31 Julio 1999
En Noviembre de 1998 cierto documento Enfopol fue filtrado a la prensa. Pero prácticamente no nos dimos cuenta de las consecuencias hasta que, el 7 de Mayo de 1999, el Parlamento Europeo aprobó dicho documento en la forma de una resolución que parecía dar a las autoridades policiales capacidades de interceptación sin precedentes. Técnicamente es una resolución no vinculante, pero pocos dudamos de la voluntad política de los gobiernos por traducirla en ley nacional.
Desde entonces estamos al acecho. ¿Qué va a pasar de ahora en adelante? ¿Qué habrá más allá de Enfopol? No resulta fácil averiguarlo, pero tanto las filtraciones a la prensa como la información disponible en las propias páginas web europeas (Parlamento, Comisión, bases de datos) permite hacerse cierta idea de conjunto. Desde mi anterior Informe (17 de Mayo) sobre el tema, he aprendido bastantes cosas. He aquí las más
significativas.
Resolución de 17 Enero 1995
Documentos intermedios
Enfopol 98
Enfopol 98 Rev 1
Enfopol 98 Rev 2
Enfopol 98 Rev 2 Cor 1
Enfopol 19
Resolución de 7 Mayo 1999
Para hacerse una visión temporal más completa, recomiendo la Cronología Enfopol de Duncan Cambpell, Erich Moechel y Christiane Schulzki-Haddouti. Hay una traducción al castellano
aquí
- Resolución de 17 Enero 1995. En tal fecha, el Consejo de la Unión Europea adopta la Resolución sobre Interceptación Legal de las Telecomunicaciones. Desarrollada bajos los auspicios del FBI y adoptada mediante procedimiento escrito, consiste en un conjunto de requisitos técnicos de las "autoridades competentes" para poder realizar interceptaciones de comunicaciones. Aunque se habla de operadores de red y proveedores de servicios, la Resolución está fundamentalmente enfocada a los diversos tipos de telefonía; no hay referencias a Internet. El grado de secreto que rodea esta Resolución puede apreciarse si se tiene en cuenta que no fue publicada oficialmente hasta el 11 de Noviembre de 1996 (Diario Oficial nº C 329 de 04/11/96, pp. 0001-0006). El borrador de esta Resolución, inicialmente denominado IUR 1.0, adoptó el nombre de Enfopol 90.
- Documentos intermedios. En el período comprendido entre el 17/01/95 (Resolución de 1995 sobre interceptación) y el 03/03/98 (fecha de Enfopol 98) aparecen diversos documentos apenas conocidos. Según la cronología de Moechel y Campbell, podemos destacar:
28/11/96: Enfopol 112 (10037/95). Memorando de Entendimiento para otros países interesados en adoptar la Resolución de 1995 como base para sus políticas nacionales. Países como EEUU, Canadá, Australia y Noruega confirmaron su interés.
21/05/97: Enfopol 115. Contiene un conjunto de recomendaciones de la OCDE sobre criptografía y actividades de diversos grupos de trabajo de la UE.
27/11/97: Enfopol 229. Se centra en el acceso policial a claves criptográficas de personas bajo vigilancia.
13/01/98: Enfopol 1. Redactado por la delegación austríaca, contiene consideraciones básicas sobre la vigilancia de las telecomunicaciones en general.
03/07/98: Enfopol 87. Germen del documento Enfopol 98, contiene difiniciones de términos técnicos.
