Privacidad y Protección de datos y vigilancia – Latinoamérica

Privacidad y Protección de datos y vigilancia

• El derecho a la privacidad está cobrando importancia con el aumento del flujo de datos y la necesidad concomitante de proteger la información personal, en un mundo en el que cada vez las interacciones digitales son parte del día a dia. 

• En el contexto interamericano, existen diferentes instrumentos que rigen la protección de datos, tales como la Convención Americana sobre Derechos Humanos y la Declaración Americana de los Derechos y Deberes del Hombre.

• Es importante que los Estados se aseguren de que su legislación nacional detalle los principios para el procesamiento legal de información personal y que se mantenga al día con los desarrollos de protección de datos.

• Junto a la protección de datos están los conceptos de “derecho al olvido”, encriptación y vigilancia estatal.

• La utilización cada vez más prevalente de tecnologías basadas en la recolección de datos biométricos, en donde se destacan las de reconocimiento facial, plantean un desafío único para la privacidad y la libertad de expresión. En este módulo se revisan estas y otras problemáticas.

• En particular, la divulgación de fuentes periodísticas, además de la intrusión a la privacidad, como resultado de la vigilancia Estatal tiene un impacto negativo en la libertad de expresión y la libertad periodística.

• La evolución de las tecnologías de la información y comunicación plantea desafíos para la protección de la libertad de expresión, y los esfuerzos por legislar y definir jurídicamente numerosos conceptos se revisten de un nivel adicional de dificultad por la naturaleza transfronteriza de los espacios digitales. Se destaca la falta de una normativa global de regulación para estos espacios, aunque existen esfuerzos bien encaminados.

Introducción

El derecho a la privacidad y el requisito concomitante de proteger la información personal ha atraído una atención significativa en la era de la información. Si bien en Internet el intercambio de información en línea y la recopilación de datos aumentan de manera exponencial, los desarrollos legislativos no han logrado mantener este ritmo ni proteger adecuadamente la información personal. Sin embargo, con el tiempo, los Estados americanos y los organismos regionales han comenzado a adoptar instrumentos y reglamentos relacionados con la protección de datos en un intento por remediar y reivindicar el derecho a la privacidad de sus ciudadanos.

El impacto de la tecnología sobre la privacidad y los datos es evidente en la medida que las comunicaciones se realizan con el apoyo de esta. Ademas, las nuevas tecnologías también crean la posibilidad de localizar y rastrear datos personales, algo que antes no era posible (IP, localizacion, huellas digitales, coockies, etc.) generando nuevos desafíos. La vigilancia en internet puede variar entre la documentación, el monitoreo de actividad o de comunicaciones, o la interceptación de comunicaciones o actividad en línea, individualizadas o masivas.^[1]

El Sistema interamericano de derechos humanos y el universal han reconocido que las prácticas de vigilancia y la intercepción y recopilación ilícita o arbitraria de datos personales no sólo afectan el derecho a la privacidad y a la libertad de expresión sino que también pueden ser contrarios a los preceptos de una sociedad democrática.^[2]

Este módulo se centra en la protección de datos en América y los conceptos relacionados del derecho a la privacidad, habeas data, al olvido, y la vigilancia.

I.              El Derecho a la Privacidad

Hay un reconocimiento cada vez mayor de que el derecho a la privacidad juega un papel vital para la facilitación del derecho a la libertad de expresión. Por ejemplo, la confianza en el derecho a la privacidad permite a las personas compartir opiniones de manera espontánea en esferas privadas. Incluso, esto se ve reforzado cuando se hace de forma anónima en circunstancias en las que pueden temer ser censuradas por esas opiniones. Esto permite la comunicación de periodistas con denunciantes de buena fe, que desean hacer divulgaciones protegidas y permite a los miembros de los medios de comunicación y activistas comunicarse de forma segura sin el alcance de la interceptación gubernamental ilegal.

El derecho a la intimidad fue reconocido por primera vez en el plano internacional en la Declaración Universal de Derechos Humanos. En su artículo 12 se dispone que “toda persona debe ser protegida contra injerencias arbitrarias en su vida privada, familia, domicilio o correspondencia, así como de ataques contra su honra y reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. Posteriormente, este derecho fue reproducido por otros instrumentos tales como el Pacto Internacional de Derechos Civiles y Políticos^[3], la Declaración Americana de Derechos y Deberes del Hombre^[4] y la Convención Americana sobre Derechos Humanos^[5], entre otros.  Además, casi todos los Estados americanos garantizan este derecho en sus constituciones nacionales.

El artículo 11 de la Convención Americana exige a los Estados abstenerse de injerencias o interferencias abusivas o arbitrarias y prevenir la de terceros. Para la La Comisión Interamericana, “el derecho a la privacidad protege al menos cuatro bienes jurídicos, a saber: a) el derecho a contar con una esfera de cada individuo resistente a las injerencias arbitrarias del Estado o de terceras personas; b) el derecho a gobernarse por reglas propias según el proyecto individual de vida de cada uno; c) el derecho al secreto respecto de lo que se produzcan en ese espacio reservado con la consiguiente prohibición de divulgación o circulación de la información capturada, sin consentimiento del titular, en ese espacio de protección reservado a la persona; y d) el derecho a la propia imagen”.^[6] Además, debe superar el test de legalidad, proporcionalidad y necesidad establecido por la propia Convención y reafirmado por la Corte.^[7]

La Convención Americana prohíbe las injerencias o ataques abusivos o arbitrarios por parte de terceros o por parte de autoridades públicas. Al respecto, de acuerdo con la Corte Interamericana, “el derecho a la privacidad no es un derecho absoluto y, por tanto, puede ser restringido por los Estados. Esto, siempre que las injerencias no sean abusivas o arbitrarias. Por lo cual, el límite a esas restricciones debe ser: (i) estar previstas en ley; (ii) perseguir un fin legítimo y (iii) cumplir con los requisitos de idoneidad, necesidad y proporcionalidad, es decir, deben ser necesarias para una sociedad democrática”^[8].

Por otro lado, en el caso Fontevecchia y D’Amico vs. Argentina, la Corte IDH recordó que el umbral de privacidad es distinto según algunos factores como la notoriedad social y pública de la persona en cuestión. La Corte indicó que existen dos criterios relevantes a tener en cuenta cuando se difunde información potencialmente privada: “(a) el diferente umbral de protección para los funcionarios públicos, especialmente los de elección popular, para las figuras públicas y los particulares, y (b) el interés público en las acciones emprendidas”^[9]. El diferente umbral de protección respecto a funcionarios públicos se debe al carácter voluntario de su exposición al escrutinio social, lo cual implica que hay menor probabilidad de lesión con respecto a la privacidad de los funcionarios públicos cuando se informa sobre asuntos relacionados al ejercicio de la función pública que desarrollan. En cuanto al interés público, la Corte manifestó que hay una mayor posibilidad de intromisión respecto a la privacidad frente a asuntos en los cuales la sociedad tiene un interés legítimo de estar informada. 

De manera particular, en el caso Escher y otros vs. Brasil, la Corte se refirió al uso de tecnología y la tensión con la privacidad, advirtiendo que: 

“La fluidez informativa que existe hoy en día coloca al derecho a la vida privada de las personas en una situación de mayor riesgo debido a las nuevas herramientas tecnológicas y su utilización cada vez más frecuente. Este progreso, en especial cuando se trata de interceptaciones y grabaciones telefónicas, no significa que las personas deban quedar en una situación de vulnerabilidad frente al Estado o a los particulares. De allí que el Estado debe asumir un compromiso, aún mayor, con el fin de adecuar a los tiempos actuales las fórmulas tradicionales de protección del derecho a la vida privada.”^[10]

En los casos Tristán Donoso vs Panamá y Escher y otros vs. Brasil, la Corte Interamericana sostuvo que a pesar de no estar específicamente previstas en el artículo 11, estas formas de comunicación se encuentran protegidas.^[11]Dicha protección alcanza tanto a las comunicaciones personales como las profesionales en el entendido de que la protección de la privacidad incluye el desarrollo de relaciones entre personas y precisamente la vida profesional de una persona es la que muchas veces le ofrece mayores oportunidades para relacionarse con el mundo.^[12]

II.             Protección de Datos

Dado que el periodismo consiste en la recolección, transformación, almacenamiento y difusión de información de personas, es una actividad que puede entrar en conflicto con la protección de datos personales. 

Las leyes de protección de datos tienen como objetivo proteger y salvaguardar el tratamiento de la información personal. Esto por lo general hace referencia a cualquier información relativa a una persona identificada o identificable. El sujeto de los datos puede ser identificado por uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social. El responsable del tratamiento, que normalmente puede ser un organismo público o privado, se refiere a la persona o entidad responsable del tratamiento de la información personal del interesado.

La protección de datos es una de las principales medidas a través de las cuales se hace efectivo el derecho a la intimidad. Ya son varios los Estados americanos que han promulgado leyes de protección de datos, y otros más que están en proceso de hacerlo. Igualmente, a noviembre de 2024, tres países de la región son signatarios del Convenio 108 del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.  Además de hacer efectivo el derecho a la privacidad, la legislación de protección de datos también desempeña un papel fundamental a la hora de facilitar el comercio entre Estados, ya que muchas leyes de protección de datos restringen las transferencias transfronterizas de datos en circunstancias en las que el Estado que recibe la información no proporciona un nivel adecuado de protección.

En relación con la protección de la información personal, la Observación General No. 16 del Comité de Derechos Humanos de Naciones Unidas sobre el artículo 17 del PIDCP establece lo siguiente:

“La recopilación y el registro de información personal en computadoras, bancos de datos y otros dispositivos, tanto por las autoridades públicas como por las particulares o entidades privadas, deben estar reglamentados por la ley. Los Estados deben adoptar medidas eficaces para velar por que la información relativa a la vida privada de una persona no caiga en manos de personas no autorizadas por ley para recibirla, elaborarla y emplearla y para que nunca se la utilice para fines incompatibles con el Pacto. Para que la protección de la vida privada sea lo más eficaz posible, toda persona debe tener el derecho de verificar si hay datos personales suyos almacenados en archivos automáticos de datos y, en caso afirmativo, de obtener información inteligible sobre cuáles son esos datos y con qué fin se han almacenado. Asimismo, toda persona debe poder verificar qué autoridades públicas o qué particulares u organismos privados controlan o pueden controlar esos archivos. Si esos archivos contienen datos personales incorrectos o se han compilado o elaborado en contravención de las disposiciones legales, toda persona debe tener derecho a pedir su rectificación o eliminación”^[13].

La mayoría de las leyes de protección de datos suelen contemplar los siguientes principios^[14]:

• La información personal debe ser tratada de forma legal y justa, y no debe ser utilizada a menos que se cumplan las condiciones estipuladas.

• La información personal debe obtenerse para un propósito específico y no debe ser utilizada de ninguna manera incompatible con ese propósito.

• Los datos personales deben ser adecuados, pertinentes y no excesivos en relación con la finalidad (o finalidades) para la que se tratan.

• Los datos personales deben mantenerse actualizados.

• La información personal no debe conservarse durante más tiempo del necesario para la finalidad de su recolección.

• La información personal debe tratarse de acuerdo con los derechos de los interesados previstos en las respectivas leyes de protección de datos.

• Deben adoptarse medidas técnicas y organizativas adecuadas contra el tratamiento no autorizado o ilegal de los datos personales y contra la pérdida o destrucción accidental de los datos personales, así como contra su deterioro.

