Consultoría especializada en el impacto de la política pública en las telecomunicaciones, las TIC y los medios. Análisis: lineamientos de colaboración de operadores con instancias de justicia y seguridad Jesús Romo de la Cruz Diciembre, 2014 Lineamientos de colaboración con la justicia http://telconomia.com Introducción La Ley Federal de Telecomunicaciones y Radiodifusión (LFTR) en su Título Octavo establece las obligaciones de colaboración de los operadores de telecomunicaciones con las instancias de justicia y seguridad pública del Estado. Como parte de su mandato, el Instituto Federal de Telecomunicaciones (IFT) sometió a consulta pública su anteproyecto de lineamientos1 sobre esta materia entre el 12 y el 27 de noviembre del 2014. Estas reglas cubren requisitos como la conservación de datos de las comunicaciones de los usuarios en bases de datos de los operadores, la localización geográfica en tiempo de real de dispositivos móviles (geolocalización), la intervención de comunicaciones privadas, la suspensión de señales a solicitud de las autoridades, la homologación de un número telefónico para emergencias, entre otros. El presente análisis se centra en el conjunto de lineamientos que rigen las siguientes interacciones de los operadores con instancias de seguridad pública y justicia, cómo están definidos en la ley y cómo se traducen en factores de costos para la industria: 1.- La intervención de las comunicaciones privadas. 2.- Geolocalización de dispositivos móviles. 3.- Retención de datos de las comunicaciones de usuarios. De manera general, los lineamientos sobre estas obligaciones tienen distintos niveles de precisión sobre qué autoridades están facultadas para hacer estas peticiones y qué marco jurídico las ampara. La geolocalización y la intervención de comunicaciones privadas tienen un antecedente más explícito en la ley, pero el acceso a datos de comunicaciones almacenados por los concesionarios tiene controles menos específicos. Entre los costos que pueden ser identificados con más claridad para la industria se encuentra la capacidad para retener una mayor cantidad de datos derivadas de la expansión del plazo en la ley a dos años, el requisito de tener plataformas y protocolos seguros para transferir esta información al gobierno, su revisión periódica para el IFT, el cumplimiento de estándares de conservación de datos y geolocalización, así como la 1 http://www.ift.org.mx/iftweb/industria-2/industria-intermedia-nv/consulta-publica-del-anteproyecto-de-lineamientos-decolaboracion-en-materia-de-seguridad-y-justicia/ Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 1 Lineamientos de colaboración con la justicia http://telconomia.com capacitación de responsables de procesar estas solicitudes para dar respuesta a la autoridad y tener la capacidad de evaluar si son procedentes o no. La recomendación que se desprende de este análisis es que el IFT en uso de sus facultades como organismo autónomo recurra a esquemas de gobernanza2 para perfeccionar los lineamientos que resulten de la consulta pública. Al establecer un espacio institucional para incluir a los actores que quedan excluidos en la redacción de la ley y los lineamientos se tiene oportunidad de analizar estándares y mejores prácticas relativas a la protección de datos personales, su tratamiento, interpretaciones más específicas sobre qué autoridades están facultadas para solicitar la colaboración de los operadores y revisar los costos en los que la industria incurrirá para dar cumplimiento a estas obligaciones. Intervención de Comunicaciones Privadas La intervención de las comunicaciones privadas es la que tiene criterios más específicos en la legislación nacional. El artículo 16 de la constitución política mexicana3 señala de manera explícita que estos procedimientos se autorizan solamente a través de un juez federal y a solicitud de autoridades federales facultadas por la ley4, así como por los titulares de los ministerios públicos de las entidades federativas5. Estas solicitudes de intervención siempre deben especificar su fundamento legal, causas, tipo de comunicación y sujetos a intervenir, así como el plazo. Las intervenciones no son realizables en materia electoral, fiscal, civil, mercantil, laboral o administrativa. La LFTR6 transcribe prácticamente esta porción del artículo 16 en términos de las autoridades que pueden solicitar la autorización de comunicaciones privadas al poder judicial federal: 2 Un esquema de política pública de gobernanza es, por ejemplo, un presupuesto participativo. En estos esquemas, la autoridad abre un espacio de diálogo entre actores involucrados y estos intercambios deben vincularse a la decisión pública final, de manera que se establece un esquema más “horizontal” con más valor en las redes de actores y menos peso de la jerarquía legal-burocrática. 