Me preocupa por más de un motivo que el proyecto de ley #21321, “Ley de Repositorio Único Nacional para Fortalecer las Capacidades de Rastreo e Identificación de Personas”, haya sido aprobado unánimemente en comisión legislativa y pueda convertirse en ley. Me sorprende, además, que una propuesta tan delicada como esa haya recibido poca atención de la ciudadanía, que sería la más afectada por incompetencia legislativa y, lo que es más grave, por la eventual vulneración de nuestros derechos a la personalidad y a la privacidad.

El proyecto busca transformar la plataforma de identificación biométrica creada por el Tribunal Supremo de Elecciones (TSE) en 2019 (para robustecer la información del Registro Civil y la función electoral), en un repositorio único para “fortalecer las capacidades de las autoridades policiales y judiciales”, y a la vez accesible, sin orden judicial, para todo tipo de entes públicos y privados. La información biométrica puede incluir las 10 huellas dactilares, reconocimiento facial, de voz y de otros rasgos corporales únicos como el iris del ojo, la forma de las orejas y hasta la forma de caminar.

No me opongo al progreso tecnológico, de por sí imparable. La información biométrica la concedimos hace mucho tiempo a nuestros teléfonos celulares; permitimos que sea capturada por empresas poco escrupulosas como Facebook y usada a su arbitrio para sus propios fines; la entregamos sin chistar cada vez que ingresamos a países democráticos como Estados Unidos, o autocráticos como China; muy pronto la Unión Europea instalará una enorme base de datos biométrica para controlar las fronteras Schengen. En la India, el gobierno crecientemente autoritario y xenófobo de Modi impuso el polémico sistema de identificación Aadhaar, actualmente considerada la base estatal multimodal de datos biométricos más grande del mundo.

El desarrollo del procesamiento automatizado y transmisión en tiempo real de un volumen colosal de datos, dentro y fuera de las fronteras de cualquier país, es una realidad. Datos que pueden ser almacenados, combinados, alterados, y retransmitidos, casi al infinito.  Por eso la protección de la privacidad personal deba ser el eje rector de todas las decisiones y acciones en torno a la información biométrica.  El primer párrafo de cualquier texto o investigación sobre la tecnología biométrica suele advertir del riesgo que implica para la privacidad e integridad de las personas.  El Estado, en particular, tiene el deber constitucional de proteger todos nuestros derechos, incluidos los asociados a la personalidad.

No sucede eso con el proyecto #21321. En su exposición de motivos no hay una mención, ni una sola vez, a los términos “privacidad” ni “derechos”. El enfoque está exclusivamente en la lucha contra la criminalidad; un fin loable, pero no en detrimento de nuestras libertades fundamentales.

Por otra parte, el proyecto propone que se recolecte la información biométrica de todos los costarricenses desde los 12 años de edad. Eso ya debería encender luces rojas, sobre todo porque en el proceso de consultas que realizó la Comisión Legislativa Permanente De Gobierno Y Administración, no consta que se haya incluido al Patronato Nacional de la Infancia.

Sí consultaron a un banco, a la Junta de Protección Social, al Ministerio de Seguridad y a algunos otros entes. La Dirección General de Migración y Extranjería externó preocupación por varios aspectos del proyecto; más aún, dijo que depositar ese tipo de información en bases de datos que no estén en dicha Dirección, podría “eventualmente implicar lesiones al derecho de la intimidad de las personas con relación de sus datos personales…”. El único experto consultado fue el Director de Estrategia Tecnológica del TSE. Pero no hubo expertos independientes en ciberseguridad, Big data, o inteligencia artificial, por ejemplo.

El artículo 4 dice: “Las instituciones descentralizadas que conforman el sector público costarricense y el sector privado en general, que requieran verificar la identidad de las personas por medio de la citada plataforma nacional, podrán adquirir los servicios correspondientes”, a cambio de una tarifa. Es decir, de aprobarse, el Estado podría lucrar con nuestra información personalísima. No veo compatibilidad entre esta potestad y la seguridad nacional que el proyecto pretende proteger.

Para redundar, se propone crear un artículo 24 Bis del Código Electoral, que diría que los datos compilados en ese repositorio, “no estarán sujetos al principio de consentimiento informado que establece la legislación nacional en materia de protección de datos…”. Ni más ni menos. Quieren poder vigilarnos, identificarnos como sospechosos de un crimen, y hasta vender nuestros datos a cualquiera, sin nuestro permiso. Incluso prevé que “se adquiera nueva tecnología que permita ampliar la identificación de personas a través de la incorporación de más rasgos biométricos que se consideren necesarios”, a la vez que impone un límite de 24 meses para modernizar la plataforma que ya está en el TSE.