• Los datos personales no deben transferirse a otro país que no garantice un nivel adecuado de protección de los derechos y libertades de los interesados en relación con el tratamiento de la información personal.

Además de esto, hay algunos instrumentos regionales americanos que tratan la protección de datos personales:

• Principios de Privacidad y Protección de Datos Personales en las Américas^[15]: En marzo de 2012, la Organización de Estados Americanos (OEA) adoptó la propuesta de principios elaborada por el Comité Jurídico Interamericano (CJI), para orientar a los Estados Miembros a adoptar medidas respecto a la privacidad y los datos personales, para que estos Estados adoptaran leyes congruentes con lo allí establecido. En abril de 2021, el CJI aprobó la actualización de los principios sobre la privacidad y protección de datos personales con anotaciones.

• Estándares de Protección de datos personales para los Estados Iberoamericanos^[16]: Estos estándares incluyen temas relacionados con el ejercicio de la privacidad, el derecho a la desindexación, el uso de tecnologías de vigilancia y el uso de big data.

• Guía Legislativa sobre la Privacidad y la Protección de Datos Personales en las Américas^[17]: En el año 2013, la Asamblea General de la OEA solicitó al Comité Jurídico Interamericano (CJI) formular propuestas sobre las diferentes formas de regular la protección de datos personales. Así, en el 2015 se adoptó una guía legislativa que amplía y explica los principios adoptados en el 2012, la cual sirve como hoja de ruta para apoyar los esfuerzos de los Estados Miembros al momento de implementar o actualizar su normatividad sobre la materia.

Además de hacer efectivo el derecho a la intimidad, las leyes de protección de datos también suelen facilitar el derecho de acceso a la información. A este respecto, la mayoría de las leyes de protección de datos prevén que los interesados soliciten y tengan acceso a la información que el responsable del tratamiento tiene sobre ellos. Este mecanismo puede permitir a los interesados comprobar si su información personal se está procesando de acuerdo con las leyes de protección de datos aplicables y si se están respetando sus derechos.

A medida que el mundo se mueve en línea, la protección de datos es cada vez más necesaria. En el contexto americano se han logrado algunos avances. Chile fue el primer país de América Latina que adoptó una ley de protección de datos en 1999, seguido de Argentina en el 2000. Varios países han seguido este ejemplo, tales como Uruguay, México. Perú, Colombia, Brasil, Barbados y Panamá^[18].  Algunas legislaciones establecen excepciones sobre la aplicación de estas normas sobre bases de datos y archivos periodísticos o que sean necesarios para el ejercicio de la libertad de expresión.^[19]

III.           Reclamaciones por el “derecho al olvido”

Ámbito internacional

El llamado “derecho al olvido” —que tal vez se describe mejor como “derecho a la supresión”— hace referencia al derecho a solicitar que los motores de búsqueda comerciales u otros sitios web que recopilan información personal con fines lucrativos, como Google, eliminen los enlaces a información privada cuando se les solicita en atención a criterios específicos. El derecho al olvido se deriva del derecho de los interesados que figura en muchas leyes de protección de datos, según el cual la información personal que se tiene sobre una persona debe borrarse en circunstancias en las que sea inadecuada, irrelevante o ya no sea pertinente, o excesiva en relación con los fines para los que se recogió.

En 2014, el Tribunal de Justicia de la Unión Europea dictó una importante sentencia en el caso de Google España v. Costeja González^[28]. El señor Costeja, de nacionalidad española, presentó una queja en 2010 ante el regulador español de la información. El motivo de la queja era que, cuando un usuario de Internet introducía su nombre en el motor de búsqueda de Google, el usuario obtenía enlaces a páginas del periódico español de 1998 que hacían referencia a procedimientos de embargo contra él para el cobro de determinadas deudas. El Sr. Costeja solicitó que se eliminaran u ocultaran los datos personales relativos a su persona, ya que el procedimiento contra él se había resuelto por completo y, por tanto, la referencia a su persona era ya totalmente irrelevante.

La Audiencia Nacional española conoció del caso a nivel español y, previamente a decidir, sometió una petición prejudicial al TJUE con respecto a la aplicación de la ley de protección de datos de la Unión Europea vigente en ese momento en el caso concreto. El Tribunal señaló que la visualización de información personal en una página de resultados de búsqueda constituye un tratamiento de dicha información, por lo cual no había ninguna razón por la que un motor de búsqueda no debiera estar sujeto a las obligaciones y garantías establecidas en la ley. Además, se señaló que el tratamiento de información personal realizado por un motor de búsqueda puede afectar significativamente los derechos fundamentales a la intimidad y a la protección de datos personales cuando se realiza una búsqueda del nombre de una persona, ya que permite a cualquier usuario de Internet obtener una visión estructurada de la información relativa a esa persona y establecer un perfil de la misma. Según el TJUE, el efecto de la injerencia “se acentúa teniendo en cuenta el importante papel que desempeñan Internet y los motores de búsqueda en la sociedad moderna, que hacen que la información contenida en esa lista de resultados sea omnipresente”^[29].

En lo relativo a la desindexación en los motores de búsqueda, el TJUE sostuvo que la eliminación de enlaces en la lista de resultados de los buscadores podría, dependiendo de la información en cuestión, tener efectos sobre los usuarios de Internet potencialmente interesados en tener acceso a esa información^[30]. Esto requeriría un justo equilibrio entre ese interés y los derechos fundamentales del interesado, teniendo en cuenta la naturaleza de la información, su sensibilidad para la vida privada del interesado, y el interés del público en disponer de esa información, que puede variar según el papel desempeñado por el interesado en la vida pública.

El TJUE también declaró que un interesado puede solicitar que la información sobre él deje de estar disponible para el público en general mediante su inclusión en una lista de resultados de búsqueda cuando, teniendo en cuenta todas las circunstancias, la información parezca inadecuada, irrelevante o ya no pertinente, o excesiva en relación con los fines del tratamiento llevado a cabo por el operador del motor de búsqueda. En tales circunstancias, la información y los enlaces en cuestión en la lista de resultados debían ser borrados^[31].

Ámbito latinoamericano

En el informe Estándares para una Internet libre, abierta e incluyente, la Relatoría Especial para la Libertad de Expresión (RELE) menciona que con base en las normas de protección de datos personales en América Latina, se han registrado en la región varias solicitudes de remoción y desindexación de contenidos a administradores de motores de búsqueda. Sin embargo, este concepto se ha expandido mucho más, pues también es común que se hagan solicitudes a periódicos, blogs y periodistas para remover o eliminar contenidos, en lugar de realizar solicitudes de desindexación de los motores de búsqueda^[32]. Esto puede tener un efecto muy negativo para la libertad de expresión, pues el derecho al olvido puede usarse para cancelar información de interés público mediante acciones sustentadas en el derecho al olvido. 

La RELE señaló en dicho informe que el derecho internacional de los derechos humanos no protege o reconoce el derecho al olvido en los términos de la sentencia del TJUE en el caso de Google España v. Gonzalez: “Por el contrario, la Relatoría Especial estima que la aplicación en las Américas de un sistema de remoción y desindexación privada de contenidos en línea con límites tan vagos y ambiguos resulta particularmente problemática a la luz del amplio margen normativo de protección de la libertad de expresión bajo el artículo 13 de la Convención Americana sobre Derechos Humanos.”^[33]

Adicionalmente, la RELE indicó que los Estados que implementen legislaciones de derecho al olvido deben hacerlo de forma excepcional, específica, clara y limitada para que exista un respeto de la libertad de expresión y acceso a la información al momento de proteger la privacidad y dignidad de las personas, además de brindando una distinción entre información y datos personales, al igual que los casos en los que la acción no procede, especialmente cuando se trate de expresiones sobre asuntos de interés público.^[34] Igualmente, la RELE razonó que las solicitudes cubiertas por esta legislación solo aplicarán cuando el solicitante demuestre la existencia de un daño sustancial a su privacidad y dignidad a través de una orden judicial en el marco de un proceso que respete las garantías judiciales y que brinde la oportunidad para la defensa de todas las personas involucradas, incluyendo a quien realiza la expresión, el medio de comunicación o sitio web afectado y los intermediarios de Internet involucrados.

En cuanto al reconocimiento de este concepto en instancias nacionales, se puede resaltar el caso de Colombia. En este país no se contempla el derecho al olvido en las legislaciones sobre datos personales. Sin embargo, la Corte Constitucional ha sentado jurisprudencia sobre la materia. Un caso emblemático al respecto es Gloria v. El Tiempo^[35], donde la Corte Constitucional resolvió una tutela interpuesta contra el medio El Tiempo, mediante la cual una ciudadana buscaba que una noticia de doce años de antigüedad relacionada con su vinculación en un proceso penal por trata de personas no pudiese ser consultada en línea. El proceso contra la ciudadana había concluido por prescripción y la disponibilidad de dicha noticia en Google afectaba sus derechos, entre esos el de buscar un trabajo. Durante el trámite de la tutela, la Corte vinculó a Google para que se pronunciara sobre los hechos del caso.  La Corte determinó que en este caso no aplicaba la legislación de habeas data en razón de la excepción de bases de datos periodísticos que contempla la legislación de ese país sobre esa materia. En su lugar, decidió analizar el caso a la luz de los derechos a la honra, buen nombre, dignidad humana y libertad de información por tener prerrogativas equiparables a lo protegido por el derecho de habeas data. Adicionalmente, la Corte consideró que aplicar un sistema como el dispuesto en la sentencia del TJUE implica “un sacrificio innecesario del principio de neutralidad de internet y, con ello, de las libertades de expresión e información”. En esta línea, Google consideró que no tenía ningún tipo de responsabilidad porque actuaba como un intermediario. La Corte Constitucional consideró que la forma de garantizar los derechos de la demandante sin afectar gravemente los derechos del medio era permitir que la noticia siguiera en línea, pero ordenó al medio actualizar la información publicada y utilizar una herramienta técnica para impedir que los buscadores identificaran la noticia escribiendo su nombre.

Por otro lado, en el caso de Brasil, el Supremo Tribunal Federal (STF) concluyó a inicios de 2021 que el derecho al olvido es incompatible con el sistema constitucional brasileño. Según el Tribunal, el paso del tiempo no es una restricción legítima para la divulgación de contenido verídico, por lo cual permitir el derecho al olvido significa restringir de forma excesiva la libertad de expresión:

“Es incompatible con la Constitución Federal la idea de un derecho al olvido, entendido como la facultad de impedir, por el paso del tiempo, la divulgación de hechos o datos verídicos y legalmente obtenidos y publicados en los medios de comunicación social, analógicos o digitales. Cualquier exceso o abuso en el ejercicio de la libertad de expresión e información debe ser analizado caso por caso, con base en parámetros constitucionales, especialmente los relativos a la protección del honor, la imagen, la privacidad y la personalidad en general, y las disposiciones legales expresas y específicas en el ámbito penal y de los derechos civiles”^[36].

