Protección de Datos PersonalesLas amenazas estatales a la privacidad continúan en Costa Rica.

Los pasos agigantados que está dando el país hacia la recolección masiva de datos personales de sus habitantes es preocupante,  ya que se promueve sin garantizarle al ciudadano un marco de protección robusto a su privacidad , dándole la prioridad a la tecnología y a la seguridad, sin pensar en las consecuencias sobre la democracia si se hace un uso abusivo de estas tecnologías. El uso de datos biométricos para fines de seguridad nacional es una discusión válida y el país de forma soberana puede elegir ese camino, pero no debe hacerse sin realizar un debate serio sobre cómo visualizamos la Costa Rica del futuro y si queremos seguir caminos de naciones democráticas o el de las autoritarias donde el irrespeto a la privacidad es la norma.

En nuestro país todo parece indicar que nos estamos inclinando por la segunda, lo que me ha generado mucha preocupación y en ese sentido, 7 días antes de que CRHOY.com denunciara la gravedad del decreto UPAD, en este espacio alertaba sobre los peligros de un gobierno vigilante, lo que deja claro que UPAD es tan solo una de tantas amenazas estatales a la privacidad ciudadana. Genera todavía más alarma que, a pesar del escándalo que se generó con este tema, se siga avanzando de forma descontrolada hacia la vigilancia estatal omnipresente, como en los dos temas que analizaré hoy:

Sistema de vigilancia con reconocimiento facial.

La Municipalidad de Alajuela anunció:  «será el primero en usar vigilancia con video ligada a inteligencia artificial y detección facial capaz de señalar en tiempo real a los responsables de delitos o de violar medidas para evitar contagios de la covid-19…»

«…Son 195 cámaras de vigilancia con esas capacidades las que se instalarán para combatir delitos como acoso sexual callejero, robos, hurtos u otro ilícitos. Estos equipos, además, pondrán en evidencia incumplimientos sanitarios como distanciamiento entre personas o andar sin mascarilla… Con esa tecnología, dice la Municipalidad, será posible ejecutar búsquedas detalladas en videos con criterios específicos como por ejemplo, el color de las prendas de vestir o placas de vehículos. La instalación de cámaras y equipos se inició este mes. La intención es finalizar el año con 156 cámaras (80% del total) en funcionamiento…». (Fuente:nacion.com).

Esto convertiría al cantón de Alajuela al primero en el país en acercarse al sistema de vigilancia china donde se puede localizar a un ciudadano en la China continental en tan solo 7 minutos , donde como puede verse adicionalmente podrán también darle seguimiento a la trayectoria de vehículos que circulen por ese cantón, por lo que si usted debe transitar por dicho cantón debe saber que su desplazamiento, en carro o a pie, podrá ser monitorizado por un gobierno local, que no puede garantizarle al ciudadano que no puede realizarse con fines políticos.

En Rusia, donde al igual que Alajuela tienen sistemas de cámaras con reconocimiento facial se descubrió un mercado negro donde por menos de 200 euros se puede comprar un informe del desplazamiento de un ciudadano ruso,  situación que no es tan ajena a la costarricense donde vemos cómo los engaños vía teléfono para la comisión de las estafas informáticas también se beneficia de la venta o utilización ilegal de los datos personales de los costarricenses.

 Uno puede comprender las buenas intenciones de un gobierno local, sin embargo,  esto no quita que esta vigilancia con reconocimiento facial sea ilegal por tratarse de datos personales biométricos que capturados en conjunto con la trayectoria de los individuos y otras características serían sensibles, sin dejar de lado que el tratamiento no es justo, razonable, ni se realiza de forma transparente, además que es una conducta municipal violatoria del principio de legalidad y el de reserva de ley, de la misma forma que UPAD.

Este tipo de vigilancia que utiliza a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona, limita de manera importante no solo el derecho de autodeterminación informativa,  sino que también otros derechos fundamentales como la libertad de tránsito, ya que toda persona para transitar por Alajuela debe aceptar que podrá ser afectada su privacidad o evitar visitar dicho cantón, si es que esto le es posible.

