“Imagina que secuestran a tu hija”: un fiscal y un responsable de protección de datos debaten sobre la vigilancia

¿El Consejo Federal pretende ampliar el estado de vigilancia a espaldas del pueblo? Ésta es la acusación que hace la Sociedad Digital Suiza. Advierte de un “grave ataque a los derechos fundamentales, a las pymes y al Estado de derecho”.

El motivo de la indignación es el VÜPF, el reglamento sobre la vigilancia del tráfico postal y de telecomunicaciones. Regula qué empresas en Suiza deben cooperar con el servicio de vigilancia y de qué manera.

Ahora el Consejo Federal quiere revisar el reglamento y ampliar los poderes de las autoridades policiales. Si la regulación se implementa como está previsto, en el futuro más empresas tendrán que trabajar más estrechamente con las autoridades policiales que en la actualidad. El servicio de correo electrónico Proton y el servicio de mensajería Threema, por ejemplo, tendrían que recopilar y almacenar más datos sobre sus usuarios para que las autoridades tengan más pruebas para exponer a los criminales. Pero también se verían afectadas empresas mucho más pequeñas.

Además de las organizaciones de protección de datos y privacidad, casi todos los grandes partidos suizos también critican el plan: SVP , FDP , GLP , SP y Verdes consideran que la revisión es desproporcionada y la rechazan. Las partes temen que las empresas tecnológicas suizas se vean sometidas a obligaciones demasiado estrictas o que se debilite la protección de datos. También el FDP, el GLP y los Verdes critican la normativa por ir más allá de la base legal. Esto refuerza la acusación de que el Consejo Federal excede sus poderes y regula sin tener en cuenta al pueblo y al Parlamento.

En este acalorado contexto político, el servicio ÜPF, que se encarga de la vigilancia de presuntos delincuentes por encargo de las autoridades policiales, publicó sus últimas cifras. Según el estudio, en 2024 se impusieron aproximadamente el doble de medidas de vigilancia que el año anterior : de poco menos de 10.000, el número de medidas aumentó a poco más de 20.000.

En el siguiente debate se batirán a duelo Umberto Pajarola, subdirector de la Fiscalía II del Cantón de Zúrich, cuyo equipo vigila a cientos de presuntos narcotraficantes, ladrones y estafadores, y Peter Szabó, abogado corporativo y consultor de protección de datos del servicio de mensajería suizo Threema, cuya empresa asegura que sus clientes apenas pueden ser vigilados.

Señor Szabó, ¿cómo valora el creciente número de casos de vigilancia?

Peter Szabó : Este desarrollo me resulta preocupante. ¿Cuáles son las razones del aumento, señor Pajarola?

Umberto Pajarola : Algunos crímenes sólo pueden resolverse mediante la vigilancia. Imagínese si a la policía no se le permitiera vigilar a un traficante de drogas. Podría registrar el apartamento del sospechoso. Sin embargo, sólo probaría que el traficante tiene actualmente medio kilo de cocaína en su casa. No puede probar los cientos de kilos que ya había vendido en años anteriores. La policía necesita información sobre los encuentros regulares entre los traficantes y posiblemente también conocimiento sobre los lugares de entrega y similares, para poder demostrar la gravedad del delito. Para lograrlo, es necesario vigilar a los criminales.

Pero eso no explica el aumento en el número de vigilancia.

Pajarola : Si miráis los números más de cerca, notaréis que ha aumentado especialmente el número de búsquedas de antenas. Esto se puede explicar, entre otras cosas, por una nueva forma de contar los pedidos y un nuevo tipo de facturación. El aumento del número de operaciones de vigilancia se debe también en parte a que los cantones hasta ahora habían llevado a cabo poca vigilancia. En el cantón de Zúrich se ordenaron en 2024 apenas más medidas de vigilancia que en 2023.

Szabó: Para nosotros la tendencia es clara: cada vez hay más solicitudes del servicio de vigilancia. Debido a que en Threema ciframos los mensajes de nuestros usuarios de extremo a extremo, ni la policía ni nosotros, los empleados de la sede de la empresa, podemos leer los chats. Pero Threema está obligado por ley a enviar metadatos sobre sus usuarios a las autoridades policiales cuando así lo soliciten.

¿Qué información transmite usted luego a las autoridades?

