Facultad de Derecho

27 de septiembre de 2022

Actividades de ciber-vigilancia e inmunidad soberana

Por: Adriana Castro Pinzón

Abstact: La reciente decisión de la Corte Suprema de Justicia de Inglaterra y Gales que reconoció una excepción a la inmunidad soberana, así como el caso en estudio por la Corte Suprema de Justicia de Estados Unidos tienen en común las actividades de ciber-vigilancia por parte de Estados y al software de espionaje “Pegasus”.

La reciente decisión de la Corte Suprema de Justicia de Inglaterra y Gales que reconoció una excepción a la inmunidad soberana, así como el caso en estudio por la Corte Suprema de Justicia de Estados Unidos, tienen en común las actividades de ciber-vigilancia y al fabricante israelí de software de espionaje.

 

  • Sobre la inmunidad soberana de jurisdicción:

 

La inmunidad soberana se evidencia de dos formas, inmunidad de jurisdicción e inmunidad de ejecución. La inmunidad de jurisdicción hace referencia al derecho reconocido a cada Estado de no ser sometido a la potestad jurisdiccional de otro Estado. Tiene fundamento en el principio de igualdad soberana de las naciones, la independencia y la autodeterminación de los pueblos, según la máxima “entre pares no hay actos de imperio”. La inmunidad de jurisdicción es reconocida a los Estados extranjeros, sus representaciones, delegaciones u órganos periféricos o de administración exterior[1].

 

Actualmente se reconoce que la inmunidad de jurisdicción es un principio relativo, cuenta con excepciones o puede renunciarse por las entidades estatales. Ello es resultado de evolución, partiendo de la aproximación a la inmunidad jurisdiccional de los Estados como absoluta. Pero, el incremento de las relaciones comerciales entre los países a través de representaciones, misiones especiales y contratación comercial y de trabajadores generó un cambio de paradigma. Así se realiza una distinción entre actos de imperio (iure imperio) y actos de gestión (iure gestionis).

 

Desde los años 60`s se fueron adoptando excepciones a la inmunidad de jurisdicción a través de textos normativos como los adoptados por EEUU[2], el Reino Unido[3] y Canadá[4]. En escenarios regionales y globales se adoptaron tratados como la Convención Europa sobre Inmunidad del Estado[5], y la Convención de las Naciones Unidas sobre Inmunidades Jurisdiccionales de los Estados[6]. Y los tribunales locales y comunitarios empezaron a construir una jurisprudencia respaldando la inmunidad restringida de los Estados[7].

 

En relación con la Inmunidad de jurisdicción de los Estados, la principal fuente formal aplicada es la costumbre internacional. Y, como ya hemos evidenciado en los párrafos anteriores, han sido adoptadas normas convencionales[8] y de derecho interno. Algunos países no han ratificado convención ni cuentan con una norma interna que regule la inmunidad de los Estados extranjeros[9].

 

La Convención de Naciones Unidas sobre inmunidades jurisdiccionales de los Estados y de sus bienes adoptada en 2004, no está en vigor porque faltan ratificaciones. Sin embargo, responde a un trabajo de análisis de la costumbre internacional, elaborado por la Comisión de Derecho Internacional que codifica en gran medida el derecho internacional consuetudinario. La Convención reconoce escenarios que no se hayan amparados por los beneficios de la inmunidad: 1) actos comerciales, 2) actos que generen daño a la integridad, vida y propiedad 3) relaciones surgidas de contratos de trabajo, 4) actos de propiedad, posesión o uso de la propiedad, 5) propiedad intelectual y propiedad industrial, 6) Participación en compañías o en otro órgano colectivo de decisión, 7) buques de propiedad u operados por el Estado, 8) efectos de un pacto arbitral.

 

 

  • Sobre NSO Group:

 

NSO Group es una empresa israelí que diseña y licencia tecnología de vigilancia. En 2022 ha apelado la decisión de tribunales federales de Estados Unidos que rechazaron la solicitud de reconocimiento como agente de gobierno extranjero para contar con derecho a inmunidad de jurisdicción. Ahora el caso se encuentra en estudio por parte de la Corte Suprema de Estados Unidos.

 

Facebook Inc (ahora Meta Platforms Inc), empresa matriz de WhatsApp presentó demanda contra NSO en octubre de 2019, alegando el uso no autorizado de los servidores de WhatsApp’s para mandar un spyware sofisticado (Pegasus) a aproximadamente 1.400 usuarios de servicio de mensajería, incluidos periodistas, oposición y activistas de derechos humanos. La demanda se basa en la infracción a normas estatales y federales en relación con el fraude y abuso computacional (18 U.S.C. 1030) y la ley de California sobre acceso a la información y fraude (Cal. Penal Code 502). Con la demanda, Meta pretende lograr una orden judicial que bloquee a NSO de las plataformas y servicios de Facebook e indemnización de perjuicios (compensatorios, estatutarios y punitivos).

