Adalid Medrano


Abogado especialista en Delitos Informáticos y Ciberseguridad

Browsing Category:

Protección de Datos Personales

¿El gobierno crea una unidad de vigilancia ciudadana?

La toma de decisiones basada en datos es el futuro.

Hoy surge una noticia que levanta las alarmas de muchos especialistas en derecho informático, prensa y ciudadanía.

El gobierno anunció la creación de «Unidad Presidencial de Análisis de Datos«, a través del decreto Nº 41996-MP-MIDEPLAN (Pocas horas después derogó el decreto) ,que en apariencia cualquier persona estudiosa de las ciencia de los datos le parecerá una excelente noticia, que más bien se había durado mucho en implementar.

Meses atrás en el Colegio de Abogados y Abogadas, expuse sobre Big data y la protección de datos personales en la administración pública, desde una perspectiva positiva, ya que es una excelente herramienta si la ciberseguridad y protección de los datos personales son el eje central de la función. Dentro del contexto de la charla, se encontraba el análisis del Expediente Único de Salud (EDUS) y todos los datos estadísticos que pueden manejarse para mejorar la toma de decisiones en la CCSS. Es un excelente ejemplo dentro de la administración del uso de datos estadísticos para mejorar la toma de decisiones.

Sin embargo, esta unidad presidencial tal como estaba descrita en el dereto derogado, luce como un troyano que buscaba hacerse con la posesión de los datos personales de los costarricenses, ya que en su artículo 7 establecía una obligación de acceso a la obligación por parte de UPAD:

Artículo 7º. -Obligación de acceso a la información. 

Para el cumplimiento de las atribuciones constitucionales y legales del Presidente de la República, las instituciones de la Administración Pública Central y Descentralizada deberán permitir el acceso a toda información que sea requerida por parte de la UPAD para el cumplimiento de sus fines y objetivos, salvo aquellos casos particulares donde la información sea considerada como secreto de Estado. Para ello, se le facilitará los accesos a los datos o brindarán los insumos de información de forma oportuna y en formatos que permitan su análisis y procesamiento estadístico, cumpliendo todos los estándares para una adecuada gestión de la información, de forma que se garantice la integridad, confiabilidad y seguridad de los datos.

En cumplimiento de los incisos e) y f) del artículo 8º de la Ley de Protección de la Persona frente al tratamiento de sus datos personales, Ley Nº 8968, también se brindará acceso a la UPAD a información de carácter confidencial con la que cuenten las instituciones públicas cuando así se requiera. Dicha información mantendrá en todo momento su carácter confidencial, independientemente del acceso que se le brinde a la UPAD. En estos casos, la UPAD y las instituciones deberán establecer acuerdos de gobernanza para garantizar un uso responsable y coherente de los datos que beneficie a los ciudadanos y fortalezca la confianza pública

El DECRETO DEROGADO DE UPAD LEGALIZABA LA VIGILANCIA.

Debo reconocer que cuando escribí los artículos denunciando el debilitamiento de Prodhab y el peligro de un gobierno vigilante, no tenía conocimiento del decreto Nº 41996-MP-MIDEPLAN, porque ya leyéndolo me cuesta creer la casualidad de los hechos.

También me llama la atención que en noviembre del 2018, el gobierno de don Carlos Alvarado, hizo una alianza entre presidencia y PRODHAB, firmaron un convenio para unir esfuerzos en estas dos agendas:

«El Ministro de Comunicación, Juan Carlos Mendoza García, y la Directora de la Agencia de Protección de Datos (Prodhab), Ana Karen Cortés Víquez, firmaron un convenio de cooperación para impulsar, de forma conjunta, las agendas de gobierno abierto y de protección de datos de los habitantes

Esta alianza no representaría ningún problema si la PRODHAB hiciera un trabajo proactivo en la protección de los datos personales, pero como lo indiqué en el artículo anterior, con esta administración PRODHAD luce más débil y ante esta crisis salió en defensa del decreto, no de los datos de los habitantes (Una vez derogado el decreto, dejó su comunicado en defensa del gobierno, sin efecto.)

Tanta lealtad hacia el presidente es preocupante, más cuando es en esta administración donde se decide aplicar el derecho al olvido para borrar noticias de prensa, lo que también es preocupante, pecando la PRODHAB ya no por inacción, sino con violación de derechos fundamentales con resoluciones mal fundamentadas.

Si le sumamos los proyectos que cada vez tratan más datos personales, es preocupante que este gobierno buscara concentrar en una UNIDAD todos los datos personales, confidenciales o no de los costarricenses.

Excepciones al derecho de autodeterminación informativa.

El gobierno busca justificar su accionar en el artículo 8 de la ley, que regula las excepciones al derecho de autodeterminación informativa de los costarricenses.

ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano.

Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:

a) La seguridad del Estado.

b) La seguridad y el ejercicio de la autoridad pública.

c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.

e) La adecuada prestación de servicios públicos.

f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.

