PRIDAT

La Fundación Privacidad y Datos es una organización sin fines de lucro cuya misión es la protección de los datos personales de los costarricenses, promover una cultura de privacidad digital e incidir en el diseño de políticas públicas informadas que permitan al país alinear las bondades de la tecnología con el respeto a la democracia y los derechos fundamentales.


Comunicados y Reportes

COMUNICADO SOBRE ATAQUE DE RANSOMWARE A MINISTERIO DE HACIENDA
19 de abril de 2022

El Ministerio de Hacienda debe rendir cuentas a los contribuyentes afectados y a la PRODHAB sobre la filtración de datos personales, investigar lo sucedido y definir un plan de acción

EI día de ayer, 18 de abril de 2022, el Ministerio de Hacienda (“Hacienda”) confirmó que las plataformas de la Administración Tributaria Virtual (ATV) y TICA fueron víctimas de un ataque cibernético. El grupo de cibercriminales (autodenominado “Conti”) se atribuye haber infiltrado los sistemas de Hacienda a través de un software malicioso (ramsomware), para hacerse con 1 terabyte de información sensible de los contribuyentes. El grupo pretende el pago de 10 millones de dólares para no revelar públicamente la información y amenaza con seguir atacando los sistemas de otros Ministerios del gobierno. Incluso, ya se están generando consecuencias en servicios públicos derivadas de estos actos.

Ante estos hechos, desde la Fundación PRIDAT manifestamos lo siguiente:

1. Rechazamos las afirmaciones del Ministro de Hacienda, Elián Villegas, en el sentido de que la infiltración no es de suficiente gravedad debido a la naturaleza de los datos comprometidos. Resaltamos que cualquier filtración ilegítima de datos personales debe tomarse con seriedad, especialmente cuando se da en instituciones del sector público que manejan datos sensibles de millones de ciudadanos y que se utilizan para la prestación de servicios públicos. Al mismo tiempo, hacemos un llamado a la calma a la población. Este tipo de incidentes requieren un abordaje meticuloso que, en ocasiones, puede tomar más tiempo del deseado.

2. Solicitamos al Ministerio cumplir con lo estipulado en la Ley 8968 para incidentes como el presente, e informar dentro del plazo de ley, tanto a las personas afectadas, como a la Agencia de Protección de Datos (PRODHAB), sobre: a) la naturaleza del incidente, b) los datos personales afectados, c) las acciones correctivas realizadas hasta el momento, y d) los medios o puntos de contacto para obtener más información. En ese sentido, pedimos al Ministerio establecer canales seguros, formales y confidenciales de comunicación con los contribuyentes afectados, de manera que tengan siempre acceso a información actualizada sobre el incidente y los siguientes pasos que se tomarán.

3. Instamos al Ministerio a realizar una investigación inmediata y profunda sobre la naturaleza y causas del incidente, la cual debe identificar las vulnerabilidades de seguridad informática que permitieron que se diera el ataque, así como la cantidad de contribuyentes afectados por la supuesta filtración y las acciones inmediatas que tomará el Ministerio para mitigar los posibles daños derivados. Los resultados de esa investigación deben ser puestos en conocimiento de la ciudadanía y de la PRODHAB.

4. Solicitamos a la PRODHAB abrir una investigación paralela para determinar si los protocolos y medidas de seguridad técnicas y organizativas que tiene en pie el Ministerio fueron y son adecuados y proporcionales al riesgo que implica el tratamiento masivo de datos sensibles por parte de dicha entidad. A partir de los resultados de la investigación, la PRODHAB deberá determinar la procedencia de sanciones administrativas, y emitir recomendaciones para la mejora de la ciberseguridad a lo interno del Ministerio.
5. Instamos a la Presidencia de la República, Ministros y Ministras, y jerarcas del sector público, a incrementar la inversión en ciberseguridad y la capacitación de los funcionarios públicos, así como fomentar las alianzas público-privadas con organizaciones y empresas especializadas en la materia, para unir esfuerzos que permitan prevenir incidentes y amenazas de esta naturaleza en el futuro.

