Proyecto de ley que exige a telefónicas recolectar huellas dactilares es invasiva y desproporcional

El actual proyecto de ley no tiene en cuenta los derechos consagrados en nuestra Constitución Nacional, ni estándares internacionales de los Derechos Humanos

 El proyecto de ley “Que regula la activación del servicio de telefonía móvil” presentado por el diputado Walter Harms Céspedes ante la cámara de baja del Congreso Nacional ha sido aprobado por mayoría en ambas cámaras del poder legislativo y se encuentra para la aprobación o veto presidencial.

El proyecto legislativo pretende obligar a las empresas telefónicas a la identificación previa para solicitar activar una línea de telefonía celular a fin de evitar el uso indebido de identidad de las personas por parte de terceros, dice la exposición de motivos con fecha 3 de noviembre de 2015. En la propuesta inicial del diputado de la ANR, solicitaba la presentación de cédula de identidad, fotocopia del mismo y en caso de terceros, deberá mediar una carta poder con certificación de firma ante un Escribano Público. Actualmente, este mecanismo es realizado por las empresas de telefonía pero la ley que buscaba formalizar y obligar al cumplimiento riguroso del mismo.

Sin embargo, la misma sufrió modificaciones en el proceso del sistema legislativo que amenaza derechos fundamentales como el derecho a la privacidad e incumple estándares de protección en el tratamiento de datos personales. El actual proyecto que se encuentra en la última etapa de trámite constitucional – Poder Ejecutivo- contiene 14 artículos. Impone la responsabilidad a las telefónicas de registrar las huellas dactilares de los que solicitan la activación del servicio de comunicación (Art 5). Las huellas dactilares se conocen como datos biométricos.

Además, obliga a que todos los titulares de líneas de telefonía móvil activa hasta la fecha, deberán igualmente registrarse con los datos biométricos solicitados en la ley, en un plazo máximo de 12 meses a partir de la vigencia de la ley. En caso contrario, quedarán canceladas de forma inmediata las líneas de telefonía móvil que no cumplan con las exigencias del artículo 5 (Art 11). Estas bases de datos deberán ser conservadas por un plazo mínimo de cinco años, computados desde la fecha de cancelación efectiva del servicio (Art 7). Y la autoridad competente para la aplicación de la ley será la Comisión Nacional de Telecomunicaciones (CONATEL) (Art 4).

¿Por qué la recolección de datos biométricos pone en peligro nuestros derechos fundamentales como la privacidad?

¿Quiénes acceden a las bases de datos en las empresas de telefonía móvil? ¿Quién se hace responsable del tratamiento de nuestros datos personales? ¿Se prevé salvaguardas para evitar la manipulación y adulteración de las copias de las huellas dactilares almacenadas? ¿Qué instituciones del Estado van a acceder a esos datos y se podrá garantizar que la solicitud de los datos biométricos se haga mediante una orden judicial previa? ¿Habrán sanciones en caso de abusos por parte de los responsables de las bases de datos o de las autoridades? Estas son sólo algunas preguntas e inquietudes que surgen a partir del análisis de este nuevo proyecto de Ley.

Si bien nuestro país reconoce en la Constitución Nacional el derecho de Intimidad (Art 33), en la práctica no existen suficientes medidas para garantizar el cumplimiento este derecho, como se evidencia en el tratamiento de los datos personales en bases de datos públicas y privadas. [1]

La Ley 1682/2001 que regula ciertos aspectos del tratamiento de datos en nuestro país dista de cumplir con estándares mínimos de protección de datos personales,como la autodeterminación del titular del dato. Además, no exige que el tratamiento de los datos se realice considerando la finalidad de la recolección, el tiempo de almacenamiento de los datos, legalidad, proporcionalidad, calidad del dato, ámbito de aplicación, transparencia, rendición de cuentas, entre otros principios. Y una gran ausencia en esta Ley son las sanciones administrativas en caso de abusos en el tratamiento de datos sensibles y bases de datos por parte de cualquier entidad pública o privada. [1]

