Hace unas semanas, el Supervisor Europeo de Protección de Datos (en adelante SEPD), publicó unos comentarios preliminares sobre los riesgos, en sus palabras, sin precedentes, que este tipo de tecnología de vigilancia plantea en la actualidad. Así, el SEPD está convencido de que el uso de Pegasus podría conducir a un nivel de intrusión que amenaza la esencia del derecho a la privacidad, ya que este sistema es capaz de interferir en los aspectos más íntimos de nuestra vida diaria.
El SEPD ya se manifestó en el pasado advirtiendo sobre este tipo de herramientas de vigilancia e interceptación, manifestando que su uso y difusión dentro de la Unión Europea debían estar sujetos a una regulación adecuada, teniendo en cuenta el potencial riesgo de violación de los derechos fundamentales.
A lo largo de este artículo vamos a analizar los Comentarios publicados por el Supervisor Europeo de Protección de Datos, desgranando por partes este tipo de software.
1.- ¿Qué es Pegasus y cómo funciona?
Pegasus es una herramienta de piratería o spyware diseñada para atacar con éxito casi cualquier smartphone o teléfono inteligente que ejecute sistemas operativos tales como iOS o Android. NSO Group ha sido la empresa que lo ha desarrollado.
A su modo de entender y teniendo en cuenta los informes al respecto, el Supervisor declara que Pegasus es el spyware mas poderoso hasta la fecha. Tiene la capacidad de convertir un teléfono móvil, de modo totalmente confidencial, en un dispositivo de vigilancia las 24 horas debido al completo acceso a toda la información del smartphone. Y cuando decimos a todo, es a todo:
- Puede leer, enviar o recibir mensajes, en teoría, cifrados de extremos a extremo.
- Descargar fotos almacenadas.
- Escuchar y grabar llamadas de voz o video.
- Acceso completo a la cámara del teléfono. Lo cual significa que pueden grabarnos y escucharnos mediante el micrófono, tanto al propietario del teléfono como a las personas que estén a nuestro lado.
- Acceso completo al módulo de geolocalización, lo que también registra la línea de tiempo de su ubicación.
Es una herramienta de espionaje que difiere de las tradicionales utilizadas por las autoridades y la razón principal es el acceso completo y sin restricciones al dispositivo seleccionado. La intrusión en el dispositivo puede llegar incluso a los denominados “privilegios de raíz o administrativos”, según el Departamento de Seguridad de Amnistía Internacional Lab. ¿Qué quiere decir? Que no podemos excluir la posibilidad de que Pegasus pueda hacer más incluso que el propio propietario del dispositivo.
Además, como hemos visto, Pegasus es un sistema tan sofisticado que el usuario es incapaz de saber que su teléfono móvil esta siendo espiado. Por ello, este spyware es capaz de llevar a cabo un ataque denominado “clic cero”, es decir, que no necesita ninguna acción por parte del usuario para desencadenarse ni evitar que suceda.
Pero ¿porque es tan difícil detectar este sistema dentro de un dispositivo? Los investigadores de seguridad sospechan que las versiones recientes de Pegasus se encuentran solo en la memoria temporal del teléfono, en lugar de en su disco duro, lo que significa que, una vez que el teléfono se apaga virtualmente, todo rastro del software Pegasus desaparece.
Con todo, el Supervisor deja claro que este tipo de software no debe equipararse a las “herramientas tradicionales de interceptación de las fuerzas del orden público”. Pegasus es una herramienta de piratería y no un medio para la interceptación legal de comunicaciones.
2.- ¿Cómo se produce el uso abusivo de un spyware como Pegasus?
NSO Group afirma que sus tecnologías “han ayudado a prevenir ataques terroristas, violencia armada, explosiones de automóviles y atentados suicidas. Las tecnologías también se utilizan todos los días para desmantelar la pedofilia, las redes de tráfico sexual y de drogas, localizar niños desaparecidos y secuestrados” como parte de la “misión de salvar vidas” de la empresa.
