El nombre del titular del servicio, su número de identificación, la dirección geográfica, el número de teléfono, el correo electrónico, la información sobre facturación y los medios de pago. A toda esa información busca acceder el Ministerio Público en el marco de una investigación, y sin consultar previamente a un juez de garantía.

La Fiscalía dice que son datos poco sensibles que permiten investigar delitos informáticos. Las empresas de tecnología y una ONG de derechos digitales, que esta vez trabajan como aliados, afirman que es una vulneración a derechos fundamentales.

Y la polémica promete continuar.

El proyecto de modificación del Código Procesal Penal, para mejorar y actualizar la persecución de delitos informáticos, se discute desde octubre de 2018 en el Congreso, pero recién la semana pasada una Comisión Mixta aprobó el cuerpo legal.

Fue la gigante Microsoft la primera que levantó la voz con el proyecto ya aprobado, aunque tanto la estadounidense como otras empresas, gremios y ONGs sostuvieron durante buena parte de la tramitación del proyecto que atentaba contra el resguardo de los datos personales.

Además, esta semana a través de sendos intercambios epistolares en Diario Financiero e inserciones de prensa, se enfrentaron las empresas con el gobierno y el Ministerio Público.

Los tres datos

En resumen, el proyecto establece tres tipos de datos que el Ministerio Público puede requerir a las empresas proveedoras de servicios tecnológicos.

Primero, el contenido de correos electrónicos y llamadas telefónicas. Para hacerlo, debe concurrir, como ahora, a un juez para que permita el acceso, justificando la investigación y la medida altamente intrusiva.

El segundo caso es sobre tráfico. Es decir, desde dónde ha descargado contenido de internet, o el registro de llamadas telefónicas. Para ello, también requiere autorización judicial.

En el tercer caso, y que es el de la polémica, la Fiscalía puede pedir los datos de suscriptor a las empresas. Qué teléfono, dirección geográfica, medios de pago, correo electrónico, entre otros, usa una persona que está bajo indagación de la Fiscalía.

El proyecto de ley lo que hace, defiende el Gobierno, autor de la iniciativa, es poner a Chile al día respecto a la firma del acuerdo de Budapest en 2017 sobre persecución de delitos informáticos. Según la ONG Derechos Digitales, este proyecto supera con creces lo que indica ese acuerdo internacional y viola los derechos fundamentales de los chilenos.

“Si hay una amenaza a un parlamentario o una denuncia de ciberacoso de índole sexual, o una estafa telefónica, los fiscales requieren rápido la información para identificar el nombre de los dueños de esos computadores o teléfonos, dónde están geográficamente esas direcciones IP, desde qué cuentas están operando. Si nos ponemos a pedir autorización judicial para solo obtener los números de teléfono asociados a una persona, no vamos a poder avanzar en ningún proceso, se harán inviables las investigaciones penales”, explica Mauricio Fernández, director de Delitos Económicos y Lavado de Dinero de la Fiscalía Nacional.

“Me parece al menos extremo que las empresas quieran que vayamos con un juez para todo”, agrega Fernández.

Mientras, las empresas y ONG dicen que esto vulnera gravemente el derecho al control de sus propios datos de las personas. Incluso fueron más allá. Estas “intrusiones estatales podrían afectar no solo el derecho a la privacidad de los ciudadanos, sino también la labor de periodistas y sus fuentes, medios de comunicación, organizaciones y movimientos sociales”, dijeron en una declaración difundida esta semana.

“Me parece una barbaridad que digan eso, no tiene sustento y es muy irresponsable que desinformen así. A veces hay mucho de película en esto de que vamos a perseguir a gente de organizaciones o periodistas. Aquí estamos hablando de delitos informáticos comunes y de todos los días: estafas, amenazas. La Fiscalía no tiene los recursos ni la dedicación para ponerse a perseguir gente porque sí.

La ley establece que debe haber una investigación en curso, eso significa que debe haber un rol asociado a la investigación, hay un fiscal designado para perseguir, y personas identificadas que se están investigando, no es un capricho, es una investigación”, recalca Fernández.

La guía de teléfono

“La gente confía en que nosotros vamos a resguardar su información. Los datos son de las personas, no nuestros. Y este proyecto no entrega las debidas garantías de imparcialidad de un juez para aportar esos datos a una investigación”, recalcó Alex Pessó, director de Asuntos Legales de Microsoft Chile.