 

En este contexto, NSO presentó solicitud de reconocimiento de inmunidad de jurisdicción alegando que actúa como agente de gobierno extranjero. Argumenta que el spyware Pegasus ayuda al cumplimiento de la ley y apoya la gestión de las agencias de inteligencia para combatir el crimen y proteger la seguridad nacional.

 

En julio de 2020 el Tribunal de Distrito de Estados Unidos para el Norte de California negó la aplicación de la “conducto-based inmunity”, una doctrina de common-law que protege a oficiales extranjeros actuando en su capacidad oficial. La Corte de Apelaciones del Noveno Circuito de los EEUU (San Francisco) confirmó la decisión de primera instancia en noviembre de 2021. Estimó que la mera licencia de Pegasus y la oferta de apoyo técnico por parte de NSO no lo blinda de responsabilidad bajo la ley federal “Foreing Sovereign Immunities Act – FSIA”, que en este caso se aplicaría de manera prevalente frente a la regla del common law por corresponder a una entidad privada y no a un oficial extranjero (persona natural)[10].

 

En 2022 NSO presentó una solicitud de revisión ante la Corte Suprema de Estados Unidos. La petición se fundamenta, entre otros, en la relevancia para Estados Unidos y otras naciones que entidades privadas puedan buscar inmunidad conforme las reglas del common-law, para que puedan continuar contratando los servicios técnicos en relación con actividades gubernamentales. La solicitud de revisión también propone consultar a la Procuradora General. El pasado junio de 2022 la Corte Suprema solicitó concepto al Departamento de Justicia de Estados Unidos[11].

 

En paralelo a la evaluación del caso en EEUU, respecto de la solicitud de inmunidad soberana de NSO Group en la demanda sobre hackeo de los Usuarios de Whatsapp con el spyware “Pegasus”, en se ha aceptado la excepción a la inmunidad soberana frente a un Estado que utilizó el software malicioso “Pegasus” para propósitos de ciber-vigilancia en territorio del Reino Unido.

 

 

  • Excepción a la inmunidad soberana por uso de spyware

 

El pasado 19 de agosto de 2022 la Corte Suprema de Inglaterra y Gales decidió que Arabia Saudita no es inmune bajo la ley del Reino Unido (UK State Inmmunity Act – SIA) en un caso en el que se alegaba el uso de spyware para infiltrar los teléfonos celulares iPhone de un activista de Derechos Humanos[12].

 

El demandante, Al Masarir, es un satírico y activista de derechos humanos residente en el Reino Unido. Alegaba que el régimen Saudí infectó sus dos iPhones con spyware conocido como “Pegasus”, adquirido de una compañía israelí NSO Group. Afirmó que este spyware habilitaba un acceso no autorizado de información almacenada y comunicada a través de los dispositivos. También alegaba que era perseguido y fue atacado en las calles de Londres por personas que fueron dirigidas o autorizadas por Arabia Saudita. Presentó su demanda por daños por lesiones personales en la forma de lesiones psiquiátricas, resultado del mal uso de información personal, acoso, infracción de bienes y agresión.

 

La SIA reconoce una inmunidad general a los Estados extranjeros frente a la jurisdicción de las cortes inglesas. Sin embargo, la sección 5 de SIA provee la excepción en relación con los procedimientos relacionados con la muerte o lesiones personales o daño o pérdida de propiedad causada por un acto o por omisión en el Reino Unido[13]. Fue con fundamento en esta excepción que el demandante presentó el caso contra Arabia Saudita.

 

El demandado,

 

El Juez Knowles observó que para aplicar la excepción en la sección 5 SIA es suficiente que se realice un acto o una omisión en el Reino Unido, que sea la causante del requisito de daño[14]. Así, rechazó el argumento de Arabia Saudita de interpretar la sección 5 de tal manera que requiere que cada uno de los actos realizados como causa de las lesiones personales deban ocurrir en el Reino Unido[15].

 

El juez anotó que cuando “un dispositivo de computador localizado en el Reino Unido es manipulado y adaptado para realizar operaciones como resultado de las instrucciones electrónicas remitidas de un computador/operador localizado en el extranjero, hay autoridad para proponer que debe ser considerado como un acto dentro del Reino Unido” (traducción propia)[16]. Esta decisión es relevante por cuanto tiene implicaciones para otros individuos dirigidos o hackeados a través de spyware en el Reino Unido[17], y porque abre la posibilidad de usar la excepción de la sección 5 para ejercerla jurisdicción por las Cortes frente a los Estados extranjeros responsables por los actos tales como envenenamiento secuestro que se realice en el territorio del Reino Unido, así haya sido planeado y realizado en el extranjero[18].

