¿Comisión de Justicia del Congreso pirateó la ley de delitos informáticos?

El Proyecto de Ley de Delitos Informáticos pronto entrará a discusión en el Congreso. La semana pasada se filtró el Pre Dictamen elaborado por la Comisión de Justicia y Derechos Humanos y despertó justificadas preocupaciones. El dictamen se discutió el último martes y se espera que en los próximos días aparezca el texto que finalmente será discutido por el Pleno.

Hasta ahora, todo lo que tenemos es el Pre Dictamen y el texto original de los proyectos de ley 0034/2011-CR y 0307/2011-CR. Podría decirse que ambos han sido combinados en el Pre Dictamen, donde por suerte han desaparecido propuestas tan controversiales como la responsabilidad penal accesoria de los Proveedores de Acceso a Internet por el conocimiento de la comisión de delitos sobre su red.

Tratando de entender mejor de qué trataba este proyecto me di el trabajo del leer las 17 páginas que preceden al texto mismo de la propuesta legal. Este preámbulo, presente en todos los proyectos de ley, es llamado “Exposición de Motivos” y sirve de justificación y explicación de los cambios propuestos por el proyecto y sus implicancias. En el caso de una Ley de esta implicancia, resulta importantísimo prestar atención a este estudio introductorio de la norma y es el único insumo del que disponemos para entender por qué se propone el proyecto.

Todo empezó cuando noté que el tono y la redacción del texto cambiaba según la sección del documento. Una sospecha me llevó a copiar parte de esa oración en Google. A la media hora, había detectado hasta siete páginas web distintas desde donde se había copiado literalmente o con muy pocas modificaciones el íntegro del texto de la Exposición de Motivos. Un descuido que, de ser cierto, en la mayoría de universidades equivaldría a un proceso disciplinario y quizás la suspensión definitiva.

Detalle de las páginas copiadas

En esta imagen, los textos resaltados en amarillo han sido encontrados idénticos en varios artículos publicados en páginas como Monografías.com, blogs sobre derecho argentino y libros sobre derecho informático. En ninguno de los casos, el Proyecto de Ley menciona que ha utilizado otros trabajos como fuentes. Las únicas partes que no han sido tomadas libremente de Internet son la que se refiere a la regulación de los delitos informáticos en Perú y la que señala los cambios que ha introducido el texto sustitutorio respecto de los proyectos de ley iniciales. Es decir, las únicas partes que no han sido tomadas desde Internet son las que no podían encontrarse ahí porque hablaban del propio Proyecto de Ley.

Para los incrédulos y curiosos, me he tomado el trabajo de preparar un PDF con las partes cuestionadas resaltadas y con enlaces a los artículos originales, donde también he resaltado las partes utilizadas. Pueden visitar los artículos originales aquí (1, 2, 3, 4, 5, 6, 7).

Pero no nos quedemos en esta anécdota, que ojalá sea corregida en el Dictamen Final. Reflexionemos mejor sobre lo siguiente. Después de casi un año de ingresados los Proyectos de Ley y de haber sostenido reuniones con expertos y distintos niveles del entidades estatales, más de la mitad de la exposición de motivos del Dictamen de la Comisión haya sido copiado y pegado de páginas sin ningún rigor académico como Monografías.com. ¿Es esa toda la investigación que merece un Proyecto de Ley de esta magnitud?

Foto: Congreso de la República (CC BY)

Actualización (02/07/2012, 3 pm):

Amplío algunos puntos para los interesados.

  1. El Proyecto de Ley 0034-2011/CR presentado por Juan Carlos Eguren en agosto de 2011 incluía en su página 3 una revisión de la legislación comparada y, como nota al pie, consignaba «Recogido de monografias.com». Esta referencia se perdió cuando el mismo texto fue reproducido en el Pre Dictamen que revisamos. Además, aparecieron otros textos que no estaban en ninguno de los dos proyectos de ley originales y que han sido encontrados en más de una página web como se detalla en el PDF anotado.
  2. Es difícil determinar la autoría original de los textos utilizados, ya que se encuentran replicados por todo Internet usados como parte de otros trabajos y hasta de otros Proyectos de Ley extranjeros (como este del Congreso Paraguayo, que data del 2009).
  3. Es difícil pensar que todas estas páginas web se copiaron del Pre Dictamen peruano dada la limitada circulación que ha tenido este documento y la multiplicidad de coincidencias con más de una página web. Algunas fuentes no registran fechas pero la que sí lo hacen datan de antes del año 2011.

¿Ley Mordaza 2?

Un mes después de los fatídicos eventos del 11 de setiembre del 2001 el Presidente George W. Bush firmaba y anunciaba con bombos y platillos la famosa «PATRIOT Act», un cuerpo normativo destinado, como lo dicen sus siglas, a fortalecer y a unir al Estado brindando herramientas que permitan interceptar y obstruir el terrorismo, sin duda un noble y justificado fin que  contaría con todo el respaldo de la población.

Sin embargo, el problema en dicha experiencia no fueron los fines, sino los medios empleados. En efecto, la aprobación de la PATRIOT Act generó mucha polémica en Estados Unidos por los medios utilizados para lograr los objetivos trazados. Así, se otorgó mayores atribuciones de supervisión, fiscalización a las entidades del Estado a fin que éstas monitoreen transacciones financieras o vigilen, detengan y deporten a inmigrantes sospechosos de actos terroristas y se introdujo el concepto de «terrorismo doméstico». Diversas entidades de la sociedad civil, tales como el Electronic Frontier Foundation (EFF), Electronic Privacy  Information Center (EPIC) y American Civil Liberties Union (ACLU) cuestionaron duramente la norma al incurrir en severas violaciones constitucionales tales como la Cuarta Enmienda por la utilización de medios desproporcionados que ponían en riesgo aspectos como la privacidad de los ciudadanos.

