Seleccionar página

10 principios sobre ciberseguridad y
derechos humanos

La ciberseguridad es la preservación de la accesibilidad, confidencialidad e integridad de la información y su infraestructura subyacente, a fin de mejorar la seguridad de las personas en línea y fuera de línea.

Cualquier política de ciberseguridad debe estar centrada en las personas y en la protección de los derechos humanos, y no ser empleada como una herramienta estatal para menoscabar las libertades de la población.

Derechos humanos como eje rector

Las políticas de ciberseguridad deben tener como objetivo principal el proteger y garantizar el ejercicio de derechos humanos. En este sentido, es indispensable que las políticas de ciberseguridad estén basadas en evidencia, análisis de riesgos y evaluaciones de impacto en los derechos humanos. Igualmente, las políticas de ciberseguridad deben descansar sobre principios de transparencia y rendición de cuentas.

Derechos humanos como eje rector

Las políticas de ciberseguridad deben tener como objetivo principal el proteger y garantizar el ejercicio de derechos humanos. En este sentido, es indispensable que las políticas de ciberseguridad estén basadas en evidencia, análisis de riesgos y evaluaciones de impacto en los derechos humanos. Igualmente, las políticas de ciberseguridad deben descansar sobre principios de transparencia y rendición de cuentas.

Participación multi-actor

Los planes, políticas y estrategias de ciberseguridad deben ser construidas, implementadas y evaluadas a través de mecanismos de participación que incluyan a todas las partes interesadas, incluyendo a gobierno, industria, sociedad civil, academia y comunidad técnica.

Participación multi-actor

Los planes, políticas y estrategias de ciberseguridad deben ser construidas, implementadas y evaluadas a través de mecanismos de participación que incluyan a todas las partes interesadas, incluyendo a gobierno, industria, sociedad civil, academia y comunidad técnica.

Protección del derecho a la privacidad

El derecho a la privacidad es un importante habilitador para la seguridad personal, la autonomía y la dignidad humana. Por ello, las políticas de ciberseguridad deben proteger este derecho de ataques provenientes de actores estatales y no estatales, así como abstenerse de adoptar políticas que incrementen las vulnerabilidades y riesgos a este derecho.

Protección del derecho a la privacidad

El derecho a la privacidad es un importante habilitador para la seguridad personal, la autonomía y la dignidad humana. Por ello, las políticas de ciberseguridad deben proteger este derecho de ataques provenientes de actores estatales y no estatales, así como abstenerse de adoptar políticas que incrementen las vulnerabilidades y riesgos a este derecho.

Controles democráticos a la vigilancia

Las facultades de vigilancia e intervención de comunicaciones privadas, si bien pueden resultar útiles para la prevención y persecución de delitos, también pueden representar graves riesgos de abuso a la privacidad y seguridad de las personas. Por ello, resulta indispensable que las facultades de vigilancia e intervención de comunicaciones se encuentren estrictamente reguladas a la luz de los estándares internacionales de derechos humanos, de manera que las mismas sean llevadas a cabo con respeto verificable a la ley, a los principios de necesidad y proporcionalidad, de manera focalizada, es decir, no masiva, así como con mecanismos de control, transparencia y rendición de cuentas efectivos.

Controles democráticos a la vigilancia

Las facultades de vigilancia e intervención de comunicaciones privadas, si bien pueden resultar útiles para la prevención y persecución de delitos, también pueden representar graves riesgos de abuso a la privacidad y seguridad de las personas. Por ello, resulta indispensable que las facultades de vigilancia e intervención de comunicaciones se encuentren estrictamente reguladas a la luz de los estándares internacionales de derechos humanos, de manera que las mismas sean llevadas a cabo con respeto verificable a la ley, a los principios de necesidad y proporcionalidad, de manera focalizada, es decir, no masiva, así como con mecanismos de control, transparencia y rendición de cuentas efectivos.

Defensa y fortalecimiento del cifrado

El cifrado es una herramienta indispensable para la seguridad, la confianza y la integridad de las tecnologías de la información y la comunicación, así como para el ejercicio y protección de los derechos humanos. Por ello, no son legítimas las medidas que tengan como objetivo o efecto el debilitamiento del cifrado. Por el contrario, el Estado debe promover el mejoramiento y adopción del cifrado, como medida para mitigar riesgos y fortalecer la ciberseguridad.

