Buscan controlarnos utilizando nuestros datos biométricos indiscriminadamente

TEDIC
Blog Datos Personales Privacidad

Un proyecto de ley que busca el registro biométrico para acceder a la telefonía móvil pone en riesgo nuestros derechos

El proyecto de ley “Que establece el registro biométrico como requisito de identificación del usuario para la habilitación de servicio de telefonía movil”, presentado por el diputado liberal Fernando Oreggioni O’Higgings, ingresó este pasado 11 de mayo al Congreso.

El motivo del proyecto de ley es “mejorar la extrema vulnerabilidad de los registros de identificación de usuarios en las solicitudes de habilitación de números de líneas telefónicas móviles actualmente implementado por las Empresas Operadoras del Sistema”.

Además argumenta “En los últimos años la alarmante proliferación de delitos cometidos utilizando líneas de teléfonos móviles, cuyo responsable es incierto, atendiendo que los datos obrantes en los registros de identificación del usuario en la habilitación son absolutamente vulnerables por no decir absolutamente poco confiables”.

Esta propuesta obliga a las proveedoras de telefonía de Paraguay (Claro, Personal, Tigo y Vox) a hacer un registro biométrico de las personas usuarias de sus servicios. Además de la información biométrica, el proyecto busca solicitar otros datos personales como: nombre y apellido; dirección particular; dirección comercial; cédula de identidad; lugar y fecha de nacimiento; grupo sanguíneo; número de registro de conductor y el municipio otorgante (Artículo 3).

La propuesta de registro biométrico no es nueva

El proyecto similar en el 2017 fue vetado por el Ejecutivo

Esta propuesta que obliga a registrar datos biométricos para habilitar servicios de telefonía, no es nueva en el Congreso Nacional. En 2015, el diputado colorado Walter Harms Céspedes presentó una propuesta similar con el mismo objetivo: el registro de huellas dactilares para acceder a los servicios de telefonía móvil, para evitar fraudes e identificar a los que realizan actos ilegales a través del número de teléfono móvil.

En 2017 TEDIC realizó un posicionamiento presentando las preocupaciones sobre el proyecto de ley del diputado Harms. El mismo fue vetado por el presidente de la República Horacio Cartes a partir de las recomendaciones presentadas por el sector privado y los riesgos a los derechos humanos.

A 4 años del veto y archivo del proyecto de ley, de nuevo la Cámara Baja del Congreso Nacional vuelve a poner sobre la mesa la utilización de nuestros datos biométricos sin evaluaciones previas: aplicación del test de proporcionalidad de nuestros derechos humanos; sin un debate público con los actores interesados; y sin una ley integral de protección de datos personales que limite la utilización de los datos de carácter sensible, para cualquier actuación contractual con el Estado o terceros.

¿Cuáles son los problemas de este nuevo proyecto de ley?

El proyecto de ley establece la obligación de utilizar los biométricos como medida de identificación, para mitigar los hechos punibles relacionados al uso del teléfono móvil como amenazas, extorsión, estafas, etc..

Sin embargo, la ley no tiene en cuenta que para utilizar los datos biométricos se deben incluir cláusulas de salvaguardas más elevadas, porque la doctrina internacional los considera datos sensibles. Por tanto se sugiere que este tipo de información sensible sea utilizado en casos específicos y en los casos en que ya se hayan puesto en juego otras medidas menos intrusivas a la privacidad y a la intimidad de las personas.

El registro biométrico es excesivo y potencialmente violatorio de derechos humanos. Lo que se busca es identificar a quien contrata el servicio de telefonía móvil, para evitar hechos punibles como fraude. Sin embargo existen otras medidas menos invasivas como el uso de la cédula de identidad emitida por la Policía Nacional: un instrumento identificatorio vigente que cumple con la legalidad para un acto jurídico. También se debería requerir la cooperación voluntaria de las empresas de telefonía móvil para bloquear números de teléfonos sospechosos.

El proyecto establece el requerimiento de que todas las personas entreguen sus datos de identidad biométrica, independientemente de si han sido o no sospechosas de conductas indebidas y sin ninguna garantía aparente.

En términos de aplicación de la ley, no se define el concepto del dato biométrico y qué tipo de dato biométrico se almacenará de forma compulsiva según la ley.

Proyecto de ley de almacenamiento indiscriminado de datos biométricos

Según la organización Privacy International: “Los datos biométricos son métodos automatizados que pueden de manera precisa reconocer a un individuo con base en las características físicas o de comportamiento. La tecnología usada en la biometría incluye el reconocimiento de huellas digitales, huella palmar, facial, patrones de venas, iris, voces y otras exposiciones del cuerpo incluyendo ADN y la secuencia de la pulsación de las teclas, entre otros”. Es decir, la biometría se refiere a la medición y distintivo físico, características biológicas y conductuales utilizadas para la identidad de personas.