Aparentemente existe un notable y reciente entusiasmo por parte de nuestro Congreso por regular la red (lease Ley Mordaza y Ley de Banda Ancha) y una inusual cobertura en la prensa de situaciones vinculadas al uso de Internet (lease Caso Rudy Palma) que nos traen a la mente a la situación ocurrida en Estados Unidos en el año 2001. El denominador común en el caso peruano es que se pretende utilizar el derecho penal, quizás la herramienta legal más extrema, para intentar combatir el cibercrimen y nuevas practicas delictivas, sin embargo,  no parece existir una reflexivo y equilibrado análisis de los medios utilizados.

Recientemente revisando la página del Congreso encontramos dos curiosos proyectos de ley que no sabemos si motivados por los hechos antes mencionados se aventuran a regular nuevos delitos informáticos. Nos referimos a los proyectos de ley 034/2011 y 307/2011 de la Comisión de Justicia y Derechos Humanos del Congreso cuyo pre-dictamen fue programado para discusión el día de hoy tal como consta en la agenda de sesiones de la Comisión. Curiosamente se distingue a ambos proyectos como propuestas para  «sancionar penalmente las conductas que afectan de manera relevante la confianza en la informática«.

De la lectura tanto de los proyectos de ley como del pre-dictamen de la Comisión llaman nuestra atención tres artículos en particular, que nos traen reminiscencias «bushísticas»:

Artículo 26: Agente encubierto en el ciberespacio
Con autorización del fiscal, de acuerdo con las circunstancias del caso, se puede emplear el correo electrónico de un detenido por pornografía infantil o por practicar cualquier otro acto ilícito valiéndose de la internet, con el objeto de suplantarlo y obtener más información que ayude a identificar a las demás personas con quienes comete los actos ilícitos mencionados en la presente Ley y el Código Penal, en lo que corresponda.

Artículo 27: Acceso a información de los protocolos de internet
No se encuentra dentro del alcance del secreto de las comunicaciones la información relacionada con la identidad de los titulares de telefonía móvil; los números de registro del cliente, de la línea telefónica y del equipo; el tráfico de llamadas y los números de protocolo de internet (números IP). Por lo tanto, las empresas proveedoras de servicios
de telefonía e internet debe proporcionar la información antes señalada conjuntamente con los datos de identificación del titular del servicio que corresponda, a la Policía Nacional del Perú o al Ministerio Público dentro de las cuarenta y ocho horas de recibido el requerimiento, bajo responsabilidad, cuando estas instituciones actúen en el cumplimiento de sus funciones.

Artículo 28: Intervención y control de las comunicaciones y documentos privados
La facultad otorgada al fiscal para solicitar al juez penal la intervención y control de las comunicaciones, establecida en la Ley 27697, Ley que otorga facultad al fiscal para la intervención y control de comunicaciones y documentos privados en caso excepcional, también puede ser ejercida en la investigación de los delitos informáticos regulados en la presente Ley. En los lugares en los que haya entrado o entre en vigencia el Nuevo Código Procesal Penal, se aplicaran las reglas de este código para la intervención de las comunicaciones.

El secreto de las comunicaciones en nuestro país se encuentra regulado en el artículo 2 inciso 10 de la Constitución Política del Perú en los siguientes términos:

10.   Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados.

Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.

Los documentos privados obtenidos con violación de este precepto no tienen efecto legal.

Los libros, comprobantes y documentos contables y administrativos están sujetos a inspección o fiscalización de la autoridad competente, de conformidad con la ley. Las acciones que al respecto se tomen no pueden incluir su sustracción o incautación, salvo por orden judicial.

En el sector telecomunicaciones la norma aplicable que desarrolla dicha disposición constitucional es la Resolución 111-2009-MTC/03 .

Aspectos que preocupan de las disposición contenidas en ambos proyectos de ley:

  1. Se fortalecen las facultades y atribuciones de los fiscales para la persecución de delitos informáticos pero no se aprecian garantías mínimas que, a fin de preservar derechos fundamentales como el debido proceso y la privacidad, deben quedar claramente establecidas tal como lo ordena la norma constitucional.
  2. El artículo 27 del pre-dictamen de la Comisión reduce el ámbito de aplicación del secreto de las comunicaciones en contra de lo establecido en la norma constitucional y en la Resolución 111-2009-MTC/03 con lo cual «la información de los protocolos de Internet», de ser aprobados los proyectos de ley, no requeriría mandato motivado de un juez y deberá ser proporcionada a la Policía y Ministerio Público en un plazo de 48 horas de recibido el requerimiento.

No sabemos a ciencia cierta si nos encontramos frente a una Ley Mordaza No. 2 con dosis de PATRIOT Act, lo cierto es que, si bien son atendibles y justificados los fines de persecución del delito, ello debe en todo momento ir de la mano con lo establecido en el marco constitucional y las garantías previstas en dicho cuerpo normativo, lo cual no queda muy claro en los proyectos antes mencionados.

Rudy Palma, hacker por accidente

3055389463_029e344d5c_o

De niño vi muchas veces en la televisión el clásico ochentero WarGames (John Badham, 1983). En la película, un adolescente hábil con las computadoras intenta infiltrarse en la red de su proveedor de videojuegos favoritos para probar su próximo juego Global Thermonuclear War antes de su lanzamiento. Por accidente, termina conectándose a una red militar y el juego que piensa que está jugando en realidad podría desencadenar la tercera guerra mundial. Cuando el Estado lo descubre, es detenido e interrogado bajo los cargos de espionaje y de colaboración con los rusos. El funcionario que lo interpela no le cree cuando le dice que él solo estaba jungado. ¿Cómo lo logró? Adivinando que la contraseña de acceso sería el nombre del hijo de una de las personas cuyo nombre aparecía en la carpeta. Era un hacker, sí, porque descubrió una puerta trasera del sistema pero él quería hackear a una empresa de videojuegos y no poner en riesgo la seguridad nacional. Era un hacker con suerte.