En el caso de Argentina, se reconoce legalmente que las personas pidan la corrección o eliminación de sus datos. Por ejemplo, la Ley 25.326 dispone que el término de archivo de los antecedentes crediticios de una persona es de cinco años y que este plazo disminuye a dos años cuando los deudores pagan la obligación^[37]. Por otro lado, en el 2022 la Corte Suprema de Justicia de la Nación Argentina revocó una decisión de la Cámara Nacional en lo Civil que había aplicado el “derecho al olvido”^[38] a favor de Natalia Denegri^[39], una actriz y productora que había demandado a Google solicitando la desindexación de una serie de artículos con más de dos décadas de antigüedad que la vinculaban con el “caso Coppola”, un famoso evento noticioso en Argentina relacionado con el allanamiento de la residencia del entonces representante de Diego Maradona^[40]. La Sentencia de la Corte indicó que “[c]oncluir que por el mero paso del tiempo la noticia o información que formó parte de nuestro debate público pierde ese atributo, pone en serio riesgo la historia como también el ejercicio de la memoria social que se nutre de los diferentes hechos de la cultura, aun cuando el pasado se nos refleje como inaceptable y ofensivo para los estándares de la actualidad”.^[41]

Límites del derecho al olvido

Existen límites al ámbito del derecho al olvido. En 2017, el TJUE recibió una petición de decisión prejudicial en el caso Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce v. Salvatore Manni. El señor Manni, basándose en la decisión González, solicitó que se ordenara a la Cámara de Comercio borrar, anonimizar o bloquear cualquier dato que lo vinculara a la liquidación de su empresas. El TJUE se negó a estimar la solicitud del señorManni, y sostuvo que, a la luz de la gama de posibles usos legítimos de los datos en los registros de empresas y de los diferentes plazos de prescripción aplicables a dichos registros, era imposible determinar un período máximo de conservación adecuado. En consecuencia, el TJUE se negó a declarar la existencia de un derecho general al olvido de los registros públicos de empresas.

Además, en el caso Google v. CNIL, la Corte de Justicia de la Unión Europea sostuvo que “el derecho al olvido” no requiere que un motor de búsqueda elimine los resultados de todos sus dominios. Sin embargo, sí se requiere que se eliminen todos los resultados de búsqueda en todos los Estados que pertenecen a la Unión Europea^[42]. Con esta decisión, se restringió el alcance territorial del derecho al olvido, lo cual significa que este “derecho” sólo aplicaría en las fronteras de la Unión Europea, restringiendo su aplicación extraterritorial.

En esa misma decisión, al igual que en la del caso de GC y otros v. Google, el TJUE afirmó que las tensiones entre el derecho de protección de datos personales y las libertades de expresión e información deben tener un balance inspirado en la jurisprudencia del Tribunal Europeo de Derechos Humanos en casos de privacidad y libertad de expresión. 

Adicionalmente, la normativa actual a nivel europeo con respecto al derecho al olvido, el Reglamento General de Protección de Datos, establece en su artículo 17.3.a que este no será aplicable en aquellos casos en que el tratamiento de datos sea necesario para el ejercicio de la libertad de expresión o con fines de archivo de interés público.

Además, otras jurisdicciones se han negado a defender el derecho al olvido frente a los motores de búsqueda. En Brasil, por ejemplo, se sostuvo que no se puede obligar a los motores de búsqueda a eliminar los resultados de búsqueda relacionados con términos o expresiones específicas. Asimismo, el Tribunal Supremo de Japón se negó a hacer valer el derecho al olvido frente a Google, al considerar que la eliminación “sólo puede permitirse cuando el valor de la protección de la intimidad supera significativamente al de la divulgación de la información”.

Según los Principios Globales sobre la Libertad de Expresión y la Privacidad, este derecho —en la medida en que esté reconocido en una jurisdicción concreta— debe limitarse al derecho de las personas, en virtud de la legislación sobre protección de datos, a solicitar a los motores de búsqueda suprimir los resultados de búsqueda inexactos producidos a partir de una búsqueda de su nombre, y debe limitarse al nombre de dominio correspondiente en casos donde el individuo afectado ha demostrado un daño sustancial. Afirma, además, que las solicitudes de supresión de la lista deben estar sujetas a la resolución final de un tribunal o de un órgano jurisdiccional independiente con la experiencia pertinente en materia de libertad de expresión y derecho de protección de datos.

IV.           Vigilancia e Interferencia con la Libertad de Expresion

Vigilancia estatal e interferencia de derechos humanos

La vigilancia de las comunicaciones abarca el control, la interceptación, la recopilación, la obtención, el análisis, el uso, la conservación, la retención, la interferencia, el acceso o acciones similares llevadas a cabo con respecto a la información que incluye, refleja, surge o se refiere a las comunicaciones de una persona en el pasado, el presente o el futuro^[43]. Esto se refiere tanto al contenido de las comunicaciones como a los metadatos. Con respecto a estos últimos, se ha señalado que la agregación de información —comúnmente denominados “metadatos”— pueden dar una idea del comportamiento, las relaciones sociales, las preferencias privadas y la identidad de una persona. En su conjunto, pueden permitir sacar conclusiones muy precisas sobre la vida privada de una persona.

La Observación General No. 16 del Comité de Derechos Humanos establece que “la vigilancia, ya sea electrónica o de otro tipo, la interceptación de las comunicaciones telefónicas, telegráficas y de otro tipo, las escuchas telefónicas y la grabación de conversaciones deben estar prohibidas”^[44]. La vigilancia —tanto la recopilación masiva de datos^[45], como la recopilación selectiva de datos— interfiere directamente en la intimidad y la seguridad necesarias para la libertad de opinión y de expresión, y debe evaluarse a través de un test tripartito para evaluar la permisibilidad de la restricción. En la era digital, las TIC han aumentado la capacidad de los gobiernos, las empresas y los particulares para llevar a cabo la vigilancia, la interceptación y la recopilación de datos, y han hecho que la eficacia en la realización de dicha vigilancia ya no esté limitada por la escala o la duración.

En una resolución adoptada por la Asamblea General de las Naciones Unidas sobre el derecho a la intimidad en la era digital, se destacó que la vigilancia y/o interceptación ilegal o arbitraria de las comunicaciones, así como la recopilación ilegal o arbitraria de datos personales, son actos altamente intrusivos que violan el derecho a la intimidad, pueden interferir con el derecho a la libertad de expresión y pueden contradecir los principios de una sociedad democrática, incluso cuando se llevan a cabo a escala masiva^[46]. Señaló además que la vigilancia de las comunicaciones digitales debe ser coherente con las obligaciones internacionales en materia de derechos humanos y debe llevarse a cabo sobre la base de un marco jurídico, que debe ser accesible al público, claro, preciso, exhaustivo y no discriminatorio.

Para cumplir la condición de legalidad, muchos Estados han tomado medidas para reformar sus leyes de vigilancia con el fin de permitir los poderes necesarios para llevar a cabo estas actividades. De acuerdo con los principios de necesidad y proporcionalidad, la vigilancia de las comunicaciones debe considerarse un acto altamente intrusivo y, para cumplir el umbral de proporcionalidad, se debe exigir al Estado que, como mínimo, establezca la siguiente información a una autoridad judicial competente antes de llevar a cabo cualquier vigilancia de las comunicaciones:

• Si existe un alto grado de probabilidad de que se haya cometido o se vaya a cometer un delito grave o una amenaza específica contra un objetivo legítimo.

• Si se han agotado otras técnicas menos invasivas que resultaron inútiles, de modo que la técnica utilizada es la opción menos invasiva.

• La información a la que se acceda se limitará a la que sea relevante y material para el delito grave o la amenaza específica a un objetivo legítimo alegado.

• El exceso de información recopilada no se conservará, sino que se destruirá o devolverá rápidamente.

• El acceso a la información sólo lo tendrá la autoridad especificada y se utilizará únicamente para el propósito y la duración para los que se dio la autorización.

• Las actividades de vigilancia solicitadas y las técnicas propuestas no atentan contra la esencia del derecho a la intimidad o de las libertades fundamentales.

La vigilancia constituye una injerencia evidente en el derecho a la intimidad. Además, también constituye una injerencia en el derecho a mantener opiniones sin interferencias en el derecho a la libertad de expresión. Con especial referencia al derecho a mantener opiniones sin interferencias, los sistemas de vigilancia, tanto selectivos como masivos, pueden socavar el derecho a formarse una opinión, ya que el miedo a la revelación involuntaria de la actividad en línea, como la búsqueda y la navegación, probablemente disuade a las personas de acceder a la información, especialmente cuando dicha vigilancia conduce a resultados represivos.

Afectación diferenciada a la prensa

La interferencia con el derecho a la libertad de expresión es particularmente evidente en el contexto de los periodistas y miembros de los medios de comunicación que pueden ser sometidos a vigilancia como resultado de sus actividades periodísticas. Como ha señalado la Relatoría Especial de Naciones Unidas del derecho a la libertad de opinión y de expresión, esto puede tener un efecto amedrentador en el ejercicio de la libertad de los medios de comunicación, y dificulta la comunicación con las fuentes y el intercambio y desarrollo de ideas, lo que puede llevar a la autocensura.^[47] El uso de la encriptación y de otras herramientas similares se ha convertido en algo esencial para el trabajo de los periodistas, a fin de garantizar que puedan realizar su labor sin interferencias.

La revelación de las fuentes periodísticas y la vigilancia pueden tener consecuencias negativas para el derecho a la libertad de expresión debido a la violación de la confidencialidad de las comunicaciones de una persona. Una vez que la confidencialidad es socavada, no puede ser restaurada. Por lo tanto, es de suma importancia que las medidas que socavan la confidencialidad no se tomen de forma arbitraria.

La importancia de la protección de las fuentes está bien establecida. Por ejemplo, la Relatoría Especial para la Libertad de Expresión de la CIDH manifestó que la confidencialidad de las fuentes es un elemento esencial de la labor periodística y del papel de los periodistas para informar sobre cuestiones de interés público y recordó que conforme el Principio 8 de la Declaración de Principios sobre Libertad de Expresión de la CIDH, “todo comunicador social tiene derecho a la reserva de sus fuentes de información, apuntes y archivos personales y profesionales”. En palabras de la Relatoría Especial:

“La importancia del derecho a la confidencialidad de las fuentes reside en que, a fin de proveer al público de información necesaria para satisfacer su derecho a recibir información, los periodistas realizan un importante servicio al público cuando recaban y difunden información que no sería divulgada si la reserva de las fuentes no estuviera protegida. La confidencialidad, por lo tanto, es esencial para el trabajo de los periodistas y para el rol que cumplen en la sociedad de informar sobre asuntos de interés público”^[48].

En este sentido, las actividades de vigilancia llevadas a cabo contra los periodistas corren el riesgo de socavar fundamentalmente la protección de las fuentes a la que tienen derecho los periodistas. 

Por otro lado, el riesgo de vigilancia y espionaje al usar internet se refiere a la posibilidad de que terceros accedan ilegalmente a la información privada de los usuarios, como datos personales, comunicaciones y actividades en línea. Estos casos son por su naturaleza difíciles de rastrear y comprometen el libre ejercicio de la libertad de expresión y en particular, el periodismo.

En la mayoría de casos resulta complicado demostrar la presencia de programas de vigilancia y por lo tanto la responsabilidad de las organizaciones que las aplican. Esto se debe a que gran parte de la vigilancia digital se realiza de forma encubierta y por su naturaleza deja rastros mínimos. Además, las herramientas de cifrado y anonimización pueden dificultar la detección de actividades de vigilancia o rupturas de los protocolos de seguridad de las plataformas digitales^[49].

En estos casos, la recopilación de evidencia presenta retos importante. Es posible llevar a cabo análisis forenses para detectar la presencia de malware, registros de actividad sospechosa o acceso no autorizado. Los expertos en análisis forense utilizan herramientas y metodologías específicas para garantizar que la evidencia recopilada sea válida y admisible en un tribunal. Sin embargo, esta clase de procesos son técnicamente exigentes, costosos y no están disponibles popularmente, lo que contrasta con la capacidad que tienen las tecnologías intrusivas de realizar vigilancia masiva.