3 http://www.diputados.gob.mx/LeyesBiblio/htm/1.htm 4 Ministerio Público Federal, Centro de Investigación y Seguridad Nacional (CISEN) y Policía Federal, de acuerdo con las siguientes leyes: Código Nacional de Procedimientos Penales; Ley de Seguridad Nacional; Ley Federal contra la Delincuencia Organizada; Ley General del Sistema Nacional de Seguridad Pública; Ley Orgánica del Poder Judicial de la Federación; Ley de la Policía Federal. 5 La Ley Orgánica del Poder Judicial de la Federación señala que cuando un ministerio público de una entidad federativa solicite la intervención, se concederá exclusivamente en casos donde se persiga el delito de homicidio, asalto en carreteras o caminos, robo de vehículos, privación ilegal de la libertad, secuestro o esclavitud, trata de personas o explotación. 6 http://www.diputados.gob.mx/LeyesBiblio/pdf/LFTR_140714.pdf Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 2 Lineamientos de colaboración con la justicia “Las comunicaciones privadas son http://telconomia.com inviolables. Exclusivamente la autoridad judicial federal, a petición de la autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada”. El anteproyecto de lineamientos recoge estas reglas y establece que los operadores deben contar con personal para atender estas solicitudes (lineamiento sexto), y las intervenciones sólo pueden ser resueltas por un juez federal a solicitud de autoridades federales y ministerios públicos de las entidades federativas (lineamiento décimo primero). De manera complementaria, existen leyes que mantienen estas consideraciones específicas para este tipo de intervenciones: Ley Tratamiento de intervención de comunicaciones privadas Código Nacional de Procedimientos Penales 7 (CNPP) Artículo 252: se requiere autorización previa de un juez de control. Artículo 291: pueden solicitarla la PGR o servidores públicos facultados en su ley orgánica, así como procuradores de las entidades federativas. Deben pedirla a un juez federal expresando objeto y necesidad. Artículo 292: la solicitud debe precisar persona o personas sujetas a la intervención, tipo de comunicación, duración, líneas o aparatos a intervenir, empresa de comunicaciones a través de la que se hace la intervención. Estas intervenciones se autorizan por seis meses y son prorrogables si se presentan nuevos elementos que la justifiquen. Artículo 294: no se autorizan intervenciones en materia electoral, fiscal, mercantil, civil, laboral o administrativa o en comunicaciones detenido-defensor. Artículo 34: el Centro de Investigación y Seguridad Nacional (CISEN) puede solicitar estas intervenciones. Artículo 8: la Policía Federal está facultada para solicitar intervención de comunicaciones privadas. Artículo 8: La PGR a través de una unidad especializada puede solicitar las escuchas. Ley de Seguridad Nacional Ley de la Policía Federal 8 9 Ley Federal contra 10 Delincuencia Organizada la 7 http://www.diputados.gob.mx/LeyesBiblio/pdf/CNPP.pdf 8 http://www.diputados.gob.mx/LeyesBiblio/pdf/LSegNac.pdf 9 http://www.diputados.gob.mx/LeyesBiblio/pdf/LPF.pdf 10 http://www.diputados.gob.mx/LeyesBiblio/pdf/101.pdf Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 3 Lineamientos de colaboración con la justicia http://telconomia.com Costos para los operadores Esta obligación presenta una mayor continuidad para los operadores, ya que se mantienen vigentes las disposiciones previas a la entrada en vigor de la LFTR y los lineamientos no suponen cambios mayores. Sin embargo, el anteproyecto de lineamientos instruye a los operadores para que cuenten con plataformas electrónicas para comunicarse con la autoridad y darles acceso en tiempo real a las comunicaciones privadas en caso de que sean autorizadas por un juez federal. La habilitación de esta plataforma, su conservación y el desarrollo de un sistema de autenticación basado en firmas y sellos electrónicos supone el cambio más evidente en esta política pública, obligación que puede tener un mayor impacto económico en los operadores de menor tamaño. Además, si la autoridad demanda más intervenciones para suplir, por ejemplo, medidas cautelares como el arraigo y el IFT tiene facultades para solicitar mejoras y actualizaciones en los sistemas, estos costos pueden incrementarse. Arraigos solicitados Intervenciones de por PGR comunicaciones solicitadas por PGR 2012 2013 2014 846 305 113 (hasta abril) 631 1270 489 (hasta abril) Fuente: Consejo de la Judicatura Federal, Poder Judicial de la Federación Geolocalización En cuanto a la geolocalización, la constitución no es explícita, y la LFTR establece en la sección I del artículo 190 la obligación de colaborar con las autoridades para establecer la localización geográfica11 en tiempo real de un dispositivo móvil. El artículo Trigésimo Séptimo Transitorio de esta misma normativa indica que las autoridades están definidas por la antigua Ley Federal de Telecomunicaciones12 (LFT) en tanto entra en vigor el CNPP. Autoridades indicadas en LFT Autoridades previstas en CNPP, publicado el 5 de marzo del 2014 y con una fecha límite de 11 La LFTR define la geolocalización como “ubicación aproximada en el momento en que se procesa una búsqueda de un equipo terminal móvil asociado a una línea telefónica” en su artículo 3. 