A pesar de las quejas generalizadas sobre sus efectos en los derechos humanos, el Senado brasileño ha acelerado la aprobación del proyecto de ley "PLS 2630/2020", Conocida como "Fake News". El proyecto de ley carecía de la necesariamente amplia e intensa participación social que caracterizó la elaboración del Marco de Derechos Civiles del Brasil para Internet de 2014 y se encuentra ahora en la Cámara de Diputados. La Cámara ha venido celebrando una serie de audiencias públicas que deberían examinarse antes de publicar un nuevo proyecto de texto.

El debate sobre la trazabilidad se ha centrado principalmente en la acción coordinada maliciosa sobre WhatsApp, que es la herramienta de mensajería cifrada más popular en Brasil. Se ha discutido mínimamente el impacto en otras herramientas y servicios como Telegrama, Señal o iMessage. WhatsApp utiliza una implementación específica de privacidad por diseño que protege a los usuarios haciendo que el reenvío para la aplicación de mensajería privada sea indistinguible de otros tipos de comunicaciones. Así, cuando un usuario de WhatsApp reenvía un mensaje utilizando la flecha, sirve para marcar la información reenviada en el lado del cliente (y contar si es más de 5 veces o no), pero el hecho de que el mensaje se haya reenviado no es visible para el servidor de WhatsApp. En este caso, el mandato de rastreo tomaría esta información, que antes era invisible para el servidor, y la haría visible, lo que afectaría a la implementación segura de privacidad por diseño y socavaría las expectativas de privacidad y seguridad de los usuarios.

Si bien no sabemos cómo un proveedor de servicios cumplirá ningún mandato de rastreo ni a qué costo para la seguridad y la privacidad, en última instancia, cualquier aplicación romperá las expectativas de los usuarios en materia de privacidad y seguridad, y sería difícil de aplicar para cumplir las normas actuales de seguridad y privacidad. Esos cambios alejan a las empresas de los principios de ingeniería centrada en la privacidad y la minimización de datos que deberían caracterizar a las aplicaciones de mensajería privada segura. A continuación, nos adentraremos profundamente en una serie de preguntas y respuestas para explicar por qué el lenguaje actual de dos cuestiones críticas del proyecto de ley del Senado socavaría los derechos humanos:

PROBLEMA I: Un mandato técnico para forzar a los servidores privados de mensajería a rastrear los mensajes "reenviados masivamente" enviados a grupos o listas

El artículo 10 del proyecto de ley obliga a las aplicaciones de mensajería privada a retener, durante tres meses, la cadena de todas las comunicaciones que han sido "reenviadas masivamente". Los datos que deben conservarse incluyen los usuarios que hicieron el reenvío masivo, la fecha y la hora de los reenvíos y el número total de usuarios que recibieron el mensaje. La ley define el "reenvío masivo" como el envío del mismo mensaje por más de cinco usuarios, en un intervalo de hasta quince días, a grupos de charla, listas de transmisión o mecanismos similares que agrupen a múltiples destinatarios. Esta obligación de retención se aplica únicamente a los mensajes cuyo contenido haya llegado a 1.000 o más usuarios en 15 días. Los registros retenidos deben eliminarse si no se ha alcanzado el umbral de viralidad de 1.000 usuarios en quince días.

Muchas de las implementaciones más obvias de este artículo requerirían que las empresas guardaran cantidades masivas de metadatos sobre las comunicaciones de todos los usuarios, o bien que rompieran la encriptación para poder acceder a la carga útil de un mensaje encriptado. Incluso si otras implementaciones son posibles, no sabemos exactamente cómo un proveedor determinado decidirá finalmente cumplir, y a qué costo para la seguridad, la privacidad y los derechos humanos. En última instancia, todas esas implementaciones se están alejando de la ingeniería centrada en la privacidad y la minimización de datos que deberían caracterizar a las aplicaciones de mensajería privada segura.

¿Cuándo se accede a los registros de rastreo?

