Alfonso Peralta Gutiérrez

Un chaval en vuelo Londres-Menorca antes de embarcar le soltó a sus amigos una broma sin ninguna gracia con un mensaje privado “de camino a volar el avión (soy miembro de los talibán)”. Ese mensaje habría sido intervenido por los servicios de inteligencia, que habrían activado protocolo antiterrorista, sacando un F18 de patrullaje con un coste de 95.000 euros. Fue detenido y se le solicitaba una condena por desórdenes públicos y responsabilidad civil de los gastos ocasionados. Sin comentar una sentencia de sentido común, que ya se ha dictado y supone no darle la razón a una Fiscalía por una calificación muy cuestionable, las cosas han cambiado mucho desde la filtración de Snowden.

El mensaje posiblemente se interceptó a través de Muscular o Prism, todo ello a través de la red Echelon o la comunidad Ukusa de la que forma parte Reino Unido. La otra manera sería a través de las redes de interceptación de cables submarinos.

Los proveedores de servicios de Internet (Google, Meta, Microsoft, etc.) están obligados, según las leyes y con ciertas condiciones a proporcionar a las agencias de inteligencia o de seguridad nacional las comunicaciones enviadas y recibidas por un «selector» o identificadores específicos. Es decir, qué cuando saltaron las alarmas automáticas al escribir «talibán», «volar», «avión», y en una geoposición en un aeropuerto, la gracia para el sistema algorítmico suponía algo muy serio.

Y esto en Reino Unido es legal, en virtud de la RIPA (regulatory investigatory powers act), pero también está regulado en Francia, Alemania, Países Bajos y Suecia, y por supuesto Estados Unidos.

Y esta serie de medidas pueden ser conforme al derecho europeo y al tribunal europeo de derechos humanos como se resolvió en casos Quadrature du Neti o Big Brother Watchii. Se puede transmitir a las agencias de seguridad e inteligencia datos de tráfico y de localización con el fin de proteger la seguridad nacional. Pero ha de ser una medida necesaria, apropiada, especial, idónea, excepcional y proporcionada y se han de establecer reglas claras y precisas y requisitos materiales y procedimentales.

 

Incluso el TJUE permite un caso muy similar a éste en los asuntos acumulados C-511/18, C-512/18 y C-520/18 en los cuales el Tribunal de Luxemburgo permite que la activación de la vigilancia masiva pueda basarse en un criterio geográfico cuando las autoridades nacionales competentes consideren, sobre la base de elementos objetivos y no discriminatorios, que existe una situación caracterizada por un riesgo elevado de preparación o de comisión de tales delitos graves en una o varias zonas geográficas. Estas zonas pueden ser, en particular, lugares que cuentan con un número elevado de delitos graves, lugares especialmente expuestos a la comisión de delitos graves, como los lugares o infraestructuras a los que acuden con regularidad un número muy elevado de personas, o incluso lugares estratégicos, como aeropuertos, estaciones o zonas de peajes.

Lo que no puede ser, es indiscriminado y generalizado. Y en el caso datos en tiempo real, que se limite a personas de las que se sospeche fundadamente que están implicadas en actividades terroristas. Y deberá haber un control judicial o administrativo efectivo y vinculante.

¿Cuál ha sido el problema? España si bien no tiene sistemas propios de vigilancia masiva, si que participamos de la cooperación y en primer lugar no existe regulación alguna. Pero el problema es que los tribunales exigen un reexamen individual de los medios automatizados.

La razón por la que el TEDH condenó a Reino Unido, aparte de una falta de regulación «de calidad». La falta de supervisión de la selección de portadores para la interceptación, el proceso según el cual los analistas seleccionan las comunicaciones interceptadas y la ausencia de alguna salvaguarda aplicable a la búsqueda y selección para examen de los datos de comunicaciones relacionadas. El TJUE también lo avisó: «deberá reexaminarse individualmente de manera regular por medios no automatizados los resultados de todo análisis automatizado antes de adoptar una medida individual que produzca efectos perjudiciales para las personas afectadas, como la recopilación posterior de los datos de tráfico y de localización en tiempo real, sin que una medida de este tipo pueda basarse, en efecto, de forma decisiva exclusivamente en el resultado de un tratamiento automatizado». Es decir, que cuando saltaron los selectores de posible atentado terrorista, había que haber reexaminado individualmente y con supervisión humana la alerta de los selectores antes de a lo mejor sacar a pasear un F18. Lo de siempre, la necesidad y la obligación de la supervisión humana de la IA.

Lo que debería existir en toda inteligencia artificial y algoritmos públicos es una auditoría, rendición de cuentas y supervisión humana. Lo exige el nuevo reglamento de inteligencia artificial. Y si no existen los procesos o no han funcionado o no se respetaron por riesgo de seguridad nacional, lo que no es lógico es echar la culpa a un chaval que ni siquiera sabe lo que ha hecho ni encima darle publicidad a un fallo del sistema, pues puedes conseguir un efecto Streisand multiplicador de esa vulnerabilidad provocando la inoperancia de los sistemas de monitorización.

Digámoslo claros. Podemos tener un gran problema con los algoritmos públicos y este puede ser el primero de muchos casos de fallos en distintos ámbitos.

Todo esto lo escribí en LA LEY hace más de 2 años por si os interesa conocer más en profundidad la vigilancia masiva, cómo funciona, y los requisitos jurisprudenciales para su homologación en derechos humanos, y lo hablé con Sasi Alami en el programa de inteligencia Código Crystal de Radio Nacional De España por si preferís el podcast. 

i Casos de la Gran Sala del Tribunal de Justicia de la Unión Europea Quadruture Du Net and Others, Asuntos acumulados C-511/18, C-512/18 y C-520/18 TJUE, y Caso Privacy International and others C 623/17, ambas de 6 de octubre de 2020.
ii Case Of Big Brother Watch And Others v. The United Kingdom, 25 de mayo de 2021 Gran Sala TEDH. (Applications nos. 58170/13, 62322/14 and 24960/15)