Moratoria normativa sobre la tecnología de vigilancia y de inteligencia artificial

Una moratoria es una medida legal que temporalmente suspende o restringe el desarrollo de ciertas actividades, con el fin de que primero se realice un análisis cuidadoso sobre las implicaciones legales y sociales de tales actividades. En el contexto de las tecnologías digitales, un moratorio legal puede evaluar los riesgos y beneficios de una nueva tecnología —como criptomonedas— antes de su amplia adopción.

Actualmente, en la región existe una moratoria normativa sobre la venta, la transferencia y el uso de la tecnología de vigilancia con enfoque de derechos humanos que anida una zona gris, donde los Estados arraigan prácticas de vigilancia con herramientas digitales^[50]. En su informe de 2019, el Relator Especial ante las Naciones Unidas, “propone un marco jurídico y de políticas para la regulación, la rendición de cuentas y la transparencia ene l sector de vigilancia privada. El Relator incluye con un llamamiento a la imposición de una regulación más rigurosa sobre las exportaciones de equipos de vigilancia y unas restricciones más estrictas a su utilización, así como de una moratoria inmediata sobre la venta y la transferencia a nivel mundial de los instrumentos que utiliza el sector de vigilancia privada hasta que se establezcan estrictas salvaguardias de los derechos humanos en la regulación de esas prácticas y se pueda garantizar que los gobiernos y los agentes no estatales van a utilizar esos instrumentos de un modo legítimo”.^[51]

En 2021, la Oficina de la Alta Comisionada de ONU alertó respecto de la prohibición de tecnologías que no pueden operar sin cumplir con los estándares internacionales y pidió una moratoria inmediata para la venta y uso de tecnologías que conllevan un alto riesgo para los derechos humanos, hasta que se establezcan las salvaguardias adecuadas. La Alta Comisionada de Derechos Humanos de las Naciones Unidas revela “las innegables y crecientes repercusiones de las tecnologías de inteligencia artificial en el ejercicio del derecho a la intimidad y otros derechos humanos”.^[52]

Esto mismo fue advertido en el escenario regional. Organizaciones civiles advirtieron riesgos de tecnologías de vigilancia en audiencia la Comisión interamericana de Derechos Humanos, quienes explicaron que existe una tendencia preocupante a nivel mundial y regional respecto al uso de tecnologías de vigilancia como forma de generar respuestas a un amplio rango de desafíos sociales, incluyendo la seguridad pública, el control de las fronteras, la respuesta a la pandemia, el monitoreo de las protestas sociales, el acceso a los servicios públicos, entre otros, sin que se evalúe si su impacto resulta en una afectación desproporcionada y, por tanto, ilegítima a los derechos como la privacidad, libertad de expresión y reunión, igualdad.”^[53]

También existen múltiples preocupaciones relacionadas con la implementación de inteligencia artificial. El desarrollo y popularización de herramientas basadas en inteligencia artificial puede generar muchos beneficios sociales en materia de productividad, automatización, creación de recursos o seguridad. Sin embargo, estos beneficios no hacen que los riesgos desaparezcan. Por ejemplo, la pérdida de empleos debido a la automatización, la invasión de la privacidad y el uso indebido de datos personales, el potencial de creación de armas autónomas y la exacerbación de la desigualdad económica y social si no se gestionan adecuadamente. Estos y otros riesgos pueden llevar a los Estados a considerar la necesidad de una pausa o en el despliegue de estas tecnologías.

El 22 de marzo de 2023, el instituto Future of Life publicó una carta abierta bajo el título Pause Giant AI Experiments(Pausen los grandes experimentos de IA), donde solicitaban a los gigantes tecnológicos a pausar el entrenamiento de ciertos modelos de IA. La carta contó con el aval de personalidades como Elon Musk —fundador de Tesla— y Steve Wozniak —cofundador de Apple—, pero no tuvo un efecto significativo^[54]. Por otro lado, un reporte del Foro Económico Mundial hecho sobre 36 países reveló que India, China, Alemania y Brasil son los países donde más gente teme por los riesgos relacionados con un desarrollo e implementación descontrolados de la IA. En Brasil, el país con la cifra más alta de la región, el 28% de los encuestados aseguraron temer la posibilidad de un caos generalizado causado por una IA “rebelde”^[55]. No obstante, existen numerosas voces que llaman a la implementación de la IA y que comparan el miedo que se tiene hacia estas tecnologías con el que se tiene con cualquier innovación de similar impacto, como el internet o la imprenta^[56].

Con el ánimo de minimizar dichos riesgos, por ejemplo, en Europa, se propuso una nueva regulación para la IA conocida como la Ley de Inteligencia Artificial de la UE (EU AI Act)^[57]. Entre otras cosas, la propuesta busca clasificar las tecnologías en diferentes niveles de riesgos que van desde el riesgo limitado (como en las herramientas de manipulación de imágenes) hasta niveles de riesgo inaceptables (como tecnologías de rankingsocial). La AI Act establece obligaciones para los proveedores de IA, de acuerdo con tales niveles de riesgo y prohíbe los sistemas más riesgosos.

Por otro lado, una crítica frecuente a la idea de una moratoria es que al ser adoptada solo por un país o unos pocos países, la implementación de estas tecnologías sería desigual y beneficiaría a quienes no realicen una evaluación de riesgos. Adicionalmente, la idea de una moratoria implica que se decida cuáles deben ser los usos de esta tecnología y cuál debe ser el curso de acción a tomar de cara al futuro. Este curso de acción provendría de la visión de bienestar social que se acabe eligiendo, y podría beneficiar de manera desproporcionada a las personas a cargo de valorar la situación y cerrar la puerta al debate^[58].

Además de los pedidos por detener el desarrollo o implementación de la IA, existen pedidos de moratorios similares para otras tecnologías emergentes con riesgos potenciales para la libertad de expresión como las relacionadas con la vigilancia. Por ejemplo, tras una investigación de Citizen Lab y Access Now, se confirmó que el software espía Pegasus fue utilizado contra periodistas y organizaciones de la sociedad civil en El Salvador. En respuesta, el 16 de marzo de 2022, la Comisión Interamericana de Derechos Humanos (CIDH) celebró una audiencia sobre cibervigilancia en El Salvador, enfatizando la necesidad de un marco legal transparente y el cumplimiento de los estándares internacionales de derechos humanos al intervenir dispositivos de comunicación^[59]. La CIDH también argumentó a favor de un moratorio sobre la venta, transferencia y uso de tecnología de vigilancia hasta que se establezcan normas adecuadas para proteger los derechos humanos. 

A pesar del escrutinio internacional y los llamados a la acción, los Estados continúan utilizando tecnología de vigilancia de manera encubierta. En vista de esta situación, en Europa, el Parlamento Europeo creó un comité especial para investigar el uso de Pegasus y software espía de vigilancia similar en los Estados miembros de la Unión Europea (UE). Posteriormente, el comité pidió el cese inmediato de la venta y el uso de software espía y publicó borradores de recomendaciones que destacan el alto riesgo de abuso que conlleva el uso de estas tecnologías sin marcos legales y supervisión adecuados. El comité también encontró violaciones de la legislación de la UE en varios países y los instó a garantizar su cumplimiento en el futuro^[60].

V.             Vigilancia a la Prensa con Pegasus en America Latina

La naturaleza cambiante de la vigilancia secreta, nos exige abordar los principales casos de la vigilancia en la actualidad. La naturaleza intrusiva del programa espía Pegasus es de un orden de magnitud diferente al de los anteriores tipos de programas espía y métodos de uso. Las revelaciones sobre esta tecnología confirman ahora que se han desarrollado, y se utilizan desde hace algún tiempo, programas espía que facilitan la captura indiscriminada de todos los datos de comunicación, y datos relacionados, en un dispositivo móvil, y que no están sujetos a ningún marco jurídico suficientemente preciso o determinable y han permanecido durante algún tiempo al margen de un escrutinio jurídico efectivo.

En la región se ha evidenciado en los últimos años el repetido uso de softwares de vigilancia en múltiples países, lo que indica un patrón sumamente preocupante de intimidación de periodistas y defensoras y defensores de derechos humanos.  

2021 El Informe del softare Pegasus 

El uso del programa espía Pegasus por parte de los gobiernos se descubrió por primera vez en 2016, cuando un abogado de derechos humanos fue objeto de un ataque a través de un mensaje de texto en el que se le prometía revelar secretos sobre torturas en cárceles de Emiratos Árabes Unidos. Tras examinar el mensaje de texto, los expertos del Citizen Lab de la Universidad de Toronto descubrieron el programa espía.⁴⁴ Entre 2016 y 2018, Citizen Lab identificó un total de 45 países en los que se creía que los operadores de Pegasus estaban llevando a cabo operaciones de vigilancia.⁴⁵ 

En julio de 2021, una alianza internacional de medios de comunicación y organizaciones de la sociedad civil, incluido el OCCRP, denunció que gobiernos de todo el mundo estaban utilizando el programa espía Pegasus contra periodistas y otras personas, incluidos políticos de la oposición.⁴⁶ Los informes detallaban cómo NSO vendía el programa espía a países, entre ellos Azerbaiyán, que lo utilizaban para piratear teléfonos propiedad de periodistas. Los informes vinculaban a NSO con una lista filtrada de más de 50.000 números de teléfono de más de 50 países y señalaban que estos números parecían ser objetivos de vigilancia propuestos para los clientes de NSO. Los informes afirmaban que, además de periodistas, la lista incluía a propietarios de medios de comunicación, políticos de la oposición, defensores de los derechos humanos, dirigentes gubernamentales y académicos.⁴⁷ La lista filtrada había sido obtenida por Amnistía Internacional y Forbidden Stories, que luego la compartieron con la alianza internacional de medios de comunicación. Los periodistas ocupan un lugar destacado en la lista.⁴⁸  

Un análisis técnico realizado por Amnistía Internacional sobre algunos de los teléfonos incluidos en la lista confirmó que muchos de ellos habían sido infectados con programas espía.⁴⁹ Algunas pruebas no fueron concluyentes. Sin embargo, un resultado no concluyente no significa que un teléfono no estuviera infectado: el programa espía Pegasus está diseñado para ocultarse: «Varios iPhones que Amnistía Internacional ha inspeccionado indican que Pegasus ha empezado recientemente a manipular las bases de datos del sistema y los registros de los dispositivos infectados para ocultar sus rastros e impedir los esfuerzos de investigación de Amnistía Internacional y otros investigadores.»⁵⁰  

¿Cómo funciona Pegasus? 

Pegasus es un software que puede ser instalado secretamente en el dispositivo móvil de un individuo, más comúnmente el teléfono de un individuo, si ese dispositivo utiliza un sistema operativo Android o iOS, con el fin de espiar a ese individuo.^[61] El programa espía Pegasus tiene la capacidad de convertir de forma encubierta un dispositivo móvil en un dispositivo de vigilancia a tiempo completo, ya que concede acceso completo y sin restricciones a toda la información del dispositivo una vez infectado con el programa espía. 