Defensa y fortalecimiento del cifrado

El cifrado es una herramienta indispensable para la seguridad, la confianza y la integridad de las tecnologías de la información y la comunicación, así como para el ejercicio y protección de los derechos humanos. Por ello, no son legítimas las medidas que tengan como objetivo o efecto el debilitamiento del cifrado. Por el contrario, el Estado debe promover el mejoramiento y adopción del cifrado, como medida para mitigar riesgos y fortalecer la ciberseguridad.

Progresividad de la reducción de vulnerabilidades

 Las políticas de ciberseguridad diseñadas e implementadas por el Estado deben contribuir a la disminución de riesgos y vulnerabilidades. En este sentido, los Estados deben abstenerse de adoptar políticas que tengan como objetivo o efecto disminuir la seguridad mediante el mantenimiento o instalación de vulnerabilidades o puertas traseras en software o hardware.

Los Estados también deben evitar el almacenamiento de vulnerabilidades no conocidas por el fabricante o desarrollador, aún cuando sean consideradas útiles para llevar a cabo facultades de vigilancia. Los Estados deben establecer mecanismos transparentes de revelación responsable de vulnerabilidades no conocidas en sistemas y tecnologías de la información.

Progresividad de la reducción de vulnerabilidades

 Las políticas de ciberseguridad diseñadas e implementadas por el Estado deben contribuir a la disminución de riesgos y vulnerabilidades. En este sentido, los Estados deben abstenerse de adoptar políticas que tengan como objetivo o efecto disminuir la seguridad mediante el mantenimiento o instalación de vulnerabilidades o puertas traseras en software o hardware.

Los Estados también deben evitar el almacenamiento de vulnerabilidades no conocidas por el fabricante o desarrollador, aún cuando sean consideradas útiles para llevar a cabo facultades de vigilancia. Los Estados deben establecer mecanismos transparentes de revelación responsable de vulnerabilidades no conocidas en sistemas y tecnologías de la información.

Minimización de recolección y almacenamiento de datos

En virtud del inherente riesgo de acceso no autorizado a bases de datos, en particular de datos personales, resulta indispensable que los Estados se abstengan, en la mayor medida posible, de establecer obligaciones de recolección y almacenamiento masivo e indiscriminado de datos.

Los Estados deben privilegiar la utilización de órdenes de conservación focalizadas que respeten los principios de necesidad y proporcionalidad, de manera que únicamente se conserven por más tiempo del necesario para la prestación de un servicio, aquéllos datos que sean específicamente relevantes para el desempeño de sus facultades.

Minimización de recolección y almacenamiento de datos

En virtud del inherente riesgo de acceso no autorizado a bases de datos, en particular de datos personales, resulta indispensable que los Estados se abstengan, en la mayor medida posible, de establecer obligaciones de recolección y almacenamiento masivo e indiscriminado de datos.

Los Estados deben privilegiar la utilización de órdenes de conservación focalizadas que respeten los principios de necesidad y proporcionalidad, de manera que únicamente se conserven por más tiempo del necesario para la prestación de un servicio, aquéllos datos que sean específicamente relevantes para el desempeño de sus facultades.

Disponibilidad de Internet y protección del flujo informativo

En la medida en que Internet y otras tecnologías de la información y la comunicación resultan ser cada vez más relevantes para la sociedad, la economía y el ejercicio de derechos humanos, uno de los objetivos primordiales de las políticas de ciberseguridad debe ser la disponibilidad continua de la conectividad.

Por ello, los Estados deben abstenerse de adoptar políticas que interrumpan la disponibilidad de los servicios de telecomunicaciones, incluyendo el servicio de acceso a Internet, en tanto resulta una medida innecesaria y desproporcionada que genera afectaciones severas a la economía y al ejercicio de derechos humanos. Igualmente, los Estados deben abstenerse de implementar medidas que establezcan o permitan el filtrado masivo de expresiones en línea u otras medidas de censura.

Disponibilidad de Internet y protección del flujo informativo

En la medida en que Internet y otras tecnologías de la información y la comunicación resultan ser cada vez más relevantes para la sociedad, la economía y el ejercicio de derechos humanos, uno de los objetivos primordiales de las políticas de ciberseguridad debe ser la disponibilidad continua de la conectividad.

Por ello, los Estados deben abstenerse de adoptar políticas que interrumpan la disponibilidad de los servicios de telecomunicaciones, incluyendo el servicio de acceso a Internet, en tanto resulta una medida innecesaria y desproporcionada que genera afectaciones severas a la economía y al ejercicio de derechos humanos. Igualmente, los Estados deben abstenerse de implementar medidas que establezcan o permitan el filtrado masivo de expresiones en línea u otras medidas de censura.