12 http://www.normateca.gob.mx/Archivos/66_D_3391_16-01-2013.pdf está ley será sustituida gradualmente por la LFTR, dependiendo de lo que ésta indique en sus artículos transitorios. Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 4 Lineamientos de colaboración con la justicia Titular de la PGR y de las procuradurías de las entidades federativas. http://telconomia.com entrada en vigor fijada para el 18 de junio del 2016 Titular de la PGR, titulares de las procuradurías de las entidades federativas y fiscales generales de los estados. En la redacción de estas leyes no se establece que se requiera una orden judicial para solicitar la geolocalización. El anteproyecto de lineamientos del IFT dedica su capítulo tercero a la geolocalización. El lineamiento octavo indica que los operadores deben enviar a la autoridad que lo requiera un vínculo electrónico para ejecutar este tipo de localización de líneas y aparatos móviles. Los operadores deben informar al IFT sobre cuántos de estos vínculos pueden mantener de manera simultánea y por cuánto tiempo de acuerdo con su capacidad. El lineamiento noveno indica que el IFT determinará parámetros de precisión diferenciados por tres tipos de áreas (urbana, suburbana y rural13) y las propias autoridades sugerirán al Instituto las áreas a priorizar, de manera que la capacidad de geolocalización sea desplegada por las empresas cumpliendo dichos estándares. El lineamiento décimo mantiene la posibilidad de que si la autoridad lo requiere y fundamenta, se pueden activar “métodos de geolocalización intrusiva”, es decir, aquellos que manipulen la terminal que se desea localizar para que ésta active funciones que permitan su ubicación geográfica. Al no mencionarse el requisito explícito de una orden judicial, este método de geolocalización queda posibilidad dentro de la discrecionalidad de las autoridades y su capacidad para justificarla. Además de estos lineamientos encontrados en el capítulo dedicado a la geolocalización, los artículos transitorios quinto y sexto establecen criterios adicionales. El artículo quinto transitorio indica que los operadores deben reportar al IFT su capacidad actual de geolocalización, sus zonas de cobertura, además de los parámetros de precisión actuales y la tecnología usada. Si un concesionario o autorizado no satisface los criterios revisados por el IFT tiene un plazo de nueve meses para cumplir con lo requerido. El 13 Localidades: rural, menos de 2,500 habitantes que no es cabecera municipal; suburbana 2,500 a 14,999 habitantes; urbana más de 15 mil habitantes. Criterios establecidos en los mismos lineamientos del IFT. Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 5 Lineamientos de colaboración con la justicia http://telconomia.com artículo sexto transitorio describe las autoridades que podrán solicitar la geolocalización de acuerdo con el CNPP. De manera adicional a los lineamientos, el CNPP en su artículo 303 se refiere a la geolocalización como una técnica que puede ser solicitada cuando exista una investigación y querella, de manera que el procurador federal o los de las entidades federativas (o los servidores públicos a los que se les delega dicha facultad) pueden solicitarla a los concesionarios o autorizados de telecomunicaciones. Estas líneas o dispositivos deben estar asociadas con el hecho que se investiga. Este acto de investigación no se encuentra dentro de los que requieren una autorización previa por el juez de control en términos del artículo 252 del CNPP. La Ley de la Policía Federal, sin embargo, menciona en la sección XXVIII del artículo 8, que la Policía Federal puede solicitar por escrito a un juez en términos del artículo 16 constitucional la georreferenciación de los equipos de comunicación móvil en tiempo real con fines de cumplir la prevención de delitos. La autoridad judicial responderá a esta solicitud en un plazo no mayor a 12 horas. Costos para la industria De inicio, si un operador no cumple con esta obligación, el IFT puede imponerle una multa en el orden del 1.1% hasta el 4% de los ingresos de la compañía. Además de contar con sistemas que hagan viable la geolocalización y una plataforma que permita acceder a esta información en tiempo real con protocolos de autenticación por firmas y sellos, los concesionarios y autorizados deberán atender mejoras o actualizaciones en sus sistemas para cumplir con los parámetros de precisión para ubicar terminales según lo señale el IFT en consulta con las instituciones del Estado. Según los lineamientos, se determinará la capacidad requerida en términos de precisión para áreas urbanas, suburbanas y rurales por el IFT, y las autoridades podrán establecer áreas prioritarias a cubrir. Para esto, los operadores entregarán al IFT un informe sobre su capacidad actual sobre cuántos vínculos electrónicos