El estado actual de la protección de los datos biométricos en Costa Rica

El 2020 inició con el escándalo de la Unidad Presidencial de Análisis de Datos que incluía  datos “confidenciales”/ ”sensibles” y terminó con la instalación de 195 cámaras de reconocimiento facial en Alajuela y un proyecto de ley que autoriza la comercialización de datos biométricos ¿Qué está pasando en Costa Rica? ¿Qué podemos esperar para este 2021?

El panorama al día de hoy

En febrero de 2020 se desató un escándalo en la casa presidencial. El 17 de dicho mes se publicó el decreto presidencial Nº 41996-MP-MIDEPLAN firmado en octubre del año anterior que regularizaba la creación de la Unidad Presidencial de Análisis de Datos (UPAD), y que fue derogado cuatro días después de su publicación. La tardía regularización no es lo peor en este caso. Sucede que, según el artículo 7, esta unidad tenía acceso a “datos confidenciales” (que se pueden entender como datos “sensibles” o “personales”) sin el consentimiento de las personas y amparándose en excepciones amplias de la legislación de datos personales. Esto motivó a la fiscalía a allanar la casa presidencial y hasta el día de hoy los procesos de investigación judiciales y parlamentarios siguen en pie.

El escándalo llevó a que muchas y muchos costarricenses se cuestionaran respecto cómo el Estado procesaba los datos personales de toda la población. Sin embargo, esta preocupación no duró mucho en medio de una pandemia, la cual a su vez empeoró la situación al justificar la implementación de tecnología que afectan la privacidad. 

Por ejemplo, el 9 de noviembre Humberto Soto alcalde de Alajuela en Costa Rica, anunció el inicio del proyecto “Alajuela Segura” que incluye la instalación de 195 cámaras con tecnología de reconocimiento facial creando así un sistema de vigilancia masiva que recolecta y utiliza los datos biométricos de los ciudadanos y ciudadanas. El riesgo que presenta para los derechos humanos – en especial para la privacidad- hace que el proyecto esté lleno de cuestionamientos. Por esta razón, el 7 de enero enviamos una carta al alcalde solicitando una reunión para resolver varias preguntas y conocer más del proyecto; lamentablemente hasta la fecha no hemos recibido respuesta. 

Otro caso problemático es el Proyecto de Ley con expediente Nº 21321 presentado el 27 de marzo de 2019. El proyecto crea una única base de datos biométrica para la verificación de identidad de personas, tarea que el Tribunal Supremo de Elecciones viene implementando  sin un marco legal que lo autorice y cree protecciones suficientes desde enero de aquel año. Lo más preocupante de este proyecto es que permitiría que dicho Tribunal comercialice el acceso a los datos biométricos con otras instituciones públicas o privadas. No fue sino hasta noviembre del 2020 que los debates para la aprobación del proyecto se retomaron dando como resultado un dictamen positivo y unánime de todo el proyecto en la Comisión de Gobierno y Administración de la Asamblea. Desde ese entonces el proyecto está esperando ser discutido y votado en el pleno.

Adicionalmente, Costa Rica tiene dos temas pendientes relacionados a la protección de los datos personales y la privacidad a nivel internacional. El primero es la adhesión de Costa Rica a la Organización para la Cooperación y el Desarrollo Económicos. Para culminar este proceso, el país debe adoptar una serie de medidas, entre ellas la adopción de una Estrategia Nacional de Privacidad, de la cual no tenemos noticias desde hace seis meses. El segundo tema es la adhesión al Convenio 108 – tratado del Consejo de Europa sobre protección de datos personales- que implicaría que el marco jurídico costarricense se enriquezca y esté a la par de otros países; sobre el cual tampoco se tienen noticias.

Como vemos, Costa Rica debe reforzar y actualizar su compromiso con la protección de la privacidad y de los datos personales para avanzar el trabajo que inició en 2011 cuando aprobó la Ley Nº 8968 – Ley de Protección de la Persona frente al tratamiento de sus datos personales. Hoy el país tiene nuevos desafíos. Especialmente, el sistema de protección de datos biométricos tiene fallas; veamos porqué. 

¿Los datos biométricos están protegidos en Costa Rica?

