En los últimos años hemos sido testigos de una intensa campaña de comunicación destinada a concienciar sobre la injerencia de los servicios de inteligencia de la República Popular China en las compañías fabricantes de equipos de telecomunicaciones.
El punto de partida fue el Dictamen elaborado en el año 2012 por el Comité Especial de Inteligencia de la Cámara de Representantes de los Estados Unidos que denunciaban de forma directa a Huawei y ZTE al afirmar que «de acuerdo con las leyes chinas, ZTE y Huawei estarían obligados a cooperar con cualquier solicitud del gobierno chino para hacer uso de sus sistemas o acceder a ellos con fines maliciosos bajo el pretexto de la seguridad del Estado». Las acusaciones posteriores, sin embargo, se centraron en la Ley de Inteligencia Nacional de China de junio de 2017. Estados Unidos aseveraba que esta norma, permitía al gobierno chino exigir a las empresas tecnológicas que dieran acceso a su información con fines maliciosos, o incluso dicho instrumento legal, según estas publicaciones, daban cobertura para ejecutar actos que podrían considerarse de espionaje.
Pese a todo ello, recientemente algunos países como Alemania, Reino Unido o España han decidido permitir que Huawei y ZTE participen en el suministro de redes 5G.
En este controvertido escenario surgen varias dudas, ¿qué hay detrás de estas acusaciones? Además del hecho de que nunca se han detectado violaciones de este tipo, ¿existe alguna base legal para que el gobierno chino exija a Huawei o a ZTE que implementen dispositivos de espionaje en sus equipos de telecomunicaciones? ¿O son estas acusaciones sólo un intento de convertir a Huawei en una moneda de cambio y criminalizar al adversario en la lucha de poder entre dos grandes potencias tecnológicas?
Desde una perspectiva legal, la respuesta es sencilla y clara. Analizando todo el entramado normativo chino que regula y/o afecta a la seguridad cibernética, no es posible encontrar ninguna disposición que permita al gobierno chino ordenar a las empresas chinas a implementar puertas traseras o spyware en sus equipos de telecomunicaciones o que de cualquier otra forma pudieran permitir llevar a cabo actividades de espionaje en Europa y el extranjero. De hecho, existe un principio general del derecho chino que no permite la aplicación extraterritorial de estas normas que afectan a la ciberseguridad, circunstancia jurídica que además se ve garantizada por un sistema de sanciones para quien lleve a cabo actuaciones que inobserven el citado principio.
De este modo, en el marco de la Ley de Seguridad Cibernética china, el artículo 28 exige que sólo los operadores de redes -pero no los fabricantes de equipos de telecomunicaciones- presten asistencia al Gobierno chino para apoyar la seguridad nacional. Desde luego esto no implica per se ningún acto de espionaje.
Hay quien asegura que la Ley de Inteligencia China es la norma crítica, ya que algunos de sus preceptos (los artículos 7 y 14) obligan a los ciudadanos chinos a prestar ayuda en las labores de inteligencia nacional. Sin embargo, estos comentarios carecen, de nuevo, de base legal alguna, pues la citada norma no contiene disposiciones que permitan ni obliguen a que se pueda ordenar por las autoridades chinas la implementación de puertas traseras o dispositivos de espionaje en las redes e infraestructuras, ni en China, ni mucho menos, claro está en Europa. Esto se debe a que -tal y como ocurre con la Ley de Seguridad Cibernética- ésta sólo se aplica a los ciudadanos chinos en China y no se extiende a las filiales europeas o a sus actividades comerciales. El efecto extraterritorial de esta Ley es, sin duda, limitado cuando entra en conflicto con las leyes de otros países, al margen de que el objeto de la misma no previene la realización de ningún acto de espionaje ni siquiera en China por ciudadanos o empresas chinas.
El panorama es similar para la Ley de Contraespionaje, la Ley de Seguridad del Estado y la Ley Antiterrorista chinas, ninguna de las cuales es aplicable a las filiales europeas de los fabricantes de equipos chinos o a sus actividades comerciales. Tampoco, por supuesto, respalda actuaciones de espionaje ni en China, ni menos aún en el extranjero. Tales conclusiones han sido recientemente corroboradas por el propio Gobierno chino. Así, el Sr. Yang Jiechi, Consejero de Estado chino, confirmó públicamente en la Conferencia de Seguridad de Munich que ninguna de las leyes que componen el ordenamiento jurídico en China exige a los fabricantes de equipos chinos instalar dispositivos de espionaje.
Por otro lado, existen países que aprueban leyes con efectos marcadamente extraterritoriales, como es el caso de muchas normas estadounidenses. Cabe mencionar la Ley de Vigilancia de la Inteligencia Exterior de los Estados Unidos (Foreign Intelligence Surveillance Act, «FISA»), que fue enmendada en 2018 para permitir a la Agencia Nacional de Seguridad (National Security Agency, «NSA») recopilar datos sobre comunicaciones digitales de personas físicas y jurídicas extranjeras fuera de los Estados Unidos sin necesidad siquiera de presentar previamente una orden judicial.
Otro ejemplo de aplicación extraterritorial es la Ley Patriota de los Estados Unidos (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act), aprobada en octubre de 2001, tras los atentados terroristas del 11 de septiembre de 2001, que restringió los derechos y libertades individuales y permitió a las autoridades estadounidenses tener acceso a numerosas bases de datos que contienen información confidencial sobre cientos de miles de ciudadanos y empresas estadounidenses.
Por último, la llamada US Cloud Act, aprobada el año pasado por la administración de Donald Trump, y que permite a las autoridades estadounidenses requerir a empresas tecnológicas información relevante almacenada ya sea en Estados Unidos u otros estados. De hecho, algunos Estados miembros de la UE expresaron su preocupación a este respecto. Según Ulrich Kelber, responsable alemán para la protección de datos y la libertad de información, las autoridades estadounidenses podrían invocar la Ley de la nube para exigir el acceso a los datos en poder de ciertos proveedores de servicios de nube de Estados Unidos lo
que, sin duda, crearía un riesgo para los organismos gubernamentales alemanes que almacenan datos con ellos.
La información publicada sobre la normativa china en buena parte, generando miedo y desconfianza sesgada, A juzgar por el análisis y el estudio comparado de las leyes que afectan a la seguridad en la red, podría decirse que se ha proporcionado una visión desequilibrada y desigual respecto de los diferentes actores políticos que actualmente se encuentran en conflicto comercial.
Estamos, sin duda, ante un momento donde la seguridad en el ciberespacio se ha convertido en un tema de enorme relevancia, debido al crecimiento incesante de los avances tecnológicos y la necesidad de generar un marco jurídico que dé respuesta a los retos que están surgiendo en todos los ámbitos de la sociedad. En este sentido, la colaboración entre todos los actores económicos, sociales y jurídicos es fundamental para poder seguir implementando los correspondientes umbrales de seguridad que contribuyan a mantener un progreso tecnológico consistente en el tiempo.
Javier Cremades, Abogado Presidente Cremades & Calvo Sotelo Abogados