Pasaporte biométrico y privacidad

Durante la Administración Alvarado Quesada, en diciembre del 2019, la Dirección General de Migración y Extranjería (DGME) publicó una licitación para adquirir tecnología con el fin de implementar un pasaporte biométrico para los costarricenses. Este incorpora en un chip los datos biométricos de cada ciudadano, en concreto, la biometría del rostro y huellas dactilares. No se trata de una simple fotografía o de la mera impresión de huellas, sino que, al aplicar tecnología biométrica, se escanea la morfología del rostro y de las yemas dactilares, para crear así una plantilla biométrica. Posteriormente, dicha plantilla se utiliza para confrontarla contra el rostro de la persona o su huella dactilar, logrando de esta manera, una identificación unívoca de la persona. Estas plantillas biométricas contienen datos personales, ya que permiten la identificación personal, y califican, según la Ley de Protección de Datos Personales, como datos personales sensibles y, por ende, sujetos al mayor grado de protección posible.

Con estas plantillas biométricas, el Estado, cuerpos de policía, compañías privadas, proveedoras de tecnología y autoridades de otros países, aplican tecnologías de reconocimiento facial para controlar el movimiento migratorio de todos los costarricenses mediante ese chip almacenado en cada pasaporte. La Dirección de Migración mantiene almacenadas esas plantillas biométricas en sus propias bases de datos y, según indicaron en un oficio (AJ-2052-11-2021-AGC de 12 de noviembre del 2021), no descartan compartirlos a futuro con fuerzas policiales e incluso, con otros países, a su entera discreción.

La DGME comenzó la recolección masiva de los datos biométricos de las huellas y el rostro de los costarricenses durante el primer trimestre del 2022, sin marco legal alguno que se lo autorizara y sin demostrar tener medidas de seguridad suficientes para proteger información tan sensible y cotizada por los cibercriminales: datos biométricos de más de cinco millones de personas, incluidos menores de edad.

La recopilación y tratamiento de datos biométricos, es decir, datos personales sensibles, está reservada a la Ley, porque involucra una limitación considerable al derecho fundamental de autodeterminación informativa y el derecho a la vida privada, protegidos por el artículo 24 de la Constitución Política y 11 de la Convención Americana de Derechos Humanos. Así lo reconoció la propia Procuraduría General de la República en su Dictamen No. OJ-004-202 del 8 de enero del 2021: “Por tanto, el acceso a ese tipo de datos no es indiscriminado, sino que, necesariamente, su acceso, recopilación y archivo debe estar expresamente autorizado para la consecución del interés público que se persigue (fin específico). De allí que, el tratamiento de los datos biométricos de las personas debe estar autorizado por una Ley habilitante”.

Solo la Asamblea Legislativa, mediante una ley de la República, puede autorizar a la DGME a utilizar y recopilar datos biométricos de los costarricenses. Además, para que esa utilización sea constitucionalmente válida, la ley debe disponer de medidas suficientes que protejan el contenido esencial de los derechos comprometidos y eviten una intromisión irrazonable y desproporcionada en la esfera jurídica de la persona. Sin embargo, Migración implementó esta iniciativa sin cumplir este requisito, y además consideró que el criterio que emitió la Procuraduría no le es vinculante, actuando por la libre, bajo la emoción de muchos costarricenses de que el pasaporte nuevo es muy bonito, y el discurso oficial de que es más seguro.

Para saltarse el criterio de la Procuraduría con garrocha, Migración comenzó a aplicar un consentimiento informado que debe firmar todo ciudadano para poder tener un pasaporte. Ese consentimiento es nulo, puesto que no es libre, ya que la consecuencia de no suscribirlo es, sencillamente, no poder salir del país. Un video de protesta de un ciudadano sobre este mal llamado consentimiento, se viralizó en días pasados.

No dudo que el pasaporte biométrico incrementó la seguridad del documento de viaje y que contribuye a evitar falsificaciones. Sin embargo, la seguridad de un documento no es excusa para menoscabar los derechos fundamentales de los ciudadanos y el principio de legalidad. En este caso, los riesgos para la vida privada y la autodeterminación informativa son mayores que el supuesto beneficio para la seguridad pública. No se trata de oponerse al pasaporte biométrico, ni a la tecnología en general, sino que los órganos del Estado desarrollen proyectos al margen de la legalidad y carentes de reglas mínimas que determinen cómo se tratarán los datos sensibles de toda la población.

Este caso, junto con otros como el de la UPAD, Pruebas Faro y Marchamo Digital, demuestran que el apetito del Leviatán por los datos personales de los ciudadanos está desatado y se ve potencializado por el uso de la tecnología, en un país que no ofrece garantías para que el tratamiento de los datos de los costarricenses sea seguro, como desnudaron los ciberataques del 2022.

Los proyectos de ley que contribuyen a crear la gobernanza y el sistema de controles indispensable para que el Estado ejecute este tipo de proyectos sin menoscabar derechos fundamentales, en específico los proyectos 22063, para llevar la protección de datos a la Constitución Política, y el 23097, que reforma integralmente la actual Ley de Protección de Datos Personales, no han sido convocados por el Poder Ejecutivo, y su aprobación resulta indispensable para que el ciudadano cuente con mayores garantías de que sus datos personales no serán utilizados por el Estado como si fueran de su propiedad.

¿Cuál será el siguiente episodio en esta seguidilla de iniciativas violatorias de la protección de datos personales? Sin duda, pronto lo sabremos.