¿Privacidad del usuario o soberanía cibernética?

Imagen Freedom House

Por Adrian Shahbaz, Allie Funk y Andrea Hackl

1. Introducción

En medio de la disminución de la fe en el sistema internacional, una forma diferente de proteccionismo está ganando fuerza con consecuencias adversas para miles de millones de usuarios de Internet. Las autoridades de un número creciente de países están evaluando medidas para controlar el flujo de datos dentro y fuera de sus fronteras nacionales. Las normas cibernéticas promovidas por China y Rusia se están expandiendo a países como Brasil, India y Turquía, donde los legisladores habían estado debatiendo las disposiciones de localización de datos a medida que este informe se publicaba. Si se aprueban, estas medidas facilitarán la recopilación de datos confidenciales por parte de las agencias gubernamentales, lo que permitirá una mayor represión contra la libre expresión, la privacidad y una gama de derechos humanos. Esta fragmentación de internet también alentará a más gobiernos a seguir un modelo de soberanía cibernética, con graves implicaciones para el futuro de la libertad de internet.

Este informe examina las implicaciones de las políticas de localización de datos en los derechos humanos de los usuarios. Comienza proporcionando antecedentes sobre la regulación de datos, incluidos los diversos tipos de datos electrónicos, así como también cómo se usan comúnmente términos como «localización de datos», «protección de datos» y «privacidad de datos». Luego, el informe describe un marco sólido para evaluar el impacto de las leyes de localización de datos en los derechos humanos, antes de iniciar un análisis sobre la legislación aprobada o propuesta en ocho países diferentes. Comprender el contexto político y de libertad de internet de una ley es vital para evaluar su impacto en los derechos humanos sobre los miembros de la sociedad civil, las comunidades marginadas y la población en general. El informe concluye con un análisis de lo que significa esta tendencia alarmante para el futuro de Internet gratuito, abierto y global.

La localización de datos generalmente no ha recibido el mismo nivel de atención que otros problemas de libertad de Internet, como el cifrado, la desinformación, el bloqueo de redes sociales y el cierre de la red. Sin embargo, la privacidad de nuestros datos personales es fundamental para la protección de nuestros derechos humanos. La información que se genera y recopila a través del uso casual de los servicios en línea revela mucho sobre nuestra vida personal y profesional. Los datos de geolocalización pueden proporcionar información sobre la participación de un usuario en una protesta pacífica, la frecuencia de un establecimiento religioso o la pertenencia a un movimiento social. Las inferencias extraídas de nuestra actividad de navegación y «Me gusta» pueden revelar información confidencial como nuestra orientación sexual y estado de salud.La localización de datos otorga a los funcionarios acceso a un conjunto de datos masivo en su intento de erradicar a quienes se desvían de la doctrina religiosa, violan las leyes locales sobre «insultar» a los funcionarios públicos o representan una «amenaza» para el orden público en virtud de su existencia autónoma. Esto puede conducir no solo a abusos flagrantes contra individuos particulares, sino también a la represión de los movimientos de democratización en general.

Los defensores de estas disposiciones de localización de datos a menudo mencionan la necesidad de proteger la seguridad nacional, promover la economía digital local o salvaguardar la privacidad de los usuarios. Las fallas reales y percibidas del sistema de gobernanza de Internet existente han motivado a los gobiernos de todo el espectro democrático a imponer sus propias reglas y puntos de control en los flujos de datos transfronterizos. Sin embargo, el fortalecimiento del control estatal sobre los datos de los usuarios hace poco para abordar las quejas genuinas que rodean la ciberseguridad, la desinformación o la focalización en línea de las comunidades marginadas por parte de actores estatales y no estatales. Los intereses de seguridad nacional a menudo cooptan argumentos para una mayor privacidad de los datos para justificar una expansión de los poderes de censura y vigilancia. De hecho, el aumento de las políticas de localización de datos ha sido un factor contribuyente en la disminución de la libertad de internet.1

Una legislación sólida sobre privacidad de datos es importante para establecer protecciones contra la vigilancia del gobierno y la malversación corporativa. Estas leyes deberían centrarse en respetar la privacidad de los usuarios, en lugar de simplemente aumentar el poder del gobierno sobre el sector privado. Una mejor colaboración entre los responsables políticos, las empresas de tecnología y la sociedad civil también puede resultar efectiva. Después de todo, algunos de los avances más importantes en privacidad, como la adopción generalizada del cifrado de extremo a extremo o la navegación HTTPS, se derivan de innovaciones en estándares técnicos y diseño de productos. Finalmente, se necesitarán esfuerzos de múltiples partes interesadas para garantizar que las democracias líderes puedan ofrecer una alternativa viable al modelo autoritario de soberanía cibernética.

2. Antecedentes sobre la regulación de datos

Especialmente durante la última década, los gobiernos de todo el mundo han adoptado requisitos de localización de datos para recuperar el control sobre los flujos de datos globales. La justificación establecida detrás de estos requisitos varía desde los intentos de asegurar los datos de los usuarios de gobiernos extranjeros, la protección de los intereses de seguridad nacional, los incentivos económicos en torno a la construcción de centros de datos locales o la reducción de la competencia de las empresas extranjeras, el aumento del acceso de la aplicación de la ley a los datos, la aplicación de la censura local leyes y socavando el cifrado. Particularmente en entornos de información represiva, el acceso sin restricciones y centralizado a los datos del usuario puede conducir a graves daños a los derechos humanos.

Información personal

Este informe examina las implicaciones para los derechos humanos de la localización forzada de datos personales. Los marcos legales generalmente consideran que los datos personales son datos que identifican a una persona, como un nombre o un identificador biométrico, o datos que podrían analizarse para identificar a una persona, como una dirección particular, una dirección IP o la apariencia de una persona. El Reglamento General de Protección de Datos (GDPR) de la UE, por ejemplo, define los datos personales como «cualquier información relacionada con una persona física identificada o identificable».2 El reglamento excluye datos sin relación con una persona y sin potencial para identificar a una persona (es decir, datos debidamente anonimizados), y datos relacionados con una persona que ha fallecido.3Un subconjunto de datos especialmente sensibles, etiquetados como categorías especiales de datos personales , como los datos que revelan el origen racial o étnico, la información sobre la vida sexual u orientación sexual de una persona y los datos biométricos utilizados para la identificación, reciben garantías especiales.4 4

Localización de datos

La localización de datos se refiere a las reglas que rigen el almacenamiento y la transferencia de datos electrónicos en una jurisdicción nacional. Estos requisitos pueden tomar muchas formas diferentes. Por ejemplo, un gobierno puede exigir a todas las empresas que recopilen y procesen ciertos tipos de datos sobre usuarios locales para almacenar los datos en servidores ubicados en el país. Las autoridades también pueden restringir la transferencia extranjera de ciertos tipos de datos o permitirla solo en circunstancias limitadas, como después de obtener el consentimiento explícito de los usuarios, recibir una licencia o permiso de una autoridad pública o realizar una evaluación de privacidad del país al que los datos serán transferidos

Además, los requisitos de localización pueden referirse solo a ciertos tipos de datos. Por ejemplo, en Alemania, una ley que entró en vigencia en julio de 2017 requiere el almacenamiento interno de metadatos de telecomunicaciones, como datos de ubicación y direcciones IP.5 5 El gobierno australiano requiere que los registros de salud se almacenen dentro del país.6 6Una propuesta en India requeriría el almacenamiento local de datos personales confidenciales (que incluyen, por ejemplo, información de salud y creencias religiosas) y datos personales críticos (información relacionada con la seguridad nacional y otros asuntos relacionados según lo definido por el gobierno central).7 7Del mismo modo, el artículo 37 de la Ley de Ciberseguridad de China se refiere en general a la información personal y datos importantes que se almacenarán dentro de las fronteras del país. Según la definición de información personal de la ley , esta información se refiere a datos que podrían por sí mismos o combinados con otra información podrían identificar a una persona. Esto podría incluir una amplia gama de información, incluido el nombre completo, el número de teléfono o la dirección de un usuario.8

