Me preocupa por más de un motivo que el proyecto de ley 21321, denominado Ley de repositorio único nacional para fortalecer las capacidades de rastreo e identificación de personas, haya sido aprobado unánimemente en la comisión legislativa y que pueda convertirse en ley.
Me sorprende, además, que una propuesta tan delicada haya recibido poca atención de la ciudadanía, que sería la más afectada por una incompetencia legislativa y, lo que es más grave, la vulneración de nuestros derechos a la personalidad y a la privacidad.
El proyecto pretende transformar la plataforma de identificación biométrica creada por el Tribunal Supremo de Elecciones (TSE) en el 2019 —para robustecer la información del Registro Civil y la función electoral— en un repositorio único para «fortalecer las capacidades de las autoridades policiales y judiciales», accesible, sin orden judicial, para todo tipo de entes públicos y privados. La información biométrica incluye huellas dactilares de los diez dedos y reconocimiento facial y de voz y otros rasgos corporales únicos, como el iris del ojo, la forma de las orejas y hasta la manera de caminar.
No me opongo al progreso tecnológico, de por sí imparable. La información biométrica la concedimos hace mucho tiempo a nuestros teléfonos celulares; permitimos que sea capturada por empresas poco escrupulosas como Facebook y usada a su arbitrio para sus propios fines; la entregamos sin chistar cada vez que ingresamos a países democráticos como Estados Unidos, o autocráticos como China; muy pronto la Unión Europea instalará una enorme base de datos biométrica para controlar las fronteras Schengen. En la India, el gobierno crecientemente autoritario y xenófobo de Modi impuso el polémico sistema de identificación Aadhaar, actualmente considerada la base estatal multimodal de datos biométricos más grande del mundo.
Privacidad y derechos. El desarrollo del procesamiento automatizado y de transmisión en tiempo real de un volumen colosal de datos, dentro y fuera de las fronteras de cualquier país, es una realidad. Datos que pueden ser almacenados, combinados, alterados y retransmitidos casi al infinito.
Por eso la protección de la privacidad personal debe ser el eje rector de todas las decisiones y acciones en torno a la información biométrica. El primer párrafo de cualquier texto o investigación sobre la tecnología biométrica suele advertir los riesgo para la privacidad e integridad de las personas. El Estado, en particular, tiene el deber constitucional de proteger nuestros derechos, incluidos los asociados a la personalidad.
No sucede eso con el proyecto 21321. En la exposición de motivos no hay una mención, ni una, a los términos privacidad y derechos. El enfoque está exclusivamente en la seguridad nacional; un fin loable, pero no en detrimento de nuestras libertades fundamentales.
Por otra parte, el proyecto propone que se recolecte la información biométrica de todos los costarricenses desde los 12 años de edad. Eso ya debería encender luces rojas, sobre todo porque en el proceso de consultas, llevado a cabo por la Comisión Legislativa Permanente de Gobierno y Administración, no consta que se haya incluido al Patronato Nacional de la Infancia.
Sí consultaron a un banco, a la Junta de Protección Social, al Ministerio de Seguridad y a algunos otros entes. La Dirección General de Migración y Extranjería externó preocupación por varios aspectos del proyecto; más aún, dijo que depositar ese tipo de información en bases de datos que no estén en dicha Dirección podría «implicar lesiones al derecho de la intimidad de las personas en relación con sus datos personales». El único experto consultado fue el director de estrategia tecnológica del TSE. Pero no hubo expertos independientes en ciberseguridad, big data o inteligencia artificial, por ejemplo.
Venta de datos. El artículo 4 dice: «Las instituciones descentralizadas que conforman el sector público costarricense y el sector privado en general, que requieran verificar la identidad de las personas por medio de la citada plataforma nacional, podrán adquirir los servicios correspondientes», a cambio de una tarifa. Es decir, de aprobarse, el Estado estaría facultado para lucrar con nuestra información personalísima. No veo compatibilidad entre esta potestad y la seguridad nacional que el proyecto pretende proteger.
Para redundar, se propone crear un artículo 24 bis en el Código Electoral para establecer que los datos compilados en ese repositorio «no estarán sujetos al principio de consentimiento informado que establece la legislación nacional en materia de protección de datos». Ni más ni menos.