Los datos biométricos son métodos automatizados que pueden de manera precisa reconocer a un individuo con base en las características físicas o de comportamiento. La tecnología usada en la biometría incluye el reconocimiento de huellas digitales, huella palmar, facial, patrones de venas, iris, voces y otras exposiciones del cuerpo incluyendo ADN y la secuencia de la pulsación de las teclas, entre otros. Es decir, la biometría se refiere a la medición de y distintivo físico, características biológicas y conductuales utilizadas para la identidad de personas. [2]

La cuestión de la privacidad es fundamental para discutir sobre los alcances y los efectos de la biometría. La biometría plantea un riesgo sustancial al derecho a la privacidad cuando no existen garantías mínimas protección en el tratamiento de datos personales. El Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y expresión de la ONU, Frank La Rue [3] y la ONU Alto Comisionado de Derechos Humanos, Navi Pillay [4] han expresado preocupación por las violaciones del derecho a la intimidad ante la falta de medidas de protección eficaces en la aplicación de las tecnologías biométricas.

Por su parte, el ex Relator Especial sobre la promoción y protección de los derechos humanos y las libertades fundamentales en la lucha contra el terrorismo de la ONU, Martin Scheinin, determinó en su informe publicado en el año 2009 que, si bien el uso de la biometría se presenta en determinadas circunstancias como una herramienta legítima para la identificación de sospechosos por casos de terrorismo, preocupa especialmente:

“los casos en que la biometría no se almacena en un documento de identidad, sino en una base de datos centralizada, incrementando los riesgos para la seguridad de la información y dejando a los individuos vulnerables. A medida que aumenta la información biométrica, las tasas de error pueden aumentar significativamente” /// El incremento en las tasas de error puede llevar a la criminalización ilícita de individuos o a la exclusión social. A la vez, el Relator destaca un aspecto que mencionamos anteriormente, la irrevocabilidad de los datos biométricos. “(. . . ) Una vez copiados y/o utilizados fraudulentamente por un actor malicioso, no es posible emitirle a un individuo una nueva firma [identidad] biométrica”.[5]

Asimismo, la Organización para la Cooperación y el Desarrollo Económicos (OECD) que a partir del 2017 incluye a nuestro país como miembro oficial, emitió una serie de recomendaciones para sus Estados miembros, entre ellas, una sobre “la circulación internacional de Datos Personales para la protección de la intimidad y la seguridad de los sistemas de información” [6], así como velar por la “Protección de la privacidad al más alto nivel decisorio” en el Ecosistema Digital [7].Cómo se ha señalado en estos documentos, que los datos personales deben utilizarse o ser divulgados para propósitos específicos en el momento de la recolección, su uso para otros propósitos comprometerá a los derechos humanos.

Paraguay no sólo deberá cumplir estos compromisos asumidos en instancias internacionales para la protección de la privacidad en el entorno digital, sino también debería elevar sus estándares de protección de datos personales adecuándose a los estándares de la normativa y reglamentos de Protección de datos personales de la Directiva de Unión Europea. [8]

El proyecto de ley no cumple con los principios de proporcionalidad y necesidad para la recolección de datos sensibles

No hay garantías de protección alguna en el proyecto de Ley que busca obligar a las empresas telefónicas a recolectar huellas dactilares. El proyecto no cumple con principios de proporcionalidad, necesidad, legalidad, y otros contemplados en tratados y organizaciones internacionales a los que Paraguay suscribe.

