Las garantías end-to-end de las interceptaciones masivas (o de cómo cortar las alas a Pegasus)

La conformación de la Mesa del Congreso de los Diputados correspondiente a la XV Legislatura española por una mayoría progresista, y la adjudicación de su presidencia a la socialista Francina Armengol, ha sido posible gracias a un pacto entre el PSOE y ERC en virtud del cual, entre otras cosas, se ha acordado la constitución de una comisión de investigación sobre el “caso Pegasus” que, junto a miembros del actual Ejecutivo en funciones, atañe a varias personas vinculadas al independentismo catalán. Una comisión ya propuesta por Unidas Podemos, ERC, Junts, PDeCAT, Bildu y la CUP a resultas de las dudas sobre las investigaciones de la Comisión de Secretos Oficiales, pero que nunca logró ver la luz como consecuencia de la oposición del PP, Vox, Ciudadanos y el propio PSOE. 

Pegasus es un potente sistema de vigilancia masiva utilizado por gobiernos de todo el mundo del que se tuvo público conocimiento en noviembre de 2021 con el primer informe, coordinado por Forbidden Stories, en el que se aportaban pruebas de intervenciones telefónicas no consentidas por parte de varios gobiernos a nivel mundial con el spyware creado por NSO Group, que permite el acceso a toda la información del dispositivo infectado (contactos, historial de llamadas, búsquedas realizadas por internet, SMS, fotos, videos, parámetros del teléfono, localización y cualquier información que provenga de apps) sin ser necesaria la interacción del usuario. Sobre la base de dicho informe, en 2022 CitizenLab llevó a cabo una nueva investigación en la que se apuntaba que más de 60 personas vinculadas al movimiento independentista catalán (políticos autonómicos y europeos, abogados, miembros de organizaciones civiles asociadas al movimiento y familiares y personas del entorno) fueron objeto de intervención mediante el uso de Pegasus desde, por lo menos, 2017 (Catalangate). 

Las repercusiones del uso de este tipo de malware en más de 20 países sobre las libertades de activistas, periodistas y disidentes, no tardaron en hacer saltar las alarmas. Así, en  febrero de 2022, el Supervisor Europeo de Protección de Datos subrayó que la detección, prevención y persecución de amenazas graves de terrorismo o de criminalidad organizada son objetivos de interés general que pueden justificar el uso de sistemas de vigilancia, con la consecuente restricción de derechos. Ahora bien, ello siempre y cuando esta limitación sea establecida por ley y respete tanto el contenido esencial de los derechos, como los principios de necesidad y proporcionalidad. Un mantra que se repetirá en informes posteriores, como el de junio de 2022 del Consejo de Europa, en el que la organización regional nos recordó la reciente jurisprudencia del TEDH en materia de interceptaciones masivas, haciendo especial hincapié en la exigencia de la sujeción de las medidas adoptadas a lo que, como después veremos, la jurisdicción de Estrasburgo ha llamado “salvaguardias de extremo a extremo”. Por su parte, en su informe de agosto de 2022 sobre el derecho a la privacidad en la era digital, el Alto Comisionado para los Derechos Humanos de la ONU instó a relegar a la más estricta excepcionalidad el uso de programas espía y recordó que, en todo caso, el uso de medidas de vigilancia por motivos de seguridad nacional o de orden público está condicionado al estricto respeto de los principios de necesidad y de proporcionalidad, requiriéndose además la autorización y supervisión por un órgano independiente. 

En un sentido muy similar se pronunciaría con posterioridad la denominada “Comisión PEGA” al advertir que si bien el TJUE ha reconocido que una amenaza grave a la seguridad nacional o la prevención de delitos pueden justificar interferencias importantes en los derechos, la injerencia debe ser proporcional a la gravedad de la situación y al interés público perseguido, poniendo en duda precisamente el cumplimiento de dicho principio en los casos de programas que permiten un acceso indiscriminado a los metadatos de dispositivos móviles, afectando de este modo no sólo a sus propietarios, sino también a todos sus contactos. La Comisión se refirió además expresamente al caso del espionaje al independentismo catalán incidiendo en el hecho de que a pesar de que el Gobierno había reconocido ya el uso del spyware contra 18 de las 65 víctimas denunciadas por CitizenLab, la mayoría de ellas nunca fueron acusadas de ningún delito, recomendando por ello una revisión del marco jurídico del Centro Nacional de Inteligencia- CNI que permitiera superar una normativa que, a su entender, resultaba ya obsoleta.

A la normativa reguladora del CNI aludieron también el Defensor del Pueblo y el Síndic de Greuges en sus respectivos informes. El primero, de mayo de 2022, concluyó que el CNI había actuado de conformidad con lo dispuesto en el art. 12 de la Ley 11/2002 y en el art. único de la Ley Orgánica 2/2002, relativos al control judicial previo de las intervenciones de las comunicaciones que, confirmaba entonces el Defensor, se habían producido respecto de al menos 18 de las 65 personas relacionadas con el Catalangate. Para el Defensor, los autos judiciales que autorizaron la vigilancia estaban extensamente motivados. Ahora bien, ello no le impidió advertir sobre la conveniencia de repensar el sistema de autorización y control judicial a la luz de los avances de los medios tecnológicos. Idea que se repite en el informe del Síndic, que además de criticar el procedimiento de designación del magistrado encargado de autorizar las interceptaciones (art. 342.bis LOPJ) y la inexistencia de parámetros objetivos que permitan justificar la necesidad de la intervención, vuelve a la doctrina de Estrasburgo sobre las investigaciones de inteligencia y sus efectos en el derecho a la privacidad y la protección de datos. Y es que, como ya se ha apuntado, los principios de necesidad y proporcionalidad y la exigencia de control independiente “de extremo a extremo”, que dominan la doctrina del TEDH en materia de interceptación de comunicaciones, están lógicamente presentes en todas las investigaciones sobre el uso del spyware tantas veces aludido, debiendo por ello presidir la futura comisión de investigación que, en su caso, se cree en el seno de la Cámara Baja. 

