Taller de Criptografía - Informe 13

ENFOPOL en profundidad (2): del Consejo al Convenio


 

31 Julio 1999


De Enfopol a Justpen

Es hora de volver al trabajo. En el anterior Informe hemos tratado del desarrollo técnicos de los documentos que genéricamente denominamos Enfopol. Se trata ahora de determinar cómo ésta se convertirá en ley. Una primera pista la proporciona un documento obtenido por Telepolis y llamado Justpen 87 (11173/98, fechado el 15/09/98) que trata de la vigilancia en el sistema de comunicaciones por satélite Iridium. En principio, parece un perfecto documento Enfopol. Trata básicamente de la forma en que las autoridades de los estados miembros podrían interceptar las comunicaciones de sujetos que usan dicho sistema telefónico.

Resulta interesante es que ese documento no está englobado dentro de ninguna resolución sobre interceptación de telecomunicaciones, a pesar de sus abundantes y descaradas referencias a ese asunto. Justpen 87 no hace mención a ningún documento Enfopol ni de la Resolución de 1995, ni está redactado por el Grupo de Trabajo sobre Cooperación Policial. Por el contrario, se enmarca dentro de un borrador de "Convenio sobre Asistencia Mutua en Asuntos Penales entre los Estados Miembros de la Unión Europea." Eso ya suena a texto legal. ¿Acaso el Convenio será el texto legal que buscamos? No nos entusiasmemos, y a buscar más pistas.

Un documento similar (Justpen 7, nº 6195/99 de 19 Febrero 1999) fue redactado por el Grupo de Trabajo sobre Asistencia Mutual en Asuntos Penales, y comienza con este significativo párrafo: "La versión más reciente del borrador de las disposiciones sobre la interceptación de las telecomunicaciones ha sido incluida en los artículos 11a a 14a del documento 13144/98 Justpen 108." Otros documentos mencionados en la base de datos del Consejo hacen referencia asimismo al proyecto de dicho Convenio sobre asistencia judicial mutua, específicamente haciendo referencia a la interceptación de las telecomunicaciones, al llamado problema de "acceso remoto" y a la vigilancia de personas (documentos Justpen 22, 7196/99 de 07/04/99; Justpen 25, 7477/99 de 21/04/99). También parecen tratar de ese tema los documentos Justpen 4 (5545/99), 9 (6284/99), 31 (7350/99), 79 (10702/98) y 150 (12290/96 y 12290/1/96); digo "parecen" porque no he tenido acceso a ellos.

Cuando se tiene una idea de lo que uno busca, resulta algo más fácil hallar más información. Para ello me he centrado en las propias fuentes europeas del Consejo y las diversas Presidencias. En el programa de trabajo de la presidencia austríaca (segundo semestre de 1998), se afirma que se dará prioridad a "terminar el trabajo del borrador del Convenio sobre Asistencia Mutua en Asuntos Penales ... incluyendo disposiciones sobre la interceptación de las comunicaciones telefónicas." La verdad es que resulta difícil encontrar referencias como esta, a menos que sepamos específicamente que lo que buscamos se encuentra asociado a dicho Convenio, dentro de las actuaciones de Justicia y Asuntos de Interior.

En la página de la Presidencia austríaca solamente queda un documento de más de 500 páginas sobre los objetivos logrados. En la página 229 se dice que los trabajos sobre el borrador del Convenio no pudieron llevarse a cabo a principios de 1998 por "ausencia de acuerdos sobre asistencia mutua relativos a la interceptación de las telecomunicaciones." Se hace también referencia a la preparación de un Protoco anexo al Convenio (pags. 229, 254). Esto resulta especialmente relevante, porque los protocolos suelen incluir mucha información adicional sin la cual el Convenio queda bastante limitado. Así que a buscar Convenio y Protocolo.

También la Presidencia alemana habla del Convenio sobre Asistencia Mutua en Asuntos Penales, refiriéndose a la necesidad de mejorar los instrumentos de asistencia internacional penal mutua para facilitar la lucha contra el dcrimen organizado, y de que "eso es particularmente cierto en tecnologías de comunicaciones internacionales, como las comunicaciones por satélite. Generosamente recuerda que "las libertades fundamentales de los ciudadanos de la Unión afectados por medidas de las autoridades deben ser garantizadas." Menos mal.