Protección de los derechos humanos frente a acciones u omisiones de actores privados

En la medida en que actores privados fungen un importante rol en el funcionamiento de Internet, es indispensable que el Estado establezca mecanismos de cooperación efectivos, transparentes y con rendición de cuentas para garantizar una contribución efectiva a la ciberseguridad.

Igualmente, los Estados deben adoptar regulación y establecer mecanismos institucionales eficaces para garantizar el respeto a los derechos humanos por parte de los actores privados que cumplen el rol de intermediarios en Internet.

En este sentido, resulta indispensable que el Estado establezca regulación que garantice, entre otras, la protección de datos personales, el respeto a la libertad de expresión, la neutralidad de la red, la competencia, la protección a las usuarias, de manera que, por ejemplo, se incentive la privacidad por diseño, garantizar que el tratamiento de datos personales por parte de actores privados se lleve a cabo con respeto a los derechos humanos en sus dimensiones individual y colectiva, asegurar la transparencia y rendición de cuentas respecto de las políticas de moderación de contenidos o de gestión de tráfico de internet, por mencionar algunas.

Protección de los derechos humanos frente a acciones u omisiones de actores privados

En la medida en que actores privados fungen un importante rol en el funcionamiento de Internet, es indispensable que el Estado establezca mecanismos de cooperación efectivos, transparentes y con rendición de cuentas para garantizar una contribución efectiva a la ciberseguridad.

Igualmente, los Estados deben adoptar regulación y establecer mecanismos institucionales eficaces para garantizar el respeto a los derechos humanos por parte de los actores privados que cumplen el rol de intermediarios en Internet.

En este sentido, resulta indispensable que el Estado establezca regulación que garantice, entre otras, la protección de datos personales, el respeto a la libertad de expresión, la neutralidad de la red, la competencia, la protección a las usuarias, de manera que, por ejemplo, se incentive la privacidad por diseño, garantizar que el tratamiento de datos personales por parte de actores privados se lleve a cabo con respeto a los derechos humanos en sus dimensiones individual y colectiva, asegurar la transparencia y rendición de cuentas respecto de las políticas de moderación de contenidos o de gestión de tráfico de internet, por mencionar algunas.

Regulación y persecución de delitos informáticos con apego a
los derechos humanos

Si bien los delitos informáticos son una preocupación válida para el Estado, es de vital importancia recordar la naturaleza última ratio del derecho penal. El Estado debe abstenerse de usar la herramienta punitiva a menos que sea estrictamente necesario, por lo que deberá analizar si existen medidas menos gravosas o más efectivas para perseguir fines legítimos.

No obstante, al legislar en materia de delitos informáticos, el Estado debe definir tipos penales de manera clara, precisa, detallada y acotada, de manera que se evite la existencia de múltiples tipos penales respecto de conductas ya tipificadas; la criminalización de tecnologías específicas; la criminalización de usos legítimos de tecnologías, incluyendo el ejercicio del derecho a la libertad de expresión o la protección del derecho a la privacidad; la criminalización de la labor que desempeñan los investigadores de seguridad o de conductas que no produzcan un daño. Asimismo, el Estado debe abstenerse de imponer penas excesivas, así como vigilar que cada conducta tipificada esté apegada al principio de proporcionalidad de las penas.

Regulación y persecución de delitos informáticos con apego a los derechos humanos

Si bien los delitos informáticos son una preocupación válida para el Estado, es de vital importancia recordar la naturaleza última ratio del derecho penal. El Estado debe abstenerse de usar la herramienta punitiva a menos que sea estrictamente necesario, por lo que deberá analizar si existen medidas menos gravosas o más efectivas para perseguir fines legítimos.

No obstante, al legislar en materia de delitos informáticos, el Estado debe definir tipos penales de manera clara, precisa, detallada y acotada, de manera que se evite la existencia de múltiples tipos penales respecto de conductas ya tipificadas; la criminalización de tecnologías específicas; la criminalización de usos legítimos de tecnologías, incluyendo el ejercicio del derecho a la libertad de expresión o la protección del derecho a la privacidad; la criminalización de la labor que desempeñan los investigadores de seguridad o de conductas que no produzcan un daño. Asimismo, el Estado debe abstenerse de imponer penas excesivas, así como vigilar que cada conducta tipificada esté apegada al principio de proporcionalidad de las penas.

Descarga el tríptico de ciberseguridad aquí