Hoy surge una noticia que levanta las alarmas de muchos especialistas en derecho informático, prensa y ciudadanía.
El gobierno anunció la creación de «Unidad Presidencial de Análisis de Datos«, a través del decreto Nº 41996-MP-MIDEPLAN (Pocas horas después derogó el decreto) ,que en apariencia cualquier persona estudiosa de las ciencia de los datos le parecerá una excelente noticia, que más bien se había durado mucho en implementar.
Meses atrás en el Colegio de Abogados y Abogadas, expuse sobre Big data y la protección de datos personales en la administración pública, desde una perspectiva positiva, ya que es una excelente herramienta si la ciberseguridad y protección de los datos personales son el eje central de la función. Dentro del contexto de la charla, se encontraba el análisis del Expediente Único de Salud (EDUS) y todos los datos estadísticos que pueden manejarse para mejorar la toma de decisiones en la CCSS. Es un excelente ejemplo dentro de la administración del uso de datos estadísticos para mejorar la toma de decisiones.
Sin embargo, esta unidad presidencial tal como estaba descrita en el dereto derogado, luce como un troyano que buscaba hacerse con la posesión de los datos personales de los costarricenses, ya que en su artículo 7 establecía una obligación de acceso a la obligación por parte de UPAD:
Artículo 7º. -Obligación de acceso a la información.
Para el cumplimiento de las atribuciones constitucionales y legales del Presidente de la República, las instituciones de la Administración Pública Central y Descentralizada deberán permitir el acceso a toda información que sea requerida por parte de la UPAD para el cumplimiento de sus fines y objetivos, salvo aquellos casos particulares donde la información sea considerada como secreto de Estado. Para ello, se le facilitará los accesos a los datos o brindarán los insumos de información de forma oportuna y en formatos que permitan su análisis y procesamiento estadístico, cumpliendo todos los estándares para una adecuada gestión de la información, de forma que se garantice la integridad, confiabilidad y seguridad de los datos.
En cumplimiento de los incisos e) y f) del artículo 8º de la Ley de Protección de la Persona frente al tratamiento de sus datos personales, Ley Nº 8968, también se brindará acceso a la UPAD a información de carácter confidencial con la que cuenten las instituciones públicas cuando así se requiera. Dicha información mantendrá en todo momento su carácter confidencial, independientemente del acceso que se le brinde a la UPAD. En estos casos, la UPAD y las instituciones deberán establecer acuerdos de gobernanza para garantizar un uso responsable y coherente de los datos que beneficie a los ciudadanos y fortalezca la confianza pública
Debo reconocer que cuando escribí los artículos denunciando el debilitamiento de Prodhab y el peligro de un gobierno vigilante, no tenía conocimiento del decreto Nº 41996-MP-MIDEPLAN, porque ya leyéndolo me cuesta creer la casualidad de los hechos.
También me llama la atención que en noviembre del 2018, el gobierno de don Carlos Alvarado, hizo una alianza entre presidencia y PRODHAB, firmaron un convenio para unir esfuerzos en estas dos agendas:
«El Ministro de Comunicación, Juan Carlos Mendoza García, y la Directora de la Agencia de Protección de Datos (Prodhab), Ana Karen Cortés Víquez, firmaron un convenio de cooperación para impulsar, de forma conjunta, las agendas de gobierno abierto y de protección de datos de los habitantes.»
Esta alianza no representaría ningún problema si la PRODHAB hiciera un trabajo proactivo en la protección de los datos personales, pero como lo indiqué en el artículo anterior, con esta administración PRODHAD luce más débil y ante esta crisis salió en defensa del decreto, no de los datos de los habitantes (Una vez derogado el decreto, dejó su comunicado en defensa del gobierno, sin efecto.)
Tanta lealtad hacia el presidente es preocupante, más cuando es en esta administración donde se decide aplicar el derecho al olvido para borrar noticias de prensa, lo que también es preocupante, pecando la PRODHAB ya no por inacción, sino con violación de derechos fundamentales con resoluciones mal fundamentadas.
Si le sumamos los proyectos que cada vez tratan más datos personales, es preocupante que este gobierno buscara concentrar en una UNIDAD todos los datos personales, confidenciales o no de los costarricenses.
El gobierno busca justificar su accionar en el artículo 8 de la ley, que regula las excepciones al derecho de autodeterminación informativa de los costarricenses.
ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano.
Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:
a) La seguridad del Estado.b) La seguridad y el ejercicio de la autoridad pública.
c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.
d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.
e) La adecuada prestación de servicios públicos.f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.
Sin embargo, es claro que un requerimiento de datos confidenciales, no parece justo, ni razonable, ni adecuada al fin para el que fueron recolectados. Al mismo tiempo, de acuerdo al artículo 9, de la ley № 8968 tampoco podrían requerir datos sensibles, ni por supuesto hacer una transferencia de datos sin el consentimiento informado.
La ley deja claro que la transferencia de datos que solicitaba Presidencia solo se puede hacer con el consentimiento de los ciudadanos y en respeto de los principios de la ley.
ARTÍCULO 14.- Transferencia de datos personales, regla general
Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.
En otras palabras, para transferir los datos personales de una institución estatal a otra, solo se puede realizar con el consentimiento del titular o por una disposición legal que lo habilites. Además, los datos solo pueden ser recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
Presidencia, sin embargo, sí podría requerir que las instituciones públicas anonimicen los datos, los conviertan en datos estadísticos y así ellos podrían tratarlos sin posibilidad de violentar los derechos fundamentales de los costarricenses.
Resulta muy diferente, a tener una unidad que recopila datos personales, los convierte en datos estadísticos y le brinda acceso del dato personal, confidencial o no, a Casa Presidencial.
Resulta preocupante que en un Ministerio de Presidencia pudiese utilizar estos datos para atacar a adversarios políticos, disidentes o cualquiera otra persona con fines políticos.
No nos olvidemos que se quiere levantar el secreto bancario, se está utilizando el reconocimiento facial en vez de la cédula en ciertas instituciones, se instalarán cámaras que podrán dar seguimiento a la ruta de un vehículo y los proyectos de video-vigilancia con reconocimiento facial y de placas en municipalidades.
¿Qué se puede hacer con toda esa información con fines políticos?
Desde doxing (publicación de datos personales confidenciales en redes sociales en venganza) hasta manipulación de los adversarios con medidas extorsivas.
Y uno nada más esperaría que la CCSS se oponga a colaborar con datos sensibles del expediente digital.
¿Y la PRODHAB protestará o se mantendrá un silencio?
**Actualizado a las 8:21 PM
José Adalid Medrano Melara.
Abogado especialista en delitos informáticos y ciberseguridad, con más de una década de estudio del fenómeno de la ciberdelincuencia, co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)
Como parte de la transformación digital que estamos viviendo, es normal que cada vez el Estado costarricense esté proyectando una mayor recopilación y tratamiento de datos personales de los habitantes.
El tratamiento de datos personales a nivel gubernamental no debe satanizarse, sin embargo, sí tenemos que ser vigilantes que se haga de forma lícita, segura, leal, transparente y adecuadas a un fin específico.
Acelerar en la adopción de sistemas de reconocimiento facial o aumentar el tratamiento de datos personales sin hacer una adecuada discusión a nivel nacional puede resultar contraproducente para el futuro de la sociedad. Podríamos convertir, sin querer, a Costa Rica en una mina de datos que le pueden permitir a cualquier país extranjero convertirlo en un espacio para el espionaje mundial -dirigido a nacionales o extranjeros- o inclusive facilitar la represión de opositores, a través de la vigilancia permanente, para un futuro gobierno autoritario.
Estados Unidos es un país donde se usa este tipo de tecnologías por las fuerzas públicas con el fin de ayudar en la lucha contra el crimen, sin embargo, se ha presentado oposición ciudadana, tanto por los sesgos raciales y de género, como también por la creación de una infraestructura de vigilancia donde no hay suficiente transparencia sobre el uso que se le puede dar a este tipo de tecnologías.
Los senadores estadounidenses han presentado un proyecto de ley donde se propone se posponga la utilización de tecnologías de reconocimiento facial hasta que no exista una ley federal que regule su uso, ya que en la actualidad ni siquiera hay consenso sobre las buenas prácticas que deben seguirse en el uso de estas tecnologías. Sin embargo, la prohibición podrá levantarse, si se requiere por parte de la policía, bajo autorización judicial.
