¿En manos de quién está la protección de datos en el país?
(CRHoy.com).-Luego de la cuestionadísima creación de la Unidad Presidencial de Análisis de Datos (UPAD), quedaron más preguntas que respuestas sobre en manos de quién está la protección de datos en el país; la iniciativa anunciada en momentos en que Costa Rica tiene que resolver problemas urgentes como los altos índices de desempleo y la reactivación económica.
La unidad establecida por el Presidente Carlos Alvarado que fue derogada el viernes 21 de febrero se creó en el más absoluto secretismo no tiene claridad sobre el uso de la información confidencial recopilada, todo con el pretexto de hacer análisis de datos, lo cual es una tarea técnica y científica, no política. La UPAD tampoco tuvo el principio de publicidad que establece la legislación, sino que se supo de ella hasta que se publicó el decreto que la creaba en el diario oficial La Gaceta, sin tener ningún tipo de discusión previa y luego de año y medio de funcionamiento en secreto.
La derogatoria de la UPAD se hizo luego de múltiples cuestionamientos por parte de medios de comunicación, diputados, la Defensoría de los Habitantes y la opinión pública en general. Y este viernes 28 de febrero la Fiscalía allanó Casa Presidencial para recolectar información. En la diligencia judicial decomisaron los teléfonos celulares y computadoras del mandatario Carlos Alvarado y del Ministro de la Presidencia Víctor Morales, que tendrá que comparecer este 2 de marzo ante la Asamblea Legislativa para dar explicaciones sobre la unidad.
Ambos fueron llamados por la Fiscala General, Emilia Navas, para que se apersonaran al allanamiento, ya que no se encontraban en ese momento en Zapote.
Ese mismo día Catalina Crespo, defensora de los Habitantes, afirmó que la UPAD accedió a información sensible de la población.
En buena teoría la función de proteger la información de la ciudadanía corresponde a la Agencia de Protección de Datos de los Habitantes (Prodhab), pero las dudas surgen por casos de filtración de datos públicos que son abundantes, basta con ver algunos ejemplos recientes; a pesar de que la protección y privacidad de los datos personales es un derecho fundamental que todo individuo tiene, con el fin de controlar y proporcionar toda aquella información que lo identifica ante la sociedad, instituciones y gobierno.
Alejandro Madrigal.
Alejandro Madrigal que lleva año y medio trabajando en la recolección y almacenamiento de datos privados de ciertos sectores de la población, aseguró que durante el proceso de estructuración de la plataforma se consultó a la Prodhab, y que ellos siempre dieron visto bueno a la iniciativa. Sin embargo, la Prodhab afirmó que "no fue consultada sobre la estructuración de la Unidad Presidencial de Análisis de Datos. La creación de la UPAD fue de nuestro conocimiento una vez que se dio la publicación del decreto".
El viernes pasado a las 3 p.m., Prodhab informó a través de un comunicado de prensa que analizaba la viabilidad legal de la UPAD y mantuvo conversaciones con asesores jurídicos del Ministerio de la Presidencia con relación a la creación de la UPAD.
Una hora después, mediante un correo electrónico, aclaró que “el comunicado enviado previamente por la Prodhab queda sin efecto, dada la decisión de Casa Presidencial de comunicar la derogación del decreto en cuestión”.
Múltiples filtraciones de datos
En noviembre pasado un estudio de la Contraloría General de la República (CGR) determinó que en los centros de datos del Ministerio de Hacienda existen 5 mil cuentas activas de usuarios que no son funcionarios de dicha entidad, lo que representa un serio riesgo la información que se almacena y se procesa.
El informe del ente contralor deja al descubierto la vulnerabilidad de la información que se procesa en estos sitios donde incluso se encontraron falencias, en el nivel de complejidad de las contraseñas y la regla de cambio de las mismas.
La Contraloría también encontró debilidades físicas en los centros de datos ya que se necesitan medidas que garanticen que solo los usuarios autorizados puedan acceder. También se determinó que hay deterioro en la infraestructura física y debilidades en el mantenimiento de los equipos.