Protección de Datos

Es importante tener en cuenta que las medidas estrictas de protección de datos no requieren la localización forzada de información dentro de un territorio o jurisdicción específicos. Quizás el mejor ejemplo de esto es el RGPD, que entró en vigencia en mayo de 2018 y sigue siendo el marco de protección de datos más completo del mundo. Según el artículo 45 del RGPD, las transferencias internacionales de datos personales solo pueden realizarse si el país receptor cuenta con las protecciones adecuadas.9Al determinar los niveles de adecuación para los países receptores, la comisión toma en consideración una variedad de factores, como el respeto de un país por el estado de derecho y los derechos humanos, así como la seguridad nacional y las leyes penales. En enero de 2019, la Unión Europea emitió su primera decisión de adecuación, permitiendo la transferencia de datos personales entre países del Espacio Económico Europeo (EEE) y Japón.10

Desde 2016, el marco del Escudo de privacidad UE-EE. UU. Ha regido las transferencias de datos a los EE. UU., Permitiendo transferencias donde las entidades se habían comprometido con ciertos estándares de privacidad modelados según la directiva de datos de la UE anterior al GDPR.11Sin embargo, en julio de 2020, el Tribunal de Justicia de las Comunidades Europeas (TJCE) anuló el Escudo de Privacidad sobre la base de que los programas de vigilancia de seguridad nacional de los EE. UU. Limitan la protección de cualquier dato personal transferido a los EE. UU. Las transferencias de datos transfronterizas pueden continuar bajo acuerdos conocidos como cláusulas contractuales estándar , normas vinculantes para las transferencias de datos a terceros países aprobadas por la Autoridad de Protección de Datos de un estado miembro, aunque el tribunal ahora requiere un escrutinio más estricto de las leyes de vigilancia de terceros países. Flujos de datos que son voluntarios o «necesarios» bajo el GDPR12 no están limitados por el fallo del TJCE.13

El TJCE dictaminó que el Escudo de privacidad era inválido en parte porque el tribunal determinó que los programas de vigilancia de seguridad nacional de EE. UU. No cumplen con los principios de necesidad y proporcionalidad al restringir los derechos de los ciudadanos de la Unión Europea,14según lo requerido por la Carta de los Derechos Fundamentales de la UE.15El GDPR permite a los estados miembros y a la Unión Europea derogar los derechos de datos en el contexto de medidas necesarias y proporcionadas para proteger la seguridad nacional o la seguridad pública, entre otras razones. Un país que se exime del RGPD debe proporcionar garantías contra el abuso, los límites de retención de datos, una evaluación de impacto y otras protecciones para los derechos y libertades de los ciudadanos de la UE.dieciséis

La categorización de un subconjunto de datos personales como especialmente sensibles se basa en las leyes de protección de datos propuestas e implementadas en varios países, incluido Turquía,17India,18 años Japón,19 las Filipinas,20 y Sudáfrica21 Otras leyes no ofrecen protecciones especiales a un subconjunto de datos personales, como en Hong Kong,22 o ampliar la definición de datos personales, como con la ley de protección de datos del estado de California, que también protege los datos relacionados con los hogares.23

A pesar del nombre que puede tomar un proyecto de ley, la protección de datos y la localización son áreas de políticas distintas. Algunas regulaciones de protección de datos también pueden contener reglas relacionadas con la localización de datos. Por ejemplo, la Ley de Protección de Datos Personales de Turquía establece requisitos adicionales con respecto a la transferencia transfronteriza de datos personales confidenciales . Los datos personales confidenciales incluyen información relacionada con la raza y el origen étnico, la opinión política y los datos biométricos.24La ley turca tiene restricciones de procesamiento adicionales para la información relacionada con la salud y la vida sexual. Los requisitos de almacenamiento de datos incluidos en las Reglas de Protección Ciudadana de Pakistán (contra daños en línea) en general requieren servicios de redes sociales para almacenar «datos y contenido en línea». Las Reglas entran en más detalles sobre los tipos de información que pueden entregarse a las autoridades, que pueden incluir «información del suscriptor, datos de tráfico, datos de contenido y cualquier otra información o datos».25 Es importante destacar que el TJCE no abordó las leyes aprobadas por estados miembros como Francia y Alemania, que han derogado los derechos de datos en nombre de la seguridad nacional, lo que facilita la operación de sofisticados programas de vigilancia de telecomunicaciones. El fallo plantea preguntas sobre si las democracias líderes pueden promover con éxito una alternativa viable al modelo autoritario de soberanía cibernética. Para los encargados de formular políticas en los EE. UU., También destaca cómo la preservación de una Internet gratuita, abierta y global requiere un mayor esfuerzo para garantizar fuertes protecciones para los derechos humanos en el hogar.

Privacidad de datos

Aunque a veces se usa indistintamente, la privacidad de datos ofrece un marco más sólido que la protección de datos. Las leyes de protección de datos a menudo solo regulan el acceso legal y el uso de los datos recopilados y almacenados por empresas privadas. Las leyes de privacidad de datos van más allá en sus protecciones al otorgar el control de los usuarios sobre su información personal, incluso aclarando cómo se recopilan y almacenan los datos; qué agencias gubernamentales, empresas privadas u otros terceros pueden acceder a ella y al proceso para hacerlo; y para qué fines los actores estatales y no estatales pueden usar esa información. Dado este enfoque más integral, las leyes de privacidad de datos son más efectivas para salvaguardar las libertades fundamentales.

3. Metodología para la evaluación. 

Los requisitos de localización de datos no funcionan en el vacío. Más bien, el contexto político, las relaciones internacionales y los imperativos económicos de un país tienen un papel que desempeñar en la configuración del enfoque de un gobierno para gobernar los flujos de datos. Otro factor crítico, y a veces incluso un factor motivador, es el enfoque de un país hacia los derechos humanos y el papel que puede desempeñar Internet para facilitar o restringir la privacidad, la libertad de expresión y otros derechos fundamentales en un contexto global. Particularmente en regímenes autoritarios como China y Rusia que han perseguido durante mucho tiempo una agenda digital soberana, los requisitos de localización de datos se han convertido en otra herramienta para erosionar aún más los derechos humanos.

Los requisitos de localización de datos también han surgido en las democracias, lo que plantea preguntas sobre si las inquietudes en materia de derechos humanos que resultan de estos requisitos difieren entre los diferentes contextos políticos. En base a nuestra revisión de los requisitos de localización de datos, proponemos un marco de tres capas que podría ayudar a los responsables políticos, las empresas y la sociedad civil a evaluar los riesgos de derechos humanos que podrían resultar de la localización forzada de datos. En términos generales, estos factores pueden evaluarse en función de tres niveles de evaluación interdependientes:26

  • Alcance del requisito de localización de datos: un análisis del impacto en los derechos humanos de la nueva legislación debe comenzar con una revisión exhaustiva de la regulación promulgada o propuesta. ¿Cuáles son los tipos de datos que deben almacenarse dentro de un país? ¿Cuáles son las reglas específicas sobre la recopilación y el procesamiento de datos? ¿Se requiere que los procesadores de datos realicen una evaluación del impacto en la privacidad del país receptor y tienen que obtener un permiso de seguridad de las autoridades antes de que los datos puedan transferirse a un país diferente? ¿Cuáles son algunos otros factores que definen la ley de localización de datos?
  • Panorama de gobernanza: las evaluaciones también deben tomar nota del contexto más amplio en el que se propuso y promulgó un requisito de localización de datos. ¿Se han redactado normas en consulta con las partes interesadas relevantes (empresas, expertos técnicos, defensores de los derechos humanos, grupos de la sociedad civil que representan a comunidades vulnerables, etc.)? ¿Se han abierto para consulta pública? ¿Serán aprobados por un cuerpo representativo elegido a través de elecciones libres y justas? Si se aprueba, ¿estarán sujetos a revisión constitucional de un tribunal independiente?
  • Panorama de los derechos humanos: en un nivel fundamental, es fundamental evaluar si un gobierno respeta el estado de derecho y el debido proceso, así como el nivel de independencia judicial en un país. Por ejemplo, los riesgos para la privacidad de los usuarios y otros derechos humanos son particularmente altos si las autoridades pueden participar en una vigilancia y censura ilegal que no cumple con los estándares internacionales de derechos humanos. Para obtener un conjunto completo de preguntas, consulte el «Apéndice: Marco para evaluar las implicaciones para los derechos humanos de los requisitos de localización de datos».

