Este es un espacio de debate que no compromete la opinión de La Silla Vacía ni de sus aliados.
Esta columna fue escrita con el apoyo de Juan Pablo Parra, de la Fundación Karisma
Los Puestos de Mando Unificado de Seguridad Digital, o PMU-Ciber, llegaron para quedarse. El 24 de marzo de 2022, en la Mesa para la Gobernanza de Internet colombiana, el Ministerio TIC presentó el nuevo decreto de ciberseguridad (Decreto 338 del 8 de marzo de 2022). Una de las novedades que incluye la norma es que finalmente incorpora en nuestro marco jurídico a los PMU-Ciber.
Hay que empezar por reconocer que, al definir los PMU-Ciber, la nueva norma pone a las personas en el centro y lo hace con un enfoque de derechos humanos. Este es un importante cambio que contrasta con el uso que vimos de los PMU-Ciber durante el Paro nacional de 2021. Pero surge la siguiente pregunta: ¿acaso no es este un tema que debería ser competencia del Congreso?
Los PMU en general, y el PMU-Ciber en particular, funcionan desde hace años sin contar con un marco jurídico, sin definición legal ni reglamentación específica. El único sustento de su operación ha sido el principio constitucional y legal de cooperación de las entidades públicas.
A pesar de la falta de certeza jurídica sobre qué eran, qué hacían o cómo operaban los PMU, estos han sido una de las principales herramientas de respuesta del Estado colombiano a situaciones de gran magnitud como la pandemia del covid, el Paro nacional de 2021 o las elecciones locales de 2021 y nacional de 2022.
Mientras analizábamos las actividades de “ciberpatrullaje” que se dieron durante la protesta de 2021, desde Karisma y con la Fundación para la Libertad de Prensa (Flip) hicimos consultas a diferentes autoridades e indagamos sobre uno de sus protagonistas: los PMU-Ciber.
Veamos un poco qué fue lo que aprendimos, lo que cambió este año y los desafíos que permanecen.
¿Qué es un PMU-Ciber?
Como en 2021 no había en el marco jurídico colombiano una definición sobre lo que era un PMU (y, mucho menos, un PMU-Ciber), consultamos a las autoridades sobre esto. Las respuestas de la Presidencia, el MinDefensa y el MinTIC fueron unánimes: hablaron de un mecanismo de coordinación para cumplir funciones y articularse en virtud de los principios constitucionales de colaboración y cooperación entre entidades públicas.
Por su parte la Registraduría, consultada durante los preparativos de las elecciones legislativas de 2022, indicó que el PMU-Ciber era la instancia de articulación para el cumplimiento de las funciones de ciberseguridad del Estado, los encargados de activar las capacidades de seguridad digital y de la investigación criminal de posibles delitos informáticos.
Parecía que si los PMU son esos espacios físicos desde los cuales se toman las decisiones para atender algún evento en particular, los PMU-Ciber son aquellos que operan desde y sobre el espacio público digital.
Y aquí entra la nueva regulación. Según el nuevo decreto de ciberseguridad, los PMU-Ciber son “instancia de colaboración y coordinación interinstitucional (…) para prevenir o gestionar incidentes cibernéticos sobre las infraestructuras críticas y los servicios esenciales, y que permiten la garantía de los derechos ciudadanos cuando actúan en el ciberespacio”.
Mientras el decreto ya ofrece una definición de los PMU-Ciber con un enfoque en seguridad digital -dejó de lado los ciberdelitos-, los PMU generales siguen sin definición. Pero, en ese marco quizá lo más importante es que la definición menciona expresamente, y por primera vez, la protección de la ciudadanía como objetivo. Esto no estaba presente en las definiciones que el Estado nos dio cuando hicimos las peticiones mencionadas.
En esa misma línea, el decreto agrega: “las autoridades que intervengan en los puestos de mando unificado lo harán para el cumplimiento coordinado de las funciones que señala la constitución, la ley, y bajo el respeto y protección de los derechos humanos”. Hasta ahora no había claridades sobre qué eran, qué hacían y cómo funcionaban los PMU; tampoco había referencia alguna al respeto por los derechos humanos. Ahora hay un marco positivo para los derechos de las personas.
El PMU-Ciber y los derechos humanos en la protesta de 2021
La definición del alcance y el compromiso por el respeto a los derechos humanos que hoy ofrece el decreto de seguridad digital respecto de los PMU-Ciber son una novedad inocultable y positiva, especialmente si consideramos lo sucedido durante las protestas en 2021.
A la pregunta sobre las funciones del PMU-Ciber que operó durante el Paro nacional, la Fiscalía respondió: “Las actividades de este grupo van dirigidas al monitoreo constante de redes sociales como Facebook, Twitter, Instagram y cualquier otra que permita determinar la opinión y tendencia que se presente durante el desarrollo de la protesta social, atendiendo en igual sentido la labor de ciberpatrullaje que realizan los funcionarios adscritos a la Policía Nacional, que se despliega teniendo en cuenta las denuncias o preguntas que hace la comunidad a través del CAI VIRTUAL”.
