Pegasus: un programa espía que desafía la ley.

Vigilancia Legal No. 37 – Julio de 2021

Pegasus: un programa espía que desafía la leyEn julio, el proyecto Pegasus reveló el impacto de vigilancia sin precedentes del software espía israelí que puede escuchar y extraer datos de teléfonos inteligentes con iOS o Android.

Ésta es la conclusión de una investigación internacional realizada por la ONG Forbidden Stories, con la ayuda de Amnistía Internacional y el Citizen Lab de la Universidad de Toronto, así como de 17 grandes medios de comunicación internacionales, entre ellos Le Monde y The Guardian.

Si bien ya se ha hablado del software en el pasado, información reciente proporciona una mejor comprensión del alcance de la vigilancia que se hace posible sin el conocimiento de los usuarios de teléfonos inteligentes.

Se habrían seleccionado alrededor de 50.000 números de teléfono, entre ellos mil en Francia, que corresponden a actores de la sociedad civil, periodistas y políticos.

Entre los 55 países que figuran como clientes de NSO, que comercializa el software, se encuentran Arabia Saudita, Emiratos Árabes Unidos, India, Hungría, Ruanda, México y Kazajstán.

NSO afirma seguir una estricta política ética y sólo trata con agencias de inteligencia y de aplicación de la ley con el fin de combatir el crimen, el terrorismo, el tráfico de drogas y la pedofilia.

Estas acusaciones, así como las garantías dadas por el propietario del software, plantean cuestiones prácticas y jurídicas.

Incluso si se toman garantías antes de la comercialización, ¿cuáles son los medios reales para asegurar el cumplimiento del marco contractual entre NSO y sus clientes oficiales, y su uso por parte de partes no autorizadas y contra "objetivos" políticos o de la sociedad civil, por ejemplo?

El carácter especialmente intrusivo e indetectable de esta tecnología plantea interrogantes sobre la regulación de las técnicas de vigilancia en el contexto internacional y europeo.

En Europa, si bien las fuerzas de seguridad disponen de poderes de investigación específicos, estos están estrictamente regulados por el RGPD y por las leyes nacionales que transponen la Directiva europea sobre "policía y justicia" del 27 de abril de 2016.

En Francia, se trata del Capítulo XIII de la Ley de Protección de Datos.

Los tratamientos de datos realizados más específicamente por la seguridad del Estado o la defensa nacional están excluidos del ámbito de aplicación de la Directiva europea, pero siguen sujetos en Francia a la Ley de Protección de Datos.

La introducción clandestina de programas espía en sistemas informáticos sólo puede autorizarse en virtud de disposiciones legales específicas.

La materia está regulada por las leyes n° 2015-912 del 24 de julio de 2015 relativa a la inteligencia y n° 2017-1510 del 30 de octubre de 2017, conocida como ley SILT.

La CNIL recuerda también que deben existir elementos que supongan una amenaza concreta a la integridad física, a la vida o a la libertad de las personas, o un atentado a los intereses fundamentales de la nación.

Si bien los principios del derecho se aplican, la CNIL no tiene poder para controlar la utilización de los ficheros de los servicios de inteligencia.

En sus recientes opiniones sobre el proyecto de ley relativo a la prevención de actos de terrorismo y a la inteligencia (ahora votado), reiteró su petición de poder ejercer sus poderes de control de una manera adaptada a las nuevas técnicas de investigación.

También pidió fortalecer las competencias de la Comisión de Control de Técnicas de Inteligencia (CNCTR).

Tanto la CNIL como el Comité Europeo de Protección de Datos destacan la importancia de una supervisión eficaz en el ámbito de la inteligencia y la seguridad del Estado, en particular en el contexto de un tratamiento cada vez más intrusivo, combinado con el desarrollo de tecnologías de vanguardia que ignoran las fronteras.