Szabó : La fecha en que se creó el perfil de Threema y la fecha del último inicio de sesión del usuario. Si los usuarios nos han facilitado voluntariamente su número de teléfono o dirección de correo electrónico, únicamente los almacenaremos de forma cifrada y los transmitiremos de esta forma a las autoridades. En muchos casos también existe el llamado token Push, que es establecido por Google o Apple. Cuando las autoridades reciben el token push, pueden obtener más información sobre el perfil del usuario a través de Google o Apple. El problema es que en muy pocos casos solo se consultan los metadatos de un solo usuario de Threema. Generalmente se monitorean varias personas al mismo tiempo. Esto significa que las personas que estén en el círculo de un presunto delincuente probablemente también serán vigiladas cada vez más.

Señor Pajarola, ¿por qué se vigila a las personas que pertenecen al círculo de amistades de un delincuente?

Pajarola : No se trata de vigilar a gente inocente, sino de identificar cómplices, proveedores o patrocinadores. Si vigilamos al traficante de drogas X y éste tiene contacto con cien personas, normalmente podemos excluir rápidamente a noventa de la investigación. Si usted fuera uno de esos noventa, su nombre y número de teléfono aparecerían sólo una vez en los archivos de la investigación. Pero, por ejemplo, no registramos dónde estás ni escuchamos tus llamadas. Por tanto, la consulta a Threema no constituye una vigilancia en el verdadero sentido de la palabra y tampoco supone una invasión importante de su privacidad.

Szabó : Yo lo veo diferente. Cada violación de datos es una invasión de la privacidad. Y el derecho a la privacidad es un derecho fundamental importante.

Pajarola : Sí. Pero todo derecho fundamental puede ser restringido si existe una base jurídica y un interés público superior. Estos requisitos se cumplen en tales procedimientos penales. Threema únicamente recibe solicitudes de información del servicio de monitoreo. Lo ideal es que la policía reciba un nombre y un número de teléfono, pero ninguna información sobre cuándo y dónde estuvo la persona. Antes de crear perfiles de movimiento de personas individuales en tiempo real o en vigilancia retrospectiva, necesitamos una fuerte sospecha de que se trata de un delito grave. Esto incluye, por ejemplo, el robo, la violación, el lavado de dinero y el tráfico de drogas. Cada una de estas medidas debe ser aprobada por un tribunal de medidas coercitivas caso por caso. Por lo tanto, es necesario distinguir entre medidas de vigilancia como la vigilancia en tiempo real o retrospectiva y la mera información.

Szabó : Sin embargo, lo que me parece crítico es que las autoridades policiales no informen a las noventa personas de su ejemplo de que estaban siendo vigiladas.

Pajarola : Realmente no estaban monitoreados. Nuevamente, la información se parece más a una consulta en una guía telefónica. Sin embargo, si las personas son objeto de vigilancia en tiempo real o retrospectiva, les informaremos a más tardar antes de que se presenten cargos. Esto es lo que estipula la ley. Si los monitoreados se sienten molestos por la medida, pueden presentar una queja. Un tribunal deberá entonces determinar si la vigilancia fue legal. En caso contrario, el interesado tendrá derecho a una indemnización y los datos deberán ser suprimidos. En primer lugar, por experiencia propia puedo decir que este tipo de quejas son muy raras. Y en segundo lugar, casi nunca tiene éxito. Esto demuestra que las autoridades utilizan adecuadamente sus poderes de supervisión.

Señor Szabó, ¿por qué le preocupa que los afectados no sean informados sobre la medida después de haber sido informados? Al fin y al cabo, no se vigila a la gente en el verdadero sentido de la palabra.

Szabó : Si no sabes si apareces en los archivos de la policía, no sabes si te están vigilando. Esto crea una sensación difusa y una presión para adaptarse. Al no comunicarse, las autoridades impiden un debate público sobre si consideramos proporcionada la invasión de la privacidad que supone proporcionar información.

El Consejo Federal está revisando actualmente la VÜPF, la ordenanza sobre la vigilancia del tráfico postal y de telecomunicaciones. Con la revisión, el Consejo Federal quiere garantizar que empresas como Threema colaboren más estrechamente con las autoridades supervisoras. Señor Szabó, ¿qué impacto tendría esta revisión en Threema?