6. La ciberseguridad es central al proceso de transformación digital de la sociedad. Las amenazas informáticas no van a cesar porque son una parte intrínseca de esta nueva realidad digital. Por lo tanto, si bien es imposible reducir el riesgo a cero, se debe trabajar en fomentar la ciber resiliencia de país, es decir, en la capacidad de las organizaciones para anticiparse, resistir, recuperarse y adaptarse a cualquier ataque, peligro y amenaza sobre sus recursos informáticos, de manera que la organización pueda garantizar la continuidad de su negocio o actividad, y mantener la confianza de todas las partes interesadas.

Desde la Fundación PRIDAT nos ponemos a disposición de las autoridades para contribuir a un adecuado abordaje del incidente en procura de proteger la privacidad y los datos personales y sensibles de los contribuyentes. Asimismo, daremos seguimiento permanente al incidente, solicitaremos las explicaciones correspondientes y valoraremos las medidas que procedan según las circunstancias y la información que se vaya revelando durante los próximos días.

CP-02-2021
13 noviembre 2021

La recolección de datos personales sensibles de la población por medio de niños y niñas es una actuación inaceptable del Ministerio de Educación Pública

Las actuaciones del MEP violentan el derecho a la intimidad, la protección de datos personales y el interés superior de los niños y niñas

Con ocasión de la realización de las Pruebas FARO, el día 12 de noviembre de 2021 el Ministerio de Educación realizó una recolección masiva de datos personales relativos a la condición socioeconómica, por medio de niños y niñas de 11 años, obligados a completar durante horas el formulario denominado “Factores Asociados”.

Los datos recolectados, al revelar la condición socioeconómica, constituyen datos sensibles de acuerdo con el artículo 3 inciso e) de la Ley de Protección de Datos Personales. Ninguna persona está obligada a suministrar datos sensibles, y su tratamiento está limitado a los casos en que se cuente con el consentimiento del titular del dato o cuando sean aplicables las excepciones del artículo 9(1) de la Ley de Protección de Datos Personales, ninguna de las cuales se aplica a la realización de pruebas académicas.

El consentimiento de un menor de edad únicamente puede ser otorgado por sus padres, y para ser válidamente otorgado, habría implicado como mínimo revelar cuál es la finalidad del tratamiento de los datos, el responsable de la base de datos, las personas que podrán consultarla, si la misma puede ser transferida a otras entidades públicas o privadas y el plazo de conservación.

El tratamiento de datos por parte del Estado o sus instituciones debe respetar el principio de transparencia administrativa, que implica, en primer término, que los ciudadanos estén informados de la existencia de una base de datos y de la recolección de sus datos personales. Este principio se vio violentado al no informar previamente a los padres de la intención de realizar esta recolección de datos personales.

Las actuaciones del Ministerio de Educación no resguardan el interés superior del menor, consagrado en el artículo 5 del Código de la Niñez y la Adolescencia, al no considerar su edad, grado de madurez, capacidad de discernimiento y demás condiciones personales a la hora de someterlos a un interrogatorio escrito sobre sus condiciones socioeconómicas.

La única solución aceptable a esta situación es que el Ministerio de Educación elimine la totalidad de los datos personales recolectados mediante ese mecanismo, por tratarse de acopio de datos sin el consentimiento informado de los menores de edad mediante medios fraudulentos, desleales e ilícitos.

PRIDAT insta a la Agencia de Protección de Datos Personales a ordenar una medida cautelar, como la faculta la Ley 8968, ordenando al Ministerio la suspensión del uso de los datos personales recabados en estas condiciones.

Sobre la Fundación PRIDAT:

PRIDAT es una ONG que desarrolla 3 ejes principales: 1) Política pública, mediante la promoción de iniciativas regulatorias que promuevan el respeto de la vida privada, la intimidad y la protección de datos; 2) Difusión mediante el desarrollo de campañas de concientización, talleres y capacitación en general, focalizadas en los grupos más vulnerables de la población, con la finalidad de desarrollar una cultura de protección de datos personales, y 3) Litigación: mediante el ejercicio de acciones legales tendientes a la protección y defensa de intereses difusos y colectivos de la población relacionados con los derechos a la vida privada, intimidad y protección de datos personales.