En Europa, se está discutiendo también sobre un veto de cinco años para el uso de sistemas de reconocimiento facial, el cual se presentará el próximo 19 de febrero. En un borrador filtrado a Reuters, se entiende que la Unión Europea no llegue a vetar los sistemas de reconocimiento facial, pero sí establecer límites a dicha tecnología. Sobre este tema, Margrethe Vestager, vicepresidenta de la Comisión Europea y comisaria de Competencia, indicó lo siguiente:
«los sistemas de inteligencia artificial pueden ser una “caja negra”, de forma que no se pueda comprobar si utilizan datos sesgados y poder hacer frente a las respuestas que producen. Por ello, “siempre deben ser las personas, no los ordenadores, las que estén, en última instancia, a cargo de las decisiones que afectan a nuestras oportunidades y a nuestra libertad”. Fuente: Computer World.
En China, ya cuentan con con más de 170 millones de cámaras con sistemas de reconocimiento facial (se estima que se instalarán 400 millones más en los próximos tres años), y el gobierno tiene la capacidad de identificar a un ciudadano en un tiempo menor a los 7 minutos, en China continental. Lo más grave es el sistema de crédito social, donde las personas pueden tener consecuencias en su vida diaria, como no poder usar el transporte público, si se detecta que no tienen una buena calificación.
En nuestro país hay muchas iniciativas que «sin querer» podrían estar dando pasos agigantados hacia la construcción de una infraestructura de vigilancia ciudadana que mal utilizadas, en un futuro, podrían darle mucho poder a un gobierno autoritario.
Todo aumento en el tratamiento de datos personales por parte del Estado debería acompañarse de esfuerzos para el fortalecimiento de las instituciones del Estado que ayudan a fortalecer la ciberseguridad:
1. CSIRT-CR: el Centro de Respuesta de Incidentes de Seguridad Informática, que fue creado a finales del 2012, en todos estos años, con ojos externos no percibimos síntomas de fortalecimiento y ni siquiera muestra capacidades de retención de talentos cuya formación le ha costado al país. Me consta que históricamente los funcionarios a cargo han mostrado muy buena voluntad, pero desde mi lente no veo real voluntad política para darles armas para que hagan su trabajo.
2. PRODHAB: a pesar de que debería fiscalizar las bases de datos personales del Estado, promover las buenas prácticas en la protección de los datos y el cumplimiento de la ley, como lo indicaba en el artículo anterior, no pareciera tampoco que hasta la fecha se hayan hecho esfuerzos por fortalecerla. Por ejemplo, resulta increíble cómo la agencia «temporalmente» lleva meses usando un correo de gmail para comunicaciones oficiales y su sitio web no cuenta con un certificado digital (SSL), lo que en ambos casos representa riesgo de suplantación de identidad.
Con el fin de cumplir requisitos e ingresar a OCDE, a través de la PRODHAB, el presente gobierno está creando una Estrategia de Privacidad, donde entiendo que paralelamente se presentará un proyecto de ley sobre protección de datos personales, cuya discusión no debería tomarse a la ligera, debido a los grandes avances en más recopilación de datos por parte del gobierno que deberían tener mayores controles.
Los proyectos que más me levantan las alarmas a nivel de privacidad ciudadana, a pesar de que estoy seguro que sus objetivos son nobles, son los siguientes:
1. Sistema de identificación digital: un proyecto con indudables beneficios para la ciudadanía, pero que también abre las puertas para un riesgo para la privacidad de los ciudadanos. La existencia de una base de datos electrónica a través de la cual una persona, legal o ilegalmente, podría consultar cuál ha sido el paso de ciertos ciudadanos en instituciones públicas, genera serias dudas que deberían haberse discutido a nivel nacional antes de su implementación. Ya lo están usando para identificar visitantes en el Ministerio de Hacienda, Poder Judicial e inicia su uso en la CCSS.
Preguntas abiertas:
a- ¿Cuál es el fundamento legal para esa recopilación sin consentimiento informado a través de sistemas de reconocimiento facial? ¿Se pueden tratar datos personales sensibles por el gobierno? (Ver artículos 5, 8 y 9 de la ley № 8968 )
b- ¿Cuál es la posición de la PRODHAB con respecto a este tema? ¿Ha fiscalizado que se cumpla el marco jurídico sobre protección de datos personales?
2. Levantamiento administrativo del secreto bancario: el Ministerio de Hacienda requiere se hagan reformas legales «de manera que la autoridad tributaria pueda conseguir información sobre los activos y los ingresos que manejan las empresas, así como su patrón de gasto». Más allá de si es excesivo o correcto, se debe analizar qué datos son estrictamente necesarios para que Hacienda pueda cumplir el fin de reducir la evasión fiscal.