En el tercer párrafo del artículo 10 se establece que el acceso a esos registros "sólo se producirá con el fin de determinar la responsabilidad de la remisión en masa de contenidos ilícitos, para constituir pruebas en la investigación penal y la instrucción procesal penal, únicamente por orden judicial", según se define en el Marco Civil Brasileño para la Internet. (En el Brasil, la responsabilidad por difamación puede obtenerse mediante una reclamación por daños morales en virtud del derecho civil. Pero también es un delito. La difamación criminal ha sido ampliamente criticada por los Relatores Especiales de las Naciones Unidas sobre la Libertad de Expresión y otros por obstaculizar la libertad de expresión).

El texto es ambiguo. En una interpretación, tanto el "propósito de envío masivo" como la "investigación criminal" son elementos obligatorios. Esto significa que sólo se puede acceder a los metadatos en investigaciones penales que impliquen la remisión masiva de un mensaje. En otra interpretación, este artículo puede permitir una gama mucho más amplia de usos de la información registrada del historial del mensaje. En esta interpretación, los elementos relacionados con la responsabilidad de la remisión masiva de contenido ilegal y la utilización en investigaciones penales son usos separados e independientemente permitidos de los datos. En ese caso, los metadatos conservados también podrían utilizarse para investigar actos ilícitos de derecho civil relacionados con mensajes transmitidos masivamente y también podrían utilizarse para investigaciones penales no relacionadas con los mensajes transmitidos masivamente.

¿Cómo es que la rastreabilidad rompe las expectativas de los usuarios de una mensajería segura y privada?

En implementaciones comunes, incluyendo la de WhatsApp, el cifrado probabilístico de extremo a extremo asegura que un adversario no pueda confirmar ni desconfiar las suposiciones sobre el contenido de un mensaje. Eso también incluye la confirmación de una suposición específica de que el mensaje no trataba sobre un tema determinado. En esos casos, la rastreabilidad permite que alguien con acceso a los metadatos confirme que un usuario ha enviado un mensaje idéntico a otro (incluso cuando se desconoce el contenido de ese mensaje). Esto desconfirma la suposición de que el usuario estaba realmente hablando de algo totalmente distinto, desconfirma la suposición de que el usuario estaba escribiendo algo original, y ¡desconfirma muchas otras posibles suposiciones sobre el contenido! En general, "adelantar" vs. "escribir algo nuevo" es un tipo de actividad que está fundamentalmente relacionada con el conocimiento de algo sobre el contenido.

En algunos casos, el hecho de que una persona haya reenviado algo puede ser muy delicado, incluso cuando el artículo reenviado no es necesariamente ilegal, por ejemplo, cuando alguien que hizo una amenaza quiere castigar a alguien por reenviar la amenaza, o cuando alguien quiere castigar a un filtrador por filtrar algo. WhatsApp ha creado una implementación específica de privacidad por diseño que protege a los usuarios haciendo que el reenvío sea indistinguible para el servidor de WhatsApp de otros tipos de comunicaciones.

¿Cómo interfiere la rastreabilidad de las causas penales y civiles con el derecho a la privacidad y la protección de datos?

La rastreabilidad en las causas civiles y penales crea serias preocupaciones sobre la privacidad y la libertad de expresión. Revelar la cadena completa de comunicación de un mensaje transmitido masivamente también puede resultar intrusivo de manera distintiva, más allá de la intrusión de revelar las relaciones individuales: la historia completa de ciertos mensajes puede revelar la estructura y la pertenencia de toda una comunidad, como las personas que comparten una determinada creencia o interés, o que hablan un determinado idioma minoritario, aunque ninguna de ellas esté realmente involucrada en actividades ilegales. Las vías están abiertas para el abuso.

El Brasil es una de las pocas democracias con una Constitución que prohíbe el anonimato exclusivamente en el contexto de la libertad de expresión. Sin embargo, esa prohibición no se extiende a la protección de la privacidad ni al acceso a la información de forma anónima. Además, esa restricción de la expresión anónima no puede servir para impedir totalmente la expresión cuando esta protección es crucial para permitir que alguien hable en circunstancias en que su vida o su integridad física puedan correr peligro.

La Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos (CIDH) ha explicado que la privacidad debe entenderse "en un sentido amplio como todo espacio personal y anónimo, libre de intimidación o represalias, necesario para que un individuo pueda formarse libremente una opinión y expresar sus ideas, así como buscar y recibir información, sin verse obligado a identificarse o a revelar sus creencias y convicciones o las fuentes que consulta". El anonimato no protege a los usuarios de Internet que se dedican a la "expresión ilegal" de conformidad con las normas internacionales de derechos humanos. En todos esos casos, la Oficina de la CIDH ha observado que las autoridades judiciales estarían autorizadas a adoptar medidas razonables para revelar la identidad de un usuario que participa en un acto ilegal, según lo dispuesto por la ley. En las Naciones Unidas, el Relator Especial sobre la libertad de expresión también ha observado que "la codificación y el anonimato proporcionan a los individuos y grupos una zona de privacidad en línea para mantener sus opiniones y ejercer la libertad de expresión sin interferencias o ataques arbitrarios e ilegales".

¿Qué podría fallar en el logro de un mandato de rastreo?

En primer lugar, reenviar un mensaje popular no significa que deba estar automáticamente bajo sospecha. De hecho, la viralidad de un mensaje no cambia los derechos de privacidad y las garantías procesales del remitente original ni la presunción de inocencia, un requisito básico de la normativa internacional de derechos humanos. En segundo lugar, la primera persona que introduzca algún contenido en un determinado sistema privado de mensajería podría ser considerada erróneamente como el autor de un presunto mensaje ilegal, o suponer que lo es. En tercer lugar, una persona que remitiera contenido por cualquier medio distinto de la interfaz de reenvío de una aplicación podría ser considerada erróneamente como el autor o asumida como tal. Las personas podrían ser incriminadas como autores de un contenido en el que no participaron realmente en su creación. Las personas también podrían tener más miedo de compartir información si piensan que es más probable que alguien trate de castigarlos por su papel en la difusión de esta (lo que también es una medida muy desproporcionada para la gran mayoría de los usuarios inocentes de los sistemas de mensajería). Por último, la línea entre el origen y el reenvío de los mensajes puede ser difusa, ya sea por el gobierno, lo que conduce a un exceso de celo policial, o a los ojos del público, lo que conduce a la autocensura. Esto último también crea una grave preocupación por la libertad de expresión.

¿Qué supuestos son erróneos en el debate sobre la trazabilidad en Brasil?

El artículo 10 trata de rastrear a todo aquel que haya "reenviado masivamente" un mensaje con el fin de investigar o procesar presuntos delitos. Esto incluye tanto al autor como a todos los que han reenviado el mensaje, independientemente de que la distribución se haya hecho con malicia o no. Los partidarios del proyecto de ley han sostenido que es necesario retener en masa la cadena de comunicación para ayudar a rastrear quién fue el autor del mensaje.

Esa suposición es errónea desde el principio.

En primer lugar, si bien los detalles de la forma en que se llevará a cabo la rastreabilidad se basan en las opciones de aplicación de los proveedores, ello no debe implicar necesariamente que haya una retención centralizada masiva. Sin embargo, esa sería la implementación más simple, por lo que tenemos serias preocupaciones al respecto. La retención masiva de datos es una medida desproporcionada que afectaría a millones de usuarios inocentes en lugar de sólo a los investigados o procesados por un acto ilegal según el derecho penal o civil. Los programas de retención de datos en masa pueden ser arbitrarios, incluso si sirven un objetivo legítimo y han sido adoptados sobre la base de la ley. En este sentido, el Alto Comisionado de las Naciones Unidas para los Derechos Humanos declaró que "no bastará con que las medidas [legales] estén dirigidas a encontrar ciertas agujas en un pajar; la medida adecuada es el impacto de las medidas en el pajar, en relación con el daño amenazado; es decir, si la medida es necesaria y proporcionada". Estas medidas no son necesarias ni proporcionadas al problema que se está resolviendo.