4. Implicaciones de los derechos humanos.

La privacidad de los datos es esencial para la protección y el disfrute de los derechos humanos. Los requisitos nacionales de almacenamiento de datos colocan los datos de los usuarios firmemente en el ámbito legal de los gobiernos, mejorando significativamente las capacidades de vigilancia de las autoridades al reducir las barreras de acceso a estos datos. Los organismos encargados de hacer cumplir la ley examinan regularmente los datos electrónicos para recopilar pruebas de las presuntas irregularidades de un individuo. En muchos casos, las agencias de vigilancia monitorean continuamente las plataformas en línea en busca de comportamientos que puedan violar las leyes locales. En otros, las autoridades comienzan con un objetivo particular en mente, luego reclutan herramientas de análisis de datos para examinar grandes cantidades de información personal con el fin de encontrar un punto de datos que pueda ser explotado para justificar una acusación.Las agencias de seguridad utilizan estos métodos tanto para fines que pueden considerarse necesarios y proporcionados según las normas internacionales de derechos humanos, como para realizar violaciones claras de los derechos humanos.

Intimidad

Basar muchas de las implicaciones para los derechos humanos de la localización de datos es el derecho fundamental a la privacidad, tal como se garantiza en el Artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (PIDCP). En nuestra vida digital, creamos y dejamos rastros de datos que pueden revelar mucho sobre nuestras vidas personales. Los datos de geolocalización de un usuario pueden revelar si frecuentaron una protesta pacífica o un lugar de culto. La comprensión de la lista de contactos o redes de un usuario puede exponer si se asocian con amigos de afiliaciones políticas particulares. Y los datos de las compras con tarjeta de crédito pueden revelar la orientación sexual de un usuario. La omnipresente recopilación, almacenamiento y procesamiento de datos es una afrenta a la privacidad, particularmente sin garantías adecuadas en torno a la protección de datos.

Libertad de expresión

Los requisitos para almacenar información como las publicaciones de los usuarios en las redes sociales, mensajes privados y artículos en línea en servidores locales pueden amenazar el derecho a la libertad de expresión, tal como lo garantiza el artículo 19 del PIDCP. El informe anual Freedom on the Net descubrió que un número récord de gobiernos procesó a los usuarios por publicaciones políticas, sociales y religiosas no violentas en 2019,27señalando una mayor disposición y capacidad para apuntar a individuos para su expresión en línea. Un aumento en la localización de datos probablemente exacerbaría esta tendencia al proporcionar a las autoridades un conjunto de datos más extenso de las opiniones escritas de las poblaciones.

La investigación de Freedom House ha demostrado cómo las agencias de seguridad analizan las publicaciones en redes sociales de conocidos activistas y opositores al régimen para encontrar material que pueda usarse para iniciar un enjuiciamiento. Las autoridades a menudo confían en leyes vagas relacionadas con difamar a los funcionarios públicos, dañar las relaciones exteriores, difundir información falsa, dañar la seguridad nacional, desestabilizar el orden público, alentar el extremismo o insultar los sentimientos religiosos para atacar la expresión legítima en línea.

Acceso a la información

Los requisitos de localización de datos a menudo son parte de una apuesta más amplia para hacer cumplir la censura en línea, negando el derecho de los usuarios a acceder a la información como se garantiza en virtud del artículo 19 del PIDCP. Los gobiernos han bloqueado el acceso a las plataformas de redes sociales y las aplicaciones de mensajería por incumplimiento de las disposiciones de localización. Las empresas de tecnología y los medios de comunicación son conscientes de que el almacenamiento de información en servidores locales podría abrir nuevas vías para que el gobierno emita órdenes de eliminación para el periodismo, la discusión de los derechos humanos, los materiales educativos o los aspectos políticos, sociales, culturales, religiosos y artísticos. expresión considerada contraria a las leyes del país.Incluso la amenaza de la localización de datos se ha utilizado para presionar a las empresas grandes y pequeñas a eliminar contenido que podría considerarse ilegal en un proceso que carece de supervisión judicial y protecciones estándar para la necesidad, la proporcionalidad, la transparencia y la reparación.28

libertad de prensa

La libertad de prensa es fundamental para responsabilizar a quienes están en el poder, para llamar la atención sobre los abusos e injusticias de los derechos humanos y para garantizar una democracia que funcione. La libertad de prensa está protegida por el artículo 19 del PIDCP, pero puede verse amenazada por los requisitos de las compañías de medios de alojar sus sitios web y almacenar información confidencial en servidores locales. Las leyes de localización de datos pueden usarse para obligar a los medios de comunicación a obtener una licencia del gobierno y cumplir con las órdenes de censura. También amenazan la privacidad y seguridad de las fuentes periodísticas, particularmente cuando se combinan con medidas para prohibir o socavar el cifrado.

La libertad de creencias

La libertad de religión y creencias es un derecho humano protegido en virtud del artículo 18 del PIDCP. El artículo 27 protege aún más los derechos de las minorías religiosas en un país a ejercer su propia religión. Sin embargo, las minorías religiosas continúan siendo objeto de abusos contra los derechos humanos en países de todo el mundo. En los abusos de China contra los musulmanes uigures en Xinjiang, las historias de las redes sociales se han utilizado como evidencia para detener y arrestar a los uigures debido a presuntos delitos religiosos.29 Bajo el estricto régimen de localización de datos de China, los datos personales como nombres y direcciones están disponibles para las autoridades chinas, lo que exacerba la persecución y los abusos contra los derechos humanos contra los uigures y otras comunidades minoritarias.

No discriminación e igualdad de derechos

Las restricciones sobre el almacenamiento y la transferencia de datos también socavan la aplicación equitativa de las normas de derechos humanos y la protección contra la discriminación, como se establece en los artículos 2 y 26 del PIDCP. La localización de datos puede facilitar que los gobiernos identifiquen y persigan a las personas que pertenecen a ciertos grupos distintos, incluidas las comunidades étnicas, religiosas, de género, LGBTQ y otras comunidades relevantes. Estos riesgos pueden agravarse por el racismo sistémico, las leyes discriminatorias o un entorno más amplio de impunidad para los abusos de los derechos humanos contra las poblaciones en riesgo. Por ejemplo, los requisitos de localización de datos exacerban los riesgos para los derechos humanos que plantea la ley de Rusia que prohíbe la difusión de información sobre «relaciones sexuales no tradicionales».30

La libertad de reunion

El derecho a la reunión pacífica, como lo garantiza el artículo 21 del PIDCP, es vital para la sensibilización, la organización comunitaria y la responsabilización de actores estatales y no estatales poderosos por corrupción, mala conducta y abusos contra los derechos humanos. Las plataformas de redes sociales se han convertido en herramientas esenciales para la organización de activistas, y las leyes de localización de datos facilitan que las autoridades identifiquen y controlen a los manifestantes al vigilar su actividad en línea y obtener un acceso fácil a su información personal. Sabiendo que el gobierno tiene otra herramienta legal para acceder a la información personal, las personas también pueden ser disuadidas de participar en protestas.

