perspectivas constitucionales de las nuevas tecnologías en ... · de las diferencias más...
TRANSCRIPT
1
CONGRESO DE LA ASOCIACIÓN DE CONSTITUCIONALISTAS DE
ESPAÑA: “SEGURIDAD Y LIBERTAD”
Universidad de Santiago de Compostela, 4 y 5 de abril de 2019
Perspectivas constitucionales de las nuevas tecnologías en seguridad
Cristina Pauner Chulvi
Profesora Titular de Derecho Constitucional
Universitat Jaume I de Castellón
1. Introducción. La seguridad en un mundo globalizado y tecnológico 2. Evolución del
concepto de seguridad 3. La gobernanza del ciberespacio en España 4. Perspectivas
constitucionales de las nuevas tecnologías en seguridad: La seguridad como debilitadora
del derecho a la protección de datos personales 5. Perspectivas constitucionales de las
nuevas tecnologías en la seguridad: El impacto de las acciones híbridas en los derechos
fundamentales 6. Reflexiones finales
1. Introducción. La seguridad en un mundo globalizado y tecnológico
La sociedad contemporánea se caracteriza por ser una sociedad en la que prevalece el
discurso hegemónico de la inseguridad debido, entre otros motivos, a la indefinición del
riesgo. Hoy en día, las principales amenazas no se concretan en males determinados o
peligros visibles sino en desafíos inciertos que revisten una elevada complejidad y una
dimensión global1.
Esta proliferación y omnipresencia del riesgo ha llevado a acuñar términos como
“sociedad del riesgo” u “obsesión securitaria” generando numerosos análisis y un interés
renovado en los estudiosos de diversas disciplinas2. Desde catástrofes naturales y
terrorismo hasta finanzas y salud, el riesgo es ahora ubicuo llegando a representarse como
el significante de nuestra condición actual. Ciertamente, la preocupación por la seguridad
es una constante que acompaña a la humanidad desde sus orígenes pero, a medida que
llega a constituir más y más áreas de la vida social y política, es necesario preguntarse,
parafraseando a Foucault en su obra sobre la Ilustración, ¿qué diferencia presenta hoy con
respecto a ayer?
1 INNERARITY, Daniel y Javier SOLANA (2011), La humanidad amenazada: el gobierno de los riesgos
globales, Paidós. 2 Entre la larga lista de estudios sobre esta cuestión, remitimos a los clásicos BECK, Ulrich (1998), La
sociedad del riesgo: hacia una nueva modernidad, Paidós, Barcelona; LUHMANN, Niklas (1993),
Sociología del riesgo, Universidad Iberoamericana y, más recientemente, FOUCAULT, Michael (2006),
Seguridad, territorio, población: Curso en el Collège de France 177-1978, Buenos Aires, FCE y
BAUMAN, Zygmunt y LYON, David (2013), Vigilancia líquida, Paidós, Buenos Aires.
2
Puede defenderse que la irrupción de las nuevas tecnologías (y sus consecuencias) es una
de las diferencias más destacables. Ellas han sido las facilitadoras de la aparición de
nuevas amenazas y del surgimiento de un nuevo concepto de seguridad, la ciberseguridad,
actividad que protege la seguridad en la red y, con ello, la información y los datos de
carácter personal que son la savia que alimenta las nuevas formas de delincuencia. Así,
la revolución tecnológica e informacional ha obligado al Estado a reinventar los medios
con que combatir las amenazas perpetradas desde el ciberespacio y ha exigido al derecho
un ajuste para mantener el frágil equilibrio del binomio seguridad-libertad.
Comenzando por esto último y partiendo de su reconocimiento constitucional, el artículo
17 CE establece que “Toda persona tiene derecho a la libertad y la seguridad”
consagrando un binomio clásico que ha marcado una búsqueda histórica para lograr el
equilibrio entre ambos valores. Este binomio se encuentra reconocido en normas
supranacionales en las que la seguridad se consagra como una categoría que legitima la
limitación de las libertades y derechos3. La Unión Europea reconoce que la lucha contra
la delincuencia es un objetivo de interés general de la UE en el artículo 6 CDFUE cuyo
preámbulo declara, casi en los mismos términos que el artículo 3 TUE, que la Unión
supone un espacio de seguridad, libertad y justicia.
Este equilibrio entre la protección de las libertades y el refuerzo de las medidas de
seguridad ha de extenderse al escenario creado por las nuevas tecnologías, muy
especialmente, internet. Escenario al que se refiere el artículo 18 CE donde se contiene
una audaz referencia a la informática desde la que se otorga trascendencia constitucional
a la necesaria protección del individuo frente a los riesgos de la sociedad digital y que
supone un primer acercamiento al concepto de ciberseguridad. Porque las innovaciones
en comunicación e información han dado forma a un espacio virtual en el que se
reproducen e incrementan los riesgos para la seguridad ya experimentados en la realidad
física y, con tan solo dos años de diferencia4, los informes del CIS muestran cómo
aumenta en la sociedad la percepción de amenaza frente a ataques en los que las nuevas
tecnologías tienen un protagonismo indudable: así, la sensación de amenaza frente a
ataques a través de las redes informáticas (ciberataques) casi se dobla, pasando del 12.7%
de encuestados que la consideraron “muy importante” en 2015 a un 21% en 2017.
Asimismo, aumenta la percepción de amenaza de espionaje de un 6,5% al 10,8% y de
amenazas contra infraestructuras críticas y servicios esenciales que pasa de un 13,9% al
19,2%.
Todos estos riesgos derivan de la universalización del uso de los medios electrónicos y
los sistemas de la información en las sociedades avanzadas. El espacio virtual se ha
3 Así, el Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales, que
reconoce el derecho a la libertad y seguridad de toda persona en su artículo 5, determina la protección de
la seguridad nacional, de la seguridad pública, del bienestar económico, de la defensa del orden y de la
prevención del delito, de la protección de la salud o de la moral, o de la protección de los derechos y
libertades de los demás como causas posibles de restricción de la vida privada y familiar (artículo 8), la
libertad de expresión (artículo 10) o las libertades de reunión y asociación (artículo 11); el Pacto
Internacional de Derechos Civiles y Políticos que justifica en la seguridad nacional y el orden público las
posibles limitaciones que la Ley fije para el ejercicio del derecho de circulación (artículo 12), expresión
(artículo 14), reunión (artículo 21), asociación (artículo 22), entre otros; el Pacto Internacional de Derechos
Económicos, Sociales y Culturales que admite la seguridad nacional y el orden público como límites al
derecho de sindicación (artículo 8); o la propia Constitución española que menciona el orden público como
habilitante para imponer límites a la manifestación exterior de la libertad religiosa (artículo 16) o para la
prohibición de reuniones en lugares de tránsito público (artículo 21). 4 CIS, La defensa nacional y las Fuerzas Armadas (XI), Estudio n. 3110, septiembre de 2015 y La defensa
nacional y las Fuerzas Armadas (XII), Estudio n. 3188, septiembre de 2017.
3
convertido en un nuevo campo donde se desarrolla la actividad delictiva con un alcance,
frecuencia y sofisticación crecientes. Así, encontramos que comportamientos delictivos
clásicos se han trasladado al entorno digital ampliando su “territorio” de ataque
(ciberdelincuencia); se producen intrusiones en redes informáticas llevadas a cabo por
parte de Estados con el fin de obtener información valiosa para su ventaja política,
estratégica o económica (ciberespionaje); se desarrollan estrategias de utilización de
plataformas de comunicación encriptadas para movilizar a células que planean, reclutan
y cometen atentados terroristas (ciberterrorismo) o se traslada la contienda de una guerra
al escenario digital (ciberguerra), entre otros. Estas agresiones socavan la seguridad
nacional e internacional y pueden afectar a los derechos de los ciudadanos.
A su vez y con el objeto de cumplir con la función de protección ciudadana y del sistema
constitucional que se espera de ellos, los Estados utilizan nuevos métodos de acción,
muchos de ellos basados en las nuevas tecnologías, cuyo alcance se encuentra en el foco
del debate por el impacto que producen en los derechos fundamentales5. Los escándalos
de los programas espía como PRISM de Estados Unidos o TEMPORA en Reino Unido
han puesto de relieve supuestos de vigilancia masiva que ejercen los servicios de
inteligencia de los propios Estados sobre sus ciudadanos y sobre terceros, poniendo en
riesgo la protección de la vida privada y los datos personales de los mismos. Estas
acciones ponen de manifiesto un desequilibrio a favor de la seguridad cuando se evalúa
el sacrificio que puede implicar para los derechos fundamentales. Ulrich Beck explica
esta desigualdad: “Los gobiernos a veces reaccionan a los riesgos globales de manera
desproporcionada debido al hecho de que los costes políticos del fracaso son mucho más
altos que los costes políticos de la exageración”6. Con mayor contundencia, el informe de
Amnistía Internacional sobre excesos en la lucha antiterrorista 2017, denuncia un cambio
de paradigma en Europa pasando de la idea de que el papel de los gobiernos es
proporcionar seguridad para que las personas puedan disfrutar de sus derechos a la idea
de que los gobiernos pueden restringir los derechos de las personas para proporcionarles
seguridad7.
Como vemos, desde ambas perspectivas – riesgos de las nuevas tecnologías en la
seguridad y uso de las nuevas tecnologías en seguridad para garantizarla – , los avances
tecnológicos son los protagonistas de una transformación global que cuestiona
directamente el Estado constitucional reclamando fórmulas de control que protejan los
derechos frente a vulneraciones que puedan tener lugar a través de estos medios8.
En las líneas que sigue expondré la evolución del concepto de seguridad destacando la
influencia que el desarrollo de las nuevas tecnologías de la información y la comunicación
han tenido sobre el mismo hasta desembocar en un nuevo término, la ciberseguridad que
ha obligado a los Estados y organizaciones internacionales a aprobar políticas que
5 Un estudio riguroso sobre la necesidad de una metodología para el análisis de las amenazas y la evaluación
de las respuestas del Estado para hacerles frente en GONZÁLEZ CUSSAC, José Luis y FLORES
GIMÉNEZ, Fernando (2018), “Seguridad global y derechos fundamentales. Una propuesta metodológica”,
en Seguridad y derechos. Análisis de las amenazas, evaluación de las respuestas y valoración del impacto
en los derechos fundamentales, Tirant lo Blanch, Valencia, pp. 25-98. 6 BECK, Ulrich (2011), “Convivir con el riesgo global”, en Innerarity, D. and Solana, J., (eds.) (2011), La
humanidad amenazada: gobernar los riesgos globales, Paidós, Madrid. 7 Citado en PENEDO COBO, Carlos (2018), “Derechos fundamentales no tripulados. Riesgo creciente de
vulneración de derechos en las últimas intervenciones militares”, en Seguridad y derechos. Análisis de las
amenazas, evaluación de las respuestas y valoración del impacto en los derechos fundamentales, cit., p.