-
Enfopol 98 (10951/98), fechado el 03/09/1998. Redactado por la presidencia austríaca al Grupo de Trabajo sobre Cooperación Policial el 3 de Septiembre de 1998, consiste en una revisión de la Resolución de 17 de Enero de 1995. Durante esta "revisión" engorda desde seis hasta cuarenta páginas. Incluye ahora explicaciones y aclaraciones específicas de la aplicabilidad de la Resolución a Internet y a los sistemas de comunicación por satélite (S-PCS) como Iridium o Globalstar. Se incluyen asimismo un número de requisitos suplementarios relativos a la llamada interceptada (como número de tarjetas de crédito, códigos identificativos y de autentificación, códigos PIN, etc); requisitos a los proveedores de servicios y operadores de redes sobre las medidas de seguridad que han de adoptar para proteger las interceptaciones (interfaces protegidos en zona restringida con contro de acceso, aprobación de controles de seguridad, lista de personal autorizado para accesos, protección frente a terceros); y requisitos sobre criptografía (para resumir: si las autoridades desean claves criptográficas o material descifrado, lo obtendrán de un modo u otro, con la forzosa cooperación de los operadores de red y sin conocimiento del sujeto vigilado); finalmente, aparecen nuevas definiciones en el glosario. En el colmo de la anti-sutileza, explica que "los gobiernos de Estados Unidos de América, Canadá y Australia han acordado formalmente tomar en cuenta los Requisitos dentro de sus políticas nacionales y recomendar que sean usados como base de discusión con la industria de las telecomunicaciones, los institutos sobre estándares y otros" Y todo esto, claro, en secreto. Este es el documento filtrado por Telepolis, y el que destapó la lata de gusanos.
- Enfopol 98 Rev 1 (10951/1/98), fechado el 10/11/1998. Compilado en reuniones celebradas en Viena (20 a 22 Octubre 1998) y Madrid (27 a 28 Octubre 1998), es menor en tamaño que su predecesor Enfopol 98. En parte se debe a que desaparecen las prolijas explicaciones que acompañaban a cada punto. Aunque permanecen los nuevos requisitos incluidos en la anterior versión (puntos 7 a 10), misteriosamente desaparecen los requisitos suplementarios relativos a los datos relacionados con la llamada, a la seguridad en los proveedores de servicios y operadores de red, y a la criptografía. También desaparecen la mayoría de las nuevas definiciones del Glosario. Citando el documento: "con relación a otras áreas técnicas relacionadas indirectamente a los requisitos actuales de interceptación (p. ej. criptografía, datos asociados con la llamada y relativos al abonado), se necesitarán descripciones técnicas adicionales. Tras ser completadas, podrían publicarse junto con los requisitos de 1995 y las explicaciones mencionadas anteriormente en un manual técnico." Por favor, quien encuentre ese manual que avise.
- Enfopol 98 Rev 2 (10951/2/98), fechado el 3/12/98. Contiene ciertas modificaciones del documento Enfopol 98 Rev 1, aunque no dicho documento en sí. Es decir, es un complemento, pero no una sustitución de Enfopol 98 Rev 1. Tras explicar que Enfopol 98 "no facilitaba una comprensión sencilla" (una manera de decir que les había engordado demasiado) y afirmar de nuevo que todos los documentos sobre descripciones técnicas y resoluciones adicionales "podrían publicarse en un manual", incorpora dentro de los distintos apartados las explicaciones que aparecían como "notas" en la Rev 1. Básicamente, introduce pocas novedades.
- Enfopol 98 Rev 2 Cor 1(10951/2/98), fechado el 26/01/99. Corrige el documento Rev 2 en un par de puntos de menor importancia.
- Enfopol 19 (6715/98), fechado el 15/03/99. Es el documento siguiente en la saga, ya que aunque tiene una denominación numérica distinta incluye la referencia Enfopol 98 Rev 2 Cor 1 como documento previo. Enfopol 19 incorpora los apartados nuevos debatidos en los documentos Enfopol 98 Rev 1, Rev 2 y Rev 2 Cor 1. Básicamente, constituye una actualización a la Resolución de 17 Enero 1995, afirmando que los requisitos de dicha Resolución son asimismo aplicable a Internet, comunicaciones por satélite y "nuevas tecnologías de comunicaciones"; y, del mismo modo, solicita a los estados miembros que implementen estos requisitos.
- Resolución de 7 de Mayo 1999. En ella, el Parlamento Europeo aprueba el proyecto del Consejo 10951/2/98 (es decir, Enfopol 98 Rev 2 Cor 1, lo que equivale básicamente a Enfopol 19), que adopta el nombre de "Resolución del Consejo sobre la interceptación legal de las telecomunicaciones en relación con las nuevas tecnologías" Al adoptarla, el Parlamento Europeo desoyó el informe de la Comisión de Libertades Públicas y Asuntos Interiores y la opinión de la Comisión de Asuntos Jurídicos y
Derechos de los Ciudadanos del propio Parlamento, que rechazaban la propuesta del Consejo y pedían una nueva propuesta (informe Schmid A4-0243/99).