En la actualidad, para el tratamiento de datos biométricos se debe contemplar una regulación normativa de protección de datos, algo que nuestro país no tiene. Un dato biométrico es considerado un dato sensible por el nuevo reglamento de la Directiva 95/46/EC, porque implica características especiales. Establece la prohibición de su tratamiento salvo algunas contempladas en la misma norma, como por ejemplo, cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

Cabe preguntarse si en nuestra jurisdicción: ¿El dato biométrico es un dato sensible?. La ley 1682/2001 define a los Datos sensibles, adaptándose a la doctrina internacional y jurisprudencias que buscan prevalecer el derecho de intimidad y el respeto sobre la información sensible (art. 4). como: “pertenencias raciales o étnicas, preferencias políticas, estado individual de salud, convicciones religiosas, filosóficas o morales; intimidad sexual y, en general, los que fomenten prejuicios y discriminaciones, o afecten la dignidad, la privacidad, la intimidad doméstica y la imagen privada de personas o familias”. Al enfocar nuestro estudio sobre el análisis del presente proyecto de ley, nos referiremos únicamente al almacenamiento de las huellas dactilares. Sobre este punto, la investigación de ADC Digital [9] sobre Biometría y protección de datos personales contempla un caso investigado por la Universidad de Carolina del Norte:

“Una investigación que ha encontrado diferencias significativas entre las huellas dactilares pertenecientes a personas de ascendencia africana y personas de ascendencia europea. Si bien los propios investigadores afirman que es necesaria una muestra mayor de personas y un análisis de etnias más diversas para obtener una conclusión definitiva, los primeros resultados científicos indican una alta posibilidad de que las huellas dactilares reflejen patrones propios de una etnia específica.”

En consecuencia, el almacenamiento de huellas dactilares en nuestro país reúnen las condiciones exigidas para ser calificadas como datos sensibles.

La propuesta legislativa paraguaya no presenta un análisis previo para justificar la implementación de este tipo de sistema. Es obligatorio, según los estándares de tratamientos de datos, una evaluación de impacto para la recolección de datos biométricos En base a el principio de necesidad de utilizar este sistema biométrico. Tampoco justifica por qué la cédula de identidad policial vigente – que lo emite el propio Estado para identificar a los ciudadanos – no podrá contar como un instrumento legal identificatorio para realizar el acto jurídico ante la empresa de telefonía móvil.. Este mecanismo sería menos invasivo que la recolección de las huellas dactilares, y por tanto, se reduciría en gran medida el riesgo de violación a derechos fundamentales.

En la exposición de motivos, el proyecto de ley busca evitar las malas intenciones de las personas que utilicen la identidad de terceros para fines delictivos. Pero para justificar la recolección de datos biométricos, que son datos sensibles, se debe analizar si no hay alguna alternativa que afecte menos los derechos de las personas y pueda alcanzar los objetivos que se persigue. [10] Esta medida que busca ser preventiva para evitar para cualquier tipo de ilícito no sólo refleja una desproporción en cuanto al fin perseguido. Y obviamente deja de lado el ideal de una intervención mínima a través del aparato punitivo del Estado, propio de lo que se denomina “derecho penal mínimo”.1

La despropocionalidad también radica en la desconexión compulsiva a los usuarios de telefonía móvil -que también contratan servicios de Internet-, en el caso que no inscriban con sus huellas dactilares dentro de los 12 meses de vigencia de la ley, afectando así a otros derechos humanos como la libertad de expresión y acceso a la información y cultura, así como políticas de conectividad que se están implementando en el país.

El diseño del sistema de prevención y persecución de delitos debe tener en cuenta que no puede, por sí solo, acabar con la cadena criminal que busca combatir. Algunas alternativas, como el reporte voluntario de implantación de identidad así como la cooperación entre operadores para bloquearlos, o el seguimiento y captura de bandas criminales dedicadas a esta actividad ilegal, pueden resultar más efectivas y menos invasivas para las personas.

También, es indispensable garantizar que los datos se supriman una vez transcurrido un periodo de tiempo justificado en función de los objetivos con los que fueron recabados o para los que se traten ulteriormente. La presente propuesta no garantiza la obligatoriedad de la eliminación de los datos biométricos pasados los 5 años. Tampoco se contemplan mínimas garantías y salvaguardas de protección de datos personales como estándares de derechos humanos para la protección de estos datos sensibles, el cifrado de las bases de datos y la integridad de los datos personales, y la seguridad del sistema de las bases de datos.

