Se abre el debate sobre los retos que plantea el uso de spyware como Pegasus en una sociedad democrática donde la privacidad juega un papel crític
En primer lugar, ¿qué es el spyware Pegasus?
El spyware Pegasus está considerado actualmente como una de las herramientas de hackeo más poderosas, por ello, no es de extrañar que el Supervisor Europeo de Protección de Datos (EDPS) centre sus observaciones preliminares en dicha tecnología.
Pegasus permite, a través de información específica del objetivo del ataque (e.g. un número de teléfono), obtener el control de -casi- cualquier smartphone.
Dicho control convierte al smartphone atacado en un dispositivo de vigilancia activado 24 horas facilitando el acceso a toda su información, posibilitando la activación y registro en directo tanto de la cámara como del micrófono y permitiendo el acceso completo a la geolocalización del dispositivo.
Este tipo de spyware se diferencia de los existentes anteriormente por distintos motivos:
Por todo ello, el EDPS entiende que este tipo de sistemas no pueden compararse con los sistemas interceptación de información utilizados en el pasado, por lo que su uso deberá ponderarse en todo caso con los principios de derechos fundamentales, privacidad y constitucionalidad.
Y entonces, ¿qué abusos se pueden dar de este tipo de spyware?
Sin perjuicio de que esta tecnología se esté utilizando principalmente para la prevención de ataques terroristas y desarticular redes delictivas, también se ha utilizado contra miembros de la oposición, periodistas o abogados.
Estos abusos han puesto de manifiesto la importancia de garantizar que estas tecnologías sean utilizadas de acuerdo con los principios establecidos en la Carta de los Derechos Fundamentales de la Unión Europea, la directiva de ePrivacy, Directiva sobre el uso de datos personales en procedimientos penales así como con los criterios jurisprudenciales establecidos por el Tribunal de Justicia de la Unión Europea y el Tribunal Europeo de Derechos Humanos.
Así pues, ¿cabe su uso dentro de la UE?
Aunque la mayoría de las características de la tecnología Pegasus no son públicas, la EDPS considera que para la utilización de este tipo de tecnologías deberá realizarse un ejercicio de ponderación que tendrá en cuenta la efectividad de la medida a implementar, el objetivo perseguido y la valoración de la posibilidad de conseguir el mismo objetivo con otra medida menos invasiva.
Dadas las características de estas tecnologías, el EDPS recuerda los criterios utilizados por TJUE, que consideró que el uso de estas tecnologías implica tal interferencia al derecho a la privacidad del individuo que se ve afectada la propia esencia de dicho derecho y, por lo tanto, no puede ser considerado como proporcionado, independientemente de si su uso podía entenderse como necesario para la consecución de intereses legítimos.
Asimismo, el EDPS cuestiona la posibilidad de utilizar la información obtenida a través del uso de estas tecnologías como prueba en un procedimiento penal, dado que su obtención a través del uso de spyware como Pegasus podría entenderse como una infracción del derecho a la tutela judicial efectiva y a un juez imparcial.
Por lo tanto, ¿cuál es la propuesta del EDPS?
En primer lugar, dados los riesgos y daños que pueden derivarse de su uso, el EDPS recomienda la prohibición del desarrollo y despliegue de spyware con capacidades como las de Pegasus.
Pero, en caso de que se decida permitir el uso de estas tecnologías en situaciones excepcionales (p.eg. para prevenir una amenaza inminente), el EDPS propone una lista no exhaustiva de pasos y medidas que deberán respetarse para evitar su uso indebido.
De los 8 pasos y medidas que recomienda el EDPS, destacamos las siguientes:
Las observaciones del EDPS trasmiten una preocupación clara sobre el uso de estas tecnologías, y se emiten para contribuir al debate sobre si su uso debe tener cabida en una sociedad democrática.