Aunque posteriormente la propia Fiscalía negó, en otras respuestas, que hiciera monitoreo constante, también señaló que, según su criterio, dichas actividades son legales, en tanto no implican el seguimiento de una persona en concreto.
Sin embargo, en realidad tenemos fuertes dudas frente a que “monitorear constantemente” las redes sociales de la ciudadanía para conocer sus opiniones sea una medida que no afecta en forma innecesaria y desproporcionada el ejercicio de derechos como la libertad de expresión, de reunión o de participación ciudadana.
Si, como lo dice el nuevo decreto, el alcance del PMU-Ciber es el de proteger a las personas y sus derechos en el ámbito de la seguridad digital, entonces el monitoreo constante de su actividad y opiniones es una forma de vigilancia masiva inaceptable en una democracia, y que debería estar fuera del alcance de esta instancia de coordinación.
Lo que sí sabemos es que durante el Paro nacional el MinDefensa etiquetó contenido ciudadano en redes sociales con el membrete de “noticia falsa”. Los boletines donde se socializaba el contenido con estas etiquetas citan como fuente al PMU-Ciber y en una respuesta del Centro Cibernético Policial se nos explicó el paso a paso para identificar noticias falsas “a partir de la información publicada en fuentes abiertas”.
Así, las actividades del PMU-Ciber hicieron parte de lo que se conoció como la campaña #ColombiaeEsMiVerdad, una respuesta de la Fuerza Pública contra lo que consideraban actos de descrédito que fue seriamente cuestionada por ser innecesaria y desproporcionada, y que además se inició fingiendo un falso ciberataque.
Efectivamente, sobre el etiquetado de contenido como “noticia falsa”, la Comisión Interamericana de Derechos Humanos (Cidh) manifestó en su documento de recomendaciones a Colombia con ocasión de las protestas de mayo de 2021, luego de su visita al país, su preocupación sobre este tipo de comportamientos. Los calificó como “prácticas de censura”.
La Cidh recomendó al Estado “cesar las actividades de categorización policial de contenidos como ‘falsos’ o ‘verdaderos’ y abstenerse de asignar calificaciones estigmatizantes o tendientes a la criminalización de quienes se expresan a través de internet”, y, en su lugar, le piden “reaccionen aportando más información sobre el tema”. Hoy en día, el alcance que otorga el decreto de ciberseguridad a los PMU-Ciber tampoco permitiría dentro de sus actividades el etiquetamiento de contenido producido y publicado por la ciudadanía en redes sociales.
En resumen, con este panorama el decreto de marzo de 2022 es sin duda una buena noticia que refleja la influencia y los ajustes que se derivaron de los comentarios que la sociedad civil hizo al borrador del decreto actual.
El decreto de ciberseguridad es un inicio, pero falta mucho
Como ya se anticipó, el hecho de que el decreto sea un buen avance no impide que nos preguntemos si regular estos temas vía el Ejecutivo y con normas de rango infralegal -un decreto y no una ley- es lo que corresponde.
Mientras el PMU-Ciber sea una instancia de coordinación entre las diferentes entidades gubernamentales parece que un decreto es el tipo de norma idónea para regularlos. Pero, si le agregan facultades, como sucedió en 2021, estaremos frente a situaciones que requieren de la intervención del Congreso y de un complejo análisis de impacto en derechos. Este es otro argumento que explica nuestras preocupaciones sobre la actuación del PMU-Ciber en 2021 y nuestro optimismo con la norma actual.
Sin perjuicio de lo anterior y conscientes que desde marzo hay ciertas claridades, no estamos en una situación perfecta.
Si bien ahora sabemos cosas, como que quien convoca los PMU-Ciber es el Comité Nacional de Seguridad Digital -otra de las nuevas entidades creadas por el decreto–, cuál es el límite de las actuaciones de quienes los integran -lo que no sucedía de forma previa– y que deben respetar los derechos humanos y proteger a la ciudadanía en el ciberespacio, todavía hay muchas dudas y actividades que se derivan de esta coordinación que no están reguladas de forma garantista.
Para empezar es necesario que se regule de forma más precisa qué puede o no hacer un PMU-Ciber y sus integrantes en el marco de esa coordinación. Se requiere establecer procedimientos detallados, garantistas, para evitar afectar los derechos de la ciudadanía en espacios digitales.
Por otra parte, hacen falta mecanismos de transparencia y control eficientes desde la ciudadanía, pues hasta la fecha la única forma de acceder a información sobre los PMU es mediante los trámites de derecho de petición -que en nuestro caso implicó una larga lista de peticiones y tutelas–, o atenerse a los canales de comunicación inexistentes del PMU-Ciber.
Ahora que los PMU-Ciber han llegado para quedarse, necesitamos más que un artículo que los defina. Se requiere toda una normativa que los limite, controle y exija cuentas tanto desde el Estado como desde la ciudadanía.
Para las elecciones presidenciales seguramente se creará un PMU-Ciber. Esta será una buena ocasión para poner en práctica el nuevo decreto y pensar hacia dónde debe ir la nueva regulación.
