Pegasus: ¿el fin justifica los medios?

La preocupación que ha despertado se debe a que, a diferencia de los tradicionales programas de vigilancia, Pegasus accede remotamente a los teléfonos y se instala de manera sencilla en los dispositivos, aprovechando las debilidades de los sistemas operativos

Pegasus: ¿el fin justifica los medios?

Tiempo de lectura estimado: 11 minutos


Mónica Arenas Ramiro, Universidad de Alcalá

Dice la leyenda que Pegaso, el famoso caballo alado de carácter indomable, solo llegó a ser capturado y dominado por Belerofonte con unas bridas de oro que le dio la diosa Atenea. Finalmente, y con la ayuda de Zeus, Pegaso logró deshacerse de su molesto jinete y fue convertido en una constelación que nos vigila desde el firmamento.

La tecnología ha resucitado una versión moderna de aquel caballo alado de la mitología griega: el programa espía Pegasus, capaz de vigilar e interferir en nuestras vidas, en los aspectos más cotidianos y en los más íntimos, de una forma hasta ahora sin precedentes, evidenciando la debilidad de los Estados y de las democracias.

¿Qué es Pegasus?

Pegasus es un programa informático de espionaje (o spyware) desarrollado por la empresa israelí NSO Group, destinado exclusivamente a los Gobiernos para prevenir atentados terroristas y otros delitos contra la seguridad del Estado.

No obstante, la realidad ha demostrado su uso para espiar a jefes de Estado, líderes de la oposición, grandes empresarios, periodistas, abogados y activistas de derechos humanos. Para conocer los abusos de Pegasus, el Parlamento Europeo ha iniciado la creación de una Comisión de investigación que deberá presentar un informe en marzo de 2023.

La preocupación que ha despertado se debe a que, a diferencia de los tradicionales programas de vigilancia, Pegasus accede remotamente a los teléfonos y se instala de manera sencilla en los dispositivos, aprovechando las debilidades de los sistemas operativos (iOS y Android), ya sea a través de un mensaje o de una llamada, que no hace falta ni abrir ni contestar.

Una vez instalado ejerce un elevado grado de intromisión en la vida privada de los espiados. Otorga un acceso completo, indiscriminado y sin restricciones a toda su información (mensajes, llamadas, fotografías, audios, vídeos y datos de geolocalización). Incluso, puede activar la cámara o el micrófono del teléfono sin que el usuario lo sepa.

De esta manera, permite no únicamente espiar al dispositivo elegido, sino también conocer información contenida en el mismo sobre terceros ajenos a todo el proceso y, además, suplantar la personalidad del usuario con el volumen de información que se puede conocer sobre él. Todo ello sin que este llegue a sospechar de la instalación de Pegasus, pues una vez que el móvil se apaga, desaparece su rastro.

El problema jurídico que plantea –más allá de la cuestión de quién ha espiado, o de si un Estado va a permitir que otro Estado espíe a sus dirigentes o a sus ciudadanos bajo pretexto de la seguridad nacional o de intereses políticos– es si Pegasus o sistemas alternativos, por sus potentes características, suponen una injerencia injustificada, y, por tanto, ilícita, en la vida privada de los ciudadanos, o si, por el contrario, el fin justifica los medios y la seguridad nacional justifica que se espíe con programas informáticos infalibles de forma masiva e indiscriminada.

Y saltó el escándalo

En España, el uso de Pegasus salta a los medios de comunicación con la denuncia del espionaje a políticos independentistas catalanes (el CatalanGate) y con el comunicado del Gobierno, del 2 de mayo de 2022, sobre el uso de Pegasus para espiar tanto al presidente del Gobierno como a la ministra de Defensa.

Aunque inicialmente el debate se planteó por el empleo de Pegasus por parte del Gobierno, abriéndose la discusión entre privacidad y seguridad nacional y el papel del Centro Nacional de Inteligencia y la conocida como Comisión de Secretos Oficiales, con el espionaje del presidente del Gobierno el debate se debería centrar en el uso de este tipo de sistemas, en el peligro para los derechos fundamentales, especialmente para nuestra privacidad y para las democracias, y en sí existen las garantías adecuadas para poder controlarlos.

