La inclusión de ítems en los que se solicitó a menores de edad información privada en el cuestionario de Factores Asociados de Fortalecimiento del Aprendizajes (FARO), del Ministerio de Educación Pública (MEP), implica una serie de errores que las entidades y empresas no pueden cometer cuando piden y gestionan datos privados de ciudadanos, usuarios y clientes.
Las pruebas fueron aplicadas el pasado 12 de noviembre a 77.0000 estudiantes de quinto grado de escuela y causaron polémica por la formulación y extensión de las preguntas (cerca de 600 respuestas) y al solicitar datos privados de la situación socioeconómica de sus familias.
“Algunos de los datos solicitados corresponden a datos sensibles”, advirtió León Weinstok, director de BLP y especialista en tratamiento de datos privados. “Esta característica de los datos provoca que, aún cuando se hubiese solicitado el consentimiento informado de los padres, hubiese sido ilegal”.
“Lo primero que las empresas tienen que entender es que los datos personales, y sobre todo los sensibles, son un activo delicado para la organización desde el punto de vista regulatorio”, dijo por aparte Mauricio París, socio de Ecija Legal y también especialista en protección de datos y tecnología.
En la prueba FARO se pretendía identificar variables que pueden estar incidiendo en el rendimiento de los estudiantes en materias evaluadas (español, matemáticas y ciencias).
La crisis provocó la renuncia de la ministra Giselle Cruz, la viceministra académica, Melania Brenes, y el director de gestión y evaluación de la calidad del MEP, Pablo Mena.
Aunque el MEP decidió devolver los cuestionarios a los padres de familia, el Tribunal Contencioso Administrativo acogió una orden cautelar y ordenó al Ministerio abstenerse de extraer información sensible obtenida de los estudiantes y de utilizarla en cualquier archivo informático, así como entregar a ese Tribunal la totalidad de los cuestionarios para que sean custodiados judicialmente en forma confidencial.
La crisis política y las implicaciones legales que se generan en este caso, que se une al de la Unidad Presidencial de Análisis de Datos (UPAD) ocurrido a principios de 2020, no deben pasar desapercibidos por las instituciones y empresas para evitar consecuencias en la gestión de información privada.
Errores
Los datos solicitados, de conformidad con el artículo 5 de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (N° 8968), requieren el consentimiento informado para su tratamiento de los padres o representantes legales, previamente, de forma expresa, precisa e inequívoca.
En la solicitud se debió indicar la existencia de una base de datos personales; los fines que se persiguen con la recolección de estos datos; los destinatarios de la información, así como quienes podrán consultarla; el carácter obligatorio o facultativo de sus respuestas; el tratamiento que se dará a los datos solicitados; as consecuencias de la negativa a suministrar los datos; la posibilidad de ejercer los derechos que le asisten; la identidad y dirección del responsable de la base de datos.
Así, no se cumplió con el requisito previsto en ese artículo 5 (inciso 1) que establece: “cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible”.
Algunos de los datos solicitados son sensibles, sin embargo, característica que provoca que, aún cuando se hubiese solicitado el consentimiento informado de los padres, hubiese sido ilegal su tratamiento, según el artículo 9 de la Ley 8968: “se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros”.
“Si bien se establecen algunas excepciones, ninguna de ellas aparenta ser aplicable al presente caso”, dijo Weinstok.
Otro error de gravedad fue que, mediante la identificación de los niños y niñas con sus nombres y apellidos, se realizó recolección y tratamiento de datos sensibles (artículo 3, inciso e de la Ley 8968) sin encontrarse en ninguna de las excepciones previstas por ese artículo 9.
Medidas previas
Las empresas e instituciones deben anticiparse a toda situación. Desde que se diseña un proceso de recopilación datos personales se debe tomar en cuenta la protección de los mismos.
“Lo primero que las empresas tienen que entender es que los datos personales, y sobre todo los sensibles, son un activo delicado para la organización desde el punto de vista regulatorio”, recalcó París.
Previo a cualquier proyecto que involucre el tratamiento de datos personales, deben responderse cuatro preguntas básicas:
1) Si los datos son personales o no: es decir, si identifican o hacen identificable a una persona física concreta.