En segundo lugar, los legisladores deben tener en cuenta que los metadatos son datos personales en virtud de la ley de protección de datos del Brasil cuando se refieren a una persona física identificada o identificable. Esto significa que las empresas deben limitar la recopilación, el almacenamiento y el uso de datos personales a los datos con fines legítimos, específicos y explícitos, y que ese procesamiento debe ser pertinente, proporcional y no excesivo en relación con los fines para los que se procesan los datos. Recientemente, el Tribunal Supremo del Brasil emitió una decisión histórica en la que se subrayan los fundamentos constitucionales de la protección de los datos personales como un derecho fundamental, separado del derecho a la privacidad. Como han sostenido Bruno Bioni y Renato Leite, "El nuevo precedente del Tribunal Supremo es un cambio tan notable de la forma en que el Tribunal ha estado analizando la privacidad y la protección de datos porque cambia el enfoque de los datos que son secretos a los datos que se atribuyen a las personas y que podrían afectar a sus vidas individuales y colectivas, independientemente de que se mantengan en secreto o no". Los legisladores deberían considerar las repercusiones en el derecho de protección de los datos cuando soliciten un mandato de rastreo a la luz de esos acontecimientos.

En tercer lugar, el proyecto de ley supone que sólo los mensajes que se reenvían ampliamente deben ser rastreables, independientemente de que la distribución del mensaje se haya hecho con malicia o no. Esta suposición es errónea en ambos casos.

En cuarto lugar, el proyecto de ley ignora el hecho de que la minimización de los datos es esencial en todo sistema de privacidad por diseño, y es un componente clave de la ley de protección de datos del Brasil. Algunos sistemas se han desarrollado para retener menos datos al no rastrear la información pertinente y no tienen necesariamente una forma sensata de empezar a rastrearla, lo que puede dar lugar a cambios tecnológicos que romperían las expectativas de privacidad y seguridad de los usuarios.

Quinto, la rastreabilidad no ayudará a rastrear el origen de un mensaje. Los usuarios de aplicaciones de mensajería privada las usan rutinariamente para compartir medios que tienen en otro lugar. Por ejemplo, los usuarios de WhatsApp pueden compartir un dibujo animado que hayan encontrado originalmente en un sitio web o en un sitio de medios sociales, o que hayan recibido previamente a través de una aplicación de mensajería diferente, como Telegram o iMessage, o a través de WhatsApp Desktop. En ese caso, una versión de WhatsApp con trazabilidad sigue sin tener ninguna forma de distinguir entre el caso en que el primer usuario dibujó él mismo el dibujo y el caso en que lo encontró en uno de estos otros medios. Simplemente se le sigue la pista como la primera persona que introdujo ese dibujo animado en una cadena de reenvío particular en WhatsApp, pero eso es obviamente diferente de haberlo creado ella misma. Del mismo modo, en el caso de los mensajes de texto, cualquiera que reescribiera un mensaje de texto, o lo copiara y pegara (tal vez desde una aplicación o medio diferente), seguiría siendo rastreado como el autor original en virtud de haber sido el primero en introducir el mensaje en la aplicación en particular.