El Consejo informa ... más o menos

Puesto que ya parece haber indicios razonables sobre quién es el malo de la película, el siguiente paso consiste en examinar los resultados de los Consejos de Ministros sobre Justicia y Asuntos de Interior y buscar más referencias (el lector interesado puede encontrar extensas notas de prensa en el Consejo de la Unión, sección Prensa/Consejo/Justicia e Interior). Un paseo por dichas notas indica hasta qué punto la Unión Europea planea convertirse en un paraíso orwelliano. Hay abundantes referencias sobre Eurodac, un sistema de identificación de inmigrantes mediante huellas dactilares; "invitaciones" a los estados miembros a que desarrollen bases de datos nacionales de ADN (ya existentes en los Países Bajos, Austria y el Reino Unido); acciones comunes contra la pornografía infantil en Internet (muy loable, pero cargando sobre los proveedores la responsabilidad de hacer de censores o chivatos) ... todo muy razonado, pero inquietante cuando se mira el conjunto con ojo crítico.

Pero vamos a lo nuestro. Veamos qué esfuerzos han realizado los sucesivos Consejos de Ministros de Justicia e Interior al respecto. La primera referencia al Convenio sobre asistencia mutua en materia penal aparecen en la nota de prensa del Consejo de 4 Junio 1996. Aparte de mencionarla como una de las prioridades para el período 01/07/96 a 30/06/98, incluye una referencia a la interceptación dentro de las medidas sobre cooperación policial y aduanera, con alusión a la "Aplicación de las Resoluciones del Consejo y seminario Quántico 4/ Comunicaciones por satélite (Europol 90, 1995)." Recordemos que la Resolución del Consejo a la que se alude por omisión (la famosa Resolución de 17 Enero 1995 sobre Interceptación Legal de las Telecomunicaciones) seguía siendo secreta, y ni fue publicada en el Boletín Oficial europeo hasta noviembre de 1996. Por otro lado, la referencia a "Europol 90" puede haber sido deliberadamente errónea; el periodista Duncan Campbell afirma que la Resolución de 17 Enero 1995 circuló, antes de ser aprobada, como borrador con el nombre de Enfopol 90. Europol es el nombre de nuestra policía europea (y de la que ya hablaremos otro día), pero no es una clase de documentos al estilo de Enfopol o Justpen.

Finalmente, resulta llamativo dicho seminario Quantico. El mismo Campbell, en uno de sus artículos (ver traducción) afirma que los seminarios ILETS (International Law Enforcement Telecommunications Seminar"), auspiciados por el FBI, fueron el germen de los requisitos técnicos IUR, que fueron plasmados tanto en la Resolución de 17 Enero 1995 europea como en leyes similares de otros países (EEUU, Australia). Incluso Noruega y la Unión Europea formaron una declaración común de intenciones a la que se esperaba se uniesen terceros países "y en particular de los pertenecientes al grupo Quantico (Estados Unidos, Australia y Hong-Kong" (ver original). Por cierto, Quantico (Virginia, EEUU) es el lugar donde estan ubicados la academia y el centro de investigación y desarrollo del FBI.

Hay que esperar casi un año para que el Consejo de Ministros de Justicia e Interior vuelva a tratar el tema del Convenio. En la reunión de 26 Mayo 1997, se menciona la interceptación legal de las comunicaciones por satélite y "métodos modernos de investigación transfronteriza." Aparte de eso, nada indica que el Convenio vaya a ser más que un suplemento de otros tratados similares, como la Convenio Europeo de Asistencia Judicial en Materia Penal de 1959 y el Tratado del Benelux de 1962). En la reunión de 4 Diciembre 1997 ni siquiera se mencionan las interceptaciones. Se conviene en fijar las fechas de 1/7/98 para ultimar el Convenio y de 1/7/99 para terminar un protocolo "en el que se establezcan normas comunes sobre las cuestiones mencionadas." Esto suena muy inteligente. Primero se aprueba el Convenio, donde aparecerán sin duda muchas referencias a grandes metas en la lucha contra la delincuencia organizada (y, claro ¿quién se opondría a ello?), y se dejan los asuntos impopulares para el protocolo.

