El proyecto de Repositorio Único de Rastreo e Identificación y nuestras debilidades sistémicas en el ámbito de la protección de datos personales

El proyecto de ley 21.321 (Ley de Repositorio Único Nacional para fortalecer las capacidades de rastreo e identificación de personas), que actualmente se discute en la corriente legislativa, despierta una latente y generalizada incertidumbre, que se basa en dos condiciones: en primer lugar, por la flagrante arbitrariedad con que se manejó el tema de la Unidad Presidencial de Análisis de Datos (UPAD) y, en segundo lugar, por la natural relevancia y sensibilidad que comporta el tema del acceso, producción y manipulación de datos personales.

El proyecto plantea la creación de un instituto denominado Plataforma Nacional de Identificación Biométrica (PNIB), la cual almacenará en un único repositorio nacional, la información biométrica de todos los costarricenses mayores de doce años y los extranjeros que ingresen y residan de manera temporal o permanente en el país.

Concomitantemente, con las prerrogativas asociadas a la implementación de la plataforma, se adjudica la competencia exclusiva de la PNIB, al Tribunal Supremo de Elecciones (TSE) a través de la Dirección General de Estrategia Tecnológica. El texto permite que tanto instituciones del aparato estatal como del sector privado, puedan adquirir discrecionalmente la información personal de todos los costarricenses, contenida en la plataforma, so previo pago de una tarifa fijada por el mismo Tribunal, que sostendrá el fondo específico para el financiamiento y modernización de la PNIB.

El TSE, debido a sus funciones, es un natural receptor de datos personales, los cuales, en concordancia con el artículo 24 del Código Electoral, pueden ser vendidos a sujetos de derecho público o privado. Esta situación, con independencia de sus prerrogativas como poder de la república, parece entrar en pugna (que raya en la inconstitucionalidad) con los principios de autodeterminación informativa y, en especial, con el principio de consentimiento informado, sobre todo cuando ocurre la transmisión y venta de la información en el sector privado.

En el Reglamento de la Unión Europea 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD-UE), se entiende que un dato biométrico es aquel dato personal obtenido a partir de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Este instrumento, a diferencia del propuesto en la corriente legislativa, reconoce la sensibilidad de la manipulación de datos personales y las posibles implicaciones en el ámbito de la eficacia de las actuaciones personalísimas, en el ámbito electoral y, con mayor gravedad, hasta de perfilamiento de personas y cualquier aplicación privada.

Ese reglamento reconoce algunos presupuestos clave ante la institucionalización del tratamiento de datos personales como lo son la garantía de cifrado, seudonimización y protección,  así como los mecanismos de control, competencia de una autoridad especializada denominada “Autoridad de Control”, que está en directa comunicación con los estados participantes de la Unión, principios ordenadores y protocolos de implementación, a los efectos de garantizar un uso adecuado de los datos; todo ello en el marco de promoción de la eficiencia del aparato estatal y nunca bajo esquema privado de comercialización.

En nuestro país, el precedente normativo para el tratamiento de datos personales, está definido por la Ley 8969 (Ley de Protección de la Persona frente al tratamiento de datos personales) y su respectivo reglamento, que tiene como objeto garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Dicha ley, así como su reglamentación, incluye varios estadios de protección de los datos: un primer estadio basado en donde se clasifican de los datos en sensibles o personales, otorgando mayor o menor restricción según el acceso por parte de terceros; un segundo estadio, sobre las indicaciones que los responsables de las bases de datos, deben de seguir para garantizar la seguridad de los datos de carácter personal; y un tercer estadio relativo a los protocolos de actuación internos para las personas físicas y jurídicas, públicas o privadas, que deben encontrarse inscritos ante la Agencia de Protección de Datos de los Habitantes (Prodhab, una especie de ombudsman para la protección de datos) para que esta verifique el cumplimiento de los estándares mismos según que dispone el reglamento.