El programa espía Pegasus se implanta en un dispositivo móvil por diversos medios, como cuando el usuario del dispositivo hace clic en un enlace malicioso o a través de un transmisor inalámbrico situado cerca del teléfono. Cuando se utiliza un mensaje de texto malicioso, invariablemente estará formulado para despertar el interés del objetivo. Una vez implantado e instalado en el dispositivo, el programa espía Pegasus hace que éste se comunique con un servidor de «mando y control» operado por la entidad que utiliza el programa espía Pegasus. Esta comunicación suele realizarse a través de servidores proxy intermedios, de modo que resulta extremadamente difícil, examinando el código del programa espía, identificar la dirección de Internet asociada al servidor de «mando y control» (y, por tanto, averiguar la identidad o ubicación de dicho servidor y de la entidad que ejerce el control).^[62]  

Dado que el programa espía Pegasus permite al controlador obtener los denominados privilegios de root, o privilegios administrativos, en el dispositivo, proporciona acceso total a la cámara y el micrófono del dispositivo móvil, así como a su geolocalización. La persona que utiliza el programa espía puede leer, enviar o recibir mensajes que deberían estar cifrados de extremo a extremo, descargar fotos almacenadas, recopilar contraseñas y escuchar y grabar llamadas de voz o vídeo.^[63]

Tal vez la revelación más controvertida y preocupante de los numerosos informes publicados desde julio de 2021 haya sido una característica clave del programa espía Pegasus de la que no se había informado anteriormente: la capacidad de infectar un dispositivo mediante el método denominado «sin hacer clic». Esto significa que el spyware Pegasus, a diferencia de muchas otras formas de spyware, no necesita depender de ningún acto por parte del usuario del dispositivo para ser activado, o depender de «jailbreaking» en el sistema mediante la eliminación de las restricciones de acceso de un fabricante. Se han identificado, y se siguen identificando, varios exploits «zero-click» diferentes.^[64] Una vez que el dispositivo está infectado con el programa espía Pegasus es extremadamente difícil de detectar, y las acciones que lleva a cabo, como la extracción de datos, son extremadamente difíciles de establecer.^[65]

NSO comercializó el programa espía Pegasus destacando y ensalzando estas características. En el documento de NSO «Pegasus – Descripción del producto», entre las características en las que se centra, destaca: la extracción y recopilación continua de todos los datos almacenados en o por un dispositivo infectado; el seguimiento de la ubicación del dispositivo; la interceptación y grabación de llamadas de voz en el dispositivo; la interceptación y grabación en tiempo real de sonidos en las proximidades del dispositivo (mediante la activación encubierta del micrófono incorporado); y la interceptación y grabación en tiempo real de imágenes en las proximidades del dispositivo (mediante la activación encubierta de la cámara incorporada).^[66]

A efectos del análisis de este caso y otros relacionados, es importante señalar que NSO ha afirmado en repetidas ocasiones que el programa espía Pegasus sólo se ha vendido a gobiernos, lo que ha sido confirmado en varias ocasiones por funcionarios del Estado israelí y otras personas.^[67] En relación con este punto, al menos hasta las revelaciones de julio de 2021, siempre se ha exigido una licencia gubernamental para poder ofrecer el software espía Pegasus a los organismos encargados de hacer cumplir la ley y a otras ramas del Estado, y también en una segunda fase para poder exportarlo desde Israel. En respuesta a estas revelaciones, y a la posterior información aparecida en los medios de comunicación de todo el mundo, así como a la reacción de muchos Estados de que miembros de sus gobiernos también habían sido pirateados con el programa espía Pegasus, el Ministerio de Defensa israelí revocó miles de licencias de exportación que había concedido a empresas israelíes para «reforzar el control de las exportaciones cibernéticas». El endurecimiento del control incluía la introducción de nuevos términos y condiciones en la declaración de usuario final que, según el Ministerio, todos los países deben firmar como condición para obtener la licencia. ^[68] El amplio reportaje sobre el software espía Pegasus tras las revelaciones de julio de 2021 hace referencia a las ventas a gobiernos, no a particulares o empresas.^[69] Ese reportaje se basa en declaraciones de NSO y del gobierno israelí. 

La propia NSO admite que sus programas espía han provocado violaciones de «derechos humanos fundamentales».^[70] Sin embargo, en el curso de un procedimiento incoado contra ella en los Estados Unidos, alegó que tenía derecho a la inmunidad soberana basándose en que «el tribunal debería extenderles la doctrina de la inmunidad soberana derivada porque los demandados eran contratistas de los soberanos extranjeros que actuaban en el ámbito de su empleo…».”.^[71] Además, se basó en el argumento de que «la inmunidad soberana extranjera basada en la conducta se aplica a los agentes privados de un soberano extranjero cuando el agente actúa en nombre del Estado y que esta norma se aplica a su conducta en nombre de soberanos extranjeros».^[72] A pesar de que el recurso de NSO a la defensa de inmunidad soberana derivada en ese caso fracasó, es revelador, a efectos del presente caso, que su posición en el caso de EE.UU. fuera que era un agente privado de Estados extranjeros.

Casos en la región

México

En junio de 2017, Citizen Lab, ARTICLE 19, la Red en Defensa de los Derechos Digitales (R3D) y SocialTIC publicaron el informe “Gobierno Espía: Vigilancia sistemática a periodistas y defensores de derechos humanos en México”, en la cual se da cuenta de múltiples casos de intentos de infección con Pegasus. Posteriormente, la investigación “Ejército Espía” reveló nuevos casos de vigilancia con Pegasus atribuibles con un alto grado de certeza al Ejército Mexicano.

Un gran número de las infecciones con Pegasus ocurrieron en momentos en los que las víctimas realizaban labores relacionadas con violaciones a derechos humanos cometidas por las Fuerzas Armadas. Dentro de las víctimas documentadas, se incluyen víctimas de violaciones a derechos humanos, personas defensoras y organizaciones de derechos humanos, que habrían sido atacadas con el malware durante dos administraciones gubernamentales distintas y al menos 25 periodistas.

En agosto de 2021, La Comisión Interamericana de Derechos Humanos (CIDH), su Relatoría Especial para la Libertad de Expresión (RELE) y la Oficina en México del Alto Comisionado de las Naciones Unidas para los Derechos Humanos (ONU-DH) expresaron su preocupación ante los nuevos hallazgos sobre la utilización del software Pegasus para espiar a periodistas, personas defensoras de derechos humanos y personas con liderazgo público que ejercían oposición al gobierno^[73].

En el 2023, el New York Times revelo que México “se convirtió en el usuario más prolífico de Pegasus”^[74]. En este contexto, y ante la gravedad de los hechos denunciados ha motivado el pronunciamiento de organismos internacionales. 

En junio de 2023, de conformidad con pronunciamientos previos, la CIDH y la RELE reiteraron al Estado mexicano a redoblar sus esfuerzos en las investigaciones por el uso ilegítimo del software para vigilar a periodistas y personas defensoras, al considerar que no se registran avances sustanciales y persiste el aumento de reportes de persona afectadas^[75]. Según  la investigación  de Fiscalía General de la República (FGR), la contratación y adquisición del sistema de espionaje Pegasus data desde el 2014, lo que da cuenta de una ventana temporal muy amplia para el uso de esta tecnología sin transparencia ni salvaguardias. Las denuncias de los primeros casos, sin embargo, se dieron a partir de 2017, y a más de seis años continúan en la impunidad del espionaje ilegal en contra de decenas de víctimas.^[76]

En el comunicado del 2 de junio de 2023, la CIDH y la RELE, se expresaron sobre casos de uso del software de vigilancia Pegasus, estableciendo que “este tipo de prácticas no solo vulnera el derecho a la privacidad consagrado en la Convención Americana, sino también tiene el potencial de poner en riesgo la integridad de personas periodistas y defensoras, a la vez que incrementa la autocensura en la prensa y desincentiva las labores de defensa de derechos humanos.”^[77]

Destacamos que la CIDH y le RELE llamaron la atención del Estado en torno a las siguientes obligaciones:

1/ “Investigar de forma completa, exhaustiva e imparcial la adquisición y el uso de Pegasus y sancionar a quienes resulten responsables, velar por el adecuado cumplimiento de las garantías de debido proceso; y garantizar cooperación efectiva que facilite a las autoridades a cargo de investigación conocer sobre la información en poder de las instituciones del Estado y el sector privado concernido a fin de que puedan aportar al esclarecimiento de los hechos.” 

2/ “cesar inmediatamente cualquier acción destinada a la venta, la transferencia y el uso de tecnología de vigilancia hasta tanto se establezcan marcos normativos en línea con los derechos humanos y a instruir a todos sus agentes a que se abstengan de utilizar el software Pegasus de modo ilegal y que denuncien este tipo de instrucciones si viniesen de parte de sus superiores”.

3/ “Garantizar el derecho a la vida privada mediante acciones positivas dirigidas a asegurar la protección de dicho derecho de las interferencias de autoridades públicas y de personas o instituciones privadas”.

4/ “garantizar la adopción de todas las medidas necesarias para respetar, proteger y garantizar el derecho a la privacidad y la libertad de expresión de la ciudadanía, el ejercicio del periodismo, la defensa de los derechos humanos y la participación pública. Ello incluye el deber de las más altas autoridades de rechazar de manera clara, pública y contundente cualquier tipo de injerencia ilegal a la privacidad de las personas por medio de la tecnología.

5/ Si las víctimas son periodistas y personas defensoras de derechos humanos, realizar la investigación considerarando sus funciones y labores como hipótesis principales en la formulación de líneas de investigación.

Caso Carmen Aristegui.

El caso más avanzado en México a la fecha se trata del caso de la periodista Carmen Aristegui, cuya actividad periodística versa sobre casos de corrupción en las altas esferas políticas durante la administración anterior, como la investigación sobre la Casa Blanca del presidente Peña Nieto. En el marco del proceso penal en contra de Juan Carlos García Rivera (acusado por la Fiscalía General de la República (FGR) de ser uno de los autores del delito de intervención ilegal de comunicaciones en contra de la periodista, utilizando el malware Pegasus, en calidad de “operador” del mismo) se demostró que la periodista sí fue intervenida con Pegasus entre 2015 y 2016, tal como fue demostrado mediante peritajes de expertos del Citizen Lab de la Universidad de Toronto. No obstante, la Fiscalía no probó de manera suficiente la autoría ni la participación de García Rivera, por lo que ordenó su liberación inmediata y emitió sentencia absolutoria en enero de 2024.^[78]

El Salvador

En el 2022, Citizen Lab y Access Now llevaron a cabo una investigación conjunta, en colaboración con Frontline Defenders, SocialTIC y la Fundación Acceso, confirmando 35 casos de periodistas y miembros de la sociedad civil de El Salvador cuyos teléfonos fueron infectados con Pegasus entre julio de 2020 y noviembre de 2021. La probabilidad de ser espiado por este tipo de software, puso las alarmas en medios de comunicación más allá de los intervenidos por Pegasus, provocando autocensura y silenciamiento, según lo confirmado por organizaciones como Counterpart de El Salvador.

La CIDH, RELE y OACNUDH expresaron preocupación ante los hallazgos sobre el uso del software Pegasus para espiar a periodistas y organizaciones de la sociedad civil^[79]. Al respecto, destacaron que “Ante situaciones de denuncia de vigilancia digital sobre actividades legítimas como el periodismo y la defensa de derechos humanos, es deber de los Estados notificar formal y oportunamente a las personas cuya privacidad ha sido invadida con el fin de que éstas puedan: i) conocer la información recolectada y ii) manifestar su opinión sobre el tratamiento futuro que se debe dar a esa información.”^[80]

Como parte del patrón seguido en estos casos, la vigilancia tuvo lugar mientras las organizaciones o periodistas informaban sobre asuntos delicados relacionados con la administración del Presidente Bukele, como lo fue un escándalo relacionado con la negociación por parte del gobierno de un “pacto” con la banda MS-13 para la reducción de la violencia y el apoyo electoral.