Rudy Palma, nuestro así llamado primer ciber-hacker-periodista-2.0, es todo lo contrario: no es un hacker y tuvo muy mala suerte. Este caso ha llamado mi atención por varias razones. Creo que cometió un delito, como él mismo lo ha confesado. Sin embargo, también creo que no hemos comprendido exactamente de qué trata este caso, la forma tendenciosa en la que han sido consignados los cargos y las implicancias que esto tiene para todos.

Las contraseñas

Rudy Palma tiene 35 años y antes de trabajar en Perú 21, según su perfil de LinkedIn, había trabajado en el Ministerio de la Mujer y en el Instituto Prensa y Sociedad. Quizás por su experiencia laboral o por mera intuición, un día se le ocurrió que podía acceder a cuentas de correos ajenas usando como contraseña el nombre del usuario del correo. A todos nos ha pasado: nos dan una cuenta de correo o los datos de acceso a cierto sistema y por dejadez o desconocimiento nunca cambiamos la contraseña. Aprovechando esta mala costumbre, Rudy Palma tuvo acceso a las cuentas de correo de varios ministros y autoridades de alto rango. Según informes, se ha determinado que accedió hasta veinticinco veces en un solo día a la cuenta del Ministro de Comercio Exterior y Turismo.

Los encargados de sistemas, cuya labora es precisamente cuidar la seguridad de la red, lógicamente niegan esta teoría. Ellos dicen que las contraseñas eran “muy complejas”, dando a entender que era imposible que se llegue a ellas por deducción y que seguramente Rudy Palma debió de apelar a recursos más sofisticados. Traen a nuestra cabeza imágenes de hackers amaneciéndose frente a computadoras llenas de códigos. Yo creo que es una defensa apresurada para no asumir la responsabilidad que les toca por tener prácticas tan malas respecto del manejo de contraseñas y la seguridad de su red. ¿Se imaginan que Google les diese por defecto una contraseña igual a su nombre de usuario cuando abren una cuenta en Gmail? ¿No pensarían que es una irresponsabilidad de su parte?

Ya sé que suena ilógico creer que varias decenas de autoridades públicas coincidan todos en tener como contraseña para sus cuentas de correo electrónico su propio nombre de usuario. Pero suena todavía menos coherente pensar que alguien con la capacidad y el tiempo para quebrar sofisticadas estructuras de seguridad accedería a estas cuentas de correo: (i) desde la computadora de su trabajo, (ii) vía web (HTTP) y no a través de otro protocolo menos rastreable, y, (iii) sin usar una máscara de IP. Incluso los pedófilos y los estafadores, en el peor de los casos, operan desde una cabina Internet. Peor aún, ¿se  imaginan a un hacker reenviándose estos correos electrónicos a una cuenta de correo que asociada a su nombre y apellido? En una de sus últimas declaraciones filtradas por la prensa, Rudy Palma dijo que también intentó acceder a las cuentas de correo de Palacio de Gobierno pero desistió porque la página tardaba demasiado en cargar.

La pista

Apoya la teoría de las contraseñas adivinadas el que, aparentemente desde el 2008, Rudy Palma hacía lo mismo con distintas cuentas y entidades sin levantar la más mínima sospecha por parte de sus víctimas o los encargados de sistemas. Al haber adivinado la contraseña, el periodista se conectaba como si fuese el propio usuario y no generaba ninguna respuesta anómala por parte del servidor de correo. Si hubiese roto algún sistema de seguridad, hubiese dejado una huella lo suficientemente severa como para no pasar desapercibido cuatro años.

En muchos casos, pudo haber configurado alguna regla en el buzón de correo para que todos los correos que le lleguen sean reenviados a su cuenta, con lo que no necesitaba saber en todo momento las contraseñas. En otros, parece que tuvo la suerte de que esas cuentas de correo no cambien de contraseña durante ciertos periodos de tiempo. Les apuesto a que muchas todavía siguen teniendo la misma contraseña.

Según el reportaje de Caretas, alguien amenazó al Ministro de Educación Silva Martinot con revelar cierta información de su vida privada a la que había tenido acceso a través de su correo electrónico institucional. El Ministro, al comprobar que efectivamente se trataban de sus correos, recurrió al área de sistemas del Ministerio para averiguar cómo pudieron filtrarse. Recién entonces vieron la lista de las IPs desde donde se había accedido al correo del Ministro y descubrieron, entre ellas, que aparecía una que correspondía al diario Perú 21.

El Ministro llevó estos registros al diario y, a su vez, el personal de sistemas de Perú 21 identificó que dichos accesos al correo del ministro provenían desde la computadora de Rudy Palma. Inmediatamente, el diario despidió al redactor y lo puso a él y a su computadora a disposición de la Fiscalía. Luego, emitió un comunicado de prensa en donde se desvinculaban de haber participado directa o indirectamente en estos hechos. Palma no negó los hechos, reconoció haber accedido a esas cuentas y declaró haber actuado en solitario.

Si no hubiese sido por este intento de chantaje, nadie hubiese notado hasta ahora la actividad silenciosa aunque torpe de Rudy Palma. Hasta donde se conoce, no se ha logrado vincular a Palma con los correos amenazadores recibidos por el Ministro Silva Martinot aunque sí se ha encontrado que algunos de estos fueron reenviados desde la cuenta del Ministro a la de Palma. La revista Caretas publica hoy que, incluso luego de la detención del periodista, el Ministro seguía recibiendo los mismos mensajes de chantaje.

Los cargos

Rudy Palma usaba esta información como insumo para elaborar notas periodísticas para el diario donde trabajaba como redactor de Economía. Una forma bastante heterodoxa de conseguir exclusivas, sin duda. Las investigaciones han encontrado varias de estas noticias filtradas, como cambios de funcionarios, proyectos normativos y agendas de reuniones.

Por estos hechos, Rudy Palma está siendo procesado como presunto autor de tres delitos distintos: (i) violación de la correspondencia, (ii) delito informático en la modalidad de utilización indebida del sistema informático, y (iii) delito contra el Estado y la Defensa Nacional en la modalidad de revelación de secretos nacionales.

