Saltar navegación

Innovaciones en la supervisión democrática de la vigilancia de los miembros de OGP

banner_vigilancia

Resumen

  • Las limitaciones a la vigilancia son necesarias para una sociedad próspera.
  • La supervisión ciudadana es una parte esencial de esa función.
  • La vigilancia ciudadana requiere inversión en (a) transparencia y divulgación de actividades e impactos; (b) acceso público a mecanismos formales de supervisión; c) garantías adecuadas para sector privado actividad; yd) gestión de registros.

Contenido
¿Por qué limitar la vigilancia?
Vigilancia en OGP
Reformas potenciales

Descargue una copia de este informe.

Salvaguardias para proteger política de privacidad, la democracia y la libre expresión deben mantenerse al día con las tecnologías en evolución, incluidas las tecnologías de vigilancia. Proteger de los abusos de la vigilancia por parte del ejecutivo requiere un contrapeso legislativo y judicial. Sin embargo, lo que es igualmente importante, la supervisión pública de la compra, el uso y la eliminación de las tecnologías de vigilancia (y la información que producen) es necesaria para garantizar que la interferencia de las comunicaciones privadas sea legal y proporcionada.

Este documento describe los pasos que los gobiernos pueden tomar para mejorar la supervisión pública de las tecnologías de vigilancia. Se basa en las experiencias y los estándares en una variedad de países de OGP, incluida una serie de compromisos importantes asumidos en los planes de acción de OGP. Su objetivo es inspirar nuevos compromisos y reformas para mejorar la supervisión pública en esta área política crítica.

¿Por qué limitar la vigilancia?

Los límites a la vigilancia son esenciales para la protección de la privacidad. La privacidad es un bien intrínseco por derecho propio y es esencial para el funcionamiento de las sociedades democráticas.

  • Razones personales: Los individuos y las familias necesitan` poder expresarse e interactuar en espacios privados, virtuales y reales.
  • Protección de la propiedad y seguridad personal: El intercambio de datos, especialmente los de ubicación, puede provocar intimidación, violencia o acoso peligrosos.
  • Protección de la palabra y derecho a disentir: Mantener la privacidad es esencial para el libre pensamiento y, a su vez, esencial para la libre expresión, que es la piedra angular de la democracia y la derechos humanos.
  • Normas comerciales y armonización: Las empresas que trabajan a través de las fronteras, incluido el comercio de bienes y servicios en línea, buscan la armonización regulatoria para garantizar que los productos sean compatibles con las reglas del mercado en una variedad de países, incluidas las reglas sobre protección de datos. Además, tienen una expectativa razonable de competencia leal, que incluye protección contra el espionaje comercial.

Más allá de los argumentos instrumentales a favor de los límites de la vigilancia, existe una sólida base normativa para las salvaguardias. El derecho internacional limita el alcance de la vigilancia y se ha convertido cada vez más en la norma en el derecho nacional y regional.

  • El Principios necesarios y proporcionados Proporcionar orientación sobre cómo se aplica la legislación de derechos humanos a la vigilancia digital para garantizar que la vigilancia solo esté justificada cuando lo prescriba la ley, cuando sea necesaria para lograr un objetivo legítimo y sea proporcional al objetivo perseguido.
  • El Principios de Tshwane, desarrollado en colaboración por la sociedad civil, el gobierno y el sector privado, brindan orientación sobre cómo la ley puede establecer salvaguardas para la vigilancia de la seguridad nacional.
  • El derecho a la privacidad y el derecho a la libertad de expresión sin injerencias son derechos humanos consagrados en el Declaración Universal de los Derechos Humanos.
  • Cada vez más, los gobiernos de todo el mundo están promulgando política de privacidad y protección de datos leyes

Vigilancia en el Open Government Partnership

La supervisión ciudadana ha sido fundamental para la Open Government Partnership (OGP) desde sus inicios. De hecho, el embajador John Kerry reconoció por primera vez las filtraciones de Snowden, que revelaron el alcance de la vigilancia de EE. UU., Mientras hablaba en la Cumbre Global de OGP en Londres en 2013. Fue en esta época que un gran grupo de organizaciones de la sociedad civil que trabajaban en OGP respectivos países instó la comunidad internacional y los miembros de OGP para revisar sus leyes nacionales y comprometerse con una mayor transparencia en asuntos relacionados con la tecnología de vigilancia.

