La Defensoría de los Habitantes afirmó este viernes que la Unidad Presidencial de Análisis de Datos (UPAD) tuvo acceso a "datos sensibles" de la ciudadanía a través del Sistema Único de Beneficiarios del Estado (SINIRUBE).

Catalina Crespo, jerarca de la institución, presentó esta noche los resultados de la investigación que la Defensoría realizó esta semana luego que estallara la polémica por la creación de esta unidad.

La conclusión más significativa fue que, a partir del uso del SINIRUBE, sí se tuvo acceso a datos sensibles (como enfermedades o condición socioeconómica), los cuales fueron obtenidos a través de convenios que autorizaban conexión directa a las mencionadas bases. Ante ello, la Defensoria instó a que se dejen sin efecto los convenios suscritos entre la Presidencia de la República y las instituciones a las que se les requirió información.

Otros de los riesgos generados por la operación del equipo, según la institución, incluyen la ausencia de análisis de riesgos en protección de datos incluyendo protocolos de actuación, de seguridad, custodia de los datos, protocolo de identificación y manejo, los cuales permiten que un habitante, al sentirse afectado por el uso de sus datos personales, ejerza los derechos de acceso, rectificación, cancelación y oposición.

Asimismo, citó que de los hallazgos de la investigación, se determina la necesidad de conocer qué otra información estaba en la computadora utilizada por el equipo y la naturaleza de la misma, sin embargo, corresponderá a la Fiscalía determinar el uso o no de dichos datos.

De acuerdo con la Defensoría, el decreto que creó la UPAD era contrario al ordenamiento jurídico al no cumplir con el procedimiento, ya que careció de estudios técnicos y consulta experta en materia de protección de datos, y cuestionó que no se hiciera referencia a protocolos de actuación conforme a la Ley de Protección de Datos que incluyen identificación de datos, seguridad y custodia de los datos obtenidos.

La institución también cuestionó que el decreto no incluyera dentro de los profesionales que integrarían la unidad a una persona experta en protección de datos o ciberseguridad y determinó que el equipo de asesores que trabajó en el análisis de datos durante 18 meses en Casa Presidencial, realizó sus funciones sin respaldo legal que justificara sus alcances, limitaciones y responsabilidades.

Dicho equipo no contaba con los recursos tecnológicos y de infraestructura requeridos para desempeñar las mencionadas labores de conformidad con lo establecido en la Ley de Proteccion de Datos, No. 8968, lo cual los convertía en un equipo de hecho y no de derecho.

Otra de las críticas es que en el manejo y análisis de datos se requiere de personal técnico jurídico especializado, pero quienes estaban realizando dicha labor eran asesores presidenciales sin especialización.

"Las competencias y responsabilidades en las funciones propias y ordinarias de un asesor presidencial difieren de las correspondientes a una persona que se avoque a la gestión y administración de bases de datos. No resulta ni conveniente, ni apropiado, que asesores de un Despacho Presidencial, sin importar la formación que tengan, sean quienes estén gestionando bases de datos, siendo necesario personal técnico-jurídico dedicado a dicha misión", afirmó Crespo.

La Defensoría no hará público el documento de su investigación hasta que haya hecho entrega del mismo al Ministerio Público.