Elvis Martínez | EP. Asesores de la Unidad de Análisis de Datos de la Presidencia accedieron a datos sensibles de los costarricenses, a través del Sistema Nacional de Información y Registro único de Beneficiarios del Estado (Sinirube), aseguró este viernes en conferencia de prensa la Defensora de los Habitantes, Catalina Crespo.
Las declaraciones de Crespo forman parte del informe de la Defensoría de los Habitantes emitidos seis días después de que esa dependencia ordenara investigar la conformación vía decreto de la Unidad de Análisis de Datos de la Presidencia (UPAD), firmado por el Presidente de la República, Carlos Alvarado, por el Ministro de la Presidencia Víctor Morales y el ministro a.i. de Planificación, Daniel Soto.
Asesores presidenciales analizaban datos desde hace hace más de un año, pero no fue hasta el lunes 17 de febrero anterior que salió a la luz pública tras la formalización de la UPAD por decreto presidencial. El decreto fue derogado inmediatamente tras las críticas de diversos sectores por dar acceso a datos “confidenciales” de la población.
En el artículo 7 del decreto demandada que:
“las instituciones de la Administración Pública Central y Descentralizada deberán permitir acceso a toda información que sea requerida por parte de la UPAD para el cumplimiento de sus fines y objetivos, salvo aquellos casos particulares donde la información sea considerada como secreto de Estado (…) también se brindará acceso a la UPAD a información de carácter confidencial con la que cuenten las instituciones públicas cuando así se requiera”, señala el artículo 7 del Decreto Ejecutivo N° 41996 MP Mideplan, conocido como UPAD.
La Presidencia argumentó que la UPAD utilizaría los datos para la definición de políticas públicas, pese a que en la legislación costarricense es ilegal el uso de datos privados, confidenciales o sensibles.
La investigación de la Defensoría de los Habitantes indica que los asesores presidenciales suscribieron convenios con cinco instituciones para acceder a sus bases de datos, entre otras el Tribunal Supremo de Elecciones (TSE) y el Registro Nacional de la Propiedad.
También se solicitó información al Organismo de Investigación Judicial (OIJ) y a la Caja Costarricense del Seguro Social (CCSS), esta últimas instituciones decidieron no brindar la información.
“Desde el punto de vista de acceso pudimos ver un convenio con Sinirube, que sí tiene datos sensibles, por ejemplo, estado socioeconómico, enfermedades, estado de salud de la gente”, explicó la Defensora Catalina Crespo.
Según la Presidencia de la República, la base de datos de Sinirube cuenta con información de más de 1.200.000 hogares, receptores de algún beneficio por parte del Estado.
Sobre el Decreto Ejecutivo N° 41996 MP Mideplan la Defensoría manifestó que era contrario al ordenamiento jurídico, ya que no cumplía con el procedimiento,al carecer de estudios técnicos y la debida consulta con expertos en materia de protección de datos.
La Defensoría informó que se compromete a dar seguimiento y colaborar con la investigación del Ministerio Publico, quien determinará, mediante peritajes y otras acciones forenses si se utilizaron o no datos sensibles o restringidos. Para eso, remitirá el informe completo a la Fiscalía.
Conclusiones:
La Defensoría analizó la situación desde tres ejes: el decreto ejecutivo derogado, la protección de datos, y los riesgos generados por la puesta en operación de la Unidad de Análisis de Datos de Casa Presidencial (UPAD) y concluyó que:
1-El Decreto Ejecutivo No. 41996-MP-MIDEPLAN era contrario al ordenamiento jurídico al no cumplir con el procedimiento, ya que careció de estudios técnicos y consulta experta en materia de protección de datos.
2. En el decreto hoy derogado no se hizo referencia a protocolos de actuación conforme a la Ley de Protección de Datos que incluyen identificación de datos, seguridad y custodia de los datos obtenidos.
3. El artículo 7 del mencionado decreto tenía importantes roces de legalidad y constitucionalidad que lo hacían improcedente técnica y jurídicamente.
4. El artículo 8 del decreto contempló en la integración de la UPAD una serie de especialidades profesionales, pero no a una persona experta en protección de datos o ciberseguridad.
Aspectos relacionados a la protección de datos
1- El equipo de asesores que trabajó en el análisis de datos durante 18 meses en Casa Presidencial realizó sus funciones sin respaldo legal que justificara sus alcances, limitaciones y responsabilidades.
2- Asimismo dicho equipo no contaba con los recursos tecnológicos y de infraestructura requeridos para desempeñar las mencionadas labores de conformidad con los establecido en la Ley de Protección de Datos N° 8968, lo cual los convertía en un equipo de hecho y no de derecho.
3-Aunado a lo anterior, en el manejo y análisis de datos se requiere de personal técnico jurídico especializado y quienes estaban realizando dicha labor eran asesores presidenciales sin especialización. Al respecto, las competencias y responsabilidades en las funciones propias y ordinarias de un asesor presidencial, difieren de las correspondientes a una persona que se avoque a la gestión y administración a una base de datos.
No resulta ni conveniente, ni apropiado que asesores de un despacho presidencial, sin importar la formación que tengan, sean quienes estén gestionando bases de datos, siendo necesario personal técnico jurídico dedicado a dicha misión.
4- La agencia de protección de protección de datos fue omisa en el cumplimiento de sus competencias al no intervenir según lo establece la Ley número 8968, sea analizando la base de datos obtenida por el equipo de la UPAD, requiriendo la existencia de protocolos de actuación o bien emitiendo una medida cautelar.
Aspectos relacionados a los riesgos generados por la operación de la UPAD
1- A partir del uso del Sistema Único de Beneficiarios del Estado (SINIRUBE), sí se tuvo acceso a datos sensibles, los cuales fueron obtenidos a través de convenios que autorizaban conexión directa a las mencionadas bases. Asimismo, la Defensoria considera que se deben dejar sin efecto los convenios suscritos entre la Presidencia de la República y las instituciones a las que se les requirió información.
2- No hubo análisis de riesgos en protección de datos incluyendo protocolos de actuación, de seguridad, custodia de los datos, protocolo de identificación y manejo, los cuales permiten que un habitante, al sentirse afectado por el uso de sus datos personales, ejerza los derechos de acceso, rectificación, cancelación y oposición, conocidos como ARCO.
3. De los hallazgos de la investigación, se determina la necesidad de conocer qué otra información estaba en la computadora utilizada por el equipo y la naturaleza de la misma. Ahora, corresponderá a la Fiscalía determinar el uso o no de dichos datos.312. Se evidenció el debilitamiento del control interno de Casa Presidencial en lo que respecta a tecnologías de la información, tanto como en la asignación de funciones a otras unidades sin que existiera un respaldo legal.