Para más información:
Nombre: Daniel Rodríguez Maffioli
Puesto: Director Ejecutivo
Contacto: info@pridat.org.
Página web: https://pridat.org/

Pasaporte biométrico: a qué precio?

Hace algunas semanas el Gobierno anunció la implementación de un pasaporte biométrico a partir del primer trimestre del 2022. El Proyecto, concebido hace más de cuatro años, busca robustecer la seguridad de este importante documento y colocar al país “a la altura de las últimas tendencias de movilidad a nivel global”, según las palabras utilizadas por la Directora General de Migración y Extranjería.

El objetivo pretendido por el Gobierno con esta iniciativa es apropiado y razonable. Sin embargo, en democracia, el fin no justifica los medios. El proyecto de pasaporte biométrico podría tener vicios graves de legalidad que pondrían en riesgo su implementación. Quisiéramos creer, por lo tanto, que aún se está a tiempo de enmendar.

Pero empecemos por lo positivo. Nadie en su sano juicio se opondría a que el país aproveche las ventajas de la tecnología para fortalecer la seguridad de nuestros pasaportes. Un pasaporte biométrico contribuye a controles migratorios céleres, y disminuye considerablemente los riesgos de suplantación de identidad y fraude. Además, contribuye significativamente a identificar criminales de todo tipo, que buscan escapar de la justicia o utilizar nuestro país como parte de sus planes delictivos.

Sin embargo, cuando se analizan los titulares noticiosos con detalle y se estudian las consecuencias, surgen dudas más que razonables detrás de esas loables intenciones. Los datos biométricos son, en términos muy sencillos, datos relativos a nuestro cuerpo que nos identifican de forma única. Para extraer esos datos, se utilizan métodos tecnológicos que permiten traducir la información en un lenguaje digital que las computadoras puedan almacenar y reconocer. Pues bien, a partir del próximo año, cuando usted acuda a su cita para obtener o renovar el pasaporte, Migración no solo va a obtener su huella digital, sino que un sistema informático va a analizar su rostro para crear, con su fotografía, un mapa digital único. Esa información será luego almacenada -quiero creer que de forma segura y encriptada conforme a los estándares internacionales- en un microprocesador (chip) que estará incrustado en el pasaporte. Todo este proceso involucra lo que se denomina un “tratamiento de datos biométricos”.

Los datos biométricos son datos sensibles protegidos por el derecho a la intimidad y a la autodeterminación informativa, ambos derivados del artículo 24 de la Constitución Política. Por lo tanto, el tratamiento de estos datos está reservado a la ley. No lo dice PRIDAT, lo dice también la Procuraduría General de la República en un pronunciamiento reciente: “el tratamiento de los datos biométricos de las personas debe estar autorizado por una Ley habilitante” (PGR, OJ-004-2021). En el caso concreto, ni la Ley de Protección de Datos (Ley 8968) ni la Ley General de Migración y Extranjería (Ley 8764) autorizan a Migración a recopilar o tratar de cualquier forma datos biométricos de los costarricenses para la emisión de pasaportes. La primera de estas leyes ni siquiera regula expresamente el uso de esta categoría de datos.

Una Ley es garantía para los ciudadanos no solo porque emana de la Asamblea Legislativa, donde reside la voluntad popular, sino porque define las reglas a las que se debe someter Migración, y el Estado en general, para recolectar, utilizar y proteger los datos biométricos. Sin esa Ley, los costarricenses estamos a expensas de las medidas que Migración y el Estado decidan aplicar unilateralmente y sin regulación alguna.

Lastimosamente, las cosas no terminan ahí. Migración ha afirmado que pretende compartir los datos biométricos con otros Estados; es decir, ¡efectuar una transferencia internacional de datos sensibles de los costarricenses sin su consentimiento y sin Ley que lo autorice! Lo anterior sin considerar que ya de por sí las bases de datos de Migración y del TSE se comparten con otras instituciones públicas sin que los costarricenses lo sepan, y sin base legal para ello. De llevarse adelante este proyecto, los datos biométricos de los costarricenses terminarán en quién sabe cuántas otras instituciones sin competencia legal para utilizarlos y sin medidas de seguridad proporcionales.

