EscucharEl entusiasmo generado por la posibilidad de obtener una beca sin costo del programa Hello Brete, impulsado por el Instituto Nacional de Aprendizaje (INA), para estudiar inglés a través de la plataforma de la firma Open English se vio opacado por varios cuestionamientos.
Las principales dudas son sobre sobre el tipo de datos que se solicitan en el formulario que las personas deben llenar en línea para optar por una beca, su tratamiento y la responsabilidad de su gestión. Asimismo, este 16 de abril se dio a conocer que el proceso licitatorio fue cuestionado por otras firmas que concursaron.
El pasado lunes 13 de abril el gobierno y el INA dieron a conocer, en el marco de la feria de empleo realizada en la Antigua Aduana, el lanzamiento de becas para estudiar inglés y que las personas interesadas deben postularse a través de un formulario en línea en el sitio web. Una vez que la persona es aceptada se utiliza un sistema biométrico para identificación y acceso a la plataforma Open English.
El INA no respondió las consultas sobre los cuestionamientos en la adjudicación ni sobre las dudas sobre el formulario remitidas por El Financiero.
El contrato es por un monto de $82,99 por licencia, de acuerdo con información del Sistema de Compras Públicas (Sicop). La suma total es según la cantidad de becas o licencias otorgadas. El gobierno había indicado que se esperan brindar 500.000 becas inicialmente.
Objeciones en contratación
Sobre las objeciones a la adjudicación otorgada al consorcio de la firma Say Pura VIda! by Open Education y Radiográfica Costarricense S.A. (Racsa), la Contraloría General de la República informó que rechazó de plano los recursos de tres firmas interesadas (Productive Business Solutions, Applica y Capacitación y Desarrollo Profesional Valdespe) por falta de fundamentación.
Estas tres empresas habían objetado claúsulas sobre notificaciones de horas de estudio, control de deserciones e inactividad, notificaciones de resultados, interoperabilidad, protección de datos, desglose de precios, requerimientos de currículums del personal, y requisitos para docentes nacionales diferentes para extranjeros.
También se rechazó, por falta de legitimidad, la objeción de la compañía Edutech de Centro América y se declararon sin lugar otras dos apelaciones de Valdespe, que cuestionaron la revisión de precios en moneda extranjera y que, al ser un servicio disponible las 24 horas, se requería un costo mínimo.
La Contraloría resolvió que al tratarse de una modalidad de “cuantía inestimada y entrega según demanda”, el pliego no estableció un número fijo de docentes ni una cantidad determinada de horas obligatorias. “Por lo tanto, cada empresa es libre de estructurar sus costos según su propia eficiencia y modelo de negocio”, indicó la Contraloría.
La entidad recordó que el modelo de aprendizaje escogido es decisión y responsabilidad del INA.
Preocupaciones
El Financiero consultó a la firma Ecija, especializada en normativa legal de tratamiento de datos personales, entre otros campos, sobre el formulario de Hello Brete.
“Hay varios campos del formulario que generan señales de alerta desde la perspectiva de la Ley 8968”, respondió Mauricio París, socio de Ecija Legal y especialista en derecho digital. “Los más evidentes son los que la propia ley clasifica como datos sensibles en su artículo 3, cuya recolección está prohibida salvo excepciones muy específicas”.
París se refiere a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales en Costa Rica, aprobada en 2011.
París explicó que las solicitudes de información sobre si la persona pertenece a la población LGBTQI+ y grupo étnico están prohibidas por la Ley 8968, aparte que no existe justificación legal aplicable. Lo mismo ocurre con la solicitud de información de género, que va más allá del sexo biológico y roza información de carácter íntimo, la cual está protegida por esa norma.
Aunque se establece la opción “prefiero no decir”, el formulario debería explicar para qué se usa esa información.
Lo mismo ocurre cuando se pide información sobre el estado migratorio y de origen, discapacidad (al ser información biomédica, catalogada como dato sensible por la ley), la dirección exacta de residencia por señas y el sistema de datos biométricos (reconocimiento facial, de voz, huella digital y autenticación ocular) que se activa en cada sesión y evaluación.
Estos datos biométricos representan uno de los tipos de información más sensibles que existen, gestionado por actores cuya identidad y ubicación no quedan claras en el consentimiento.
Extralimitado
Si bien se trata de un programa de becas públicas que podría justificar la recolección de ciertos datos socioeconómicos para focalizar el beneficio en poblaciones vulnerables o en desventaja, como operan muchos programas sociales del Estado, esa justificación tiene límites claros que el formulario no respeta.
“El principio de calidad de la información del artículo 6 de la ley exige que los datos recolectados sean adecuados y proporcionales al fin declarado, y que ese fin esté explicitado claramente”, dijo París.
En este caso, el formulario no explica que los datos se usan para priorizar poblaciones vulnerables. Simplemente los solicita como parte obligatoria del proceso de matrícula, sin distinción ni explicación de propósito.