Libertad de asociación

En la medida en que pueden debilitar la privacidad, la localización de datos también amenaza el derecho de las personas a unirse a grupos y participar en la participación cívica como se describe en el Artículo 22 del PIDCP. En países donde las mujeres enfrentan barreras para denunciar el acoso sexual y las condiciones de trabajo injustas, por ejemplo,31participar en grupos de defensa y asociaciones voluntarias puede proporcionar foros críticos para abordar el trato desigual y el acoso. Los sindicatos ayudan a los trabajadores a luchar por protecciones más fuertes, igualdad salarial y condiciones de trabajo justas. Estas organizaciones no gubernamentales desempeñan un papel fundamental en la promoción y protección de los derechos humanos, además de proporcionar un control impulsado por las personas contra las actividades del gobierno. Sin embargo, el conocimiento de que las asociaciones profesionales y cívicas pueden ser fácilmente vistas por la policía tiene un efecto escalofriante en estas actividades importantes.

Debido al proceso

El respeto al debido proceso y el derecho a un juicio justo, tal como lo garantiza el artículo 14 del PIDCP, respalda la protección de los derechos humanos, asegura que las instituciones y procesos gubernamentales no estén al alcance de la política o una agencia de seguridad, y permite a las personas mantener el estado y actores privados responsables de las malas acciones. Particularmente en países con desprecio por el debido proceso, los requisitos de localización de datos abren la puerta a una vigilancia arbitraria, desproporcionada y discriminatoria. Al requerir el almacenamiento de datos localizados, un país con poca independencia judicial y un pobre historial de derechos humanos podría pasar por alto los procedimientos para solicitar datos almacenados en países con un fuerte estado de derecho, a menudo codificado en un tratado de asistencia legal mutua (MLAT) con una orden judicial. requisito. En países con bajos niveles de independencia judicial,Las autoridades pueden obtener una orden con un sello de goma para crear la ilusión del debido proceso. En casos más atroces, almacenar datos dentro del alcance geográfico de las autoridades estatales podría facilitarles la visita a un centro de datos y presionar a un empleado para que entregue los datos de los usuarios sin seguir los estándares de derechos humanos para el debido proceso.

Seguridad personal

El artículo 9 del PIDCP protege el derecho fundamental de las personas a la seguridad personal. Sin embargo, las vidas de disidentes, activistas de derechos humanos y otras voces opositoras continúan amenazadas en todo el mundo. El fácil acceso a los datos buscados por las fuerzas del orden y las autoridades plantea graves riesgos para los derechos humanos. En algunos casos, los usuarios pueden incluso enfrentar amenazas a sus vidas si existe poca restricción en el acceso del gobierno a la información. En Pakistán, los usuarios han sido condenados a muerte por publicaciones en redes sociales consideradas blasfemas por el gobierno, aunque los casos siguen en apelación.32Si se implementan, las Reglas de Protección Ciudadana de Pakistán (contra daños en línea) requerirían que las compañías de redes sociales establezcan servidores de datos nacionales y entreguen una amplia gama de información del usuario, incluido el contenido. Estos requisitos facilitarían aún más que el gobierno identifique y rastree a los usuarios acusados ​​de blasfemia u otras actividades ilegales.33

5. Paisaje global

Las disposiciones de localización de datos se implementan dentro de una variedad de contextos políticos y su alcance puede diferir significativamente, particularmente en lo que respecta a los tipos de datos bajo escrutinio. A continuación se incluye una lista no exhaustiva pero indicativa de países que han propuesto o aprobado requisitos de localización relacionados con datos personales , así como una descripción general del contexto de derechos humanos y sus implicaciones en cada país. Lo más preocupante son los estrictos requisitos que se encuentran en los países clasificados como «No libres» o «Parcialmente libres» según Freedom on the Net ,34 donde las disposiciones de localización de datos a menudo se introducen como parte de una ofensiva más amplia contra la libertad de Internet.

China – No es gratis

Durante la última década, la capacidad de los usuarios chinos para ejercer sus derechos humanos en línea ha disminuido rápidamente, convirtiendo a China en el entorno de información más represivo del mundo.35Una maquinaria de vigilancia y censura cada vez más sofisticada, el arresto de los ciudadanos por actividades en línea y el cierre selectivo de redes han permitido al gobierno reforzar su control sobre un entorno en línea ya restrictivo. Los requisitos de almacenamiento de datos nacionales y las restricciones de las transferencias de datos cruzados según la Ley de Ciberseguridad de China exacerban las débiles protecciones para los derechos humanos en el país.

 El presidente chino, Xi Jinping, habla en video conferencia con los delegados en la ceremonia de apertura de la Conferencia Mundial de Internet en Wuzhen, provincia de Zhejiang, China, el 16 de noviembre de 2016. Crédito de la foto: STR / AFP a través de Getty Images.
El presidente chino, Xi Jinping, habla en video conferencia con los delegados en la ceremonia de apertura de la Conferencia Mundial de Internet en Wuzhen, provincia de Zhejiang, China, el 16 de noviembre de 2016. Crédito de la foto: STR / AFP a través de Getty Images.

La Ley de Ciberseguridad de China entró en vigencia en junio de 2017 y ha erosionado aún más las protecciones nominales de privacidad que quedaron en el país. Muchas disposiciones contenidas en la ley han reforzado significativamente el aparato de vigilancia integral de China, incluida la localización forzada de datos, los requisitos de registro de nombres reales y los mandatos para que los operadores de redes ayuden a la policía y las agencias de seguridad con investigaciones criminales u operaciones de seguridad nacional.36 Por separado, el gobierno chino ha introducido varias políticas que requieren el registro de un nombre real y otorgan a las autoridades amplios poderes para ingresar a las instalaciones de las empresas de servicios de Internet, asegurando que los usuarios puedan ser fácilmente identificados y que sus datos puedan ser inspeccionados y copiados cuando se considere importante para la seguridad cibernética.37

Los requisitos de localización de datos en virtud de la Ley de Ciberseguridad del país se aplican a un amplio conjunto de empresas y datos, reemplazando un marco fragmentario que cubre diferentes sectores, como la banca electrónica y la información de salud.38Según el artículo 37 de la ley, los operadores de «infraestructura de información crítica» deben almacenar datos personales, así como datos considerados «importantes» (por ejemplo, datos relacionados con la seguridad nacional y el interés público), dentro de las fronteras del país. Todas las transferencias de datos transfronterizas de estos datos requieren una evaluación de seguridad. El gobierno continúa publicando estándares y medidas que definen y hacen operativa la Ley de Ciberseguridad.39 Después de que se aprobó la ley, Apple, por ejemplo, rápidamente cumplió con el requisito, anunciando planes ese año para abrir un centro de datos en China.40 En febrero de 2018, iCloud de Apple comenzó a almacenar los datos de sus usuarios chinos en asociación con la empresa estatal Guizhou-Cloud Big Data.41

Vietnam – No es gratis

El gobierno vietnamita siempre ha tratado de imponer un control de estilo autoritario sobre Internet. Los requisitos de localización de datos, más recientemente a través de la Ley de Ciberseguridad, son una de las innumerables formas en que los proveedores de servicios y las empresas de tecnología deben ayudar al gobierno a monitorear las comunicaciones de sus usuarios. Este entorno de vigilancia draconiana se combina con convicciones rutinarias de activistas y periodistas por sus discursos en línea, así como la manipulación sistemática de contenido. De manera alarmante, el partido gobernante se ha concentrado cada vez más en eliminar cualquier rastro de discurso crítico o «tóxico» en línea.

