Los avances en las acciones del Gobierno para mejorar la ciberseguridad, asegurar la privacidad de los datos y potenciar la protección de los menores de edad en línea, entre otros, son cuando menos modestos.
Estas son algunas de las áreas que analizó en 2017 el Comité de Políticas de Economía Digital (CDEP, por sus siglas en inglés) de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), como parte del proceso de adhesión de Costa Rica.
¿Se avanzó desde entonces? El Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) reportó que cuenta con estudios (dos del 2019 y en otros dos no indica fecha) y que “se ha trabajado” en una estrategia de protección de menores en Internet.
LEA MÁS: Manejo de datos personales en Costa Rica es débil, pese a ley actual y a plan para modernizar normas
En ciberseguridad y en protección de datos se enumeran eventos, talleres y que “se está trabajando en generar propuesta de decretos y de leyes” y se firmaron acuerdos y convenios con diferentes entidades, incluyendo la Asociación Bancaria Costarricense (ABC) y la Cámara de Bancos.
En materia de datos abiertos, el Micitt carece de certeza de lo que otras entidades realizan, pese a que es el interlocutor ante la CDEP. El Ministerio de la Presidencia informó en setiembre pasado que se emitió la guía de publicación de datos abiertos.
Para especialistas legales y la Cámara de Tecnologías de Información y Comunicación (Camtic) la calificación no es alentadora. Pese a que hay una estrategia nacional desde el 2017, elaborada con apoyo de la Organización de Estados Americanos, la generación de políticas y respuestas de ciberseguridad carecen de articulación.
“Nos encontramos ahora en una etapa crítica —la de implementación— ya que los Ministerios no tienen todos los recursos necesarios para hacerlo”, alertó Monserrat Guitart, directiva de Camtic y directora regional de propiedad intelectual y tecnología de Dentons Muñoz.
En protección de información personal, junto al escándalo de la Unidad Presidencial de Análisis de Datos (UPAD), varios incidentes afectan la confianza de los ciudadanos, debilitan esfuerzos y evidencian grandes vacíos institucionales.
Entre esos incidentes se incluyen los ataques de hackers a los sistemas del Instituto Costarricense de Acueductos y Alcantarillados, Banco de Costa Rica (tarjetas) y de Correos de Costa Rica (Box Correos) en el 2020 y el reciente caso del manejo de la base de datos del bono Proteger, con información sensible de 1,2 millones de personas solicitantes del subsidio estatal por la pandemia de coronavirus
“En la gran mayoría de instituciones existe muy poco interés o poca capacitación en el adecuado manejo de los datos personales”, dijo León Weinstok, abogado de BLP.
| Propuesta |
|---|
| El proyecto de estrategia presentado por Ecija se estructura en cinco ejes: |
| Reforma a la Constitución para incluir la protección de datos como derecho autónomo y permitir así un control directo de constitucionalidad por parte de la Sala Constitucional. |
| Reforma integral a la Ley de Protección de Datos Personales con la finalidad de actualizarla y adecuarla al estándar internacional. |
| Adhesión del país al Convenio 108 de la Unión Europea con el objetivo final de optar en el mediano plazo por una decisión de adecuación para que el país sea considerado puerto seguro en el tratamiento de datos personales. |
| Necesidad de dictar legislación en materia de transparencia a la información pública, para armonizar el derecho a la protección de datos con el de acceso a la información pública y evitar que la Sala Constitucional sea quien decida caso por caso qué es información pública y qué no. |
| Replantear la Prodhab: darle autonomía y trasladarla, con máxima independencia, como un órgano adscrito al Micitt y que el nombramiento de su director o directora responda a criterios técnicos y no políticos. |
| Adecuación del Estado a la normativa de protección de datos mediante un primer inventario de bases de datos personales en manos de entidades públicas. |
| Especial atención a la regulación de categorías especiales de datos personales: a) menores de edad, b) relativos a la salud, c) relativos al comportamiento crediticio, y d) relativos a procesos electorales. |
| Desarrollo de una cultura de protección de datos mediante campañas educativas de difusión y concientización. |
| Fuente: Ecija |
Acercarse
Cuando el CDEP evaluó al país en varias materias, no parecía muy exigente. “El Comité alienta a Costa Rica a alinearse aún más con los estándares de la OCDE en el área de la política de economía digital”, indicó Wonki Min, presidente del CDEP el 22 de noviembre de 2017 al Micitt.
El Micitt, que actúa “como catalizador” de la información, explicó que ese organismo se dio por satisfecho en ocho de las 14 áreas o “instrumentos” analizados. En los otros seis —relacionados con ciberseguridad, privacidad de datos y protección de menores de edad en línea— realizó 14 recomendaciones.
En seguridad informática el país cuenta con un Centro de Respuesta de Incidentes de Seguridad Informática de Costa Rica (CSIRT-CR). Pero depende directamente del despacho de la Ministra del Micitt. “Para coordinar la implementación de la estrategia no tiene el dinamismo esperado”, afirmó Guitart.
El resultado, además, son respuestas y políticas de tecnología de información y comunicaciones (TIC) que —al no carecer de articulación y uniformidad— generan fragmentación y potencialmente afectan la misma seguridad, la eficiencia en compras, la interoperabilidad de los sistemas y el servicio al ciudadano.
Weinstock agregó que el presupuesto del CSIRT-CR “es muy bajo” y la mayoría de veces actúa de forma reactiva (aunque sí reacciona adecuadamente).
En el área relacionada con TIC y ambiente, Camtic indicó que no se visualizan acciones o la creación e implementación de una política integral.
El Micitt, por su parte, indicó que hay un decreto sobre producción y consumo sostenible de mayo de 2018, que cuenta con indicadores en especial de gestión de residuos eléctricos y que se realizaron actividades durante el día Mundial del Ambiente, la Semana del Ambiente y otras relacionadas con el paso a la televisión digital.