Szabó : Tendríamos que introducir una retención indiscriminada de datos. Se trata de una forma de vigilancia masiva y contradice tanto la legislación suiza sobre protección de datos como el Convenio Europeo de Derechos Humanos. En Alemania este sistema es ilegal. Así lo determinó el Tribunal Constitucional Federal alemán.

“Esta es una forma de vigilancia masiva”.

¿Cómo afectaría específicamente la revisión a Threema?

Szabó : Threema probablemente se clasificaría en una categoría de servicios que están obligados a identificar a sus usuarios. Para ello, tendríamos que recopilar la dirección IP de cada usuario y almacenarla durante seis meses. Todavía no está claro si la dirección IP es suficiente. La revisión sólo habla de “medios adecuados” para la identificación. Dado que tendríamos que almacenar estos datos de todos los usuarios, incluidos aquellos que no tienen motivos para hacerlo, esto se denomina retención indiscriminada de datos. Además, probablemente tendríamos que crear un nuevo portal donde las autoridades puedan obtener automáticamente información sobre los usuarios de Threema. Si el Consejo Federal revisa el VÜPF como está previsto, nos defenderemos con todos los medios, tanto legalmente mediante recursos como políticamente mediante una iniciativa popular.

Las reglas que usted describe llevan mucho tiempo vigentes para proveedores como Swisscom, Salt y Sunrise. ¿Por qué Threema se opone tanto a esto?

Szabó : También es perjudicial que Swisscom y compañía tengan que conservar datos. En última instancia, puede resultar potencialmente mortal para las personas si los datos caen en las manos equivocadas. Si los servidores de las empresas con retención de datos fueran pirateados, agentes de estados deshonestos podrían obtener acceso a los datos de los usuarios y combinarlos con otros conjuntos de datos pirateados. Esto permitiría crear perfiles de personalidad de individuos, que un régimen dictatorial podría utilizar para identificar a sus oponentes políticos. Entonces los activistas por la democracia, los periodistas y los denunciantes ya no estarían protegidos. Cuantos más datos almacenemos sobre nuestros usuarios, más atractivos seremos para los piratas informáticos.

Señor Pajarola, ¿hasta qué punto ve usted la responsabilidad de Suiza en albergar un servicio como Threema, que ofrece a los activistas por la democracia en Hong Kong, por ejemplo, una aplicación de comunicaciones seguras?

Pajarola : No veo ninguna responsabilidad por parte de Suiza. Sin embargo, creo que es importante y correcto que los activistas por la democracia tengan estos servicios. Pero no debemos subordinar todo a este deseo. Las autoridades policiales suizas deben seguir teniendo la posibilidad de actuar contra los delincuentes.

¿Qué impacto tendría la revisión de la VÜPF aquí en Suiza y en los países donde los partidos políticos no son perseguidos, señor Szabó?

Szabó : Los secretos que se consideran dignos de protección también podrían hacerse públicos aquí. Por ejemplo, los piratas informáticos podrían utilizar metadatos de la retención de datos para determinar que un usuario particular tiene contacto con un médico especializado. De esto se pueden sacar conclusiones sobre su estado de salud. O se podría demostrar que un periodista de investigación tiene conexiones con sus fuentes. Así es como se expondría a los denunciantes. Los grupos profesionales como abogados, médicos y periodistas tienen derecho legal al secreto profesional y necesitan canales de comunicación privados.

Señor Pajarola, ¿qué ganarían las fuerzas de seguridad con el nuevo VÜPF?

Pajarola : Tendríamos acceso a metadatos adicionales sobre traficantes de drogas, ladrones y terroristas. Sin embargo, esto ocurre hasta cierto punto. Después de todo, sólo estamos hablando de seis meses de metadatos. En comparación, los bancos tienen reglas mucho más estrictas. Deberán conservar todos los datos de sus clientes al menos durante diez años y entregarlos al Ministerio Fiscal. Si no lo hicieran, podrían ser acusados ​​de enriquecerse mientras clientes criminales lavan su dinero. Una acusación similar podría hacerse contra Threema: Threema proporciona un servicio que también puede ser utilizado por abusadores de menores, traficantes de drogas y terroristas. Es lógico que las autoridades policiales puedan acceder a los datos de Threema en casos individuales si tienen sospechas concretas de que se trata de un delito.

“Threema ofrece un servicio que también puede ser utilizado por abusadores de menores, traficantes de drogas y terroristas”.