Sin embargo, es claro que un requerimiento de datos confidenciales, no parece justo, ni razonable, ni adecuada al fin para el que fueron recolectados. Al mismo tiempo, de acuerdo al artículo 9, de la ley № 8968 tampoco podrían requerir datos sensibles, ni por supuesto hacer una transferencia de datos sin el consentimiento informado.

La ley deja claro que la transferencia de datos que solicitaba Presidencia solo se puede hacer con el consentimiento de los ciudadanos y en respeto de los principios de la ley.


ARTÍCULO 14.- Transferencia de datos personales, regla general

Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

En otras palabras, para transferir los datos personales de una institución estatal a otra, solo se puede realizar con el consentimiento del titular o por una disposición legal que lo habilites. Además, los datos solo pueden ser recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.

CÓMO DEBE EJECUTARSE DICHA UNIDAD.

Presidencia, sin embargo, sí podría requerir que las instituciones públicas anonimicen los datos, los conviertan en datos estadísticos y así ellos podrían tratarlos sin posibilidad de violentar los derechos fundamentales de los costarricenses.

Resulta muy diferente, a tener una unidad que recopila datos personales, los convierte en datos estadísticos y le brinda acceso del dato personal, confidencial o no, a Casa Presidencial.

DATOS PERSONALES COMO HERRAMIENTA POLÍTICA.

Resulta preocupante que en un Ministerio de Presidencia pudiese utilizar estos datos para atacar a adversarios políticos, disidentes o cualquiera otra persona con fines políticos.

No nos olvidemos que se quiere levantar el secreto bancario, se está utilizando el reconocimiento facial en vez de la cédula en ciertas instituciones, se instalarán cámaras que podrán dar seguimiento a la ruta de un vehículo y los proyectos de video-vigilancia con reconocimiento facial y de placas en municipalidades.

¿Qué se puede hacer con toda esa información con fines políticos?

Desde doxing (publicación de datos personales confidenciales en redes sociales en venganza) hasta manipulación de los adversarios con medidas extorsivas.

Y uno nada más esperaría que la CCSS se oponga a colaborar con datos sensibles del expediente digital.

¿Y la PRODHAB protestará o se mantendrá un silencio?

**Actualizado a las 8:21 PM

El peligro de un gobierno vigilante.

Como parte de la transformación digital que estamos viviendo, es normal que cada vez el Estado costarricense esté proyectando una mayor recopilación y tratamiento de datos personales de los habitantes. 

El tratamiento de datos personales a nivel gubernamental no debe satanizarse, sin embargo, sí tenemos que ser vigilantes que se haga de forma lícita, segura, leal, transparente y adecuadas a un fin específico

Acelerar en la adopción de sistemas de reconocimiento facial o aumentar el tratamiento de datos personales sin hacer una adecuada discusión a nivel nacional puede resultar contraproducente para el futuro de la sociedad.  Podríamos convertir, sin querer, a Costa Rica en una mina de datos que le pueden permitir a cualquier país extranjero convertirlo en un espacio para el espionaje mundial -dirigido a nacionales o extranjeros- o inclusive facilitar la represión de opositores, a través de la vigilancia permanente, para un futuro gobierno autoritario. 

Debate mundial sobre videovigilancia con reconocimiento facial.

Mapa de uso reconocimiento facial en Estados Unidos (Fuente: Fight for the future)

Estados Unidos es un país donde se usa este tipo de tecnologías por las fuerzas públicas con el fin de ayudar en la lucha contra el crimen, sin embargo, se ha presentado oposición ciudadana, tanto por los sesgos raciales y de género, como también por la creación de una infraestructura de vigilancia donde no hay suficiente transparencia sobre el uso que se le puede dar a este tipo de tecnologías.

Los senadores estadounidenses han presentado un proyecto de ley donde se propone se posponga la utilización de tecnologías de reconocimiento facial hasta que no exista una ley federal que regule su uso, ya que en la actualidad ni siquiera hay consenso sobre las buenas prácticas que deben seguirse en el uso de estas tecnologías. Sin embargo, la prohibición podrá levantarse, si se requiere por parte de la policía, bajo autorización judicial.

En Europa, se está discutiendo también sobre un veto de cinco años para el uso de sistemas de reconocimiento facial, el cual se presentará el próximo 19 de febrero. En un borrador filtrado a Reuters, se entiende que la Unión Europea no llegue a vetar los sistemas de reconocimiento facial, pero sí establecer límites a dicha tecnología. Sobre este tema, Margrethe Vestager, vicepresidenta de la Comisión Europea y comisaria de Competencia, indicó lo siguiente:

«los sistemas de inteligencia artificial pueden ser una “caja negra”, de forma que no se pueda comprobar si utilizan datos sesgados y poder hacer frente a las respuestas que producen. Por ello, “siempre deben ser las personas, no los ordenadores, las que estén, en última instancia, a cargo de las decisiones que afectan a nuestras oportunidades y a nuestra libertad”. Fuente: Computer World.