Por lo anterior es importante preguntarse:

a. ¿Se podría utilizar para obtener información de contrincantes políticos y utilizarlo electoralmente?  

b. ¿De qué base de datos biométrica se alimentaria para identificar personas?  ¿De la base de datos del TSE?

c. ¿Cuál es el fundamento legal de la municipalidad? ¿El mismo de UPAD con respecto a las limitaciones del derecho de autodeterminación informativa? ¿Es esto razonable, justo y con base el principio de transparencia administrativa?

2. Proyecto de ley № 21321, denominado «Ley de Repositorio Único Nacional para Fortalecer las Capacidades de Rastreo e Identificación de las personas». El diputado, por la provincia de Alajuela, Daniel Ulate, hizo esta propuesta con el fin de dotarle a «el Tribunal Supremo de Elecciones la responsabilidad de crear, como reserva de Estado, una Plataforma Nacional de Identificación Biométrica, la cual almacenará en un único repositorio nacional información biométrica de todos los costarricenses mayores de doce años, sin perjuicio de que se pueda adquirir nueva tecnología que permita ampliar la identificación de personas a través de la incorporación de más rasgos biométricos que se consideren necesarios·.  El diputado inicia la exposición de motivos con análisis de las estadísticas sobre el aumento de la criminalidad en el país e indica:

«…es impensable que, existiendo la tecnología para captar huellas en nuestro país, no tengamos un sistema nacional de identificación biométrica único y completo que pueda ser de consulta y cotejo para fines de investigación judicial de manera ágil y eficiente, tanto por el Organismo de Investigación Judicial, los cuerpos de policía, como para la Dirección General de Migración y Extranjería (DGME)»

Pero en realidad lo que parece impensable es que un proyecto de ley sobre la limitación de la protección a los datos personales de los habitantes, como el № 21321, no contenga una sola mención, ni en su exposición de motivos,  al derecho de privacidad, la autodeterminación informativa ni a la transferencia de datos personales y solo una mera referencia que “no debe contravenir las garantías dispuestas en la Ley N.° 8968, Protección de la Persona frente al Tratamiento de sus Datos Personales”, cuando cualquier especialista en la materia a quien consulte el diputado le podría indicar que nuestra legislación no tiene las garantías suficientes con respecto a los procesos de identificación biométrica como el que se pretende regular.

¿Qué datos pretenden recopilar para usarlos para la identificación de usuarios?

De acuerdo al artículo primero no ponen ningún límite con respecto a qué información podrán recopilar y utilizar para la identificación de los usuarios.

«ARTÍCULO 1-     El Tribunal Supremo de Elecciones tendrá la responsabilidad de crear, como reserva de Estado, una Plataforma Nacional de Identificación Biométrica, la cual almacenará en un único repositorio nacional información biométrica de todos los costarricenses mayores de doce años, sin perjuicio de que se pueda adquirir nueva tecnología que permita ampliar la identificación de personas a través de la incorporación de más rasgos biométricos que se consideren necesarios.  La Dirección General de Estrategia Tecnológica del Tribunal Supremo de Elecciones será el órgano responsable de administrar la Plataforma Nacional de Identificación Biométrica, así como el diseño, desarrollo, mantenimiento preventivo y evolutivo del respectivo sistema automatizado, conforme a lo señalado en esta ley.

Además, en el citado repositorio se registrará la misma información de todos los extranjeros que ingresen y residan de manera temporal o permanente en el país, así como aquellos extranjeros que requieran solicitar visa para ingresar al territorio nacional.»

¿Pero qué es un dato biométrico?

De acuerdo al artículo 4, del Reglamento General de Protección de Datos (🇪🇺  RGPD ), se define de la siguiente manera:

«datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

¿Y qué tecnología podrían adquirir en el futuro para identificarnos? 

De acuerdo a la Guía de «Tecnologías biométricas aplicadas a la ciberseguridad» de INCIBE  (🇪🇸  Instituto Nacional sobre Ciberseguridad) existen las siguientes tecnologías existentes:

Fisiológicas:  se caracterizan por considerar parámetros derivados de la medición directa de algún rasgo estrictamente físico del cuerpo humano a la hora de identificar personas. 

1. Huella dactilar.
2. Reconocimiento facial.
3. Reconocimiento de Iris
4. Reconocimiento de geometría de la mano.
5. Reconocimiento de retina.
6. Reconocimiento vascular.
7. Otros: líneas de la palma de la mano, forma de las orejas, piel (textura de la superficie dérmica), ADN (patrones personales en el genoma humano), composición química del olor corporal.