Pero parece que no llueve a gusto de todos, ya que en la reunión del 19 de Marzo de 1998 afirma sigue pendiente de acuerdo el tema de la interceptación de las telecomunicaciones. Muy amablemente, queda asimismo pendiente de acuerdo "la oportunidad de incluir en el Convenio unas disposiciones específicas sobre protección de datos." Hay también otra referencia al protocolo, en el que "asuntos relativos a los métodos modernos de investigación internacional serán tratados posteriormente." En un mundo de fronteras electrónicas abiertas, podemos imaginarnos cuáles serán esos métodos modernos de investigación internacional.

También en la reunión de 28 Mayo 1998 se reconoce que los trabajos sobre cooperación judicial están atrasados, al menos, con respecto a la cooperación policial. Parece como si las normas técnicas fueran más deprisa que su aplicación legal. Por fin, se tiene una leve idea sobre la forma que tendrá el Convenio. Constará en principio de cuatro títulos principales. El Título III trata de lo relativo a la interceptación de comunicaciones. No se hace referencia al protocolo.

En esta misma reunión se incluyen unas conclusiones del Consejo sobre el cifrado y la actuación judicial y policial. Básicamente, dice mucho sin decir nada, al considerar que la protección de la intimidad individual y del comercio electrónico han de protegerse, pero que también mermaría la capacidad de los estados de luchar contra la delincuencia. Pero hay dos puntos importantes. Primer punto, se habla de la necesidad de distinguir entre servicios de autenticación/integridad y de confidencialidad. O, por decirlo de otro modo: las claves de cifrado van por un lado, y las de firmado por otro. Segundo punto, se afirma que un posible enfoque para permitir a las autoridades el acceso a las claves de cifrado de la persona interceptada (gracias a la Resolución de 17 enero 1995) consistiría en un sistema de "depósito de claves" o de "recuperación de claves." No sé si será casualidad, pero existe en España un sistema experimental denominado proyecto CERES que persigue dotar de sistemas de cifrado a los usuarios en sus relaciones con la Administración. Este sistema incorpora las dos características (depósito de claves y separación entre claves de cifrado y de firma) anteriormente mencionadas. Miedo me dan.

Existe finalmente un problema sobre la interceptación de las comunicaciones por satélite, problema que no fue resuelto en la reunión de 24 Septiembre 1998 ni en las siguiente. También quedaban temas pendientes, como la protección de datos, el papel del Tribunal de Justicia europeo en todo este asunto y el ámbito territorial del Convenio. Se esperaba llegar a un acuerdo global sobre el Convenio en la reunión de 3/4 Diciembre 1998; en esa reunión se delinearía un plan de acción para establecer un concepto deniminado "espacio de libertad, seguridad y justicia."

Llega la reunión de 3 Diciembre de 1998, y tampoco aquí parece lograrse un acuerdo sobre los temas pendientes, a saber: las disposiciones sobre interceptación de telecomunicaciones, la protección de datos y el ámbito territorial del Convenio. Entre otras cosas, se aprobó una acción común para luchar contra la pornografía infantil en Internet. Menciono este hecho porque dicha acción común alude a la Resolución de 17 Enero 1995. En concreto, afirma que una de las medidas que podrían ser obligatorias para los proveedores de Internet sería "conservar, de acuerdo con lo enunciado en la Resolución del Consejo de 17 de enero de 1995 sobre la interceptación legal de las telecomunicaciones, datos de tráfico ... para que estén disponibles para su inspección por parte de las autoridades encargadas de persecuciones penales." Más adelante añade "En este contexto [de la lucha contra la delincuencia organizada] el Consejo evaluará también en qué medida los Estados miembros han aplicado la Resolución del Consejo de 17 de enero de 1995."

