PRIDAT

La Fundación Privacidad y Datos es una organización sin fines de lucro cuya misión es la protección de los datos personales de los costarricenses, promover una cultura de privacidad digital e incidir en el diseño de políticas públicas informadas que permitan al país alinear las bondades de la tecnología con el respeto a la democracia y los derechos fundamentales.

Comunicados y Reportes

CP-02-2021
13 noviembre 2021

La recolección de datos personales sensibles de la población por medio de niños y niñas es una actuación inaceptable del Ministerio de Educación Pública

Las actuaciones del MEP violentan el derecho a la intimidad, la protección de datos personales y el interés superior de los niños y niñas

Con ocasión de la realización de las Pruebas FARO, el día 12 de noviembre de 2021 el Ministerio de Educación realizó una recolección masiva de datos personales relativos a la condición socioeconómica, por medio de niños y niñas de 11 años, obligados a completar durante horas el formulario denominado “Factores Asociados”.

Los datos recolectados, al revelar la condición socioeconómica, constituyen datos sensibles de acuerdo con el artículo 3 inciso e) de la Ley de Protección de Datos Personales. Ninguna persona está obligada a suministrar datos sensibles, y su tratamiento está limitado a los casos en que se cuente con el consentimiento del titular del dato o cuando sean aplicables las excepciones del artículo 9(1) de la Ley de Protección de Datos Personales, ninguna de las cuales se aplica a la realización de pruebas académicas.

El consentimiento de un menor de edad únicamente puede ser otorgado por sus padres, y para ser válidamente otorgado, habría implicado como mínimo revelar cuál es la finalidad del tratamiento de los datos, el responsable de la base de datos, las personas que podrán consultarla, si la misma puede ser transferida a otras entidades públicas o privadas y el plazo de conservación.

El tratamiento de datos por parte del Estado o sus instituciones debe respetar el principio de transparencia administrativa, que implica, en primer término, que los ciudadanos estén informados de la existencia de una base de datos y de la recolección de sus datos personales. Este principio se vio violentado al no informar previamente a los padres de la intención de realizar esta recolección de datos personales.

Las actuaciones del Ministerio de Educación no resguardan el interés superior del menor, consagrado en el artículo 5 del Código de la Niñez y la Adolescencia, al no considerar su edad, grado de madurez, capacidad de discernimiento y demás condiciones personales a la hora de someterlos a un interrogatorio escrito sobre sus condiciones socioeconómicas.

La única solución aceptable a esta situación es que el Ministerio de Educación elimine la totalidad de los datos personales recolectados mediante ese mecanismo, por tratarse de acopio de datos sin el consentimiento informado de los menores de edad mediante medios fraudulentos, desleales e ilícitos.

PRIDAT insta a la Agencia de Protección de Datos Personales a ordenar una medida cautelar, como la faculta la Ley 8968, ordenando al Ministerio la suspensión del uso de los datos personales recabados en estas condiciones.

Sobre la Fundación PRIDAT:

PRIDAT es una ONG que desarrolla 3 ejes principales: 1) Política pública, mediante la promoción de iniciativas regulatorias que promuevan el respeto de la vida privada, la intimidad y la protección de datos; 2) Difusión mediante el desarrollo de campañas de concientización, talleres y capacitación en general, focalizadas en los grupos más vulnerables de la población, con la finalidad de desarrollar una cultura de protección de datos personales, y 3) Litigación: mediante el ejercicio de acciones legales tendientes a la protección y defensa de intereses difusos y colectivos de la población relacionados con los derechos a la vida privada, intimidad y protección de datos personales.

Para más información:
Nombre: Daniel Rodríguez Maffioli
Puesto: Director Ejecutivo
Contacto: info@pridat.org.
Página web: https://pridat.org/

Pasaporte biométrico: a qué precio?

Hace algunas semanas el Gobierno anunció la implementación de un pasaporte biométrico a partir del primer trimestre del 2022. El Proyecto, concebido hace más de cuatro años, busca robustecer la seguridad de este importante documento y colocar al país “a la altura de las últimas tendencias de movilidad a nivel global”, según las palabras utilizadas por la Directora General de Migración y Extranjería.

El objetivo pretendido por el Gobierno con esta iniciativa es apropiado y razonable. Sin embargo, en democracia, el fin no justifica los medios. El proyecto de pasaporte biométrico podría tener vicios graves de legalidad que pondrían en riesgo su implementación. Quisiéramos creer, por lo tanto, que aún se está a tiempo de enmendar.

Pero empecemos por lo positivo. Nadie en su sano juicio se opondría a que el país aproveche las ventajas de la tecnología para fortalecer la seguridad de nuestros pasaportes. Un pasaporte biométrico contribuye a controles migratorios céleres, y disminuye considerablemente los riesgos de suplantación de identidad y fraude. Además, contribuye significativamente a identificar criminales de todo tipo, que buscan escapar de la justicia o utilizar nuestro país como parte de sus planes delictivos.

Sin embargo, cuando se analizan los titulares noticiosos con detalle y se estudian las consecuencias, surgen dudas más que razonables detrás de esas loables intenciones. Los datos biométricos son, en términos muy sencillos, datos relativos a nuestro cuerpo que nos identifican de forma única. Para extraer esos datos, se utilizan métodos tecnológicos que permiten traducir la información en un lenguaje digital que las computadoras puedan almacenar y reconocer. Pues bien, a partir del próximo año, cuando usted acuda a su cita para obtener o renovar el pasaporte, Migración no solo va a obtener su huella digital, sino que un sistema informático va a analizar su rostro para crear, con su fotografía, un mapa digital único. Esa información será luego almacenada -quiero creer que de forma segura y encriptada conforme a los estándares internacionales- en un microprocesador (chip) que estará incrustado en el pasaporte. Todo este proceso involucra lo que se denomina un “tratamiento de datos biométricos”.