Desde los primeros esfuerzos a nivel internacional, varios países han adoptado tales compromisos en sus planes de acción de OGP.

Reformas potenciales

A continuación se presenta un conjunto de reformas para mejorar la supervisión pública y los controles democráticos sobre las intervenciones de las comunicaciones privadas. Las recomendaciones se basan en las acciones realizadas por los miembros de OGP en estos o temas relacionados tangencialmente.

Transparencia y divulgación de actividades e impactos

  • Fomentar la implementación de evaluaciones de impacto: Exigir a los ministerios, departamentos y agencias que ejecutan un programa o que adquieren contratos y otorgan subvenciones para llevar a cabo evaluaciones de impacto y detección de riesgos de privacidad.
    • Herramientas: Se utilizan tres tipos cada vez más comunes de evaluación de impacto que tienen funciones que se superponen. (Ver "Evaluaciones de impacto en la privacidad" abajo.)
      • Evaluación de impacto sobre la privacidad: - establecer efectos específicos sobre datos e información personales
      • Evaluación de impacto algorítmica - puede ir más allá de los impactos personales a los impactos colectivos, como los efectos en la democracia o la discriminación, pero se limita al procesamiento de datos
      • Evaluación de impacto sobre los derechos humanos - puede incluir el derecho a la privacidad entre otros derechos fundamentales, como el derecho a buscar y compartir información

Evaluaciones de impacto de privacidad en OGP

Varios miembros de OGP han logrado avances en la evaluación de impacto que pueden servir como un proceso de recopilación de información y aportes para informar la supervisión de las actividades. Las evaluaciones de impacto suelen ser participativas y recopilan información de expertos y comunidades afectadas durante la preparación del documento. Además, las evaluaciones de impacto pueden ayudar con la rendición de cuentas después de los hechos, asegurando que se implementaron, monitorearon y respondieron las salvaguardas apropiadas. A continuación se muestran tres ejemplos:

  • Estados Unidos: Mejorar la transparencia de los programas y prácticas de privacidad. Este notable y completo compromiso buscó mejorar la calidad y la publicidad de las declaraciones de impacto en la privacidad durante la contratación federal y otras actividades federales que afectarían el procesamiento de datos personales. En particular, esto cubrió temas de seguridad nacional y vigilancia.
  • Canadá: Control de privacidad. Canadá ha introducido una herramienta de evaluación de la privacidad para levantar una bandera roja o identificar la necesidad de una revisión legal en la adquisición de software que tendría un impacto en los datos personales.
  • Unión Europea: Evaluación de impacto de protección de datos. Esta herramienta es necesaria para las empresas y agencias que realizan el procesamiento de datos según lo definido por la Protección General de Datos Regulación (GDPR).
  • Establecer una presunción de apertura en los procedimientos administrativos.: Exigir a los funcionarios en funciones que presenten un caso positivo a favor del secreto de un proceso de toma de decisiones ante una comisión independiente establecida. Las exenciones deben ser limitadas, con base legal y específicas. La atención especial dentro del contexto de la adquisición y el despliegue de la vigilancia debe minimizar las reclamaciones de información comercial confidencial, secretos comerciales y minimizar la ley secreta. Docenas de países de OGP han hecho compromisos significativos en esta área.
  • Establecer una presunción de apertura en las adquisiciones.: Exigir a los funcionarios en funciones que presenten un caso positivo a favor del secreto ante una comisión independiente establecida para las adquisiciones que cumplan con un cierto umbral. Si estos casos no se aprueban, la contratación desde la licitación hasta la ejecución y la evaluación debe formar parte de un procedimiento de contratación abierto. Estas exenciones deberían ser raras. Australia, que tiene tal regla, ha señalado 2.7% de todos los contratos de seguridad nacional, un pequeño número, incluso en un área de actividad conocida por el secreto.
  • Establecer registros de procesamiento de datos: Establecer un registro público de procesamiento de datos que permita la supervisión pública del procesamiento de datos (generalmente definido, como mínimo, como "recopilación, almacenamiento, modificación, transferencia y eliminación"). El GDPR requiere que todos los estados miembros de la UE publiquen dichos registros. Francia registro de protección de datos es el primer registro de este tipo, aunque se espera que se pongan en línea decenas de ellos en los próximos meses, incluso fuera de la UE.

