Costa Rica carece de una regulación en el uso de sistemas de biometría para reconocimiento facial, en particular, para efectos de seguridad pública o privada, por lo que la materia queda al azar de leyes que son insuficientes, desactualizadas y sin mayores progresos.
“El único avance que se podría mencionar es que exista una legislación de protección de datos”, explicó Mauricio París, socio de Ecija Legal y especialista en protección de datos, privacidad y tecnología.
La biometría permite identificar al usuario analizando las características físicas de su huella o de su rostro.
Óscar Esquivel, director ejecutivo del Colegio de Profesionales en Informática y Computación (CPIC), recordó que es una tecnología que se utiliza para acceso en plantas físicas (registros basados en huella dactilar en sustitución de tarjetas o códigos). Más recientemente se usan sistemas biométricos para el desbloqueo de los teléfonos móviles.
El uso de sistemas de reconocimiento facial, sin embargo, es muy controvertido, tanto por el dilema entre privacidad individual y seguridad colectiva, como por los errores en identificación de sospechosos y los sesgos raciales, sociales y de género de los algoritmos.
En Detroit, Estados Unidos, un ciudadano fue detenido porque el sistema del Departamento de Policía lo confundió con un sospechoso. En ese país no hay regulación federal, pero sí a nivel de algunas ciudades (San Francisco, Oakland, Berkeley, Portland, Minneapolis y seis de Massachusetts, incluyendo Boston) donde se limita o se prohíbe su uso.
El ciudadano acudió a la Unión Estadounidense de Libertades Civiles, la cual —junto con la Iniciativa de Litigio de Derechos Civiles de la Universidad de Michigan— presentó una demanda. También surgieron dos casos más. Firmas como IBM, Amazon y Microsoft congelaron o suspendieron la venta de esta tecnología por el momento.
En Gran Bretaña se utilizan sistemas de reconocimiento facial en las vías públicas para localizar sospechosos de crímenes, pero de 2.900 casos el 95% eran falsos positivos según un estudio de la Universidad de Cardiff. La Unión Europea impulsa un proyecto para que sea un juez el que autorice el uso de reconocimiento facial para casos concretos.
China cuenta con un sistema denominado Dragonfly Eye capaz de reconocer a cualquiera de las 1.700 millones de personas de su base de datos, incluyendo 320 millones de extranjeros registrados al ingresar por los aeropuertos.
Al garete
En Costa Rica, algunas regulaciones en la Administración Pública, Tribunal Supremo de Elecciones y Registro Civil, Organismo de Investigación Judicial, Tránsito y Código Civil, en este caso desde el concepto del derecho de imagen, se aplicarían a la gestión de datos biométricos.
La Ley de Protección de Datos Personales (No. 8968) establece la condición de dato personal a cualquier información que identifica o permita identificar a una persona, incluyendo aquellos que pueden llegar a ser biométricos (huella dactilar o la fotografía).
Pero todas las anteriores no son suficientes en la actualidad ni son regulaciones específicas sobre el uso de la tecnología. Tampoco sirven para calificar un dato como biométrico, pues no incluyen ni el concepto y menos lo incluyen entre los datos personales sensibles, a los que se debe dar mayor protección.
“La legislación actual carece de una regulación adecuada y específica”, recalcó León Weinstok, director de la firma de abogados BLP.
LEA MÁS: Tecnología china reconoce a personas por su forma de caminar
La normativa no es taxativa y el listado de datos sensibles, incluido en la Ley 8968, queda abierto al final, y depende de la interpretación de las autoridades de turno. París insistió en que incluir el dato biométrico entre la información sensible debe quedar expresamente consagrado.
Los vacíos legales facilitarían el uso de la biometría para seguridad en el ámbito empresarial y policial. La única limitación es que cumplan con la Ley 8968, lo cual obliga a que el tratamiento de datos sea transparente y lícito, que los titulares tengan conocimiento, que el uso sea únicamente para el fin establecido, que la información esté custodiada con altas medidas de seguridad y que cuente con una base legal para fundamentarse.
Además, debe tenerse el consentimiento informado del titular de los datos o que una ley autorice la recolección y tratamiento de la información
En el caso de la seguridad del Estado podría justificarse con las excepciones que prevé la Ley 8968, pero podría reñir con el artículo 24 de la Constitución Política, el cual garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones.
En el ámbito público y en el privado el tratamiento de datos biométricos “dispara” las obligaciones establecidas en la Ley 8968, que incluye establecer mecanismos para que el titular revoque su permiso.
“Debería existir una regulación específica sobre datos biométricos, tanto para el sector público como para el privado”, afirmó Monserrat Guitart, directora regional de propiedad intelectual y tecnología de Dentons Muñoz.
| Lo regulado |
|---|
| La Ley de Protección de Datos Personales establece: |
| Artículo 3, inciso e): Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros. |
| Artículo 9, inciso 1: Ninguna persona estará obligada a suministrar datos sensibles. Se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros. |
| Artículo 9, inciso 1 c): Esta prohibición no se aplicará cuando el tratamiento se refiera a datos que la persona interesada haya hecho públicos voluntariamente o sean necesarios para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial. |
| Fuente: Ley Nº 8968 |
Reformas
Para resolver el vacío de la regulación local se espera que avancen iniciativas de reforma a la Ley 8968 y que el país se actualice en la materia, en especial en relación con la regulación europea.
Mauricio París entregó un proyecto a la Comisión investigadora de la Unidad Presidencial de Análisis de Datos (UPAD), que contempla calificar el dato biométrico como dato sensible, prohíbe su uso para identificar a una persona unívocamente y restringe su uso en caso que limiten los derechos de los ciudadanos. Así, se tendría una regulación concordante con el estándar establecido por el Reglamento General de Protección de Datos de la Unión Europea.
El diputado Enrique Sánchez también presentó una reforma a la misma Ley 8968 (expediente 22.388) que contempla definiciones de datos biométricos y los incluye entre la información sensible.
La incorporación de Costa Rica a la Organización para la Cooperación y el Desarrollo Económicos (OCDE) obliga también a la implementación de una estrategia de privación y a la adhesión al Convenio 108 o Tratado del Consejo de Europa sobre protección de datos.
Hay iniciativas que se orientan en sentido contrario. El proyecto de Ley de Repositorio Único Nacional para Fortalecer las Capacidades de Rastreo e Identificación de Personas (Expediente No. 213219), presentado por el diputado liberacionista Daniel Ulate, es cuestionado porque daría acceso a los cuerpos policiales a una base de datos de las huellas dactilares y los rasgos faciales de la población de Costa Rica.
La Procuraduría General de la República advirtió en enero anterior que la iniciativa presenta una serie de carencias en materia de definiciones y no considera los derechos a la intimidad, imagen o autodeterminación informativa, entre otros.
Si bien, evitar los errores en la aplicación de los sistemas biométricos sería un problema técnico, la normativa que se apruebe debería velar para que los sistemas eviten al máximo las equivocaciones y que se tengan los procedimientos ágiles y efectivos para realizar los ajustes necesarios, indicó Weinstok.