Noticias de Tuta

La encriptación no es negociable: carta abierta a la UE para que no socave la privacidad.

La encriptación nos protege a todos. En Tuta preferimos abandonar la UE antes que ceder a las exigencias de socavar el cifrado.

The EU vs encryption? It's time that politicians understand that encryption protects us all!

En Tuta luchamos por tu derecho a la privacidad con cifrado. Pero la UE sigue debatiendo políticas y exigencias policiales que amenazan con romper la encriptación. Si la UE sigue por este camino, en Tuta tenemos dos opciones: comprometer nuestra encriptación de seguridad cuántica o trasladarnos a una región que valore y salvaguarde la privacidad digital. Para nosotros la respuesta es fácil. Preferimos abandonar la UE que romper nuestro cifrado de código abierto. Ahora hemos firmado una carta abierta y, junto con más de 50 organizaciones y empresas, pedimos a la UE que defienda un cifrado fuerte y el derecho a la privacidad.

Una coalición de 55 asociaciones profesionales, medios de comunicación, organizaciones de derechos humanos, sindicatos y empresas tecnológicas han publicado hoy una carta conjunta en la que instan a los ministros de la UE a adoptar una agenda de seguridad digital que promueva los derechos fundamentales y apoye un ecosistema digital seguro. La carta expresa su preocupación por las recomendaciones del Grupo de Alto Nivel (GAN) sobre la ampliación del acceso de las fuerzas de seguridad a los datos personales, temiendo que puedan conducir a una vigilancia masiva y socavar la privacidad.

Matthias Pfau, consejero delegado de Tuta, advierte de que si la UE sigue por este camino, corre el riesgo de perder empresas innovadoras centradas en la privacidad y la confianza de sus ciudadanos:

“Si la UE sigue por este camino de socavar la encriptación, será imposible para empresas como Tuta Mail operar dentro de sus fronteras. En Tuta luchamos por el derecho de todos a la privacidad con cifrado; ¡y seguiremos haciéndolo! Si la UE trata de impedírnoslo, preferimos deslocalizarnos antes que socavar nuestro cifrado de seguridad cuántica. La UE corre el riesgo de perder empresas innovadoras centradas en la privacidad y, con ellas, la confianza de sus ciudadanos”, afirma Matthias Pfau, director general de Tuta Mail.

Debilitar el cifrado supone un grave riesgo para la seguridad digital, como han demostrado los recientes ciberataques a proveedores de telecomunicaciones estadounidenses por parte de atacantes chinos respaldados por el Estado. Esta reciente brecha de seguridad en EE.UU. pone de relieve la importancia de una encriptación robusta. La UE debe reconsiderar su planteamiento, porque debilitar el cifrado no es sólo una opción política, sino una amenaza para la seguridad de todos. El cifrado es la base de una comunicación digital segura y fiable. Poner en peligro esta base abre la puerta a agentes malintencionados, amenazando la seguridad de ciudadanos, empresas y gobiernos.

Mientras que las autoridades estadounidenses -tras el ataque de China a la infraestructura digital de su país- recomiendan cada vez más el uso de herramientas de comunicación cifradas de extremo a extremo, la UE avanza en la dirección contraria debatiendo políticas que debilitarían el cifrado y negarían a todo el mundo la privacidad digital. Una encriptación fuerte es esencial para protegerse de diversas amenazas en línea, y la UE debe dar prioridad a una seguridad y privacidad sólidas frente a políticas que creen vulnerabilidades sistémicas.

Las puertas traseras al cifrado nunca son una opción, porque los agentes malintencionados abusarán de ellas.

Puntos clave de la carta abierta

  • Respeto de los derechos fundamentales: La carta se opone a medidas como el “acceso legal por diseño”, que podrían debilitar los sistemas de cifrado y seguridad digital, poniendo en peligro los datos personales y las comunicaciones. Subraya la necesidad de defender el derecho a la intimidad y evitar socavar el cifrado, que es crucial para salvaguardar la seguridad y la libertad de las personas.