Es decir, la Resolución es usada en un texto legal como marco de referencia, a pesar de que tiene rango de recomendación y no es vinculante. Esta alusión indica que la intención del Consejo es que la famosa Resolución no se quede en un mero texto no vinculante, sino que se use activamente, bien de forma directa, bien dentro de un paquete de reglamentos legales. Resultaría interesante saber qué medidas se tomarían contra los proveedores o los estados que no hayan aplicado la Resolución dentro de esta acción común. También es desalentador ver cómo una acción tan loable como la lucha contra la pornografía infantil se escuda en textos tan discutibles como la Resolución de 17 enero 1995, lo que sin duda no es más que un ejemplo de lo que nos queda por ver en el futuro.

En cualquier caso, los asuntos más espinosos del Convenio parecen no resolverse. En especial, permanecen estancados los puntos sobre la utilización del material interceptado y sobre la propia interceptación de las comunicaciones, con una especial preocupación por el llamado "acceso remoto". Vamos a explicar esto un poco, porque tiene su intríngulis.

En una red de comunicaciones por satélite como Iridium o Globalstar, la llamada se envía al satélite y se retransmite a una estación central. En el caso de Iridium, ésta se halla en Italia (se espera que la de Globalstar se ubique en Francia). La cuestión es la siguiente. Supongamos que las autoridades danesas quieran vigilar las llamadas que el señor Vigilado hace con su flamante teléfono Iridium. Aunque las llamadas tienen lugar en Dinamarca, pasan por la estación italiana (que, por ese motivo, es un lugar idóneo para plantar las escuchas).

El problema aparece al determinar la forma de las escuchas. ¿Pueden las autoridades danesas pinchar directamente (mediante "acceso remoto") la central italiana para realizar la interceptación? ¿Deben, en ese caso, ser informadas las autoridades de Italia sobre ese hecho, o ser simplemente ignoradas Por lo que se entiende en las deliberaciones del Consejo, los italianos no están dispuestos a que pasen por encima de ellos. Por otra parte, los demás estados miembros opinan que las autoridades italianas no pintan nada al respecto y quieren mano libre a la hora de realizar escuchas mediante acceso remoto. Y raro serían que los franceses, conocidos por apego a la doctrina Sinatra (esto es, montárselo todo "a su manera") no expresasen su inquietud sobre esta cuestión ... ya que el nuevo operador de telefonía por satélite Globalstar planea instalar su estación central en Francia.


Entra en escena el Consejo de Tampere

Al menos hasta la celebración del último Consejo sobre Justicia e Interior (27 Mayo 1999), el asunto parece estar sin resolver, y precisamente muchos de los documentos Justpen recientes tratan justamente de este problema. Bien por nosotros, porque este es uno de los dos frenos que hasta ahora han evitado la plasmación de Enfopol en ley. El otro freno es que, desde Noviembre de 1998, el asunto ha saltado a la luz y se ha hecho público. Primero con la revelación del documento Enfopol 98 y sus revisiones, después con la diseminación de información en multitud de páginas de Internet, especialmente las referentes a organizaciones y periódicos electrónicos ( Telepolis, Foundation for Information Policy Research, Privacy; y en España, Fronteras Electrónicas ... y, permitidme la modestia, servidor de ustedes.

No se sabe cuál de los dos frenos ha sido el más efectivo, pero el hecho es que el arrollador avance de Enfopol parece haber perdido algo de gas. Tras la aprobación en el Parlamento Europeo, el pasado 7 de Mayo de 1999 de Enfopol 19 como una nueva Resolución, se esperaba que el Consejo de Ministros de Justicia e Interior diese su "imprimatur" en su reunión de 27 Mayo 1999, poniendo punto final a la cuestión. Pero no ha sido así, y el "nihil obstat" brilla por su ausencia. Un comunicado de Fronteras Electrónica afirma que se ha debido a la presión de asociaciones, entidades y usuario; pero cabría preguntarse qué habría ocurrido si los estados miembros se hubiesen puesto de acuerdo en el Consejo. Felizmente, el hecho es que aún no hay Convenio.