En cuanto a la vulnerabilidad de los servidores, se estableció que a pesar de que se realizaron evaluaciones, no se le dio seguimiento a 20 informes emitidos por la Unidad de Seguridad TIC. Esto provocó que, a este momento, existan 4.200 vulnerabilidades activas.
"El Ministerio de Hacienda no cuenta con un plan de continuidad del negocio, con planes de contingencia tecnológica, ni acuerdos de nivel de servicio. La ausencia de dichos controles impide que la administración tome las medidas necesarias para minimizar las pérdidas económicas, afectaciones legales, regulatorias o de imagen, que tendría que enfrentar en caso de que se presente una falla para la cual no esté preparado", indicó el ente contralor.
El análisis de la CGR se hizo antes de que Rodrigo Chaves, ministro de Hacienda, insistiera en levantamiento del secreto bancario como medida para mejorar la fiscalización tributaria y aumentar la recaudación fiscal.
El anuncio coincidió con la renuncia de Marcia González, exministra de Justicia, luego de que reconociera que estaba atrasada con sus obligaciones en el pago de impuestos.
Casi simultáneamente otro miembro del gabinete, Víctor Morales, tuvo que correr a ponerse al día con sus impuestos, pero a pesar de múltiples sectores pidieron la salida del ministro de la Presidencia, el mandatario Carlos Alvarado más bien lo apoyó en todo momento para que se mantuviera en su puesto.
Otro sonado caso fue el del 2015, cuando presuntamente 2 empleados del BAC descargaron datos del Sistema de Recaudación Centralizada (Sicere) de la Caja Costarricense de Seguro Social (CCSS) y habrían “hackeado” al menos 500 mil registros.
El primer allanamiento para para recopilar pruebas documentales y digitales se realizó en una sucursal de BAC San José en setiembre del 2015, entre lo decomisado figuraban documentos y equipo electrónico.
La denuncia indica que la descarga de más del medio millón de registros se hizo desde la IP de Credomatic, que a su vez es compartida por el BAC San José.
Casi 5 años después, el asunto sigue en investigación por parte de la Sección de Delitos Informáticos del Organismo de Investigación Judicial (OIJ).
Finalmente otro asunto preocupante son las llamadas desde la cárcel. Los estafadores que llaman desde prisión ya tienen un perfil completo de la víctima: conocen el teléfono, el banco en el que tiene la cuenta, los fondos disponibles, lo único que les falta es el token o la combinación alfanumérica en poder del cliente, lo cual es indispensable para poder hacer una transferencia de dinero a un tercero.
Este modus operandi no es de “disparos con escopeta”, el privado de libertad tiene claramente identificado a su blanco y cuenta con información detallada del estafado, datos que de alguna forma le suministraron al estafador.
Se estima que para el 2019, la suma robada a través de llamadas desde centros penitenciarios fue de ¢5 mil millones. El último corte del Ministerio de Justicia indica que este año han decomisado 387 celulares en cárceles nacionales, mientras que el tema del bloqueo de la señal celular sigue pendiente.
Sin embargo, los datos sensibles no siempre corresponden a una entidad bancaria, sino los timadores engañan haciéndose pasar por funcionarios de otras instituciones públicas como: el Ministerio de Hacienda, el Instituto Nacional de Seguros (INS), Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) , Sistema de Compras Públicas (Sicop), Dirección Nacional de Cooperativas (Dinadeco), Ministerio de Economía (MEIC), Caja Costarricense de Seguro Social (CCSS), Instituto Costarricense de Electricidad (ICE), Ministerio de Agricultura y Ganadería (MAG), así como los bancos públicos y el mismo Poder Judicial y el OIJ, con timos con la firma digital o el sistema de transferencias Sinpe.
Ninguna de todas estas instituciones públicas pide nunca información sensible como números de cuenta o claves dinámicas, pero los estafadores tienen acceso a datos del cliente que lo pueden terminar dejando con la cuenta bancaria vacía gracias a la empatía con que logran convencer a las víctimas, a las que les hacen creer que se trata de una llamada o un correo verdadero.
Fuertes críticas a la protección de datos
Todos estos antecedentes sirven de marco referencial para regresar al tema de la UPAD, considerada por algunos como una agencia estatal de espionaje y su relación con la ley de protección de datos, calificada como obsoleta por expertos consultados por CRHoy.com.