Sistemas de videovigilancia en una ciudad

En China, ya cuentan con con más de 170 millones de cámaras con sistemas de reconocimiento facial (se estima que se instalarán 400 millones más en los próximos tres años), y el gobierno tiene la capacidad de identificar a un ciudadano en un tiempo menor a los 7 minutos, en China continental. Lo más grave es el sistema de crédito social, donde las personas pueden tener consecuencias en su vida diaria, como no poder usar el transporte público, si se detecta que no tienen una buena calificación.

Costa Rica puede convertirse en un gobierno vigilante

En nuestro país hay muchas iniciativas que «sin querer» podrían estar dando pasos agigantados hacia la construcción de una infraestructura de vigilancia ciudadana que mal utilizadas, en un futuro, podrían darle mucho poder a un gobierno autoritario.  

Todo aumento en el tratamiento de datos personales por parte del Estado debería acompañarse de esfuerzos para el fortalecimiento de las instituciones del Estado que ayudan a fortalecer la ciberseguridad:

1. CSIRT-CR: el Centro de Respuesta de Incidentes de Seguridad Informática, que fue creado a finales del 2012, en todos estos años, con ojos externos no percibimos  síntomas de fortalecimiento y ni siquiera muestra capacidades de retención de talentos cuya formación le ha costado al país. Me consta que históricamente los funcionarios a cargo han mostrado muy buena voluntad, pero desde mi lente no veo real voluntad política para darles armas para que hagan su trabajo. 

2. PRODHAB: a pesar de que debería fiscalizar las bases de datos personales del Estado, promover las buenas prácticas en la protección de los datos y el cumplimiento de la ley, como lo indicaba en el artículo anterior, no pareciera tampoco que hasta la fecha se hayan hecho esfuerzos por fortalecerla.  Por ejemplo, resulta increíble cómo la agencia «temporalmente» lleva meses usando un correo de gmail para comunicaciones oficiales y su sitio web no cuenta con un certificado digital (SSL), lo que en ambos casos representa riesgo de suplantación de identidad. 

Construyendo una estrategia de privacidad. 

Con el fin de cumplir requisitos e ingresar a OCDE,  a través de la PRODHAB, el presente gobierno está creando una Estrategia de Privacidad, donde entiendo que paralelamente se presentará un proyecto de ley sobre protección de datos personales, cuya discusión no debería tomarse a la ligera, debido a los grandes avances en más recopilación de datos por parte del gobierno que deberían tener mayores controles.

Los proyectos que más me levantan las alarmas a nivel de privacidad ciudadana, a pesar de que estoy seguro que sus objetivos son nobles, son los siguientes:

1. Sistema de identificación digital: un proyecto con indudables beneficios para la ciudadanía, pero que también abre las puertas para un riesgo para la privacidad de los ciudadanos. La existencia de una base de datos electrónica a través de la cual una persona, legal o ilegalmente, podría consultar cuál ha sido el paso de ciertos ciudadanos en instituciones públicas, genera serias dudas que deberían haberse discutido a nivel nacional antes de su implementación. Ya lo están usando para identificar visitantes en el Ministerio de Hacienda, Poder Judicial e inicia su uso en la CCSS.

Preguntas abiertas:

a- ¿Cuál es el fundamento legal para esa recopilación sin consentimiento informado a través de sistemas de reconocimiento facial? ¿Se pueden tratar datos personales sensibles por el gobierno? (Ver artículos 5, 8 y 9 de la ley № 8968 )

b- ¿Cuál es la posición de la PRODHAB con respecto a este tema? ¿Ha fiscalizado que se cumpla el marco jurídico sobre protección de datos personales?

2. Levantamiento administrativo del secreto bancario: el Ministerio de Hacienda requiere se hagan reformas legales «de manera que la autoridad tributaria pueda conseguir información sobre los activos y los ingresos que manejan las empresas, así como su patrón de gasto». Más allá de si es excesivo o correcto, se debe analizar qué datos son estrictamente necesarios para que Hacienda pueda cumplir el fin de reducir la evasión fiscal.

Preguntas abiertas:

a- ¿Merece la misma protección a la privacidad una persona física a una jurídica?

b- ¿Es necesario levantar el secreto bancario o se puede crear un sistema de alertas ante comportamientos sospechosos de acuerdo a lo que se establezca en el momento en la ley? ¿O se piensa que un burócrata debería tener acceso a todos los datos personales sensibles contenidos en un estado de cuenta bancario?