El reenvío de algo que no sea el uso de una función de reenvío in-app conforme a la trazabilidad presumiblemente rompería y reiniciaría la cadena. Por ejemplo, los usuarios de WhatsApp que reciben mensajes de texto podrían copiarlos y pegarlos en lugar de usar el botón "reenviar" dentro de WhatsApp o WhatsApp Desktop. El software no tendría forma de identificar correctamente esto como una forma de reenvío. Del mismo modo, si el número de teléfono utilizado es un número virtual o un número extranjero no brasileño, la cuenta no brasileña ni el número virtual estarán cubiertos por esta ley. En esos casos, el programa informático no podrá rastrear al originador extranjero. Del mismo modo, en WhatsApp, la identidad del originador no se autentica de forma sólida y fiable por medios técnicos. Simplemente se mantiene como un campo de metadatos dentro del mensaje cifrado de reenvío que puede ser visto por las aplicaciones del cliente, pero no por el servidor de WhatsApp. Por ejemplo, los encabezados de los mensajes cifrados podrían decir que un determinado mensaje se ha originado en el usuario con un número de teléfono indicado. El software oficial del cliente que cumpliera los requisitos de estas propuestas copiaría entonces ese encabezado, sin cambios, al reenviar un mensaje a nuevos destinatarios). Así, las personas que utilizaban software cliente no oficial podían eliminarlo u oscurecerlo, o incluso podían inculpar a otra persona como responsable de un mensaje. No sería práctico confirmar por medios técnicos si el remitente notificado estaba realmente involucrado en la creación del mensaje o no. (Otras propuestas podrían resolver estos problemas, pero con un costo significativo para la privacidad, ya que el proveedor de servicios necesitaría tener mucho más acceso para confirmar por sí mismo lo que sus usuarios están haciendo exactamente antes de que ocurra el acto malicioso).

¿Por qué las llamadas para separar las conversaciones privadas y encriptadas de las conversaciones grupales son erróneas?

Un argumento a favor de la rastreabilidad es que, si bien las conversaciones privadas y los medios de comunicación o los debates masivos deberían poder existir cada uno, no deberían combinarse. En otras palabras, un instrumento o medio determinado debería ser privado y seguro (y sólo práctico para su uso por pequeños grupos de personas) o público (y visible, al menos en cierta medida, para que otras personas de la sociedad lo noten y respondan, ya sea en los medios de comunicación o a través del sistema jurídico). Este argumento critica los servicios existentes por tener tanto un carácter privado (en cuanto a la confidencialidad de los contenidos y el comportamiento de los usuarios) como un carácter mediático cuasi masivo (en cuanto a la audiencia extremadamente amplia de algunos artículos remitidos). Pero estos argumentos ignoran el hecho de que, incluso en virtud de este mandato de rastreo, los mensajes pueden ser reenviados de persona a persona sin preservar su origen final, o todo el historial de reenvío, lo que hace mucho menos probable que el verdadero remitente original de un contenido muy difundido pueda ser identificado con confianza.

Muchos de los sistemas de mensajería privada existentes ya no ofrecen necesariamente la posibilidad de rastreo. ¿Por qué no?

Considere el correo electrónico: puede reenviar un mensaje de correo electrónico sin necesidad de reenviar ninguna información sobre el lugar de donde lo obtuvo y también puede editarlo al reenviarlo, para eliminar o cambiar esa información. Los sistemas como el correo electrónico no tienen trazabilidad porque son algo descentralizados y porque dan a los usuarios un control completo del contenido de los mensajes que envían (de modo que los usuarios pueden simplemente editar cualquier información que no quieran incluir).

Las características de cifrado y privacidad también han desalentado la rastreabilidad porque los sistemas modernos suelen estar diseñados de manera que el desarrollador o el proveedor de servicios no sabe exactamente quién escribe qué, o cuál es el contenido de un mensaje -incluidas propiedades como si dos mensajes tienen el mismo o similar contenido. (Incluso cuando WhatsApp, por ejemplo, almacena de forma centralizada una copia de los archivos adjuntos de los medios para que los usuarios no tengan que emplear el tiempo de actividad y la retransmisión de datos que reenvían, el diseño del sistema evita que la empresa sepa qué medios se incluyen o no como adjuntos de un mensaje concreto).

Independientemente del motivo, muchas herramientas de mensajería de reciente creación tampoco permiten la trazabilidad, algunas por las mismas razones que el correo electrónico, otras simplemente porque sus desarrolladores no creen que sea de interés para los usuarios en general, y es posible que quieran reducir la ansiedad de los usuarios por ser castigados o amenazados por la información que han transmitido.