En el país, el tema está regulado por la Ley de Protección de la persona frente al tratamiento de sus datos personales, del 7 de julio del 2011, publicada en la Gaceta N. 170 del 5 de setiembre de 2011 con su Reglamento establecido por el Decreto Ejecutivo N° 37554-JP.
La protección y privacidad de datos no es un tema nuevo, desde hace varios años Costa Rica reconoció y protegió el derecho de los individuos a solicitar la eliminación o rectificación de estos, en aquellas plataformas o bases de datos donde han compartido su información para un fin determinado.
La protección y privacidad de los datos se encuentra regulada por la Ley N° 8968, la cual tiene como objetivo garantizar a toda persona, independiente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.
Gran parte de la información facilitada por los individuos en bases de datos (entre ellos los muy usados en la actualidad a través de servicios en la nube), están bajo la protección de la ley. Por lo tanto, los proveedores o encargados deben garantizar que esa información será utilizada de acuerdo con el consentimiento de su titular y para los fines con el cual fue recopilada.
Pero en general, los especialistas en el tema coinciden en que la ley de protección de datos ya está obsoleta ante las nuevas tecnologías a las que estamos expuestos y criticaron la privacidad de datos de instituciones públicas.
Mauricio París
“La ley cumple 10 años el año entrante y pasó casi una década en el Congreso antes de aprobarse, es una ley que ya tiene 20 años de estar propuesta, es una pieza de museo que es una mala copia de la ley española anterior que ya fue derogada. La ley tiene ese problema de ser de primera generación que existió sobre la materia y no tiene regulaciones claras ni sobre temas que han surgido recientemente como la inteligencia artificial”, explica el abogado Mauricio París, encargado de la Estrategia Nacional de Privacidad y Protección de Datos representante para América Central de la Asociación Latinoamericana de Privacidad (ALAP) y gerente regional de América Latina de la firma ECIJA.
“Lo que se regula son los principios aplicables a una determinada industria, el problema de esta ley es que se ha quedado muy atrás, requiere una actualización, una reforma completa, básicamente por 2 motivos: el primero por ser una ley que se quedó atrás, pero también por el tema del ingreso de Costa Rica a la OCDE que le dejó tareas al país y una de ellas es que se desarrolle una estrategia nacional de privacidad y protección de datos que refleje un enfoque coordinado entre el Estado que es el gran ausente de la protección de datos en Costa Rica.
El segundo motivo es porque el país ya inició el trámite para adherirse a un convenio internacional conocido como el 108 de la Unión Europea (UE) que es el único que existe en materia de protección de datos internacionales; el convenio está abierto a adhesión de estados comunitarios; como parte de los requisitos para que el país puede adherirse al convenio, es que tenga una legislación acorde con la UE.
Por esos motivos es necesario reformar completamente la ley y convertirla en una legislación de segunda generación, aunque no hay una iniciativa en este momento, va a ser la consecuencia de la Estrategia Nacional de Privacidad y Protección de Datos que lleva a cabo la Prodhab”, considera París.
Actualmente Costa Rica trabaja en la Estrategia Nacional de Privacidad y Protección de Datos y que será presentada durante este mes de marzo, requisito para ingresar a la Organización para la Cooperación y el Desarrollo Económicos (OCDE). La Prodhab es la responsable de la creación de esta iniciativa, bajo el apoyo del Ministerio de Comercio Exterior y la cooperación económica de la Embajada Británica.
Elizabeth Mora
La Directora Nacional de Prodhab, Elizabeth Mora Elizondo, afirmó que han planteado en varias ocasiones que la normativa en materia de protección de datos personales requiere ser adaptada al nuevo orden tecnológico, a las mejores prácticas a nivel mundial y al nuevo contexto costarricense. “La creación de la Estrategia Nacional de Privacidad indudablemente nos acercará en esa línea", aseguró.
“Hay una ley, hay una agencia, pero los ciudadanos no conocen sus derechos, el primer problema es de desconocimiento de marco regulatorios; el segundo problema es de cultura, aquí entendemos que la transparencia de nuestra vida es algo positivo, que es algo inconcebible en otros países.