El especialista agregó que hay datos cuya recolección no se justifica bajo criterios razonables para este programa:
Estado civil: no es un indicador de vulnerabilidad socioeconómica ni tiene relación con la capacidad de aprender inglés.
Información laboral detallada como nombre de la empresa, actividad económica, teléfono de oficina. “Si el objetivo fuera conocer la situación laboral general, bastaría con una pregunta simple sobre si trabaja o no”, dijo París.
Teléfono y contacto de emergencia con parentesco es algo propio de una matrícula presencial con riesgo físico, no de una plataforma digital de idiomas.
Dirección exacta con puntos de referencia para un curso completamente en línea, carece de propósito claro y justificado.
Pertenencia a población LGBTQI+ no es un criterio de vulnerabilidad socioeconómica y su recolección no encuentra sustento legal independientemente del objetivo del programa.
“Respecto a los demás datos de la sección ‘Inclusión Social’ (etnia, condición de refugiado, privación de libertad, jefatura de hogar, embarazo), si la intención del INA es caracterizar a su población beneficiaria para fines de política pública, la ley lo permite”, explicó Mauricio París.
Y agregó: “Pero con una condición fundamental: esos datos deben recolectarse de forma voluntaria, anonimizada y con una explicación clara de su propósito estadístico, separada del proceso de matrícula. Mezclarlos en un formulario obligatorio donde no aceptar implica quedar fuera del programa es exactamente lo que la ley prohíbe”.
Aspectos estructurales
Hay varios aspectos estructurales que merecen atención especial más allá de los datos específicos.
“El responsable real no es quien aparenta ser”, advirtió París.
El formulario inicial presentaba al INA como responsable de los datos. Sin embargo, el consentimiento informado revela que quien opera la base de datos y la plataforma es el Consorcio Say Pura Vida, que a su vez opera sobre la plataforma de Open English. Esta cadena de actores no queda clara desde el inicio del proceso, lo que viola el principio de transparencia que exige la Ley.
Tampoco se identifican en el consentimiento las empresas que integran el consorcio, no indica su naturaleza jurídica, no dice dónde están constituidas ni proporciona una dirección física o jurídica propia.
“El único punto de contacto que ofrece es un correo electrónico con dominio de Open English, no del consorcio. Esto es un incumplimiento del artículo 5 de la ley, que exige informar de manera precisa e inequívoca la identidad y dirección del responsable de la base de datos. Si un ciudadano quisiera ejercer su derecho de acceso, rectificación o supresión de datos no tendría ante quién hacerlo de manera efectiva”, resaltó París.
Vicio grave
El especialista también advirtió que el consentimiento informado tiene un vicio estructural grave.
La Ley 8968 exige que el consentimiento sea previo a la recolección de datos. En este caso, el documento aparece al final del formulario, cuando la persona ya ingresó toda su información personal, incluyendo datos sensibles. Además, se advierte explícitamente que quien no acepte quedará excluido del programa.
“Eso no es consentimiento libre: es una firma bajo presión, lo que le resta validez jurídica”, afirmó Mauricio París, de Ecija Legal.
Tampoco cumple la Ley la transferencia de datos. El consentimiento menciona únicamente de forma concreta la migración de datos al Sistema Estadístico de Monitoreo del INA. Para cualquier otra transferencia, utiliza una fórmula que se repite dos veces: que se informará al usuario si surge alguna transferencia a terceros.
Eso invierte la lógica que exige el artículo 14 de la Ley: el consentimiento debe ser previo y específico, no una promesa de notificación futura.
“El elemento más llamativo de esta omisión es que el consentimiento nunca menciona explícitamente a Open English como destinatario de datos, a pesar de ser la plataforma donde el estudiante opera, donde se activa el sistema biométrico y cuyo dominio aparece en el correo de contacto. Una empresa que gestiona reconocimiento facial y de voz de los estudiantes debería estar identificada expresamente, y no lo está”, dijo París.
Relacionado con esta situación es que los datos biométricos son gestionados por Say Pura Vida en una plataforma de Open English, empresa con operaciones internacionales.
“El consentimiento no especifica en qué país se almacenan esos datos ni bajo qué legislación”, advirtió París. “Dado que se desconoce la composición y domicilio del consorcio, tampoco es posible determinar si los datos de costarricenses están siendo procesados fuera del país”.
Entrega de datos por una beca
“En síntesis, un ciudadano que quiere aprender inglés termina entregando sus datos biométricos, su orientación sexual, su etnia y su condición de salud sin saber realmente a quién se los está entregando, sin un consentimiento verdaderamente libre y sin certeza de dónde termina su información”, explicó Mauricio París.
El especialista indicó que el problema no es la intención del programa (que es legítima en su objetivo de beneficiar a poblaciones vulnerables).
Sin embargo, tiene errores graves en la forma en que se implementó: sin transparencia sobre los actores involucrados, sin separar adecuadamente los datos de elegibilidad de los datos estadísticos, y sin respetar las garantías que la ley establece para el tratamiento de información sensible.
