopol (preámbulo, Título III, disposiciones finales).


El artículo 18 (que ahora es el 20)

El polémico artículo 20 (anteriormente, artículo 18) se queda, al contrario de lo que solicitó el Parlamento Europeo, y tiene tanta tela que cortar que lo ponemos aparte. El nuevo apartado 1 (Antiguo Artículo 3) parece un intento por aplicarse más hacia la persecución de delitos, puesto que afirma que este artículo será de aplicación en el transcurso "de investigaciones criminales que presentan las características de ser una investigación, tras la comisión de una ofensa criminal específica, incluyendo intentos de [ofensa criminal] si están criminalizados bajo la ley nacional, con el fin de indentificar, detener, levantar cargos, procesar o juzgar a los responsables." Es decir, que el artículo 20 se aplica a investigaciones penales y no a actividades de espionaje legalizado.

Sin embargo, también se afirma que el artículo 20 se referirá a interceptaciones de un Estado Miembro (interceptador) hechas sobre el territorio de otro Estado Miembro (notificado), en las que no se necesita asistencia técnica para llevar a cabo dicha interceptación. Resulta difícil imaginarse una situación en la que el Estado A pueda pinchar las comunicaciones de un sujeto radicado en el Estado B sin ningún tipo de asistencia por parte de A ... y no pueda llamarse espionaje.

De hecho, la cada vez mayor cooperación entre fuerzas policiales y de "inteligencia" (espionaje, que decimos en mi pueblo) difuminará cada vez más las diferencias entre el espionaje electrónico clásico (tipo Echelon) y las interceptaciones policiales legalizadas. En el Reino Unido la agencia de inteligencia MI-5 se ocupa de tareas de lucha antiterrorista. En Alemania se solicitará asimismo al BND que ayude a la policía en la lucha contra delitos graves (blanqueo de dinero, narcotráfico ...). Recientemente, el presidente español Aznar ha ordenado al CESID que investigue a las mafias de la inmigración ilegal (muy loable, señor presidente, pero ¿acaso usar los servicios de inteligencia militar para perseguir delitos penales no es similar a sacar carros de combate a la calle para mantener el orden público?). Y la lista crece. ¿Qué hará el Reino Unido cuando se entere que el CESID está pinchando comunicaciones en su territorio? ¿Protestar oficialmente por el espionaje efectuado por un servicio de inteligencia extranjero, o echar un vistazo al Convenio y callarse la boca?

Pero incluso en el caso de un "pacto entre caballeros" para evitar el espionaje indiscriminado, el artículo 20 plantea problemas. El Estado Miembro interceptador (llamémosle A) solamente informará al Estado Miembro notificado (llamémosle B) cuando el primero "tenga constancia" de que el sujeto intervenido se halle en el Estado B. Incluso si el Estado A es diligente en la notificación (es decir, si no se "hace el longui" y mira hacia otro lado pretendiendo no tener constancia de nada), el Estado B puede tomarse hasta cuatro días para decidir si la interceptación continúa, o si debe terminar. Si decide que se acabe, puede decidir asimismo si los datos ya interceptados pueden usarse o no, y bajo qué condiciones. El Estado A puede asimismo solicitar que el plazo de cuatro días sea mayor (de hasta ocho).

Más sutilezas. Durante esos cuatro -u ocho- días que tarde B en tomar una decisión, el Estado A puede seguir con la interceptación. Se supone que no puede, en ese intervalo, usar los datos ya interceptados, pero con dos excepciones: para tomar medidas urgentes en el caso de una amenaza seria a la seguridad pública, o si se ha convenido lo contrario. En el primer caso, queda a capricho de A decidir qué es una "amenaza seria a la seguridad pública" (¿es un embarque de droga, un atentado inminente, o un viaje de hooligans a un partido de fútbol?); en el segundo, si se ha decidido así resulta que A puede interceptar durante ocho días y después usar el material interceptado aunque el estado B retire su permiso para la interceptación.