3. Sistema de tránsito con cámaras de videovigilancia: este sistema tendrá como fin el cumplimiento de la ley de tránsito, lo que parece que no debería tener mayores repercusiones para la privacidad de los usuarios. Sin embargo, el sistema tendrá un algoritmo que identifica placas, las recopila, las categoriza y lo más preocupante es lo que adelanta la funcionaria que dio declaraciones al diario La Nación:

Significa que yo le puedo dar seguimiento a una placa en particular y puedo tener el recorrido de esa placa mientras pase por donde tengo la tecnología instalada. La idea es que en siguientes fases este proyecto sea de utilidad para otras instituciones como el Organismo de Investigación Judicial”

Preguntas abiertas:

a- ¿Cuáles son las salvaguardas para que esta información, en tiempo real, no sea utilizada con fines espurios o sea interceptada en tiempo real por una potencia extranjera?

b- ¿Tendrá el sistema una bitácora de accesos a la información que se recopile? ¿Se tiene previsto un sistema de auditoría proactivo para controlar el acceso a esta información?

c- ¿Qué es más peligroso, una intervención telefónica activa -en tiempos donde la mayoría de personas usan sistemas que encriptan comunicaciones de punto a punto- o un monitoreo en tiempo real de los movimientos de un ciudadano?

d- ¿Si se analiza esta información en conjunto con otra información que recopila el gobierno, como lo es las facturas de compras de un individuo, cuánta información estamos dispuestos a que controle el gobierno sin control?

4. Videovigilancia con sistemas inteligentes en Municipalidades: la vigilancia a través de cámaras es una acción importante para incrementar la seguridad y debe aumentarse. Sin embargo, cuando se tienen planes de reconocimiento facial o de placas de vehículos, surgen dudas sobre el tratamiento de los datos personales y cómo podrían utilizarse en contra del ciudadano, más cuando no hay transparencia sobre los sistemas utilizados.

Tuve la oportunidad de ver una exposición de un alcalde, donde anuncia que estaban analizando la posibilidad de usar el reconocimiento de las placas de los vehículos que circulan por el cantón y también un sistema de reconocimiento facial para identificar delincuentes. En este caso, no solo me preocupa sobre la legalidad de la iniciativa, sino que también sobre el uso de sistemas de «caja negra» que no nos permiten saber si permiten tratamientos ilegales o vigilantes en contra de la población.

5. Resoluciones de la PRODHAB sobre el derecho al olvido: Aunque no es propiamente sobre vigilancia, sí se da sobre el control que puede tener el estado con la normativa de protección de datos. En este caso, la agencia ha obligado a La Nación a borrar noticias que vinculan a personas que cometieron actos delictivos y cuyas noticias superan los diez años. Lo anterior sin hacer análisis sobre el interés público de la noticia. Ver video.

Preguntas abiertas

a- ¿Puede un gobierno utilizar las herramientas de protección de datos personales para «borrar el pasado» de personas que quieran ingresar a la política nuevamente?

b- ¿La propuesta de PRODHAB, a cargo de una empresa consultora, para reformar la ley de protección de datos personales protegerá la libertad de prensa o buscará legalizar estos actos?

Conclusión

En el proceso de transformación digital del Estado costarricense la ciberseguridad y la protección de los datos personales deben ser el eje central, por lo que es incompatible con la democracia avanzar hacia un Estado que recopile información personal sin ninguna clase de control o salvaguardas.

Cuando se trata de la seguridad de los sistemas informáticos de un Estado y la protección de los datos no puede dejarse de lado el posible interés de potencias extranjeras, por lo que no se puede avanzar ni un solo paso sin priorizar la ciberseguridad.

Si el gobierno busca proponer una nueva legislación no debe hacerlo a la carrera y debe discutirlo de forma adecuada (De forma transparente y abierta) , porque los retos regulatorios son grandes y los intereses de diferentes grupos enormes.

PRODHAB: una agencia invisible que debe fortalecerse.

La transformación digital de la sociedad costarricense es un proceso imparable que promete grandes beneficios y conlleva profundos cambios, tanto para ciudadanos, como para gobiernos, organizaciones, empresas y  delincuencia. 

En este mundo digital la información es poder y el dato personal se encuentra en la cúspide jerárquica de los datos que pueden ser recopilados con fines estratégicos comerciales / organizacionales/ criminales.  

Protección del dato frente a tratamientos ilegales.

El dato personal puede ser obtenido por vías legales o ilegales, quien lo facilite puede ser el titular del dato o el responsable de la base de datos, por lo que es imperativo que las personas sigan las buenas prácticas de protección de información personal y cumplan a cabalidad la normativa vigente. La negligencia en la protección del dato y/o el incumplimiento legal pueden tener severas consecuencias para el titular del dato y terceros relacionados con este. 

De acuerdo a un estudio de ESET, Costa Rica es el país latinoamericano más vulnerable a los ataques de ingeniería social , lo que si contrastamos con el alto número de estafas informáticas que se están dando en el país, donde utilizan el engaño para obtener información personal de los clientes del sector financiero para cometer acciones delictivas, es claro que nuestro país requiere mayor educación y fiscalización del tratamiento de los datos personales de los habitantes, ya sea por sus titulares como por PRODHAB y/o la Fiscalía, en cumplimiento de las facultades establecidas por ley. 

