Carta al Consejo de la Unión Europea para la defensa de la encriptacíón

Carta al Consejo de la Unión Europea para la defensa de la encriptacíón que se está poniendo en discusión desde la Presidencia Alemana

Por
European Digital Rights (EDRi) y Access Now
 

Apreciados representantes de la Presidencia Alemana,

Les escribimos para proporcionarle información por escrito en nombre de European Digital Rights (EDRi) sobre el borrador de Resolución LIMITE 12143/1/20 sobre Encriptación.[1]

En primer lugar, apoyamos las declaraciones del borrador de Resolución sobre Encriptación [1] que reafirman la necesidad de asegurar la encriptación como base no sólo para asegurar el derecho a la privacidad, sino también para asegurar la seguridad de los gobiernos, las empresas y la ciudadanía. Dada la importancia del cifrado en la protección de la infraestructura, recordamos la necesidad de promover el uso de esta tecnología por defecto:[2] se debería exigir a las empresas de software que la apliquen siempre que sea posible, como sugiere claramente el Reglamento General de Protección de Datos (RGPD). El uso de protocolos de cifrado abiertos y de libre acceso debería ser la norma universal. Los gobiernos no deben socavar en modo alguno el desarrollo, la producción o el uso de cifrado de alto grado.

En segundo lugar, la encriptación es la base de la seguridad con la que se llevan a cabo la mayoría de las transacciones y relaciones sociales, comerciales y gubernamentales.[3] Gracias a los protocolos de encriptación que se aplican ampliamente, las empresas negocian contratos, la ciudadanía presenta declaraciones de impuestos, la comunidad de inteligencia encripta los secretos de estado… La encriptación permite trasladar la confianza desde donde existe a donde se necesita. Las acciones que socavan la confianza en la integridad y la confidencialidad de la información electrónica -incluidas las comunicaciones en sí- socavan la base misma de la sociedad digital contemporánea.

Como los eurodiputados Gamon, Körner e in’t Veld también mencionan refiriéndose al Artículo 29 del Grupo de Trabajo de Protección de Datos en la carta que les enviaron, «la encriptación es una necesidad en el mundo digital moderno. Esas tecnologías contribuyen de manera insustituible a nuestra privacidad y al funcionamiento seguro y protegido de nuestras sociedades«.[4] En el proyecto de resolución del Consejo se señala que las vulnerabilidades digitales crean la posibilidad de explotación con fines delictivos. Sin duda, todo esfuerzo para imponer puertas traseras, o sea fallos de seguridad en los sistemas, dará poder a delincuentes y a agentes estatales malintencionados. Debemos mantener y fortalecer la seguridad de nuestras sociedades y proteger por igual tanto la infraestructura crítica como las comunicaciones privadas.

En tercer lugar, comprendemos plenamente la necesidad de que los organismos encargados de hacer cumplir la ley accedan legalmente a la información en las investigaciones penales. Este proceso debe basarse en una orden judicial que autorice el acceso y debe respetar los principios de legalidad, transparencia, necesidad y proporcionalidad, como sugiere el documento. Cuando el cifrado es de extremo a extremo, y por lo tanto la interceptación tradicional de las comunicaciones se hace inútil, el acceso de los agentes del orden debe producirse en los puntos finales de una comunicación. Los tribunales pueden conceder y conceden acceso a la información almacenada tanto en los servidores como en los dispositivos finales. Los tribunales también pueden dictar, y de hecho dictan, órdenes que autorizan a las autoridades a desmantelar los sistemas de telecomunicaciones que se utilizan exclusivamente con fines delictivos. Sin embargo, las salvaguardias legales sugeridas en el borrador no son aplicables si las empresas de tecnología se ven obligadas a crear fallos de seguridad en sus sistemas.[5]

En cuarto lugar, no podemos aceptar que se conceda a las fuerzas del orden y a los organismos de inteligencia el derecho a filtrar los mensajes previamente a que se envíen desde los dispositivos personales antes de que estén protegidos por una encriptación de extremo a extremo. Tal programa equivaldría a una vigilancia masiva ilegal.[6]

Por último, quisiéramos destacar la necesidad de incluir a los investigadores de la seguridad digital, los defensores de los derechos humanos y las ONG en las consultas descritas en el párrafo 5 del documento. Cada vez más periodistas, activistas (grupos ecologistas, sindicatos y defensores de los derechos humanos en general) utilizan tecnologías de cifrado para protegerse de los gobiernos autoritarios. Estos grupos son los principales interesados en este debate; deben considerarse esenciales y escucharse con la misma atención que las empresas y los gobiernos de los Estados Miembros cuando se debatan y apliquen políticas relacionadas con la aplicación y el uso de tecnologías de cifrado y la labor de lucha contra la delincuencia.

Por lo tanto:

    • Instamos a la UE y a sus Estados Miembros a que abandonen los planes para debilitar las medidas de seguridad de la información, como la encriptación de extremo a extremo.

    • Instamos a la UE y a sus Estados Miembros a que se abstengan de obligar a las empresas a incorporar en sus sistemas controles previos a la codificación u otros fallos de seguridad.

    • Abogamos firmemente por un enfoque específico en lo que respecta al acceso a la información privada. Las órdenes concretas de descifrado o de interferencia de equipos dirigidas a casos específicos deben utilizarse únicamente cuando no se disponga de medios menos intrusivos y sólo deben emplearse en circunstancias excepcionales para lograr un objetivo legítimo, basado en la ley y de alcance claramente limitado.[7}

    • Pedimos que en los futuros debates sobre el cifrado participen las ONG de derechos humanos, los expertos en derechos digitales y otros grupos de la sociedad civil.

    • Pedimos a la Unión Europea que invierta en el desarrollo de mejores herramientas para la investigación forense digital, de modo que los investigadores puedan hacer un uso adecuado del material al que tienen acceso legal.

 

1
https://files.orf.at/vietnam2/files/fm4/202045/783284_fh_st12143-re01en20_783284.pdf

2
See our previous submission:
https://edri.org/wp-content/uploads/2020/10/20201006-EDRi-comments-to-German-Presidency-on-encryption.pdf

3
Please see EDRi’s position paper on encryption:
https://www.edri.org/files/20160125-edri-crypto-position-paper.pdf

4
https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=5102

5
https://twitter.com/accessnow/status/1325765671742025728?s=20

6
Indeed, during the ‘Crypto War’ of the 1990s, it was suggested that rather than insisting on access to cryptographic keys, governments might instead insist that everyone use a cloud-based spell-checker that they controlled. That suggestion was actually a spoof, which people thought hilarious at the time. Europe should avoid falling for similar suggestions. See T Berson, “Her Majesty’s Orthography Service’, IHW 1996, at
http://www.anagram.com/berson/abshmos.html

7
Amnesty International USA, “Encryption as a matter of human rights”, p. 40, available at https://www.amnestyusa.org/files/encryption_-_a_matter_of_human_rights_-_pol_40-3682-2016.pdf