¿Por qué las nuevas tecnologías o sistemas de mensajería tendrán dificultades para cumplir con estas propuestas?

Aunque las aplicaciones de mensajería en sí mismas pueden no parecer "descentralizadas", como lo es el correo electrónico, la idea de rastrear cuando un usuario "reenvía" un mensaje puede depender del control de las aplicaciones cliente que simplemente no existen. Es inverosímil imaginar que todas las aplicaciones cliente cooperarán con las restricciones y limitaciones de la misma manera, o incluso pueden hacerlo. Algunos sistemas están demasiado descentralizados (no hay un operador central que pueda encargarse del cumplimiento). Este mandato supone que los proveedores de aplicaciones siempre pueden identificar y distinguir el contenido reenviado y no reenviado, y también pueden identificar el origen de un mensaje reenviado. Esto depende en la práctica de la arquitectura del servicio y de la relación entre la aplicación y el servicio. Cuando ambos son independientes, como suele ocurrir con el correo electrónico, es común que el servicio no pueda diferenciar entre el contenido reenviado y el no reenviado, y que la aplicación no almacene el historial de reenvío excepto en el dispositivo del usuario. Esta separación arquitectónica es muy tradicional en los servicios de Internet, y aunque hoy en día es menos común en las aplicaciones de mensajería privada más utilizadas, la obligación limitaría el uso de XMPP o soluciones similares. Esto también podría afectar negativamente a las aplicaciones de mensajería de código abierto.

¿Hay alguna conexión entre la trazabilidad y la innovación según los artículos 10 y 11 de la versión del proyecto del Senado?

El artículo 10 obliga a las aplicaciones de mensajería privada a mantener la cadena de comunicaciones que han sido "reenviadas masivamente" sobre la base de un umbral de viralidad. En el artículo 11 se establece que está prohibido el uso y el comercio de herramientas externas por parte de los proveedores de servicios de mensajería privada para el reenvío masivo de mensajes, salvo en el caso de los protocolos tecnológicos normalizados relativos a la interacción de las aplicaciones de Internet. En el proyecto de ley se pide que el proveedor de servicios de mensajería privada adopte políticas, dentro de los límites técnicos de su servicio, para hacer frente a la utilización de esos instrumentos. No sabemos cómo cumplirá un proveedor el artículo 10 o el artículo 11, pero presumiblemente exigirá que los desarrolladores traten activamente de bloquear y suprimir el uso de programas informáticos de terceros que interactúen con sus plataformas mediante un control estricto de las aplicaciones cliente (para asegurarse de que cooperen con el seguimiento del historial de reenvío registrando si han reenviado o no un mensaje y actualizando los registros sobre el historial). Muchas propuestas de rastreo pueden requerir que el desarrollador de un sistema de comunicación impida que otras personas desarrollen o utilicen programas informáticos de terceros que interactúen con ese sistema. Así pues, es posible que se espere o se exija al desarrollador que monopolice la capacidad de crear instrumentos de aplicación para el cliente y que, a su vez, sea el único al que se le permita cambiar o mejorar esos instrumentos. Esto limita la interoperabilidad de una manera que probablemente será perjudicial para la competencia y la innovación.

¿Cómo se relaciona la rastreabilidad con otros esfuerzos por regular los servicios de mensajería?
Algunos países, como China, Rusia y Turquía, han amenazado con prohibir las herramientas de mensajería que no obliguen a la localización de los datos y a la identificación legal obligatoria de los usuarios. Este mandato de rastreo obligaría a aplicar prácticas similares a los usuarios brasileños. El gobierno de nadie debería impedirles practicar la comunicación privada y segura, y el gobierno del Brasil no debería considerar la posibilidad de unirse a las filas de países cuyos residentes corren el riesgo de ser procesados e invadir su privacidad simplemente por utilizar la mensajería segura.

