La era digital ha traído consigo retos importantes para el Derecho Internacional. Dos de los más significativos, si bien no los únicos, se refieren al impacto de las nuevas tecnologías de la información y la comunicación sobre la privacidad de las personas, así como sobre las formas en que los Estados se relacionan entre sí en la paz y en los conflictos armados.

Las normas de privacidad y aquéllas que rigen en general las relaciones entre los Estados no son nuevas en el escenario internacional. Muy por el contrario: se encuentran plasmadas desde hace más de setenta años en la arquitectura del Derecho Internacional Contemporáneo de la post-Segunda Guerra Mundial. La privacidad se reconoce como un derecho humano en el artículo 12 de la Declaración Universal de los Derechos Humanos de 1948 y se refleja en los principales tratados universales e interamericanos en la materia. Por su parte, los principios fundamentales del Derecho Internacional que rigen las relaciones entre los Estados – tales como la soberanía, la no intervención, la prohibición del uso de la fuerza, entre otros– se plasman en la Carta de las Naciones Unidas de 1945 y en resoluciones subsecuentes. A su vez, el derecho de los conflictos armados –Derecho Internacional Humanitario o ius in bello– se refleja en los cuatro Convenios de Ginebra de 1949 y sus Protocolos Adicionales (aunado a las normas consuetudinarias respectivas), teniendo sus orígenes desde finales del siglo XIX.

Si bien las normas no son nuevas, lo que sí resulta nuevo es el contexto en el cual estas normas aplican en la actualidad digital. La vorágine de la comercialización del Internet y del incesante desarrollo de nuevas tecnologías de la información y la comunicación ha revolucionado la vida económica, social, cultural y política de todos los seres humanos. Ha evidenciado los enormes beneficios de la digitalización, pero a su vez ha puesto de manifiesto los inmensos riesgos que ella posa sobre la seguridad de nuestros datos personales y también sobre la forma en que los Estados pueden intervenir en, o atacar a, otros Estados.

El Derecho Internacional no es estático sino dinámico. La comunidad internacional debe valerse de las herramientas a su disposición a fin de que el Derecho Internacional permanezca vigente y útil para enfrentar los problemas de la realidad global actual. Adaptarse o morir, diría Darwin. En algunos casos, adoptará nuevas normas específicas. Recordemos, sin embargo, que las tecnologías digitales evolucionan a una velocidad que supera, por mucho, la de la formación del Derecho Internacional. Así pues, en otros casos, ante la ausencia de nuevas normas, recurrirá a la interpretación de las normas existentes para aplicarlas a las realidades emergentes. En otros casos, recurrirá al desarrollo de soft law para guiar el ulterior proceso formativo o interpretativo de normas.

El Comité Jurídico Interamericano no ha permanecido ajeno a los retos que enfrenta el Derecho Internacional ante el contexto digital. Tiene más de cien años de existencia y es, hoy, uno de los órganos principales de la Organización de los Estados Americanos (OEA). Su trabajo consiste en promover la codificación y el desarrollo progresivo del Derecho Internacional en el continente americano, así como la uniformidad legislativa en la región. Nuestra región es amplia, al abarcar todos los países de Norteamérica, Centroamérica, Sudamérica y el Caribe. No es una región homogénea: muy por el contrario, existen grandes diferencias y disparidades económicas, sociales y culturales entre nuestros países. Ello torna más importante aún la labor del Comité: promover la uniformidad legislativa y la implementación de estándares internacionales contribuye como catalizador del desarrollo.

Tuve el honor de ser Miembro del Comité por el periodo de 2019 a 2022, integrándome a la planilla de once juristas de la región que somos elegidos por los Estados Miembros de la OEA para ejercer nuestros cargos a título independiente por periodos de cuatro años. Durante este periodo, tuve a mi cargo dos relatorías que, si bien siguieron cursos y caminos separados, comparten la característica de tratarse de normas que han sido desafiadas por los desarrollos tecnológicos de nuestra era. De 2019 a 2021 fui Relatora para la Privacidad y la Protección de Datos Personales, y de 2021 a 2022 fui Relatora para el Derecho Internacional aplicable al Ciberespacio. Describo a continuación, a grandes rasgos, en qué consistieron esas relatorías, a manera de ejemplificar algunas aplicaciones prácticas que tiene el ejercicio de la abogacía internacional en nuestra región.