345. 8 PÉREZ-UGENA, María y PÉREZ-UGENA, Álvaro (2002), “Implicaciones constitucionales de las
nuevas tecnologías”, Revista de Derecho Político, núm. 54, pp. 153-195.
4
protejan de las vulnerabilidades de la red (apartado 2). Un repaso por la normativa
española que gobierna el ciberespacio nos permitirá comprobar que las estrategias y
normas que abordan estos retos en seguridad proclaman la promoción de los derechos
humanos, las libertades fundamentales y el Estado de Derecho (apartado 3). Sin embargo,
en una sociedad obsesionada por la seguridad, se da la paradoja de que algunas
actuaciones estatales realizadas por razones de seguridad y con el concurso de las nuevas
tecnologías suponen prácticas no respetuosas con las libertades ciudadanas (apartado 4)
lo que, sumado a las complejas amenazas materializadas en el ciberespacio que vulneran
múltiples derechos (apartado 5), producen un escenario de restricciones y afectaciones a
las libertades fundamentales relacionadas con la seguridad.
2. Evolución del concepto de seguridad
En una primera aproximación semántica, la seguridad alude a la situación calificada como
libre o exenta de todo peligro, daño o riesgo. Sin embargo, esta definición no responde a
la realidad puesto que supone un estado de perfección imposible. La seguridad total no
existe: pese a que se implanten un conjunto de medidas de protección siempre existirá un
riesgo residual, entendido como eventualidad o proximidad de un daño que tenemos que
asumir de alguna forma. Con todo, el ideal posmoderno persigue recrear un mundo donde
la contingencia, el imprevisto o el accidente queden erradicados lo que ha conducido a
una hipersecurización de la sociedad mediante mecanismos de vigilancia constante y un
endurecimiento de las leyes represivas9.
Desde la perspectiva del derecho constitucional, y partiendo de su consagración en el
mencionado artículo 17 CE, la exigencia de seguridad tiene como objeto principal la
salvaguarda del orden público entendido básicamente como la seguridad de bienes y
personas. En palabras del Tribunal Constitucional, la seguridad pública “hace referencia
a una actividad dirigida a la protección de bienes y personas con la finalidad de garantizar
la tranquilidad y el orden ciudadanos” (SSTC 33/1982, de 8 de junio, FJ 3 y 154/2005,
de 9 de junio, FJ 5, entre otras) que “engloba un conjunto plural y diversificado de
actuaciones, distintas por su naturaleza y contenido, aunque orientadas a una misma
finalidad tuitiva del bien jurídico así definido” (SSTC 104/1989, de 8 de junio, FJ 6 y
175/1999, de 30 de septiembre, FJ 5). Consideración que recoge en términos muy
similares la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional cuyo artículo 3
define la seguridad nacional como “la acción del Estado dirigida a proteger la libertad,
los derechos y bienestar de los ciudadanos, a garantizar la defensa de España y sus
principios y valores constitucionales, así como a contribuir junto a nuestros socios y
aliados a la seguridad internacional en el cumplimiento de los compromisos asumidos”10.
En la actualidad, estas definiciones se enmarcan en un concepto evolucionado de
seguridad integral11 que supone que los Estados han de tratar de garantizarla mediante
9 BAUMAN, Zygmunt y LYON, David (2013), Vigilancia líquida, Paidós, Buenos Aires, p. 123. 10 La Constitución española de 1978 asumió el concepto de seguridad ciudadana (artículo 104.1), así como
el de seguridad pública (artículo 149.1.29ª). Posteriormente, la doctrina y la jurisprudencia han venido
interpretando, con matices, estos dos conceptos como sinónimos, entendiendo por tales la actividad dirigida
a la protección de personas y bienes y al mantenimiento de la tranquilidad ciudadana [TEJERINA
RODRÍGUEZ, Ofelia (2019), “Seguridad pública en el mundo digital”, en Sociedad digital y Derecho,
Tomás De la Quadra-Salcedo y José Luis Piñar Mañas (coords.), Ministerio de Industria, Comercio y
Turismo/Red.es/BOE, Madrid, pp. 553-572]. 11 Desde otra aproximación, también se ha desarrollado el concepto de seguridad humana adoptado por la
ONU en 1994, un enfoque que ayuda a los Estados Miembros “a determinar y superar las dificultades
generalizadas e intersectoriales que afectan a la supervivencia, los medios de subsistencia y la dignidad de
sus ciudadanos”. En este punto, véase PÉREZ FRANCESC, Joan Lluis, “El concepto de seguridad en su
5
una perspectiva global, en el sentido de coordinada en acciones conjuntas con otros
Estados, y multidimensional ya que ha de combinar no solo acciones militares o policiales
sino también diplomáticas, humanitarias o de inteligencia.
Es precisamente la Ley de Seguridad Nacional la que alude a un nuevo ámbito de
aplicación de la seguridad: el ciberespacio. Su Preámbulo determina que “los desafíos
para la seguridad nacional que afectan a la sociedad revisten en ocasiones una elevada
complejidad, que desborda las fronteras de categorías como la defensa, la seguridad
pública, la acción exterior y la inteligencia así como de otras más recientemente
incorporadas a la preocupación por la seguridad, como el medio ambiente, la energía, los
transportes, el ciberespacio y la estabilidad económica”.
La suma de estos dos escenarios, el físico y el virtual, genera una compleja construcción
de la seguridad determinada por varios factores: en primer lugar, la globalización que ha
universalizado las amenazas; en segundo lugar, la sensación de la sociedad
contemporánea de vivir bajo un peligro constante; y, en tercer lugar, la dispersión de
riesgos en un catálogo cada vez más extenso.
Estas tres características han tenido su reflejo en las estrategias de seguridad nacionales
e internacionales12 de manera que actualmente las medidas de seguridad, uno, se
contemplan forzosamente desde una perspectiva de colaboración supranacional, dos, se
adopta una visión de la seguridad que se decanta abrumadoramente por intervenciones
preventivas; y tres, la complejidad de las amenazas y la tensión constante entre libertad-
seguridad y legalidad-necesidad se resuelven con medidas de seguridad que pueden
afectar al Estado constitucional. Analicemos brevemente cada uno de estos elementos.
En primer lugar, la realidad demuestra que los desafíos para la seguridad que afectan a la
sociedad revisten una especial complejidad puesto que se trata de desafíos globales no
solo en sentido material puesto que afectan a distintas dimensiones: sociales, políticas,
económicas, medioambientales, etc. sino fundamentalmente en sentido territorial.
La seguridad interna y externa están actualmente entrelazadas y la seguridad “en casa”
depende de la paz más allá de las fronteras de cada Estado como pusieron de manifiesto
los acontecimientos del 11S en relación con el terrorismo y resulta obvio cuando nos
referimos a las amenazas que se materializan a través de herramientas tecnológicas y el
ciberespacio. Por este motivo, los Estados llevan a cabo acciones conjuntas de distinta
naturaleza y coordinan sus políticas defensivas nacionales con las estrategias globales de
defensa. Por citar las más recientes, la Estrategia Global de Política Exterior y de
Seguridad de la Unión Europea, de junio de 2016 o la Declaración conjunta sobre la
cooperación UE-OTAN en materia de defensa y seguridad, de julio de 2018.
En segundo término, por lo que afecta a la adopción de un modelo de seguridad
preventiva y predictiva, sabemos que un elemento fundamental en la seguridad es la
percepción subjetiva de la misma. Así, las sensaciones de inseguridad de muchos aportan
un enfoque subjetivo que puede no coincidir con las necesidades objetivas de seguridad
porque la seguridad es también un sentimiento basado en reacciones psicológicas a los
riesgos y las contramedidas13. De ahí que, las estrategias de seguridad implementadas por
dimensión europea en el siglo XX”, en Historia de los Derechos Fundamentales, tomo XX, vol. IV, pp.
420-423. 12 Un análisis sobre estos instrumentos en PÉREZ FRANCESC, Joan Lluís i GIL MÁRQUEZ, Tomás
(2015), “Las Estrategias de Seguridad: instrumentos para la lucha por un mundo más libre y seguro. Una
visión desde España”, Revista de Derecho, Universidad del Norte, núm. 44, pp. 333-360. 13 Así, en un informe de 2017 de Eurostat se afirma que “la percepción subjetiva de la amenaza y los
sentimientos de inseguridad resultantes socavan la calidad de vida” y determinan el bienestar de la persona
6
los Estados, en ocasiones, han perseguido muchas veces tranquilizar a la ciudadanía y no
tanto la eficacia de la actuación. Ejemplos de estas actuaciones fueron la presencia de
cientos agentes en los aeropuertos para serenar a los pasajeros tras los atentados terroristas
en Nueva York, Madrid y Londres, aunque no lleven sus armas cargadas o la instalación
de cámaras de vigilancia o seguridad no activadas.
Sin embargo, mayoritariamente, el modelo de seguridad predictiva ha fomentado las
soluciones tecnológicas como respuesta fácil al problema social de la inseguridad
apostando por la intensificación generalizada de las acciones de vigilancia o espionaje,
almacenamiento de datos, big data, etc. Una vigilancia que se practica en el exterior pero
también se extiende al mundo digital como las redes sociales, un espacio vigilado estrecha
y sistemáticamente por el Estado y por entes privados – las grandes plataformas
tecnológicas – que recopilan, analizan y trafican con los datos de los internautas. De modo
que el dominio de las redes de información y comunicación es estratégico en tiempo de
guerra como en tiempo de paz14 poniendo en relación las categorías de “sociedad de la
información” y “sociedad de control”15. Sabemos que casi todos los derechos pueden
legítimamente limitarse en nombre de la seguridad y, ante amenazas graves a la
seguridad, la defensa del derecho a la privacidad o la protección de datos suele quedar en
desventaja asumiéndose el impacto negativo en los derechos como el coste a pagar. Serra
y Górriz hablan gráficamente de medidas “indoloras” para las personas que merecen
menos atención y no son percibidas como especialmente dañinas16. Sin embargo, el
binomio seguridad-privacidad debe mantenerse en equilibrio y aplicarse un tratamiento
compatible entre la eficacia de la lucha contra las amenazas y un nivel de intromisión en
el derecho proporcionado y ajustado al bien que se desea obtener.