  • Privacidad y secreto profesional: La carta destaca que las medidas que permiten el acceso sin restricciones de las fuerzas del orden podrían comprometer la confidencialidad de las comunicaciones, incluidas las protegidas por el secreto profesional, como las que se producen entre médicos y pacientes, periodistas y fuentes, y abogados y clientes. Estas protecciones son vitales para salvaguardar otros derechos fundamentales como la libertad de expresión.

  • Seguridad del ecosistema digital: La carta advierte de que la propuesta del GAN podría socavar el sólido marco de seguridad digital de la UE, como el RGPD, lo que conduciría a un ecosistema digital debilitado. Advierte del peligro de obligar a los proveedores de servicios a recopilar datos innecesarios o a permitir la interceptación, ya que esto degradaría los sistemas de seguridad y crearía vulnerabilidades. Preocupa que la implantación de puertas traseras para las fuerzas de seguridad exponga los sistemas a la explotación por parte de agentes malintencionados.

  • Impacto en las empresas de la UE: La carta señala que las medidas de aplicación estrictas y las sanciones podrían perjudicar a los pequeños proveedores de servicios seguros, expulsándolos potencialmente del mercado. Esto afectaría negativamente a las ambiciones de ciberseguridad de la UE y a la capacidad de prestar servicios seguros.

Lea la carta completa para comprender cómo los responsables políticos deben equilibrar las necesidades de aplicación de la ley con la protección de los derechos fundamentales, sin comprometer la privacidad de todos.

Activa la privacidad con un solo clic.

Carta abierta

Carta conjunta pidiendo que la agenda de seguridad digital de la UE promueva los derechos fundamentales y apoye un ecosistema digital seguro

Estimados Ministros

Las asociaciones profesionales, organizaciones de medios de comunicación y de derechos humanos, sindicatos y empresas tecnológicas abajo firmantes nos dirigimos a ustedes para subrayar la necesidad de una agenda de seguridad digital de la UE que garantice la justicia, la rendición de cuentas y el respeto de los derechos fundamentales, y que apoye el desarrollo de un ecosistema digital seguro.

En este contexto, nos gustaría compartir nuestras preocupaciones en relación con las recomendaciones y el informe presentados por el Grupo de Alto Nivel (GAN) sobre el acceso a los datos para la aplicación efectiva de la ley. A la luz del objetivo general del GAN de conceder a las autoridades policiales el máximo acceso posible a los datos personales, identificamos riesgos importantes de vigilancia masiva, así como amenazas sustanciales para la seguridad y la privacidad, si estas recomendaciones se tomaran como base para futuras políticas y legislación de la UE. Por lo tanto, le instamos a que tenga en cuenta las siguientes recomendaciones a la hora de definir las prioridades de la UE en este ámbito político.

Respetar los derechos fundamentales y garantizar la seguridad y confidencialidad de los espacios digitales

Quisiéramos advertir contra la concesión de capacidades ilimitadas a las fuerzas de seguridad que puedan conducir a una vigilancia masiva y violar los derechos fundamentales.

En particular, nos preocupa enormemente el concepto de “acceso legal desde el diseño” apoyado por el GAN, que pretende integrar el acceso de las fuerzas de seguridad a los datos en el desarrollo de todas las tecnologías. En la práctica, exigiría el debilitamiento sistémico de todos los sistemas de seguridad digital, incluido el cifrado, entre otros. En consecuencia, socavaría la seguridad y la confidencialidad de los datos y las comunicaciones electrónicas, pondría en peligro la seguridad de todos y cercenaría gravemente los derechos fundamentales de las personas. Este concepto va en contra de las reiteradas recomendaciones de organizaciones de derechos humanos, expertos en protección de datos y ciberseguridad, así como de la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH).

Por lo tanto, recomendamos descartar cualquier medida que pueda eludir las protecciones que ofrece el cifrado o debilitarlas, ya que crearía amenazas a la seguridad y la privacidad de millones de personas, instituciones públicas e inevitablemente dañaría el ecosistema de la información digital en general.