El faro vs NSO

Pegasus se utilizó ampliamente entre 2020 y 2021 para hackear los iPhones de al menos 22 periodistas y empleados actuales y anteriores de El Faro, en un ataque sin precedentes contra la libertad de prensa regional.^[81]Para el momento de estos ataques, los periodistas de El Faro trabajaban en investigaciones sobre un gabinete paralelo de asesores venezolanos, planes secretos para crear una criptodivisa estatal y malversación de fondos para la pandemia.^[82]

En noviembre de 2022, 18 miembros de El Faro, representados por abogados del Instituto Knight de la Primera Enmienda de la Universidad de Columbia, presentaron la demanda contra NSO Group  en California, alegando supuestas violaciones de la Ley de Fraude y Abuso Informático de Estados Unidos (CFAA) y de la legislación estatal comparable, y solicitando al tribunal que ordene a NSO devolver y borrar la información robada de los servidores y dispositivos de Apple, así como revelar su cliente en El Salvador.

En primera instancia, el 8 de marzo de este 2024, el juez del Distrito Norte de California desestimó el caso por forum non conveniens, afirmando que el litigio «pertenece a un tribunal de Israel o El Salvador, y no aquí». El Instituto Knight presentó su escrito inicial de apelación el 15 de julio, argumentando que el tribunal había «contradicho directamente su propio análisis de los mismos factores en el caso Apple» toda vez que el juez mismo habría descartado este análisis en demandas separadas presentadas por Apple y Meta -la empresa matriz de WhatsApp- contra el desarrollador de Pegasus.

Ver más sobre los últimos desarrollos del proceso aquí.

República Dominicana 

En mayo de 2023, a través de una investigación de Amnistía Internacional, se confirmó el primer caso en República Dominicana de infección con Pegasus del teléfono de una periodista, Nuria Piera, en tres ocasiones entre 2020 y 2021 mientras investigaba casos de corrupción relacionados con altos cargos gubernamentales y familiares del expresidente del país.^[83] En las fechas en las que habría sido infectada, trabajaba en investigaciones sensibles y de elevado interés público; tal como “posibles actos de corrupción por parte de miembros de la administración, como el ahora exministro Donald Guerrero, y de las fuerzas del orden y también denuncias sobre acoso sexual en la Cámara de Cuentas.”^[84]

La CIDH emitió un pronuncimiento en junio de 2023, en el que hacen un llamado al Estado a realizar una investigación completa y exhaustiva de los hechos, y a juzgar y sancionar a los responsables. Según la prensa, Republica Dominicana habría pagado 32 millones de dólares pero sigue la incertidumbre sobre cómo y quien habría adquirido el software, así como quien lo opera y si aun opera^[85]. Con posterioridad, se realizaron cambios normativos importantes para concentrar las funciones de inteligencia y regularlas.^[86]

Estados Unidos

Litigio

Apple demandó a NSO Group (ver aquí la demanda) en noviembre de 2021, alegando que la empresa israelí había utilizado su software espía Pegasus para hackear dispositivos iPhone de varios usuarios, incluidos periodistas, activistas y otros individuos de interés. Por otro lado, Meta (dueña de WhatsApp) también entabló una demanda en contra NSO Group (2019). Similarmente alego que la empresa israelí había utilizado Pegasus para hackear miles de cuentas de usuarios de WhatsApp.  (Para ver el tipo de materia probatorio utilizado para construir este caso vea: https://www.courtlistener.com/docket/16395340/1/1/whatsapp-inc-v-nso-group-technologies-limited/ ) 

La decisión de ambos casos tendrá repercusiones en los desarrolladores de tecnología en materia de seguridad y la privacidad de los usuarios. Ambas plataformas advierten de la invasión de privacidad de sus usuarios, mediante el hackeo de sus propios servicios, el incumplimiento de los términos y condiciones de sus plataformas, y piden establecer medidas legales para impedir futuros ataques. Por su parte, NSO Group ha defendido su software, alegando que se utiliza exclusivamente con fines de seguridad nacional y para la lucha contra el crimen. 

El 1 de marzo de 2024, según el monitoreo de Amnista Internacional, una corte federal de primera instancia ha ordenado a la empresa israelí de software espía NSO Group que revele a WhatsApp documentos y código relacionado con su célebre software espía Pegasus. El proceso sigue en curso.^[87]

Medidas administrativas

En Febrero de 2024, el gobierno de los Estados Unidos anunció restricciones a la industria de los spyware, consistentes en la imposición de restricciones globales de visa a personas que hayan estado involucradas en el uso indebido de software espía comercial. Esta sería aplicable a personas, inclusive, de países que normalmente no requieren una visa para ingresar a los EE. UU., como los países de la UE e Israel.  También afectará a las personas que se cree que facilitan u obtienen beneficios financieros del uso indebido de software espía comercial y a sus familiares inmediatos. ^[88]

En 2023, se emitió la Orden Ejecutiva  sobre la prohibición del uso por parte del gobierno de los Estados Unidos de software espía comercial que represente riesgos para la seguridad nacional. Esta medida se impone luego de que la de la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio que enlistó en 2021 a cuatro empresas extranjeras por participar en actividades contrarias a la seguridad nacional o los intereses de la política exterior de los Estados Unidos, por considerar que había evidencia de que estas entidades desarrollaron y suministraron software espía a gobiernos extranjeros que utilizaron estas herramientas para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas^[89]. Las cuatro entidades están ubicadas en Israel, Rusia y Singapur. Esta medida implica que se prohíbe a las empresas estadounidenses venderle productos o servicios a NSO Group, como una forma de presionar a la empresa para que cese sus operaciones de espionaje.

Colombia

En marzo de 2024, el medio de comunicación israelí Haaretz, publicó una investigación que daría cuenta de la compra de Pegasus por parte del Estado colombiano. No obstante, en un primer momento, funcionarios del Estado negaron la disponibilidad de dicha herramienta, provocando más dudas sobre las condiciones de la adquisición de dicho software.^[90] En Julio de 2024, este tema fue profundizado por RTVC y la Revista Raya, que denunciaron que el gobierno de Duque lo habría comprado “con dinero incautado a narcotraficantes y pagó 13 millones de dólares en efectivo para intervenir 2.600 líneas telefónicas”, en 2021, cuando se desarrollaban las protestas masivas en el país. Denuncian que la compra fue posible gracias a que un ministro israelí habría solicitado al banco recibir el efectivo, quien luego confirmó que el comprador era una entidad pública colombiana.^[91]

El Presidente Petro pronunció un discurso el 5 de septiembre, afirmando que había constancia de la compra por parte de la Dirección de Inteligencia Policial (DIPOL). El Presidente reveló información de inteligencia.  El presidente dijo que DIPOL había realizado dos pagos de 5,5 millones de dólares cada uno a la empresa de vigilancia israelí NSO. En junio, La Fiscalía General de la Nación vinculó a la investigación a una previa, sobre supuestas interceptaciones ilegales a magistrados y altos funcionarios de la justicia.  Hasta el momento se han realizado 25 entrevistas, 12 inspecciones, cinco recolecciones de información y dos análisis forenses. Entre los entrevistados se encuentran el exviceministro Jairo García Guerrero, el exdirector del Dapre, Víctor Manuel Muñoz y el general Juan Diego Sepúlveda, entre otros.^[92]

Posteriormente, en Noviembre de 2024, la Unidad Investigadora de EL TIEMPO reveló la versión de funcionarios del gobierno de Joe Biden que aseguraron que la compra de Pegasus fue financiada por Estados Unidos con “recursos lícitos”. Algunos periodistas informaron que el acuerdo se hizo cuando Trump era presidente para luchar contra el narcotráfico y el crimen organizado, pero la compra se realizó mientras Biden estaba en el cargo. Al parecer, el entonces presidente colombiano no estaba al tanto de la compra del software^[93]. Daniel García-Peña, embajador de Colombia en Washington, funcionarios de la administración Biden confirmaron que el gobierno de Estados Unidos ayudó a facilitar la adquisición de Pegasus para su uso en Colombia.^[94] No obstante, ninguna entidad ha reconocido que tenga o haya tenido acceso a la herramienta, ni se sabe dónde estaría alojada, quienes tendrían acceso y manejo de la misma, se desconoce quiénes pudieron ser intervenidos con el software, quién definía los objetivos o cualquier fueron los dispositivos de control^[95]. 

Demanda contra la Ley de Inteligencia

El Veinte formuló acción de inconstitucionalidad en contra de los artículos 17 (parcial) y 33 (parcial) de la Ley 1621 de 2013 por considerar vulnerados los artículos 20 (libertad de expresión) y 93 (integración de tratados internacionales de DDHH en la Constitución) de la Constitución Política de 1991, al igual que los artículos 2, 11, y 13 de la Convención Americana sobre Derechos Humanos (CADH).

Los demandantes sostienen que la norma vigente puede ser interpretada como una autorización amplia para intervenir en la vida privada de las personas, ya que el monitoreo del espectro electromagnético puede acceder a comunicaciones privadas (como llamadas telefónicas, mensajes de datos y contenido digital) sin necesidad de autorización judicial. Argumentan que el monitoreo del espectro debe considerarse una injerencia en la vida privada que, por su impacto en derechos fundamentales, debe requerir siempre control judicial. Además, el artículo 33 de la Ley 1621 de 2013 establece que la información y documentos de los organismos de inteligencia y contrainteligencia estarán reservados por ley debido a la naturaleza de sus funciones. Para los accionantes, la norma no define de manera específica qué tipo de información debe ser considerada reservada ni los fines legítimos (como la seguridad o defensa nacional) que justificarían la reserva. La demanda sostiene que esta norma no cumple con los estándares internacionales, ya que: i) la información se clasifica como reservada solo por pertenecer a organismos de inteligencia, sin considerar su contenido; ii) no define de manera clara los conceptos de “seguridad” y “defensa nacional”, ni establece categorías de información que justifiquen la reserva, lo que crea una reserva genérica incompatible con los artículos 11 y 13 de la Convención Americana de Derechos Humanos

La Corte Constitucional admitió la demanda para su estudio mediante auto con fecha del 15 de noviembre de 2024, en este se oficia a una serie de organismos de inteligencia y contrainteligencia a remitir los protocolos mediante los cuales se adelantan las actividades de monitoreo del espectro electromagnético y se determina la reserva de la información. La decisión de fondo se espera para el 2025.

Panamá

Conclusión

A medida que avanzamos, los activistas de los derechos digitales tienen un papel importante que desempeñar para garantizar que los Estados sigan el ritmo de la evolución de la protección de datos y promulguen marcos legislativos que protejan y promuevan plenamente el derecho de las personas a la privacidad. Al mismo tiempo, existe una necesidad de que los activistas y defensores de estos derechos vigilen y actúen en contra de aplicaciones desmedidas de las legislaciones de privacidad y protección de datos que puedan desencadenar en censura.

Por otra parte, la recolección de datos biométricos y el reconocimiento facial plantean preocupaciones significativas sobre la privacidad y la discriminación, mientras que la recolección de evidencia de violaciones a la libertad de expresión en línea destaca la importancia de proteger los derechos digitales en un entorno cada vez más vigilado. En última instancia, el desarrollo de políticas y prácticas efectivas requiere una colaboración continua entre Gobiernos, empresas tecnológicas y la sociedad civil para garantizar que se respeten los derechos fundamentales en los entornos digitales.

La proliferación de casos de vigilancia, en particular mediante Pegasus, deja en evidencia la necesidad del debate sobre el moratorio sobre ciertas tecnologías y su impacto en los derechos humanos. 