Si las personas tomaran mejores decisiones vinculadas con la privacidad y un buen ejercicio del derecho de autodeterminación informativa podríamos ver una reducción en los delitos informáticos.


¿Qué es la PRODHAB?

 Es una institución de desconcentración máxima adscrita al Ministerio de Justicia y Paz, con independencia de criterio… Su principal objetivo es garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa..»  Fuente [ Prodhab: Quiénes Somos ]. 

¿Qué es el derecho de autodeterminación informativa?

Es un derecho de control, derivado del derecho a la privacidad, que tiene toda persona sobre el flujo de informaciones que conciernen a su persona,  de acuerdo a las garantías y excepciones que contiene el ordenamiento jurídico, con el fin de evitar que se propicien acciones discriminatorias.

¿Por qué debe fortalecerse la PRODHAB?

La construcción del futuro de la democracia depende de las buenas decisiones que la sociedad vaya tomando con respecto a la protección de los datos personales.

La labor de la agencia es demasiado importante para la protección del pasado, presente y futuro del país como para dejar que la institución se dirija con un rumbo poco claro. 

El cargo de director requiere excelencia.

Si la PRODHAB no hace su labor de forma adecuada, peligran los datos personales de los costarricenses, que pueden ser robados o darse tratamientos ilegales que pueden afectar al ciudadano en el presente o en el futuro.

La inestabilidad en el puesto de director, desde mi perspectiva, atenta contra la independencia de la agencia, tomando en cuenta que esta debe fiscalizar la labor de ministerios y/o instituciones estatales, -incluyendo al Ministerio de la Presidencia- en el tratamiento de los datos personales. 

Quien ostente la dirección debe hacerlo con amplio conocimiento, independencia, valentía y sin miramiento alguno con sectores o instituciones que se pueden sentir afectados con los objetivos que la ley le otorga como mandato a la agencia.

Con el fin de enfrentar los retos que conlleva aplicar la normativa vigente, que entendemos no es la mejor, requiere un(a) director(a) nacional competente, valiente y con gran conocimiento sobre la materia.

Cómo es el desempeño de la PRODHAB en la actualidad

Es importante recalcar que existen limitaciones presupuestarias y regulatorias que le impiden a la agencia desempeñar su labor a la altura de los tiempos. 

A nivel de capital humano, en su mayoría la agencia se ha distinguido por tener personas muy colaboradoras y con alto compromiso con la causa, a pesar de las limitaciones.

En su momento, he tenido la oportunidad de interactuar con diferentes directores nacionales, darle seguimiento a sus acciones y puedo indicar que  me parece que en su mayoría han sido personas probas, de buena fe y aunque no todos se han destacado por una trayectoria anterior vinculada con la materia, es notorio que su conocimiento ha ido en crecimiento conforme más tiempo han durado en el cargo.  Lamentablemente, el tiempo que cada uno de ellos ha permanecido en su cargo ha sido efímero, por lo que dicha inestabilidad le cobra factura al país, ya que cada vez, en cierto modo, iniciamos de cero. 

La directora nacional actual  Elizabeth Mora, sí que tiene una trayectoria a nivel de protección de datos personales, ya que ha fue asesora legal de la agencia, antes de ser designada como directora nacional. Por lo que en buen principio,  cuando inicia su gestión en junio del año 2019, no debería sentirse como un inicio. A pesar de lo anterior, esta dirección no refleja dicha experiencia y su trayectoria en la PRODHAB me parece que le ha restado a la agencia más de lo que le ha aportado.  

He tenido acceso a algunas resoluciones que doña Elizabeth ha elaborado para la agencia como asesora legal (2018) y también las que ha firmado como directora nacional y las mismas cuentan con poco fundamento jurídico, son escuetas y en algunos casos violatorias de derechos fundamentales como el de libertad de prensa. Como abogados es normal que podamos diferir con el criterio emanado de una resolución, pero si somos justos podemos apreciar que la misma se encuentra fundamentada, sin embargo, este no ha sido el caso. 

Es mejor ayudar a construir que la crítica vacía. 

En el caso de una agencia que enfrenta una situación de bajo presupuesto, bajo acceso a capacitación, poco personal y una regulación deficiente, lo correcto es ayudarles a construir. En la Comisión de Derecho Informático del Colegio de Abogados y Abogados, de la que soy parte, siempre hemos mantenido una política de colaboración con la agencia y se debe reconocer la buena disposición de la jerarca anterior. 

Una agencia invisible

La comunicación  sobre la labor de la agencia, hace que los ciudadanos entendamos mejor sobre su trabajo y cómo impacta la vida del costarricense, lo que no solo tiene que ver con los eventos que realicen, capacitaciones y asistencia a foros técnicos, sino también el conocimiento de sus resoluciones. Por lo que es lamentable, que desde el año 2018 la agencia no divulgue sus resoluciones en su sitio web, lo que genera inseguridad jurídica y es un síntoma de poca transparencia.

