Por Francisco Elizalde - Foresenics Argentina

Una Ley lejana.

A partir del 1 de Diciembre de 2016 entró en vigor una modificación a la Regla 41 de las Reglas Federales de Procedimiento Penal ( Federal Rules of Criminal Procedure). Estas normas, de nivel federal y aplicables entonces en todos los estados de la Unión, son un conjunto de disposiciones que regulan a las investigaciones y procedimientos penales. La Regla 41 establece la manera en que las órdenes de registro (warrants) para buscar y asegurar evidencias deben ser emitidas por los Jueces, cuando una agencia gubernamental, o un abogado gubernamental lo solicita. Hasta ahora, parece una disposición meramente procedimental que afecta la esfera interna de los estados Unidos de América y no tiene, a simple vista, posibilidad de aplicarse en una jurisdicción extranjera. En la Argentina, por ejemplo. Pero no es así.

Que está a la vuelta de mi casa.

La disposición autoriza a cualquier Juez estadounidenses a emitir una orden de registro para, de manera remota,  acceder, investigar, adquirir o copiar data cuando el distrito donde la información se encuentra localizada, fue ocultada mediante el uso de medios tecnológicos. Y que se encuentra almacenada no sólo en PC, sino en laptops, GPS, celulares o servidores. Técnicamente, la norma  ha abierto el camino a la piratería gubernamental de uno modo no previsto por la legislación de fondo dictado el Congreso de los Estados Unidos: autoriza al Juez a decretar estas medidas remotamente a cualquier ordenador del mundo, sin importar la jurisdicción en que se encuentre, en Arkansas, Argentina o  Nepal. De hecho es una transformación sustantiva de la manera en que las investigaciones se conducen, que refuerza y expande los poderes de agencias gubernamentales estadounidenses a la hora de aplicar estas órdenes. Por otra parte, la reforma se realizó sin mayor debate por parte del público -o de consultas a otros países.

Primera cuestión: requisito de aplicabilidad.

Corresponde, en primer lugar, mencionar algo sobre el requerimiento de admisibilidad de la norma: “ cuando el distrito donde la información se encuentra localizada ha sido ocultada mediante el uso de medios tecnológicos”. Se  viene a mi cabeza Tor, con su infame prensa. Pero también cualquier medio  que creemos honestamente que protege nuestra privacidad. Sin mencionar aquellos que los organismos de seguridad, los hospitales, las aduanas,  prepagas,  etc, establecen para salvaguardar la suya o las de los terceros cuya información son responsables.

Este punto merece más reflexión. Cualquier persona que quiera proteger su privacidad queda bajo el radio de la regla. Por ejemplo, quien desee negar acceso a la localización de la data cuando usa una aplicación del celular (lo hacemos por seguridad muchas veces y no de la informática, de la física) simplemente porque no quieren compartir su localización con avisos publicitarios en red. O aquellos que cambian los sets de un país en un servicio en línea- o su perfil de twitter para leer Tweets que nos son censurados.

Hay muchas razones, fuera de las de intentar obstaculizar la justicia, para que la gente use medios tecnológicos ( requisito de aplicabilidad de la Regla 41, como hemos visto) para proteger su privacidad. Los periodistas que quieren resguardar sus fuentes, las víctimas de la violencia de género para salvar su vida cuando buscan información en las redes, por ejemplo.

La gente no protege su privacidad para violar la ley. Sólo para vivir una vida lo más digna posible en este mundo de información impúdicamente compartida. Y no parece apropiado que un  Juez de Circuito, sin preparación tecnológica pero con  un acentuado sentido de las conspiraciones internacionales, pueda ordenar piratear su PC.

Segunda Cuestión: piratería masiva.