Y para terminar, la guinda. El Estado A debe entregar a B una notificación con los datos de la interceptación: autoridad que la ordena, confirmación de que existe una orden legal de interceptación, propósito por el que se interviene al sujeto, conducta criminal investigada y duración de la interceptación. Sin embargo, el Estado B puede declarar con vistas al Convenio que no necesita que le proporcionen esos datos. En ese caso, las personas que estén en el Estado B pueden ser "pinchadas" sin que el Estado que los acoge tenga la menor información sobre dichos pinchazos. A ver quién es el guapo que puede defender su derecho a la intimidad, al secreto de las comunicaciones y a la defensa legal justa bajo esas condiciones.


Protección de datos y otros detalles


Siempre intento ser lo más ecuánimo posible, y basar mis opiniones en hechos en lugar de en prejuicios. Con todo, no puedo ocultar mi hostilidad hacia el artículo 20 (antes 18) . Espero al menos haber dado una idea de sus apartados; junto con el borrador del Convenio, os permitirán -espero- hacerlos vuestra opinión vosotros mismos.

Y sigamos adelante. Los artículos restantes del Título III (artículos 21 y 22, antiguos 19 y 20 respectivamente) permanecen inalterados. Y ahora viene otra modificación importante. El Título IV antiguo (Disposiciones finales) pasa a ser el V, y aparece un nuevo Título IV (Protección de Datos Personales), que incluye el nuevo artículo 23. Este artículo parece haber sido añadido en Diciembre de 1999 a petición de Alemania

El artículo 23 indica bajo qué condiciones se pueden usar los datos personales obtenidos por el Estado Miembro A (interceptador). Se pueden usar para (a) los fines de los procedimientos a los que se aplica el Convenio (investigaciones penales), (b) para otros procedimientos judiciales y administrativos (?) relacionados directamente con los anteriores, y (c) para prevenir "una amenaza inmediata y seria a la seguridad pública."

Bueno, eso tiene su lógica. Podrán usarse para los fines que indica la orden de interceptación (aunque en mi opinión permanecen los problemas de permitir la recogida de datos durante cuatro u otro días incluso si posteriormente se ordena que la interceptación cese). Y si hay una amenaza inmediata y seria a la seguridad pública, lógico es también que se actúe rápido. Hay ocasiones en que hay que moverse deprisa.

Pero hay otra condición bajo la que se pueden usar los datos obtenidos: cuando (d) se cuenta con el consentimiento previo del sujeto intervenido o del Estado que comunica los datos, dichos datos pueden usarse para cualquier otro fin. Es decir, con tal que el estado B (donde está el sujeto) de su autorización al estado A (interceptador), este último puede usar los datos para lo que quiera. Esto se aplica tanto a los datos comunicados al estado A como a los obtenidos pero no transmitidos. En suma, es un artículo interesante sobre protección de datos, pero solamente a condición de que los Estados Miembros lo usen de modo activo. Si se limitan a permitir el uso de los datos "para cualquier otro fin", no habremos hecho nada.

Las disposiciones finales incluyen algunos puntos de "letra pequeña." Es lo que se denominan reservas. El Convenio no permite reservas, salvo aquellas que hayan sido expresamente permitidas (Artículo 25). Uno de dichas reservas aparece ya en el Título IV (protección de datos), otorgando a Luxemburgo un tratamiento levemente diferente al de los demás. Recordemos que fue Luxemburgo el país que vetó el Convenio en la reunión de Ministros de Justicia e Interior de Marzo 2000.

Aparece un artículo 26 nuevo, que dice simplemente "Aplicación territorial [Insertar cláusula de Gibraltar]" Parece que era el último escollo para la firma del Convenio. Este es un artículo nuevo, y resulta especialmente importante para los españoles (tenemos el peñón ahí abajo). Por desgracia, mi copia del Convenio era todavía un borrador, y no sé qué dice.

