Hoy lunes 27 de julio, cuando la mayoría de peruanos está de vacaciones por fiestas patrias, el Poder Ejecutivo ha publicado una de las normas más polémicas de toda su gestión. Amparándose en las facultades legislativas que el Congreso le dio en materia de seguridad ciudadana, un nuevo decreto legislativo permite a la Policía Nacional acceder a la información de localización de cualquier teléfono móvil conectado a una red celular. Adicionalmente, también obliga a los operadores de telecomunicaciones a conservar los datos de tráfico de todas nuestras comunicaciones durante tres años para que puedan ser consultadas por las fuerzas del orden.

Bajo la excusa de combatir la delincuencia, la Policía Nacional finalmente ha logrado algo que hace tiempo venía buscando. Cuando en 2012 se rechazó por demanda popular la primera versión de la Ley de Delitos Informáticos, la Policía quería acceder a la información personal asociada a cualquier número IP sin mandato judicial. Las razones eran las mismas: el Poder Judicial demora mucho y no nos deja capturar delicuencuentes. Tres años después, hoy se le ha otorgado a la Policía el poder de rastrear en tiempo real la ubicación de cualquier usuario de telecomunicaciones en Perú sin que tenga que pedirle permiso a nadie. A través de un decreto legislativo aprobado en fiestas patrias han conseguido aquello que democráticamente no pudieron conseguir: pasar por alto el derecho a la privacidad de todos los peruanos.

El Decreto Legislativo 1182 [PDF] busca regular el uso de los datos derivados de las telecomunicaciones para la identificación, localización y geolocalización de equipos de comunicación en la lucha contra la delincuencia y el crimen organizado. Aunque introduce también otras modificaciones al Código Penal, la parte más problemática es la de sus nueve artículos principales en la que crea dos nuevos mecanismos de acceso a la información privada de los ciudadanos.

Acceso a la información de ubicación de cualquier dispositivo móvil

El Decreto Legislativo crea un mecanismo mediante el cual la Policía puede enviar un pedido a cualquier empresa operadora para acceder a los datos de localización o geolocalización de teléfonos móviles o dispositivos electrónicos. Estos datos son enviados permanentemente por todos los teléfonos móviles conectados a una red de comunicaciones, incluso los que no son smartphones, y constituyen un registro exacto de la circulación de cualquier usuario de estos aparatos. Según el nuevo Decreto, empresas como Movistar o Claro estarán inmediatamente obligadas a proporcionar acceso en tiempo real a esta información a la Policía Nacional. Para lograrlo, hasta ahora era necesaria una autorización judicial expresa. Sin embargo, bajo este nuevo sistema la Policía ya no necesitará obtener ningún tipo de autorización previa para acceder a esta información.

Según la propia norma, la Policía solo podrá utilizar este mecanismo cuando concurran tres requisitos en simultáneo: (i) se trate de un delito flagrante, (ii) el delito investigado sea sancionado con pena superior a los cuatro años de cárcel, y, (iii) el acceso a esta información constituya un medio necesario para la investigación. Sin embargo, el cumplimiento de estos requisitos solo será revisado luego de que la Policía ya haya accedido a los datos. Así, la unidad a cargo de la investigación policial tendrá 24 horas para enviar al Fiscal un informe que sustente su requerimiento y el Fiscal tendrá otras 24 horas para solicitar a un juez la “convalidación de la medida”. A su vez, el juez que reciba el pedido tendrá otras 24 horas para pronunciarse sobre la legalidad del pedido y establecer un periodo durante la cual estará vigente. Bajo este sistema, podrían pasar hasta 72 horas desde que la Policía empezó a monitorear a cualquier ciudadano para que recién un Juez pueda pronunciarse sobre la legalidad de la medida y verifique si realmente se han respetado los requisitos.

Bajo el esquema anteriormente vigente, si la Policía quería necesitaba acceder a la geolocalización de cualquier línea telefónica era necesario que sea un Fiscal quien se lo solicite a un Juez. Resultaba responsabilidad del Fiscal convencer al Juez de que existían indicios suficientes como para amparar esta solicitud y era el magistrado quien establecía la forma, oportunidad, periodo y garantías aplicables a la intervención. Este trámite no es antojadizo y responde a un diseño fundamental de nuestra Constitución y de todas los instrumentos de derechos humanos internacionales: las comunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Ahora, mediante un solo artículo en un Decreto Legislativo, se pretende excluir los datos de ubicación del contenido constitucionalmente protegido del secreto de las comunicaciones. Desde la entrada en vigencia de este nuevo Decreto, la información que antes la Policía solo podía obtener mediante una autorización judicial expresa ahora podrá obtenerla directamente de las empresas de comunicaciones a su solo pedido.