El proyecto de Ley no contempla seguridad legal ante tratamiento no autorizado o ilícito o contra la pérdida o destrucción o daño accidental, que además se concretan no sólo en normativas como estas, sino también en abusos como vigilancia estatal como el caso de la vigilancia estatal de las comunicaciones de la periodista de ABC por las fuerzas militares, compra de software de interceptación de las comunicaciones por parte de la SENAD, sin regulación alguna como es el caso de FinFisher. O ataques cibernéticos que vulneraron los sistemas de almacenamiento de datos personales de carácter crediticios de la empresa global Equifax (Propietarios de Informconf en Paraguay), revelando datos de 143 millones de personas.

Por último y no menos importante, el costo del sistema de datos biométricos es elevado. Según el gobierno británico, para desarrollar e implementar su propio sistema de datos biométricos, estimó un gasto de más de 5 millones de libras. Este costo por lo general es absorbido por el usuario final y no por la empresa que está obligada legalmente en implementar la base de datos.

No existen antecedentes regionales sobre la obligatoriedad de almacenar datos biométricos por empresas de telefonía móvil ni proveedoras de Internet. Por otro lado, La Cámara de Operadores Móviles del Paraguay reconoce la necesidad de revisar el procedimiento de registro actual, sin embargo consideran que el presente proyecto de ley representa un alto costo y tiempo de implementación y propone abrir un diálogo entre los actores públicos y privados en “aras de consensuar las modificaciones necesarios de forma tal que el proyecto pueda cumplir con el objetivo de proteger a la población“. Por lo tanto, solicitan al Poder Ejecutivo, suspender el proyecto aprobado.

Es resumen, la propuesta legislativa:

  1. Pretende implementar una recolección de datos biométricos (huellas dactilares) sin un marco jurídico que permita garantizar el tratamiento de dichos datos de forma adecuada por parte del Estado y el sector privado. Ante abusos o filtrado de los datos biométricos, el Estado no tiene previsto una autoridad competente para velar por la protección de los mismos. Si bien la Comisión Nacional de Telecomunicaciones (CONATEL) será la responsable de la aplicación de esta propuesta de ley, no tiene la función ni la capacidad de garantizar la protección de los datos biométricos.
  2. El dato biométrico es un dato sensible, lo que requiere mayores mecanismos de salvaguarda que este proyecto de Ley no contempla. Los desafíos para garantizar el cuidado de los datos ante prácticas discriminatorias, sesgos en el desarrollo e implementación del software de recolección de datos biométricos no son tomados en cuenta en el texto del proyecto
  3. Se desconoce la tecnología y los mecanismos que se utilizarán para la recolección, análisis y almacenamiento de los datos biométricos, así como también los alcances de esta política. ¿Quiénes tendrán acceso a los datos biométricos? ¿Se compartirán y serán transferidos entre distintos organismos públicos o privados? ¿Qué instituciones del Estado van a acceder a esos datos y, se podrá garantizar que la solicitud de los datos biométricos se haga mediante una orden judicial previa en casos de investigaciones penales?. Estas son sólo algunas preguntas que surgen en el análisis.
  4. Es desproporcionada: El registro es excesivo y potencialmente violatorio de derechos humanos, ya que la idea es sólo identificar el comprador del servicio de telefonía móvil y evitar fraude. Existen otras medidas alternativas menos invasivas como el uso de la cédula de identidad emitida por la Policía Nacional, un instrumento identificatorio vigente quecumple con la legalidad para un acto jurídico, así como la cooperación voluntaria de las empresas de telefonía móvil para bloquear números de teléfonos sospechosos, o el seguimiento y captura de bandas criminales dedicadas a este actividad ilegal. Asimismo esta medida desproporcionada afecta a los usuarios de telefonía móvil que acceden a Internet a través de este servicio, en el caso que no inscriban con sus huellas dactilares dentro de los 12 meses de vigencia de la ley, afectando así a otros derechos humanos como la libertad de expresión y acceso a la información y cultura.
  5. Es costosa. Los sistemas de registro de datos biométricos de los ciudadanos, su almacenamiento y el mantenimiento de los mismos pueden tener costos altísimos para las empresas de telefonía móvil. Además, , este costo se puede trasladar al usuario final.
  6. Es injusta. Las huellas dactilares pueden ser un mecanismo más de control que podría agravar prácticas de vigilancia y hostigamiento aminorías, grupos étnicos, inmigrantes, etcétera. La falencia del Estado en cuidar la información privada de los ciudadanos vuelve a estos registros aún mas problemáticos y con un alto riesgo en ser filtrados.
  7. No hay evaluación de impacto para el uso del sistema de dato biométrico: No se realizó una análisis de impacto previo para evaluar la importancia de la implementación de un sistema de recolección de datos biométricos. Cualquier interferencia por parte del Estado debe estar basada en fundamentaciones sólidas, sustentadas en datos y diagnósticos serios e independientes, a fin de cumplir con las condiciones de necesidad y proporcionalidad requeridas para la legitimidad de toda medida que pretenda limitar derechos fundamentales.
  8. La OECD y ONU recomiendan evitar medios invasivos a la privacidad de los usuarios en Internet. Además no existen antecedentes normativos en la región que obliguen a las Telefónicas ni a proveedoras de Internet a almacenar datos biométricos de sus clientes para evitar fraude.