 

Tomando en cuenta la evidencia técnica, el juez encontró demostrado el requisito estándar que sus dispositivos iPhone estaban infectados por un spyware, que permitía a Arabia Saudita y/o aquellos respecto de los cuales era vicariamente responsable, monitorear toda actividad realizada por el demandante, y permitía al demandado manipularlo[19]. Además el juez reconoce la historia del demandado en el uso de spyware, incluido Pegasus. Decide reconocer que el juicio continúa.

 

***

 

Estaremos atentos de la resolución de los casos objeto de estudio en el Reino Unido y en los Estados Unidor de América. Reactivan la evaluación del principio de inmunidad soberana de los Estados, ahora, en dimensión con la sociedad de la información, y la responsabilidad del Estado (o actores privados contratados por éste) frente a actividades de ciber-vigilancia. Invitamos a que este debate se replique en los entornos propios de la gobernanza digital.

[1] La inmunidad de jurisdicción también se reconoce a las Organizaciones Internacionales, en la medida que así se establezca en los tratados constitutivos, convenios o acuerdos de sede.

[2] EEUU, Foreign Sovereign Immunities Act, https://www.govinfo.gov/content/pkg/STATUTE-90/pdf/STATUTE-90-Pg2891.pdf;

[3] UK, State Immunity Act – SIA, https://www.legislation.gov.uk/ukpga/1978/33

[4] Colombia. Corte Suprema de Justicia, Sala de Casación Laboral, MP: Clara Cecilia Dueñas Quevedo, rad 72569, https://www.cancilleria.gov.co/sites/default/files/Normograma/docs/csj_scl_al2343_2016_2016.htm

[5] Convención Europea sobre Inmunidad del Estado, 1976, ETS No. 074, vigente con 8 ratificaciones y 1 firma https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=074.

[6] Convención de las Naciones Unidas sobre inmunidades jurisdiccionales de los Estados y de sus bienes, 2004, C.N.141.2005.TREATIES-4, aún no está en vigor, 23 ratificaciones y 5 firmantes sin ratificar, requiere de 30 ratificaciones (art 30), https://treaties.un.org/Pages/ViewDetails.aspx?src=IND&mtdsg_no=III-13&chapter=3&clang=_en.

[7] En términos de la Corte Constitucional Colombiana, la “la interpretación de la inmunidad jurisdiccional como un principio absoluto es insostenible en un Estado Constitucional de Derecho como el colombiano”, porque implicaría excluir lo de la ponderación frente a tensiones que genere con otros principios de la Constitución Política, ver Sentencia  T- 901/13.

[8] Convención de las Naciones Unidas sobre privilegios e inmunidades, 1946;

[9] Panamá, Colombia, Bolivia, Brasil, dominicana, El Salvador, Uruguay, Ver, OEA/Ser.Q, 87 periodo ordinario de sesiones, 2015, para. 29,  http://www.oas.org/es/sla/cji/docs/cji-doc_480-15_rev1.pdf.

[10] United States Court of Appeals for the Ninth Circuit, No. 20-16408, https://cdn.ca9.uscourts.gov/datastore/opinions/2021/11/08/20-16408.pdf

[11] Supreme Court of the United States, NSO Group Technologies Limited, et al., Petitioners v.

WhatsApp Inc., et al, Case Numbers: (20-16408) https://www.supremecourt.gov/search.aspx?filename=/docket/docketfiles/html/public/21-1338.html; Seguimiento de la noticia en prensa, Lawrence Hurley, Reuters, https://www.business-humanrights.org/es/%C3%BAltimas-noticias/usa-supreme-court-asks-justice-departments-view-on-whether-nso-group-has-sovereign-immunity-in-lawsuit-about-hacking-of-whatsapp-users/ [consultado 2022.09.14]

[12] Al-Masarir v Kingdom of Saudi Arabia [2022] EWHC 2199 (QB) (19 August 2022), https://www.judiciary.uk/wp-content/uploads/2022/08/Al-Masarir-v-Kingdom-of-Saudi-Arabia-190822.pdf

[13] UK, State Inmunity Act, https://www.legislation.gov.uk/ukpga/1978/33. Disposición similar se encuentra recogida en el artículo 12 de la Convención de Naciones Unidas sobre inmunidades jurisdiccionales de los Estados y de sus bienes, 2004.

[14] Al-Masarir v Kingdom of Saudi Arabia [2022] EWHC 2199 (QB) (19 August 2022), para. 120.

[15] Ibid, para. 134.

[16] Ibid. Para 132.

[17] High Court rules that a foreign state can be sued for alleged use of spyware, 2022, https://www.twentyessex.com/high-court-rules-that-a-foreign-state-can-be-sued-for-alleged-use-of-spyware/#:~:text=On%2019%20August%202022%2C%20the,a%20prominent%20human%20rights%20activist.

[18] Al-Masarir v Kingdom of Saudi Arabia [2022] EWHC 2199 (QB) (19 August 2022), paras. 1 y 2

[19] Ibid. Paras. 160-103

 

Artículos Recientes