2) Si son personales, qué tipo de datos personales son (sensibles, de acceso irrestricto, acceso restringido).
3) ¿Cuál es el fundamento legal que mi organización tiene para tratar estos datos personales?
4) ¿Cuál es el impacto que el tratamiento de esos datos personales representa para sus titulares desde el punto de vista de sus derechos y garantías.
De esta forma, se debe definir, entre otras cosas, si los datos pueden o no ser solicitados, cómo se deben solicitar, para que se utilizarán, como se almacenarán y la forma en la que los titulares puedan ejercer sus derechos.
“Esas medidas hubieran determinado en este caso concreto la necesidad de eliminar algunas preguntas, solicitar el consentimiento de los padres previo a la prueba y establecer mecanismos para que se pudieran ejercer los derechos de las personas, entre otras”, dijo Weinstok.
El consentimiento
El consentimiento informado debe ser una manifestación “expresa, libre, inequívoca, informada y específica”. Se puede solicitar al momento de registro de un servicio en línea, por ejemplo, siempre y cuando se incluya el contenido exigido y haya una acción de aceptación de este consentimiento.
Sin embargo, las empresas o instituciones deben cerciorarse de varias condiciones:
—Que el sujeto que confiera el consentimiento esté en capacidad legal de hacerlo. Por ejemplo, en el caso de menores de edad, solo lo pueden otorgar sus padres o representantes.
—En cuanto a la forma: el consentimiento debe ser expreso, libre e inequívoco, y debe ser otorgado mediante algún mecanismo que permita su consulta posterior.
—El consentimiento debe cumplir, además, los requisitos previstos en la Ley 8968, dentro de los que resalta el indicar quién es el responsable de la base de datos, cuál es el fin del tratamiento de esos datos, quiénes podrán consultar los datos, y qué tratamientos se aplicarán a los mismos.
—El consentimiento en medios digitales es válido, siempre que sea informado y que implique la realización de una acción afirmativa del titular. Por ejemplo, mediante un click grap agreement, es decir, marcando una casilla previo a pulsar aceptar.
Almacenamiento
El almacenamiento se debe realizar de una forma tal que garantice la seguridad de la información.
Para determinar cuáles son las medidas necesarias, se debe llevar a cabo un análisis de riesgo a fin de poder conocer el nivel de medidas que se deben implementar. Asimismo, el uso debe realizarse únicamente para los fines para los cuales fue permitido. Todo dependerá del tipo de datos y de los tratamientos aplicables a ellos. “No hay una receta única”, dijo París.
Cada responsable debe adoptar las medidas técnicas y organizativas requeridas para salvaguardar la integridad de los datos personales. A eso se llama “principio de responsabilidad proactiva”. La adopción de estándares internacionales de seguridad de la información como la norma ISO 27001 es, sin duda, una buena práctica para las organizaciones que manejan grandes cantidades de datos o datos sensibles.
Anonimización
La anonimización de los datos implica eliminarles la condición de dato personal, es decir, quitarles la capa que permite identificar a una persona. Para que el dato sea anonimizado, la operación debe ser irreversible. Es decir, no puede reidentificarse a la persona.
París indicó que lo más común es la seudonimización del dato, que es lo mismo que la anonimización pero permite la reidentificación del titular. Es decir, se aplica un mecanismo técnico que facilita que el responsable pueda reidentificar al titular bajo medidas de seguridad.
La anonimización se utiliza para análisis de conglomerados de personas. Hay sistemas que permiten identificar y dirigir información ajustada a las conductas y características de los clientes basándose en datos anonimizados. En otros casos, se dirige información o comunicaciones identificando a la persona. En todo caso, es imprescindible contar con el consentimiento.
“El proceso de anonimización no sería necesario en caso de que se cuente con el consentimiento de los datos y se haga un tratamiento adecuado de los mismos”, afirmó Weinstok.
No lo omita
Los especialistas recalcan que casos como el ocurrido en el MEP demuestran la importancia de tomar en cuenta siempre la protección de los datos personales para cualquier iniciativa, dadas las consecuencias que se pueden generar.
“Por ejemplo, en este caso, la credibilidad y la confianza en las pruebas FARO se ve afectada por las acciones realizadas en el tratamiento de los datos personales”, alertó Weinstok.