Una de las falencias de este esquema de protección, es que no establece un factor limitante sobre la cantidad de datos a procesar, como sí lo hace la RGPD-UE que establece que el procesamiento de datos debe darse sobre la menor cantidad posible. Esto supone un riesgo porque a mayor consumo de datos (suponiendo que este está poco optimizado), mayor será la cantidad de data que pueda ser substraída en caso de que haya una vulneración.

Asimismo, la Ley 8969 no presenta una regulación explícita a los datos biométricos y la RGPD-UE lo contempla, pero como una “categoría especial de dato personal” con una serie de condiciones que deben acatarse para su uso. Es así necesario, su inclusión específica dentro del cuerpo legal vigente, dado a que el dato biométrico presenta la particularidad de ser inmodificable, es unívoca a la persona natural, como lo es por ejemplo la huella dactilar. Por tanto, en caso de que un sistema que contenga esta clase de información sea comprometido por un ataque informático, no hay forma de modificar la data para que se mantenga la continuidad del acceso del usuario (como si ocurre con una contraseña), sino que la capacidad de acceso al sistema por vía identificación biométrica debería ser eliminado para el usuario vulnerado.

Ese es, precisamente, el mayor problema de las tecnologías de autenticación biométrica: una vez que el dato biométrico ha sido comprometido, no hay forma de deshacer el daño, no hay reparación subsidiaria que valga. Pensemos en las consecuencias de carácter patrimonial para las personas usuarias vulneradas y para el Estado en su función de autoridad competente, que podría ser responsabilizado patrimonialmente debido al riesgo creado.

Las implicaciones de una vulneración en la seguridad de este tipo de datos son dantescas, el año pasado el sistema de Biostar II de Suprema (con 5700 clientes alrededor del mundo) exhibió una vulnerabilidad en una base de datos sin cifrar en donde se encontraban nombres, contraseñas, fotografías, información de reconocimiento facial y huellas dactilares, en texto plano: un millón de datos biométricos sin cifrar que colocaron en una posición de vulnerabilidad irrecuperable, de por vida, a sus clientes.

Pero ante todo esto ¿cuáles pueden ser los alcances de un mal uso o abuso en el tratamiento de los datos personales? Pues precisamente estos alcances quedan circunscritos al amplísimo ámbito de sus aplicaciones: actualmente son las mismas instituciones del aparato estatal las principales consumidoras de datos biométricos, en aplicaciones forenses como la perfilación inductiva o en la administración del tránsito de personas (pasaportes biométricos). Pero también en el ámbito comercial, en el que se desarrollan proyectos como el monitoreo de la salud (vacunación) y en el sector financiero y bancario.

El tema subyacente en el proyecto no es menor. Es necesario legislar en favor de devolver al ciudadano el control de sus datos personales, de forma integral, con disposiciones que comprendan el derecho al olvido, mediante la rectificación o supresión de datos personales; la necesidad de consentimiento claro y afirmativo de la persona concernida al tratamiento de sus datos personales; la portabilidad o el derecho a trasladar los datos a otro proveedor de servicios; el derecho a ser informado si los datos personales han sido pirateados; lenguaje claro y comprensible sobre las cláusulas de privacidad, y multas. Súmese a esto que en Costa Rica todavía hay una cultura digital deficiente, que se ve plasmado en números cada vez mayores de estafas y ataques informáticos.

Pero, sobre todo, ante el inminente advenimiento de las apetencias por datos personales en general, incluso menester, concomitantemente con el proceso de modernización, la creación de una jurisdicción especializada para la protección de las categorías de datos personales, a los efectos de que la ya de por si susceptible protección de la información personal, se vea garantizada por un procedimiento judicial, promovido a petición de parte y no oficioso y administrativo solamente, como sí sucede en muchas legislaciones domésticas europeas; en función de otorgar mejores garantías de libertad al individuo sobre sus propios datos personales.

Este artículo representa el criterio de quien lo firma. Los artículos de opinión publicados no reflejan necesariamente la posición editorial de este medio. Delfino.CR es un medio independiente, abierto a la opinión de sus lectores. Si desea publicar en Teclado Abierto, consulte nuestra guía para averiguar cómo hacerlo.