PROBLEMA II: Los medios de comunicación social y las empresas de mensajería privada pueden ser obligados a recoger la identificación legal de los usuarios cuando hay denuncias de violación de la ley de "noticias falsas" - (Artículo 1, Artículo 7, 5-iv, Artículo 5-ii, Artículo 7, párrafo único)

Como resultado de este artículo, las "grandes" redes sociales y las aplicaciones de mensajería privada (que ofrecen servicio en el Brasil a más de dos millones de usuarios) "pueden" exigir un documento de identidad válido a los usuarios cuando hay denuncias de violaciones de la ley de "noticias falsas", o cuando hay motivos para sospechar que las cuentas automatizadas son robots no identificados como tales, o que se comportan de manera inauténtica, como asumir la identidad de otra persona para engañar al público. El sistema de presentación de denuncias por infracciones de la ley también podría crear nuevas consecuencias graves no deseadas al abrir la puerta a denuncias abusivas e inexactas. Por ejemplo, los agentes malintencionados pueden presentar reclamaciones falsas como medio para identificar una determinada cuenta con el fin de acosar al usuario. El proyecto de ley también exime de la aplicación de la ley a la parodia y el humor, así como a los seudónimos. Pero este supuesto mecanismo de seguridad no protegerá a los usuarios con seudónimos; aunque se permite explícitamente a los usuarios utilizar seudónimos, el proveedor de servicios "podrá" seguir exigiendo sus identidades legales.

El artículo 7 (párrafo único) obliga a las redes sociales y a las aplicaciones de mensajería privada a crear algunas medidas técnicas de detección del fraude en la creación de cuentas y en el uso de cuentas que no cumplan con este proyecto de ley. Los proveedores se verán obligados a transmitir esos nuevos mecanismos en sus condiciones de uso y otros documentos a disposición de los usuarios. Leído conjuntamente con el artículo 5, I, (cuenta identificada, significa que el proveedor de la aplicación ha identificado plenamente al titular de la cuenta con la confirmación de los datos previamente proporcionados por el titular). Estas nuevas disposiciones parecen ajustarse a las prácticas actuales de muchas empresas, pero pueden ampliarse y aplicarse en caso de incumplimiento de este proyecto de ley.

¿Cómo afectará a los derechos humanos la obligación de las empresas de identificar a los usuarios?

Obligar a esas empresas a identificar a un usuario en línea sólo debe hacerse en respuesta a una solicitud de una autoridad competente, y no por defecto sin el proceso legal. En la actualidad, el Marco de Derechos Civiles del Brasil exime a los datos de los suscriptores del requisito habitual de una orden judicial para las autoridades competentes. Las "autoridades administrativas competentes" ya pueden exigir directamente este tipo de datos en determinados delitos. Las autoridades policiales también han reivindicado ya la posibilidad de acceder directamente a los datos de los abonados, y en una audiencia reciente en la Cámara de Diputados, el representante de la Fiscalía Federal convino en que la información ya reunida por los proveedores de aplicaciones es suficiente para identificar a los usuarios en las investigaciones. También según el fiscal, exigir la reunión de números de identificación sería desproporcionado, daría lugar a preocupaciones sobre la minimización de los datos y podría plantear cuestiones relativas a la falsificación de la identificación, así como problemas de autenticidad. En última instancia, obligar a las empresas a exigir la identificación de los usuarios no resolverá el problema de las noticias falsas, sino que creará una nueva serie de problemas y afectará desproporcionadamente a los usuarios.

Conclusión

Hay respuestas políticas y soluciones técnicas que pueden mejorar la situación: por ejemplo, limitar el número de destinatarios de un mensaje reenviado, o etiquetar los mensajes virales para indicar que no proceden de un contacto cercano. Silenciar a millones de otros usuarios, invadir su privacidad o socavar su seguridad no son soluciones viables. Si bien este proyecto de ley tiene varios defectos graves, esperamos que la Cámara de Diputados tenga en cuenta estos particularmente atroces y reconozca el peligro y la ineficacia del mandato de rastreo.