Los intentos de regulación de la IA en América Latina muestra un progreso notable hacia la creación de marcos legales que aborden los aspectos éticos y sociales de estas tecnologías, aunque garantizar la transparencia tecnológica es un reto vigente.

• 1. http://www.oas.org/es/cidh/expresion/docs/publicaciones/internet_2016_esp.pdf para 210
• 2. http://www.oas.org/es/cidh/expresion/docs/publicaciones/internet_2016_esp.pdf para 212.
• 3. El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos establece lo siguiente respecto al derecho a la privacidad: Nadie podrá ser objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.
• 4. El artículo 5 de la Declaración Americana de los Derechos y Deberes del Hombre dispone lo siguiente respecto al derecho a la privacidad: “Toda persona tiene derecho a la protección de la Ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar. Además de esta disposición, el artículo 9 se refiere a la inviolabilidad del domicilio y el artículo 10 hace referencia a la inviolabilidad y circulación de la correspondencia.
• 5. El artículo 11 de la Convención Americana sobre Derechos Humanos establece lo siguiente: “Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques”.
• 6. CIDH. Estándares para una Internet libre, abierta e incluyente. 2017. Para 191. URL: http://www.oas.org/es/cidh/expresion/docs/publicaciones/internet_2016_esp.pdf
• 7. Corte IDH. Caso Fontevecchia y D’Amico vs. Argentina. Sentencia de 29 de noviembre de 2011. Fondo, Reparaciones y Costas. Serie C No. 238, y Corte IDH. Caso Escher vs. Brasil. Sentencia de 6 de Julio de 2009. Fondo, Reparaciones y Costas. Serie C No. 200. 
• 8. Corte Interamericana de Derechos Humanos. Tristán Donoso v. Panamá. Sentencia de 27 de enero de 2009. Serie C No. 193.
• 9. Corte Interamericana de Derechos Humanos. Fontevecchia D’Amico v. Argentina. Sentencia de 29 de noviembre de 2011. Serie C No. 238, párr. 159.
• 10. Corte Interamericana de Derechos Humanos. Escher y otros vs. Brasil. Sentencia de 6 de julio de 2009. 
• 11. Corte IDH. Caso Tristán Donoso vs. Panamá. Sentencia de 27 de enero de 2009. Excepción Preliminar, Fondo, Reparaciones y Costas. Serie C No. 139. Párr. 55. Ver también, Corte IDH. Caso Escher vs. Brasil. Sentencia de 6 de Julio de 2009. Fondo, Reparaciones y Costas. Serie C No. 200
• 12. Corte IDH. Caso Escher vs. Brasil. Sentencia de 6 de Julio de 2009. Fondo, Reparaciones y Costas. Serie C No. 200. Párr. 114.
• 13. Comité de Derechos Humanos, Observación General 16, (Vigésimo tercer período de sesiones, 1988), Recopilación de observaciones generales y recomendaciones generales adoptadas por órganos creados en virtud de tratados de derechos humanos, U.N. Doc. HRI/GEN/1/Rev.1 en 21 (1994), párr. 10. 
• 14. Oficina del Comisario de Información. Principios de protección de datos. Obtenido de https://ico.org.uk/for-organisations/guide-to-data-protection/data-protection-principles
• 15. Organización de Estados Americanos (2012). Propuesta de declaración de principios de privacidad y protección de datos personales en las Américas. CJI/RES. 186 (LXX-O/12). Periodo ordinario de sesiones. Obtenido de: http://www.oas.org/es/sla/cji/docs/CJI-RES_186_LXXX-O-12.pdf
• 16. Red Iberoamericana de Protección de Datos (2017). Estándares de protección de datos personales para los Estados Iberoamericanos. Obtenido de:https://www.redipd.org/sites/default/files/inline-files/Estandares_Esp_Con_logo_RIPD.pdf
• 17. Organización de Estados Americanos (2015). Guía Legislativa del CJI. Obtenido de: https://www.oas.org/es/sla/ddi/proteccion_datos_personales_Guia_Legislativa_CJI_2015.asp
• 18. El Espectador. ¿Cómo se encuentra la protección de datos en Latinoamérica? 29 de septiembre de 2020. Obtenido de: https://www.elespectador.com/tecnologia/como-se-encuentra-la-proteccion-de-datos-en-latinoamerica-article/
• 19. Algunos ejemplos en la región son la Ley N° 25.326, 2000, art 1 en Argentina, la Ley N° 1581, 2012, art 2.d en Colombia y la Ley N° 8968, 2011, art 1en Costa Rica. En el mismo sentido se puede ver el artículo 9.2.b del Convenio 108 del Consejo de Europa.
• 20. AlSur. Reconocimiento  facial en América Latina Tendencias en la implementación de una tecnología perversaP.4-8.
• 21. Washington Post (2019). HireVue's face-scanning algorithm increasingly decides whether you deserve the job. Disponible en: https://www.washingtonpost.com/technology/2019/10/22/ai-hiring-face-scanning-algorithm-increasingly-decides-whether-you-deserve-job/
• 22. The New York Times (2020). Another Arrest, and Jail Time, Due to a Bad Facial Recognition Match. Disponible en: https://www.nytimes.com/2020/12/29/technology/facial-recognition-misidentify-jail.html.
• 23. R3D. La ACLU asegura que el software Rekognition de Amazon tiene sesgos raciales. Julio, 2018. 
• 24.  AlSur. Reconocimiento facial en América Latina Tendencias en la implementación de una tecnología perversa. P.22.
• 25. RT. “Fue encarcelado por error de un sistema de inteligencia artificial y presenta demanda”’. Enero 2024.
• 26. AlSur. Reconocimiento facial en América Latina Tendencias en la implementación de una tecnología perversa. P.4. 
• 27. https://interferencia.cl/articulos/los-riesgos-del-reconocimiento-facial-restriccion-las-libertades-personales-sesgo-racial
• 28. Google España SL y otro v. Agencia Española de Protección de Datos (AEPD). Asunto núm. C-131/12, 13 de mayo de 2014. Obtenido en: https://eur-lex.europa.eu/
• 29. Ibídem.
• 30. Ibídem.
• 31. Ibídem.
• 32. Relatoría Especial para la Libertad de Expresión (2017). Estándares para una Internet Libre, Abierta e Incluyente, pág. 53, párr. 130. Obtenido de:https://www.oas.org/es/cidh/expresion/docs/publicaciones/INTERNET_2016_ESP.pdf
• 33.  Ibídem. Párr. 137.
• 34. Ibídem. Párr. 140.
• 35. Corte Constitucional. Sentencia T-277 de 2015. MP: Maria Victoria Calle Correa.
• 36. Tribunal Supremo Federal de Brasil. Sentencia del 11 de febrero de 2021. RE1010606. Obtenido de:https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=755910773
• 37. Centro de Estudios de Libertad de Expresión y Acceso a la Información (CELE). Derecho al olvido: entre la protección de datos, la memoria y la vida personal en la era digital. Obtenido de:https://www.palermo.edu/cele/pdf/DerechoalolvidoiLEI.pdf
• 38. Cámara Nacional de Apelaciones en lo Civil. Natalia Degeri v. Google Inc.. Sentencia del 10 de agosto de 2020. ID SAIJ: FA20020049. Obtenido de: http://www.saij.gob.ar/camara-nacional-apelaciones-civil-nacional-ciudad-autonoma-buenos-aires-denegri-natalia-ruth-google-inc-derechos-personalisimos-acciones-relacionadas-fa20020049-2020-08-10/123456789-940-0200-2ots-eupmocsollaf
• 39. La Nación (12 de agosto de 2020). Caso Natalia Denegri: por primera vez en la Argentina, la justicia aplicó el “derecho al olvido” en una demanda contra Google. Obtenido de:https://www.lanacion.com.ar/sociedad/por-primera-vez-argentina-se-promulgo-fallo-nid2418606
• 40. Resofworld. Natalia Denegri no quiere ser definida por un escándalo de Maradona. Ahora lucha por que el Internet la olvide.Obtenido de: https://restofworld.org/2021/denegri-google-maradona-derecho-olvidar/
• 41. Corte Suprema de la Nación Argentina. Denegri, Natalia Ruth c/ Google Inc. Sentencia del 28 de junio de 2022. CIV 50016/2016/CS1. Obtenido de: https://www.fiscales.gob.ar/wp-content/uploads/2022/06/DENEGRI.pdf. 
• 42. Corte de Justicia de la Unión Europea. Google v. CNIL. Caso C-507 de 2017. Sentencia del 10 de enero de 2019. Obtenido de: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:62017CC0507
• 43. Necessary and Proportionate Principles (2014). International principles on the application of human rights to communications surveillance, pág. 4. Obtenido de:https://necessaryandproportionate.org/files/2016/03/04/en_principles_2014.pdf.
• 44. Comité de Derechos Humanos (1988). Observación General No. 36. Vigésima tercera sesión. Recopilación de Comentarios Generales y Recomendaciones Generales Adoptadas por los Órganos de Tratados de Derechos Humanos. HRI/GEN/1/Rev.1, párr. 8.
• 45. Edward Snowden, ha revelado que la Agencia de Seguridad Nacional de Estados Unidos y la Sede General de Comunicaciones en el Reino Unido habían desarrollado tecnologías que permitían el acceso a gran parte del tráfico global de Internet, registros de llamadas, libretas de direcciones electrónicas de individuos y grandes volúmenes de otros contenidos de las comunicaciones. Estas tecnologías se despliegan a través de una red transnacional que comprende las relaciones de inteligencia estratégica entre los gobiernos y otros actores.
• 46. UNGA Resolution on the right to privacy in the digital age A/C.3/71/L.39/Rev.1, 16 November 2016 (2016 UN Resolution on Privacy). Obtenido de:  http://www.un.org/ga/search/view_doc.asp?symbol=A/C.3/71/L.39/Rev.1
• 47. Report of the UNSR on Freedom of Expression (17 de abril de 2013). The implications of States’ surveillance of communications on the exercise of the human rights to privacy and to freedom of opinion and expression. A/HRC/23/40, Obtenido de: https://www.ohchr.org/en/special-procedures/sr-freedom-of-opinion-and-expression/annual-thematic-reports. 
• 48. Organización de Estados Americanos. Relatoría Especial manifiesta preocupación por acciones para que periodistas revelen sus fuentes y materiales informativos en Perú. Comunicado de Prensa R151/18 del 12 de julio de 2018. Obtenido de:https://www.oas.org/es/cidh/expresion/showarticle.asp?artID=1110&lID=2
• 49. The Conversation (2014). Cyber-espionage is more difficult to pin to a state than spying in the physical world. Disponible en: https://theconversation.com/cyber-espionage-is-more-difficult-to-pin-to-a-state-than-spying-in-the-physical-world-32977
• 50. OACNUDH, Declaración de la Alta Comisionada de la ONU para los Derechos Humanos, Michelle Bachelet, sobre el uso de software espía para vigilar periodistas y personas defensoras de derechos humanos, 19 de julio 2021, obtenido de: https://hchr.org.mx/comunicados/declaracion-de-la-alta-comisionada-de-la-onu-para-los-derechos-humanos-michelle-bachelet-sobre-el-uso-de-software-espia-para-vigilar-periodistas-y-personas-defensoras-de-derechos-humanos/
