Como parte de la transformación digital que estamos viviendo, es normal que cada vez el Estado costarricense esté proyectando una mayor recopilación y tratamiento de datos personales de los habitantes.
El tratamiento de datos personales a nivel gubernamental no debe satanizarse, sin embargo, sí tenemos que ser vigilantes que se haga de forma lícita, segura, leal, transparente y adecuadas a un fin específico.
Acelerar en la adopción de sistemas de reconocimiento facial o aumentar el tratamiento de datos personales sin hacer una adecuada discusión a nivel nacional puede resultar contraproducente para el futuro de la sociedad. Podríamos convertir, sin querer, a Costa Rica en una mina de datos que le pueden permitir a cualquier país extranjero convertirlo en un espacio para el espionaje mundial -dirigido a nacionales o extranjeros- o inclusive facilitar la represión de opositores, a través de la vigilancia permanente, para un futuro gobierno autoritario.
Debate mundial sobre videovigilancia con reconocimiento facial.
Estados Unidos es un país donde se usa este tipo de tecnologías por las fuerzas públicas con el fin de ayudar en la lucha contra el crimen, sin embargo, se ha presentado oposición ciudadana, tanto por los sesgos raciales y de género, como también por la creación de una infraestructura de vigilancia donde no hay suficiente transparencia sobre el uso que se le puede dar a este tipo de tecnologías.
Los senadores estadounidenses han presentado un proyecto de ley donde se propone se posponga la utilización de tecnologías de reconocimiento facial hasta que no exista una ley federal que regule su uso, ya que en la actualidad ni siquiera hay consenso sobre las buenas prácticas que deben seguirse en el uso de estas tecnologías. Sin embargo, la prohibición podrá levantarse, si se requiere por parte de la policía, bajo autorización judicial.
En Europa, se está discutiendo también sobre un veto de cinco años para el uso de sistemas de reconocimiento facial, el cual se presentará el próximo 19 de febrero. En un borrador filtrado a Reuters, se entiende que la Unión Europea no llegue a vetar los sistemas de reconocimiento facial, pero sí establecer límites a dicha tecnología. Sobre este tema, Margrethe Vestager, vicepresidenta de la Comisión Europea y comisaria de Competencia, indicó lo siguiente:
«los sistemas de inteligencia artificial pueden ser una “caja negra”, de forma que no se pueda comprobar si utilizan datos sesgados y poder hacer frente a las respuestas que producen. Por ello, “siempre deben ser las personas, no los ordenadores, las que estén, en última instancia, a cargo de las decisiones que afectan a nuestras oportunidades y a nuestra libertad”. Fuente: Computer World.
En China, ya cuentan con con más de 170 millones de cámaras con sistemas de reconocimiento facial (se estima que se instalarán 400 millones más en los próximos tres años), y el gobierno tiene la capacidad de identificar a un ciudadano en un tiempo menor a los 7 minutos, en China continental. Lo más grave es el sistema de crédito social, donde las personas pueden tener consecuencias en su vida diaria, como no poder usar el transporte público, si se detecta que no tienen una buena calificación.
Costa Rica puede convertirse en un gobierno vigilante
En nuestro país hay muchas iniciativas que «sin querer» podrían estar dando pasos agigantados hacia la construcción de una infraestructura de vigilancia ciudadana que mal utilizadas, en un futuro, podrían darle mucho poder a un gobierno autoritario.
Todo aumento en el tratamiento de datos personales por parte del Estado debería acompañarse de esfuerzos para el fortalecimiento de las instituciones del Estado que ayudan a fortalecer la ciberseguridad:
1. CSIRT-CR: el Centro de Respuesta de Incidentes de Seguridad Informática, que fue creado a finales del 2012, en todos estos años, con ojos externos no percibimos síntomas de fortalecimiento y ni siquiera muestra capacidades de retención de talentos cuya formación le ha costado al país. Me consta que históricamente los funcionarios a cargo han mostrado muy buena voluntad, pero desde mi lente no veo real voluntad política para darles armas para que hagan su trabajo.
2. PRODHAB: a pesar de que debería fiscalizar las bases de datos personales del Estado, promover las buenas prácticas en la protección de los datos y el cumplimiento de la ley, como lo indicaba en el artículo anterior, no pareciera tampoco que hasta la fecha se hayan hecho esfuerzos por fortalecerla. Por ejemplo, resulta increíble cómo la agencia «temporalmente» lleva meses usando un correo de gmail para comunicaciones oficiales y su sitio web no cuenta con un certificado digital (SSL), lo que en ambos casos representa riesgo de suplantación de identidad.
Construyendo una estrategia de privacidad.
Con el fin de cumplir requisitos e ingresar a OCDE, a través de la PRODHAB, el presente gobierno está creando una Estrategia de Privacidad, donde entiendo que paralelamente se presentará un proyecto de ley sobre protección de datos personales, cuya discusión no debería tomarse a la ligera, debido a los grandes avances en más recopilación de datos por parte del gobierno que deberían tener mayores controles.
Los proyectos que más me levantan las alarmas a nivel de privacidad ciudadana, a pesar de que estoy seguro que sus objetivos son nobles, son los siguientes:
1. Sistema de identificación digital: un proyecto con indudables beneficios para la ciudadanía, pero que también abre las puertas para un riesgo para la privacidad de los ciudadanos. La existencia de una base de datos electrónica a través de la cual una persona, legal o ilegalmente, podría consultar cuál ha sido el paso de ciertos ciudadanos en instituciones públicas, genera serias dudas que deberían haberse discutido a nivel nacional antes de su implementación. Ya lo están usando para identificar visitantes en el Ministerio de Hacienda, Poder Judicial e inicia su uso en la CCSS.