De comportamiento: se caracterizan por considerar en el proceso de identificación rasgos derivados de una acción (al escribir, al caminar, etc.) realizada por una persona. Por tanto, incluyen la variable tiempo, ya que toda acción tiene un comienzo, un desarrollo y un final:

1. Reconocimiento de firma.
2. Reconocimiento de escritor
3. Reconocimiento de voz
4. Reconocimiento de escritura de teclado
5. Reconocimiento de forma de andar.

¿Y cuál es el riesgo? 

El TSE desde hace más de cinco años comercializa con el servicio de verificación de identidad (VID), el cual presentó en mayo del 2015 de la siguiente manera:

«¿Qué es el VID?

Es un servicio de Verificación de Identidad que lanza el Tribunal Supremo de Elecciones en alianza con RACSA, el cual permite el cotejo de la  huella dactilar con el  número de cédula registrado gracias al enlace directo con la base de datos oficial de los ciudadanos costarricenses.» (Texto extraído de la página del TSE del 20 de mayo del 2015)

El TSE fundamenta dicho servicio de acuerdo a los artículos 93 y 95 de la Ley Orgánica del Tribunal Supremo de Elecciones y Registro Civil, la Resolución 2357  del TSE y el artículo 24 del Código Electoral.  La recopilación de la huella dactilar  se fundamenta en el artículo  75 inciso b) de Ley Orgánica del Tribunal Supremo de Elecciones y Registro Civil.  Por otro lado,  los fines para los que son recolectados los datos y documentos requeridos para la emisión de la cédula (art. 66 de la ley Orgánica del Registro Civil) parecen ser claros: establecer, en cualquier momento:

1.  La legitimidad de la emisión de la cédula.
2. La exactitud de los datos que en ella se consignan.
3. La identidad del dueño o portador.

 Y aunque uno puede analizar a mayor profundidad y diferir  en cuanto a la solidez del fundamento legal de dicha actividad, lo importante es analizar los riesgos si se aprueba el proyecto de ley № 21321:

En la actualidad, el TSE tiene la potestad de recopilar su huella, cotejarla para identificarle a través de un servicio tecnológico con la que recopila un tercero para la consulta de verificación de identidad. Esta recopilación de este dato biométrico y la Verificación de Identidad (VID) requieren de su consentimiento expreso para efectuarse, ya que es información de acceso restringido.  Quiere decir que, en la actualidad,  el TSE no podría brindar el servicio de identificación con reconocimiento facial sin el consentimiento del usuario sobre la recopilación y tratamiento del dato biométrico, pero con el proyecto de ley № 21321, elimina el requisito del consentimiento informado:

ARTÍCULO 8.- Se adiciona un artículo 24 bis a la Ley 8968 (sic) “Código Electoral” que se leerá de la siguiente manera:

“Artículo 24 bis.– Repositorio Único de Identificación Biométrica

La información recopilada y contenida en las bases de datos del Tribunal Supremo de Elecciones, para identificación de personas costarricenses, entre éstos los necesarios para el funcionamiento y utilización del Repositorio Único de Identificación Biométrica que utilizará la Plataforma Nacional de Identificación Biométrica del Tribunal Supremo de Elecciones, no estarán sujetos al principio de consentimiento informado que establece la legislación nacional en materia de protección de datos, cuando sean para fines electorales, de identificación o de verificación de identidad.”

Permitiría Identificación con reconocimiento facial en las vías públicas.

Aunque este artículo podría parecer inocuo debido a que es un servicio del Estado, en realidad estaría construyendo el marco normativo para que a los habitantes puedan identificarles con tecnología de reconocimiento facial, de la forma de andar, entre otras mencionadas anteriormente, por cualquier lugar en el que anden en el país. En China, desde el año 2018 el gobierno ya puede identificar a los ciudadanos chinos analizando la forma de andar de estos, captadas a través de cualquiera de las 170 millones de cámaras CCTV con las que cuenta el país , aparte de la tecnología que lleva años de estarse implementando de reconocimiento facial y el sistema de crédito social donde se sanciona a los ciudadanos de acuerdo a los comportamientos captados en sus sistemas. Uno se pregunta, ¿es esta la Costa Rica que queremos para el futuro?