Sin embargo, se ha informado que Pegasus se ha utilizado en la Unión Europea (en adelante UE) contra políticos de la oposición, periodistas y abogados, admitiendo así algunos Gobiernos la compra de este software espía.
A este respecto debemos comentar el marco legal aplicable. La vigilancia dirigida, incluida la interceptación de comunicaciones, está regulada en la legislación nacional de prácticamente todos los Estados miembros de la UE. Es importante destacar que el uso de herramientas de vigilancia digital por parte de las autoridades de los Estados miembros de la UE con fines de seguridad nacional, incluso cuando no entra en el ámbito de aplicación del Derecho de la Unión, está sujeto al Derecho constitucional nacional, así como al marco jurídico pertinente del Consejo de Europa.
3.- ¿Se puede usar Pegasus legalmente dentro del ámbito de la legislación de la Unión Europea?
El SEPD nos cuenta que Pegasus y tecnologías similares habitualmente se anuncian como “herramientas de aplicación o cumplimiento de la ley”. En este sentido, es importante analizar si es legalmente posible utilizar Pegasus o herramientas similares en la UE para perseguir objetivos de interés general reconocidos por la Unión, como la lucha contra el terrorismo y la delincuencia grave.
El Tribunal de Justicia de la UE reconoció en su jurisprudencia reciente que una amenaza grave para la seguridad nacional, real y presente o previsible, podría justificar injerencias muy graves en los derechos fundamentales, no obstante, siempre sujetas a estrictas condiciones y garantías.
Esta circunstancia implica la necesidad de una evaluación combinada y basada la eficacia de la medida para el objetivo perseguido y comprobar si es menos intrusiva en comparación con otras opciones para lograr el mismo objetivo. Dada la escasez de información verificable disponible públicamente sobre las funcionalidades de Pegasus, es difícil determinar en qué medida su uso no podría ser reemplazado por el uso de otros medios más «tradicionales y potencialmente menos intrusivos».
Además, hoy en día todos confiamos en los smartphones para realizar la mayor parte de nuestras actividades en el mundo digital. Nuestros teléfonos saben todo sobre nosotros: conocen nuestros datos, pueden oírnos, pueden vernos y saben dónde estamos y con quién hablamos. Es improbable que el software espía como Pegasus, que de facto otorga acceso total e ilimitado a los datos personales, incluidos los datos confidenciales, pueda cumplir los requisitos de proporcionalidad.
El nivel de injerencia en el derecho a la privacidad es tan grave que, de hecho, el individuo se ve privado de él, por lo que su uso no puede considerarse proporcionado, independientemente de que la medida pueda considerarse necesaria para lograr el objetivo legítimo. Asimismo, no es solo el objetivo de la vigilancia cuyo derecho a la privacidad se infringe manifiestamente, sino también todas las personas que están en contacto con él o incluso quienes lo rodean (por ejemplo, las personas sentadas en un restaurante cerca del objetivo también podrían ser registradas).
Al mismo tiempo, el SEPD toma nota de los informes de los medios de comunicación que alegan que ciertas características de Pegasus podrían desactivarse para limitar la intrusión de la herramienta, lo que podría tener un impacto en el resultado de la evaluación de proporcionalidad y necesidad. Por lo tanto, no se puede excluir la posibilidad de que la aplicación de ciertas características de Pegasus pueda pasar la prueba de necesidad y proporcionalidad en situaciones específicas de amenaza muy grave, como un ataque terrorista inminente.
Sin embargo, el SEPD considera que tales casos serían de carácter excepcional y no pueden justificar un despliegue más amplio o sistemático de una tecnología tan intrusiva. En consecuencia, el despliegue regular de Pegasus o tecnología similar de software espía altamente intrusivo no sería compatible con el ordenamiento jurídico de la UE.