Por tanto solicitamos el veto presidencial del proyecto de ley y solicitamos la urgente la Ley de protección de datos personales en Paraguay, que contemple estos avances tecnológicos y que apunten a limitar los focos de posibles abusos y se analice con perspectiva de derechos humanos consagrados en nuestra Constitución Nacional y tratados internacionales de derechos humanos ratificados.

Bibliografía:

[1] La protección de datos personales en bases de datos públicas en Paraguay. TEDIC – Setiembre 2017.

[2] Biometrics: Friend or foe of privacy? – Privacy International. (S.f)

[3] Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue* A/HRC/23/40. ONU – Abril 2013.

[4] UN News Centre, UN rights chief urges protection for individuals revealing human rights violations. ONU – Julio 2013.

[5] La identidad que no podemos cambiar. Asociación por los derechos civiles (ADC). Abril 2017.

[6] “Directrices sobre la Protección de la Privacidad y Flujos Transfronterizos de Datos Personales” de la Organización para la Cooperación y el Desarrollo Económico – 1980.

[7] Declaración Ministerial sobre la Economía Digital: Innovación, crecimiento y prosperidad social – OECD – Junio 2016

[8] Directiva 95/46/EC y Reglamento de Protección de Datos Personales de la Unión Europea – UE -Mayo 2016

[9] Biometría y protección de datos personales en Argentina. Asociación por los derechos civiles (ADC) Mayo 2017

[10] Principios Internacionales sobre la aplicación de los Derechos Humanos a la vigilancia de las comunicaciones. EFF -Mayo 2014.

1 “Derecho penal mínimo significa la reducción al mínimo de las circunstancias penales y su codificación general mediante la despenalización de todas aquellas conducta que no ofendan bienes fundamentales y que saturan el trabajo judicial con un dispendio inútil e inocuo de aquel recurso escaso y costoso que es la pena y tienen el triple efecto del debilitamiento general de las garantías, de la ineficacia de la maquinaria judicial y de la devaluación de los bienes jurídicos merecedores de tutela penal.” Ferrajoli, Luigi. Crisis del sistema político y jurisdicción: la naturaleza de la crisis italiana y el rol de la magistratura. Revista Pena y Estado año 1 número 1–Argentina 1995: Editores del Puerto s.r.l. p. 113.