Este año, con la actual directora, en la celebración del día mundial de protección de datos personales, la PRODHAB no envío representante a un evento organizado por el Colegio de Abogados y Abogadas, que buscaba construir, a partir de dos mesas redondas, en dos importantes temas para la sociedad costarricense: 

1- Salarios de funcionarios públicos: ¿Privados o de libre divulgación? (Ver video)

2. Mesa redonda: Derecho al olvido y prensa.  (Ver video)

La ausencia de la directora de la agencia y/o de otro representante, deja enormes dudas sobre su trabajo, en dos temas de interés público, que merecían discutirse, con el fin de profundizar y analizar posibles soluciones, debido al alto nivel de complejidad y las flojas resoluciones de la PRODHAB y/o Sala Constitucional.  

Por otro lado, no es el único caso donde la agencia brilla por su ausencia, prestemos atención a los siguientes casos:

2 de diciembre, 2019

Centro de datos de Hacienda es vulnerable: De acuerdo al informe de la Contraloría el servidor tenía 1.286 cuentas que no corresponden a usuarios identificables y podríamos inferir que se pueden hacer ataques masivos para averiguar las contraseñas de los contribuyentes al no haber bloqueos por intentos fallidos o alertas en este sentido.

En los servidores de Hacienda podemos encontrar datos personales socioeconómicos, por ende sensibles, pero también datos personales de salud, contenidos en facturas de servicios de salud y toda clase de hábitos de compra de todos los ciudadanos del país. 

Consultas abiertas para la Agencia.

-¿Ya realizó alguna investigación de oficio al responsable de la base de datos (Hacienda)?

¿Ha manifestado alguna posición oficial sobre la gravedad de este tipo de vulnerabilidad en servidores que por la sensibilidad de la información que manejen requieren mayor protección? 

 

14 de enero, 2020

Caso de filtración de salarios de futbolistas: Los salarios de las personas son datos personales sensibles, debido a su carácter socioeconómico y no pueden ser tratados sin el consentimiento de las personas.

Consultas abiertas para la Agencia.

 

-¿Ya realizó alguna investigación de oficio al responsable de la base de datos (CCSS)?

– ¿Ha manifestado alguna posición oficial sobre la filtración a prensa de los salarios de los jugadores? 

9 de diciembre, 2019

Restauración nacional consiguió información personal del 76% de las personas que estaban empadronadas para votar en esos comicios, según los registros de envío que entregó el partido político al Tribunal Supremo de Elecciones (TSE)   [Fuente:La Nación]

La directora nacional le indicó a La Nación lo siguiente:

» los números de teléfono de celulares son un dato privado y que la única base legal para el tratamiento de datos personales es el consentimiento informado.

«Por ley, debe estar inscrita ante la Prodhab «toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización».

Consultas abiertas para la Agencia.


-¿Ya realizó alguna investigación de oficio sobre cómo el responsable de la base de datos obtuvo estos datos?

¿Realmente una base de datos interna donde cada dato no se vende sino se consulta debe registrarse de acuerdo a la ley? Ver Reglamento Ley №8968, Artículo 2. inciso e). 

– ¿Dado que la Prodhab puede actuar de oficio y y considera que dichas bases de datos deben estar inscritas, inició un proceso sancionatorio de acuerdo a los artículos 27, 28, 30 de la ley de protección de la persona frente al tratamiento de sus datos personales? 

-¿Si los datos personales contenidos en esa base de datos fueron comprados, no considera la Prodhab que nos encontramos ante un delito de Violación de datos personales?  

CASO UBER (2016)

En el año 2016 se dio una filtración de datos personales por parte de Uber, por lo que la PRODHAB «elevó el lunes 4 de diciembre la solicitud de información sobre la filtración masiva de Uber Technologies Inc. a su institución homóloga en Holanda, donde presuntamente ocurrió la vulneración. En búsqueda de posibles afectaciones a usuarios de la plataforma en el territorio nacional, la entidad procedió a entablar comunicaciones con la Autoridad de Protección de Datos Personales (DPA, por sus siglas en inglés) de Holanda, donde se habría presentado la fuga de datos según un informe que Uber Costa Rica hizo llegar a la PRODHAB ante una solicitud que se remonta al 22 de noviembre anterior» (Fuente: Amelia Rueda]

Consulta abierta para la Agencia.

¿Cuál ha sido el resultado de este proceso?

-¿Se le ha dado seguimiento por la actual directora?

Estrategia nacional de privacidad.

 

Es una buena noticia que la agencia esté realizando una especie de auditoria con el fin de crear una Estrategia nacional de privacidad y que esta será entregada en los próximos meses, ya que al país le urge tenerla debido a que es un requisito para que el país pueda ingresar a la OCDE.