Quieren vigilarnos, identificarnos como sospechosos de un crimen y hasta vender nuestros datos a cualquiera, sin nuestro permiso. Incluso, prevé que «se adquiera nueva tecnología que permita ampliar la identificación de personas a través de la incorporación de más rasgos biométricos que se consideren necesarios», a la vez que impone un límite de 24 meses para modernizar la plataforma que ya está en el TSE.
Otros defectos imperdonables del proyecto es la ausencia de referencia a estándares mínimos de seguridad, privacidad, tecnológicos y técnicos del repositorio, así como de mecanismos de auditoría sobre la gestión de los datos por los entes que tendrían acceso a ellos. Tampoco establece sanciones por las violaciones, usos indebidos u otras irregularidades, ni previsiones como la obligación de avisar a la persona cuya información haya sido vulnerada.
Internacionalmente se han establecido determinados parámetros legales, de seguridad, de gobernanza, de tipos de tecnología y procesos de interoperabilidad, de formas de almacenamiento, auditorías, certificaciones ISO e IEC, niveles de autenticación y otros para cada etapa y subetapa del registro, almacenamiento, manejo y verificación de la información biométrica.
Los estándares de seguridad en esta materia son desafiados constantemente por la rápida innovación tecnológica y la diversificación de productos, así como por el desarrollo tecnológico de quienes se dedican a vulnerar la tecnología. Existen modelos de buenas prácticas de los que podemos aprender.
Otro tipo de contribución social. Dentro de los objetivos de desarrollo sostenible de Naciones Unidas, el 16, inciso 9, aspira a «proporcionar acceso a una identidad jurídica para todos, en particular mediante el registro de nacimientos». En Costa Rica, el TSE cumple esa labor desde hace decenios en forma sobresaliente.
A los costarricenses nos cuesta entender que en el mundo hay millones de personas sin un número de identificación que les permita votar, acceder a la seguridad social y a financiamiento, casarse o tener un pasaporte para viajar. Por eso, dotar de identificación a la población mundial es una meta y un indicador de desarrollo.
Hasta hace poco, la identificación consistía en el nombre, fecha de nacimiento, domicilio, un número único y una fotografía de mala calidad. Luego se incluyó el registro bidactilar. Hoy es posible capturar electrónicamente diversas características biométricas que son únicas y facilitan una identificación más precisa.
Pero otorgar identidad jurídica a cada persona para garantizar el goce de sus derechos civiles y políticos no es el único objetivo de los gobiernos y de las empresas recolectoras de nuestra información biométrica. Los riesgos son inmensos. Los ejemplos de abuso de dichas tecnologías abundan en el mundo. Por eso, la literatura especializada reconoce que la efectividad y la legitimidad de un sistema de identificación personal depende de la rigurosidad técnica y ética en todo el ciclo de gestión de los datos.
Los riesgos y desafíos empiezan desde el diseño, cuya columna vertebral debe ser la privacidad que, como vimos, no es reconocida en el proyecto de marras. También puede haber debilidades de diseño que arrojen «falsos positivos» en el reconocimiento, lo cual es sumamente delicado cuando el uso es para fines policiales o de seguridad del Estado.
También existe el peligro de la discriminación algorítmica, que consiste en la presencia de sesgos en la inteligencia artificial que lesionarían derechos de algunas personas o grupos de personas. En Estados Unidos el uso de algoritmos policiales predictivos que han «aprendido» a discriminar con base en rasgos raciales, porque aprendieron (machine learning) de los datos que emite una sociedad racista, ha contribuido a la detención desproporcionada de personas de raza negra.
Y, por supuesto, están los riesgos derivados de la transgresión o pirateo informático de esos bancos de datos biométricos para robos, fraudes, suplantación de personalidad y otros delitos. La violación de los datos de ese repositorio podría tener consecuencias gravísimas e irreparables para la integridad digital, física, económica, profesional y más de las personas. Por estos motivos y otros más, el proyecto 21321 debe ser desechado y archivado.
Toda iniciativa de ley o decreto que, como este, roce con nuestros derechos fundamentales y nuestras libertades democráticas debe pasar por los más rigurosos filtros técnicos y éticos, y ser objeto de un amplio debate para la debida información de los ciudadanos sobre algo que les atañe de forma personalísima.
agl.cr.ca@gmail.com
La autora es activista cívica.