simultáneos pueden mantener para que las autoridades puedan consultar datos de geolocalización, así como sus parámetros actuales de precisión de rastreo de los dispositivos. Otro costo previsible es que los concesionarios y autorizados deberán contar con terminales que permitan ejecutar métodos intrusivos de georreferenciación con terminales Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 6 Lineamientos de colaboración con la justicia http://telconomia.com que puedan activar funcionalidades como ubicación a través de GPS u otras aplicaciones que puedan triangular la ubicación. Datos de comunicaciones conservados El acceso a datos conservados por empresas de telecomunicaciones no tiene una mención explícita en la constitución que permita saber qué autoridades pueden solicitar esta obligación a los operadores o si estos datos deben ser considerados como datos personales en manos de particulares o como comunicaciones privadas. La LFTR en su artículo 189 menciona lo siguiente: “titulares de instancias de seguridad y procuración de justicia designarán a los servidores públicos encargados de gestionar los requerimientos que se realicen a los concesionarios y recibir la información correspondiente, mediante acuerdos publicados en el Diario Oficial de la Federación”. Mientras que la geolocalización e intervención de comunicaciones tienen criterios más específicos en la constitución y en otras leyes secundarias, la LFTR es ambigua sobre qué instancias de seguridad y justicia pueden requerir el acceso a esta información, estableciendo solamente la obligación de publicar acuerdos. En el artículo 190 de la LFTR se establece que los operadores están obligados a llevar un registro y control de comunicaciones por 24 meses14 que permita reconocer lo siguientes datos: Nombre, denominación o razón social y domicilio del suscriptor. Tipo de comunicación utilizada, como voz, buzón, conferencia y datos, además de servicios de mensajería o multimedia. Datos que permitan determinar fecha, hora, duración de la comunicación y servicios de mensajería o multimedia usados. Identificación y características técnicas de los 15 16 dispositivos, incluyendo el IMEI y el IMSI . Datos que permitan rastrear el origen y destino de la comunicación en telefonía móvil, como número de destino y tipo de plan. Hora y fecha de la primera activación del servicio, así como el identificador de celda desde la que se activó. Ubicación digital del posicionamiento geográfico de las líneas telefónicas 14 En la LFT este plazo era sólo de 12 meses y no se especificaba la identificación de características técnicas de los dispositivos ni el IMEI e IMSI 15 International Mobile Equipment Identity, Código de Identidad de Fabricación del Equipo. 16 International Mobile Suscriber Identity, Código Internacional del Usuario Móvil Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 7 Lineamientos de colaboración con la justicia http://telconomia.com Los datos que estén comprendidos en los primeros 12 meses deben poder ser consultados en tiempo real por las autoridades vía medios electrónicos; el resto en un plazo no mayor a 48 horas. Esta obligación responsabiliza a los operadores del cuidado de los datos y de cuidar que no se alteren y no se tenga acceso ilícito a los mismos. Las empresas deben contar con personal autorizado para su manejo y control, además de personal disponible todos los días y horas del año para atender los requerimientos de las autoridades en cuanto a acceso a esta información, así como la geolocalización e intervención de comunicaciones privadas. El IFT no eliminó en los lineamientos la ambigüedad en el rango de autoridades que pueden tener acceso a los datos conservados. En las definiciones de conceptos para estas reglas se especifica que las instancias de procuración de justicia son la PGR, las procuradurías estatales y aquellas que las sustituyan, pero en “instancias de seguridad” se identifican la Policía Federal, el CISEN y las instancias referidas en el artículo 189 de la LFTR, cuya redacción sólo habla de titulares de instancias de seguridad y procuración de justicia que tengan facultades para solicitar información. El capítulo cuarto de los lineamientos se dedica al registro de los datos de comunicaciones. El lineamiento décimo primero indica que este registro de datos no contempla una intervención a las comunicaciones privadas, y que esta práctica se refiere solamente a retención de los datos sin que su contenido sea intervenido o grabado. Esta información debe ser accesible a las autoridades a través de una plataforma electrónica y protocolos de autenticación de las solicitudes de la autoridad. El lineamiento décimo tercero especifica los datos que deben conservados de acuerdo con el tipo de comunicación17: Tipo de comunicación Líneas privadas Telefonía fija 17 Datos a conservar Nombre de usuario registrado Dirección de origen y destino de la línea Nombre y dirección del usuario registrado Tipo de comunicación Números de origen y destino Las bases de datos que conserven esta información deben estar en territorio nacional. Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 8 Lineamientos de colaboración con la justicia Telefonía móvil (modalidades prepago y pospago) Comunicaciones por Internet (IP) http://telconomia.com Duración, fecha y hora de la comunicación. Nombre y dirección del usuario registrado en el caso de planes de pospago Lugar, fecha y hora en la que se compró el dispositivo o la tarjeta SIM, o datos del distribuidor que vendió la terminal o el SIM en caso de que no sea canal de distribución del operador, para el caso de planes de prepago Números de origen y destino Tipo de comunicación Duración, fecha y hora de la comunicación Fecha y hora de la primera activación del servicio identificador de celda desde la que se activó por primera vez IMEI e IMSI Nombre, denominación o razón social y dirección del usuario en el momento en el que se le haya asignado una dirección IP Tipo de comunicación (tipo de servicio de internet usado) Usuarios registrados destinatarios de la comunicación Fecha y hora de la comunicación basada en un huso horario La dirección IP, dinámica o estática, asignada por el proveedor Tiempo durante el que estuvo asignada la dirección IP El artículo cuarto transitorio de estos lineamientos prevé que los operadores informen al IFT sobre sus capacidades actuales de retención y registro de datos de comunicaciones. En caso de que no exista factibilidad técnica para cumplir esta obligación se les otorgará un plazo de seis meses para cumplir este objetivo que debe ser llevado a cabo con un calendario mensual de avances. Después de la revisión de los lineamientos quedan en la ambigüedad dos cuestiones: cómo deben ser entendidos los datos de las comunicaciones de los usuarios (¿comunicaciones privadas o datos personales?) y las autoridades que pueden tener acceso con o sin una orden judicial. En los lineamientos puestos a consulta se establece que el registro de estos datos no representa una intervención en términos de lo que establece la constitución en su artículo 16. El lineamiento tercero dice que el control y registro de datos personales hace aplicable la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP18), que define a los datos personales como “cualquier información concerniente a una persona física identificada o identificable”. 18 http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 9 Lineamientos de colaboración con la justicia http://telconomia.com Si esta información corresponde a “datos personales” en manos de particulares, el acceso a los mismos puede ser identificado como tratamiento, según la LFPDPP, que comprende En caso de que éstos se entiendan como datos personales, el acceso podría ser identificado como “tratamiento”, que comprende su obtención, uso, divulgación o almacenamiento por cualquier medio, según esta normativa. En su artículo 10, esta ley indica que el tratamiento de estos datos no requiere de consentimiento cuando esté previsto en una ley o cuando se dicte una resolución de una autoridad competente, lo que deja sin especificar el requisito de una orden judicial. En este sentido, la protección de estos datos depende de si una ley ordena su tratamiento. Además, estos datos no pueden quedar protegidos ante motivos de seguridad nacional, el orden, la salud pública y los derechos de terceros, según el artículo 3 de la LFPDPPP, y el artículo 37 ordena la transferencia de esta información cuando se exija o sea necesaria para la procuración o administración de justicia. En suma, esta comparación permite inferir que los datos personales en manos de particulares son una figura que tiene menos “candados” jurídicos que las comunicaciones privadas, aunque las leyes mexicanas no hacen una distinción clara de qué constituye una comunicación privada y los datos acerca de estas comunicaciones. Las comunicaciones privadas son consideradas en algunas leyes como los datos que identifican las comunicaciones o sus registros, y no sólo como los contenidos de las conversaciones o intercambios: Ley Definición de comunicaciones privadas Código Nacional de Procedimientos Penales Artículo 291: “La intervención de comunicaciones privadas, abarca todo un sistema de comunicación, o programas que sean fruto de la evolución tecnológica, que permitan el intercambio de datos, informaciones, audio, video, mensajes, así como archivos electrónicos, que graben, conserven el contenido de las conversaciones o registren datos que identifiquen la comunicación, las cuales se pueden presentar en tiempo real o con posterioridad al momento en que se produce el proceso comunicativo”. Ley de Seguridad Nacional Artículo 34: “Se entiende por intervención de comunicaciones la toma, escucha, monitoreo, grabación o registro, que hace una instancia autorizada, de comunicaciones privadas de cualquier tipo y por cualquier medio, aparato o tecnología”. Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 10 Lineamientos de colaboración con la justicia http://telconomia.com Artículo 39: la intervención es aplicable a “emisiones” de comunicaciones privadas de cualquier tipo y por cualquier medio o tecnología. Estas definiciones de comunicaciones privadas no se refieren sólo a los contenidos de los intercambios, sino a datos que permitan identificar estas comunicaciones o su registro. Los lineamientos y la LFTR tampoco son claros al describir qué instancias de seguridad y justicia pueden tratar los datos conservados. En la LFT se establecía en la sección XII del artículo 34 que éstos podían ser entregados al titular de la PGR o los procuradores de los estados cuando realizaran investigación en delitos de extorsión, amenazas, secuestro o algún delito grave relacionado con la delincuencia organizada. En la ley vigente no quedan especificadas las autoridades que tienen esta prerrogativa. Así, a través de las leyes se pueden tener interpretaciones que mantengan un espectro amplio de autoridades que podrían tener acceso a los datos conservados. Por ejemplo, la Ley General para Prevenir, Sancionar y Erradicar los Delitos en Materia de Trata de Personas y Para la Protección y Asistencia a las Víctimas de Estos Delitos19, el ministerio público quedaría habilitado para solicitar acceso, de acuerdo a su artículo 57, que permite solicitar información a empresas de telefonía y comunicación. La Policía Federal también estaría facultada de acuerdo con la sección XXVIII del artículo 8 de la Ley de la Policía Federal, aunque esta corporación podría solicitar a la información con la que cuenten los operadores, aunque deberían pedir por escrito a un juez el acceso a la misma. Además, el CNPP en su artículo 3 permite inferir que las policías que se coordinen bajo el ministerio público federal o del fuero común pueden “requerir a las autoridades competentes y solicitar a las personas físicas o morales, informes y documentos para fines de investigación”. La Ley General del Sistema Nacional de Seguridad Pública20 reconoce como instituciones de seguridad pública a instituciones policiales a nivel estatal y municipal en la sección VIII de su artículo 5, lo que deja a la interpretación si de acuerdo con la redacción del artículo 189 de la LFTR, estas corporaciones pueden ser instancias de seguridad pública con acceso 19 http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPSEDMTP.pdf 20 http://www.diputados.gob.mx/LeyesBiblio/pdf/LGSNSP.pdf Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 11 Lineamientos de colaboración con la justicia http://telconomia.com a datos conservados o si deben estar coordinadas por el ministerio público, ya que según el artículo 7 de la Ley General del Sistema Nacional de Seguridad Pública en su sección XVI están facultadas para “realizar las demás acciones que sean necesarias para incrementar la eficacia en el cumplimiento de los fines de la seguridad pública”. Costos para la industria La ley y los lineamientos del IFT proponen un esquema de bases de datos retenidos que dependan enteramente de los operadores para su habilitación, administración y protección. Hay dos elementos que permiten ir proyectando factores para costos. El más evidente es la ampliación del plazo para la conservación de los metadatos de 12 a 24 meses. No se puede establecer que automáticamente el costo será el doble de lo anterior automáticamente, pues los datos nuevos datos que se generarán pueden ser más del doble de los previamente retenidos. En este sentido, un primer costo será la capacidad de almacenamiento de datos. Un segundo costo proviene de la obligación de registrar el tráfico de todas las comunicaciones, sean éstas comunicaciones “tradicionales” de voz por teléfono o por Internet, de manera que estén disponibles para la autoridad en un plazo de menos de 24 horas. Todos los operadores deberán costear estos dos elementos básicos: la capacidad de almacenamiento de los metadatos, así como la habilitación de una plataforma que pueda registrar efectivamente todos los datos del tráfico, incluyendo aquellos de las comunicaciones por Internet. En síntesis, los operadores deberán costear capacidad que les permita ampliar sus capacidades de almacenamiento y procesar una mayor cantidad de datos por la diversificación de los métodos de comunicación entre usuarios. Estos costos no están solamente relacionados con el tamaño del operador o la cantidad de suscriptores que tiene, puesto que la redacción de la ley y los lineamientos ordenan que se registren y conserven los datos del tráfico, por lo que esta información tendrá que reflejar también las comunicaciones que reciban los suscriptores, no solamente las que emitan. Así como los operadores registrarán información del tráfico que proviene fuera de su red, el sistema general de bases de retención de datos estará guardando “por duplicado” la información de las llamadas off net. Por ejemplo, en el caso hipotético de que los operadores