De acuerdo con la asociación R3D, cualquier política de ciberseguridad debe estar centrada en las personas y en la protección de los derechos humanos. Por lo que estos especialistas proponen los siguientes principios para lograr este objetivo:
Derechos humanos como eje rector
Las políticas de ciberseguridad deben tener como objetivo principal el proteger y garantizar el ejercicio de derechos humanos. Igualmente, las políticas de ciberseguridad deben descansar sobre principios de transparencia y rendición de cuentas.
Participación multiactor
Los planes, políticas y estrategias de ciberseguridad deben ser construidas, implementadas y evaluadas a través de mecanismos de participación que incluyan a todas las partes interesadas, incluyendo a gobierno, sector privado, sociedad civil, academia y comunidad técnica.
Controles democráticos a la vigilancia
Las facultades de vigilancia e intervención de comunicaciones privadas pueden representar graves riesgos de abuso a la privacidad y seguridad de las personas. Por ello, estas facultades deben estar estrictamente reguladas a la luz de los estándares internacionales de derechos humanos, de manera que sean llevadas a cabo de acuerdo con la ley, a los principios de necesidad y proporcionalidad, de manera focalizada, es decir, no masiva, así como con mecanismos de control, transparencia y rendición de cuentas efectivos.
Defensa y fortalecimiento del cifrado
El cifrado es una herramienta indispensable para la seguridad, la confianza y la integridad de las tecnologías de la información y la comunicación. El Estado debe promover el mejoramiento y adopción del cifrado, como medida para mitigar riesgos y fortalecer la ciberseguridad.
Progresividad de la reducción de vulnerabilidades
Las políticas de ciberseguridad diseñadas e implementadas por el Estado deben contribuir a la disminución de riesgos y vulnerabilidades. Los Estados deben establecer mecanismos transparentes de revelación responsable de vulnerabilidades no conocidas en sistemas y tecnologías de la información.
Minimización de recolección y almacenamiento de datos
Los Estados deben abstenerse de establecer obligaciones de recolección y almacenamiento masivo e indiscriminado de datos. Los Estados deben privilegiar la utilización de órdenes de conservación focalizadas que respeten los principios de necesidad y proporcionalidad.
Disponibilidad de Internet y protección del flujo informativo
Los Estados deben evitar adoptar políticas que interrumpan la disponibilidad de los servicios de telecomunicaciones, incluyendo el servicio de acceso a Internet, igualmente, deben abstenerse de implementar medidas que establezcan o permitan el filtrado masivo de expresiones en línea u otras medidas de censura.
Protección de los derechos humanos frente a acciones u omisiones de actores privados
Los Estados deben adoptar regulación y establecer mecanismos institucionales eficaces para garantizar el respeto a los derechos humanos por parte de los actores privados que cumplen el rol de intermediarios en Internet. Deben garantizar la protección de datos personales, el respeto a la libertad de expresión, la neutralidad de la red, la competencia, la protección a los usuarios, etcétera.
Protección de los derechos humanos frente a acciones u omisiones de actores privados
Al legislar en materia de delitos informáticos, el Estado debe definir tipos penales de manera clara, precisa, detallada y acotada, de manera que se evite la existencia de múltiples tipos penales respecto de conductas ya tipificadas; la criminalización de tecnologías específicas; la criminalización de usos legítimos de tecnologías.