Además, nos gustaría recordar que cualquier futuro régimen armonizado de la UE sobre retención de datos y acceso debe respetar los requisitos legales de necesidad y proporcionalidad establecidos en la legislación de la UE y la jurisprudencia bien establecida del Tribunal de Justicia de la UE (TJUE) y el TEDH para la protección de los derechos fundamentales contra la vigilancia masiva. A este respecto, la ampliación propuesta de la obligación de conservación de datos a prácticamente todos los servicios de la sociedad de la información, incluidos el Internet de las cosas y los servicios basados en Internet, es especialmente preocupante, ya que exigiría la conservación indiscriminada y sin objetivos concretos de los datos personales. Esta vigilancia amplia y general generaría en la mente de las personas la sensación de que su vida privada es objeto de vigilancia constante y no puede considerarse conforme con los requisitos mencionados.

Defender el derecho a la intimidad y la inviolabilidad de la información protegida

Aunque el derecho a la intimidad y a la confidencialidad de las comunicaciones no es absoluto, cualquier injerencia en los derechos fundamentales debe ajustarse a los principios de legalidad, estricta necesidad y proporcionalidad. La conservación general e indiscriminada de datos personales que permite crear perfiles detallados del individuo y las medidas que atentan contra la seguridad de todas las comunicaciones privadas no cumplen estos principios.

Estas medidas generales e indiscriminadas afectan también a las personas cuyas comunicaciones están sujetas al secreto profesional, como los médicos y sus pacientes, los periodistas y sus fuentes, los abogados y trabajadores sociales y sus clientes. La protección jurídica concedida a esas comunicaciones es una garantía sine qua non para el ejercicio efectivo de otros derechos fundamentales de las personas, como el derecho a un juicio justo y de defensa, la libertad de expresión e información, incluidas las libertades de los medios de comunicación y de prensa, la libertad de pensamiento y religión, la libertad de reunión y asociación, y los derechos a la asistencia social y a la atención sanitaria.

Nos preocupa que los amplios poderes previstos para que las fuerzas de seguridad accedan a los datos interfieran con la confidencialidad de las comunicaciones protegidas y los derechos fundamentales relacionados. Se corre el riesgo de que se abuse de estas medidas para perseguir a periodistas, defensores de los derechos humanos, abogados, activistas y disidentes políticos. Y lo que es más importante, la UE debe garantizar la inviolabilidad de los datos y otras pruebas amparadas por el principio del secreto profesional o la prerrogativa del secreto profesional.

Apoyar un ecosistema digital seguro, fiable y diversificado

Los fabricantes de dispositivos y proveedores de servicios responsables han invertido considerables recursos en mejorar la seguridad de sus dispositivos y la fiabilidad de sus servicios. Estas innovaciones no sólo responden a las exigencias de unos usuarios cada vez más conscientes de su intimidad, sino también a las de las autoridades reguladoras encargadas de hacer cumplir normas elevadas en los ámbitos de la ciberseguridad y la protección de datos. La UE cuenta con una ventaja única gracias a un marco de protección de datos que establece un alto nivel jurídico para proteger los derechos y libertades fundamentales de las personas en un mundo en el que la privacidad sufre constantes ataques.

Por desgracia, la visión del GAN podría socavar la capacidad de los europeos para elegir herramientas digitales fiables en el futuro. Recomienda imponer a los operadores obligaciones amplias y, en ocasiones, contradictorias. Esto incluye obligarles a recoger y conservar más datos de los usuarios de los necesarios para prestar sus servicios, permitir la interceptación en tiempo real y facilitar datos descifrados a las fuerzas de seguridad, todo ello evitando comprometer la seguridad de sus sistemas. A pesar de la intención del GAN de no socavar la seguridad digital, en realidad no hay forma técnica de romper la promesa del cifrado de extremo a extremo sin debilitar la seguridad de los sistemas de comunicaciones. Una puerta trasera -o cualquier otro mecanismo de elusión- destinada a las fuerzas de seguridad siempre puede ser explotada por otros actores, como han demostrado numerosos ejemplos.