Los datos biométricos son datos sensibles protegidos por el derecho a la intimidad y a la autodeterminación informativa, ambos derivados del artículo 24 de la Constitución Política. Por lo tanto, el tratamiento de estos datos está reservado a la ley. No lo dice PRIDAT, lo dice también la Procuraduría General de la República en un pronunciamiento reciente: “el tratamiento de los datos biométricos de las personas debe estar autorizado por una Ley habilitante” (PGR, OJ-004-2021). En el caso concreto, ni la Ley de Protección de Datos (Ley 8968) ni la Ley General de Migración y Extranjería (Ley 8764) autorizan a Migración a recopilar o tratar de cualquier forma datos biométricos de los costarricenses para la emisión de pasaportes. La primera de estas leyes ni siquiera regula expresamente el uso de esta categoría de datos.

Una Ley es garantía para los ciudadanos no solo porque emana de la Asamblea Legislativa, donde reside la voluntad popular, sino porque define las reglas a las que se debe someter Migración, y el Estado en general, para recolectar, utilizar y proteger los datos biométricos. Sin esa Ley, los costarricenses estamos a expensas de las medidas que Migración y el Estado decidan aplicar unilateralmente y sin regulación alguna.

Lastimosamente, las cosas no terminan ahí. Migración ha afirmado que pretende compartir los datos biométricos con otros Estados; es decir, ¡efectuar una transferencia internacional de datos sensibles de los costarricenses sin su consentimiento y sin Ley que lo autorice! Lo anterior sin considerar que ya de por sí las bases de datos de Migración y del TSE se comparten con otras instituciones públicas sin que los costarricenses lo sepan, y sin base legal para ello. De llevarse adelante este proyecto, los datos biométricos de los costarricenses terminarán en quién sabe cuántas otras instituciones sin competencia legal para utilizarlos y sin medidas de seguridad proporcionales.

A este punto, y ante la poca información técnica que han brindado las autoridades, los temores justificados se acrecientan. Por ejemplo, se desconocen las medidas de seguridad que implementará Migración para proteger datos tan sensibles. También se ignora por cuánto tiempo almacenará Migración los datos en sus sistemas una vez que son trasladados al chip del pasaporte físico. En principio, esos datos deberían ser eliminados una vez efectuado su traslado al pasaporte, pues su conservación por más tiempo no es imprescindible para los fines perseguidos. Pero si el propósito es conservarlos, ¿Qué límites van a tener otras entidades del Estado en cuanto al uso de estos datos personales? ¿Podrán tener otros cuerpos policiales acceso a estos datos? ¿En qué condiciones? ¿Qué usos serán permitidos con ellos? ¿Podrían los cuerpos policiales utilizar software de reconocimiento facial en espacios públicos con estos datos? Probablemente la respuesta que darán las autoridades, como en otros casos, sea que eso nunca sucederá, pero en un estado democrático necesitamos encontrar respuestas en la legislación, no en los discursos oficiales.

Para terminar, ¿se consultó a la Agencia de Protección de Datos sobre este proyecto? ¿Realizó la Dirección de Migración una evaluación de impacto respecto de los derechos fundamentales de los habitantes? ¿Se tomaron en consideración los pronunciamientos de la Procuraduría General de la República respecto de la necesidad de una norma habilitante que legitime el tratamiento de datos biométricos? La millonaria inversión que ha hecho el país en este Proyecto exige que la Dirección de Migración brinde explicaciones suficientes y oportunas, pero sobre todo que brinde garantías jurídicas sólidas sobre su actuación.

Ejes de incidencia

Trabajamos en tres ejes principales de incidencia:

Política pública: mediante el apoyo de iniciativas de ley que promuevan el respeto a los derechos a la vida privada, intimidad y protección de datos, así como el monitoreo regulatorio constante de disposiciones que puedan contravenir o debilitar tales derechos.

Difusión: mediante el desarrollo de campañas de difusión y concientización, talleres y capacitación en general, focalizadas en los grupos más vulnerables de la población, con la finalidad de desarrollar una cultura de protección de datos personales.

Litigación: mediante el ejercicio de acciones judiciales y administrativas tendientes a la protección y defensa de intereses difusos y colectivos de la población relacionados con los derechos a la vida privada, intimidad y protección de datos personales.

Proyectos

• Promover la aprobación del Proyecto de Ley No. 22063 de reforma al artículo 24 de la Constitución Política, para incorporar el Derecho a la Protección de Datos Personales como un derecho autónomo, aunque complementario al de Privacidad.

• Impulsar la adopción de una reforma integral a la Ley 8968 de Protección de Datos Personales, que adopte un estándar internacional con las matizaciones requeridas para su incorporación local.

• Impulsar la adopción del Convenio 108 de la Unión Europea y sus Protocolos por parte de Costa Rica.

• Establecer canales de cooperación con la Agencia de Protección de Datos Personales para el desarrollo de iniciativas conjuntas enfocadas en la educación de la población, especialmente la más vulnerable, en materia de protección de datos personales.

• Impulsar alianzas internacionales con entidades regionales con un enfoque similar en otras jurisdicciones, que permitan potencializar el alcance de los proyectos, intercambiar experiencias y aprender de mejores prácticas internacionales.

Equipo

PRIDAT está dirigida de manera por una Junta Administrativa conformada por 5 directores voluntarios y un Director Ejecutivo, a saber:
Mauricio ParísKarima SaumaCarolina TabordaHernando SeguraWarren CorralesDaniel Rodríguez Maffioli (Director Ejecutivo)

Contacto

Si desea contactar a PRIDAT puede seguirnos en nuestras redes sociales o enviarnos un correo electrónico.

info@pridat.org