La doctrina del TEDH sobre la materia quizás sea, en otras palabras, la mejor herramienta para cortar las alas a nuestro particular Pegaso. Y es por esta razón que debemos recordar que si bien el Tribunal de Estrasburgo ha reconocido que en el marco de una sociedad democrática, y en interés de la seguridad nacional y/o para la prevención de desórdenes o delitos, una legislación que confiera al gobierno poderes de vigilancia secreta puede ser necesaria, el Alto Tribunal europeo ha concluido que la vigilancia de los ciudadanos sólo es tolerable en la medida en que sea estrictamente necesaria para salvaguardar las instituciones democráticas (Klass and Others; Szabó and Vissy). Dicha injerencia debe, además de estar respaldada por razones pertinentes y suficientes, ser proporcionada al fin o fines legítimos perseguidos (Segerstedt-Wiberg and Others). El Derecho nacional debe así proporcionar salvaguardias suficientemente precisas, eficaces y exhaustivas en cuanto a la ordenación y ejecución de las medidas de vigilancia y garantizar una posible reparación (Szabó and Vissy). 

A partir de, entre otras, las sentencias dictadas en los asuntos Huvig, Valenzuela Contreras, Weber and Saravia,  y Liberty and Others, el TEDH exige que el Derecho nacional prevea la naturaleza de los delitos que pueden dar lugar a una orden de interceptación; una definición de las categorías de personas susceptibles de ver sus comunicaciones interceptadas; un límite a la duración de la interceptación; el procedimiento que debe seguirse para examinar, utilizar y almacenar los datos obtenidos; las precauciones que deben tomarse al comunicar los datos a otras partes; y las circunstancias en las que los datos interceptados pueden o deben ser borrados o destruidos. Criterios que, atendiendo a las peculiaridades de las interceptaciones indiscriminadas, fueron recientemente actualizados en los asuntos Big Brother Watch y Centrum för rättvisa. Así, el procedimiento de interceptación masiva debe estar sujeto a garantías end-to-end, en el sentido de que, a nivel interno, en cada fase debe llevarse a cabo una valoración de la necesidad y la proporcionalidad de las medidas a adoptar y la interceptación debe estar sujeta tanto a una autorización previa como a una revisión ex post facto independientes. 

El incumplimiento de las exigencias hasta ahora referidas supondría la incursión en una vulneración del derecho a la privacidad. Pero, aunque el derecho a la protección de datos personales no está autónomamente reconocido en el Convenio de Roma (CEDH), dada su importancia para la efectiva protección de la vida privada, el sistema regional europeo ha optado por su tutela también a través del art. 8 CEDH. Es por ello que en la identificación de la doctrina de Estrasburgo sobre vigilancia secreta es de obligada referencia la Guía sobre jurisprudencia del TEDH en materia de protección de datos , en la que, para empezar, se advierte que la mera existencia de una legislación nacional sobre la materia constituye una amenaza para los derechos de los ciudadanos (Weber and Saravia), especialmente en un contexto como el actual, en el que los progresos técnicos han hecho evolucionar tanto los medios de espionaje y hay un especial interés en la lucha contra el terrorismo y el crimen organizado. Ahora bien, se tienen que cumplir ciertos requisitos para apreciar una vulneración del CEDH por la mera existencia de una legislación doméstica que permita la vigilancia. Requisitos que, como hemos dicho, se concretan en la exigencia del cumplimiento de los principios de necesidad, proporcionalidad y control independiente desde el momento de la autorización de la medida hasta el final de la interceptación.

Aunque los Estados gozan de un cierto margen para determinar qué tipo de sistema de vigilancia necesitan, no disponen de plena discrecionalidad para vigilar a las personas sometidas a su jurisdicción. Como ya hemos dicho, la vigilancia secreta de los ciudadanos sólo es tolerable en la medida en que sea estrictamente necesaria para salvaguardar las instituciones democráticas. Esto es, debe ser necesaria tanto para preservar las instituciones en general, como para obtener la información que sea esencial respecto de la concreta operación de espionaje. La vigilancia debe estar justificada por razones relevantes y suficientes y debe ser proporcionada. Cualquier medida de vigilancia secreta que no sea estrictamente necesaria y proporcionada puede así calificarse de abuso, debiendo el Derecho nacional ofrecer protección contra injerencias arbitrarias. La ley doméstica debe utilizar términos claros para indicar a los individuos de manera suficiente en qué circunstancias y bajo qué condiciones las autoridades públicas pueden recurrir a tales medidas secretas (Khan). Así, el TEDH ha apreciado vulneraciones del art. 8 CEDH con origen en interceptaciones masivas de comunicaciones que no contenían suficientes salvaguardias “de extremo a extremo” para proporcionar garantías adecuadas y efectivas contra la arbitrariedad y el riesgo de abuso (casos Centrum för rättvisa, Big Brother Watch, Ekimdzhiev and others). En caso de que el nuevo Ejecutivo permita su constitución, la futura comisión de investigación sobre el caso Pegasus no debería olvidarlo.