Según el grupo de trabajo Artículo 29, los datos biométricos son información sobre características fisiológicas, rasgos de la personalidad, propiedades biológicas que podemos atribuir a una persona y que podemos medir. Ejemplo de ello son la huella dactilar, el grupo sanguíneo, la estructura del iris, los rasgos faciales, los tics, entre otros. 

Debido a que los datos biométricos son tan delicados e inherentes a la persona, las modernas legislaciones de datos personales los incluye expresamente dentro de la categoría de datos sensibles. Esta categoría agrupa aquellos datos de carácter íntimo como la preferencia religiosa, orientación sexual, información biológica, entre otros, cuya recolección y procesamiento abusivo o indebido puede provocar discriminación y serias afectaciones a los derechos de los y las titulares de los datos; razón por la cual las regulaciones les brindan una protección más alta que a la generalidad de datos personales. 

En Costa Rica, el artículo 24 de la Constitución reconoce el derecho el derecho la intimidad de manera general. Este artículo, junto con otros, son desarrollados por la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Esta ley crea la categoría de “datos sensibles” definiéndolos en el artículo 3 e) como “información relativa al fuero íntimo de la persona”. Sin embargo, da ejemplos donde no se incluye a los datos biométricos y ello genera un problema de interpretación. 

Por un lado, la Contraloría General de la República recientemente señaló que como la ley no contiene una regulación explícita, los datos biométricos quedan bajo la protección general del artículo 24; el cual permite que una ley especial aprobada por dos tercios del total de diputados disponga el acceso a los datos. Actualmente, no hay una ley con dichas características que específicamente se refiera a los datos biométricos y otorgue garantías. Por otro lado, están quienes consideran que los datos biométricos deben considerarse “datos sensibles” y así recibir protección especial, pero para ello tendrán que probarlo. Si no se acepta dicha interpretación, se podría argumentar que los datos biométricos son datos personales en tanto son información relativa a una persona.

Otro problema son las excepciones establecidas en el artículo 8 de la actual ley de datos personales. La vaguedad y amplitud con la que están consagradas limita de forma excesiva la aplicación del principio general que prohíbe el procesamiento de datos sensibles y el ejercicio del derecho de autodeterminación informativa o de protección de datos personales. Las excepciones referidas a la “adecuada prestación de servicios públicos y la eficaz actividad de la autoridad pública” sustentaron la creación de la UPAD y el Proyecto de Ley que crea la base de datos biométrica. Asimismo, la excepción sobre la “persecución de infracciones penales” es la que hoy permite el proyecto Alajuela Segura. 

Más allá de las situaciones ya descritas al inicio del blog, esta desprotección de los datos biométricos puede implicar otros riesgos: 

  • Crear perfiles de personas, categorizarles y discriminar el acceso a servicios públicos de acuerdo al perfil; 
  • Si los datos biométricos son filtrados, pueden utilizarse para el robo de identidad, estafas, entre otros;
  • Crear un sistema de vigilancia masiva de seguimiento en vivo a cada persona eliminando así la presunción de inocencia;
  • Utilización de los datos biométricos para fines comerciales como para analizar el comportamiento de personas, sin su autorización y predecir sus reacciones, gustos y preferencias como en el metro de São Paulo.

Todas estas consecuencias indeseables y otras más podrían evitarse si pudiese garantizarse la correcta aplicación de la ley y si estuviese adaptada a los modernos estándares de protección de datos personales. Por lo tanto, es necesario reformar y actualizar la ley vigente para garantizar los derechos de las personas frente al procesamiento indebido de sus datos biométricos y para garantizar que la Prodhab ejerza su poder de control y de implementación de la ley de forma independiente. 

¿Qué podemos hacer?

Como primera opción, exigimos la suspensión de los proyectos comentados y nos oponemos a los nuevos desarrollos que impliquen un uso sin consentimiento de los datos biométricos. En ese sentido, como ciudadanía debemos preguntarnos si realmente es necesario que utilicen datos biométricos y si dicha propuesta crea mayores beneficios que riesgos para nuestros derechos. Como segunda opción debemos exigir información y pedir un debate abierto con las diversas partes interesadas. El Alcalde de Alajuela aún nos debe una respuesta. Les pedimos que nos apoyen compartiendo este blog en sus redes sociales etiquetando a la Municipalidad @munialajuela ¡La protección de los datos biométricos es una tarea conjunta, contamos con vos!


Sigue las cuentas de Access Now para Latinoamérica:

Twitter  |  Instagram