Como he mencionado, el derecho a la privacidad se plasma en tratados internacionales desde la era de la postguerra. Ante la explosión del comercio electrónico, que aceleró no sólo el tratamiento de datos personales de usuarios sino también el mal uso de éstos con implicaciones transfronterizas, diversas regiones del mundo comenzaron a adoptar marcos normativos o directrices sobre la protección de datos personales. Fue el caso, por ejemplo, del Consejo de Europa, la Organización para la Cooperación y el Desarrollo Económico, la región de Asia Pacífico y la Unión Africana (este último aún no en vigor), entre otros. La región interamericana no cuenta, aún, con un tratado regional específico para la protección de datos personales. La adopción de leyes nacionales en los Estados americanos para la protección de datos personales se incrementó a partir de la década de los 2000s, y el Comité Jurídico Interamericano ya había elaborado un conjunto de Principios con Anotaciones para orientar a los Estados en sus procesos legislativos, que fueron adoptados en 2015 bajo el mandato de mi predecesor en la relatoría, el Sr. David Stewart.

Los Principios Anotados de 2015 habían tomado en cuenta los desarrollos jurídicos internacionales existentes hasta esa fecha. Sin embargo, después de 2015 sucedieron avances normativos internacionales de enorme envergadura para la protección de datos personales. Se adoptaron enmiendas y actualizaciones a los marcos regionales existentes, y en 2016 se adoptó el Reglamento General de Protección de Datos de la Unión Europea (‘GDPR’, por sus siglas en inglés), que entró en vigor en 2018. El GDPR revolucionó la normativa internacional de protección de datos personales al establecer obligaciones vinculantes no sólo para organizaciones dentro de la Unión Europea, sino también extraterritorialmente para organizaciones que ofrecen bienes o servicios a, o que monitorean el comportamiento de, individuos ubicados en la Unión Europea.

Tras la adopción del GDPR, la Red Iberoamericana de Protección de Datos Personales (RIPD), que se compone de agencias de protección de datos de 12 países iberoamericanos, entre los cuales algunos Estados Miembros de la OEA, adoptó en 2017 los Estándares de Protección de Datos Personales para los Estados Iberoamericanos, cuyo contenido es compatible con el GDPR. A su vez, en diversos países, incluyendo algunos de la región americana, se adoptaron nuevas leyes de protección de datos personales que reflejan esos estándares.

Ante esos relevantes desarrollos, en 2018 la Asamblea General de la OEA encomendó al Comité Jurídico Interamericano actualizar los ‘Principios sobre la Privacidad y la Protección de Datos Personales, con Anotaciones’ que había adoptado el Comité en 2015. Ese fue el mandato de mi relatoría. La actualización resultaba imperativa, considerando que los principios de la OEA constituyen soft law para todos los Estados Miembros de la OEA y que diversos países de nuestra región aún continúan en proceso de adoptar o actualizar leyes de protección de datos personales; era necesario que la guía legislativa que les brinda el Comité permaneciera vigente.

El proceso de actualización de los Principios Anotados de 2015 consistió en incorporar adaptaciones al texto para compatibilizarlo con los Estándares Iberoamericanos y con el GDPR. Además, incorporó los comentarios que recibimos al texto por parte de siete Estados Miembros de la OEA y de tres organismos internacionales, incluyendo la RIPD. Cabe mencionar, a este respecto, que la apertura del texto a consulta de los Estados no es un requisito para los trabajos que realiza el Comité Jurídico Interamericano, ya que éste cuenta con plena autonomía técnica. Sin embargo, optamos por realizar consultas a fin de que el texto pudiera reflejar lo más fielmente posible el estado actual de convergencias y divergencias de posiciones en la materia en nuestra región americana. Los Principios Actualizados con Anotaciones, en su versión final, fueron adoptados por el Comité Jurídico Interamericano en abril de 2021. Como paso adicional y a fin de contribuir a la identificación de un ‘piso común’ de entendimientos en materia de protección de datos personales en la región americana, decidimos remitir los Principios Actualizados, sin sus Anotaciones, a consideración de la Asamblea General de la OEA, con miras a su adopción por los Estados Miembros. La Asamblea adoptó los Principios Actualizados en noviembre de 2021, lo cual constituyó una importante expresión política de consensos básicos entre los Estados americanos sobre la protección de datos personales en nuestra región.

