La UE necesita una regulación más estricta de la industria del spyware, dijo un comité especial del Parlamento Europeo, después de concluir que Hungría y Polonia habían usado software de vigilancia para monitorear ilegalmente a periodistas, políticos y activistas.
Un comité especial del Parlamento Europeo votó el lunes a favor de una prohibición temporal de la venta, adquisición y uso de spyware mientras el bloque elabora estándares comunes de la UE basados en el derecho internacional. La moratoria se levantaría solo bajo condiciones estrictas, incluidas investigaciones independientes sobre el abuso de spyware en la UE.
Aunque no vinculante, la votación es una de las respuestas más completas de los legisladores hasta el momento al proyecto Pegasus, las revelaciones de un consorcio de periodistas de que los gobiernos estaban usando un poderoso software espía para apuntar a opositores nacionales, políticos extranjeros y reporteros de investigación.
El informe encontró que los gobiernos nacionalistas de Hungría y Polonia habían «debilitado y eliminado» las protecciones contra el spyware, «dejando efectivamente a las víctimas sin ningún remedio significativo».
Los eurodiputados también plantearon preguntas sobre el uso del software espía en España y Grecia, al tiempo que expresaron su preocupación porque muchos estados miembros de la UE habían creado un «refugio seguro para la industria del software espía, a menudo en violación de las leyes y estándares de la unión».
La autora principal del informe, la eurodiputada centrista holandesa Sophie in ‘t Veld, dijo que todos los estados miembros eran culpables de guardar silencio sobre el tema. En una entrevista con The Guardian antes de la votación, dijo que los líderes de la UE no habían hecho que Hungría, Polonia y otros estados rindieran cuentas sobre el software espía. “Lo que está pasando aquí no es un problema técnico. Es tan básico: oposición, escrutinio, crítica, disidencia. Estos son elementos vitales de una democracia. Y están siendo estrangulados, y todo el mundo está callado al respecto. Lo encuentro impactante”.
El veterano eurodiputado acusó a los gobiernos nacionales de “esconderse tras el argumento” de que la seguridad nacional no es competencia de la UE. “Bien puede decirse en los tratados que la seguridad nacional es una competencia nacional, pero eso no es un cheque en blanco para violar los derechos de nuestros ciudadanos o destruir la democracia”.
También destacó cómo los gobiernos de la UE parecen haber otorgado licencias de exportación, lo que permite a las empresas de spyware vender sus productos a regímenes represivos, a pesar de las leyes de la UE contra dicho comercio. Según su informe, se decía que una empresa con sede en Grecia exportaba sus productos a Sudán, Bangladesh, Madagascar y al menos un país árabe, mientras que en Francia se procesaba a dos empresas por exportar tecnología de vigilancia a Libia, Egipto y Arabia Saudita.
En su resolución, el comité de Pegasus dijo que tales acciones eran «una violación grave de los derechos fundamentales» y una «violación grave» de las normas de exportación de la UE, a saber, la «regulación de doble uso», que prohíbe la venta de productos que pueden ser utilizados por regímenes autoritarios para reprimir a su propio pueblo.
El problema, argumentó In ‘t Veld, fue que la Comisión Europea no hizo cumplir la ley de la UE, al no hacer preguntas ni llevar a los tribunales a los estados miembros que infringieron las reglas. “Esta es una ilustración perfecta de cómo la Comisión Europea tiene tanto miedo de enojar a los gobiernos nacionales que simplemente se niega a hacer cumplir”, dijo, reflejando su crítica de larga data de que los gobiernos nacionales tienen demasiada influencia en el funcionamiento de la UE.
La resolución de los eurodiputados también concluyó que el servicio exterior de la UE, el Servicio Europeo de Acción Exterior, fue culpable de violar la ley de la UE y de mala administración al ayudar a los países de la región del Sahel a desarrollar capacidades de vigilancia.
Se espera que las recomendaciones del comité, que fueron aprobadas con 30 votos a favor, cinco en contra y dos abstenciones, sean aprobadas por el Parlamento Europeo en pleno en junio.
El informe final y la lista de recomendaciones siguen a una investigación de un año por parte del comité, que se creó después de que 80 periodistas, que trabajaban con el grupo francés sin fines de lucro Forbidden Stories, revelaran que los gobiernos que habían comprado Pegasus estaban atacando a políticos y activistas. spyware de la firma israelí NSO Group.
El spyware convierte efectivamente los teléfonos de las personas en dispositivos de vigilancia sin su conocimiento, copiando mensajes, recopilando fotos y grabando llamadas.
The Guardian y otros miembros del consorcio descubrieron que el presidente francés, Emmanuel Macron, y casi todo su gabinete estaban en una lista filtrada, lo que sugiere que eran de interés para los clientes de NSO.
En el momento de las revelaciones, NSO Group dijo que el consorcio había hecho “suposiciones incorrectas” sobre los clientes que usaban su tecnología. En diciembre de 2021 prometió emprender acciones legales contra los clientes que “hagan mal uso” de su tecnología.
En el período previo a la votación del lunes, las secciones más reñidas del informe se centraron en Grecia y España. Ambos gobiernos se enfrentan a interrogantes sobre el uso de software espía, pero cuentan con un fuerte apoyo dentro del Parlamento Europeo.
El primer ministro griego, Kyriakos Mitsotakis, ha confirmado que el líder de la oposición, Nikos Androulakis, fue atacado por spyware, lo que describió como un error que nunca debería haber ocurrido. Un primer borrador de la resolución de los eurodiputados decía que era «altamente probable» que Predator, una alternativa más barata a Pegasus, hubiera sido «utilizado por o en nombre de personas muy cercanas a la oficina del primer ministro».
Mitsotakis es miembro del Partido Popular Europeo de centro-derecha, que es el grupo más grande en el Parlamento Europeo, aunque el grupo no tiene una mayoría.
En España, los jueces están lidiando con dos escándalos de spyware: el presunto ataque por parte de Marruecos, negado rotundamente, del primer ministro socialista de España, Pedro Sánchez, y uno de sus ministros, así como la vigilancia por parte de Madrid de decenas de líderes independentistas catalanes.
Según la resolución de los eurodiputados, se cree que 65 políticos, abogados y activistas catalanes han sido víctimas de spyware. Las autoridades españolas admitieron haber atacado a 18 de los 65 con autorización judicial, pero se negaron a proporcionar información sobre el resto, citando preocupaciones de seguridad nacional.
España tenía “sobre el papel, la mayoría de las salvaguardias necesarias”, dijo In ‘t Veld, pero en la práctica, los objetivos del software espía tenían dificultades para llevar los casos ante los tribunales.
Basándose en sus conversaciones con fuentes españolas, la eurodiputada predijo que la investigación española sobre el espionaje de Marruecos sería ocultada porque era “demasiado incómoda para las relaciones diplomáticas”.
En una declaración posterior a la votación, In ‘t Veld dijo que el trabajo del parlamento no había terminado: “Ni una sola víctima de abuso de spyware ha recibido justicia. Ningún gobierno realmente ha tenido que rendir cuentas”.