Y en este punto debe recordarse, en tercer lugar, que la consagración de la seguridad
como un valor jurídico a proteger no la libera de someterse a requisitos básicos en un
Estado democrático de Derecho: la defensa de los derechos fundamentales y los
principios constitucionales. Como indica el Preámbulo de la Ley Orgánica 4/2015, de 30
de marzo, de Seguridad Ciudadana, “Libertad y seguridad constituyen un binomio clave
para el buen funcionamiento de una sociedad democrática avanzada, siendo la seguridad
un instrumento al servicio de la garantía de derechos y libertades no un fin en sí mismo”
(cursiva de la autora). De forma que “la cuestión crucial en relación con la estrategia de
defensa es cuidar que las acciones que legítimamente realice el Estado para preservar la
seguridad frente a los riesgos locales y globales no mermen los fundamentos del propio
orden constitucional y convertirse en una amenaza para la propia seguridad que pretende
garantizar”17. Esta pauta ha de mantenerse también para las políticas de seguridad del
entorno virtual en el que rigen los mismos principios y donde la ciudadanía continúa
poseyendo la titularidad de los mismos derechos.
por lo que también la dimensión subjetiva debe utilizarse como indicador para medir la calidad de vida
[Eurostat (2017), Final report of the expert group on quality of life indicators p. 69]. 14 La última actuación de Rusia en este terreno pone de manifestó que dominación de la red es clave para
garantizar la independencia nacional y evitar vulnerabilidades en caso de guerra cibernética (“Rusia estudia
desconectar Internet temporalmente para probar su proyecto de Red soberana”, El País, 12 de marzo de
2019). 15 MATTELART, Armand (2008), La globalisation de la surveillance. Aux origines de l’ordre sécuritaire,
Poche, París. 16 SERRA CRISTÓBAL, Rosario y GÓRRIZ ROYO, Elena (2017), “Contraterrorismo: plasmación
legislativa reciente e impacto en las libertades y derechos fundamentales”, Cuaderno de Estrategia, núm.
188, p. 179. 17 GONZÁLEZ CUSSAC, José Luis y FLORES GIMÉNEZ, Fernando (2018), “Seguridad global y
derechos fundamentales. Una propuesta metodológica”, cit.
7
Precisamente, el contexto digital es el que proporciona ejemplos de decisiones adoptadas
bajo la presión de la inmediatez y el deseo de obtener resultados lo más rápido posible. Y
es una constante en la jurisprudencia europea la aplicación rigurosa de los estándares de
protección de los derechos de forma que el impacto de las medidas de seguridad sobre
los derechos fundamentales debe ampararse en varias condiciones: principio de legalidad
y proporcionalidad en su triple dimensión (idoneidad, necesidad y proporcionalidad en
sentido estricto)18, control judicial y transitoriedad.
Así se determina en la STJUE de 8 de abril de 2014, caso Digital Rights Ireland, que
declaró nula la Directiva de Retención de Datos19 sobre la base de la ilegalidad de la
utilización de técnicas modernas de investigación cuando afectan de manera
indiscriminada a la población salvo que incorporen sistemas garantistas muy estrictos
para la protección de datos conservados. Esta Directiva preveía la conservación de datos
personales para que estuvieran «disponibles con fines de investigación, detección y
enjuiciamiento de delitos graves [...] como el terrorismo y la delincuencia organizada».
El Tribunal, si bien reconoce que la lucha contra la delincuencia grave es un valor de
suficiente entidad para legitimar una injerencia intensa en los derechos, interpretó que la
obligación de almacenar los datos suponía una injerencia en el derecho a la vida privada
(alcance); no respetaba el principio de proporcionalidad por el alcance general e
indiscriminado de la medida y por la vaguedad de la finalidad del almacenamiento de los
datos y por el excesivo plazo para el mismo. Línea interpretativa compartida con el TEDH
quien, más recientemente, ha condenado al Reino Unido en la sentencia Big Brother
Watch and Other v. United Kngdom, de 13 de septiembre de 2018, por no respetar varias
disposiciones del Convenio Europeo de Derechos Humanos al llevar a cabo una
interceptación masiva de comunicaciones20. Concretamente, el TEDH ha declarado que
la Ley británica de poderes de investigación de 2000 vulnera el derecho al secreto de las
comunicaciones (artículo 8 CEDH) al no establecer los criterios que se deben utilizar para
filtrar, ni seleccionar las comunicaciones a examinar y adjudicar a los poderes públicos
un acceso excesivo a datos que debería limitarse a los necesarios para combatir delitos
graves y mediante autorización judicial. Asimismo, consideró que la norma violaba la
libertad de expresión y prensa (artículo 10 CEDH) por no proteger suficientemente a las
fuentes periodísticas y el material confidencial.
3. La gobernanza del ciberespacio en España
El ciberespacio es el nuevo escenario para la realización de actividades ilícitas: acciones
de desinformación, actividades de propaganda, adoctrinamiento o financiación terrorista,
ataques a la reputación e influencia política, amenazas para el sector privado como
filtraciones de información estratégica, robo de información o denegación de servicios,
actividades de crimen organizado, ciberataques que causen terror, etc. ahora rebautizadas
18 La triple dimensión del principio de proporcionalidad hace referencia a un juicio de idoneidad de la
limitación (para la consecución del objetivo propuesto), un juicio de necesidad de la misma (entendido
como inexistencia de otra medida menos intensa para la consecución del mismo fin) y un juicio de
proporcionalidad en sentido estricto de dicha limitación (por derivarse de ella un beneficio para el interés
público que justifica un cierto sacrificio del ejercicio del derecho). 19 Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, de Retención de
Datos. 20 Tras una filtración por parte de un ex trabajador de la Agencia Nacional de Seguridad de América (NSA),
un grupo de periodistas y asociaciones de defensa de los derechos civiles interpuso una serie de acciones
legales contra los servicios de inteligencia de Reino Unido y de los Estados Unidos de América. El ex
trabajador afirmaba que estas agencias vigilaban comunicaciones y compartían programas de vigilancia.
8
como actos de ciberdelincuencia, ciberguerra o ciberterrorismo21. El disfrute pacífico de
ciertos derechos fundamentales consagrados en nuestra Constitución y en el
ordenamiento jurídico internacional puede verse seriamente comprometido como
consecuencia de este tipo de acciones.
Y sabemos que la gobernanza de este espacio sin fronteras e interoperable es imposible
desde una sola jurisdicción por lo que la acción soberana de los Estados en seguridad se
combina y comparte con la Unión Europea ejerciendo una competencia compartida en la
construcción del Espacio de Libertad, Seguridad y Justicia que tiene entre sus objetivos
el “garantizar un nivel de seguridad elevado” (artículo 67 TFUE); prevé el fomento y la
intensificación de la cooperación operativa en materia de “seguridad interior” (artículo
71) y declara que los Estados miembros pueden cooperar y coordinar sus servicios
“responsables de velar por la seguridad nacional” (artículo 73).
En el caso de España, los tres documentos que articulan la gobernanza de la seguridad en
el ciberespacio son la Estrategia de Seguridad Nacional de 201722, la Estrategia de
Ciberseguridad Nacional de 2013 y la Ley 36/2015, de 28 de septiembre, de Seguridad
Nacional.
En primer lugar, la ESN-2017 diferencia entre amenazas, que comprometen o pueden
socavar la seguridad nacional y desafíos que no alcanzan la entidad de amenaza pero
incrementan la vulnerabilidad, provocan situaciones de inestabilidad o pueden propiciar
el surgimiento de otras amenazas, agravarlas o acelerar su materialización23. Por lo que
se refiere a las amenazas menciona a los conflictos armados, terrorismo, crimen
organizado, proliferación de armas de destrucción masiva, espionaje, ciberamenazas y
amenazas sobre las infraestructuras críticas. Por su parte, en cuanto a los desafíos se
señalan la inestabilidad económica, la vulnerabilidad energética, los movimientos
migratorios, las emergencias y catástrofes, las epidemias y pandemias y el cambio
climático. Finalmente, la Estrategia presenta cinco objetivos generales y las líneas de
actuación en quince ámbitos, algunos tradicionales como la defensa nacional, la lucha
contra el terrorismo, la ciberseguridad, o la lucha contra el crimen organizado y otros
novedosos y exigidos por el nuevo panorama de seguridad, como la preservación del
medio ambiente, la seguridad frente a epidemias o pandemias y la seguridad del espacio
aéreo y ultraterrestre.
Una crítica importante que se ha lanzado contra este plan es que no incluya una referencia
al “respeto a los derechos fundamentales”, esto es, la aplicación de esas líneas de
conformidad con los principios de legalidad internacional y observancia de derechos
fundamentales24 algo que sí hace la Estrategia Global de Política Exterior y Seguridad de
la Unión Europea que menciona “la necesaria promoción de los derechos humanos, las
libertades fundamentales y el Estado de Derecho dentro de la Unión”.
En la ESN-2017 se reconoce que los ciberataques siguen siendo retos a la seguridad que,
si bien ya se reconocían en la edición de 2013, han intensificado su amenaza en alusión
21 Una casuística de los ciberataques de mayor impacto producidos en el siglo XXI en CASTELLÓN
MORENO, Joaquín y LÓPEZ GIL, María Mar (2017), “Crisis y ciberespacio: hacia un modelo integral de
respuesta en el Sistema de Seguridad Nacional”, Cuadernos de Estrategia. Ciberseguridad: la cooperación
público-privada, núm. 185, pp. 65-96. 22 Real Decreto 1008/2017, de 1 de diciembre, por el que se aprueba la Estrategia de Seguridad Nacional. 23 El mantenimiento de la ciberseguridad es una de las funciones propias del Centro Nacional de
Inteligencia, según establece el artículo 4 b) de la Ley 11/2002, de 6 de mayo, reguladora del Centro
Nacional de Inteligencia. 24 GONZÁLEZ CUSSAC, José Luis y FLORES GIMÉNEZ, Fernando (2018), “Seguridad global y
derechos fundamentales. Una propuesta metodológica”, cit.
9
al ataque informático cometido el 12 de mayo de 2018 a través del virus WannaCry que
afectó, entre otros, a los sistemas informáticos de más de 150 países y a servicios como
el nacional de salud en Gran Bretaña, las compañías españolas Telefónica e Iberdrola o
la empresa ferroviaria alemana Deutsche Bahn AG. Y, en la enumeración de los retos a
la seguridad, surgen las conocidas como acciones híbridas, acciones combinadas de
amenazas convencionales y no convencionales que persiguen la desestabilización, el
fomento de movimientos subversivos y la polarización de la opinión pública. Sobre ellas
volveremos más adelante.