En materia de protección de datos personales la estrategia nacional no está oficializada, no se han hecho públicas las acciones oficiales para desarrollar indicadores y metodologías en esta materia, acusó también Camtic.
En febrero de 2020 la firma Ecija, que había sido contratada con apoyo de financiamiento de la Embajada Británica, presentó un proyecto de estrategia. “Resultó evidente que el Estado es el gran ausente en materia de protección de datos personales, sobre todo producto de una gran ignorancia de la legislación existente (que este año cumple 10 años de estar en vigor)”, comentó Mauricio París, socio de Ecija Legal Costa Rica.
París presentó en abril de 2020, a título personal dos iniciativas a la Comisión Investigadora de la UPAD, para la reforma constitucional que se propuso en el proyecto de estrategia y a la Ley de Protección de Datos Personales. La primera fue presentada y la segunda sería presentada junto con el reporte final de la Comisión UPAD en abril próximo.
“En la mayoría de instituciones no se cuenta con una persona que sea capaz de diseñar las políticas adecuadas para el manejo de los datos, ni se toma en cuenta el tratamiento de los datos personales al desarrollar nuevas iniciativas o proyectos”, coincidió Weinstock.
El Micitt, por su parte, respondió a EF que “según el último avance presentado”, la estrategia estaba en revisión final y en preparativos para su lanzamiento.
| Recomendación de OCDE | Lo hecho |
|---|---|
| Gestión de riesgos de seguridad digital por parte de los tomadores de decisiones y los encargados de formular políticas. | Incluida en estrategia de ciberseguridad: se fortaleció la red de enlaces de instituciones, banca y empresas para cooperación contra estafas electrónicas; alertas a ISP y enlace con CSIRT-CR; protocolo de gestión de incidentes en Estado; reportes de sitios maliciosos, alertas, evaluación y monitoreo de vulnerabilidades de sitios web públicos; alianzas con entes internacionales. Eventos virtuales de capacitación en 2020 (1.429 participantes y 13.199 personas alcanzadas en redes sociales). |
| Asegurar la implementación efectiva de la Estrategia Nacional de Ciberseguridad de Costa Rica | Incluida en estrategia de ciberseguridad: red de contactos, diversificación de canales de comunicación de directores de TI y CSIRT-CR; hay cinco grupos de trabajo (más de 400 personas), incluyendo con Cámara de Bancos y ABC; protocolo sobre datos a compartir; código de buenas prácticas para proyectos digitales; capacitación de equipos de TI en entes (499 participantes) y Dirección de Gobernanza Digital trabaja en propuestas de decretos y leyes en ciberseguridad. |
| Asegurar presupuesto y personal al CSIRT-CR para desarrollar y escalar sus operaciones. | Aumento de 214% en 2020 en comparación a 2019 para mantener e incorporar herramientas. No se cuenta con recursos para nuevas plazas. |
| Desarrollar e implementar una política integral de ISP de la información y el contenido del sector público. | Acuerdo marco para promover Estado Abierto (Poderes Ejecutivo, Legislativo, Judicial y TSE); y proyecto de ley. |
| Implementar portal único de datos del gobierno | Ministerio de Comunicación desarrolloa sitio de Gobierno Abierto y portal nacional de datos; decreto sobre apertura de datos públicos |
| Desarrollar una política integral para las TIC y el medio ambiente. | Trabajo conjunto con Minae para política de producción y consumo sostenible promulgada en mayo de 2018. |
| Ampliar las iniciativas para aumentar la conciencia del papel de las TIC en ambiente y fomentar las mejores prácticas para las TIC y el medio ambiente | Iniciativas de conmemoración de fechas relativas a ambiente a nivel internacional y local y de transición a televisión digital. |
| Desarrollar indicadores para evaluar las interacciones de las TIC y medio ambiente (áreas clave: teletrabajo, contratación pública, gestión de residuos, capacitación y habilidades). | Guía técnica y propuesta presentadas a Cegire para recopilación periódica de información cuantitativa para monitorear gestión de residuos electrónicos; avances en datos sobre residuos electrónicos con ministerios de Salud y Hacienda y Preal; se cuenta con datos de teletrabajo, sistemas de información ambiental (Ceniga y Sinia), formación profesional y estadísticas de telecomunicaciones (Sutel). |
| Finalizar la estrategia de privacidad de Prodhab. | Coordinación con Prodhab y estrategia nacional de privacidad en revisión final y en preparación para lanzamiento. |
| Implementar metodologías para monitorear y evaluar las actividades de protección de datos. | Plan institucional de Prodhab a 2022 incluye metodología. |
| Facilitar la cooperación transfronteriza en materia de privacidad. | Articulación de espacios de diálogo internacional para cubrir temas como la la cooperación en la aplicación de la ley de privacidad transfronteriza como fue el Diálogo Iberoamericano en Protección de Datos Personales en 2018, entre otros. |
| Mejorar el seguimiento y la medición regulares de la evolución de la alfabetización digital. | Se trabajó en Estrategia Nacional para la prevención y atención de la Explotación y Abuso Sexual en Línea de niños, niñas y adolescentes y apoyo a proyecto de ley 22.206 para la creación del Programa Nacional de Alfabetización Digital. |
| Monitoreo y medición para el desarrollo e implementación de políticas basadas en evidencias. | Encuesta sobre uso de dispositivos móviles e Internet en menores de edad (2018-2019), identificar prácticas de esta población en Internet y estudio de 2019 sobre uso de tecnología y violencia en línea en conjunto con Fundación Paniamor. |
| Fuente: OCDE | Fuente Micitt |