Resulta especialmente significativo la inclusión en la nueva Resolución de una enmienda según la cual el Consejo "tiene intención de examinar, antes del 1 de julio del año 2000, hasta qué punto los Estados miembros han traspuesto al Derecho nacional esta Resolución y la Resolución del Consejo, de 17 de enero de 1995, sobre la interceptación legal de las telecomunicaciones." Lo curioso proviene del hecho de que, tanto la Resolución de 17 Enero 1995 como la de 7 Mayo 1999, son resoluciones NO VINCULANTES. Una y otra constituyen un conjunto amplio y detallado de requisitos técnicos, pero se limitan a solicitar a los Estados miembros a que apoyen esos criterios y los pongan en práctica, sin constituir ley en sí mismas.
Esto explica que, técnicamente, los gobiernos digan la verdad cuando afirman
que la Resolución no es más que un conjunto de requisitos técnicos, y que no
constituyen legislación vinculante alguna. En este sentido se ha manifestado,
por ejemplo, el gobierno alemán en una nota de prensa. Un mensaje del autor de
este Informe al Ministerio de Interior español fue respondido en términos
similares. De acuerdo con dicha respuesta, la legislación sobre escuchas
judiciales sigue la Ley de Enjuiciamiento Civil.
Sin embargo, hay algo aquí que no cuadra. Si son solamente requisitos técnicos, ¿por qué se ha actuado con tanto secretismo? Y si no son vinculantes, ¿por qué molestarse en redactarlos? Es como si la Guardia Civil redactara una lista de requisitos sobre, por ejemplo, las características técnicas de los coches. A menos que se plasme en ley, los fabricantes de automóviles ni se molestarán en leerlas, por no hablar de los conductores.
Eso, en mi opinión, se debe a que lo que hemos visto es solamente el primer paso en el proceso: la adopción de un conjunto de normas técnicas y requisitos deseables para la interceptación de las comunicaciones. El siguiente paso, por supuesto, consiste en convertirlas en ley. Y en esa transformación, Enfopol habrá de salir de las trincheras y cruzar campo abierto. ¿Cómo se hará? ¿Un convenio internacional, una modificación del Código Penal, una Resolución a nivel de jefes de estado y gobierno? Recordemos que las Resoluciones (las de 1995 y 1999), precisamente por su carácter técnico, no incluyen los
procedimientos legales y judiciales que se han de adoptar durante una interceptación. Simplemente presuponen que existe una autorización legal y describen cómo se llevará a cabo.
Esta falta de garantías jurídicas (más allá de las vagas alusiones a una "autorización legal") constituye, a mi entender, una de las más graves amenazas en todo el asunto. Si existen las garantías legales y jurídicas adecuadas, la interceptación de las comunicaciones digitales por telefonía móvil e Internet no debería diferir de las actualmente existentes en telefonía fija. Pero si la plasmación de los requisitos a la ley se traduce en una pérdida de garantías o derechos individuales, los daños a la privacidad personal se hacen evidentes. No puedo dejar de pensar en la famosa ley Corcuera. No importó que se redactase con buenos propósitos dentro de la lucha contra el crimen: se
entendió que transgredía las normas constitucionales y fue por ello derogada. Los ciudadanos imponemos un límite a las leyes que nos regulan.
Hasta aquí este primera parte sobre el desarrollo de Enfopol. Si ha resultado pesada, os pido disculpas. Pero con tanto documento circulando por ahí, considero importante aprender a distinguir entre documentos, resoluciones y requisitos técnicos. Os prometo más emoción para la segunda parte. Hablaremos del proceso por el que Enfopol puede convertirse en realidad legal. Y digo "puede" porque todavía no está todo dicho. Aún no está todo bien atado por nuestros bienpensantes. Por fortuna para nosotros.
© Arturo Quirantes
2005. Correo electrónico: aquiran arroba
ugr.es
Vuelta a la sección Informes del Taller de Criptografía