Violación de la correspondencia

El artículo 161 del Código Penal señala que el que “abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga” que no le está dirigido, “o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado” comete el delito de violación de correspondencia. En este caso, el correo electrónico se entiende como un medio análogo y el tipo penal encaja perfectamente con los hechos. Todos estamos de acuerdo, conforme a la confesión de Palma, que cometió el delito de violación de la correspondencia. Este delito tiene como pena máxima dos (2) años.

Delito informático

El caso del delito informático es un poco más complejo. Según el artículo 207-A del Código Penal, se considera delito informático utilizar o ingresar indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos. Es decir, el Código considera tanto el ingreso indebido como la utilización indebida (entiendo: no autorizada) de una base de datos, sistema o red de computadoras con la finalidad de interferir, interceptar, acceder o copiar información.

Según los hechos, Palma habría ingresado de forma no autorizada (indebida) a una cuenta de correo electrónico (parte de una base de datos) con la finalidad de acceder y copiar información ahí contenida. Este delito tiene como pena máxima dos (2) años. Si lo hizo con la finalidad de obtener un beneficio económico, como podría argumentarse en este caso, la pena se extiende a tres (3) años.

Difusión de Secretos Nacionales

La imputación más polémica es la de revelación de secretos nacionales. En concreto, la Fiscalía cree que al haber tenido acceso y usado como base para elaborar notas periodísticas una Agenda de Consejo de Ministros, detalles sobre la negociación de un tratado comercial con Venezuela y la entrada al país de una unidad naval y personal militar de Chile se habrían revelado secretos nacionales. Este delito tiene como pena máxima quince (15) años, la misma que le corresponde a las lesiones por violencia familiar, la trata de personas y la violación de persona en estado de inconsciencia.

Creo que la Fiscalía confunde la calificación de “secreto nacional”, que el Código Penal define como aquellos secretos que el interés de la República exige guardar, con la información prohibida de ser revelada para el régimen de publicidad de los actos estatales. La Ley de Transparencia y Acceso a la Información pública distingue, en su artículo 15, tres tipos de información que están exceptuadas del régimen de transparencia: (i) secreta: información militar o de inteligencia previamente clasificada por los funcionarios autorizados para hacerlo; (ii) reservada: información cuya revelación originaría un riesgo a la seguridad e integridad territorial del Estado y la defensa nacional en el ámbito externo, al curso de las negociaciones internacionales y/o la subsistencia del sistema democrático previamente clasificada; y, (iii) confidencial: aquella que afecte a terceros o contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y consultivo previo a la toma de una decisión de gobierno.

Cuando el Código Penal alude a secretos que el interés de la República exige guardar y le asigna una pena de quince (15) años está pensando en información secreta de especial cuidado y previamente clasificada como tal por parte de las autoridades competentes. Los documentos cuyo contenido supuestamente Palma divulgó, por el contrario, más parecen información reservada (autorización de entrada de militares extranjeros) y cuya revelación no está en capacidad de poner en riesgo las relaciones internacionales ni el orden interno. La información que Palma reveló es tan confidencial como lo son las actas de sus propias declaraciones en este caso, a los que la prensa ha tenido acceso y difundido indiscriminadamente como en tantos casos, o como lo es cualquier expediente administrativo en trámite de Indecopi u Osiptel.

Lo siguiente

Si lo difundido por la prensa es cierto, Palma no es un hacker. Podría decirse que incluso su conocimiento sobre redes informáticas y buzones de correo es limitada. Me recuerda mucho más a Chris Chaney, ese treintañero aburrido y desempleado de un suburbio de Estados Unidos, quien respondiendo a las preguntas de verificación de identidad logró acceder a las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis, entre otras celebridades, y filtrar sus fotografías personales. Él tampoco quiso ser un hacker, recién tuvo una computadora propia a los veinte años, y su curiosidad lo llevó a una condena de sesenta años en prisión.

Hay muchos que han visto en este caso un enseñamiento contra un medio de prensa o la excusa perfecta para introducir regulación más estricta sobre la prensa. De hecho, ciertas irregularidades procesales y la inclusión del delito de revelación de secretos estatales no parecen fortuitas.

Yo creo que, si se desestima el cargo de los secretos estatales, esta es una oportunidad excelente para el Estado de demostrar cómo se puede impartir justicia y condenar a periodistas por delitos que efectivamente cometieron sin poner el riesgo las garantías para la libertad de expresión. Mientras tanto, Rudy Palma ha sido trasladado al penal que le corresponde y espera su proceso. En su foto de perfil en Facebook ahora hay un perro.  Otra de sus fotos es una ilustración donde se lee: El mundo necesita de gente que ame lo que hace.

Ilustración: Ben Heine (C)

Perú, el Peter Pan tecnológico

Hago eco y refraseo el título de un excelente post del doctor César Luna Victoria, para sumar a la interesante lista de temas que propone algunos adicionales.

El autor señala lo siguiente:

Peter Pan tiene miedo de crecer. El Perú también. Es verdad que nuestra economía crece. Ahí están las cifras. Sin embargo, ese cuerpo económico adolescente, que se cree ya adulto joven, sigue viviendo como niño. No me refiero a la ilusión, a la creatividad, a la imaginación y a la ternura que nunca se debieran perder. Me refiero a la malcriadez, al egoísmo, a la pataleta. Y por ser infantiles nos estamos perdiendo la oportunidad de crecer. Digo, de madurar. (…)

¿Qué hacer? Las reformas pendientes, llamadas de segunda generación precisamente porque vienen después del crecimiento económico. Reforma del sistema político, para que los partidos ofrezcan gerentes de lo público y no el vergonzante desfile de delincuentes infiltrados como congresistas. Reforma del sistema cívico, para que las normas se cumplan porque estamos convencidos de que el bien público asegura mejor lo privado. Protegernos en instituciones, más que en personas. Salud, educación y justicia  para que existan oportunidades para todos.