A este punto, y ante la poca información técnica que han brindado las autoridades, los temores justificados se acrecientan. Por ejemplo, se desconocen las medidas de seguridad que implementará Migración para proteger datos tan sensibles. También se ignora por cuánto tiempo almacenará Migración los datos en sus sistemas una vez que son trasladados al chip del pasaporte físico. En principio, esos datos deberían ser eliminados una vez efectuado su traslado al pasaporte, pues su conservación por más tiempo no es imprescindible para los fines perseguidos. Pero si el propósito es conservarlos, ¿Qué límites van a tener otras entidades del Estado en cuanto al uso de estos datos personales? ¿Podrán tener otros cuerpos policiales acceso a estos datos? ¿En qué condiciones? ¿Qué usos serán permitidos con ellos? ¿Podrían los cuerpos policiales utilizar software de reconocimiento facial en espacios públicos con estos datos? Probablemente la respuesta que darán las autoridades, como en otros casos, sea que eso nunca sucederá, pero en un estado democrático necesitamos encontrar respuestas en la legislación, no en los discursos oficiales.

Para terminar, ¿se consultó a la Agencia de Protección de Datos sobre este proyecto? ¿Realizó la Dirección de Migración una evaluación de impacto respecto de los derechos fundamentales de los habitantes? ¿Se tomaron en consideración los pronunciamientos de la Procuraduría General de la República respecto de la necesidad de una norma habilitante que legitime el tratamiento de datos biométricos? La millonaria inversión que ha hecho el país en este Proyecto exige que la Dirección de Migración brinde explicaciones suficientes y oportunas, pero sobre todo que brinde garantías jurídicas sólidas sobre su actuación.

Ejes de incidencia

Trabajamos en tres ejes principales de incidencia:

Política pública: mediante el apoyo de iniciativas de ley que promuevan el respeto a los derechos a la vida privada, intimidad y protección de datos, así como el monitoreo regulatorio constante de disposiciones que puedan contravenir o debilitar tales derechos.

Difusión: mediante el desarrollo de campañas de difusión y concientización, talleres y capacitación en general, focalizadas en los grupos más vulnerables de la población, con la finalidad de desarrollar una cultura de protección de datos personales.

Litigación: mediante el ejercicio de acciones judiciales y administrativas tendientes a la protección y defensa de intereses difusos y colectivos de la población relacionados con los derechos a la vida privada, intimidad y protección de datos personales.

Proyectos

• Promover la aprobación del Proyecto de Ley No. 22063 de reforma al artículo 24 de la Constitución Política, para incorporar el Derecho a la Protección de Datos Personales como un derecho autónomo, aunque complementario al de Privacidad.

• Impulsar la adopción de una reforma integral a la Ley 8968 de Protección de Datos Personales, que adopte un estándar internacional con las matizaciones requeridas para su incorporación local.

• Impulsar la adopción del Convenio 108 de la Unión Europea y sus Protocolos por parte de Costa Rica.

• Establecer canales de cooperación con la Agencia de Protección de Datos Personales para el desarrollo de iniciativas conjuntas enfocadas en la educación de la población, especialmente la más vulnerable, en materia de protección de datos personales.

• Impulsar alianzas internacionales con entidades regionales con un enfoque similar en otras jurisdicciones, que permitan potencializar el alcance de los proyectos, intercambiar experiencias y aprender de mejores prácticas internacionales.

Equipo

PRIDAT está dirigida de manera por una Junta Administrativa conformada por 5 directores voluntarios y un Director Ejecutivo, a saber:
Mauricio ParísKarima SaumaCarolina TabordaHernando SeguraWarren CorralesDaniel Rodríguez Maffioli (Director Ejecutivo)

Contacto

Si desea contactar a PRIDAT puede seguirnos en nuestras redes sociales o enviarnos un correo electrónico.

info@pridat.org