Por último, el GAN también esboza un preocupante marco de aplicación de la ley, que incluye duras sanciones para disuadir y castigar el incumplimiento de las obligaciones y órdenes de aplicación de la ley de la UE (sanciones administrativas, prohibición comercial, penas de prisión). Vemos aquí el riesgo bien de expulsar del mercado de la UE a los operadores fiables que ofrecen servicios seguros, bien de cerrar el negocio si son pequeños o sin ánimo de lucro, bien de impedirles desarrollar soluciones seguras si están establecidos en la UE. Huelga decir que esto sería muy perjudicial para las iniciativas y ambiciones de ciberseguridad de la UE.

Entendemos que las medidas de investigación a disposición de las fuerzas de seguridad deben ser adecuadas para la era digital y eficaces a la hora de abordar los desafíos únicos creados por los servicios en línea transfronterizos. Sin embargo, la eficacia no debe lograrse a expensas del debilitamiento de los derechos fundamentales, las garantías jurídicas y la economía europea. Estamos convencidos de que estos objetivos de interés general pueden alcanzarse con medidas menos intrusivas que la vigilancia masiva y el debilitamiento sistémico de las garantías esenciales de seguridad.

Le agradecemos de antemano su consideración y quedamos a su disposición para cualquier pregunta.

Atentamente,

Access Now

ARTÍCULO 19, Internacional

Asociación de Periodistas Europeos, Bélgica (AEJ Bélgica)

Bits of Freedom, Países Bajos

Bolo Bhi, Pakistán

Centro para la Democracia y la Tecnología Europa (CDT Europa)

Chaos Computer Club (CCC), Alemania

Unión de Libertades Civiles para Europa (Liberties)

Comité para la Protección de los Periodistas (CPJ)

Community Media Forum Europe (CMFE)

Consejo de Colegios de Abogados de Europa (CCBE)

Cryptee, Estonia

D3 - Defesa dos DIreitos Digitais, Portugal

Danes je nov dan, Eslovenia

Datenpunks, Alemania

Deutsche Vereinigung für Datenschutz e.V. (DVD), Alemania

Deutscher Anwaltverein (Colegio de Abogados de Alemania)

Digital Rights Ireland (Derechos digitales de Irlanda)

Digitale Gesellschaft, Alemania

Digitale Gesellschaft, Suiza

eco - Verband der Internetwirtschaft e.V. (Asociación de la Industria de Internet)

Electronic Frontier Foundation (EFF), Internacional

Electronic Privacy Information Center (EPIC), Estados Unidos de América

Elemento

Epicenter.works - por los derechos digitales, Austria

Eurocadres

EuroISPA - Asociación Europea de Proveedores de Servicios de Internet

Unión Europea de Radiodifusión (UER)

Derechos Digitales Europeos (EDRi)

Federación Europea de Periodistas (FEP)

Asociación Europea de Editores de Revistas (EMMA)

Asociación Europea de Editores de Periódicos (ENPA)

Consejo Europeo de Editores (EPC)

Foro Mundial para el Desarrollo de los Medios de Comunicación (FMMD)

Iniciativa de Red Global (GNI)

Iniciativa Heartland

IFEX

Initiative für Netzfreiheit, Austria

IT-Pol, Dinamarca

La Quadrature du Net, Francia

Ligue des droits humains, Bélgica

Mailfence, Bélgica

Asociación de Derecho de las Tecnologías de la Información de Malta (MITLA)

News Media Europe (NME)

Nextcloud GmbH, Alemania

Fundación Panoptykon, Polonia

Politiscope, Croacia

Privacidad Internacional

Proton, Suiza

Fundación SHARE, Serbia

Organización de Medios de Comunicación de Europa Sudoriental (SEEMO)

Statewatch, Internacional

Instituto Global de Tecnología

Tuta Mail, Alemania

Fundación Wikimedia