El fiscal nacional, Jorge Abbott, incluso le quitó dramatismo al asunto e indicó que esos datos son de baja entidad, porque, apuntó, hasta en una guía telefónica se podían encontrar. “Antes había guías de teléfonos donde cualquiera buscaba por nombre el número de una persona. Hoy, Microsoft Chile pretende que en una investigación penal se requiera de una autorización judicial previa. Sorprende el celo con que algunas transnacionales ponen cortapisas a la persecución delictual, lo que contrasta con lo poco que se dice sobre protección de datos en el mundo comercial”.

Y Mauricio Fernández, del Ministerio Público, lo complementa: “Indigna ver tanto recurso invertido en insertos, pero poco dicen sobre protección de datos para vendérselos a empresas. Se quieren negar a que se investigue más fácilmente por parte de la Fiscalía, pero nada dicen de entregar bases de datos de teléfonos para recibir ofertas comerciales de cualquier índole”.

Felipe Fernández, socio adjunto de Servicios Legales de EY, recuerda que el 2018 la Constitución chilena consagró la protección de datos personales como un derecho fundamental, e incluso esta semana el Senado aprobó una ley sobre protección de la vida privada, estableciendo nuevas normas sobre el tratamiento de datos personales y que busca crear la Agencia de Protección de Datos Personales.

“El preámbulo del Acuerdo de Budapest, que firmó Chile, indica claramente que cada país debe velar por cada legislación y los derechos fundamentales que estableció cada nación. Y nosotros, antes de la modificación que se está haciendo ahora de los delitos informáticos, ya habíamos establecido que los datos personales son un derecho fundamental”, sostiene.

Y sobre el argumento de la Fiscalía de que son datos de menor entidad, el experto contraargumenta: “la geolocalización, los datos de cuentas y medios de pago, no se encuentran en una guía telefónica. No hay datos privados de primera o segunda categoría, la Constitución los defiende todos. Y a nivel mundial, los datos de suscriptor son datos personales, no hay mayor discusión al respecto”.

Las empresas ahora definieron seguir actuando como grupo a través del gremio. La Asociación Chilena de Empresas de Tecnologías de Información (ACTI), que agrupa a empresas como Google, Apple, Microsoft, Amazon Web Services y Sonda, entre otras, envió una carta el jueves y dijo que el proyecto “es desproporcionado, intrusivo y debilita la posición de Chile para ser considerado un país que otorgue un adecuado nivel de protección en materia de datos personales”.

Fuentes al tanto, indican que tras esta inusual alianza entre gigantes multinacionales tecnológicas y ONG de derechos digitales hay un temor tácito de que si las empresas no se oponen, se enfrenten a sendas denuncias por no proteger datos personales. Algo como lo que ha pasado en la Unión Europea y donde gigantes del rubro han debido pagar millonarias multas. Por eso, para estas compañías tener una orden judicial los exime de responsabilidades posteriores.

Hacking ético

El otro tema que se aprobó en la Comisión Mixta fue el hacking ético, que dice que, en principio, se requiere autorización expresa para acceder a un sistema informático ajeno, pero que se permite el hacking ético en el contexto de una investigación académica de seguridad informática previamente registrada, y siempre que se reporte el acceso y la vulnerabilidad informática detectada al titular del sistema y a la autoridad competente, de manera inmediata.

Ese punto ha sido defendido por las empresas, porque se pone a la vanguardia de varios países del mundo. La Fiscalía difiere de la utilidad que se le puede dar.

“Aquí las empresas no ven problema con que se hackee una empresa, dicen que con fines académicos, pero después hay muchas empresas que vienen detrás entregando soluciones informáticas a esos problemas detectados por un hacker. Aquí hay que decirlo con todas sus letras, lo que se está haciendo es legalizar el hackeo”, dice Mauricio Fernández.

Este miércoles, el proyecto que estaba planificado para votarse en enero, fue aplazado a marzo. Durante el verano, tanto el Ministerio Público como el gobierno esperan reunirse con las empresas y ONG para bajar las tensiones. Pero, apuntan las fuentes, nada asegura que una vez aprobado el proyecto en marzo, se vaya directo al Tribunal Constitucional y hasta ahí quede la historia de la reformulación de la persecución de delitos informáticos.