Preguntas abiertas:
a- ¿Cuál es el fundamento legal para esa recopilación sin consentimiento informado a través de sistemas de reconocimiento facial? ¿Se pueden tratar datos personales sensibles por el gobierno? (Ver artículos 5, 8 y 9 de la ley № 8968 )
b- ¿Cuál es la posición de la PRODHAB con respecto a este tema? ¿Ha fiscalizado que se cumpla el marco jurídico sobre protección de datos personales?
2. Levantamiento administrativo del secreto bancario: el Ministerio de Hacienda requiere se hagan reformas legales «de manera que la autoridad tributaria pueda conseguir información sobre los activos y los ingresos que manejan las empresas, así como su patrón de gasto». Más allá de si es excesivo o correcto, se debe analizar qué datos son estrictamente necesarios para que Hacienda pueda cumplir el fin de reducir la evasión fiscal.
Preguntas abiertas:
a- ¿Merece la misma protección a la privacidad una persona física a una jurídica?
b- ¿Es necesario levantar el secreto bancario o se puede crear un sistema de alertas ante comportamientos sospechosos de acuerdo a lo que se establezca en el momento en la ley? ¿O se piensa que un burócrata debería tener acceso a todos los datos personales sensibles contenidos en un estado de cuenta bancario?
3. Sistema de tránsito con cámaras de videovigilancia: este sistema tendrá como fin el cumplimiento de la ley de tránsito, lo que parece que no debería tener mayores repercusiones para la privacidad de los usuarios. Sin embargo, el sistema tendrá un algoritmo que identifica placas, las recopila, las categoriza y lo más preocupante es lo que adelanta la funcionaria que dio declaraciones al diario La Nación:
“Significa que yo le puedo dar seguimiento a una placa en particular y puedo tener el recorrido de esa placa mientras pase por donde tengo la tecnología instalada. La idea es que en siguientes fases este proyecto sea de utilidad para otras instituciones como el Organismo de Investigación Judicial”
Preguntas abiertas:
a- ¿Cuáles son las salvaguardas para que esta información, en tiempo real, no sea utilizada con fines espurios o sea interceptada en tiempo real por una potencia extranjera?
b- ¿Tendrá el sistema una bitácora de accesos a la información que se recopile? ¿Se tiene previsto un sistema de auditoría proactivo para controlar el acceso a esta información?
c- ¿Qué es más peligroso, una intervención telefónica activa -en tiempos donde la mayoría de personas usan sistemas que encriptan comunicaciones de punto a punto- o un monitoreo en tiempo real de los movimientos de un ciudadano?
d- ¿Si se analiza esta información en conjunto con otra información que recopila el gobierno, como lo es las facturas de compras de un individuo, cuánta información estamos dispuestos a que controle el gobierno sin control?
4. Videovigilancia con sistemas inteligentes en Municipalidades: la vigilancia a través de cámaras es una acción importante para incrementar la seguridad y debe aumentarse. Sin embargo, cuando se tienen planes de reconocimiento facial o de placas de vehículos, surgen dudas sobre el tratamiento de los datos personales y cómo podrían utilizarse en contra del ciudadano, más cuando no hay transparencia sobre los sistemas utilizados.
Tuve la oportunidad de ver una exposición de un alcalde, donde anuncia que estaban analizando la posibilidad de usar el reconocimiento de las placas de los vehículos que circulan por el cantón y también un sistema de reconocimiento facial para identificar delincuentes. En este caso, no solo me preocupa sobre la legalidad de la iniciativa, sino que también sobre el uso de sistemas de «caja negra» que no nos permiten saber si permiten tratamientos ilegales o vigilantes en contra de la población.
5. Resoluciones de la PRODHAB sobre el derecho al olvido: Aunque no es propiamente sobre vigilancia, sí se da sobre el control que puede tener el estado con la normativa de protección de datos. En este caso, la agencia ha obligado a La Nación a borrar noticias que vinculan a personas que cometieron actos delictivos y cuyas noticias superan los diez años. Lo anterior sin hacer análisis sobre el interés público de la noticia. Ver video.
Preguntas abiertas
a- ¿Puede un gobierno utilizar las herramientas de protección de datos personales para «borrar el pasado» de personas que quieran ingresar a la política nuevamente?
b- ¿La propuesta de PRODHAB, a cargo de una empresa consultora, para reformar la ley de protección de datos personales protegerá la libertad de prensa o buscará legalizar estos actos?
Conclusión
En el proceso de transformación digital del Estado costarricense la ciberseguridad y la protección de los datos personales deben ser el eje central, por lo que es incompatible con la democracia avanzar hacia un Estado que recopile información personal sin ninguna clase de control o salvaguardas.
Cuando se trata de la seguridad de los sistemas informáticos de un Estado y la protección de los datos no puede dejarse de lado el posible interés de potencias extranjeras, por lo que no se puede avanzar ni un solo paso sin priorizar la ciberseguridad.
Si el gobierno busca proponer una nueva legislación no debe hacerlo a la carrera y debe discutirlo de forma adecuada (De forma transparente y abierta) , porque los retos regulatorios son grandes y los intereses de diferentes grupos enormes.