Supervisión formal

  • Establecer un organismo de supervisión de múltiples partes interesadas: Este organismo estaría compuesto por funcionarios, personal permanente y miembros calificados del público seleccionados mediante un proceso y estándares transparentes. El mandato puede incluir:
    • Revisión y recomendación de políticas y prácticas.
    • Examen de acciones individuales específicas
    • Recepción de quejas
    • Remisión de pruebas o casos a defensores públicos

    Algunos miembros de OGP han establecido órganos de supervisión en otros sectores, como la contratación pública. De Ucrania Sistema de contratación electrónica ProZorro incluye DoZorro, una plataforma de seguimiento ciudadano. DoZorro permite a los ciudadanos acceder a datos, enviar comentarios y señalar irregularidades, que luego se canalizan a la autoridad correspondiente.

  • Establecer o mejorar una autoridad de protección de datos: 
    • Las autoridades de protección de datos normalmente tendrían el mandato de llevar a cabo las siguientes funciones de supervisión (Ver "Sudáfrica y Brasil" ejemplos a continuación.)
      • Asegurar la presentación de informes periódicos y el cumplimiento de los requisitos de transparencia (ver más abajo) de las entidades reguladas;
      • Investigar daños particulares y remitir los hallazgos y recomendaciones a las autoridades judiciales correspondientes. Estos pueden ser provocados por solicitudes públicas o iniciados directamente por la autoridad;
      • Garantizar informes periódicos al parlamento sobre vigilancia y régimen de protección de datos personales.
    • Algunas autoridades tendrían los siguientes poderes:
      • Poderes de citación para documentos y testimonios (incluida la capacidad de mantener en desacato a personas que no cumplan);
      • Capacidad para iniciar investigaciones independientes;
      • Capacidad para asignar multas u otras sanciones a las entidades reguladas que no cumplan;
      • Capacitación para individuos, comunidades y otros niveles de gobierno en derechos, procedimientos y cumplimiento.
  • Establecer tribunales de vigilancia
    • Establecer tribunales especializados en transparencia con el mandato de proteger la privacidad y minimizar la intrusión de acuerdo con los requisitos constitucionales y legales.
    • Mantener metadatos sobre solicitudes de datos personales para rastrear cuántas agencias hicieron solicitudes, incluido el número de denegaciones, apelaciones, anulaciones y confirmaciones por parte de los tribunales.
    • Garantizar la supervisión parlamentaria pública al exigir revisiones periódicas del desempeño de los tribunales en relación con su mandato de protección de la privacidad y libertades civiles.

Georgia: Equilibrio entre seguridad y divulgación

Después de la Revolución de las Rosas en Georgia, el gobierno central ganó cada vez más poderes de vigilancia. En algunos casos, esta vigilancia se utilizó en rivales políticos y comerciales. En respuesta a la creciente preocupación, como parte de su plan de acción, la Corte Suprema de Georgia se comprometió a producir estadísticas sobre los movimientos de escuchas telefónicas. La Corte Suprema fue más allá de su objetivo inicial de producir estadísticas internas trimestrales; A raíz de una solicitud de los miembros del Foro OGP, la Corte Suprema comenzó a hacer públicos esos datos anualmente. El diálogo continuo entre la Corte Suprema y los grupos de la sociedad civil se centró en ampliar los metadatos para incluir descargas masivas, divulgación de justificación por tipo de delito y datos geográficos. El Mecanismo de Informes Independientes (IRM) de OGP ha evaluado este compromiso tanto en términos de la calidad de la implementación como de su resultados tempranos. Este éxito demuestra cómo se puede usar OGP con éxito para permitir una mejor supervisión ciudadana de la vigilancia.