El plan hace frente a los riesgos nacionales pero incluye la necesaria visión transnacional
y de cooperación con otros países porque esos riesgos se materializan en los llamados
“espacios comunes globales” como el ciberespacio, el espacio marítimo, aéreo y
ultraterrestre. Estos entornos son considerados terreno idóneo para la realización de
acciones delictivas por la ausencia de fronteras físicas, soberanía o jurisdicción y agudiza
la necesidad de una dimensión comunitaria y transfronteriza basada en la cooperación y
la asistencia mutua para gestionarlos adecuadamente.
Precisamente, esta colaboración y cooperación interestatal se contempla en la
mencionada Estrategia Global de Política Exterior y Seguridad de la Unión Europea que
constituye la actual guía de actuación para el conjunto de la acción exterior europea.
Porque las estrategias nacionales de seguridad son heterogéneas en función de la
importancia o intensidad de las amenazas en sus territorios, sus prioridades económicas,
factores históricos o geográficos o incluso diferentes culturas estratégicas.
La Estrategia Global de la UE viene a sustituir a la Estrategia de Seguridad Europea del
año 2003 y está estructurada en cuatro apartados sobre los objetivos de la acción exterior,
sus principios rectores, prioridades y parámetros de actuación. La Estrategia asocia la
acción exterior de la UE, entre otros, a la democracia que se erige como valor fundamental
a promover, junto al respeto y la promoción de los derechos humanos, las libertades
fundamentales y el Estado de Derecho. Entre las cinco prioridades de la acción exterior
señala la necesidad de un refuerzo de las capacidades de la Unión Europea para poder
mantener el estatus de seguridad, democracia y prosperidad del que se ha disfrutado
durante décadas, y plantea cinco líneas de acción que potencien la seguridad y defensa,
la lucha contra el terrorismo, la ciberseguridad, la seguridad energética y la comunicación
estratégica. Y, entre los parámetros de actuación, el mensaje que la Estrategia Global
Europea envía es la de una mayor integración en todos los ámbitos de actuación de la
política exterior y de seguridad de la Unión Europea, siempre basadas en la coherencia y
en la cooperación entre Estados miembros como norma.
En segundo lugar, la Estrategia de Ciberseguridad Nacional actualmente vigente data del
año 2013 (ECsN-2013) aunque ya se conoce la Orden PCI/870/2018, de 3 de agosto, por
la que se publica el acuerdo del Consejo de Seguridad Nacional, por el que se aprueba el
procedimiento para la elaboración de una nueva estrategia de ciberseguridad nacional que
sustituya a la ECsN-2013 y sienta las prioridades, objetivos y medidas adecuadas para
alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información.
La estrategia fija seis objetivos específicos: 1) para las administraciones públicas,
garantizar que los sistemas de información y telecomunicaciones utilizados poseen el
adecuado nivel de seguridad y resiliencia; 2) para las empresas y las infraestructuras
críticas, impulsar la seguridad y la resiliencia de las redes y los sistemas de información
usados por el sector empresarial en general y los operadores de infraestructuras críticas
en particular; 3) en el ámbito judicial y policial, potenciar las capacidades de prevención,
detección, respuesta, investigación y coordinación frente a las actividades del terrorismo
10
y la delincuencia en el ciberespacio; 4) en materia de sensibilización, concienciar a los
ciudadanos, profesionales, empresas y administraciones públicas españolas de los riesgos
derivados del ciberespacio; 5) en capacitación, alcanzar y mantener los conocimientos,
habilidades, experiencia y capacidades tecnológicas que necesita España para sustentar
todos los objetivos de la ciberseguridad; y 6) en lo que se refiere a la colaboración
internacional, contribuir en la mejora de la ciberseguridad, apoyando el desarrollo de una
política de ciberseguridad coordinada en la Unión Europea y en las organizaciones
internacionales, así como colaborar en la capacitación de Estados que lo necesiten a través
de la política de cooperación al desarrollo. Estos objetivos se concretan en unas líneas de
acción que son las siguientes: 1) capacidad de prevención, detección, respuesta y
recuperación ante las ciberamenazas; 2) seguridad de los sistemas de información y
telecomunicaciones que soportan las Administraciones públicas; 3) seguridad de los
sistemas de información y telecomunicaciones que soportan las infraestructuras críticas;
4) capacidad de investigación y persecución del ciberterrorismo y la ciberdelincuencia;
5) seguridad y resiliencia de las TIC en el sector privado; 6) conocimientos, competencias
e I+d+i y 7) cultura de ciberseguridad y compromiso internacional.
Este instrumento incorpora una mención específica al respeto de la protección y pleno
disfrute de los derechos fundamentales consagrados en nuestra Constitución y en
instrumentos internacionales y recoge el compromiso del Gobierno de desarrollar
políticas que, mejorando la seguridad de los Sistemas de Información y
Telecomunicaciones que emplean los ciudadanos, profesionales y empresas, preserven
los derechos fundamentales de todos ellos, especialmente en los sectores más
desprotegidos.
Finalmente, la Ley de Seguridad Nacional, como vimos, incorpora el ciberespacio como
ámbito de aplicación de la defensa y presenta como elemento innovador la figura de la
situación de interés para la seguridad nacional que se concibe como “aquella en la que,
por la gravedad de sus efectos y la dimensión, urgencia y transversalidad de las medidas
para su resolución, requiere de la coordinación reforzada de las autoridades competentes”
bajo la dirección del Gobierno (artículo 23.2).
Resulta evidente que la protección de la seguridad de la red y de la información resulta
clave en la estrategia de defensa frente a ataques cibernéticos. La ciberseguridad, como
sinónimo de la seguridad en la red, es un conjunto de mecanismos dirigidos a la
protección de las infraestructuras informáticas y de la información digital que albergan25.
Como explica el Tribunal Constitucional en su sentencia 142/2018, de 20 de diciembre,
la ciberseguridad tiene un marcado carácter instrumental que le permite proyectarse sobre
distintos ámbitos materiales y cumplir también diversas funcionalidades. Puede
identificarse con la defensa o la seguridad nacionales en los supuestos de mayor
gravedad, con la seguridad pública cuando se trata de la protección ordinaria de las redes
25 La ciberseguridad se define, entre otros, en la Directiva (UE) 2016/1148, de 6 de julio, del Parlamento
Europeo y del Consejo como “la capacidad de las redes y sistemas de información de resistir, con un nivel
determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o
confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes
ofrecidos por tales redes y sistemas de información accesibles a través de ellos” (artículo 4.2). Con esta
finalidad, y según la propia Directiva, los Estados pueden adoptar medidas de “prevención, detección,
respuesta y mitigación de los incidentes y riesgos que afecten a las redes y sistemas de información”
(considerando 34).
11
y las infraestructuras de telecomunicaciones o puede proyectarse sobre otros planos,
como es el caso de la Administración electrónica26.
Pero el componente tuitivo de la ciberseguridad se proyecta también sobre los sistemas
de información que utilizan los ciudadanos, contexto en el que cobra una especial
significación.
En un mundo hiperconectado la ciudadanía ejerce muchos de sus derechos a través de
Internet considerándose que la protección de los mismos debe abarcar también ese ámbito
digital en el que los ciudadanos se desarrollan como personas. De hecho, la sociedad
contemporánea ha asumido generalmente la consideración de Internet como un servicio
esencial, similar a otros servicios públicos, que se estima necesario para preservar
derechos o condiciones de vida básicas lo que ha llevado a algunos países, España entre
ellos, al reconocimiento de derechos digitales en los ámbitos individuales y colectivos
afectados por la tecnología con la aprobación de la reciente Ley Orgánica 3/2018, de 5 de
diciembre, de protección de los datos personales y garantía de los derechos digitales
(LOPDGDD) que adapta el ordenamiento español al Reglamento Europeo de Protección
de Datos (RGPD)27. En esta Ley se refleja la consideración de internet como un espacio
esencial en el que se ejercen derechos fundamentales contribuyendo al pleno desarrollo
de la personalidad de manera que se impone un derecho de acceso al mismo como atributo
vital de los ciudadanos28.
Así lo evidencia el Preámbulo de la LOPDGDD que señala que “Internet se ha convertido
en una realidad omnipresente tanto en nuestra vida personal como colectiva. Una gran
parte de nuestra actividad profesional, económica y privada se desarrolla en la Red y
adquiere una importancia fundamental tanto para la comunicación humana como para el
desarrollo de nuestra vida en sociedad… Corresponde a los poderes públicos impulsar
políticas que hagan efectivos los derechos de la ciudadanía en Internet promoviendo la
igualdad de los ciudadanos y de los grupos en los que se integran para hacer posible el
pleno ejercicio de los derechos fundamentales en la realidad digital. La transformación
digital de nuestra sociedad es ya una realidad en nuestro desarrollo presente y futuro tanto
a nivel social como económico”. Derecho de acceso que solo puede hacerse plenamente
efectivo acompañado de un derecho a la seguridad de la información que se sustenta en
26 Dicho enfoque tiene su reflejo en diversas leyes estatales como la Ley 34/2002, de 11 de julio, de servicios
de la sociedad de la información y de comercio electrónico, la Ley 8/2011, de 28 de abril, de medidas para
la protección de las infraestructuras críticas, la Ley 36/2015, de 28 de septiembre, de seguridad nacional,
la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, o, más
recientemente, las Leyes 39/2015, de 1 de octubre, del procedimiento administrativo común de las
Administraciones públicas, y 40/2015, de 1 de octubre, de régimen jurídico del sector público. 27 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección
de datos). Un comentario a la LOPDGDD en RALLO LOMBARTE, Artemi (2019), “Del derecho a la
protección de datos a la nueva generación de derechos digitales “, en Tratado de Protección de Datos
(actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía
de los Derechos digitales, Tirant lo Blanch, Valencia, pp. 23-52. 28 Sobre la consideración del derecho de acceso a Internet como derecho fundamental véase BARRIO
ANDRÉS, Moisés (2017), Fundamentos del Derecho de Internet, Centro de Estudios Políticos y
Constitucionales, Madrid. También el Preámbulo de la LOPDGDD apunta la conveniencia de su inclusión
en el texto fundamental: “Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances
tecnológicos provocarían en nuestra sociedad y, en particular, en el disfrute de los derechos fundamentales.
Una deseable futura reforma de la Constitución debería incluir entre sus prioridades la actualización de la
Constitución a la era digital y, específicamente, elevar a rango constitucional una nueva generación de
derechos digitales”.
