Opinión y blogs

Sobre este blog

Las empresas de tecnología de vigilancia no puedan ignorar más los impactos que tienen en los derechos humanos

Hannah Storey, asesora especializada en legislación sobre empresas y derechos humanos en Amnistía Internacional

0

Aunque hasta el momento la Unión Europea no ha adoptado medidas adecuadas contra las formas más invasivas de software de espionaje, la Directiva sobre Debida Diligencia en Materia de Sostenibilidad Corporativa (CSDDD) podría ofrecer una oportunidad crucial para que la UE frene los abusos descontrolados de los derechos humanos en el sector de la tecnología de vigilancia.

En 2021 el proyecto Pegasus expuso cómo gobiernos de todo el mundo han utilizado el software de espionaje Pegasus, altamente invasivo, del Grupo NSO para espiar ilegalmente a activistas de derechos humanos, líderes políticos, periodistas y abogados. El software de espionaje Pegasus se empleó como herramienta para intimidar e intentar silenciar a personas valientes en todo el mundo.

La destacada periodista Nuria Piera describió la sensación que supone ser el objetivo de esta tecnología: “Es como estar en arenas movedizas. Realmente afecta a tu sensación de libertad, lo libre que te sientes para opinar”. El análisis forense digital ha confirmado que Pegasus ha atacado a periodistas en al menos 18 países, pero es probable que la magnitud actual de este abuso de la tecnología de vigilancia sea mucho mayor.

Dos años después, una investigación llevada a cabo por European Investigative Collaborations (EIC), una asociación que reúne a más de una docena de organizaciones de medios y que contó con la colaboración del Security Lab de Amnistía Internacional, titulada “Predator Files”, ha revelado que un conjunto de tecnologías de vigilancia desarrolladas y vendidas por la alianza Intellexa, con sede en la Unión Europea, incluyendo una tecnología de vigilancia altamente invasiva llamada “Predator”, se comercializa a una escala casi industrial en todo el mundo.

El software de espionaje Predator puede infectar de forma silenciosa dispositivos próximos o propagarse a través de enlaces maliciosos. Una vez que ocurre la infección, Predator puede, al igual que Pegasus anteriormente, acceder a cantidades no controladas de datos en el dispositivo objetivo: leer mensajes, acceder al micrófono, a documentos, fotos, contactos y a registros de llamadas. Se trate de lo que se trate, probablemente Predator pueda acceder a ello, a la vez que el usuario desconoce por completo su presencia.

La investigación de Predator Files realizada por EIC y Amnistía Internacional ha revelado que Predator se ha empleado para atacar a funcionarios de la Unión Europea, incluida la presidenta del Parlamento Europeo, Roberta Metsola, así como a activistas y académicos establecidos en la UE. En total, se encontró que entre febrero y junio de 2023, 50 cuentas de redes sociales pertenecientes a 27 personas y 23 instituciones en todo el mundo fueron objeto de ataques.

Este uso indebido de software espía no sólo perjudica los derechos de las personas afectadas sino que, en palabras de la comisión PEGA (Comisión de Investigación Encargada de Examinar el Uso del Programa Espía de Vigilancia Pegasus y Otros programas Equivalentes) del Parlamento Europeo, “constituye una violación grave de todos los valores de la Unión Europea, poniendo a prueba la resiliencia del estado de derecho en Europa”.

Desde que se dieron a conocer las revelaciones del Proyecto Pegasus, la sociedad civil ha estado instando a los gobiernos a prohibir las formas más invasivas de software espía y a regular el sector de la vigilancia. Sin embargo, los Archivos Predator evidencian claramente que la Unión Europea no ha tomado las medidas adecuadas.