Quien tiene los datos más sensibles es el Estado y es el lugar del que más se fuga la mayoría de datos que terminan alimentando bases de datos comercializables; otro problema es que el órgano regulador (Prodhab), no está regulando, ya que es una entidad minúscula y no tiene dientes para aplicar sanciones y realizar auditorías de oficio”, señala representante de ALAP.
“También se dan muchos malos manejos del mismo Estado, muchos de los sistemas como el Sicere permiten que los funcionarios metan los datos en una llave maya y ahí descargan la base de datos. Con un Estado que ofrece tantos servicios como luz, agua, teléfono, seguros, banca, Internet, educación, tiene todos los datos de todo el mundo y el Estado costarricense no ha hecho una adecuación a los estándares de la ley de protección de datos”, añade el abogado.
Para París, la transparencia debe entenderse con respecto a la actuación de sus funcionarios, no con la información de los administrados, si el Estado hace tratamiento de datos personales de ciudadanos, tiene un deber de guardar confidencialidad; el Estado necesariamente tiene que informarle al ciudadano que el tratamiento que se le está dando a sus datos personales tiene que tener una base legal para hacerlo y eso en la práctica no sucede.
“El Estado costarricense ni siquiera es consciente de los datos de las personas, no hay coordinación institucional sobre estos temas y tampoco hay control legislativo sobre la privacidad.
No hay criterios técnicos para determinar dónde está el límite entre la transparencia y la privacidad, quién determina qué es información pública: la Sala Constitucional, ¿cómo lo determina?, caso por caso, con qué criterios lo determina: con criterios políticos, así lo hace la Sala IV, no con criterios técnicos. Existe una incertidumbre completa entre dónde está el límite entre lo público y lo privado, hay una inseguridad jurídica”, finaliza el gerente regional para América Latina de ECIJA.
Pero la directora de la Prodhab respondió que la entidad ha manifestado la necesidad urgente de fortalecer la institución y dotarla de mayores recursos humanos y económicos para sustentar la labor que debería realizar de acuerdo con la ley. Por ejemplo, en este momento el edificio al que se pasaron luego de estar en las instalaciones del Registro Nacional, ni siquiera tiene conexión a Internet para realizar sus labores cotidianas.
En tanto, Gabriela Alfaro, asociada y especialista en protección de datos personales de Nassar Abogados, señala que “en Costa Rica tenemos una ley del 2011, pero todavía existe mucho desconocimiento de qué es lo que regula y qué obligaciones implican para las empresas y los ciudadanos. La ley pasó muchos años en la Asamblea Legislativa antes de que fuera aprobada y en el 2011 ya tenía muchos cambios de la propuesta original e incluso generó mucha confusión con algunos términos y lo que pasó es que las empresas decían: esa ley no me aplica a mí a cambio de dinero, por eso el reglamento ha sufrido varios cambios para tratar de amoldarse”.
Según la experta, “nuestra normativa de protección de datos es de primera generación, mientras que en Europa ya se tiene el reglamento de protección de datos que entró en vigencia en 2018 y es de avanzada, más allá de si se debe cambiar la norma que tenemos, es hacerla cumplir; algunos principios que tiene la legislación europea, no están contemplados en nuestra normativa. Uno esperaría que el sector público esté cambiando para adaptarse a la normativa que ya tiene muchos años de haber entrado en vigencia”.
Cuestionamientos a la Prodhab
Adalid Medrano, abogado especialista en Delitos Informáticos y Ciberseguridad, también hizo una serie de cuestionamientos a través de un blog al papel de la Prodhab.
“Es claro que nuestro país requiere mayor educación y fiscalización del tratamiento de los datos personales de los habitantes, ya sea por sus titulares como por Prodhab y/o la Fiscalía, en cumplimiento de las facultades establecidas por ley.
La labor de la agencia es demasiado importante para la protección del pasado, presente y futuro del país como para dejar que la institución se dirija con un rumbo poco claro. Si la Prodhab no hace su labor de forma adecuada, peligran los datos personales de los costarricenses, que pueden ser robados o darse tratamientos ilegales que pueden afectar al ciudadano en el presente o en el futuro”, detalla Medrano sobre la labor de la Agencia de Protección de Datos de los Habitantes.