12
tres principios: confidencialidad, integridad y disponibilidad. Cada uno de estos
principios protege de amenazas concretas: así la confidencialidad entendida como la
puesta a disposición de la información a personas, entidades o procesos autorizados se ve
comprometida (ante un acceso ilícito a los datos) ante la fuga de información por pérdida
del soporte que la contiene; ataques por suplantación de identidad o pinchazos de las
comunicaciones, inadecuada distribución de autorizaciones de acceso que revela la
información a terceros no autorizados; la integridad que garantiza que la información no
ha sufrido alteraciones inconsentidas puede verse amenazada por (modificaciones no
autorizadas) ataques informáticos que modifican la información, errores técnicos que
duplican los registros, destrucción o manipulación involuntaria de la información; y
disponibilidad que significa que la información resulta accesible para las personas
autorizadas queda expuesta ante supresión de datos.
Estas condiciones de protección de la seguridad de la información personal cobran una
relevancia fundamental cuando se conectan con el derecho a la protección de datos,
derecho que protege directamente de los peligros creados por el avance tecnológico y que
entronca con la dignidad de la persona.
4. Perspectivas constitucionales de las nuevas tecnologías en seguridad: La
seguridad como debilitadora del derecho a la protección de datos
Como se ha visto, la protección que brindan las medidas de ciberseguridad se proyecta
sobre un doble objeto: las infraestructuras informáticas y la información digital. Esta
última está constituida por una cifra casi incalculable de datos29 que circulan por internet.
Estos datos no son todos de carácter personal pero la actividad que despliegan los poderes
públicos para prevenir los ataques cibernéticos impacta sobre todos ellos.
Y la protección de los datos de carácter personal es un derecho fundamental consagrado
a nivel europeo por lo que cualquier medida de seguridad debe respetarlo. Así, la
ciberseguridad solo puede resultar positiva y eficaz si se basa en los derechos
fundamentales y las libertades enunciados en las cartas de derechos fundamentales y en
los valores constitucionales. Por su parte, los derechos individuales no pueden protegerse
sin redes y sistemas seguros.
Sin embargo, puede decirse el derecho a la protección de datos tiene una consideración
especial en relación con la seguridad puesto que esta se puede calificar de “debilitadora”
de aquel30. En términos legales, la intrusividad de una medida de seguridad en el derecho
a la privacidad puede ser admisible o no. Si es admisible, se tratará de una limitación
legítima de la privacidad. Si no lo es, se tratará de una violación de la privacidad. En este
sutil equilibrio se mantiene el tratamiento de datos personales con finalidad de garantizar
la seguridad: datos biométricos almacenados por los escáneres de aeropuertos, datos de
geolocalización captados por los sensores de drones, imagen y voz recogidos en las
cámaras de videovigilancia, bases de datos con huellas dactilares digitalizadas,
operaciones realizadas con inteligencia artificial; transferencia de datos para el control
transfronterizo, etc. son ejemplos de actividades permitidas por el ordenamiento cuando
responden a un objetivo de lucha por la seguridad y contra la criminalidad.
29 Según la WorldWideWebSize, proyecto desarrollado en la Universidad de Tilburg para calcular
diariamente el número mundial de páginas indexadas, en 2016 la web contenía al menos 5.35 billones de
páginas lo que podría traducirse con cierta flexibilidad a tonelada y media de datos. 30 Un interesante estudio sobre las razones por las cuales el valor seguridad prevalece sobre el valor
privacidad en CHANDLER, Jennifer (2009), Privacy versus national security. Lessons on the identity trail,
Oxford University Press, Oxford.
13
Frente a estas acciones, el uso de algoritmos para la toma de decisiones sin intervención
humana, la vigilancia indiscriminada o sobre personas en base a la elaboración de perfiles
que las etiquetan como potenciales sospechosos, el almacenamiento de datos biométricos
excesivos o sin límite de tiempo, etc. son ejemplos de extralimitaciones en la injerencia
sobre el derecho a la protección de datos que no pueden justificarse en fines de seguridad.
En los últimos años, la Unión Europea se ha convertido en el epicentro de los debates
sobre protección de datos no solo por el impacto de las operaciones de vigilancia masiva
de la Agencia de Seguridad Nacional estadounidense sobre la privacidad de los europeos
sino, sobre todo, por la tramitación durante 4 años de la reforma de la legislación europea
en esta materia, culminada con la aprobación de un paquete de medidas sobre protección
de datos aprobado en 2016 y de plena aplicación a partir de 2018.
En Europa, la protección de los datos personales y el respeto a la vida privada son
derechos fundamentales reconocidos en el Convenio n. 108 del Consejo de Europa de
1981, en el artículo 6 del Tratado de la Unión Europea, en los artículos 7 y 8 de la Carta
de los Derechos Fundamentales de la UE, en el artículo 8 del Convenio Europeo para la
Protección de los Derechos Humanos y las Libertades Fundamentales y en el artículo 16
del Tratado de Funcionamiento de la Unión Europea y, de forma más específica, en el ya
mencionado Reglamento General de Protección de Datos, un texto que deroga la directiva
del año 1995 y unifica y actualiza la normativa europea sobre protección de datos,
protegiendo a las personas físicas en lo referente al tratamiento de sus datos de carácter
personal y creando al mismo tiempo un marco más claro y coherente para las empresas
en el contexto de la economía digital global que precisa del procesamiento de gran
cantidad de información.
El RGPD refuerza los principios de transparencia y de información ante la recogida y
tratamiento de los datos del interesado; exige el consentimiento explícito de los
ciudadanos; amplia el catalogo de derechos de los usuarios consagrando el derecho a la
portabilidad (derecho a transferir los datos de unos proveedores de servicios en internet a
otros) o el derecho al olvido (derecho a la supresión y eliminación de los datos en redes
sociales o buscadores de internet); incorpora garantías más estrictas en relación con las
transferencias internacionales de datos fuera de la Unión y nuevas obligaciones a
empresas y administraciones como la designación de un delegado de protección de datos,
la evaluación de riesgos y la adopción de medidas adecuadas para mitigarlos así como la
notificación de los incidentes de seguridad31.
Sin embargo, al igual que con otros derechos, la legislación de la UE prevé que
legítimamente se establezcan excepciones y limitaciones del nivel de protección de las
personas en relación con el tratamiento de datos personales establecidas en nombre de la
seguridad. Estas limitaciones provienen tanto de la legislación europea (artículo 52
TFUE)32 como de la legislación nacional. También el artículo 2 RGPD excluye de su
31 El RGPD se suma a otros instrumentos legislativos de la Unión Europea sobre protección de datos, entre
ellos, la Directiva (UE) 2016/680, de 27 de abril de 2016, relativa a la protección de datos personales
tratados en el marco de la cooperación policial y judicial en materia penal; el Reglamento (UE) 2018/1725,
de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos
datos; la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas revisada en 2009 y
que será derogada por la propuesta sobre el Reglamento Europeo sobre la privacidad y las comunicaciones
electrónicas, conocido también como Reglamento e-Privacy, o la Directiva 2006/24/CE sobre la
conservación de datos que fue declarada inválida por el Tribunal de Justicia de la Unión Europea el 8 de
abril de 2014 al constituir una injerencia de especial gravedad en la vida privada y la protección de datos. 32 El concepto de «seguridad pública», en el sentido del artículo 52 del TFUE y según la interpretación del
Tribunal de Justicia, abarca la seguridad interna y externa de un Estado miembro, así como cuestiones de
14
ámbito de aplicación material de tratamiento de datos relacionados con la seguridad
nacional de los Estados miembros o con la política exterior y de seguridad común de la
UE, artículo al que remite el artículo 2 LOPDGDD.
En la práctica, tanto la Unión Europea como los Estados miembros han aprobado políticas
y normativas en materia de seguridad que implican el tratamiento masivo de datos
personales de ciudadanos europeos y extranjeros. En el extenso listado de medidas que
implican el tratamiento masivo de datos personales se señalan algunos excesos que
erosionan derechos, incluido el de protección de datos, a pesar de que este tipo de medidas
aprobarse acompañadas de alusiones a la necesidad de garantizar los derechos de los
individuos que puedan verse afectados. Es el caso de Eurodac, que es la base de datos
europea destinada a almacenar las huellas dactilares de todas las personas que cruzan la
frontera en un país europeo sin permiso, solicitantes de asilo así como migrantes
irregulares. En su última modificación se habilitó el acceso a la base de datos para los
funcionarios de asilo y a la policía lo que se denuncia como un tratamiento discriminatorio
e indigno de los solicitantes de asilo por su consideración como sospechosos y por el
exceso en el periodo de conservación de sus huellas que permanecen en la base durante
un periodo de 10 años frente a los 2 años del resto de registros.
Pero la jurisprudencia europea ha ido construyendo un acervo fundamental sobre las
condiciones y límites a las que se someten las injerencias en el derecho a la protección de
datos justificadas desde la óptica de la seguridad. Estos requisitos, mantenidos en una
línea jurisprudencial constante por los tribunales europeos, ponen de manifiesto las
profundas diferencias que se mantienen en Europa y Estados Unidos tanto a nivel
normativo como ideológico en el tratamiento de la privacidad en Europa y Estados
Unidos33.
Así, las injerencias que legítimamente pueden producirse en el derecho de los ciudadanos
a la protección de datos por motivos de seguridad son tres. En primer lugar, la
interferencia en el derecho a la privacidad solo cabe cuando está previsto en una ley
específica, que proporciona reglas claramente definidas que rigen el marco legal en el que
funcionará la actividad de seguridad. La ley tiene que ser accesible y clara34. En segundo
término, debe perseguir un objetivo legítimo; que es la seguridad nacional, la seguridad
pública, el orden público, la salud o la moral, o la protección de los derechos o libertades
de los demás35. En último lugar, la interferencia causada por el producto o servicio de
seguridad debe ser, además, "necesaria en una sociedad democrática" para lograr el
objetivo perseguido, lo que significa que (1) debe basarse en una necesidad social
apremiante, (2) su interferencia debe ser proporcional al objetivo legítimo perseguido y
orden público, para, en particular, permitir la investigación, detección y enjuiciamiento de infracciones
penales. Presupone la existencia de una amenaza real y suficientemente grave que afecte a uno de los
intereses fundamentales de la sociedad, tales como una amenaza al funcionamiento de las instituciones y
los servicios públicos esenciales y la supervivencia de la población, así como el riesgo de una perturbación
grave de las relaciones exteriores o la coexistencia pacífica de las naciones, o un riesgo para los intereses
militares. 33 LÓPEZ AGUILAR, Juan Fernando (2017), “La protección de datos personales en la más reciente
jurisprudencia del TJUE: los derechos de la como parámetro de validez del derecho europeo, y su impacto
en la relación transatlántica UE-EEUU”, Teoría y realidad constitucional, n. 39 (Ejemplar dedicado a:
Monográfico: El TJUE como actor de constitucionalidad), pp. 557-581 y ORTEGA GIMÉNEZ, Alonso
(2017), “Transferencia internacional de datos personales: del Safe Harbour al Privacy Shield”, Revista Lex
Mercatoria, n. 14, pp. 85-90. 34 SSTEDH Caso Weber and Saravia contra Alemania, de 29 de junio de 2006 y Caso Dumitru Popescu
contra Rumania, de 26 abril 2007. 35 STEDH Caso Liberty c. Reino Unido, de 1 de julio de 2008 y STJUE Caso Digital Rights Ireland, de 8
de abril de 2014.