Alajuela ya tomó ese camino sin una sólida base legal, a pesar de una tendencia mundial en las democracias liberales donde se han establecidos moratorias para el uso de cámaras con inteligencia artificial y reconocimiento facial en las vías públicas y una solicitud del Colegio de Abogados y Abogadas en el Informe de la Comisión Ad-hoc sobre UPAD en ese mismo sentido, por los riesgos para las libertades individuales si este tipo de tecnología se establece sin un marco regulatorio que le brinde garantías al ciudadano.

La regulación sobre el uso de datos biométricos debe contener garantías superiores a las presentes en nuestra obsoleta ley de datos personales.

Toda normativa que pretenda regular el tratamiento de datos personales por parte del Estado debe hacerlo en concordancia con la normativa nacional de protección de datos personales y la regulación extranjera que funge como estándar sobre esta materia, como lo es el Reglamento General de Protección de Datos (RGPD) y el Convenio 108+, en el que Costa Rica aspira a ser parte. En este sentido, de acuerdo al artículo 5 y 6,  de dicho convenio  queda claro que los desequilibrio entre los intereses involucrados, seguridad ciudadana y autodeterminación informativa, puede generar impacto en otras libertades del individuo, que en nuestro caso finalmente pueden generar un daño grave a nuestra democracia.

1. El tratamiento de datos deberá ser proporcional al fin legítimo perseguido y reflejará en todas las etapas de tratamiento un equilibrio justo entre todos los intereses involucrados, ya sean públicos o privados, así como los derechos y las libertades en juego….»

Como puede verse, en el proyecto de ley № 21321 no hay ningún equilibrio y se sacrifica de forma plena un derecho con respecto al otro, regulando como si la autodeterminación informativa y la privacidad no existiese, en afinidad con la actitud gubernamental de falta de protección de los datos de los habitantes, que propicia actividades delictivas y a su vez tratos discriminatorios. 

Permitiría la transferencia de datos sin consentimiento del ciudadano.

Parte de los riesgos que se presentaban dentro de UPAD tienen que ver con la centralización de los datos de los habitantes, debido a la transferencia ilegal de los datos entre diferentes instituciones públicas, pero en este proyecto de ley no solo se elimina de forma general el consentimiento para fines de identificación, sino que también se permitiría hacer transferencias de datos personales al sector privado que desee contratar el servicio de VID. Si analizamos el proceso de identificación biométrica, una persona captura un dato personal le da un tratamiento técnico para poder cotejarla con la plantilla biométrica en posesión del TSE, quien le devolvería el estado de la solicitud, rechazo o confirmación, sobre el proceso de identificación, lo que es un dato personal de acceso restringido derivado de un tratamiento personal de identificación biométrica.

Permitiría la recopilación de datos genéticos en el TSE.

A través de este proyecto, como pudo verse anteriormente se establece la posibilidad de una recopilación de todo dato biométrico en el futuro, lo que no excluye la identificación a través de la recolección de datos biométricos provenientes de muestras biológicas, lo que genera gran preocupación porque proyectos como el propuesto requieren una amplia discusión y si llegaran a permitirse no podrían darse sin las garantías necesarias para proteger al ciudadano.

RECOMENDACIONES:

1. A la Asamblea Legislativa se le recomienda que se archive el proyecto de ley  № 21321, debido a falta de criterios técnicos, legales y al alto riesgo a la privacidad de los habitantes del país.
2. A la Asamblea Legislativa se le recomienda que  construya un marco normativo más robusto sobre el funcionamiento del VID del TSE y que analice la necesidad de crear un marco normativo sobre cámaras con inteligencia artificial, el cual debe tener las garantías suficientes para proteger los derechos fundamentales de los habitantes.
3. Los alajuelenses y los ciudadanos del país pueden presentar un recurso de amparo en contra de la vigilancia con reconocimiento facial y de placas de la Municipalidad de Alajuela, con la expectativa de que los magistrados protejan al ciudadano de una novedosa limitación a la libertad de tránsito de los costarricenses y de la invasión de su privacidad.
4. A la Prodhab se le recomienda que de acuerdo a las atribuciones contenidas en el artículo 16 de la ley №8968, requiera de oficio a las municipalidades que utilicen tecnología de reconocimiento de placas o facial la información necesaria para la fiscalización sobre el cumplimiento de la ley y en caso de darse un incumplimiento del plexo normativo de protección de datos personales que imponga las sanciones correspondientes.