  • Protección de denunciantes para el personal de seguridad 
    • Establecer una cadena de quejas y apelaciones que permita al personal de seguridad presentar casos de despilfarro, fraude y abuso en las acciones de la agencia. Esta cadena de denuncias permitiría a los denunciantes acudir directamente a la oficina del defensor del pueblo, a las inspecciones o su equivalente sin agotar la cadena de supervisores inmediatos. A su vez, es posible que se requiera que las inspecciones, los auditores y las oficinas del defensor del pueblo denuncien estos casos en detalle a los comités parlamentarios de supervisión con los protocolos de seguridad adecuados.
    • Establecer un derecho legal de acción para aquellos que se quejan de represalias por parte de un denunciante.
    • Afirmar con responsabilidad por represalias por parte de oficiales superiores hacia los denunciantes. Esto incluiría una gama de recursos desde la restauración y multas hasta la destitución del cargo y posibles cargos penales por casos atroces.
  • Protección de denunciantes para contratistas privados - Muchas actividades de seguridad y vigilancia se subcontratan a contratistas privados que no se benefician de los mismos canales para denunciar irregularidades y protección laboral contra represalias. (Ver "Estados Unidos: Protección de denunciantes"
    para más.)
  • Derecho de acción de interés público y privado - Establecer un derecho de acción privado para que las personas busquen reparación y reparación cuando hayan establecido una violación material de la privacidad. Cuando exista tal derecho, tal derecho puede mejorarse mediante:
    • Implementación estatutaria de constitucional auto de amparo o el auto de hábeas data en los casos en que un individuo (natural o legal) o una comunidad crea que hay un daño o daño potencial.
    • El establecimiento de tribunales administrativos y judiciales, que permitan, entre otras cosas, impugnar las decisiones emitidas por la Autoridad de Protección de Datos..
    • Aflojar las restricciones para estar de pie (para permitir amicus curiae presentaciones) y acciones colectivas en casos de vigilancia y privacidad; Algunas leyes pueden establecer derechos de “interés público” para permitir que las personas jurídicas busquen reparación y reparación por daños al interés público.
    • Establecimiento de apoyos materiales para los presentadores de quejas, como las oficinas del defensor del pueblo, eliminación de las tasas judiciales por acciones de interés público (incluidas las costas judiciales de la "regla inglesa") y protecciones para los presentadores, especialmente de los grupos vulnerables.

Estados Unidos: Protección de denunciantes

Durante más de cuatro décadas, la protección de los denunciantes en los Estados Unidos ha evolucionado. Más notablemente, la pertinencia de estas reglas se destacó en 2019, cuando un denunciante de la CIA alegatos condujo a un juicio político presidencial. Desde su primera Ley de Protección de Denunciantes en 1989 hasta Directiva de política presidencial 19 (PPD19), que protege a los empleados federales de la Comunidad de Inteligencia, Estados Unidos ha tenido como objetivo extender las protecciones a los denunciantes que informan sobre despilfarro, fraude y abuso. A través de los planes de acción de OGP, Estados Unidos se ha comprometido a defendiendo para la legislación, explorando autoridad ejecutiva, y en expansión y fortalecimiento protección de denunciantes. Más importante aún, PPD19 extendió los derechos de protección de denunciantes a contratistas del sector privado involucrado en operaciones de seguridad nacional. Esta ha sido una reforma esencial, ya que crea un canal formal para que los actores privados notifiquen al Congreso y a otros sobre despilfarro, fraude y abuso. Dicho canal no existía en el momento de las revelaciones de Snowden en 2013.

Regulación de transparencia del sector privado

  • Consentimiento previo e informado en términos de servicio - Establecer un requisito de consentimiento libre, previo e informado para el tratamiento de datos. Esto debería, como mínimo, requerir opciones de exclusión voluntaria para los servicios digitales y la capacidad de restringir las transferencias de datos.
  • Divulgación de riesgo fiduciario
    • Para las empresas que cotizan en bolsa que cotizan en las bolsas de valores oficiales y los planes de pensiones de los empleados públicos, se requiere una público divulgación a los reguladores y accionistas sobre las principales acciones que afectan la privacidad o la creación de un riesgos de responsabilidad por la privacidad.
    • Exigir a las principales instituciones crediticias que revelen los impactos y riesgos de la privacidad en los informes anuales.
  • Informes de transparencia del proveedor de servicios de Internet y telecomunicaciones (ISP) - Exigir o coordinar que las empresas privadas y los servicios de telecomunicaciones publiquen solicitudes gubernamentales oficiales para la eliminación de contenido, garantías, solicitudes injustificadas de eliminación de contenido y otra cooperación a través de informes de transparencia. Ver un ejemplo aquí.
  • Lista negra de adquisiciones - Establecer y mantener una lista negra/base de datos de búsqueda pública de contratistas del sector privado que las autoridades de supervisión hayan determinado que han violado el derecho a la privacidad. Asegúrese de que todos los beneficiarios reales (más del 10 %) estén incluidos en la lista negra y que dichos datos deban actualizarse periódicamente y ser interoperables con los registros de empresas y de propiedad, las bases de datos de personas políticamente expuestas y los registros oficiales. divulgación de activos bases de datos.