15
(3) basarse en razones suficientes36. La medida de seguridad que interfiere con el derecho
a la vida privada de los ciudadanos debe ser el último remedio disponible. En caso de que
haya medios menos intrusivos se optará por ellos.
La contribución de ambas jurisdicciones al derecho a la protección de datos frente a la
expansión de medidas acordadas en salvaguarda de la seguridad nacional es decisiva para
mantener la ecuación libertad-seguridad en equilibrio e impedir que el recorte de derechos
y la erosión del sistema democrático sean la contrapartida para mejorar la seguridad
colectiva.
5. Perspectivas constitucionales de las nuevas tecnologías en la seguridad: El
impacto de las acciones híbridas en los derechos fundamentales
5.1. La consideración de las campañas de desinformación como amenaza para la
seguridad de los Estados
Las nuevas tecnologías han permitido un elevado nivel de sofisticación de las agresiones
y ampliar el concepto de guerra que va más allá de la violencia física y se identifica como
“un enfoque hostil hacia otro colectivo que puede materializarse mediante medios
violentos que se suman a otros que puedan ser incluso más relevantes”37. Quizá uno de
los ejemplos más paradigmáticos de este concepto amplio de la guerra lo constituya la
llamada guerra híbrida38 en la que la confrontación no se materializa en el plano militar
sino que el choque de poderes se traslada a diversos escenarios (físico y virtual), entre
distintos agentes (estatales y no estatales) y a través de diferentes formas de agresión
(armas o acciones de influencia y desinformación, entre otras). La utilización de
campañas de comunicación basadas en historias falsas y propaganda es una de esas
estrategias. Se trata de una clase de enfrentamiento basado en la sustracción digital, la
transmisión de informaciones falseadas y la manipulación de los medios y redes sociales
con el objetivo de desestabilizar Estados y radicalizar a la sociedad.
Las autoridades europeas han situado a las amenazas híbridas en el debate sobre la
seguridad en Europa. La defensa de la seguridad en las comunicaciones y frente a
campañas de manipulación informativa ha pasado a unirse a defensas clásicas como
infraestructuras nucleares, transportes, cadenas de suministro, energía, etc. De hecho, los
incidentes de robo y explotación de información obtenida a través de ataques de tipo
cibernético con el objetivo de influir en la opinión pública o de perturbar procesos
electorales cuentan con antecedentes en diversos países de la Unión Europea como
Francia, Alemania o España39.
36 STEDH Caso Ioan Jarnea contra Rumania, de 19 de julio de 2011 y STJUE Caso Maximillian Schrems
v. Data Protection Commissioner, de 6 de octubre de 2015. 37 AZNAR FERNÁNDEZ-MONTESINOS, Federico (2018), “El mundo de la posverdad”, Cuadernos de
Estrategia. La posverdad. Seguridad y defensa, núm. 197, p. 65. 38 Por todos, Frank G. Hoffman HOFFMAN, Frank G. (2007), Conflict in the 21st Century. The rise of
hybrid wars, Arlington, Potomac Institute for Policy Studies, 2007, GARCÍA GALINDO, Miguel y
MARTÍNEZ-VALERA GONZÁLEZ, Gabriel (2015), “La guerra híbrida: nociones preliminares y su
repercusión en el planeamiento de los países y organizaciones occidentales”, Documento de Trabajo, n. 2,
IEEE y Juan Carlos González Cerrato, “Guerra híbrida: el verdadero rostro de la amenaza”, en Análisis de
los riesgos y amenazas para la seguridad, coord. F. Flores Giménez y C. Ramón Chornet, 2017, pp. 13-
30. 39 Durante 2017 se produjeron, entre otros incidentes, el robo y publicación de un importante volumen de
correos electrónicos y documentos del entonces candidato presidencial a elecciones presidenciales
francesas, Emmanuel Macron; el ciberataque perpetrado contra el partido de la CDU en Alemania o la
intervención de hackers en la campaña informativa sobre la crisis catalana.
16
Como certeramente describe Penedo40, la desinformación puede ser el síntoma de
enfermedades muy diversas y “puede tener detrás el virus de la guerra, de la geopolítica,
de la protección de datos, de la competencia por la publicidad en la web, de la falta de
credibilidad del periodismo o la pretensión de rematarlo, de la búsqueda de un nuevo
modelo de negocio de los medios de comunicación tradicionales, de la promoción de
tráfico digital e ingresos, de la transparencia de las campañas de publicidad en canales
digitales o del propio virus que lleva a las plataformas tecnológicas a pagar pocos o muy
pocos impuestos y entonces la desinformación es un buen motivo para perseguirlas”.
Lo cierto es que la utilización de la información como estrategia de guerra no es nueva y
su origen se remite a la doctrina militar de la Federación de Rusia41, oficial desde 2014.
Actualmente, Rusia junto con otros agentes estatales y no estatales (organizaciones como
el Daesh y Al-Quaeda), llevan a cabo campañas de información activas con el propósito
de debilitar la integridad territorial de la Unión y menoscabar los valores e intereses
europeos por lo que la Unión Europea ha llevado a cabo numerosas acciones para
combatirlas.
Aunque existen declaraciones anteriores42, destaca la Resolución del Parlamento
Europeo, de 23 de noviembre de 2016, sobre la Comunicación estratégica de la Unión
para contrarrestar la propaganda de terceros en su contra43 en cuyos antecedentes se
mencionan distintos documentos (declaraciones, resoluciones, conclusiones, estudios y
comunicaciones), relacionados con la lucha contra el terrorismo, las amenazas híbridas,
la comunicación estratégica y la política exterior. El Parlamento Europeo considera que
los ciudadanos y Estados de la UE están sometidos a una presión creciente para
enfrentarse a campañas de información, desinformación e intoxicación, así como a
propaganda por parte de terceros que tratan de socavar la noción de información objetiva
o periodismo ético al calificar toda la información de sesgada o de instrumento del poder
político. Este ataque a la libertad de los medios, el acceso a la libertad de información y
de expresión se hallan en el fundamento de los sistemas democráticos y, enlazando el
discurso comunicativo con el de defensa, el Parlamento Europeo subraya que la guerra
informativa “es un fenómeno histórico utilizado de forma generalizada desde la Guerra
fría y que ahora forma parte de la guerra híbrida moderna que combina medidas militares
y no militares, de naturaleza pública y encubierta, desplegadas para desestabilizar la
situación política, económica y social de un país atacado”44.
Junto con esta Resolución, el más reciente documento de la estrategia contra las amenazas
híbridas es de junio de 2018. La Comunicación conjunta titulada Aumentar la resiliencia
y desarrollar las capacidades para hacer frente a las amenazas híbridas45 resume las
40 PENEDO, Carlos (2019), “Ciencia contra la desinformación”, Al revés y al derecho, 1 de marzo. 41 Sobre el concepto de guerra híbrida y actividades rusas no militares, véase FLEMMING, S. Hansen
(2017), Russian Hybrid Warfare: a study of disinformation, DISS, Copenhage. 42 En el ámbito estrictamente europeo, la primera aproximación al fenómeno de la guerra híbrida se propuso
en la reunión de ministros de Defensa de la Unión Europea en Riga, en febrero de 2015 a la que siguieron
la Hoja de Ruta de Bratislava del Consejo Europeo, de 16 de septiembre de 2016, y Declaración de Roma
de los dirigentes de los 27 Estados miembros y del Consejo Europeo, el Parlamento Europeo y la Comisión
Europea, de 25 de marzo de 2017. También se ha establecido un marco de actuación común entre la UE y
la OTAN una Declaración conjunta en Varsovia el 8 de julio de 2016. 43 Parlamento Europeo, Resolución del Parlamento Europeo sobre la Comunicación estratégica de la
Unión Europea para contrarrestar la propaganda de terceros en su contra, de 23 de noviembre de 2016,
[(2016/2030(INI)]. 44 Parlamento Europeo, Resolución del Parlamento Europeo sobre la Comunicación estratégica de la
Unión Europea para contrarrestar la propaganda de terceros en su contra, cit. 45 Comisión Europea y Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad,
Comunicación conjunta al Parlamento Europeo, al Consejo Europeo y al Consejo. Aumentar la resiliencia
17
diversas estrategias de la UE para afrontar las amenazas híbridas como la interacción UE-
OTAN, la financiación de proyectos de defensa colaborativa o la creación de grupos de
trabajo como el grupo East StratCom y, como punto de interés, expone los retos de futuro
que se plantean en el terreno de la comunicación estratégica en lo que denomina “difusión
coherente de información” aludiendo a la necesaria tarea de concienciación y educación
de la población a fin de que pueda distinguir la información de la desinformación.
Y en este apartado de retos futuros ya se señalan los períodos electorales como objetivo
particularmente estratégico y vulnerable a los ataques cibernéticos. Así, la citada
Comunicación para hacer frente a las amenazas híbridas destaca dos desafíos muy
relevantes que tienen por objeto desacreditar y deslegitimar los procesos electorales
democráticos: los ataques cibernéticos a infraestructuras críticas y la intoxicación digital
con campañas de desinformación masiva. Y se dirige a las autoridades de ciberseguridad
de los Estados miembros presentes en el Consejo para que emitan directrices y buenas
prácticas comunes en materia de ciberseguridad de las tecnologías aplicables a las
elecciones a lo largo de todo el proceso electoral.
