El pasado 22 de junio, medios de prensa informaron que el Ministerio de Hacienda utilizará tecnología de origen israelí para combatir la evasión fiscal, sin que quedara claro si incorporará capacidades de análisis predictivo, procesamiento masivo de datos e inteligencia artificial. Combatir la evasión es un objetivo legítimo y necesario. Pero cuando el Estado adquiere herramientas de esa naturaleza, la ciudadanía tiene derecho a entender qué son y qué reglas las gobiernan.
Con este artículo busco explicar, sin tecnicismos innecesarios, tres conceptos que deberían formar parte de la conversación pública: el perfilamiento algorítmico, el OSINT masivo y las obligaciones que impone nuestra ley de protección de datos.
¿Qué es el perfilamiento algorítmico?
Es el uso de programas informáticos para construir, de forma automatizada, un retrato de una persona a partir de sus datos: sus movimientos financieros, sus patrones de consumo, sus relaciones y su comportamiento digital. El sistema no se limita a describir: predice y clasifica. Asigna puntajes de riesgo (scoring) y puede señalar a una persona como sospechosa de algo que todavía no ha hecho, con base en correlaciones estadísticas.
La diferencia con la fiscalización tradicional es de escala y de lógica: un auditor revisa casos; un algoritmo puede perfilar poblaciones enteras, todo el tiempo, sin que el ciudadano lo sepa. Por eso, las legislaciones modernas exigen garantías especiales cuando hay decisiones automatizadas que afectan a las personas. El riesgo de error, sesgo o discriminación estadística no es teórico: está ampliamente documentado.
¿Qué es el OSINT masivo?
OSINT —inteligencia de fuentes abiertas, por sus siglas en inglés— es la recolección y el análisis de información disponible públicamente. Como disciplina profesional, que ejerzo a diario en investigación forense y antifraude, es una herramienta legítima y valiosa. Pero para entender dónde están los límites conviene distinguir cuatro categorías de datos que suelen mezclarse en la conversación y que jurídicamente son muy distintas:
- Los datos públicos son los de acceso abierto e irrestricto: registros oficiales, publicaciones, gacetas y sitios web.
- Los datos semipúblicos son visibles solo bajo condiciones: perfiles con acceso restringido, foros que exigen registro, bases de datos comerciales o gremiales. Su acceso está mediado por reglas y expectativas de uso.
- Los datos de redes sociales merecen una mención aparte: aunque parezcan públicos, las personas los comparten para un contexto social determinado, no necesariamente para alimentar sistemas estatales de vigilancia. La recolección masiva y automatizada de estos contenidos, conocida como scraping, puede vulnerar esa expectativa razonable de privacidad y también los términos de uso de las plataformas.
- Los registros digitales privados —comunicaciones, información bancaria y transaccional, historiales personales— están fuera del OSINT por definición: su acceso está protegido por el artículo 24 constitucional y exige habilitación legal expresa o autorización jurisdiccional.
La distinción importa porque la protección jurídica aumenta a lo largo de esa escala. Una cosa es la consulta puntual de fuentes abiertas en una investigación concreta y otra muy distinta la ingesta masiva y permanente de datos de la población para alimentar sistemas de perfilamiento, especialmente cuando se mezclan fuentes abiertas, datos semipúblicos y registros protegidos.
Que un dato sea accesible no significa que el Estado pueda recolectarlo, cruzarlo y almacenarlo indefinidamente sin reglas: la agregación cambia la naturaleza de la información. Mil datos triviales, cruzados entre sí, pueden producir un retrato íntimo.
¿Qué exige la ley costarricense?
Costa Rica cuenta desde 2011 con la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley 8968) y con jurisprudencia constitucional que reconoce la autodeterminación informativa como derecho fundamental: el derecho de cada persona a saber quién trata sus datos, para qué y con qué límites.
De ese marco derivan preguntas concretas que aplican a cualquier sistema estatal de tratamiento masivo de datos: ¿bajo qué norma habilitante opera? ¿Se evaluó su impacto sobre la privacidad antes de implementarlo, lo que la práctica internacional denomina Evaluación de Impacto en la Protección de Datos (EIPD)? ¿Dónde se almacenan los datos y quién puede acceder a ellos? ¿Se transfieren a servidores fuera del país, bajo jurisdicciones ajenas? ¿Con qué otras instituciones se comparte la información?
Ninguna de estas preguntas cuestiona la potestad del Estado de fiscalizar. Al contrario: un sistema que opera con marco legal claro, evaluación de impacto y controles de acceso es un sistema más defendible, cuyos hallazgos resisten mejor el escrutinio judicial. La opacidad, en cambio, debilita jurídicamente lo que el sistema produzca y erosiona la confianza pública que la administración tributaria necesita.
El derecho a preguntar y a recibir respuesta
Nuestra Constitución garantiza el derecho de petición y el acceso a la información pública, en sus artículos 27 y 30, y la jurisprudencia de la Sala Constitucional ha sostenido de forma reiterada que, en la administración pública, el acceso es la regla y el secreto la excepción.
Como ciudadano y perito informático, el 25 de junio presenté ante el Ministerio de Hacienda una solicitud formal con estas mismas preguntas. Al no recibir respuesta dentro del plazo constitucional, interpuse un recurso de amparo que actualmente tramita la Sala Constitucional. No corresponde adelantar aquí lo que resolverá la Sala. El punto de este artículo es anterior y más importante: que estas preguntas existen, que la ley obliga a responderlas y que cualquier habitante de la República puede formularlas.
La inteligencia artificial aplicada a la función pública llegó para quedarse y, bien gobernada, puede ser una aliada del interés general. La condición es que opere a la vista: con normas claras, evaluaciones previas y rendición de cuentas. La velocidad de los algoritmos no puede ser excusa para la lentitud de la transparencia. Un contribuyente no es un conjunto de datos a perfilar; es un ciudadano con derechos, y el primero de ellos es saber.