Todos estamos de acuerdo con estas reformas. ¿Por qué el Gobierno no las implementa? Porque anda ocupado en otras cosas, aquellas que lo mantienen en popularidad. Las reformas pendientes no huelen a economía, pero son indispensables para asegurar el crecimiento. Madurar como país es una tarea de generaciones. Debemos hacer la parte que nos toca. Ésa es la herencia que debemos dejar a nuestros hijos. No sólo un buen PBI per cápita.

Si bien ando fuera del país desde hace algún tiempo, reviso con bastante detenimiento las noticias principales peruanas y, con mucho pesar, debo confesar que éstas no pasan de cubrir el accidente de tránsito del día o los tremendos conflictos sociales gestionados con «audacia» por el gobierno y la preocupante problemática del VRAE. Curiosamente áreas de experiencia del actual mandatario ya sea por formar parte de sus promesas de campaña o dada su formación militar.

Lo hemos dicho reiteradas veces, ¿que hay de las carreteras de la información?¿que hay de una apuesta seria por la tecnología como eje promotor de desarrollo para el país, para así no seguir intercambiando espárragos por iPads? ¿Por qué no reestructurar el gabinete y convertir el Ministerio de Transportes y Comunicaciones en uno de Tecnologías de la Información y Comunicaciones como lo ha hecho Colombia con bastante éxito? Colombia tiene un problema en la actualidad quizás tan o más grave que el tuvimos nosotros en los noventas con la inseguridad creada por Sendero Luminoso sin embargo ello no ha impedido a dicho gobierno dar a la ciencia y a las tecnologías de la información un lugar digno en el gabinete y en las políticas públicas que la han hecho acreedora de diversos reconocimientos internacionales.

Sigamos con las preguntas, ¿qué resultados concretos luego de la advertencia en el CADE 2011de nuestro serio déficit en innovación? Lamentablemente, poco o nada. Todo esfuerzo para promover el desarrollo de la Sociedad de la Información en el país, la ciencia y la tecnología está restringido a esfuerzos aislados y débiles que cuenta con igualmente débil soporte del Estado. Cuando alguien me dice pero para qué Internet si primero es necesario tener agua y luz, puedo decirles, si es cierto, quizás suene prioritaria la tarea de llevar agua y luz a lugares remotos pero es igualmente importante llevar acceso al conocimiento y la educación, que con mucha agua y mucha luz no se logra. La ciencia, las tecnologías de la información y la innovación son ejes transversales que impactan positivamente en el país y esto no es novedad. Se trata de las carreteras para llevar el conocimiento.

Lamentablemente no parece que exista una clara visión del gobierno por apostarle a estos temas mientras seguimos sufriendo el rezago en los indicadores internacionales. ¿Donde están las reformas de segunda generación señor Presidente en materia de comunicaciones, tecnología e innovación? Es una realidad, señores, las materias primas se acaban y si no existe el respaldo de sólidas políticas públicas en las materias expuestas, estamos destinados a ser los Peter Pan tecnologícos, esos que nunca quisieron madurar y crecer y que prefirieron mantenerse analógicos mirando pasivamente la evolución global digital. Como sostiene válidamente el eurodiputado español José Ignacio Salafranca, en estos tiempos «la materia prima es la materia gris». ¿Qué estamos esperando?

Malas prácticas en la publicación de PDFs en el Estado: Informe Conga

El tan ansiado informe pericial sobre el Proyecto Minero Conga fue presentado el día de ayer en una conferencia de prensa bastante parca. La Presidencia del Consejo de Ministros anunció que el informe completo se haría público a través de su web en un período máximo de veinticuatro (24) horas.

El informe fue publicado en un archivo PDF de 31.7 MB en el sitio de la PCM, que a las pocas horas colapsó y ahora es casi inaccesible. Luego, el diario El Comercio republicó el mismo archivo en su sitio web, que permitió que más personas puedan descargarlo.

Sin embargo, el archivo publicado por la Presidencia del Consejo de Ministros tiene varios problemas de accesibilidad. En primer lugar, se trata de un documento escaneado, lo que hace que el archivo sea más pesado. Si el informe se redactó en una computadora, ¿por qué se imprimió y se volvió a digitalizar para su difusión pública? ¿Por qué no se subió una versión en PDF generada directamente desde el procesador de texto?

Pero lo peor es que la versión escaneada que subieron a la web está especialmente protegida con contraseña para que no pueda imprimirse, copiar o leer en voz alta usando programas especiales para personas con discapacidad visual. ¿Por qué? Ojo que se trata de una medida que se ha tomado especialmente para otorgarle esta protección al documento, no de una configuración por defecto. De la misma forma, el PDF publicado por el Ministerio del Ambiente también está protegido

Este es un excelente ejemplo de cómo no se debe de publicar la información pública. Por suerte, los amigos de informática de la Presidencia del Consejo de Ministros no son tan inteligentes ni nosotros tan brutos. Así que acá les traigo el Informe Pericial del Proyecto Minero Conga sin restricciones, para su descarga, impresión y lectura.

Para los que no pueda usar en enlace de arriba, aquí un enlace directo.

Comentarios al Proyecto de Reglamento de la Ley de Protección de Datos Personales

Ayer concluyó el plazo para presentar comentarios al Proyecto de Reglamento de la Ley 29733 publicado por el Ministerio de Justicia en su página web [PDF, 9MB]. La Ley de Protección de Datos Personales, publicada en julio del año pasado, suspendía parcialmente su vigencia hasta la publicación de su Reglamento. El Reglamento fue elaborado por una Comisión Multisectorial y su proyecto fue hecho público para comentarios el mes pasado.

Oscar Montezuma y yo hemos presentado nuestros comentarios, a título individual, haciendo un fuerte énfasis a favor de la simplificación de la regulación. Como señalamos en el documento, creemos que es necesario realizar ajustes en el texto propuesto del Reglamento con la finalidad de hacer que el cumplimiento de la Ley sea mejor entendido por el público en general y por los agentes económicos que tratan datos personales. Una reglamentación muy compleja elevaría los costos de cumplimiento de la Ley por parte de los agentes económicos y, a su vez, la administración pública necesitaría de mayores recursos para la efectiva fiscalización de su cumplimiento. Creemos que es posible contar con una regulación sencilla de cumplir y que no pierda de vista la efectiva protección de los derechos individuales.