5.2. Los periodos electorales como momentos críticos ante la guerra informativa
La consideración de las campañas de desinformación como amenaza para la seguridad de
los Estados y de la propia comunidad internacional es especialmente intensa ante
determinados procesos políticos y electorales como pone de manifiesto la reciente
Declaración de la Comisión Europea 19/1379, de 28 de febrero de 2019, sobre los
progresos realizados en enero de 2019 por Facebook, Google y Twitter en sus
compromisos de lucha contra la desinformación en la Unión Europea. Estas tres
plataformas en línea son firmantes del Código de buenas prácticas contra la
desinformación y se les ha pedido que informen mensualmente de sus medidas antes de
las elecciones al Parlamento Europeo de mayo de 2019.
El Código, aprobado el 26 de septiembre de 2018, marca un compromiso de colaboración
entre las partes interesadas en la erradicación de las noticias falsas - plataformas en línea,
sector de la publicidad y anunciantes – y asegura el compromiso de coordinar e
intensificar los esfuerzos por combatir la desinformación. El Código va asociado a la
Recomendación incluida en el paquete electoral46 anunciado por el presidente Juncker en
su Discurso sobre el estado de la Unión de 2018, con vistas a garantizar unas elecciones
al Parlamento Europeo libres, justas y seguras. En aplicación de la Recomendación sobre
las redes de cooperación electoral, la transparencia en línea, la protección contra los
incidentes de ciberseguridad y la lucha contra las campañas de desinformación en el
contexto de las elecciones al Parlamento Europeo, de 12 de septiembre de 2018, los
Estados miembros han creado una red nacional de cooperación electoral integrada por las
autoridades pertinentes – como las autoridades electorales, de ciberseguridad, de
protección de datos y policiales – y han designado un punto de contacto para que participe
en una red de cooperación electoral a nivel europeo.
La Unión Europea reconoce que la responsabilidad principal en la lucha contra las
amenazas híbridas recae en los Estados miembros tratándose de un asunto de defensa y
seguridad nacional y de mantenimiento del orden público. Sin embargo, muchas
y desarrollar las capacidades para hacer frente a las amenazas híbridas, Bruselas, 13.6.2018 JOIN(2018)
16 final. 46 Este paquete está conformado por una Comunicación de la Comisión Europea y una Recomendación, de
12 de septiembre de 2018, sobre cooperación electoral de las plataformas, la transparencia en línea, la
protección contra los incidentes de ciberseguridad y la lucha contra las campañas de desinformación en
el contexto de las elecciones al Parlamento Europeo.
18
amenazas son comunes y pueden centrarse en redes o infraestructuras transfronterizas por
lo que aboga por una respuesta coordinada a escala de la UE y la asistencia mutua47.
Por lo que se refiere a España, ya vimos que la ESN-2017 contempla por primera vez las
campañas de desinformación entre las amenazas que circula online. En el capítulo 2 del
documento se analizan los procesos de transformación en el entorno de seguridad global
desde la aprobación de la ESN-2013 y se alude a un nuevo desafío que se materializa en
acciones híbridas, “A los tradicionales conflictos armados se unen formas adicionales de
agresión e influencia, amenazas asociadas a la proliferación de armas de destrucción
masiva y otras variantes de actos hostiles. Sofisticados sistemas de armas de alta precisión
se combinan con la letalidad funcional de ciberataques y acciones de influencia y
desinformación. La ambigüedad y la dificultad de atribución son factores constantes de
los denominados conflictos híbridos, aquellos que incorporan operaciones de
información, subversión, presión económica y financiera junto a acciones militares. Estas
acciones, perpetradas tanto por actores estatales como no-estatales, tienen por objeto la
movilización de la opinión y la desestabilización política a las que define como «acciones
combinadas que pueden incluir, junto al uso de métodos militares tradicionales,
ciberataques, operaciones de manipulación de la información, o elementos de presión
económica, que se han manifestado especialmente en procesos electorales. La finalidad
última que se persigue es la desestabilización, el fomento de movimientos subversivos y
la polarización de la opinión pública”. La Estrategia afirma que, en gran medida, la
tecnología ha premiado la interconectividad en detrimento de la seguridad de modo que
“actos como el robo, uso y difusión de la información y datos sensibles y acciones hostiles
que incluyen actividades de desinformación e interferencias en procesos electorales
representan hoy un desafío de grandes dimensiones”.
Junto a estas iniciativas políticas debe mencionarse que, desde 2013, contamos en España
con un organismo responsable de combatir las noticias falsas: se trata del Consejo
Nacional de Ciberseguridad creado para reforzar la seguridad frente a ciberataques y al
que el Gobierno le ha encomendado provisionalmente la misión de detectar y
contrarrestar las campañas de desinformación48.
Finalmente, en el contexto de la Recomendación del 12 de septiembre y el ESN-2017, en
España se ha activado desde el 1 de abril un plan de ciberseguridad con medidas y
actuaciones en materia de seguridad para antes, durante y después de las elecciones
generales. El protocolo elaborado por el Ministerio del Interior clasifica las
ciberamenazas en tres tipos: en primer lugar, los ataques contra las consideradas
infraestructuras críticas – a los que denomina ataque contra actos del sistema – contra
organismos de la Administración o contra los partidos políticos; en segundo término,
ataques “contra el sistema tecnológico electoral”, en referencia a los equipos informáticos
encargados de proveer los servicios imprescindibles para la celebración de los comicios,
entre ellos el recuento electoral, que se pretende blindar; en tercer lugar, el riesgo de una
posible “campaña de desinformación” mediante noticias falsas o fake news.
47 Comisión Europea y Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad,
Comunicación conjunta al Parlamento Europeo y al Consejo. Comunicación conjunta sobre la lucha
contra las amenazas híbridas. Una respuesta de la Unión Europea, Bruselas, 6.4.2016 JOIN(2016) 18
final. 48 El Consejo Nacional de Ciberseguridad está presidido por el director del Centro Nacional de Inteligencia
(CNI) e integrado por los responsables del Departamento de Seguridad Nacional, el Mando Conjunto de
Ciberdefensa, el Centro Criptológico Nacional (CCN), el Centro Nacional de Protección de Infraestructuras
Críticas (CNPIC) o el INCIBE (Instituto Nacional de Ciberseguridad).
19
La actividad que desarrollen los agentes – expertos en será doble: por un lado, el rastreo
de fuentes abiertas como redes sociales, servicios de mensajería, foros, blogs y webs y el
de páginas alojadas en la Deep Web en busca de indicios sobre ataques informáticos
dirigidas tanto contra el sistema tecnológico que provea los servicios para las elecciones
como contra las instituciones y partidos. En este caso, “los agentes pondrán en marcha
los procedimientos que ya existen para la protección de las infraestructuras críticas”,
destaca el experto de Interior, que recuerda que esos ataques “son delitos y, por tanto,
tienen consecuencias penales”. Por otro lado, los agentes también rastrearán posibles
campañas de desinformación y elaborarán un informe de análisis para decidir sobre la
respuesta caso por caso aunque se apunta a la colaboración de los medios de
comunicación para que ayuden a contrarrestar las noticias falsas o manipuladas.
Con independencia de la eficacia de la medida, considero un acierto esta actuación
diferenciada ante las ciberamenazas que se ciernen sobre los procesos electorales porque
la defensa frente a la manipulación electoral exige diferenciar entre el ataque cibernético
contra infraestructuras básicas – frente a las cuales instituciones y empresas cuentan en
la actualidad con múltiples recursos – y las acciones de disrupción comunicativa que
persiguen un objetivo a largo plazo y romper el contrato social que sostiene un Estado de
derecho49.
5.3. Los objetivos de las guerras de desinformación en periodo electoral
El impacto de las amenazas híbridas en las elecciones es doble así como la afectación en
los derechos de los ciudadanos (derecho a la participación política y derecho a la libertad
de información). A saber, las intrusiones o atentados contra infraestructuras electorales y
los sistemas de campaña electoral a través de las tecnologías de la información y las
campañas de desinformación masiva en línea con fines políticos.
Empezando por esto último, la desinformación está basada en la circulación de noticias
falsas creadas con la intencionalidad de confundir o manipular y reproducidas viralmente
a través de las redes sociales. La selección automatizada y algorítmica de las noticias que
cada ciudadano recibe en función de sus gustos y creencias crean un efecto de filtro que
dificulta el acceso a las diversas fuentes de información y la versión del mundo que
encuentra ese ciudadano no hace sino confirmar sus creencias preexistentes. Ese
aislamiento ideológico dificulta el entendimiento entre los individuos que conforman una
sociedad y manipula la toma de decisiones. El uso consciente de información falsa para
alcanzar fines estratégicos y tácticos – la militarización de la información50 - ha pasado
a formar parte de la guerra híbrida. Una actividad que consiste en una eficaz explotación
de propaganda e información online para difundir su mensaje, generar narrativas que
apoyen sus fines y erosionar las opiniones publicas de sus oponentes.
Junto a este desafío de manipulación de las redes sociales y divulgación de noticias falsas
para interferir en las elecciones, las amenazas cibernéticas durante las elecciones se
centran en ataques contra la integridad de los procesos electorales, la infraestructuras de
los partidos políticos o el uso inadecuado de los datos personales electorales (sería el caso
de las bases de datos informatizadas que contienen censos electorales, los programas de
contabilización de votos en urnas electrónicas, los registros con datos personales
sensibles procedentes de las encuestas electorales o incluso hackeos a correos de
candidatos, entre otros). Por eso, el temor a un ataque cibernético que afecte a la
49 LESACA ESQUIROZ, Javier (2018), “La disrupción digital en el contexto de las guerras híbridas”,
Cuadernos de Estrategia. La posverdad. Seguridad y defensa, núm. 197, pp. 83 y 84. 50 Véase, FLEMMING, S. Hansen (2017), The weaponization of information, DISS, Copenhage, 14
December y RESSA, Maria A. (2016), Propaganda war: Weaponizing the internet, 3 october.
20
integridad de las elecciones ya ha provocado que algunas de estas acciones ya no se
realicen por máquinas como ocurrió con la decisión de Holanda de realizar el recuento
manual de los votos en los comicios celebrados en marzo de 2017 por temor a ser víctima
de ciberataques rusos.
Adelantando conclusiones, las medidas estratégicas o normativas adoptadas por los
Estados o la Unión Europea para hacer frente a este nuevo reto en seguridad deben basarse
en definiciones precisas sobre las causas del fenómeno de la desinformación, garantizar
el debido proceso legal y partir del principio de responsabilidad y proporcionalidad de las
medidas adoptadas. Se evitará así la sobrerregulación, censurar contenidos, desencadenar
la autocensura, restringir la libertad de prensa.