• 51. https://documents.un.org/doc/undoc/gen/g19/148/79/pdf/g1914879.pdf
• 52. Human Rights Council Forty-eighth session/ A/HRC/48/31 
• 53. https://flip.org.co/pronunciamientos/organizaciones-advierten-riesgos-de-tecnologias-de-vigilancia-en-audiencia-ante-la-cidh
• 54. Wired (2023). Six Months Ago Elon Musk Called for a Pause on AI. Instead Development Sped Up. Disponible en: https://www.wired.com/story/fast-forward-elon-musk-letter-pause-ai-development/.
• 55. World Economic Forum (2023). Here's which countries are fearful of AI. Disponible en: https://www.weforum.org/agenda/2023/03/heres-which-countries-are-fearful-of-ai/. 
• 56. Forbes. (23 de agosto de 2023). A Moratorium On AI? Why AI Is Not A Profound Risk To Society. Disponible en: https://www.forbes.com/sites/forbestechcouncil/2023/08/23/a-moratorium-on-ai-why-ai-is-not-a-profound-risk-to-society/?sh=7f1ff1aa316c.
• 57. Ley de Inteligencia Artificial de la Unión Europea. Disponible en: https://artificialintelligenceact.eu/es/. 
• 58. The Washington Post (2023). An AI moratorium probably is not the answer. Disponible en: https://www.washingtonpost.com/made-by-history/2023/05/08/artificial-intelligence-moratorium/.
• 59. Civicus Monitor (2022). El Salvador: freedom of expression under threat amid rising gang violence. Disponible en: https://monitor.civicus.org/explore/el-salvador-freedom-expression-under-threat-amid-rising-gang-violence/#:~:text=On%2016th%20March%202022%2C%20the,revealed%20by%20Amnesty%20International%2C%20Access.
• 60. Wall Street Journal (2022). Spyware Scandals Prompt Calls for Further Bans in Europe. Disponible en: https://www.wsj.com/articles/spyware-scandals-prompt-calls-for-further-bans-in-europe-11668011870.
• 61. Véase, por ejemplo, Amnistía Internacional, Informe de metodología forense: How to catch NSO Group's Pegasus, (18 de julio de 2021), disponible en https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/.
• 62.  Véase Amnistía Internacional, Amnistía Internacional entre los objetivos de la campaña impulsada por la OSN, (1 de agosto de 2018), disponible en https://www.amnesty.org/en/latest/research/2018/08/amnesty-international-among-targets-of-nso-powered-campaign/.
• 63. Véase SEPD, Preliminary Remarks on Modern Spyware, (15 de febrero de 2022), disponible en https://edps.europa.eu/system/files/2022- 02/22-02.
• 64. Citizen Lab (y otros), Forcedentry - NSO Group iMessage Zero-Click Exploit Captured in the Wild (13 de septiembre de 2021), disponible en https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/.
• 65. Amnesty International, Forensic Methodology Report: How to catch NSO Group’s Pegasus, (18 July 2021), available at https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
• 66. NSO Group, Descripción del producto Pegasus, disponible en https://s3.documentcloud.org/documents/4599753/NSO-Pegasus.pdf
• 67. New York Times, The Battle for the World's Most Powerful Cyberweapon, (28 de enero de 2022), disponible en https://www.nytimes.com/2022/01/28/magazine/nso-group-israel-spyware.html; The Wire, Pegasus Is Only Sold to Governments, New Israeli Envoy to India Reiterates, (28 de octubre de 2021), disponible en https://thewire.in/world/naor-gilon-india-israel-envoy-nso-group-pegasus-surveillance.
• 68. Jerusalem Post, Amid NSO scandal, over 3,600 export licenses revoked in the past year, (31 January 2022), available at https://www.jpost.com/israel-news/article-695084
• 69. Le Monde, Pegasus: CEO of Israel's NSO Group to step down, (21 August 2022), available at https://www.lemonde.fr/en/pixels/article/2022/08/21/pegasus-ceo-of-israel-s-nso-group-to-step-down_5994322_13.html; Hareetz, Pegasus Spyware Maker NSO Has 22 Clients in the European Union. And It's Not Alone, (9 August 2022), available athttps://www.haaretz.com/israel-news/security-aviation/2022-08-09/ty-article/.premium/israeli-spyware-maker-nso-has-22-customers-in-12-eu-countries-and-its-not-alone/00000182-8403-df1d-a3a7-ae9bce800000. 
• 70. ONS, Informe de Transparencia y Responsabilidad de la ONS 2021, (30 de junio de 2021), disponible en https://tinyurl.com/ffeu8k7e, p. 18
• 71. US District Court, Northern District of California, WhatsApp Inc and others v NSO Group Technology and others, Case No. 19-cv-07123-PJH, disponible en https://globalfreedomofexpression.columbia.edu/wp-content/uploads/2020/07/469439283-WhatsApp-vs-NSO-Group-court-document-111.pdf.
• 72. Ibid, p.11
• 73. OACNUDH, La CIDH, su RELE y ONU-DH México manifiestan preocupación ante nuevos hallazgos sobre la utilización del software Pegasus, 6 de agosto 2021, obtenido de: https://hchr.org.mx/comunicados/la-cidh-su-rele-y-onu-dh-mexico-manifiestan-preocupacion-ante-nuevos-hallazgos-sobre-la-utilizacion-del-software-pegasus/
• 74. New York Times. Cómo México se convirtió en el mayor usuario del programa de espionaje más conocido del mundo. Abril 2023. https://www.nytimes.com/es/2023/04/18/espanol/pegasus-mexico-gobierno-ejercito.html
• 75. CIDH. Comunicado de Prensa. CIDH manifiesta su preocupación por el aumento de casos sobre uso de Pegasus en México. Junio 2023. https://www.oas.org/es/CIDH/jsForm/?File=/es/cidh/prensa/comunicados/2023/109.asp
• 76. Articulo 19. Juicio confirma espionaje con Pegasus contra Carmen Aristegui por labor periodística; FGR debe continuar con las investigaciones. Enero 2024. https://articulo19.org/juicio-confirma-espionaje-con-pegasus-contra-carmen-aristegui-por-labor-periodistica-fgr-debe-continuar-con-las-investigaciones/
• 77. CIDH. Comunicado de Prensa. CIDH manifiesta su preocupación por el aumento de casos sobre uso de Pegasus en México. Junio 2023. Op cit 79.
• 78. Articulo 19. Juicio confirma espionaje con Pegasus contra Carmen Aristegui por labor periodística; FGR debe continuar con las investigaciones. Enero 2024. https://articulo19.org/juicio-confirma-espionaje-con-pegasus-contra-carmen-aristegui-por-labor-periodistica-fgr-debe-continuar-con-las-investigaciones/
• 79. OEA, La CIDH, RELE y OACNUDH expresan preocupación ante los hallazgos sobre uso del software Pegasus para espiar a periodistas y organizaciones de la sociedad civil en El Salvador, 31 de enero 2022, obtenido de: http://www.oas.org/es/cidh/jsForm/?File=/es/cidh/prensa/comunicados/2022/022.asp
• 80. OEA, La CIDH, RELE y OACNUDH expresan preocupación ante los hallazgos sobre uso del software Pegasus para espiar a periodistas y organizaciones de la sociedad civil en El Salvador, 31 de enero 2022, obtenido de: http://www.oas.org/es/cidh/jsForm/?File=/es/cidh/prensa/comunicados/2022/022.asp
• 81. El Faro. Tech and Press Giants Boost El Faro’s Appeal in US Pegasus Case. Julio 2024.https://elfaro.net/en/202407/el_salvador/27512/tech-and-press-giants-boost-el-faro-rsquo-s-appeal-in-us-pegasus-case
• 82. Idem.
• 83. Amnistía Internacional. República Dominicana: Software espía Pegasus descubierto en teléfono de destacada periodista. Julio 2023. https://www.amnesty.org/es/latest/news/2023/05/dominican-republic-pegasus-spyware-journalists-phone/
• 84. Swissinfo. Conocida periodista dominicana fue espiada por el programa Pegasus. Mayo 2023. https://www.swissinfo.ch/spa/conocida-periodista-dominicana-fue-espiada-por-el-programa-pegasus/48482000
• 85. Listin Diario. ¿Qué institución compró el software de espionaje Pegasus para RD?. Septiembre 2021. URL: https://listindiario.com/la-republica/2021/09/19/688739/que-institucion-compro-el-software-de-espionaje-pegasus-para-rd.html
• 86. Senado República Dominicana. Senado convierte en Ley proyecto crea la Dirección Nacional de Inteligencia (DNI). Enero 2024. https://www.senadord.gob.do/senado-convierte-en-ley-proyecto-crea-la-direccion-nacional-de-inteligencia-dni/
• 87. Amnistía Internacional. Estados Unidos: Sentencia sobre software espía, paso positivo hacia la rendición de cuentas para personas afectadas por el software espía de NSO. Marzo 2024. https://www.amnesty.org/es/latest/news/2024/03/us-spyware-ruling-a-welcome-step-towards-accountability-for-those-targeted-with-nso-spyware/
• 88. The Guardian. US announces new restrictions to curb global spyware industry. Febrero 2024. URL: https://www.theguardian.com/us-news/2024/feb/05/us-biden-administration-global-spyware-restrictions
• 89. US Departamento de Comercio. “Commerce Adds NSO Group and Other Foreign Companies to Entity List for Malicious Cyber Activities”. URLhttps://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list
• 90. Hareetz. “$13m Cash on a Private Jet From Colombia: A Nonissue for Israeli Head of Defense Export”. Marzo 2024. URL: https://archive.is/2024.03.26-164754/https:/www.haaretz.com/israel-news/2024-03-26/ty-article-magazine/.premium/13m-cash-on-a-private-jet-from-colombia-a-nonissue-for-israeli-head-of-defense-export/0000018e-7689-d706-a39f-f7f93fa10000
• 91. Revista Raya. Virus espía Pegasus lo compró el gobierno de Duque con dineros del narcotráfico. Julio 2024. URL: https://revistaraya.com/virus-espia-pegasus-lo-compro-el-gobierno-de-duque-con-dineros-del-narcotrafico.html
• 92. Asuntos Legales. 'Pegasus': Fiscalía General de la Nación confirmó el ingreso de US$5 millones a Israel. Octubre 2024. https://www.asuntoslegales.com.co/actualidad/pegasus-fiscalia-general-de-la-nacion-confirmo-el-ingreso-de-us-5-millones-a-israel-3983420
• 93. El Tiempo. 'Si es esto cierto, sí que serían peor las cosas': presidente Petro reacciona a revelación sobre caso Pegasus. Noviembre 2024. URL: https://www.eltiempo.com/politica/partidos-politicos/si-es-esto-cierto-si-que-serian-peor-las-cosas-presidente-petro-reacciona-a-revelacion-sobre- caso-pegasus-3397848  
• 94. The Dropsite. The U.S. Bought Pegasus for Colombia With $11 Million in Cash. Now Colombians Are Asking Why. Noviembre 2024. URL: https://www.dropsitenews.com/p/colombia-pegasus-nso-group-israel-white-house?emci=8e1404d0-dda8-ef11-88d0-6045bdd62db6&emdi=987fe768-dfa8-ef11-88d0-6045bdd62db6&ceid=4606001&utm_source=substack&utm_medium=email
• 95.  El Pais. El misterio de Pegasus en Colombia: Estados Unidos admite haber financiado la compra, pero nadie sabe dónde está. Noviembre 2024. URL: https://elpais.com/america-colombia/2024-11-09/el-misterio-de-pegasus-en-colombia-estados-unidos-admite-haber-financiado-la-compra-pero-nadie-sabe-donde-esta.html