Szabó : No es admisible hablar aquí de un caso aislado. La VÜPF exige vigilancia masiva. Con la revisión, tendríamos que almacenar datos de todos nuestros usuarios.

Pajarola : Por supuesto, tienes que conservar los datos de todos los usuarios. Pero esto no es vigilancia masiva porque el Estado sólo puede acceder a los datos de un individuo. Pero si realmente se quiere llamar vigilancia masiva a la retención de datos, tengo que preguntar: ¿quién realiza entonces la vigilancia? La respuesta es: tú. Empresas privadas. Meta, Apple, Google, Threema, ellos mismos recopilan los datos.

Szabó : Sí, porque el Estado nos obliga. Las cosas serían diferentes con WhatsApp y Signal. No se verían afectados por la nueva regulación.

Señor Pajarola, ¿de qué sirve el VÜPF si proveedores como WhatsApp y Signal no participan?

Pajarola : Preferiríamos que la regla se aplicara en todo el mundo, incluidos WhatsApp y Signal. Pero no tenemos influencia sobre las leyes de otros países. Sólo en Suiza podemos crear el mejor sistema posible.

Szabó : El mejor sistema posible es aquel que respeta la privacidad de los usuarios. Al debilitar la protección de datos en Suiza, la VÜPF coloca a empresas suizas como Threema en desventaja competitiva. Basamos nuestra oferta en recopilar la menor cantidad posible de datos sobre nuestros usuarios. Esto es lo que nos diferencia de nuestros competidores. El gobierno no debería obligarnos a almacenar datos durante más tiempo del necesario ni a recopilar datos que no necesitamos. Esto contradice la ley de protección de datos.

“El gobierno no debería obligarnos a almacenar datos durante más tiempo del necesario ni a recopilar datos que no necesitamos”.

Pajarola : Estás argumentando desde la lógica de una empresa que está preocupada por su modelo de negocio y que se resiste a la interferencia del gobierno. Pero la revisión de la VÜPF redunda en interés de toda la sociedad. Sólo si podemos supervisar estaremos en condiciones de garantizar el mandato básico del Estado: el establecimiento de la ley y el orden. Sólo con medidas de vigilancia se pueden resolver y, si es necesario, prevenir delitos graves.

Szabó : No es sólo un argumento económico. Si implementáramos el VÜPF, tendríamos que desviar a los desarrolladores de otros proyectos para cumplir con el mandato del gobierno. Luego nos faltan estos recursos en proyectos que aumentarían la seguridad de nuestro producto básico. Esto afecta a todos los usuarios de Threema, incluido el gobierno federal. La administración federal utiliza Threema, entre otras cosas, porque los datos permanecen en Suiza y no fluyen a empresas extranjeras. Si las leyes de vigilancia debilitan la seguridad de los datos en Threema, esto también se produce a expensas de las autoridades. Y como consecuencia de ello, es posible que en el futuro ya no tengamos servicios domésticos fiables. Esto significa que el VÜPF no es fundamentalmente un riesgo económico para Threema, sino un riesgo social para Suiza.

Señor Pajarola, si pudiera elegir, ¿qué querría de Threema?

Pajarola : Me gustaría tener tanto el contenido como los datos periféricos de los chats que creo que pertenecen a delincuentes o están relacionados con delitos graves.

Esto significaría la eliminación del cifrado.

Pajarola : No quiero eliminar el cifrado per se. Pero en casos individuales, es necesario que los investigadores accedan al contenido de los chats cifrados. La ley ya prevé esto. Pero técnicamente esto es extremadamente difícil. Hoy en día tenemos que utilizar software espía, programas que hacen que la comunicación en un solo dispositivo sea legible. Esto es complejo y costoso.

Szabó : Si eliminamos el cifrado de extremo a extremo, pondremos en peligro la seguridad de todos nosotros. La comunicación es segura para todos o para nadie. Es técnicamente imposible que los delincuentes eliminen posteriormente el cifrado de extremo a extremo.