Sudáfrica y Brasil: autoridades emergentes de protección de datos

Los países de ingresos medios están cada vez más interesados ​​en formar parte del “cuarta revolución industrial, ”Impulsado por big data y análisis. Buscan importar y exportar bienes y servicios digitales y, lo que es igualmente importante, garantizar que los ciudadanos estén seguros y puedan adaptarse a una economía basada en la ciencia, la tecnología y la innovación. Como parte de esto, ambos países han introducido fuertes autoridades de protección de datos.

Sudáfrica "Regulador de información”Es capaz de llevar a cabo investigaciones iniciadas de forma independiente y recibir denuncias públicas. Además, puede capacitar a las autoridades y actores privados sobre cómo cumplir. Como importante exportador de bienes y servicios al resto del continente, debido a su capacidad reguladora, Sudáfrica podrá actuar como puente entre los mercados de África y otras regiones. En particular, el regulador de información de Sudáfrica es el mismo organismo que trabaja en la protección de datos.

El regulador de información de Brasil, la Autoridad Nacional de Protección de Datos (Autoridade Nacional de Proteção de Dados o “ANPD”) fue establecido por orden ejecutiva en 2018. La ley de protección de datos de 2020 consagra este organismo independiente de facto. Puede recibir quejas públicas y publicar estudios o divulgar metadatos sobre el estado de la protección de la privacidad. Una de las críticas ha sido que la agencia no tiene la independencia adecuada de la oficina del presidente.

Gestión de Registros

  • Afirmar limitaciones del derecho a la privacidad para titulares de cargos públicos y empleados gubernamentales en sus funciones como funcionarios públicos. Esto minimizaría la capacidad de utilizar solicitudes de eliminación en registros públicos o discursos protegidos. (Las Grandes Cámaras de la Unión Europea, por ejemplo, han gobernó esto ilegal. El Tribunal Europeo de Derechos Humanos tiene importantes caso de ley en equilibrar el derecho de información y protección de datos personales).
  • Requerir desclasificación de archivos históricos. En casos de seguridad nacional o información privilegiada, exija la desclasificación de los documentos de seguridad después de un período de tiempo establecido. Establecer la desclasificación como automática y por defecto, requiriendo que las agencias soliciten una clasificación continua. Después de continuo crítica de la sociedad civil, EE. UU. realizó una cantidad significativa de pasos en la desclasificación de seguridad a través de OGP, incluyendo inesperadamente desclasificando su dron programa en 2016.
  • Publica metadatos en documentos clasificados. Al publicar metadatos en registros clasificados (con la eliminación adecuada de la información de alto riesgo), los futuros investigadores podrán corroborar los metadatos con la información realmente publicada. (Ver Canadá "Gestión de registros" abajo.)
  • Establecer procesos para la eliminación sistemática de datos personales privados. después de un cierto período de tiempo. Cuando haya casos legales pendientes, establezca procedimientos para mantener esos registros.

Canadá: gestión de registros para el derecho a la información

A través de sus diferentes planes de acción de OGP, Canadá ha implementado compromisos para abrir sus registros y mejorar sus archivos para permitir la recuperación futura de información en poder del gobierno. Canadá ha tomado medidas para garantizar que la gestión de registros permita un mejor acceso, que incluyen:

Descargas

Sin comentarios aún

Deje un comentario

Su dirección de correo electrónico no será publicada. Las areas obligatorias están marcadas como requeridas *

Open Government Partnership