en México observen una distribución de Pareto en el tráfico de llamadas (80% on-net y 20% off-net), quiere decir que los datos del 80% de las comunicaciones serán registrados por el mismo operador, pues Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 12 Lineamientos de colaboración con la justicia http://telconomia.com inician y terminan en su propia red. Sin embargo, ese 20% de llamadas fuera de la red quedan registradas en el operador que recibe y el que envía, pues cada empresa debe registrar y retener datos de tráfico, independientemente de si son origen o destino. Esa quinta parte de tráfico quedará registrada por duplicado en el sistema de bases de datos. Desde luego este es solamente un ejemplo simplificado que permite visualizar cómo la obligación de registrar el tráfico es un factor que complementa los gastos de habilitar y operar las plataformas solicitadas. Una simplificación del esquema de colaboración con la justicia se puede traducir en costos asociados al almacenamiento más costos de registro y manejo de los datos (lo que debe incluir al personal, las medidas de seguridad y la plataforma) más la variable de tráfico que se compone del número de suscriptores propios, así como el tráfico que se recibe dentro de los usuarios de la propia red y las ajenas. Aunque para el caso mexicano no se han estimado aún las cifras que esta medida implica, se puede tomar como referencia el debate sobre la intención del gobierno de Australia en 2012 para introducir reglas de retención de datos de comunicaciones por plazos de 24 meses21. Este esquema era similar al propuesto por la legislación mexicana en el sentido de conservar los metadatos de las comunicaciones. Las asociaciones de operadores de ese país calcularon que llevar a cabo la instalación de este esquema costaría 100 millones de dólares en su forma más básica, pero al registrar el tráfico de comunicaciones por Internet y todos sus elementos multiplicaría cinco o siete veces esa estimación. En términos de costos unitarios, se calculó que esto representaría un gasto de 5 dólares al mes por cada usuario. Sin embargo, esta cifra es sólo una referencia por las diferencias entre ambos mercados. Por poner un ejemplo concreto, ese cálculo del 2012 corresponde a un mercado de 24.4 millones de líneas móviles, mientras que en México en ese mismo año se registraron 100.7 millones aproximadamente (hay 102.5 millones de líneas al tercer trimestre del 2014 en México). La estimación en el caso australiano permite ver, sin embargo, que un esquema que depende solamente de los operadores tiene el potencial de incrementar considerablemente los gastos de retención de metadatos de comunicaciones. 21 El fiscal general del gobierno de Australia puso a consulta el documento equipping Australia against emerging and evolving threats a mediados del 2012, pero fue desechado en el 2013. En octubre del 2014 el gobierno de ese país retomó la intención de legislar la retención rutinaria de datos por los operadores de telecomunicaciones. http://www.aph.gov.au/About_Parliament/Parliamentary_Departments/Parliamentary_Library/pubs/BN/20122013/DataRetention#_ftn110 Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 13 Lineamientos de colaboración con la justicia http://telconomia.com El tráfico se convierte en un factor clave para determinar los costos reales en los que incurrirá cada operador para cumplir con estas obligaciones, además de reconocer costos básicos que provienen de la capacidad de los sistemas, la contratación de personal adecuado, cumplimiento de estándares de seguridad y la asesoría jurídica requerida para interpretar la procedencia de los requerimientos de la autoridad. Al ser un esquema que pone toda la responsabilidad en los operadores, es probable que estos costos sean transferidos a los usuarios a través de aumentos en las tarifas del servicio. Conclusión y recomendaciones Las obligaciones de colaboración con la justicia generan nuevos costos para los operadores a través de un modelo de bases de datos y plataformas habilitadas por los operadores para que las autoridades puedan intervenir comunicaciones, consultar información de geolocalización y metadatos de comunicaciones. La intervención de comunicaciones tiene una definición más concreta en la legislación mexicana, mientras que el acceso a datos conservados es más ambiguo en la ley y los lineamientos del IFT. Las nuevas disposiciones generan costos a los operadores al requerirse una mayor capacidad de almacenamiento de datos y plataformas que permitan registrar y tener acceso a más tipos de comunicaciones, como las que se realizan por Internet. Estos costos están afectados también por el comportamiento del tráfico entre las redes, el tamaño de la red de cada operador, y la necesidad de cumplir con nuevos parámetros de precisión, como en el caso de la geolocalización, protocolos de seguridad que garanticen la integridad y protección de los datos, así como el costo de tener