El Proyecto de Ley No. 21.321, para crear el Repositorio Único para Fortalecer las Capacidades de Rastreo e Identificación de Personas, fue dictaminado favorablemente de forma unánime por la Comisión Permanente de Gobierno y Administración el pasado 11 de noviembre de 2020. El Proyecto pretende crear un repositorio único de datos biométricos de todos los costarricenses, residentes y turistas que ingresen en el país, y encargar su administración al Tribunal Supremo de Elecciones (TSE), con acceso irrestricto por el Organismo de Investigación Judicial, el Ministerio Público, los cuerpos de policía adscritos al Ministerio de Seguridad y la Dirección General de Migración y Extranjería.

El Proyecto se presenta como una medida para atacar la criminalidad, al disponer la existencia de una base de datos personales biométricos centralizada, que pueda ser consultada por los organismos públicos vinculados con la investigación de la criminalidad. Se le asignan fondos al Tribunal Supremo de Elecciones para que dicho registro migre de un simple repositorio de huellas dactilares y fotografías, creado con la finalidad de permitir la identificación ciudadana y el derecho al sufragio, a una base de datos biométricos con fines policiales.

El camino al infierno está plagado de buenas intenciones, y sin duda este Proyecto es un buen ejemplo de lo anterior, ya que atropella el derecho a la intimidad de los habitantes y sobre todo, el de protección de datos personales. El Proyecto hace gala de una ignorancia supina en materia de protección de datos personales, y curiosamente, pese a que la Comisión se lo consultó a medio país, olvidó consultarlo con el órgano técnico encargado de la materia: la Agencia de Protección de Datos Personales de los Habitantes (PRODHAB).

Si bien la idea de que las fuerzas policiales cuenten con información adecuada para la identificación de personas vinculadas con hechos criminales es no sólo una buena idea sino una herramienta indispensable en la lucha contra la inseguridad, el Proyecto va más allá y abre la posibilidad de que las instituciones descentralizadas y el sector privado en general puedan comprarle los servicios de identificación biométrica al TSE. Es decir, los datos que el TSE recabe para que usted pueda tener una cédula y ejercer su derecho al voto, ahora los comercializará en modo de consulta con cualquier entidad pública o privada que desee adquirir los servicios. De aprobarse el Proyecto, seremos el primer país del mundo en comercializar los datos sensibles de su población, incluyendo los de menores de edad, y aún más, los de cualquier extranjero que se le ocurra venir al país de visita. Estado Empresario del Siglo XXI.

¿Qué son los datos biométricos? Son los datos que permiten identificar a una persona mediante la medición de características físicas como las huellas dactilares, el ADN, la lectura de la retina o el iris, el reconocimiento facial, de la voz, o vascular, la geometría de la mano, o también características comportamentales como la forma de escribir en un teclado o de firmar. La mera fotografía de una persona o incluso la simple impresión de su huella digital, por sí mismas no son datos biométricos si no existe un tratamiento técnico que permita identificar a las personas. Al referirse el Proyecto a datos biométricos, debe entenderse que lo que se ofrecerá será precisamente ese mecanismo técnico de identificación unívoca de personas.

Los datos biométricos son datos personales sensibles, y así lo establece no sólo nuestra Ley de Protección de Datos Personales sino el estándar internacional en la materia. De hecho, el Convenio 108+, único tratado internacional en materia de protección de datos personales al que Costa Rica manifestó intención de adherirse, y el Reglamento General de Protección de Datos Personales de la Unión Europea establecen la condición de sensible de tales datos, pero en especial la prohibición de su tratamiento cuando procuren identificar unívocamente a una persona, que es justamente lo que busca el Proyecto en cuestión. El tratamiento de los datos personales biométricos está sujeto, bajo el estándar internacional, a estrictos controles, que parten de la existencia de una evaluación de impacto de dichos tratamientos a los derechos y libertades de los ciudadanos, la definición clara de los fines para los que se recaban y tratan, y la designación de un delegado de protección de datos personales. Nada de esto se regula en el Proyecto en comentario.

De aprobarse este Proyecto, tecnologías de videogilancia con reconocimiento facial permitirían identificar a cualquier persona que transite por la vía pública o incluso en espacios privados como centros comerciales, acabando así con el anonimato en los espacios públicos o privados. Cámaras de seguridad instaladas en carreterras podrían identificar al conductor de un vehículo con sólo tomar una fotografía del vehículo en movimiento, o permitir seguimiento contínuo de las personas sin su conocimiento. El acceso a las huellas digitales de los ciudadanos podría permitir el uso ilícito de tales datos generando dedos artificiales o impresiones dactilares en 3D que permiten la usurpación de identidad.

Las preocupaciones que surgen del Proyecto son principalmente dos:

A) En cuanto al uso de los datos personales por parte de los Poderes Públicos, no se delimita el tipo de datos biométricos que serán tratados, y más bien se deja abierta la posibilidad de que cualquier dato biométrico sea incorporado al repositorio en el futuro,  dependiendo de la tecnología disponible. Las instituciones públicas antes mencionadas podrán tener acceso irrestricto a la información biométrica de todos los habitantes, sin que se regule la finalidad de tales accesos o las condiciones del tratamiento de los datos personales por cada una de ellas, y lo que es más preocupante, sin que medie una autorización judicial que garantice la existencia de una investigación criminal que lo justifique.

B) La comercialización de servicios de identificación biométrica de todos los habitantes por parte del Tribunal Supremo de Elecciones a cualquier institución pública o incluso empresas particulares (nacionales o extranjeras), sin que medie el consentimiento de los titulares de los datos y sin que se establezcan las finalidades, las condiciones o las medidas de seguridad que deban ser empleadas por los usuarios de dichos servicios.

Es inconcebible que el mismo año en el que el país se generara un escándalo político como el de la UPAD que arrasó con ministros, viceministros, allanó la Casa Presidencial e incluso tiene al Presidente de la República denunciado penalmente, un Proyecto como este avance silenciosamente en la misma Asamblea Legislativa que, de forma paralela, investiga el mal manejo de datos personales en el caso UPAD.