Introducida en 2018 y entrando en vigor en enero de 2019, la Ley de Ciberseguridad aumentó drásticamente las disposiciones de retención y localización de datos. Un proyecto de decreto que guiará la implementación de la ley aparentemente habría requerido plataformas en línea, incluidas grandes entidades como Facebook y Google, así como plataformas más pequeñas como servicios de pago y compañías de juegos, para almacenar datos sobre usuarios vietnamitas localmente y proporcionar esos datos a gobierno a pedido.42Los datos, incluidos los nombres, las fechas de nacimiento, la nacionalidad, las tarjetas de identidad, los números de tarjetas de crédito, los archivos biométricos y los registros de salud, tuvieron que almacenarse durante el tiempo que un servicio opera dentro de Vietnam. Además, el contenido de las listas de comunicaciones y contactos también se almacenaría durante 36 meses. Las compañías extranjeras que prestan servicios a más de 10,000 clientes locales también deberían tener oficinas en Vietnam.43

Sin embargo, en el otoño de 2019, el gobierno publicó un proyecto de decreto revisado que redujo los requisitos de localización de datos, y solo los activó cuando ciertas empresas no cumplen con la ley vietnamita, que incluye disposiciones vagas que penalizan el discurso en línea e imponen responsabilidad de intermediarios.44 Las empresas afectadas por los requisitos incluyen aquellas que brindan servicios en Internet, redes de telecomunicaciones o de otro modo en el ciberespacio.

El Decreto 72 de 2013 sobre la gestión, provisión, uso de servicios de Internet y contenido de Internet en línea también exige que las empresas mantengan al menos un servidor doméstico «que atienda la inspección, el almacenamiento y el suministro de información a solicitud de las autoridades competentes», y los exige para almacenar ciertos datos durante un período específico. También requiere que proveedores como las redes sociales «brinden información personal de los usuarios relacionados con terrorismo, delitos y violaciones de la ley» a las «autoridades competentes» que lo soliciten, pero carece de una supervisión significativa para desalentar el abuso.

Desde 2019, la Ley de Ciberseguridad y sus disposiciones de localización de datos asociadas aparentemente han creado un entorno en el que las plataformas en línea han tenido que capitular con las demandas de eliminación de contenido, amenazando el espacio ya reducido donde los usuarios vietnamitas pueden ejercer sus derechos de libre expresión, acceso a la información, y otras libertades fundamentales. Google ha sido elogiado por el Ministro del Ministerio de Información y Comunicaciones (MIC) por ser «colaborativo». Se dijo que la compañía, por ejemplo, había eliminado más de 7,000 videos y 19 canales de YouTube de contenido «malicioso e ilegal» a partir de mayo de 2019.45Del mismo modo, en agosto de 2019, el Ministro del MIC anunció que Facebook cumplía con el 70 al 75 por ciento de las solicitudes de eliminación de contenido del gobierno, en comparación con el 30 por ciento reportado. Además, Reuters informó que en febrero de 2020, los servidores locales de Facebook se desconectaron, lo que ralentizó significativamente los servicios en Facebook, Instagram y WhatsApp para los usuarios de Vietnam.46 El acceso se restableció a principios de abril solo después de que la compañía supuestamente acordó aumentar significativamente la censura de las publicaciones «antiestatales».

Pakistán – No es gratis

El gobierno de Pakistán ha propuesto requisitos de localización de datos a través de dos proyectos de ley separados. Estas propuestas se producen en medio de los esfuerzos de las autoridades para reforzar su control sobre el espacio en línea y los datos personales. El gobierno apaga rutinariamente la conectividad y con frecuencia censura el contenido político, religioso y social. Los periodistas, activistas y usuarios comunes que critican a los que están en el poder no solo enfrentan campañas de intimidación en línea y fuera de ella, sino también arrestos y enjuiciamientos por su discurso en línea. Aún más desconcertante, los usuarios acusados ​​de publicar contenido blasfemo sobre el Islam han recibido condenas de muerte.

Citando un aumento en la desinformación y la necesidad de regular las redes sociales y las plataformas de comunicación, el gobierno propuso las Reglas de Protección Ciudadana (Contra Daños en Línea) en febrero de 2020. Notificado bajo la Ley de Telecomunicaciones de 1996 y la Ley de Prevención de Delitos Electrónicos de 2016 ( PECA), las Reglas requerirían que las empresas eliminen el contenido que se considere ilegal dentro de las 24 horas posteriores a la notificación de dicho contenido por parte de una oficina de Coordinador Nacional recientemente creada.47En su forma actual, el proyecto de ley también requiere que las compañías de redes sociales establezcan al menos un servidor de datos en el país y compartan los datos que lo soliciten, que pueden incluir información del suscriptor, datos de tráfico, contenido o «cualquier otra información o datos». Esta información debería proporcionarse en forma descifrada y «legible».48El borrador también requiere que las empresas establezcan una presencia legal en el país y una oficina local con un representante en el país. Las empresas que no cumplan con esta ley podrían ser multadas o bloqueadas.49

Las Reglas ampliarían significativamente la capacidad de los gobiernos para vigilar a los usuarios y obligar a las empresas a entregar su información personal, además de socavar los estándares de cifrado de las plataformas.50 La Fundación de Derechos Digitales de Pakistán, entre otros grupos de la sociedad civil, ha destacado que la ley permitiría a las autoridades solicitar información confidencial sin seguir ningún proceso legal o judicial, violando las leyes internacionales de derechos humanos y yendo más allá del alcance de los poderes existentes permitidos por PECA y Ley de Telecomunicaciones.51 Estas preocupaciones importantes para la privacidad del usuario son aún más preocupantes teniendo en cuenta que Pakistán actualmente no cuenta con una ley de protección de datos y tiene un historial de vigilancia y monitoreo intrusivos.52 Respecto a la propuesta de ley de protección de datos que se presentó por primera vez en 2017 y se abrió para otra ronda de consultas públicas en 2020, también incluye requisitos controvertidos de almacenamiento de datos nacionales.53

Rusia – No es gratis

Los planes para adoptar requisitos de localización de datos en Rusia se produjeron en medio del impulso del Kremlin para «domesticar» la tecnología de la información luego de las protestas antigubernamentales organizadas en parte en las redes sociales. Esta experiencia, reforzando la larga sospecha del presidente Vladimir Putin de Internet como un caballo de Troya para la influencia occidental, condujo al desarrollo de una agenda digital que afirma la soberanía nacional mediante la reproducción de las fronteras nacionales en línea.54 En este contexto, los requisitos nacionales de almacenamiento de datos han complementado herramientas como listas negras de Internet, granjas de trolls y SORM (un sofisticado aparato de vigilancia masiva) que han permitido la búsqueda del autoritarismo digital en Rusia.

El presidente de Rusia, Vladimir Putin, pronuncia un discurso anual ante la Asamblea Federal de la Federación de Rusia, en la Sala de Exposiciones Central Manezh de Moscú.  Crédito de la foto: Oficina de Información y Prensa Presidencial rusa / Folleto / Agencia Anadolu / Getty Images.
El presidente de Rusia, Vladimir Putin, pronuncia un discurso anual ante la Asamblea Federal de la Federación de Rusia, en la Sala de Exposiciones Central Manezh de Moscú. Crédito de la foto: Oficina de Información y Prensa Presidencial rusa / Folleto / Agencia Anadolu / Getty Images.