En el mismo blog, Medrano califica a la Prodhab como una “agencia invisible”, ya que no enviaron ningún representante a una actividad organizada por el Colegio de Abogados, ni se manifestó por el caso anteriormente descrito del data centro de Hacienda, así como filtración masiva de datos d usuarios de la aplicación Uber.
“La Prodhab tiene su propio plan de capacitación y participación activa en varias comisiones a nivel interinstitucional, por lo que no podemos asistir a todas las actividades a las que somos invitados. Para el caso puntual que hace referencia el enlace, Prodhab agradeció la invitación y con antelación anunció que no podría asistir debido a compromisos previos, no obstante siempre hemos tenido una gran colaboración con colegios profesionales, academia y sectores.
Tan solo en el 2019, Prodhab participó o realizó cerca de 62 actividades, en las cuales resultaron capacitadas 2521 personas en total, por lo que sería incorrecto decir que la agencia se ausenta de actividades, no podemos cubrir la cuota de todas las invitaciones que es muy distinto", respondió Mora Elizondo al respecto.
Responsabilidad y pymes
Adrián Bustamante
Adrián Bustamante, miembro de la Junta Directiva del Colegio de Profesionales en Informática y Computación (CPIC), señala que “el responsable de una base de datos debe establecer y mantener las medidas de seguridad administrativas, físicas y lógicas para la protección de los datos personales deberá velar porque el encargado de la base de datos y el intermediario tecnológico cumplan con dichas medidas de seguridad para el resguardo de la información”.
"Las vulnerabilidades siempre existirán, pero es responsabilidad de los encargados y responsables de las bases de datos, contar con mecanismos de seguridad apropiados de acuerdo con su contexto y las nuevas tecnologías. El primer filtro de seguridad siempre será el habitante, quien debe actuar con cautela en cuanto a quién y cómo facilita sus datos personales, exigir que reciban un trato adecuado, de forma privada y segura.
Y desde luego, denunciar cualquier mal uso de sus datos personales. Solamente trabajando todos juntos, podremos crear la conciencia de cuidar la información personal de forma adecuada. Prodhab siempre tendrá un papel vigilante hacia los responsables de bases de datos para que cumplan con todo lo que exija la normativa, y de acompañamiento hacia el ciudadano para que ejerza sus derechos”, coincide Elizabeth Mora.
Para ella, ninguna normativa en materia de protección de datos debería quedarse estática, debe avanzar hacia las demandas que exija el país en que se aplica y desde luego, ser consistente con las nuevas tecnologías que surjan que crean nuevas modalidades para compartir la información personal.
“Existen muchas compañías que desconocen que se deben apegar a la ley que entró en vigencia el 5 de setiembre del 2011 y lo cual está regulado por la Prodhab. Existen empresas que quizá no deben registrar sus bases de datos porque no aplica por el negocio que desarrollan, pero sí deben tener protocolos y seguir lineamientos que la ley exige para evitar sanciones, principalmente económicas.
Si las compañías no cumplen con los lineamientos que exige la ley, deben saber que existen multas que podrían enfrentar dependiendo de si la falta es leve, grave, o gravísima”, señaló Gabriela Alfaro.
Por su parte María del Mar Herrera, Senior Manager de EY Law y experta en Controversia y Protección al Consumidor, hace un llamado de atención a las empresas y, en especial a las pequeñas y mediana (pymes) que manejan información de terceros, para que busquen asesoría legal y cumplan con lo que dicta la normativa nacional y extranjera en materia de protección de datos.
“Las pymes y los emprendimientos hoy en día son más sofisticados. Por ejemplo, hay start ups que trabajan con datos protegidos y otras ofrecen programas informáticos que almacenan información protegida como lo es información financiera, bancaria o médica. Otras empresas ofrecen servicios de almacenamiento de datos a empresas más grandes y llegan a tener en su control y custodia información muy delicada y que involucra directamente a consumidores, empleados y terceros.
No obstante, algunas veces esta transmisión de la información no está estructurada de manera que se protejan los derechos de las personas y de forma que la empresa cumpla con sus obligaciones legales”, explicó Herrera.