Además, la capacidad de las herramientas de software espía como Pegasus para proporcionar un control total y sin restricciones por parte del atacante del teléfono del objetivo, junto con el hecho de que dejan muy pocos rastros digitales, si es que dejan alguno, plantea la cuestión de hasta qué punto la información recopilada con su ayuda podría utilizarse como prueba en un procedimiento judicial, tanto desde el punto de vista de la admisibilidad como de la verificación.
En este sentido, muchos de los expertos forenses pueden no tener los conocimientos necesarios para identificar y examinar una tecnología tan avanzada, especialmente cuando es desarrollada por empresas privadas.
4.- ¿Qué podría y debería hacer la UE?
Por último, como consecuencia de que el Spyware Pegasus tiene el potencial de causar riesgos y daños sin precedentes tanto para derechos y libertades fundamentales de los ciudadanos como para el Estado de Derecho, el SEPD cree que prohibir el desarrollo y el despliegue de spyware con la capacidad de Pegasus en la UE sería la opción más eficaz para protegerlos.
En cualquier caso, si dichas herramientas pudieran ser de aplicación en situaciones excepcionales, por ejemplo, para prevenir una amenaza inminente muy grave, el SEPD propone la siguiente lista no exhaustiva de pasos y medidas como garantía contra el uso ilegal:
A) Fortalecimiento de la supervisión democrática de las medidas de vigilancia. Los Estados miembros de la UE deben garantizar una supervisión eficaz del uso de tales medidas de vigilancia. El papel de las autoridades de protección de datos, el control judicial (ex ante y ex post) y las formas democráticas de escrutinio son absolutamente necesarios.
B) La aplicación estricta de las leyes de la UE sobre la protección de datos, especialmente la Directiva sobre aplicación de la Ley, es un requisito previo fundamental. Igualmente importante es la plena aplicación de las sentencias pertinentes del TJUE (por ejemplo, sobre la conservación de datos), que aún falta en varios Estados miembros. En este sentido, el Tribunal tiene un papel central para hacer cumplir la legislación de la UE y garantizar su aplicación uniforme.
C) La revisión judicial, tanto ex-ante como ex-post, debe ser real; no puede ser una mera formalidad. Al examinar una solicitud de orden de vigilancia, la autoridad judicial siempre debe saber qué tipo de vigilancia se llevará a cabo (por ejemplo, cuando se prevea una vigilancia muy intrusiva de la actividad de una persona), a fin de que el Tribunal pueda decidir si la vigilancia se encuentra dentro de los parámetros necesarios.
D) Fortalecimiento de las garantías que ofrece el proceso penal. Se debe restringir la admisibilidad de las pruebas recopiladas con la ayuda de herramientas de piratería altamente intrusivas como Pegasus o incluso prohibirlas. La UE también podría, basándose en el artículo 83 del Tratado de Funcionamiento de la Unión Europea, definir delitos como el uso ilegal de tecnologías de spyware.
E) Reducir el riesgo de que los datos procedentes de estas prácticas de vigilancia antidemocráticas y abusivas lleguen a las bases de datos de la Unión.
F) Dejar de abusar de los propósitos de seguridad nacional para legitimar la vigilancia políticamente motivada. La seguridad nacional no puede utilizarse como excusa para un uso extensivo de tales tecnologías ni como argumento en contra de la implicación de la Unión Europea.
G) Abordar los problemas del Estado de Derecho. Según el SEPD Las deficiencias en el estado de derecho y el retroceso democrático, como la invasión en la independencia judicial o la libertad de prensa, crean un terreno fértil para el abuso de la vigilancia secreta, con herramientas como Pegasus. Por lo tanto, estos problemas dentro de la UE deben abordarse como prioritarios.
H) Empoderar a la sociedad civil para generar conciencia y debate público.
Para finalizar, el SEPD manifiesta que, con este informe desea contribuir al debate sobre si las herramientas de spyware como Pegasus deberían tener algún lugar dentro de una sociedad democrática. De este modo, el debate no solo debe estar únicamente basado en el uso de la tecnología en sí, sino la importancia que atribuimos, como sociedad, al derecho a la privacidad como un elemento central de la dignidad humana.