En mi caso, asistí a uno de los talleres parte de este proceso, pero lamento que en vez de utilizar el espacio para analizar los retos regulatorios, se utilizara para «capacitarnos» sobre temas básicos de protección de datos personales.

Con gran entusiasmo estaré esperando la propuesta de Estrategia Nacional de Privacidad esperando sea más profunda que simplemente señalar que debemos copiar «GDPR» ( 🇪🇺Reglamento General de Protección de Datos)

Conclusión.

Ha llegado el momento de aumentar la exigencia a la Prodhab, porque su labor es tan importante que no podemos simplemente mirar para otro lado.

Los datos personales se tratan ilegalmente todos los días y la agencia debe cumplir con la labor encomendada por la ley, debe buscar reformas que le permitan hacer mejor su trabajo y ser más transparente con la población.

La dirección debe acelerar el paso, porque cada hora perdida tiene un impacto en la seguridad de los datos de los habitantes.

 

Sobre el autor

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Día internacional de Protección de datos personales (28 de enero)

Entrevista en Telenoticias sobre protección de datos personales, en relación con el día internacional de protección de datos personales.

Ver en Teletica..

Cómo proteger los datos personales de los menores en el ciberespacio

Protección de datos personales para menores

En la actualidad los menores de edad se encuentran bajo diferentes amenazas, de las cuales no tienen la menor idea y que son potenciadas por la ignorancia de quien ejerce la autoridad parental.

El padre de familia debe dar un acompañamiento permanente al menor en la utilización de medios digitales, debe conversar con el menor sobre los riesgos de la tecnología, con el fin de que conforme vaya creciendo se le vayan concediendo mayor libertad y así irle preparando para la edad adulta.

Las principales conductas que ponen en riesgo los datos personales de los menores son las siguientes:

  • Aplicaciones de mensajería de comunicaciones efímeras
  • Juegos que permitan comunicaciones con desconocidos.
  • Utilización de redes sociales, sin supervisión.
  • Publicación de datos personales de los menores por parte de los padres, dirigidas a un público amplio.
  • Publicación de datos personales de los menores en las cuentas de redes sociales en los centros de estudio de los menores.

Aplicaciones de mensajería de comunicaciones efímeras

Las aplicaciones de mensajería que cuentan con la posibilidad de borrado automático, después de un tiempo determinado, son de gran utilidad para adultos que buscan proteger su privacidad.

Sin embargo, los adolescentes las pueden utilizar para esquivar el control parental, lo que se vuelve en un riesgo importante, al poder ser utilizado para conductas de riesgo.

Si el menor es víctima de ciberbullying o child grooming por aplicaciones como Snapchat, es poco lo que puede hacer el padre para detectarlo a tiempo**, debido a la rapidez con que se borran las comunicaciones. En Snapchat los chats se borran después de que las partes lo ven, o un máximo de 24 horas después de que estos son vistos, si así se ha configurado para contactos específicos.

**Salvo opciones más invasivas y de pago que tienen otros riesgos.

Juegos que permitan comunicaciones con desconocidos.

Los pedófilos suelen buscar los espacios donde se encuentran los menores, sean digitales o físicos, por lo que los juegos que tienen habilitado la opción de chat, les da la ocasión perfecta para ganarse la confianza del menor y así iniciar el proceso de grooming, aprovechando el interés en común para ganarse su confianza.

El pedófilo no tiene, necesariamente, prisa en obtener contenido íntimo por parte del menor o de quedarse de ver en algún lugar del mundo físico, sino que puede construir amistades con cientos de menores, hasta que alguno finalmente pica.

Utilización de redes sociales, sin supervisión.

Los padres deben tener claro en todo momento qué redes sociales utilizan sus hijos, con qué fin las utilizan y con quiénes se están comunicando.

Bajo ningún escenario un menor de edad debería estar comunicándose con desconocidos en internet, en la investigación que se realizó para el reportaje #NoCaigás de 7 días, el 83% de las personas que entablaron comunicaciones con desconocidos aceptaron conocerse personalmente con el perfil ficticio, lo que deja claro el riesgo de dejar a un menor utilizando redes sociales sin supervisión.

Los adolescentes prefieren redes sociales que les permitan publicar actualizaciones de contenido efímero, para así dejar el menor rastro posible y en algunas ocasiones tienen hasta cuentas alternativas de redes sociales como Instagram para protegerse del control parental.

Publicación de datos personales de los menores por parte de los padres, dirigidas a un público amplio. )

Los padres tienen la obligación de cuidar los datos personales de sus hijos, sin embargo muchas veces son estos quienes publican sin el menor cuidado fotos a buena resolución de sus hijos para que cualquiera pueda verlos ( Sharenting)

El publicar imágenes, videos o audios de sus hijos hace que terceros puedan recopilar estos y utilizarlos con fines no tan beneficiosos para el menor en el corto o largo plazo. De la misma forma, expone al menor a que estas imágenes, audios o videos puedan utilizarse para:

Ciberbullying: con el material que suben los padres, otros menores podrían utilizarlo para acosar al menor.