Pasado este primer análisis, hay que hacer mención a que un 30% de las computadoras del mundo podrían estar siendo atacadas por un virus sin el conocimiento del usuario. Si ese virus oculta de algún modo la localización de su data, sería legalmente admisible que un Juez estadounidenses ordene la intervención remota de una cantidad pasmosa de ellas. Estaríamos ante el inquietante método de  piratería gubernamental en una escala masiva. Incluso sobre aquellas que son operadas por periodistas, legisladores, ejecutivos de empresas, militares- o por Ud., aquí en Buenos Aires.

Pongamos el caso de los botnets, es decir al conjunto o red de robots informáticos o “bots”, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota, sin que las víctimas los sepan.  En este caso, cuándo se piratea un número importante de ordenadores, existe la posibilidad que las mismas víctimas del botnet, que no son aquellas que el Juez tuvo en mente al ordenar el registro, sufran pérdidas o exposiciones de información personal, sensible según la caracterizan leyes  de muchos países- el nuestro sin ir más lejos. Y sin tener nada de los relacione con el caso en investigación sufrirán en sus países  consecuencias civiles y penales difíciles de mensurar.

Las implicaciones internacionales son, entonces, formidables. La piratería gubernamental, en los términos previstos por la regla 41,  en mi humilde criterio, viola derechos amparados por las constituciones de un buen número de países, entre ellos el nuestro, que ampara la privacidad de sus ciudadanos. Sin mencionar su derecho a  un juicio justo rodeado de las garantías correspondientes.

Tercera cuestión: la mejor de las jurisdicciones

Y luego viene una tercer aspecto. El del Forum Shopping. En efecto,  habrá Jueces que son más permeables a las peticiones de este tipo y otros, que considerando lo que he expuestos antes, quizás lo sean menos. Es probable que las agencias de seguridad, dada la escasa conección del tema con el lugar donde supuestamente  se debe hacer la investigación, recurren á los primeros. No hay ninguna barrera en la Regla, ni en el resto de la legislación procesal aplicable, que lo detenga. Basta con googlear las resoluciones de los Circuitos y Distritos y  se puede hacer un  mapa que divide el país entre los amigables a la reforma  y los refractarios. Luego, al ataque en el resto del mundo.

Cuarta cuestión: cómo se notifica?

Pasemos entonces a un cuarto aspecto: el de la notificación del procedimiento. No queda en claro cuales son los procedimientos que serán seguidos (si es que son seguidos) por el Departamento de Justicia de los Estados Unidos de América. Después de todo, el procedimiento de piratería es remoto, de modo que en este mismo momento su computadora puede estar siendo el blanco de un  de ellos y quién lo sabría? En qué estado quedará su información y qué hay de su  privacidad ?
Hay más.

Existen otra cuestiones, más técnicas si se quiere, pero que es el lugar para formular. En todos los casos aún no hay respuesta:

● Cómo se va a autenticar la información secuestrada?
● Cómo se va a cuidar la cadena de custodia cuando se piratea de un modo remoto, tanto en USA como en el resto del mundo?
● Otra vez, cuál es el medio de notificación para el sujeto de la piratería cuando éste se encuentra fuera de los Estados Unidos de América. O al menos, cuándo se enteran los usuarios y responsables de la data que han sido pirateados?
● Cómo se impide que el acceso remoto el pirata gubernamental no cause más daño que el virus original?

A la espera de una reacción

Por todo lo expuesto, para decirlo en un lenguaje familiar, me parece que la modificación a  la Regla afecta derechos sustanciales. Creo que no estamos solo en presencia de una innovación a la ley de forma de un país extranjero, con poco o ningún efecto en el nuestro, sino ante una formidable herramienta de intervención foránea en nuestro ordenamiento interno que afecta derechos de nuestros ciudadanos.

Me llama la atención el silencio mantenido por nuestro Gobierno y por nuestros colegas en el Poder Judicial al respecto. De todas maneras, el juego recién comienza y de seguro escucharemos otras voces, más  autorizadas y con más conocimiento que la mía, que nos ilustran cómo poner los límites del caso.