Comentarios al Proyecto de Reglamento de la Ley 29733 — Ley de Protección de Datos Personales por Oscar Montezuma y Miguel Morachimo [PDF]

También

Comentarios al Proyecto de Reglamento de la Ley 29733 — Ley de Protección de Datos Personales presentados por el Estudio Iriarte & Asociados [PDF]

El Perú, la privacidad, los mercados y la ley

Si usted se encuentra vinculado a alguna empresa de servicios públicos, de telemarketing, entidad financiera o de salud, call center o quizás algún negocio virtual esta nota seguramente será de su interés. El año pasado el Perú aprobó la Ley General de Protección de Datos Personales que básicamente postula que ninguna entidad pública o privada podrá utilizar información personal de ningún ciudadano sin su autorización “previa, informada, expresa e inequívoca”. Sin duda una iniciativa positiva que contribuye a un fin mayor: prevenir el uso de dicha información para actividades delictivas.

Recientemente el Ministerio de Justicia publicó el Proyecto de Reglamento de la citada ley. Entre otras cosas se precisa en detalle cómo deberá ser la autorización  antes mencionada, las medidas de seguridad que deberán tener las bases de datos, el plazo de adecuación para bases de datos existentes, las obligaciones de registro de bases de datos en un registro público nacional, la transferencia internacional de datos personales y el régimen de sanciones y multas, que alcanzan las 100 UIT. Incluso el proyecto se aventura a regular el tratamiento de datos por servicios de comunicaciones electrónicas y cloud computing.

Los 132 artículos del Proyecto revelan una clara vocación reglamentarista y merecen una lectura detenida a fin de salvaguardar un sano equilibrio entre la protección de la privacidad y el deseable flujo de información en el mercado. El plazo para presentar comentarios ante la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia vence el próximo jueves 12 de abril.

Hablando de protección de datos personales en serio: datosperu.org

Cualquiera que ha buscado en Internet el nombre una persona o empresa ha llegado alguna vez a una página como DatosPerú.org (o UniversidadPeru). Se trata de páginas que muestran bases de datos de personas y empresas, indicando en detalle su información legal y fiscal (gerentes, locales, vinculadas). Casi desde su inicio, estas páginas son vistas con preocupación por muchas personas que sienten vulnerada su privacidad viendo tanta información sobre uno mismo en Internet. En un país donde los secuestros y extorsiones son tan frecuentes, resulta una preocupación válida. ¿Son legales estas páginas? ¿Qué se puede hacer frente a ellas?

En principio, DatosPerú no contiene información secreta ni prohibida de ser publicada. De hecho, contiene información a la que cualquiera tiene acceso. Solo ha agrupado información que ya se encontraba disponible en SUNAT y en los portales de otras instituciones del Estado, es decir, información pública. La cantidad de información personal disponible públicamente es aún mayor que la mostrada en DatosPeru.

  • SUNAT (nombre, DNI, dirección, omisiones tributarias, teléfono),
  • ESSALUD (nombres, fecha y año de nacimiento),
  • INFOgob (fotografías, filiación política, declaración jurada y currículo, en el caso de candidatos), y,
  • Páginas Blancas (direcciones y teléfonos)

Todo eso sin pagar un sol. Porque si se dispone de dinero, están a nuestra disposición las bases de datos de Registros Públicos (propiedades, hipotecas, autos, empresas, accionistas), Reniec (registro civil) y la tan temidas centrales de riesgo como Infocorp. ¿Por qué es pública toda esta información? Todas estas bases de datos existen o están disponibles por disposición de alguna norma de orden legal, que ordena su publicidad para proteger la seguridad jurídica o el comercio.

Nuestra Ley de Protección de Datos Personales (.pdf) considera como dato personal a toda información sobre una persona natural que la identifica o la hace identificable, distinguiéndolo de los datos sensibles calificados como datos biométricos que por sí mismos pueden identificar al titular, raza, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical e información relacionada a la salud o a la vida sexual.

Un tratamiento de datos personales como el que realiza DatosPerú debería de ser autorizado previamente por el titular. Sin embargo, el que realiza SUNAT, RENIEC o EsSalud no necesita de ninguna autorización porque se encuentra exceptuados del ámbito de aplicación de la Ley.

¿Qué pasa entonces con la información contenida en bases de datos públicas cuando son reproducidas por privados? El artículo 14 precisa que «no se requerirá consentimiento del titular cuando se  trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público«. En otras palabras, si algún dato personal ya está contenido en una «fuente accesible para el público», no será necesario que el titular autorice su tratamiento. Las fuentes accesibles para el público son bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, y que deberían de estar establecidas por el reglamento.

El problema es que la tan anunciada Ley de Protección de Datos Personales aún no tiene reglamento y, por ende, no sabemos cuáles serán las fuentes accesibles para el público. En julio se encargó su elaboración a una Comisión y se le otorgó un plazo de ciento viente (120 días), que venció a inicios de este año. Sin embargo, no resulta difícil imaginar que el Reglamento reconocerá la base de datos de SUNAT como una fuente accesible para el público. Lo que significa que, con o sin Ley, será poco lo que podamos hacer frente a páginas como DatosPerú.

La página del gobierno estadounidense que reúne a las iniciativas de Open Data gubernamentales alrededor del mundo la ha registrado como la iniciativa oficial del Estado Peruano. Frente a esto, dos entidades de la sociedad civil han hecho la consulta formal al Estado sobre si DatosPerú está gestionado por el Gobierno. Les adelanto la respuesta: no lo está. Lo que, como todo parece indicar, no significa que su actividad sea ilegal.

Actualización (14/03): En el Proyecto de Reglamento de la Ley de Protección de Datos se reconoce como una fuente de acceso público a la base de datos de SUNARP y a «todo otro registro o base de datos calificado como público». Por tanto, todos los datos contenidos en estas bases de datos pueden ser tratados libremente.