Por lo que respecta al Derecho Internacional aplicable al ciberespacio, como he señalado, los principios fundamentales que rigen las relaciones pacíficas entre los Estados y el derecho internacional humanitario aplicable a los conflictos armados también se encuentran reconocidos en el marco jurídico internacional de la postguerra. Sin embargo, en décadas recientes la aplicabilidad de estas normas se ha visto desafiada por el surgimiento y desarrollo de las tecnologías cibernéticas. Han proliferado los ciberataques incluso a nivel interestatal, ocasionando daños significativos a sistemas de gobierno, sistemas financieros y servicios estatales esenciales como la electricidad, el agua, el suministro de alimentos y medicinas, servicios médicos o sistemas de transporte y de seguridad, entre otros. Por citar tan solo algunos de los varios ejemplos existentes, basta recordar el ciberataque atribuido a Rusia que dañó sistemas de gobierno y financieros en Estonia en 2007; o aquél atribuido a Israel y a Estados Unidos que destruyó instalaciones nucleares en Irán en 2010; aquél atribuido a Rusia que dañó sistemas eléctricos en Ucrania en 2015; la interferencia rusa en las elecciones presidenciales en Estados Unidos en 2015 y 2016; o los diversos ciberataques conducidos por Rusia contra Ucrania a partir de la invasión a este país en 2022.

Las operaciones cibernéticas interestatales han confrontado la forma tradicional en que vemos el Derecho Internacional, evidenciando sus alcances y limitaciones. El Derecho Internacional existente no contiene normas específicas para regular las operaciones cibernéticas estatales; los pocos tratados surgidos recientemente sobre cibercrimen no se refieren a operaciones cibernéticas estatales. Así pues, ante la ausencia de normas específicas, la comunidad internacional se ha visto en la necesidad de examinar cómo aplican las normas existentes a los nuevos contextos cibernéticos entre Estados. Los cuestionamientos que se suscitan son diversos y muy complejos. ¿Una operación cibernética de un Estado contra otro Estado viola los principios de soberanía y no intervención? ¿Constituye un uso de la fuerza prohibido, aun cuando no ocasione pérdida de vidas humanas? ¿Cumple con el principio humanitario de proporcionalidad y distinción en los conflictos armados? ¿Detona el derecho a la legítima defensa del otro Estado, incluso por medios cinéticos? ¿Cómo se comprueba la atribución de una operación cibernética a un Estado? Por citar tan solo algunos…

En foros multilaterales como las Naciones Unidas, la OEA, la Unión Europea y la Asociación de Estados del Sudeste Asiático, la comunidad internacional ya ha adoptado resoluciones consensuales que reconocen y reafirman, en términos muy generales, la aplicabilidad del Derecho Internacional al Ciberespacio. Es un primer paso. Sin embargo, y pese a que las discusiones multilaterales sobre el tema se han prolongado por más de dos décadas, la comunidad internacional no ha logrado alcanzar acuerdos sobre la forma, o el alcance, de dicha aplicación.

El principal proceso intergubernamental para dilucidar este tema se realiza en el marco de las Naciones Unidas. El tema de la seguridad de la información ha formado parte del programa de las Naciones Unidas desde 1998. Las amenazas reales y potenciales en esta esfera han sido examinadas por un total de siete Grupos de Expertos Gubernamentales entre 2004 y 2021, y un Grupo de Trabajo de Composición Abierta entre 2019 y 2021. Actualmente, el proceso continúa en otro Grupo de Trabajo de Composición Abierta, que sesiona desde 2021 y continuará hasta 2025, y que prevé específicamente en su mandato la discusión sobre la forma en que el Derecho Internacional aplica a la utilización de las tecnologías de la información y las comunicaciones por los Estados. A la fecha, únicamente 26 Estados del mundo han publicado posiciones nacionales oficiales sobre cómo aplica el Derecho Internacional al ciberespacio, evidenciando importantes divergencias de posición en algunos temas específicos. De la región de las Américas, sólo han publicado sus posiciones Brasil, Canadá y Estados Unidos. Algunos ejercicios académicos, como los Manuales de Tallin, los foros y publicaciones del Comité Internacional de la Cruz Roja, o el Cyber Law Toolkit, buscan asistir a los Estados en este complicado proceso de comprensión, reflexión y posicionamiento.