5.4. Dos enfoques para responder a las amenazas híbridas
Las múltiples respuestas que se han articulado para hacer frente a la manipulación
informativa se han orientado desde dos perspectivas distintas. Por un lado, algunas
propuestas estatales, sin descartar otras medidas complementarias, han apostado
claramente por la vía legislativa51. Es el caso de Francia que ha aprobado dos leyes52 que
permiten a los candidatos electorales solicitar una orden judicial que impida la
publicación de "información falsa" desde tres meses antes de una elección nacional.
También autoriza al organismo regulador de los medios audiovisuales (Conseil Supérieur
de l’Audiovisuel) para suspender la licencia de emisoras de televisión o radio que se
consideren controladas por un Estado extranjero o bajo la influencia de ese Estado, así
como obliga a plataformas como Facebook y Twitter a revelar la fuente de financiación
del contenido patrocinado.
Esta normativa ha levantado críticas porque se considera que existe el riesgo de limitar
en exceso la libertad de expresión y por ser potencialmente desproporcionadas ya que,
para evitar las abultadas multas, se puede provocar una supresión de contenidos excesivos
por parte de las plataformas, con una amplitud incluso mayor a lo que un juez hubiera
considerado ilegal. Además, traslada la responsabilidad de retirada de un contenido a una
entidad privada con lo que planea el riesgo de una censura privada que ponga en riesgo
la pluralidad de la Red53.
Para comenzar, es sabido que resulta especialmente complejo legislar en una materia
donde la necesidad de frenar la manipulación se entrecruza con la de proteger derechos
fundamentales como la libertad de expresión y la de información o el derecho a la
protección de datos.
Así, el principal reto que plantea la desinformación a los Estados democráticos es que no
resulta posible restringir de manera efectiva los flujos de información: a la vista de la
centralidad que ocupa la libertad de expresión e información en la construcción del
edificio democrático, se les ha otorgado una posición preferente siempre que se ejerciten
en conexión con asuntos que son de interés general. También en el debate político, el
discurso goza de la máxima protección que ofrece la libertad de expresión, de modo que
51 O, incluso, por la regulación penal. Es el caso de Italia que, en febrero de 2017, presentó un proyecto de
ley para prevenir la manipulación de la información online que incluía condenas civiles y penales para
quienes difundan noticias exageradas o tendenciosas con datos o hecho manifiestamente falsos. 52 Loi n° 2018-1202 y Loi organique n° 2018-1201 relatives à la lutte contre la manipulation de l'information
(JORF n. 0297 du 23 décembre 2018). 53 Por todos, BOIX PALOP, Andrés (2016), “La construcción de los límites a la libertad de expresión en
las redes sociales”, Revista de Estudios Políticos, n. 173, pp. 55-112.
21
cualquier restricción que pretenda imponérsele está sometida al más estricto escrutinio de
constitucionalidad (STEDH caso Orlovskaya Iskra c. Rusia)54.
De ahí que en la lucha contra las noticias falsas en las democracias se debe, primero,
establecer los mecanismos para frenar la difusión de noticias falsificadas con escrupuloso
respeto a las libertades de expresión e información y, segundo, diferenciar entre lo veraz
y lo verdadero. El establecimiento de una verdad única es incompatible con un estado
democrático que solo puede velar porque el origen de las informaciones que se difunden
haya sido contrastado. En resumen, la problemática que plantea está cuestión tiene que
ver con la dificultad de determinar cuándo una noticia es falsa y la búsqueda del equilibrio
para no caer en la censura.
Por eso entendemos que sería muy oportuno fijarse más en la logística en lugar de en el
contenido. Son robots los que difunden masivamente noticias inventadas o creadas a
través de las redes sociales y para este tipo de actividad la protección de la libertad de
expresión o información resulta inaplicable. Ha de tratarse de maquinaria de intoxicación
informativa. La ofensiva suele combinar numerosos instrumentos de la guerra de la
información: transmisión de mensajes verdaderos y falsos en las redes sociales, como
Facebook y Twitter, por trolls que son perfiles creados online para divulgar la
información ya creada, bots que divulgan información por procesos automáticos y
sockpuppets que son perfiles creados online con el propósito de crear y transmitir noticias
falsas55. El riesgo a la hora de frenar estos flujos de información estratégica o “militar”,
como hemos comentado, es que se combinan con muchos flujos de información “regular”.
Se necesita que los usuarios sean capaces de distinguir entre flujos de información que
son absolutamente regulares y forman parte de la comunicación cotidiana de aquellos que
están conscientemente diseñados para tener un impacto cognitivo en el destinatario.
Igualmente, el concepto de ciberseguridad debe delimitarse puesto que, como término
amplio, engloba diversos temas desde la seguridad de la infraestructura nacional y de las
redes hasta la seguridad de los usuarios. Un enfoque más acotado y adecuado habría de
restringirlo a la protección de las infraestructuras, los sistemas y datos informáticos. Aquí
es importante identificar la desinformación como elemento disruptor comunitativo y las
ofensivas y ataques cibernéticos56. Ambas son acciones propias de una guerra híbrida
pero los ataques se dirigen contra infraestructuras o intereses estratégicos del Estado que
obligan a reacciones puntuales mientras que las acciones de desinformación permanecen
alterando la convivencia social y las relaciones entre ciudadanos e instituciones públicas
del Estado. El control del ciberespacio debe dirigirse a los envíos masivos y
automatizados, a reforzar las infraestructuras por las que circula la información.
Frente a este enfoque, la Unión Europea ha adoptado una posición más preventiva y
basada en basada en soluciones colaborativas, no regulatorias, que suponen la
54 El Tribunal Europeo de Derechos Humanos declaró que “las elecciones libres y la libertad de expresión,
especialmente la libertad de debate político, son los fundamentos de cualquier sistema democrático. Estos
dos derechos están interrelacionados y se refuerzan mutuamente: por ejemplo, la libertad de expresión es
una de las «condiciones» necesarias para «garantizar la libre expresión de la opinión de los ciudadanos en
su elección de la legislatura». Por este motivo, resulta especialmente importante que puedan circular
libremente opiniones e información de todo tipo en el período previo a unas elecciones. En el contexto de
los debates electorales, que los candidatos puedan ejercer su libertad de expresión sin obstáculos es una
cuestión de especial importancia” (STEDH, caso Orlovskaya Iskra c. Rusia, de 27 de febrero de 2017, pár.
110). 55 Mira MILOSEVICH-JUARISTI, Mira (2017), “El poder de la influencia rusa: la desinformación”,
Comentario Elcano, n. 7/2017, Real Instituto Elcano, 20 de enero. 56 Seguimos a LESACA ESQUIROZ, Javier (2018), “La disrupción digital en el contexto de las guerras
híbridas”, cit., pp. 183 y ss.
22
cooperación con numerosos actores: organizaciones civiles, plataformas digitales y
empresas tecnológicas, gobiernos de los Estados miembros. Ha reforzado salvaguardas y
medidas que protegen la integridad de las elecciones y el proceso democrático a través de
diversa normativa dirigida a garantizar el derecho a la protección de datos, la
transparencia de la financiación de los partidos políticos o el control sobre las
comunicaciones de mercadotecnia, incluidos los mensajes políticos57 y, finalmente, ha
apostado por medidas de alfabetización digital que provean a la ciudadanía de
conocimientos para detectar las noticias manipuladas.
Soluciones que entendemos mejor orientadas y más eficaces puesto que el fenómeno de
la desinformación es multifacético y requiere de medidas que exigen la colaboración de
muchos actores.
6. Reflexiones finales
Las nuevas tecnologías son la cara y cruz de la seguridad en esta época. En la cruz y de
manera notable, el desarrollo tecnológico está vinculado a una mayor exposición a nuevas
amenazas, especialmente las asociadas al ciberespacio, y plantea nuevos retos de
seguridad. En la cara, los poderes públicos se sirven de las innovaciones tecnológicas
para garantizar respuestas a los desafíos y reducir riesgos.
Resulta curioso recordar que internet se originó en el ámbito de la defensa militar en
EEUU gracias un proyecto (ARPANET) basado en una red de computadoras con la que
se pretendía mantener el contacto remoto entre centros de investigación tras un ataque
que hubiera destruido alguno de sus nodos. Hoy esta interconectividad se traduce en unas
posibilidades casi infinitas de comunicación que generan conocimiento, avances en la
investigación científica, desarrollo económico, etc. pero también en vulnerabilidad que
obliga a la adopción de medidas de seguridad frente a ataques digitales que pongan en
peligro sistemas vitales no solo por razón de defensa sino también de servicios públicos
esenciales como las telecomunicaciones o las redes de energía58.
Pero en las respuestas que se ejecuten pueden incluirse medidas que impactan en los
derechos limitándolos de nuevo ilegítimamente: censura, control y manipulación de
contenidos, retirada de contenidos en línea sin un debido proceso, etc. Frente a esta
posibilidad, el núcleo de los programas de seguridad ha de estar en la protección de las
personas y los derechos humanos y no es aceptable que se erosionen los derechos y
libertades o los principios constitucionales bajo el pretexto de su defensa.
Por otra parte, el ciberespacio se ha convertido en un nuevo escenario para la comisión
de ataques y se producen multitud de acciones por parte de gobiernos, organizaciones o
individuos que pueden atentar contra los derechos humanos. En nuestro análisis hemos
reflexionado sobre una nueva amenaza que se ha incorporado al catálogo de riesgos de
los Estados: la guerra de la desinformación como ejemplo de conflicto híbrido. En la
respuesta que ha articulado la Unión Europea y los Estados miembros se advierte un
proceso de securización que puede poner en riesgo, de nuevo, derechos fundamentales de
los ciudadanos como la libertad de expresión o el derecho a la información.
En toda la historia de la democracia se ha tratado de buscar el equilibrio entre seguridad
y libertad, protección a las personas y respeto a sus derechos. Las propuestas
57 Nos referimos al Reglamento General de Protección de Datos, el Reglamento sobre el estatuto y la
financiación de los partidos políticos; la Directiva sobre la privacidad y las comunicaciones electrónicas
y la propuesta de Reglamento e-Privacy. 58 Véase el informe sobre Ciberseguridad, la protección de la información en un mundo digital (2016),
Fundación Telefónica-Editorial Ariel, Madrid.
23
contemporáneas acerca de la seguridad deben continuar siendo compatibles con la
democracia incorporando la protección de los derechos y los principios constitucionales
como elementos fundamentales para su puesta en práctica. Solo así no se altera la relación
entre los individuos y el gobierno y se alcanza el equilibrio correcto entre la defensa de
la seguridad y la preservación de la libertad individual.