Estos requisitos se encuentran entre los criterios citados por el Comité en sus recientes recomendaciones sobre las garantías esenciales que deben ofrecer los terceros países a la UE en materia de vigilancia.

Su objetivo es proteger los datos europeos de interferencias desproporcionadas en caso de transferencia internacional.

Dada la creciente facilidad con que se pueden interceptar los datos de las comunicaciones, surgen preguntas más fundamentales sobre las medidas técnicas que se deberían adoptar para limitar esos riesgos.

En su comunicado de prensa del 9 de marzo de 2021 sobre el Reglamento “ePrivacy”, el Comité Europeo destaca la necesidad de mantener la confidencialidad de los datos durante todo el proceso de comunicación y el cifrado de datos.

En la misma perspectiva, se plantea la cuestión de la conveniencia de mantener "puertas traseras" en los terminales de comunicación con fines de inteligencia, bajo el riesgo de ver aumentar los abusos y la apropiación indebida de datos fuera de todo control.

Y también

Francia:

La CNIL ha publicado su posición sobre la prórroga obligatoria del «pase sanitario» en determinados lugares.

Sin cuestionar su principio, recuerda la necesidad de limitar su uso en un contexto de emergencia sanitaria demostrada, solicita una evaluación del sistema por parte del Parlamento en otoño y subraya los aspectos éticos del problema, que van más allá de las cuestiones de protección de datos.

Ella pide que el legislador tome en consideración "la Riesgo de habituación y trivialización de este tipo de dispositivos que atentan contra la privacidad. y de un cambio, en el futuro, y potencialmente por otras razones, hacia una sociedad donde tales controles serían la norma y no la excepción".

También en el marco de la crisis sanitaria, la CNIL recordó los principios que deben respetarse al comunicar a los médicos la lista de sus pacientes no vacunados.

Cabe destacar dos sanciones:, impuesta por la CNIL los días 22 y 28 de julio contra

• por un lado de la Grupo AG2R La Mondiale por un importe de 1,75 millones de euros por incumplimiento de las obligaciones del RGPD en materia de conservación de datos e información de personas físicas,
• y por otro lado de la Compañía Monsanto por un importe de 400.000 euros, por no haber informado a las personas incluidas en un expediente de lobby.

ANSSI y DINSIC publican una guía destinada a explicar de forma práctica y concreta cómo la agilidad y la seguridad contribuyen al desarrollo seguro de proyectos y a la gestión del riesgo digital.

La guía ofrece apoyo progresivo, taller por taller, ejemplos concretos y fichas metodológicas.

Europa:

Amazon acaba de recibir una multa récord de 746 millones de euros por parte de la autoridad de protección de datos de Luxemburgo. por incumplimiento de los principios del RGPD, y en particular la publicidad dirigida sin el consentimiento de los interesados.

Esta decisión del 15 de julio es consecuencia de la denuncia colectiva iniciada por la asociación de libertades civiles

La Quadrature du Net presentó una queja ante la CNIL en Francia, remitiéndose a la autoridad luxemburguesa debido a la ubicación de la sede de Amazon en Luxemburgo. La empresa ha anunciado que recurrirá esta decisión.

La autoridad holandesa de protección de datos ha multado a TikTok con 750.000 euros, por falta de información clara sobre el tratamiento de sus datos.

La información, disponible sólo en inglés, resultó incomprensible para los niños, principales usuarios de la aplicación.

Internacional :

ESTADOS UNIDOS : El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado una guía para identificar y gestionar el sesgo en la inteligencia artificial: “una propuesta para identificar y gestionar el sesgo dentro de la inteligencia artificial”.

Zoom acordó pagar 85 millones de dólares para resolver una demanda en Estados Unidos.

Se le acusó de compartir los datos de sus usuarios y de no protegerlos de ciertos ataques informáticos ("zoombombing").

La empresa se compromete a formar a sus empleados en materia de protección de datos y a reforzar sus medidas de seguridad.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.