En septiembre de 2015, Rusia promulgó una de las leyes de localización de datos más estrictas del mundo. De acuerdo con la Ley N ° 242-FZ, tanto las compañías extranjeras como nacionales que procesan información personal de ciudadanos rusos tienen que almacenar estos datos en servidores ubicados en Rusia, o de lo contrario se enfrentan a un bloqueo.55 Para el gobierno ruso, los requisitos de localización de datos fueron el siguiente paso lógico de una agenda digital proteccionista que, en última instancia, tenía como objetivo bloquear el llamado Runet de Internet internacional.56 La ley de localización de datos también fue vista como una oportunidad para apuntalar el sector interno de TI de Rusia.57La ley ya ha tenido impactos en las operaciones de las compañías estadounidenses en el país. En noviembre de 2016, LinkedIn se convirtió en la primera plataforma importante en ser bloqueada por su incumplimiento de los requisitos de localización de datos.58 El gobierno aumentó las apuestas por incumplimiento de la ley al introducir multas de hasta 18 millones de rublos en diciembre de 2019.59Facebook y Twitter fueron multados con 4 millones de rublos cada uno por su continua negativa a almacenar la información personal de los ciudadanos rusos en servidores domésticos a principios de 2020; ambas plataformas se han negado a pagar y permanecen desbloqueadas hasta julio de 2020.60 60

En el entorno de información ya represivo de Rusia, los requisitos de localización de datos proporcionan otra razón para censurar las voces en línea que expresan puntos de vista críticos.

Turquía – No es gratis

En Turquía, el esfuerzo del gobierno para mejorar el control sobre las plataformas de redes sociales ha incluido numerosas leyes propuestas que restringen las transferencias de datos transfronterizas. El último intento se produjo en medio de la pandemia de COVID-19, cuando el gobierno reexaminó los requisitos de localización de datos como parte de un proyecto de ley que aborda los impactos económicos de la pandemia. Según estas medidas, las empresas extranjeras de redes sociales con más de un millón de visitas diarias de usuarios dentro de Turquía tendrían que establecer un representante en Turquía responsable de atender las preocupaciones de las autoridades sobre el contenido publicado en la plataforma. El proyecto de ley también requería que las compañías almacenaran los datos de los usuarios turcos en servidores domésticos.61 En un país conocido por su entorno represivo de información,62 tales requisitos proporcionarían a las autoridades una herramienta más para censurar, vigilar y rastrear a los usuarios de internet.63  Si bien el gobierno turco eliminó las enmiendas que controlan las redes sociales del proyecto de ley de alivio económico, en julio introdujo una legislación que obliga a las empresas a establecer un representante legal en el país o enfrentar cinco etapas de sanciones cada vez mayores, incluidas multas, una prohibición de publicidad y limitaciones de ancho de banda de hasta 90 por ciento.64

Los requisitos nacionales de almacenamiento de datos también se pueden encontrar en el marco de privacidad de datos de Turquía, que entró en vigencia en abril de 2016. De acuerdo con la Ley de Protección de Datos Personales,sesenta y cincoque sigue el modelo de la Directiva de protección de datos de la UE de 1995, todas las transferencias transfronterizas de información personal sensible y no sensible requieren el consentimiento explícito de los interesados, o tienen que cumplir con otros fundamentos legales. Los datos solo pueden transferirse sin consentimiento a un país con suficientes protecciones establecidas. La Junta de Protección de Datos Personales determina qué países tienen estándares de protección adecuados y aprueba las transferencias transfronterizas a países que carecen de dicho estándar. Los funcionarios turcos continúan publicando documentos y regulaciones que ponen en práctica la ley, pero aún no se conoce el alcance completo de cómo se usarán estas disposiciones en la práctica para controlar las actividades en línea de los ciudadanos turcos.Dado que la Directiva de Protección de Datos que sirvió de modelo para el marco de protección de datos de Turquía ahora ha sido reemplazada en la UE por el RGPD, los expertos legales han señalado que pone a Turquía fuera de sintonía con el marco de la UE.66

Indonesia – Parcialmente libre

A pesar del impresionante progreso democrático que Indonesia ha logrado desde la caída de un régimen autoritario en 1998, la libertad de internet continúa siendo restringida. Las autoridades implementan cierres de Internet y bloqueos de redes sociales, censuran grandes extensiones de contenido considerado «negativo», difunden noticias e información manipuladas y arrestan a usuarios y periodistas por presuntos delitos como el discurso de odio.67 En este contexto, el gobierno continúa exigiendo requisitos de registro y otras regulaciones sobre los datos personales, aunque el Ministerio de Tecnología de la Información y la Comunicación (MCIT) recientemente alivió los requisitos locales de almacenamiento de datos para empresas privadas.

En 2012, el gobierno indonesio introdujo el Reglamento No. 82 de 2012 relativo a la Implementación de Transacciones y Sistemas Electrónicos, que requería que todos los operadores de sistemas electrónicos que brindan «servicios públicos» construyeran centros de datos en el país para fines relacionados con la aplicación de la ley y la soberanía de datos.68 Según los informes de los medios de comunicación, la ley nunca se hizo cumplir por completo, ya que los funcionarios planearon revisar las disposiciones sobre los requisitos de almacenamiento de datos nacionales.69En octubre de 2019, MCIT introdujo una versión revisada de la ley, el Reglamento No. 71 (PP 71/2019), que facilita los requisitos de localización de datos al limitarlos a entidades públicas y eximir a los sectores bancario y financiero.70 La Ley PP 71/2019 también exige que todas las plataformas digitales que operan en Indonesia registren sus empresas antes de octubre de 2020.71 A partir de julio de 2020, el gobierno está redactando un reglamento ministerial sobre centros de datos como una extensión del PP 71/2019 que proporcionará más orientación sobre los requisitos de los centros de datos nacionales.72

A pesar de que MCIT relaja los requisitos de localización de datos, algunas compañías están estableciendo infraestructura local para aprovechar la próspera economía digital de Indonesia. Google, por ejemplo, anunció a principios de 2020 que establecería centros de datos nacionales para satisfacer la demanda de los clientes de servicios en la nube. Alibaba Cloud también ha tenido presencia en el país desde 2018, y Amazon Cloud planea hacer lo mismo estableciendo una presencia en Yakarta.73

India – Parcialmente libre

En la India, un régimen híbrido de localización de datos es una de las medidas consideradas en el proyecto de ley de protección de datos del país.74Durante varios años, la privacidad ha estado a la vanguardia de los debates sobre derechos digitales en el país, con un fallo histórico de la Corte Suprema en 2017 que declara la privacidad como un derecho protegido constitucionalmente. A pesar del fallo, la vigilancia gubernamental significativa, como el esquema nacional de identificación biométrica Aadhaar y el spyware desplegado contra activistas y abogados, socava la privacidad y otros derechos humanos para las personas en India.75

Si bien los defensores de los derechos han acogido con beneplácito el plan del gobierno para adoptar una legislación nacional sobre privacidad, varias disposiciones del proyecto de ley de protección de datos han sido objeto de escrutinio. En diciembre de 2019, los legisladores compartieron un borrador revisado del proyecto de ley que otorgaría a los interesados ​​un mayor control sobre sus datos y exigiría que las empresas sean más transparentes con respecto a las prácticas de recopilación y procesamiento de datos. El proyecto de ley define tres categorías de datos: datos personales confidenciales , que incluyen información relacionada con la salud y la orientación sexual; datos personales críticos considerados importantes para el gobierno, que podrían incluir datos militares y de seguridad nacional, con el poder de definir datos personales críticos delegados al gobierno una vez que la ley sea legal; así como datos generales. Según el proyecto de ley, los datos personales sensibles y críticos deben almacenarse en servidores domésticos. Los datos personales críticos solo pueden procesarse dentro del país. Los datos personales confidenciales pueden transferirse fuera del país para su procesamiento, pero solo si los procesadores de datos obtienen el consentimiento explícito de los usuarios y cumplen con otros requisitos, o están sujetos al mismo nivel de protección que la ley india. Después del procesamiento, dichos datos o una copia deben ser devueltos al país para su almacenamiento.76