Al final del Convenio, hay una Declaración hecha por el Reino Unido con respecto al Artículo 20 (antiguo 18), el más polémico de todos y cuya supresión solicitó el Parlamento Europeo. Esta declaración, que forma parte integral del Convenio, dice:

    "En el Reino Unido, el Artículo 20 será de aplicación en relación a las órdenes [warrants] de intervención emitidas por el Secretario de Estado al servicio de policía o al servicio de Aduanas [HM Customs & Excise], de acuerdo con la ley nacional sobre intervención de comunicaciones, cuando el fin declarado de la orden sea la detección de crímenes serios. También será de aplicación a las órdenes emitidas al Servicio de Seguridad, de acuerdo con la ley nacional, cuando actúe en apoyo de una investigación que presente las características descritas en el Artículo 20(1)"

Es decir, se hace una excepción en favor del Reino Unido. Nótese en primer lugar que se habla de la "detección" de crímenes. Hasta ahora la policía esperaba a que se cometiese un delito antes de actuar. Pero detectar un crimen tiene una connotación preventiva: la detección implica una vigilancia antes de que el hecho se produzca. Esta apelación a la "seguridad preventiva" ya fue criticada por el Parlamento Europeo.

La segunda parte tiene como misión el permitir que los "servicios de seguridad" (léase de espionaje) puedan ayudar a las autoridades policiales en la persecución de delitos. No parece mala idea, pero ¿por qué no se incorporó en el propio articulado del Convenio? ¿Por qué se hace una excepción con el Reino Unido solamente? Unamos la idea de seguridad preventiva al hecho de que el Reino Unido es parte activa de la mayor red de espionaje electrónico mundial (Echelon) y que intercambia activamente información con países de fuera de la Unión Europea, y como verán el panorama no resulta halagüeño.


Entonces, ¿el Convenio es una realidad?


No exactamente. Aún ha de ser ratificado por los paramentos nacionales. Pero incluso esto tiene su intríngulis. No hay que esperar a que todos los Estados Miembros lo ratifiquen. Una vez lo hayan ratificado ocho de ellos -y tras una espera de noventa días- el Convenio entrará en vigor para dichos ocho. Los restantes Estados se incorporarán al Convenio posteriormente. Pero atención. Antes incluso de que lo hayan ratificado ocho países el Convenio puede aplicarse para los países que así lo decidan.

El procedimiento es muy curioso. Cuando un país haya ratificado el Convenio, puede afirmar "aplicaré el Convenio con los demás países que lo hayan ratificado y quieran aplicarlo conmigo" y ya está. Es decir: si los países A y B han ratificado el Convenio y están de acuerdo en aplicarlo, pueden hacerlo. No tienen que esperar a que se ratifique en los demás Estados. En cualquier caso, tras la ratificación en ocho Estados el Convenio entra en vigor automáticamente.

En cualquier caso, el Convenio relativo a la Asistencia Judicial en Materia Penal ha sido ya firmado. Falta el proceso de ratificación por los diversos parlamentos nacionales. Parece en principio que solamente se trata de un trámite. Pero la lucha (pírrica pero valiente) del Parlamento Europeo no puede menos que hacernos pensar qué sucederá si se repite en los quince parlamentos de la Unión. Algunos de ellos (Irlanda, Francia, Reino Unido) cuentan con parlamentarios hostiles a iniciativas tipo Enfopol. Y diversas organizaciones que se opusieron a Enfopol en el pasado pueden repetir esfuerzos en el futuro. No es una esperanza muy fuerte, lo sé, pero nunca prometí victorias fáciles. En estos momentos, las fuerzas anti-enfopol están derrotadas y en retirada, pero aún no ha acabado la guerra.

Y ustedes disculpen la forma de señalar.


© Arturo Quirantes 2005.  Correo electrónico: aquiran arroba ugr.es


 

Vuelta a la sección Informes del Taller de Criptografía