Related Issues

International Privacy Standards
Privacy
Anonymity
Mandatory Data Retention

Related Updates

UN Cybercrime Treaty - Civil Society Letter
Deeplinks Blog by Katitza Rodriguez | July 20, 2023

El primer borrador de la Convención de la ONU sobre Ciberdelincuencia elimina disposiciones preocupantes, pero un poder de vigilancia transfronteriza peligroso y sin límites sigue en la mesa

Esta es la primera parte de la serie de artículos de la EFF sobre la propuesta de Convención de las Naciones Unidas contra la Ciberdelincuencia. Lee la Parte II para profundizar en el Capítulo IV que trata de los poderes de vigilancia nacionales; y la Parte III...

Three upside down question marks
Deeplinks Blog by Veridiana Alimonti | May 12, 2023

Tras ocho años impulsando compromisos de los ISP en América Latina: Un balance de victorias y desafíos para la privacidad de los usuarios

Las empresas de telecomunicaciones latinoamericanas y españolas han realizado importantes avances en sus políticas y prácticas de privacidad, pero las lagunas persistentes y las tendencias preocupantes plantean riesgos potenciales para los usuarios de Internet y telefonía móvil, según un nuevo informe consolidado publicado hoy por la EFF. El informe...

Deeplinks Blog by Karen Gullo | April 14, 2023

Comunicado de prensa para Latinoamérica: La propuesta de tratado de la ONU sobre ciberdelincuencia carece de suficientes salvaguardias de derechos humanos, lo que agrava las amenazas a la privacidad y las libertades civiles en Latinoamérica

VIENA-El martes 18 de abril, a las 10:00 am hora del Pacífico (1:00 pm hora del Este), expertos de Electronic Frontier Foundation (EFF) y tres aliados latinoamericanos de derechos digitales informarán a los reporteros sobre las amenazas únicas a la privacidad que plantea la propuesta de Tratado sobre Delitos...

Press Release | April 14, 2023

Latam Media Briefing: Proposed UN Cybercrime Treaty Lacks Sufficient Human Rights Safeguards, Exacerbating Threats to Privacy and Civil Liberties in Latam

VIENNA—On Tuesday, April 18, at 10:00 am Pacific Time (1:00 pm Eastern Time), experts from Electronic Frontier Foundation (EFF) and three Latin American digital rights allies will brief reporters about the unique threats to privacy posed by the proposed UN Cybercrime Treaty, which could authorize the use of s...

Press Release | April 6, 2023

Media Briefing: Proposed UN Cybercrime Treaty Negotiations Headed in Troubling Direction, Sidestepping Human Rights Protections and Threatening Free Expression, EFF and Allies Warn

San Francisco—On Thursday, April 13, at 10:00 am Pacific Time (1:00 pm Eastern Time, 7 pm CEST), experts with Electronic Frontier Foundation (EFF) and four international allies will brief reporters on the grave threat to human rights posed by ongoing UN Cybercrime Treaty negotiations that could lead to broad surveillance...

students use books and tablets to hide from a spying eye
Deeplinks Blog by Karen Gullo | March 31, 2023

After Students Challenged Proctoring Software, French Court Slaps TestWe App With a Suspension

In a preliminary victory in the continuing fight against privacy-invasive software that “watches” students taking tests remotely, a French administrative court outside Paris suspended a university’s use of the e-proctoring platform TestWe, which monitors students through facial recognition and algorithmic analysis.TestWe software, much like Proctorio, Examsoft, and other...

multi-colored hands with circuit patterns reach to the sky
Deeplinks Blog by Karen Gullo, Tamir Israel | August 30, 2022

EFF Calls for Limiting Mandatory Cooperation, Safeguarding Human Rights in International Cybercrime Investigations as Talks Resume for Proposed UN Cybercrime Treaty

In a new round of talks this week to formulate a UN Cybercrime Treaty, EFF is calling for strictly limiting the scope of the convention’s international cooperation provisions and safeguards to ensure that states respect human rights when responding to legal assistance requests.EFF is among a group of...