En su artículo 6, la norma revela la tesis detrás de su propuesta: que la información de geolocalización no constituye parte del secreto de las comunicaciones y, por ende, no está protegido por la Constitución. Esta afirmación, sin embargo, está directamente en conflicto con la Constitución que extiende esta protección a las comunicaciones, telecomunicaciones y sus instrumentos. De la misma manera, otras normas vigentes como la Ley de General de Telecomunicaciones o la Directiva sobre la inviolabilidad y el secreto de las telecomunicaciones también son enfáticos al incluir los datos de tráfico como parte de esta protección.

Retención de datos de tráfico por tres años

En una de sus disposiciones complementarias, el Decreto Legislativo incorpora un cambio mayor en la forma en la que se protege la privacidad de los usuarios de comunicaciones en Perú. Por primera vez, se aprueba en Perú una norma expresa que obliga a todas las empresas concesionarias de servicios públicos a almacenar por tres años toda la información de los datos derivados de las telecomunicaciones para que pueda ser consultada por la Policía. Esto significa que toda la información sobre los detalles de con quién nos comunicamos, por cuánto tiempo, y desde dónde, entre otros, correspondientes a los últimos tres años serán almacenados por las empresas de telecomunicaciones.

En estos casos, el Decreto Legislativo sí establece como requisito que la Policía cuente con una autorización judicial para acceder a esta información. Sin embargo, esta garantía no es suficiente porque la privacidad de cualquier ciudadano ya está siendo vulnerada con la mera retención de los datos sin necesidad de que ella sea procesada o leída por alguien. Este es un criterio que cada vez resulta más estable en la jurisprudencia internacional, en hasta dos casos la Corte Europea de Derechos Humanos, en informes de Naciones Unidas y también ha sido claramente expresando en los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia de las Comunicaciones.

Las normas de retención de datos constituyen uno de los asuntos más controvertidos a nivel mundial en materia de privacidad. Normas similares a las que acaba de aprobar nuestro Poder Ejecutivo han sido y continúan siendo materia de debates intensos en países como Paraguay, Colombia o Argentina. En Europa, el año pasado la Gran Sala del Tribunal de Justicia de la Unión Europea declaró inválida la Directiva de Conservación de Datos porque consideró que la recopilación masiva de datos de ciudadanos inocentes constituía “una interferencia de amplio alcance y particularmente grave de los derechos fundamentales a la vida privada y a la protección de los datos personales”.

En junio de 2014, el Alto Comisionado de Derechos Humanos de Naciones Unidas fue explícito en su reporte sobre el Derecho a la Privacidad en la Era Digital al condenar las normas de retención de tráfico señalando:

La preocupación sobre si el acceso a los datos y su uso se ajustan a objetivos legítimos específicos plantea también dudas sobre la creciente colaboración de los gobiernos con entidades del sector privado para que conserven datos “por si acaso” los necesita el gobierno. La conservación obligatoria de datos de terceros —característica frecuente de los regímenes de vigilancia de muchos Estados, cuyos gobiernos exigen a las compañías telefónicas y a los proveedores de servicios de Internet que almacenen los metadatos acerca de las comunicaciones y la ubicación de sus clientes para que las fuerzas del orden y los organismos de inteligencia puedan acceder posteriormente a ellos— no parece necesaria ni proporcionada.

A pesar de estos antecedentes, en Perú una norma de este tipo ha sido aprobada sin consulta ni debate previo y directamente por el Poder Ejecutivo usando un mecanismo excepcional para dar leyes.

No uno sino varios errores

Como se aprecia, son varios y graves los cuestionamientos legales que pueden hacerse a esta norma y su aplicación pone en riesgo nuestros derecho a la privacidad, la libertad de expresión, la libertad de tránsito y la libertad de asociación. Sin embargo, con independencia de cuál sea la posición personal de cualquiera, resulta innegable que reformas de este tipo necesitan ser discutidas en público, en el Congreso, con la posibilidad de que distintas voces puedan participar del debate y se respeten las garantías del procedimiento legislativo de cualquier democracia.

Es necesario que el Poder Ejecutivo y el Congreso se preocupen por mejorar el marco jurídico para mejorar la seguridad ciudadana. Sin embargo, esta necesidad no nos puede llevar a relevar garantías fundamentales básicas y mucho menos puede amparar que estas reformas se discutan a escondidas y se aprueben sin debate. Si el problema es que el Poder Judicial o el Ministerio Público se demoran mucho en facilitar el acceso a la información privada de los sospechosos de un delito, la solución no puede ser esconder el problema debajo de la alfombra y anular su participación. Peor aún, la norma actual transfiere el costo de la supuesta demora del Poder Judicial al ciudadano y no hace nada por modificar las situaciones de hecho o de derecho que producen esta demora.

Quienes entendemos la magnitud de este nuevo marco legislativo estamos llamados a reaccionar, explicarlo a los demás y demandar una reacción por parte de las demás autoridades que han sido dejadas fuera de esta decisión. Ese es nuestro deber y ese es en nuestro compromiso.

También

Electronic Frontier Foundation: Peru Adopts Data Retention Decree: Declares Location Data No Longer Protected

Director Ejecutivo Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).