Ilustración: Charlie Collins (CC BY-ND)

Derecho al olvido: Alfacs Vacances contra Google Spain por Miquel Peguera

Miquel Peguera mantiene uno de los blogs, en mi opinión, mas interesantes sobre responsabilidad de Internet Service Providers (ISP). Miquel es profesor Agregado de Derecho Mercantil en la Universitat Oberta de Catalunya (Barcelona, España) y Doctor en Derecho por la Universidad de Barcelona (2006), con una tesis doctoral sobre la responsabilidad de los intermediarios en la Sociedad de la Información. Los invitamos a revisar este interesante aporte de Miquel con relación al famoso «derecho al olvido» que tanto se ha venido discutiendo en Europa a propósito del caso Alfacs Vacances contra Google Spain. ¡Muchas gracias Miquel!

Derecho al olvido: Alfacs Vacances contra Google Spain
por Miquel Peguera

Quiero aprovechar la amable invitación de Óscar Montezuma a participar en el blog para referir brevemente una reciente sentencia dictada en España en relación con el llamado “derecho al olvido”. Se trata de la sentencia de 23 de Febrero de 2012 del Juzgado de Primera Instancia de Amposta (Tarragona) en el caso del camping Los Alfaques contra Google Spain.

El demandante es la sociedad mercantil “Alfacs Vacances S.L.”, titular de un camping situado cerca de Tarragona. En 1978, el camping sufrió un terrible accidente. Un camión que transportaba líquido altamente inflamable ardió en llamas cuando circulaba por la autopista que pasa junto al camping. Como consecuencia de la explosión y de la enorme bola de fuego que se extendió sobre el camping fallecieron más de 200 personas y muchas otras resultaron heridas por quemaduras graves. A pesar de que el accidente ocurrió hace ya más de 30 años, y de que el camping no tuvo ninguna responsabilidad en el mismo, cuando alguien busca en Google “Camping Los Alfaques”, los primeros resultados se refieren precisamente al accidente, apareciendo incluso cuatro terroríficas imágenes de cuerpos carbonizados. Ciertamente no es la mejor publicidad para atraer nuevos clientes.

La empresa titular del camping interpuso una demanda civil contra Google Spain S.L. alegando que el orden y el modo en que Google decide mostrar los resultados de la búsqueda constituyen una intromisión ilegítima en su derecho al honor. En la demanda, Alfacs S.L. pedía que se condenara a Google Spain S.L. a cesar en su conducta supuestamente vulneradora del derecho al honor de la demandante, así como una indemnización por los daños morales sufridos.

Del caso resulta interesante señalar lo siguiente:

a) El demandante no era una persona física, sino una sociedad mercantil, y por tanto no se trataba de una cuestión de protección de datos personales, que son exclusivamente los referidos a personas físicas. La mayoría de reclamaciones contra Google por los resultados del buscador se han basado en el derecho a la protección de datos personales y se han tramitado ante la Agencia Española de Protección de Datos. En este caso, en cambio, se trataba de un procedimiento por violación del derecho al honor, planteado ante la jurisdicción civil.

b) El demandante no dirigió su demanda contra las fuentes originales de las noticias o reportajes sobre el accidente. Entendió que tales fuentes se hallan protegidas por la libertad de expresión. Su reclamación fue sólo contra Google, por considerar que el modo en que el buscador selecciona y presenta los resultados perjudica al honor de la sociedad demandante.

c) La demanda no se dirigió contra la compañía estadounidense Google Inc., sino exclusivamente contra su filial española, la sociedad Google Spain, S.L.

El juez admitió el argumento de la demandada de que quien gestiona el buscador es en realidad la compañía californiana Google Inc., mientras que su filial española desarrolla exclusivamente tareas de promoción y marketing. Así pues, la demanda fue desestimada íntegramente, sin llegar a entrar en el fondo del asunto, al considerar el juez que Google Spain S.L. carecía de legitimación pasiva. Habida cuenta de que la acción se basaba en las opciones adoptadas por el buscador y que solicitaba, además de una indemnización, el cese de dicha conducta para lo sucesivo, el juez entendió que resulta improcedente dirigir esas peticiones contra Google Spain, puesto que al no intervenir en la selección de los resultados, no puede ser responsable de los mismos, ni puede tampoco impedir que sigan apareciendo en el futuro.

¿Qué hubiera ocurrido si la demanda se hubiera dirigido contra la matriz, Google Inc.? El precedente más claro está en el caso conocido como Palomo v. Google, (sentencia de 13 de mayo de 2009 del Juzgado de Primera Instancia número 19 de Madrid, confirmada en apelación por la sentencia de la Audiencia Provincial de Madrid, de 19 de Febrero de 2010).

En este caso, una persona demandó a Google Inc. por determinados resultados que enlazaban a informaciones de carácter difamatorio. El tribunal consideró que Google Inc. quedaba protegida por la norma de exclusión de responsabilidad establecida en el artículo 17 de la Ley de Servicios de la Sociedad de la Información (LSSI)

Según la sentencia, Google no tuvo conocimiento efectivo del carácter ilícito de los contenidos enlazados, y por tanto cumplió con los requisitos establecidos en el artículo 17 para quedar libre de responsabilidad. De acuerdo con una interpretación estricta de dicho artículo, para que un proveedor de servicios de enlaces tenga conocimiento efectivo de que el contenido al que enlaza es ilícito, es preciso que previamente se haya dictado una orden judicial o administrativa que declare la ilicitud de dicho contenido, cosa que no había sucedido en el caso. Por otra parte, el tribunal analizó la debatida cuestión de si la LSSI resulta aplicable a Google Inc. y consideró que sí, basándose en que Google Inc. tiene una sociedad filial con establecimiento permanente en España (Google Spain S.L.).