Preguntas abiertas:
a- ¿Merece la misma protección a la privacidad una persona física a una jurídica?
b- ¿Es necesario levantar el secreto bancario o se puede crear un sistema de alertas ante comportamientos sospechosos de acuerdo a lo que se establezca en el momento en la ley? ¿O se piensa que un burócrata debería tener acceso a todos los datos personales sensibles contenidos en un estado de cuenta bancario?
3. Sistema de tránsito con cámaras de videovigilancia: este sistema tendrá como fin el cumplimiento de la ley de tránsito, lo que parece que no debería tener mayores repercusiones para la privacidad de los usuarios. Sin embargo, el sistema tendrá un algoritmo que identifica placas, las recopila, las categoriza y lo más preocupante es lo que adelanta la funcionaria que dio declaraciones al diario La Nación:
“Significa que yo le puedo dar seguimiento a una placa en particular y puedo tener el recorrido de esa placa mientras pase por donde tengo la tecnología instalada. La idea es que en siguientes fases este proyecto sea de utilidad para otras instituciones como el Organismo de Investigación Judicial”
Preguntas abiertas:
a- ¿Cuáles son las salvaguardas para que esta información, en tiempo real, no sea utilizada con fines espurios o sea interceptada en tiempo real por una potencia extranjera?
b- ¿Tendrá el sistema una bitácora de accesos a la información que se recopile? ¿Se tiene previsto un sistema de auditoría proactivo para controlar el acceso a esta información?
c- ¿Qué es más peligroso, una intervención telefónica activa -en tiempos donde la mayoría de personas usan sistemas que encriptan comunicaciones de punto a punto- o un monitoreo en tiempo real de los movimientos de un ciudadano?
d- ¿Si se analiza esta información en conjunto con otra información que recopila el gobierno, como lo es las facturas de compras de un individuo, cuánta información estamos dispuestos a que controle el gobierno sin control?
4. Videovigilancia con sistemas inteligentes en Municipalidades: la vigilancia a través de cámaras es una acción importante para incrementar la seguridad y debe aumentarse. Sin embargo, cuando se tienen planes de reconocimiento facial o de placas de vehículos, surgen dudas sobre el tratamiento de los datos personales y cómo podrían utilizarse en contra del ciudadano, más cuando no hay transparencia sobre los sistemas utilizados.
Tuve la oportunidad de ver una exposición de un alcalde, donde anuncia que estaban analizando la posibilidad de usar el reconocimiento de las placas de los vehículos que circulan por el cantón y también un sistema de reconocimiento facial para identificar delincuentes. En este caso, no solo me preocupa sobre la legalidad de la iniciativa, sino que también sobre el uso de sistemas de «caja negra» que no nos permiten saber si permiten tratamientos ilegales o vigilantes en contra de la población.
5. Resoluciones de la PRODHAB sobre el derecho al olvido: Aunque no es propiamente sobre vigilancia, sí se da sobre el control que puede tener el estado con la normativa de protección de datos. En este caso, la agencia ha obligado a La Nación a borrar noticias que vinculan a personas que cometieron actos delictivos y cuyas noticias superan los diez años. Lo anterior sin hacer análisis sobre el interés público de la noticia. Ver video.
Preguntas abiertas
a- ¿Puede un gobierno utilizar las herramientas de protección de datos personales para «borrar el pasado» de personas que quieran ingresar a la política nuevamente?
b- ¿La propuesta de PRODHAB, a cargo de una empresa consultora, para reformar la ley de protección de datos personales protegerá la libertad de prensa o buscará legalizar estos actos?
En el proceso de transformación digital del Estado costarricense la ciberseguridad y la protección de los datos personales deben ser el eje central, por lo que es incompatible con la democracia avanzar hacia un Estado que recopile información personal sin ninguna clase de control o salvaguardas.
Cuando se trata de la seguridad de los sistemas informáticos de un Estado y la protección de los datos no puede dejarse de lado el posible interés de potencias extranjeras, por lo que no se puede avanzar ni un solo paso sin priorizar la ciberseguridad.
Si el gobierno busca proponer una nueva legislación no debe hacerlo a la carrera y debe discutirlo de forma adecuada (De forma transparente y abierta) , porque los retos regulatorios son grandes y los intereses de diferentes grupos enormes.