Pero esta situación no permanecerá eternamente. Después de un año sin progresos en la cuestión sobre interceptaciones del Convenio sobre Asistencia Mutua en Asuntos Penales, y con una creciente presión del público y la industria, parece hora de traer la artillería pesada. Y de alto calibre. En el último Consejo de Ministros de Justicia e Interior se habla de la celebración de un Consejo Europeo; aunque ya se menciona a fines de 1998, al acabar el turno austríaco de la Presidencia de la Unión, que el punto muerto y las presiones del público deben de haber influido en algo.

Por primera vez desde 1992, se reúnen los jefes de gobierno de la Unión en un Consejo Europeo para tratar exclusivamente temas de Justicia e Interior. El orden del día "deberá ser ambicioso y centrarse en cuestiones de gran prioridad política con el propósito de llegar a resultados concretos y tangibles en el establecimiento de un espacio de libertad, seguridad y justicia. Se espera asimismo que esta reunión "aporte un impulso decisivo a los trabajos en materia de inmigración y asilo, a la lucha contra la delincuencia organizada y a la cooperación judicial en materia civil y penal."

El Consejo se celebrará en Tampere (Finlandia) los días 15 al 16 de Octubre de 1999. Todavía no hay publicada una agenda o un orden del día. Pero resulta significativo el hecho de que antes y después de ella hay nada menos que tres reuniones programadas del Consejo de Ministros de Justicia e Interior. La primera (4-5 Octubre 1999), incluye en su agenda la preparación del propio Consejo Europeo de Tampere, pero también habla de una "discusión sustancial" de un posible Convenio sobre Asistencia Mutua legal."

Una segunda reunión (29 Octubre 1999) comenzará con un "debate abierto" sobre el Area de Libertad, Seguridad y Justicia, y con un seguimiento del Consejo de Tampere; entre otros puntos, aparecen los de cooperación en el campo de orden público y seguridad. Finalmente, en el tercer Consejo (2-3 Diciembre) aparece un punto 41 sobre "acuerdo político" del Convenio sobre Asistencia Mutua Legal.

¿Será el Consejo Europeo de Tampere el marco en el cual se establecerá el sistema europeo de vigilancia? ¿Entrará la Unión Europea en el año 2.000 como la primera potencia orwelliana de interceptación? Tal como están las cosas, todo parece indicar que sí. La primera reunión de Quantico entre representantes de la UE, Suecia, Noruega, Finlandia, Canadá, EEUU y Hong-Kong tuvo lugar en Noviembre de 1993. Seis años después, parece que todo está atado y bien atado.

¿O tal vez no? Para que el esquema Enfopol triunfe es necesario, bien el secreto, bien la desinformación, o bien una campaña de diversión. El secreto ya está roto, y los intentos por desinformar ("es solo una lista de requisitos técnicos, no tiene carácter vinculante, no tiene por qué preocuparse, sólo se aplica a los malos") fallarán si las personas afectadas saben a qué atenerse.

En ese sentido, espero haber contribuido con mis esfuerzos a una mayor y mejor información sobre el tema. Y, con respecto a las campañas para desviar la mirada hacia otro lado (como incluir el paquete de medidas dentro de ambiciosos Espacios de Libertad, Seguridad y Justicia, o los intentos de justificar las medidas sobre interceptación en un marco de lucha contra el crimen organizado o contra la pornografía infantil), ahora que estamos alerta resultará más difícil que nos traguemos la píldora. Si tú, lector, has llegado hasta aquí, las probabilidades de que caigas en el engaño son pequeñas.

Mientras escribo, la mitad de España está a punto de irse de vacaciones, y la otra mitad está demasiado agotada como para preocuparse en problemas políticos menores que una guerra nuclear. Pero en Septiembre nuestra clase política vuelve de vacaciones. Es el momento de preguntarles qué postura tomarán sobre este nuevo Convenio que se nos viene encima. Cuando comencé la Zona Enfopol, mi agenda mental particular tenía un único punto: información previa. He hecho todo lo que está en mi mano, y seguiré haciéndolo. Ahora, hemos de movernos. Y deprisa.

 


© Arturo Quirantes 2005.  Correo electrónico: aquiran arroba ugr.es


 

Vuelta a la sección Informes del Taller de Criptografía