Los grupos de la sociedad civil han expresado su preocupación de que el proyecto de ley de 2019 otorgaría a las autoridades poderes de vigilancia excesivos.77De manera alarmante, la cláusula 35 del proyecto de ley permite al gobierno central eximir a las agencias estatales, que podrían incluir la aplicación de la ley, del cumplimiento, si tal exención es «necesaria y conveniente» y «en interés de la soberanía e integridad de la India, la seguridad de el Estado, las relaciones amistosas con Estados extranjeros, [y] el orden público «. La cláusula de exención, junto con los requisitos para almacenar y procesar ciertas formas de datos personales localmente, podría empeorar el entorno de vigilancia ya sofisticado de la India.

Antes de proponer requisitos de localización de datos más estrictos en el proyecto de ley de protección de datos, India adoptó un enfoque sectorial para la localización de datos, con restricciones de transferencia limitadas que se aplican a ciertos tipos de datos en las áreas de banca, atención médica y telecomunicaciones. En abril de 2018, el Banco de la Reserva de la India también emitió una directiva de que todos los datos relacionados con los sistemas de pago, como los detalles de las transacciones, deben almacenarse en la India.78

Brasil – Parcialmente libre

Si bien el marco legislativo de Brasil en torno a la libertad de Internet sigue siendo relativamente sólido, los usuarios continúan enfrentando obstáculos a la hora de ejercer plenamente sus derechos humanos en línea. Firmado en ley en 2014, el Marco Civil da Internet79sigue siendo una de las leyes más completas del mundo que protege los derechos de los usuarios de internet. Sin embargo, en los últimos años, los políticos y empresarios han armado las leyes electorales y de difamación para silenciar las voces críticas, y los periodistas y activistas críticos con el gobierno enfrentan habitualmente acoso e intimidación.80 Desde las elecciones presidenciales de 2018, la desinformación ha continuado impregnando las redes sociales, y se ha acusado a las figuras del gobierno de liderar dicha manipulación.81

El gobierno brasileño ha presentado docenas de proyectos de ley que abordan la desinformación en línea. Además de una serie de otras disposiciones que podrían infringir los derechos de privacidad de los usuarios, el llamado proyecto de ley de «noticias falsas» (PL 2630/2020) propuso la creación de requisitos de localización de datos. De acuerdo con el Artículo 24 del proyecto de ley, las compañías de medios sociales tendrían que establecer oficinas locales con un representante legal,82y mantener una base de datos dentro del país para almacenar información sobre usuarios brasileños. El 30 de junio de 2020, el Senado aprobó el proyecto de ley acelerado después de descartar las controvertidas medidas de localización de datos. Sin embargo, el artículo 37 de la versión actualizada, que permaneció en debate en la Cámara de Diputados hasta el 20 de julio, obliga a las empresas de redes sociales a establecer un representante local y capacidades de acceso remoto a datos,83 que los expertos han llamado una «medida de localización de pseudo datos».84El gobierno brasileño había contemplado previamente los requisitos de localización de datos en el Marco Civil de Internet al restringir las transferencias transfronterizas de datos, pero finalmente fueron eliminados de la legislación luego de la oposición de la sociedad civil.85

Otras iniciativas clave que podrían proteger mejor la privacidad de los usuarios han quedado estancadas. En agosto de 2018, el ex presidente Michel Temer firmó la Ley General de Protección de Datos (Proyecto de ley 53/2018),86 pero el proyecto de ley ha sufrido varias rondas de revisiones en el Congreso después de que tanto el presidente Temer como el actual presidente Jair Bolsonaro vetaran disposiciones clave, incluido el establecimiento de una autoridad de protección de datos políticamente independiente.87Además, la implementación completa continúa demorada; El presidente Bolsonaro pospuso el proyecto de ley más recientemente a mayo de 2021 como parte de la Medida Provisional # 959/2020 para abordar la crisis COVID-19.88Al mismo tiempo, la sociedad civil ha expresado su preocupación de que las medidas para contener la pandemia menoscaben las libertades civiles de los brasileños. La Ley 13.979, aprobada en febrero de 2020, por ejemplo, amplía los poderes del Ministerio de Salud en un esfuerzo por frenar el virus. Sin embargo, los expertos sostienen que también permite la recopilación de datos sin restricciones sin las protecciones adecuadas.89

6. Conclusión

Han surgido nuevas restricciones sobre la transferencia y el almacenamiento de datos transfronterizos en numerosos países de todo el mundo. Para regímenes autoritarios como Rusia y China, estas regulaciones son clave para reafirmar la soberanía en línea. Pero este tipo de regulaciones también están siendo adoptadas por las democracias que han promovido durante mucho tiempo el libre flujo de información y datos a través de las fronteras. Además, los requisitos de localización de datos ya no solo se encuentran en los proyectos de ley de ciberseguridad y protección de datos, sino que también se han encontrado en proyectos de ley que abordan otros problemas políticos y sociales urgentes, como la crisis COVID-19 y la desinformación electoral.

Este informe también presentó una lista de preguntas y criterios que podrían ayudar a informar los marcos para llevar a cabo una evaluación más sólida del impacto en los derechos humanos (HRIA) de las leyes específicas de localización de datos. Dicha herramienta de evaluación podría proporcionar un recurso crítico para las empresas de tecnología, la sociedad civil, los responsables políticos y otras partes interesadas para guiar la toma de decisiones sobre las implicaciones de derechos humanos de productos y políticas específicos en países con requisitos de localización.

El renovado interés en la localización de datos plantea un mayor riesgo para la privacidad de los usuarios y otros derechos fundamentales. Esto es particularmente preocupante ya que algunos de los requisitos de localización de datos más estrictos se pueden encontrar en países con registros de derechos humanos pobres y entornos de información restrictivos. Particularmente en los países clasificados como «No libres» y «Parcialmente libres» por Freedom on the Net , los requisitos de localización de datos se han introducido con el pretexto de proteger la privacidad del usuario y la seguridad nacional, o para desarrollar la economía digital local. Sin embargo, como muestran los ejemplos presentados en este informe, estos requisitos amplían las capacidades de vigilancia de las autoridades y erosionan un amplio espectro de derechos humanos.

Es alarmante ver que Brasil, India, Pakistán y Turquía consideran recientemente los requisitos de localización de datos en varias leyes descritas anteriormente. Es posible que estos países demuestren ser los «estados decisivos» de la gobernanza de internet, allanando el camino para que los funcionarios de otros países abandonen la libertad de internet en favor de un enfoque de «soberanía cibernética» favorecido por personas como China y Rusia.90 En última instancia, mucho dependerá de la capacidad de los líderes democráticos para avanzar en una misión alternativa basada en la protección de la privacidad mientras se preserva un Internet abierto y global.