Otros defectos imperdonables del proyecto son la ausencia total de referencia a estándares mínimos de seguridad, privacidad, tecnológicos y técnicos del repositorio, así como de mecanismos de auditoría sobre la gestión de los datos por parte de los entes que tendrían acceso a ellos. Tampoco establece sanciones por eventuales violaciones, usos indebidos u otras irregularidades, ni previsiones como la obligación de avisar a la persona cuya información haya sido vulnerada.

Internacionalmente se han establecido determinados parámetros legales, de seguridad, de gobernanza, de tipos de tecnología y procesos de interoperabilidad, de formas de almacenamiento, auditorías, certificaciones ISO/IEC, niveles de autenticación, y otros, para cada etapa y sub-etapa del registro, almacenamiento, manejo y verificación de la información biométrica. Los estándares de seguridad en esta materia son desafiados constantemente por la rápida innovación tecnológica y la diversificación de productos, así como por el desarrollo tecnológico de quienes se dedican a vulnerar la tecnología. Existen modelos de buenas prácticas de los que podemos aprender.

Dentro de los Objetivos de Desarrollo Sostenible de Naciones Unidas, el 16 inciso 9 aspira a “proporcionar acceso a una identidad jurídica para todos, en particular mediante el registro de nacimientos.”  En Costa Rica, el TSE viene cumpliendo esa labor desde hace decenios en forma sobresaliente. A los ticos nos cuesta entender que en el mundo hay millones de personas sin un número de identificación que les permita votar, tener acceso a la seguridad social y a financiamiento, casarse, o tener un pasaporte para viajar. Por eso dotar de identificación a toda la población mundial es una meta y un indicador de desarrollo.  Hasta hace poco, la identificación consistía en el nombre, fecha de nacimiento, domicilio, un número único y una fotografía de mala calidad. Luego se incluyó el registro  bidactilar. Hoy es posible capturar electrónicamente diversas características biométricas que son únicas y permiten una identificación más precisa.

Pero otorgar identidad jurídica a cada persona para garantizar el goce de sus derechos civiles y políticos, no es el único objetivo de los gobiernos y de las empresas que recolectan nuestra información biométrica. Y los riesgos son inmensos. Los ejemplos de abuso de dichas tecnologías abundan en el mundo. Por eso, la literatura especializada reconoce que la efectividad y la legitimidad de un sistema de identificación personal depende de la rigurosidad técnica y ética en todo el ciclo de gestión de los datos.

Los riesgos y desafíos empiezan desde el diseño, cuya columna vertebral debe ser la privacidad que, como vimos, no es reconocida en el proyecto de marras. También puede haber debilidades de diseño que arrojen “falsos positivos” en el reconocimiento, lo cual es sumamente delicado cuando el uso es para fines policiales o de seguridad del Estado. También existe el peligro de la discriminación algorítmica, que consiste en la presencia de sesgos en la inteligencia artificial que pueden afectar derechos de algunas personas o grupos de personas. En Estados Unidos el uso de algoritmos policiales predictivos que han “aprendido” a discriminar con base en rasgos raciales, porque aprendieron (machine learning) de los datos que emite una sociedad con problemas de racismo, ha contribuido a la detención desproporcionada de personas de raza negra.

Y, por supuesto, están los riesgos derivados de la transgresión o “hackeo” de esos bancos de datos biométricos, para robos, fraudes, suplantación de personalidad y otros delitos. La violación de los datos de ese repositorio puede tener consecuencias gravísimas e irreparables para la integridad digital, física, económica, profesional y más, de las personas.  Por estos motivos, y otros que este espacio no permite abordar, el proyecto de ley 21321 debe ser desechado y archivado.

Cualquier otra iniciativa de ley o decreto que, como este, pueda rozar con nuestros derechos fundamentales y nuestras libertades democráticas, debe pasar por los más rigurosos filtros técnicos y éticos, y ser objeto de un amplio debate que permita la debida información de los ciudadanos sobre algo que les atañe de forma personalísima.

Publicado en el periódico La Nación, domingo 6 de diciembre de 2020.