personal técnico y jurídico capacitado para el cumplimiento de estas obligaciones. El modelo expresado en la ley y los lineamientos pone los costos del lado de los operadores, lo que eventualmente puede reflejarse en las tarifas de los servicios de telecomunicaciones. El IFT en su papel de organismo autónomo tiene la oportunidad de generar esquemas de gobernanza en espacios institucionales más “horizontales” que permitan que actores de la industria y organizaciones especializados en temas como manejo de datos personales y seguridad informática aporten criterios para revisar y mejorar las reglas de colaboración con la justicia en los términos que la legislación permita. Los esquemas de gobernanza se refieren a espacios o foros creados desde una institución gubernamental para establecer esquemas de decisión o mejora de políticas públicas Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 14 Lineamientos de colaboración con la justicia http://telconomia.com escuchando y tomando en cuenta la opinión de actores involucrados con las decisiones y programas. Estos foros deben ser vinculantes con las acciones gubernamentales y no sólo espacios de intercambio de ideas, como ocurre por ejemplo con las figuras de los presupuestos participativos de gobiernos locales o municipales, uno de los ejemplos más difundidos en América Latina. Como se puede leer en estos lineamientos, el IFT y los operadores aparecen como los actores naturales de esta política pública, pero en la mismas reglas se involucran elementos de protección de datos personales, seguridad informática, derechos humanos y protección al consumidor. Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 15 Lineamientos de colaboración con la justicia http://telconomia.com ANEXO Proceso para los requerimientos de colaboración El capítulo 2 de los lineamientos cubre la manera en la que se hacen los requerimientos a través del formato que figura en el anexo 2 de este documento. Las autoridades deben llenar el Formato de Requerimiento de Información en Materia de Seguridad y Justicia y enviado a los concesionarios y autorizados de telecomunicaciones, mismo que debe cubrir los fundamentos legales y las atribuciones de la autoridad para requerir la intervención de comunicaciones privadas, la geolocalización de un dispositivo o acceso a datos de las comunicaciones conservadas por los operadores. Estos requerimientos deberán ser apoyados por protocolos de sellos y firmas digitales para autenticar los pedidos. El proceso de validación de los requerimientos no debe tomar más de cuatro horas. La información que permita la geolocalización debe enviarse inmediatamente, mientras que la entrega de datos conservados debe hacerse en un periodo de 24 horas si tienen menos de 12 meses de antigüedad y en un plazo de 48 horas para los que exceden este periodo, pero están dentro de los 24 meses reglamentarios que deben guardarse. Los concesionarios deben mantener plataformas electrónicas para comunicarse con las autoridades, tramitar los requerimientos y entregar la información solicitada. Se pueden utilizar métodos alternos, siempre y cuando se garantice la seguridad e integridad de la información tratada. Los operadores entregan al IFT en enero y julio de cada año un informe semestral de cumplimiento de los lineamientos de colaboración con la justicia incluyendo el número total y por cada autoridad designada de requerimientos de geolocalización y de registro de datos realizados, los no procedentes y aquellos que se recibieron en tiempo y forma. Esta información deberá ser publicada periódicamente en la página del Instituto Federal de Telecomunicaciones. Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 16 Lineamientos de colaboración con la justicia http://telconomia.com FORMATO DE REQUERIMIENTO DE INFORMACIÓN EN MATERIA DE SEGURIDAD Y JUSTICIA Fecha: / / día / mes / año Nombre completo del servidor público: Apellido Paterno Apellido Materno Nombre(s) Cargo del servidor público: Fecha de des i gna ci ón publ i ca da en el Di a ri o Ofi ci a l de l a Federa ci ón de l a des i gna ci ón (a rt´ti cul o 189 de l a Ley Federa l de Tel ecomuni ca ci one y Ra di ofus i ón): Anexa r documento / (Anexar documento) / día / mes / año Objeto de la solicitud: a. Localización geográfica, en tiempo real de los equipos o dispositivos términales móviles, o b. Registro y control de comunicaciones que se requiere El alcance temporal del requerimiento Fundamentos legales del requerimiento Transcripción de los fundamentos legales que sustenten las facultades de la autoridad que realiza el requerimiento Motivación del requerimiento; Información adicional que obre en poder de la autoridad requirente y que permita al concesionario o autorizado atender el requerimiento. En ______________________ a_______ de _______________ del 20____ Luga r y fecha del requeri mi ento Consultoría especializada en política pública en las telecomunicaciones, las TIC y los medios. [email protected] 17