Dado que el silencio sobre este tema impera en la mayoría de los países de la región americana, el Comité Jurídico Interamericano decidió en 2018, por iniciativa de mi predecesor en la relatoría, el Sr. Duncan Hollis, contribuir a promover una mayor transparencia sobre las posiciones de los Estados americanos en la materia. En 2019 circuló un cuestionario a los Estados Miembros de la OEA con preguntas sobre la aplicabilidad de normas específicas del Derecho Internacional en el contexto cibernético. Tan solo nueve Estados brindaron respuestas, y varias de ellas fueron parciales. En su informe, el Relator Hollis compiló las respuestas recibidas y concluyó, entre otros, que la falta de posicionamiento en nuestra región se debe, en gran medida, a las enormes disparidades, no sólo técnicas sino también de conocimientos jurídico-internacionales, que existen entre los países de la región americana.

La relatoría que asumí en 2021 continuó estos esfuerzos. Tomando en cuenta las disparidades existentes, y tras dialogar con los Estados Miembros, promovimos foros de capacitación para los Estados Miembros de la OEA con la participación de expertos internacionales, a fin de profundizar el análisis de los diversos e intricados temas jurídico-internacionales que están en juego en el contexto cibernético. Además, el Comité adoptó en agosto de 2022 el informe preparado por mi relatoría, que ha sido elaborado a manera de guía comprehensiva para los Estados americanos que se encuentran en proceso de preparar sus posiciones nacionales sobre la aplicabilidad del Derecho Internacional al ciberespacio. El informe analiza los orígenes y problemática actual de las operaciones cibernéticas estatales, así como el estado que guardan los procesos intergubernamentales y académicos existentes. Además, brinda un examen detallado de cada uno de los temas de Derecho Internacional que están en discusión en el contexto de las operaciones cibernéticas estatales, con un mapeo de las posiciones que, a la fecha, han formulado los Estados de la región americana en esos temas. Se ha divulgado ampliamente entre todos los Estados Miembros de la OEA.

Como abogada internacionalista, haber tenido la oportunidad de servir en un órgano regional como el Comité, participando en pro del fortalecimiento del Derecho Internacional en el continente americano, ha sido un verdadero privilegio. Reconozco y agradezco también el invaluable apoyo que brinda a las labores del Comité la Secretaría de Asuntos Jurídicos y el Departamento de Derecho Internacional de la OEA.

Al ingresar al Comité en 2019, fui la cuarta mujer en ser miembro del Comité en los más de cien años de su existencia; para finales de 2022 el número asciende a seis. Fui también la primera mujer de nacionalidad mexicana en ser miembro de este órgano, de entre los dieciséis miembros mexicanos que hemos ocupado este cargo en la historia. Sumando a los esfuerzos por romper el techo de cristal, promoví durante mi mandato una enmienda al Estatuto del Comité, que logró ser aprobada por la Asamblea General de la OEA gracias al impulso de la delegación de México, para incluir la paridad de género como uno de los criterios a ser tomados en cuenta en la elección de los miembros del Comité. Culmino mi mandato con profunda satisfacción y con la esperanza de que las generaciones venideras de abogadas y abogados internacionalistas de los Estados americanos continúen por el noble camino del fortalecimiento del derecho interamericano, a fin de favorecer el desarrollo de nuestra región en esta era digital.

Información adicional

Cómo citar este artículo:: Salazar Albornoz, M. (2022). El Comité Jurídico Interamericano ante los retos de la era digital: las Relatorías sobre Privacidad y Protección de Datos Personales y sobre el Derecho Internacional aplicable al Ciberespacio. Revista Electrónica de Derecho Internacional Contemporáneo, 5, 042. http://doi.org/10.24215/2618303Xe042