La ciberseguridad como saco de fuerza en el marco regulatorio de México

 

En México resurgió la discusión sobre la regulación de la ciberseguridad por la presentación de dos proyectos de ley: el Proyecto de Ley Federal de Ciberseguridad presentado recientemente el 14 de febrero y la Ley Federal de Ciberseguridad, que fue presentada originalmente el 25 de abril de 2023. Ambos proyectos representan riesgos para los derechos digitales. Invaden la privacidad y adelantan actividades aparentemente arbitrarias en cabeza del Estado. La redacción de las iniciativas es ambigua y poco clara en la determinación de las facultades, procedimientos y tipificación penal de conductas dentro del “ciberespacio”. Ello supone amenazas a la libertad de expresión y protección de datos personales en Internet. 

El Proyecto de Ley Federal de Ciberseguridad del 25 de abril de 2023, fue retirado recientemente por el Diputado promovente Javier López Casarín después de varios intentos de reunirse entre las Comisiones Unidas con las secretarías de Hacienda, Defensa Nacional y Marina, Guardia Nacional y el Centro Nacional de Inteligencia. El proyecto fue fuertemente criticado por organizaciones de derechos digitales y expertos porque en varios puntos afectaba la libertad de expresión. Los puntos más problemáticos eran los siguientes: 

  1. El proyecto promueve la militarización de la ciberseguridad al facultar a la Secretaría de la Defensa Nacional y a la Secretaría de Marina a monitorear y llevar a cabo “operaciones militares” en el ciberespacio, sin especificar qué tipo de actividades podrían desarrollarse. 
  2. Facilita la censura en Internet al crear una nueva “Agencia Nacional de Ciberseguridad” y la habilita—junto con la Guardia Nacional, la Fiscalía General de la República y a autoridades judiciales—a “dar de baja” sitios de internet, direcciones IP y dominios sin establecer el procedimiento o mecanismos judiciales específicos. En este sentido, el proyecto no cumplía con los requisitos del test tripartito del Sistema Interamericano de Derechos Humanos que se utiliza para determinar si las restricciones al derecho a la libertad de expresión son aceptables bajo los parámetros de la Convención Americana.
  3. Habilita invasiones a la privacidad relacionadas con actividades de inteligencia sin definir con claridad los procedimientos, requisitos y salvaguardias en contra de abusos. 
  4. Establece delitos informáticos ambiguos: los tipos penales propuestos no son precisos y conllevan a distintas interpretaciones que facilitan conductas arbitrarias por parte de los agentes del Estado. 
  5. La iniciativa criminaliza conductas legítimas, tales como la producción de contenidos digitales que “inciten” a la “hostilidad” o “desinformen a la población”. 

Luego de varias discusiones y oposición por parte de distintas partes interesadas, el proyecto fue archivado. 

Por otro lado, el Proyecto de Ley Federal de Ciberseguridad del 14 de febrero de 2024 propone derogar diversos delitos del Código Penal Federal e incluirlos en la Ley Federal de Ciberseguridad. El Capítulo IV incluye delitos contra la intimidad sexual, en los que se considera como responsables a quienes  “exhiban”, “transmitan” o “difundan” a través de tecnologías de la información y comunicación imágenes sexuales sin el consentimiento de la persona afectada. Si bien la disposición persigue un fin loable, la redacción actual carece de claridad puesto que tal como está redactada los intermediarios podrían ser considerados responsables por el contenido de terceros sin haber mediado una notificación judicial que ponga en conocimiento de éstos la comisión de un ilícito.

Iguales cuestionamientos tendría la redacción del artículo 58 del proyecto de ley al señalar como responsable del delito a quien exhiba o difunda material pornográfico sin realizar las debidas advertencias para restringir el acceso a niños, niñas y adolescentes. Al no establecer una consideración específica de la responsabilidad de intermediarios es posible generar condiciones que incentiven la censura indebida de contenidos de terceros. 

Además del establecimiento de los delitos cibernéticos, el proyecto propone crear la Comisión Nacional de Ciberseguridad. Ello abre diversos interrogantes. Por un lado, su creación parece ser un tanto innecesaria puesto que en México existe un Sistema Nacional de Seguridad. Por otro lado, también preocupa que integren esta Comisión la Secretaría de la Defensa Nacional  y la Secretaría de Marina. Estas agencias gubernamentales han hecho uso de herramientas para el espionaje de la ciudadanía y no tienen buenos antecedentes de respeto de los derechos humanos en la materia. Se han documentado varias prácticas asociadas a  actos ilícitos como suplantación de identidad. 

El proyecto propone que esta Comisión de Ciberseguridad recopile información de entes públicos y privados, pero no prevé mecanismos de control externo. Estas acciones son muy similares a aquellas incluidas en la Ley de Seguridad Interior que fue declarada inconstitucional por la Suprema Corte de Justicia de la Nación el 15 de noviembre de 2018. 

Conclusiones

Ambos proyectos son  problemáticos para el desarrollo de los derechos digitales y para la libertad de expresión, la protección de datos personales, y la propiedad intelectual. Tipifican conductas que pueden considerase legítimas en Internet, al menos bajo ciertas condiciones. Estas serán perseguidas por las autoridades estatales a través de procedimientos que no terminan de ser claros. 

Hay también una serie de ambigüedades dentro del marco regulatorio respecto de las facultades que tendrán las autoridades en el “ciberespacio”, respecto del procedimiento, los mecanismos judiciales que permiten proteger los derechos en caso de abusos estatales y sobre la criminalización de las conductas dentro del ecosistema digital. Este punto es el más relevante y  preocupante. 

Finalmente, estas iniciativas no cumplen con los estándares internacionales respecto al test tripartito de legalidad, necesidad y proporcionalidad expuesto en el sistema interamericano de derechos humanos. 

Los proyectos analizados muestran una tendencia preocupante, que resulta importante incluso en el caso de que los mismos no logre reunir los necesarios apoyos legislativos. El marco regulatorio en estas cuestiones no debería ser—ni parecer—un saco de fuerza para el desarrollo de los derechos en los entornos digitales. La criminalización de conductas por parte del estado es una ultima ratio, a la que las autoridades deberían recurrir mediante tipos penales precisos, acotados, y de aplicación acotada. Son las condiciones necesarias para que el flujo de información en Internet permanezca libre de censuras indebidas.