7. Apéndice: Marco para evaluar las implicaciones para los derechos humanos de los requisitos de localización de datos

Intimidad

  • ¿Se requiere que los propietarios de sitios web, los blogueros o los usuarios en general se registren con el gobierno al publicar comentarios o comprar dispositivos electrónicos?
  • ¿Se prohíbe a los usuarios usar servicios de encriptación y anonimización para proteger sus comunicaciones, y existen leyes que exijan que los proveedores de servicios de encriptación entreguen las claves de desencriptación al gobierno?
  • ¿Existen pautas legales y supervisión independiente sobre la recopilación, retención e inspección de datos de vigilancia por parte de las agencias estatales, y si es así, se adhieren a las normas internacionales de derechos humanos con respecto a la transparencia, la necesidad y la proporcionalidad? 
  • ¿Las medidas de vigilancia del gobierno apuntan o afectan desproporcionadamente a disidentes políticos, activistas de derechos humanos, periodistas o ciertos grupos étnicos, religiosos, de género, LGBTQ y otros grupos relevantes? 
  • ¿Se requiere que las compañías (por ejemplo, proveedores de servicios, proveedores de acceso público, cibercafés, plataformas de redes sociales, proveedores de correo electrónico, fabricantes de dispositivos) recopilen y retengan datos sobre sus usuarios durante un cierto período de tiempo, o están obligados a monitorear a los usuarios y suministrarlos? información sobre sus actividades digitales al gobierno? 
  • ¿Son transparentes las solicitudes gubernamentales de datos de usuarios de estas compañías, y las compañías tienen una vía realista para apelar, por ejemplo a través de tribunales independientes?

Libertad de expresión

  • ¿Las leyes específicas, incluidas las relacionadas con los medios de comunicación, la difamación, el delito cibernético, la ciberseguridad y el terrorismo, penalizan la expresión en línea y las actividades que están protegidas bajo los estándares internacionales de derechos humanos? 
  • ¿Las personas están sujetas a responsabilidad civil, encarcelamiento, detención arbitraria u otra sanción legal por publicar, compartir o acceder a material en Internet en contravención de las normas internacionales de derechos humanos? 
  • ¿Las sanciones por difamación, difusión de información falsa, seguridad nacional, extremismo, blasfemia, insultar a las instituciones estatales y oficiales o dañar las relaciones exteriores se aplican al discurso y las actividades en línea normalmente bajo los estándares internacionales de derechos humanos?  
  • ¿Las personas están sujetas a violencia física, como asesinato, asalto, tortura o desaparición forzada, como resultado de sus actividades en línea, incluidos los miembros de ciertas comunidades en línea o porque pertenecen a un determinado grupo étnico, religioso, de género, LGBTQ u otro grupo relevante? 

Acceso a la información

  • ¿Bloquea o filtra el estado, u obliga a los proveedores de servicios a bloquear o filtrar el contenido de Internet que incluye periodismo, discusión de derechos humanos, materiales educativos o expresión política, social, cultural, religiosa y artística?
  • ¿Hay bloqueo de herramientas que permitan a los usuarios evitar la censura?
  • ¿Se utilizan medidas administrativas, judiciales o extralegales para ordenar la eliminación de contenido de Internet, antes o después de su publicación? 
  • ¿Existen leyes nacionales, organismos de supervisión independientes y otros procedimientos democráticamente responsables para garantizar que las decisiones de restringir el acceso a cierto contenido sean proporcionales a su objetivo declarado?

libertad de prensa

  • ¿Los periodistas están sujetos a presión o vigilancia para identificar sus fuentes?
  • ¿Se usan difamación, blasfemia, seguridad, noticias falsas y otras leyes restrictivas para castigar a los periodistas mediante multas onerosas o encarcelamiento?
  • ¿Los periodistas son amenazados, acosados ​​en línea, arrestados, encarcelados, golpeados o asesinados por actores gubernamentales o no estatales por sus actividades periodísticas legítimas, y si tales casos ocurren, son investigados y procesados ​​de manera justa y expedita? 

La libertad de creencias

  • ¿Los miembros de grupos religiosos, incluidos los credos y movimientos minoritarios, son acosados, multados, arrestados o golpeados por las autoridades por participar en sus prácticas religiosas?
  • ¿El monitoreo estatal de la actividad religiosa pacífica es tan indiscriminado, dominante o intrusivo que equivale a acoso o intimidación? 
  • ¿Son los individuos libres de evitar las creencias y prácticas religiosas en general?

No discriminación e igualdad de trato

  • ¿Los miembros de varios grupos distintos —incluidos los grupos étnicos, religiosos, de género, LGBTQ y otros grupos relevantes— pueden ejercer efectivamente sus derechos humanos con plena igualdad ante la ley?
  • ¿Los miembros de tales grupos enfrentan discriminación legal y / o de facto en áreas que incluyen empleo, educación y vivienda debido a su identificación con un grupo en particular?
  • ¿Los no ciudadanos, incluidos los trabajadores migrantes y los inmigrantes no ciudadanos, disfrutan de derechos humanos internacionalmente reconocidos, incluido el derecho a no ser sometido a tortura u otras formas de malos tratos, el derecho al debido proceso legal y las libertades de asociación, expresión y ¿religión? 

La libertad de reunion

  • ¿Las protestas pacíficas, particularmente las de naturaleza política, están prohibidas o severamente restringidas? 
  • ¿Son los participantes en manifestaciones pacíficas intimidados, arrestados o agredidos?
  • ¿Están prohibidas o severamente restringidas las peticiones en línea, las campañas en las redes sociales y otras formas de defensa digital?

Libertad de asociación

  • ¿Los miembros de organizaciones no gubernamentales (incluidas organizaciones cívicas, grupos de interés, fundaciones, grupos de expertos, grupos de derechos de género, etc.) son intimidados, arrestados, encarcelados o agredidos debido a su trabajo, particularmente en materia de derechos humanos y gobernanza? 
  • ¿El registro y otros requisitos legales para las organizaciones no gubernamentales son particularmente onerosos o pretenden evitar que funcionen libremente?
  • ¿Las organizaciones profesionales, incluidas las asociaciones empresariales y los sindicatos, pueden operar libremente y sin interferencia del gobierno?

Debido al proceso

  • ¿Está el poder judicial sujeto a la interferencia de la rama ejecutiva del gobierno o de otras influencias políticas, económicas o religiosas? 
  • ¿Cumplen las autoridades judiciales ejecutivas y otras autoridades gubernamentales con las decisiones judiciales? ¿Se aplican efectivamente esas decisiones? 
  • ¿Están protegidos los derechos de los acusados, incluida la presunción de inocencia hasta que se pruebe su culpabilidad? 
  • ¿La policía y otros funcionarios de seguridad operan de manera profesional, independiente y responsable? 

Seguridad personal

  • ¿Los funcionarios encargados de hacer cumplir la ley golpean a los detenidos durante el arresto o usan fuerza excesiva o tortura para extraer confesiones? 
  • ¿Tienen los ciudadanos los medios para solicitar y reparar efectivamente cuando sufren abuso físico por parte de las autoridades estatales? 
  • ¿La violencia contra varias comunidades marginadas se considera un delito, es generalizada y los responsables comparecen ante la justicia? 

Agradecimientos

Adrian Shahbaz es director de tecnología y democracia en Freedom House. Allie Funk es analista de investigación senior. Andrea Hackl es una consultora independiente. Los autores agradecen a Noah Buyon, Cathryn Grothe, Amy Slipowitz y Kian Vesteinsson por su ayuda en la investigación y redacción del informe.

Este informe fue producido con el apoyo de Facebook. Se basa en datos de Freedom on the Net , el informe insignia de Freedom House sobre derechos humanos en línea, que cuenta con el apoyo de la Oficina de Democracia, Derechos Humanos y Trabajo (DRL) del Departamento de Estado de EE. UU., New York Community Trust e Internet Society.

Sobre Revista Corrientes 6822 artículos
Directores Orlando Cadavid Correa (Q.E.P.D.) y William Giraldo Ceballos. Exprese sus opiniones o comentarios a través del correo: [email protected]