La pandemia está transformando nuestra sociedad de forma acelerada, siendo responsable de acelerar el paso por rutas a las que ya nos dirigíamos (Incremento de Comercio electrónico, ‘freelancing‘, teletrabajo, Inteligencia artificial, etc), pero también está generando nuevas realidades e impactando sectores que antes de la pandemia se encontraban saludables (como el turismo).
Lo anterior representa un enorme reto regulatorio, donde ocupamos a las mejores mentes del país, para generar discusión multidisciplinaria y multisectorial, en momentos donde algunos buscan imponer sus intereses sobre los de otros, ya que en río revuelto ganancia de pescadores.
Covid-19 genera desafíos más allá de lo económico y lo sanitario, debido a que su impacto se da en todas las áreas de nuestra sociedad y puede generar daño en bienes jurídicos tan importantes como la democracia y merece la discusión del más alto nivel. La labor de la prensa es esencial en este proceso para visibilizar las necesidades de los diferentes sectores que están sufriendo un impacto o que podrían recibirlo si no se generan cambios en la legislación.
El camino hacia la protección de la privacidad en Costa Rica.
Con la reducción de la brecha digital y la transformación digital del Estado costarricense se presentaban retos para la sociedad, que las últimas administraciones han buscado brindarle solución a través de la creación de política pública y reformas legales que buscan regular o servir de guía en este camino. En este sentido se han dado importantes pasos en los últimos diez años:
Administración Chinchilla.
I. Creación de Prodhab (2011): a través de la ley №8968 se crea la Agencia de Protección de los Datos de los Habitantes, encargada del cumplimiento de la normativa sobre protección de datos personales y por consiguiente el respeto del derecho de autodeterminación informativa (derivado del derecho de privacidad). Esta agencia no se ha encontrado a la altura de las necesidades de la población, lo que debilita la protección de la privacidad de los habitantes, esto debido a la poca prioridad que se le ha dado a su fortalecimiento por parte del gobierno.
II. Creación del CSIRT-CR (2012): Con un importante apoyo de la OEA y a través del decreto Nº 37052-MICIT se da la creación del Centro de Respuestas ante Incidentes informáticos, que busca fortalecer al Estado costarricense en ciberseguridad. Este departamento ha tenido problemas reteniendo talento, históricamente no se le ha dado presupuesto y el nivel de exigencia es extremadamente bajo, lo que también impacta de forma negativa la protección de los datos de los habitantes.
III. Reformas sobre delitos informáticos (2012-2013): con estas reformas al Código Penal se le da la protección penal a la autodeterminación informativa, la privacidad y otros bienes jurídicos que son vulnerados de forma constante por los delincuentes. A finales del año 2018, se presentó el proyecto de ley №21187, para no solo ampliar el marco de protección, sino que también darle herramientas y guía al Estado costarricense en la lucha contra la Ciberdelincuencia, el proyecto de ley requiere de una Estrategia de lucha contra la Ciberdelincuencia, de la que carece el Poder Judicial, en la actualidad.
Administración Solís.
IV. Estrategia Nacional de Ciberseguridad (2017): el Ministerio de Ciencia, Tecnología y Telecomunicaciones con un importante apoyo de la OEA y consultada con diferentes sectores, publica esta estrategia con el fin de fortalecer la Ciberseguridad, tomando en cuenta el respeto a los Derechos Humanos y la privacidad dentro de sus principios rectores.
V. Ratificación del Convenio sobre Ciberdelincuencia (2017): un Convenio cuya principal ventaja es el brindarle al país las herramientas de cooperación internacional para la investigación de delitos que se cometen por vías informáticas. Desde su aprobación, el país ha recibido capacitación sobre la materia, ha sido evaluado por el Consejo de Europa y se creó la Fiscalía Adjunta de Fraudes y Cibercrimen. Los avances siguen siendo tímidos.
La privacidad debe fortalecerse, no debilitarse.
El Estado costarricense, las organizaciones, empresas y ciudadanos se encuentran en una ruta de transformación digital, que ha sido acelerada por Covid-19, donde la privacidad tiene un papel protagónico y que el respeto por la misma se ha vuelto un elemento distintivo entre las sociedades occidentales y las orientales.
Esto es una tendencia a nivel mundial, por lo que es importante desarrollar política pública que potencie el desarrollo tecnológico en respeto de los derechos fundamentales de los costarricenses.
La administración Alvarado, en el año 2018 publicó la Estrategia Nacional de Transformación digital hacia la Costa Rica del Bicentenario 4.0, la cual es un importante paso en este nuevo contexto, que a nivel general es bastante acertada, pero eso sí, con un preocupante componente y es que en esta estrategia el gobierno no ve la privacidad como un principio rector. Para empeorar las cosas, el lineamiento donde habla sobre la privacidad indica lo siguiente:
«L4 –Adaptación del marco normativo a nuevas tecnologías
Propiciar los cambios sustantivos en materia de la normativa nacional vigente para permitir el aprovechamiento de las tecnologías digitales disruptivas en el quehacer de los diferentes sectores de la sociedad costarricense.
- Normativa para la gestión de información ciudadana (Habeas data, privacidad).