El asunto «Megaupload» y el futuro de Internet

Aurelio Lopez-Tarruella Martinez, Profesor Titular de Derecho internacional privado. Universidad de Alicante (España). Investigador principal Proyecto «Aspectos jurídicos de los contratos internacionales de I+D» Coordinador del Módulo de Derecho de las nuevas tecnologías del Magister Lvcentinus de Derecho de Propiedad industrial, intelectual y Sociedad de la información, amigo y colaborador de esta tribuna nos alcanza este interesante artículo sobre el sonado caso Megaupload y las consecuencias del mismo para Internet. Muchas gracias Aurelio.

El asunto «Megaupload» y el futuro de Internet

(Originalmente publicado en Lucentinus)

Inevitablemente, el tema de conversación de este fin de semana ha sido «Megaupload» y el amigo Kim Dotcom y su cadillac rosa. Acabados los gintonics y superada la resaca (aunque ésta no me ha permitido leer todo lo que hay sobre el tema), aquí están una serie de reflexiones apresuradas sobre el asunto.

En un primer momento, uno siente indignación por la prepotencia con la que pareció actuar el FBI (aquí la acusación gracias a F. Garau y R. Ramirez): ¿Cómo es posible que detengan a unos tipos que ofrecen servicios de alojamiento? Los que cometen las infracción de PI son los usuarios que utilizan sus servicios para almacenar contenidos protegidos por PI!!!! (personas que, por cierto, prefieren gastar dinero en una suscripción para compartir ilegalmente contenidos protegidos por PI antes que contratar un servicio para disfrutar de esos contenidos legalmente, servicios que probablemente tenga un precio similar al de megaupload). Ahora bien, algo más debía haber tal y como ponen de relieve las noticias publicadas al respecto: intercambio de e-mails que demostraban que Kim y compañía sabían qué estaban haciendo los usuarios y las páginas que enlazaban a Megaupload. Además, las cifras del negocio son descomunales, por lo que como bien dice Technollama, poca simpatía se le puede tener a los detenidos: «it accounted for 4% of Internet traffic and received an estimated 50 million visitors per day… income estimated at $150 million USD in subscription fees and $25 million USD from advertising«.

Si los datos de la acusación (y los publicados por la prensa) son ciertos, lo de hablar de «crimen organizado» no queda muy alejado.

Ante esta situación, el futuro de servicios similares a Megaupload se llena de claroscuros:

  1. Muchos servicios de almacenamiento (recordemos, en esto consiste buena parte del negocio del cloud computing) y muchas páginas de enlaces que se nutría de los archivos de megaupload han empezado a cerrar o a limitar su oferta (curioso el anuncio de los fundadores de seriesyonkis hace unas semanas de que ya no están detras del sitio web) y ello aunque sus servidores estén ubicados fuera de Estados Unidos y aunque hipervincular a páginas web con contenidos ilícitos siga sin ser infracción en nuestro país. Esto puede verse como algo positivo para la protección de la PI y ayudará a que afloren servicios de streaming que cumplan con la legalidad (¿Cuándo aparecerá el Spotify de las series de televisión? ¿Será youzee.com o habrá que esperar a netflix en Europa). No obstante el cierre de megaupload tambien tiene un lado negativo: Megaupload u otros servicios similares tampoco van a poder ser utilizados con finalidades lícitas. Estoy seguro que Dropbox ya han empezado a preocuparse por la acusación contra megaupload. ¿Debe la plataforma tomar medidas para evitar el ser  utilizada por los usuarios para intercambiar contenidos protegidos por PI? ¿No convertirá esto a los PSI en la policía del cloud computing? ¿Conllevará esta medida serios obstáculos para el florecimiento de la industria del cloud computing?
  2. ¿Qué pasa con todos los usuarios que tenían depositada información de todo tipo en los servidores de Megaupload? Supongo que en algún momento el FBI les dará acceso a esa información. Mucha gente ha podido resultar altamente perjudicada por el embargo de sus archivos. De no recuperarlos dicho perjuicio puede ser mucho mayor.
  3. Recordemos que «Megaupload» se ha podido cerrar porque tres de sus servidores se encuentran ubicados en Estados Unidos. Supongo que, para el cierre del servidor en Holanda (si es que se ha cerrado), el FBI habrá contado con la ayuda de las autoridades de ese país. En el asunto «rojadirecta«, las autoridades estadounidenses sólo pudieron bloquear el nombre de dominio «.com», pero nada más. Lo mismo ocurriría si el FBI intentara cerrar servicios similares a megaupload (o de paginas de enlace) ubicados fuera de USA, salvo que cuenten con el apoyo de las autoridades del país de ubicación del servidor y de que, en dicho país, la actividad sea considerada ilícita. De ahí la necesidad para USA (y para la UE) de una mayor nivel de protección de la PI (ACTA, TPP) de sus socios comerciales. De lo contrario, resulta muy fácil eludir la acción de la justicia de Estados Unidos.

Una solución alternativa (y respetuosa con la soberanía de otros Estados para ofrecer la regulación que consideren más conveniente a la protección de la PI en su territorio) consiste en que las autoridades de USA obliguen a los PSI estadounidenses a bloquear el acceso de los residentes en US a sitios web donde se infringen derechos de PI (esta medida alternativa se ha adoptado recientemente por autoridades holandesas en relación con Pirate Bay). Esta solución, sin embargo, no es satisfactoria pues lo que desean las autoridades de ese país es que los derechos de PI de su industria dejen de ser infringidos en cualquier lugar del mundo. Además, esto llevaría a una segmentación de Internet por países. China ya limita el acceso a Internet a sus ciudadanos por otros motivos: No debemos dejar que las mismas medidas sean tomadas por otros países y la censura se convierta en la regla general en Internet. Ello implicaría perder uno de sus principales valores: su globalidad. Para evitarlo sólo queda hacer dos cosas: una mayor coordinación entre autoridades y una progresiva armonización de las legislación de PI que tome en consideración el nivel de desarrollo económico de cada país. La tarea no es nada fácil pero, precisamente, por ello es más apasionante.