Un eterno y falso debate

Si bien la seguridad nacional es un objetivo legítimo que permite utilizar programas espía y limitar nuestros derechos fundamentales, en un Estado democrático y de Derecho toda limitación de derechos debe estar contenida en una norma clara y previsible, necesaria en una sociedad democrática. Esto exige aplicar un estricto test de proporcionalidad, de manera que si existen mecanismos menos lesivos para conseguir un fin legítimo, son estos los que deben emplearse.

Así lo indican tanto los tribunales como las autoridades de protección de datos, como el Supervisor Europeo de Protección de Datos. Pegasus es relativamente nuevo, pero el peligro de aplicar la tecnología al empleo masivo de datos personales para espiar a los ciudadanos no.

Ya en 1978, el Tribunal Europeo de Derechos Humanos se pronunció sobre el tema en el caso Klass y, cuarenta años más tarde, en 2021, en el asunto Big Brother Watch, concluyó que, aunque estos sistemas en sí mismos no contravienen el Convenio Europeo de Derechos Humanos, es necesario que “se limiten a casos estrictamente necesarios para salvaguardar las instituciones democráticas” y que cuenten con las “garantías adecuadas y afectivas contra el abuso”.

Igualmente, el Tribunal de Justicia de la Unión Europea, en 2020, en el asunto Quadruture Du Net, señaló que las restricciones a la protección de datos personales se deben establecer sin sobrepasar los límites de lo estrictamente necesario, para lo que será esencial realizar la correspondiente ponderación.

Más contundente ha sido el Supervisor Europeo de Protección de Datos quien, en unas Observaciones publicadas en febrero de 2022, con referencia expresa a Pegasus, reconoce su potencial y la dificultad de su control y –dudando de que su uso pudiera considerarse proporcionado incluso con la finalidad legítima de prevenir la delincuencia o mantener la seguridad nacional, por el elevado nivel de injerencia en la vida privada– recomienda su prohibición. Esto es, el fin no justifica los medios.

Entonces, ¿espiar sí o espiar no?

Si el objetivo es espiar a un tercero sin que la finalidad sea legítima y esté prevista en una norma, no. No podemos espiar al vecino del quinto por mucho que nos disguste lo que hace. Pero incluso aunque exista una finalidad legítima, como garantizar la seguridad nacional o proteger derechos de terceros, no todo vale.

Necesitamos una norma que prevea el espionaje, que contenga las garantías adecuadas para no lesionar derechos fundamentales y que asegure que los medios empleados deben superar el test de proporcionalidad. Pegasus es desproporcionado y no lo supera; por sus propias características no cumple con los estándares europeos de protección de la privacidad. Pero, ¿qué pasa con otros sistemas?

En el caso de España, existe la previsión de espiar, pero debe asegurarse la garantía de derechos. No es solo que la Constitución española garantice los derechos fundamentales, sino que existen normas que regulan la Estrategia de Seguridad Nacional, el CNI como órgano competente, los secretos oficiales, así como las comunicaciones electrónicas, su interceptación y la protección de datos en el ámbito penal (y fuera de él). Podremos criticar la claridad y calidad de las normas, pero haberlas, haylas.

Dado que parece innegable que los sistemas de vigilancia son necesarios para garantizar la estabilidad de los Estados, si finalmente deciden emplearse, únicamente nos quedan las garantías.

Entre las garantías a reforzar, citadas en las Observaciones del Supervisor Europeo de Protección de Datos de 2022, destacan:

  • fortalecer su supervisión eficaz a través de las autoridades de protección de datos y de controles judiciales antes y después de su uso;

  • aplicar de forma estricta la normativa de protección de datos;

  • reducir el riesgo de que los datos obtenidos con estos programas lleguen a bases de datos ubicadas en la Unión Europea;

  • y, por último, empoderar a la sociedad civil para que conozca el uso de estos sistemas.

Estamos configurando los parámetros de la privacidad en un mundo digitalizado y abierto a nuevas amenazas que hacen tambalearse la estabilidad de los Estados, pero debemos evitar convertir nuestros Estados democráticos en Estados policiales. De lo contrario, como ya sentenció el Tribunal Europeo de Derechos Humanos en el asunto Klass, corremos el riesgo de “destruir la democracia con la intención de defenderla”.The Conversation

Mónica Arenas Ramiro, Profesora contratada doctora de Derecho Constitucional y delegada de Protección de Datos, Universidad de Alcalá

Este artículo fue publicado originalmente en The Conversation. Lea el original.