Peor aún, la alianza Intellexa se presenta como “basada en la Unión Europea y regulada por su legislación”. Muchas de las empresas de la alianza tienen su sede en los estados miembros de la UE y, a pesar de los controles de exportación destinados a regular la venta de estas tecnologías, los productos de la alianza Intellexa se han encontrado en al menos 25 países de Europa, Asia, Medio Oriente y África. Estas empresas siguen operando en la sombra, sin supervisión ni auténtica rendición de cuentas.

Sin embargo, hay un rayo de esperanza para la rendición de cuentas: la Directiva sobre la diligencia debida de las empresas en materia de sostenibilidad, que ofrece una oportunidad crucial para que la UE frene la vulneración descontrolada de derechos humanos en el sector de la tecnología de la vigilancia.

La directiva, actualmente en proceso de finalización por parte de los legisladores de la Unión Europea, establecerá nuevas normas de derechos humanos para las empresas. Exigirá que las compañías que operan en la UE identifiquen y aborden los riesgos de derechos humanos relacionados con sus operaciones. Además, ofrecerá un nuevo mecanismo para que las empresas rindan cuentas ante los tribunales europeos en caso de que hayan contribuido a abusos contra los derechos humanos en cualquier parte del mundo.

Y, sin embargo, el Consejo de la Unión Europea busca la exclusión del software espía de esta nueva normativa. El año pasado, al adoptar su posición sobre la directiva de diligencia debida, el Consejo sugirió la exención de todos los productos sujetos a control de las exportaciones.

Esta postura podría ser defendible si dichos productos ya estuvieran adecuadamente regulados por otras leyes, pero, como ha revelado la investigación de Archivos Predator, se sigue vendiendo software espía altamente invasivo a pesar de los controles de exportaciones existentes. Tal como lo expuso el Proyecto Pegasus y ahora subrayan los Archivos Predator, los controles de exportaciones por sí solos no son suficientes para abordar el daño infligido por estas tecnologías.

La directiva de diligencia debida ofrece una oportunidad para que la UE garantice que las empresas de tecnología de vigilancia ya no puedan ignorar los graves impactos que tienen sus tecnologías en los derechos humanos.

Si se incluyera en la directiva, el sector de vigilancia estaría obligado a introducir medidas de protección de los derechos humanos. Y si no lo hicieran, podrían tener que rendir cuentas.

Esto es más relevante que nunca, ya que observamos de forma recurrente cómo las empresas contribuyen a los abusos contra los derechos humanos en todo el mundo, ya sea mediante el ataque a periodistas con software espía altamente invasivo, el desalojo forzado de comunidades para dar paso a minas de cobalto en la República Democrática del Congo o la falta de limpieza de derrames de petróleo en Nigeria.

En un momento en que los legisladores de la Unión Europea inician las negociaciones finales sobre la directiva de diligencia debida de las empresas en materia de sostenibilidad, es imprescindible que tomen en cuenta las revelaciones de los Archivos Predator y el Proyecto Pegasus. No podemos dejar pasar la oportunidad de frenar el creciente impacto del sector de la tecnología de vigilancia sobre los derechos humanos. Si queremos proteger a las personas, tanto dentro como fuera de la UE, el software espía no debe quedar excluido de las nuevas normas de diligencia debida de las empresas.

Este artículo se publicó previamente en Euractiv.com

Aunque hasta el momento la Unión Europea no ha adoptado medidas adecuadas contra las formas más invasivas de software de espionaje, la Directiva sobre Debida Diligencia en Materia de Sostenibilidad Corporativa (CSDDD) podría ofrecer una oportunidad crucial para que la UE frene los abusos descontrolados de los derechos humanos en el sector de la tecnología de vigilancia.

En 2021 el proyecto Pegasus expuso cómo gobiernos de todo el mundo han utilizado el software de espionaje Pegasus, altamente invasivo, del Grupo NSO para espiar ilegalmente a activistas de derechos humanos, líderes políticos, periodistas y abogados. El software de espionaje Pegasus se empleó como herramienta para intimidar e intentar silenciar a personas valientes en todo el mundo.