El 6 de junio de 2013 los periódicos The Guardian y Washington Post revelaron la existencia de un programa de la Agencia de Seguridad Nacional estadounidense (NSA) llamado PRISM que accedía a los datos personales de clientes de empresas de internet y telefonía de todo el mundo sin ningún tipo de control o autorización judicial.
Desde entonces, las quejas de los países afectados se han multiplicado. Argentina y Brasil han sido hasta ahora los más activos en denunciar PRISM y, aunque la Unión Europea sigue debatiendo su posición conjunta, diferentes países ya han llamado a consultas a sus respectivos embajadores estadounidenses. El Comité del Parlamento Europeo sobre Libertades Civiles, Justicia y Asuntos de Interior (LIBE), encargado de redactar la futura nueva normativa europea de protección de datos, encomendó este verano un informe sobre el impacto de las actividades de la NSA en la ‘soberanía de datos’ de los Estados y en la privacidad y protección de datos de los ciudadanos y las ciudadanas de la UE.
Lo que este informe revela es que Estados Unidos lleva décadas ignorando los derechos fundamentales de los ciudadanos de otros países. La Ley de Vigilancia de la Inteligencia Extranjera (FISA) de Estados Unidos, de 1978, ya preveía que toda intercepción de comunicaciones realizada fuera de las fronteras de EEUU no tuviera ningún tipo de restricción legal.
En 2008, la enmienda s.1881a/702 de FISA acabó de crear el contexto legal para la vigilancia masiva orientada específicamente a los datos de ciudadanos no estadounidenses, incluido el almacenaje de datos recogidos en nodos clave de todo el mundo durante 5 años (a través de fibra óptica, satélites, etc.) con el fin de identificar personas cuyas actividades espiadas les sitúen a 3 o menos grados de separación de un individuo sobre el que recaen sospechas de terrorismo (el llamado ‘principio de los tres saltos’). Esa enmienda, aprobada por Obama, amplió también el ámbito de espionaje a la computación en la nube.
Estos excesos fueron identificados desde Europa, pero ni los mecanismos existentes (Safe Harbour, BCR for processors, etc.) ni las actuaciones que se emprendieron consiguieron crear suficientes garantías, y que los servicios de inteligencia estadounidenses fueran normalizando el control de las comunicaciones de ciudadanos de todo el mundo sin ningún tipo de control ni garantías para éstos, convirtiendo así la nacionalidad no estadounidense en justificación para el espionaje ‘preventivo’.
¿Qué hacer?
El informe encargado por la Comisión LIBE avanza ya algunas recomendaciones sobre posibles vías para abordar el problema de la privacidad y la seguridad de las comunicaciones en la UE:
Concienciar al usuario europeo y crear una nube propia
Concienciar al usuario europeo y crear una nube propiaTodas las empresas estadounidenses que ofrezcan sus servicios a ciudadanos de la UE deberían incluir información sobre la posibilidad de que sus datos sean analizados y/o espiados (consentimiento informado). Paralelamente, la UE debería desarrollar una nube propia basada en software libre que limitara la explotación de datos por parte de empresas, servicios de inteligencia extranjeros y de espías industriales. Esto establecería las bases de una verdadera soberanía de datos y podría permitir a la UE desarrollar un modelo propio de valor añadido.
Recuperar el artículo 42
Recuperar el artículo 42En el último borrador de la nueva normativa europea de protección de datos ha desaparecido el artículo 42, que prohibía a terceros países acceder a datos personales en Europa, incluso cuando la petición estuviera apoyada por un requerimiento legal de un tribunal de un tercer país si ésta no recibía la aprobación de una autoridad de protección de datos europea. Este artículo debería recuperarse, junto con un aumento de las multas (del actual 2% sobre los beneficios de la empresa, al 20%) y la extensión del artículo 42 a proveedores de servicios y productos, y no sólo a procesadores de datos.
Incentivar y proteger legalmente a los que destapan ilegalidades
Incentivar y proteger legalmente a los que destapan ilegalidadesLas personas que denuncian públicamente la mala praxis de empresas y Gobiernos en el manejo de datos deberían ser protegidas, con garantías de inmunidad y asilo, y recompensadas económicamente con un porcentaje de las multas impuestas a los infractores gracias a su labor (como ya se hace en los casos de fraude a la Administración en EEUU).
Reforma institucional y de las agencias de protección de datos (APD)
Reforma institucional y de las agencias de protección de datos (APD)Aunque la Comisión Europea rechazó hace tiempo la posibilidad de crear una Agencia de Protección de Datos Europea, puede crearse una nueva autoridad central en los casos que incumban el manejo de datos personales por parte de terceros países. Esta autoridad central podría aceptar casos derivados de las agencias estatales. Paralelamente, las agencias de protección de datos deberían incorporar personal con conocimientos de informática y tecnologías que protejan la privacidad, para poder calibrar mejor los riesgos que plantea el desarrollo de aplicaciones tecnológicas (de las 2.000 personas que se calcula que trabajan en las APD europeas, sólo unas decenas tienen formación específica en informática o ingeniería).
Apoyo a la sociedad civil
Apoyo a la sociedad civilEn EEUU, la aportaciones privadas hacen posible la actividad de cuatro grandes organizaciones, con presencia en todo el país, dedicadas de forma profesional a proporcionar conocimientos técnicos y a luchar en el debate público y en los tribunales para reivindicar temas relacionados con la privacidad y el acceso a la información. Éstas son: The Electronic Frontier Foundation, The Electronic Privacy Information Center, la American Civil Liberties Union y el Center for Democracy and Technology. En Europa, en cambio, las organizaciones existentes son pequeñas y cuentan con pocos recursos, lo que les impide soportar largos procesos judiciales o llegar a los espacios de toma de decisiones. La UE debería contar con una estrategia de fomento y financiación de estos espacios de defensa de los derechos fundamentales de la ciudadanía europea.
El diagnóstico, pues, está sobre la mesa, así como una indicación de cuáles son algunos de los primeros pasos que pueden darse (¡y exigirse!) desde Europa para que el caso Snowden sirva para que los europeos dejemos de caminar sonámbulos hacia la sociedad de la vigilancia masiva, injustificada y lesiva para los derechos fundamentales. Que la alarma que ha encendido Snowden sirva, como mínimo, para despertarnos.