- Observatorio de normativa…»
Entonces, lo que resulta altamente preocupante es que no solo la privacidad no es un principio rector de dicha estrategia, sino que pareciera que debe adaptarse para permitir el aprovechamiento de las tecnologías digitales. Esto podría quedarse como un mal entendido, que no se está reflejando en ninguna clase de acción por parte del gobierno, sin embargo, es importante aclarar que 5 días antes de que se diera el «mal entendido» de UPAD, este servidor estaba reportando sobre los peligros de un gobierno vigilante, debido al camino que estaba tomando el gobierno debido a lo siguiente:
1. Sistema de identificación digital: en colaboración con el TSE el gobierno busca que se puedan identificar a los costarricenses por huella digital y reconocimiento facial en instituciones públicas. Ya se están haciendo pruebas en este sentido. El siguiente paso podría ser identificar a costarricenses en cámaras de vigilancia en cualquier lugar público, como en China.
2. Levantamiento del secreto bancario: otro proyecto que debilita la privacidad del costarricense.
3. Proyectos de videovigilancia en Municipalidades con reconocimiento facial: varias Municipalidades tienen ya cámaras con videovigilancia a las que se les podría incorporar tecnología de reconocimiento facial y/o placas de vehículos de los costarricenses.
4. Resoluciones de Prodhab sobre derecho al olvido: resoluciones por parte de la agencia que desde el 2018 está emitiendo resoluciones donde se borran noticias de medios de comunicación. Puede ver la mesa redonda que hicimos en la Comisión de Derecho Informático sobre este tema acá.
Adicionalmente a las anteriores, podemos agregar las más recientes, que no aparecen en el artículo original:
5. Cámaras de tránsito con reconocimiento de placas: Con el fin de detectar a los infractores de la restricción vehicular el sistema informática captará la trayectoria de todos los vehículos que pasen por donde está instalada la tecnología, por lo que se podrá almacenar vinculada con las placas, lo que permitiría compartirlo, como lo adelantaba una funcionaria de COSEVI con otras instituciones. Esto ya era preocupante 5 días antes de saber la existencia de UPAD.
6. UPAD : El controversial decreto ilegal que permitía transferir datos personales entre instituciones públicas sin consentimiento de las personas o ley que lo faculte, lo que generaría una base de datos centralizada para hacer análisis de datos.
7. SART: Un centro de información centralizada para evitar conflictos, con vínculos con la DIS (Dirección de Inteligencia e Inteligencia Nacional). Nuevamente, una base de datos que centraliza información, lo que si contiene datos personales de costarricenses y se utiliza con fines de inteligencia levanta sospechas.
El desafío de Covid-19 para la privacidad.
Como indicaba al inicio del artículo, la pandemia ha acelerado procesos que ya estaban en curso y como se ha detallado a Costa Rica lo encontró en una ruta de retroceso, en temas de privacidad, más compatible con las prácticas de naciones orientales, como China, que con naciones occidentales, donde se respeta más la privacidad del ciudadano. Si nuestro gobierno cada vez recolecta y analiza más datos personales de los habitantes, la privacidad se va reduciendo y esto se puede utilizar en contra del ciudadano, con posible impacto para la democracia.
La buena noticia es que la OCDE invitó a nuestro país a formalmente convertirse en el miembro número 38 del organismo y el cuarto de América Latina, y como se comunica en El Financiero, para este organismo la protección de la privacidad para los Estados es esencial:
«El tema de la protección de datos y privacidad ha estado en la agenda de las potencias mundiales luego de escándalos que han dejado en evidencia las debilidades que tienen las empresas y gobiernos para proteger la privacidad de la personas.
Para la OCDE, los países deben establecer límites para la recolección de datos personales y cualquiera de estos deberán obtenerse con medios legales, justos y con el conocimiento o consentimiento del sujeto implicado.
Los datos personales deberán ser relevantes para el propósito de su uso. Además no se deberá divulgar, poner a disposición o usar los datos personales para propósitos que no cumplan con lo que se le indicó a la persona. La política debe contemplar la transparencia en cuanto a evolución, prácticas y políticas relativas a datos personales.»
Debido a esto y para cumplir con lo requerido con la OCDE el país está trabajando en una Estrategia Nacional de Privacidad, cuyo borrador debería ser de libre divulgación, como la Estrategia Nacional sobre Ciberseguridad que sí recibió aportes de diferentes sectores. Yo fui invitado a un taller sobre dicha Estrategia Nacional de Privacidad, pero para mi desilusión fue más información sobre cuál es el proceso de incorporación a la OCDE y una «capacitación» sobre protección de datos personales. A pesar de esto, no puedo asegurar que no haya sido consultado con otras personas o grupos.
Aunque la Estrategia de Privacidad no ha sido publicada, la pandemia ha traído el debate sobre qué sistema utilizar para el rastreo de contactos que se va a dar en el país, por lo que tocará debatir sobre si usar un sistema que tenga previsto la privacidad en su diseño o lo contrario.
Sobre este tema hablaré en las siguientes entregas, que tomará como base las siguientes preguntas:
- ¿Estarán los ciudadanos dispuestos a compartir con quién tienen cercanía física a nivel diario, con el gobierno?
- ¿Debe el país irse por una solución centralizada o una descentralizada ( como la que ofrece Google y Apple)?
- ¿Cuál es la mejor opción, cuáles son las ventajas y desventajas de cada una?
- ¿Qué permite nuestra ley y qué no?
Seguir leyendo sobre este tema:
II- Aplicaciones de notificación de exposición: Sistema centralizado vs descentralizado.
(Actualizado: 29 de Julio, 2020)