El tratamiento de datos biométricos implica un mayor el riesgo ante posibles filtraciones o vulneraciones a la bases de datos que suelen estar centralizadas y con bajos niveles de seguridad informática. El proyecto de ley no considera esta realidad y ni siquiera establece un estándar de seguridad mínimo para protección de las bases de datos biométricas.

En la propuesta legislativa no se presenta un análisis previo de impacto a los derechos humanos, por lo tanto no se ha identificado cuán peligroso puede ser almacenar esta información sensible. No hay evidencia sobre evaluaciones de impacto a la privacidad, lo que hubiera permitido identificar y gestionar los riesgos asociados al uso de sistemas biométricos. De manera similar, no se observa una evaluación para identificar potenciales riesgos de vulneración a los derechos de las personas.

Tampoco prevé salvaguardas para evitar la manipulación y adulteración de las copias de las huellas dactilares o información de reconocimiento facial, o iris entre otros, que utilizarían las empresas de telefonía. No se observan sanciones en caso de abuso por parte de los responsables de custodiar las base de datos biométricos. ¿Cómo se evitará la venta de bases de datos biométricos (como sucede con las bases de cédulas de identidad)?

Los datos biométricos no se pueden cambiar, pues son parte de cada persona. Por lo tanto si son vulnerados, pueden tener severas consecuencias para el resto de la vida. Por otro lado, el clonado y suplantación de identidad a partir de este tipo de dato sensible, podría implicar un riesgo mucho mayor que cuando alguien falsifica una cédula de identidad o pasaporte.

Existen muchos ejemplos de vulneración de bases de datos telefónicas y biométricos. Aquí se presentan dos: por un lado el de México donde se utilizaba un registro nacional de usuarios centralizado para el acceso a servicios de telefonía. Se comprobó la venta masiva de datos personales de millones de usuarios registrados y esto llevó al abandono del sistema. Así también, el sistema de identificación indio llamado Aadhar, que recolecta datos biométricos, ha sido objeto de numerosas críticas por las vulneraciones documentadas a dicha base de datos.

La propuesta de ley genera una importante preocupación por el almacenamiento de información sensible de la ciudadanía, pues no tiene en cuenta los principios de necesidad y proporcionalidad de los derechos humanos, en especial los consagrados en la Constitución Nacional: artículos 26 de libertad de expresión y 33 de derecho a la intimidad.

Paraguay es el único país en América del Sur que no cuenta con una protección integral vigente de datos personales. Esto significa que todos los datos relacionados a la persona, incluyendo la información biométrica se encuentra sin protección, ni salvaguardas y con alto riesgo de vulneración de derechos.

Recomendaciones

Luego de haber estudiado el tema en profundidad, desde TEDIC hacemos las siguientes recomendaciones:

  1. Retirar la propuesta de recolección masiva de datos biométricos por ser innecesaria y desproporcionada en la protección de los derechos fundamentales consagrados en la Constitución Nacional. Esta iniciativa es intrusiva y desproporcionada porque recolecta datos sensibles de las personas que acceden a un servicio de telefonía y acceso a Internet, independientemente de si han sido sospechosas de conductas indebidas y sin ninguna garantía aparente. La recolección indiscriminada de datos sensibles debe buscar otra medida menos intrusiva.
  2. El Congreso debe concentrar sus esfuerzos en implementar políticas basadas en evidencia y análisis de evaluación de impacto previos a la creación de una norma. Deben analizar previamente el contexto y las medidas a tener en cuenta para la persecución de los delitos, y evaluar si una medida como tal no va ser más perjudicial para la calidad de vida de las personas.
  3. Se reafirma la necesidad de la discusión pública sobre el uso de esta tecnología de recolección de datos biométricos. Se considera que antes de apresurarse a incorporar legalmente un sistema impuesto de forma unilateral, se debata sobre los aspectos esenciales vinculados al mismo.
  4. Paraguay necesita una ley de protección de datos personales . Se necesita el apoyo del Congreso Nacional y en especial el Diputado Fernando Oreggioni O’Higgings a la propuesta legal de la Coalición de datos personales entregada para su tratamiento a inicios del mes de mayo. Se necesitan marcos jurídicos suficientes que permitan garantizar un adecuado tratamiento de datos biométricos recolectados, tanto por parte del Estado como el sector privado.