Pornografía Infantil: puede ser utilizada bajo la modalidad de montaje, donde los pedófilos ponen la cara de un menor en un cuerpo desnudo para cumplir sus fantasías y con la modalidad de Deep Fake potenciado por la inteligencia artificial, se pueden crear hasta videos bastante reales a partir de una serie de fotografías, video o audio que en este caso el padre de familia facilita.

Secuestro/Violación o Abusos sexuales: por más perverso e increíble que nos parezca, existe un mundo de pederastas que utilizan las redes sociales para buscar material de su interés. Y una fotografía o video de un menor en la red social podría ayudarle a este tipo de persona para encontrar al menor que le gusta y a través de otra información saber hasta dónde estudia y otras rutinas que le facilitan la comisión del delito.

En el proyecto de ley  N.º 21187 se busca agravar la pena por pornografía infantil cuando aparezcan menores de 7 años.

Publicación de datos personales de los menores en las cuentas de redes sociales en los centros de estudio.

En algunas escuelas y colegios tienen como costumbre utilizar Facebook, Instagram, Twitter o Youtube como un medio de comunicación de las acciones que realizan los menores en la institución educativa, lo que los padres agradecen ya que a través de las redes sociales pueden estar pendientes de las actividades de sus hijos.

El problema con lo anterior, es que pocas veces los padres y los encargados de las instituciones analizan el riesgo de publicar los datos personales de los menores y en la mayoría de las ocasiones ni siquiera cuentan con el permiso de los padres de familia.

Se suelen subir fotografías tomadas con alta resolución y no solo le da a desconocidos un importante material para hacer montajes, sino que también facilita el trabajo de cualquier acosador.

Es importante destacar que la inteligencia artificial en combinación con el reconocimiento facial podría utilizarse para buscar imágenes de una persona específica en cualquier sitio de internet, de la misma forma como en la actualidad buscamos el nombre en un buscador. Por lo que la aparición de una cantidad importante de fotografías de un menor lo dejan expuesto.

Como punto adicional, las instituciones están utilizando plataformas tecnológicas con fines escolares, donde se suben datos personales de los menores y tampoco solicitan un consentimiento a los padres de familiar para tratar sus datos personales.

Consejos rápidos de cómo proteger a nuestros hijos en el ciberespacio.

Acuerdo de uso de dispositivos tecnológicos.

El padre de familia deberá sentarse con el menor para establecer las reglas de uso de su dispositivo inteligente y los mecanismos de protección de privacidad.

Deberá establecerse en qué intervalos o situaciones el padre se sentará con el menor a revisar contenido del dispositivo y así detectar cualquier amenaza que pueda realizarse.

Las comunicaciones solo pueden ser vistas por el padre bajo el interés superior del menor y con el fin de evitarle un daño mayor, por lo que deberá respetarse hasta donde se pueda su derecho a la intimidad.


Consejos sobre cómo ayudar a proteger la seguridad del menor

En redes sociales.

  1. Que se utilicen las herramientas de privacidad para la protección de sus datos.
  2. Que no se hagan publicaciones dirigidas a un grupo más amplio que el de los amigos (Personas que conocen y de confianza)
  3. Que las fotografías de perfil no tengan una buena resolución o que no correspondan al menor (Las fotografías de perfil son accesibles para todo el mundo)
  4. Que los amigos sean únicamente personas que los menores conocen.
  5. Que los menores no publiquen información que pueda ser comprometedora para ellos, ya sea de forma individual o en conjunto con otras publicaciones.

En el dispositivo móvil.

Utilizar herramientas de control parental, para calcular el tiempo que duran usando el dispositivo móvil, qué aplicaciones utilizan, poner limitaciones de tiempo y bloquear sitios de adultos.

iOS (iPhone/ iPad): Tiempo de uso.  


Android : Family Link . (Compatibilidad con la versión 7.0 (Nougat) o versiones posteriores)


Asesoría Legal

Si es víctima de un delito informático, puede solicitar una cita para ser asesorado sobre su caso: 

Correo electrónico:
[email protected]

(Whatsapp): 
+506 88130930

Toda consulta tiene un costo. 

Quién soy

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Derecho al Olvido (I Simposio Internacional sobre Derecho Informático)

Les comparto mi ponencia en la mesa redonda sobre «Derecho al Olvido en Costa Rica» que se celebró en el  I Simposio Internacional sobre Derecho Informático. 

Les comparto también las ponencias que se dieron en la mesa redonda:

Gabriel Recalde de Google.

Oscar Montezuma de Perú.

Wendy Rivera, Ex-directora de la Prodhab.