Pajarola : No puedo juzgar eso. Pero sigo escuchando desde la escena tecnológica: Básicamente, nada es imposible. A menudo es una cuestión de esfuerzo. El aumento del cifrado pone en tela de juicio el estado de derecho. En el pasado, podíamos interceptar casi el 100 por ciento de las comunicaciones: las conversaciones telefónicas y el correo eran accesibles a los investigadores. Hoy en día, la mayoría de los medios de comunicación están cifrados. Si la tendencia continúa, puede que en el futuro nos resulte cada vez más difícil resolver delitos graves. Si prevalecen la violencia y el crimen, tendremos un problema de seguridad enorme. Imagínate que tu hija fue secuestrada. Entonces lo que querríamos, en primer lugar, es que se encuentre lo más rápidamente posible y, en segundo lugar, que se capture a los autores. Entonces ya no te interesará la privacidad.

«El uso creciente del cifrado pone en tela de juicio el Estado de derecho. “Antes podíamos interceptar casi el 100 por ciento de las comunicaciones”.

Szabó : Desde un punto de vista humano, puede que así sea. Pero tenemos que pensar en la sociedad en su conjunto. Si introducimos la retención de datos, debilitamos la seguridad de todos nosotros.

Pajarola : Cuando pensamos en cómo la sociedad en su conjunto aborda la privacidad, tenemos que decir: las empresas detrás de las aplicaciones de citas, plataformas de compras, banca móvil, etc., tienen perfiles de personalidad muy detallados de todos nosotros. Incluso les damos permiso para revender los datos. El Estado no tiene todos estos datos. Los funcionarios encargados de hacer cumplir la ley tienen opciones muy limitadas. Sin embargo, algunas personas sienten que viven en un estado de vigilancia. Esto es completamente absurdo.

Szabó : También soy crítico con los pulpos de datos. Pero como consumidor y usuario, puedo elegir qué servicios uso y con qué empresas comparto mis datos. Pero no puedo elegir mi estado.

Señor Szabó, ¿cómo piensa usted combatir la criminalidad si no es mediante la vigilancia?

Szabó : La policía debe llegar al origen de los delitos. Las imágenes de abuso infantil, por ejemplo, deben combatirse en la fuente, donde se graban y se publican. La policía no es impotente ante este tipo de delitos. Cada pocos meses la policía informa de algún éxito: aquí se ha descubierto una red de pederastas , allá una banda de hackers . Para realizar este tipo de trabajo, la policía no necesita más vigilancia, sino más personal y mejor capacitado.

Pajarola : De poco sirve tener más personal si no podemos acceder a los datos. Cuando se trata de tráfico de drogas, la fuente no es la darknet. La evidencia se puede encontrar en las comunicaciones cifradas.

Señor Szabó, ¿qué cree usted que ocurriría si el Consejo Federal revisara el VÜPF tal como está previsto?

Szabó : La protección de datos y la privacidad de todos nosotros se verían afectadas. Cualquier delincuente en plataformas suizas migraría rápidamente a plataformas extranjeras. El resultado es desfavorable: la seguridad de los usuarios honestos se ve debilitada. Los criminales simplemente se esconden en otro lugar.

«El resultado de esto es desfavorable: la seguridad de los usuarios honestos se ve debilitada. Los criminales simplemente se esconden en otro lugar”.

Pajarola : Nadie sabe qué porcentaje de usuarios de Threema son criminales. Quizás sea el noventa por ciento.

Szabó : Esa es una tesis audaz. Threema es utilizado por el público en general, el gobierno federal y las empresas. Nuestro servicio no está adaptado a las necesidades específicas de los delincuentes. Lo mismo no puede decirse de otras aplicaciones.

Señor Szabó, ¿qué está haciendo Threema para evitar que los delincuentes utilicen el servicio? ¿Tiene usted métodos para prevenir el delito?

Szabó : Tenemos una dirección de correo electrónico exclusiva a la que los usuarios pueden contactar si creen que alguien está cometiendo un delito. El buzón que hay detrás funciona de manera similar a una línea directa y envía a los usuarios a los departamentos pertinentes.

Señor Pajarola, realizamos esta entrevista con la condición de no publicar ninguna fotografía suya. ¿Qué importancia tiene para usted la protección de su privacidad?

Pajarola : Muy importante. Existe cierto riesgo para mí al aparecer en público. Por eso trato de evitar tomarme fotografías.

Señor Szabó, usted fue víctima de un robo el día antes de nuestra conversación. ¿Esto afectó tu sensación de seguridad?

Szabó : No. La policía me trató con mucha cortesía.