Ante consultas de los diputados, el ingeniero en sistemas y experto en ciberseguridad, Esteban Jiménez Cabezas, explicó que antes de que la base de datos del Sistema Nacional de Información y Registro Único de Beneficiarios del Estado (Sinirube), fuera cedida a la asociación empresarial privada Horizonte Positivo, la institución responsable debió haber cumplido con un trámite previo ante la Agencia de Protección de Datos de los Habitantes (Prodhab).
La Prodhab debió autorizar la cesión de esos datos, apoyándose en la legislación nacional y específicamente asegurándose de que los datos sensibles de los habitantes no fueran incluidos, dijo Jiménez.
El consultor y oficial de tecnología en la empresa de ciberdefensa Atti Cyber compareció ante la comisión legislativa que investiga el caso de la ahora desaparecida Unidad Presidencial de Análisis de Datos (UPAD) el pasado jueves 30 de julio.
Jiménez también señaló que con los datos personales se pueden definir perfiles y preferencias de las personas, de consumidores, de grupos y de segmentos de población, información que tiene valor a nivel comercial.
El informático, quien ha realizado consultorías para instituciones públicas como el Instituto Mixto de Ayuda Social (IMAS), el Organismo de Investigación Judicial (OIJ), indicó que una de las técnicas más importantes que debe seguirse en cada investigación de datos como las mencionadas en el caso de la UPAD, es el principio de anonimización y pseudoanonimización.
“¿Qué quiere decir esto? Que el IMAS, que es el responsable o controlador de los datos del sistema del Sinirube, no puede entregar esa información a otro sin antes pasarla por un proceso de anonimato. Antes de entregarla tiene que extraer los datos que puedan ubicar a una persona en específico en ese banco de datos”, aseveró.
“Entonces, si existiese un convenio entre una unidad de investigación y el Sinirube, perfecto; sin embargo, el Sinirube tiene que asegurarse que, cuando se entrega esa información, ya haya sido procesada y los datos sensibles de la población hayan sido efectivamente excluidos. Esos procesos tienen que estar registrados en la Prodhab también”, añadió Jiménez.
El diputado independiente Dragos Dolanescu preguntó a Jiménez qué opinión le merecía “el hecho de que una asociación de empresarios muy influyente denominada Horizonte Positivo firmara convenios para tener acceso a datos de todos los costarricenses”.
Jiménez respondió que la legislación permite que se den convenios entre instituciones públicas y privadas. “Sí se puede, pero ellos debieron haber hecho toda una tramitología previa con la Prodhab y ésta debió haber autorizado la cesión de esos datos, apoyándose en el resto de la normativa nacional y específicamente asegurándose que los datos sensibles de los habitantes no fueran incluidos”, comunicó.
“Cuando se trata de datos personales, entra a regir el artículo 12 de la Ley de Protección de Datos, que indica que efectivamente las personas físicas y jurídicas, públicas y privadas que tengan entre sus funciones la recolección, el almacenamiento y el uso de datos personales podrán emitir un protocolo de actuación, en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las reglas previstas en esta ley. Para que sean válidos, los protocolos de actuación y sus posteriores modificaciones deberán ser inscritos ante la Prodhab. La Prodhab podrá verificar en cualquier momento que la base de datos está cumpliendo con los términos de su protocolo”, destacó Jiménez.
La base de datos del Sinirube
El Ministerio Público investiga el caso de la UPAD porque maneja la hipótesis inicial de que entre mayo de 2018 y octubre de 2019, los investigados Alejandro Madrigal, Andrés Villalobos y Diego Fernández Montero, desempeñándose como asesores de datos del despacho de la Presidencia, “conformaron una unidad gubernamental para la compilación y análisis de datos personales de las y los costarricenses, con miras a la supuesta ejecución de políticas públicas; lo anterior sin ningún respaldo legal”.
Según el informe emitido por la Defensoría de los Habitantes, la UPAD tenía acceso directo al Sinirube, donde existe información sobre estado socioeconómico y de salud de ciudadanos en más de 1.200.000 hogares.
A fines de junio y en su comparecencia ante esta misma comisión legislativa, la directora de la Agencia de la Prodhab, Elizabeth Mora Elizondo, reconoció que la base de datos de Sinirube no fue inscrita ante la Prodhab. La directora admitió que si bien el Sinirube aloja principalmente datos sensibles de los habitantes no era obligatorio inscribirla ante la Prodhab.
Por otra parte, en abril de 2018, el director del Sinirube, Erikson Álvarez Calonge, y el director de Horizonte Positivo en ese momento, José Aguilar Berrocal, firmaron un convenio que permitió que el IMAS entregara a Horizonte Positivo una base de datos despersonalizada del Sinirube para que la asociación empresarial pudiera construir y donar al Gobierno una herramienta tecnológica llamada Tablero de Gerencia Social.
Valor comercial de los datos personales
Según explicó Esteban Jiménez ante la comisión legislativa, en los últimos 13 años ha asistido numerosos incidentes informáticos a instituciones públicas y privadas y ha visto muchísimas bases de datos.
“Una de las principales bases de datos es la del Sinirube, que es muy conocida y tiene información muy muy sensible de los habitantes porque permite ubicar con mucha precisión a una persona en condición de riesgo. Ahí ustedes van a obtener dentro de las fichas internas del sistema los nombres, números de cédula, ubicaciones y toda la información que se imaginen, incluso de salud, para que el IMAS genere sus campañas”, dijo Jiménez.
Ante consultas del diputado Dolanescu, Jiménez reconoció que con los datos personales se pueden definir perfiles y preferencias de las personas, de consumidores, de grupos y de segmentos de población; que estos datos tienen un valor a nivel comercial; y que terceros sacarle pueden provecho comercial a esa información que podría contener esa base de datos del Gobierno.
Jiménez puntualizó que en los foros de venta y trasiego de información en Internet, muchas personas buscan documentos de identidad para comprarlos para hacer trámites, para cometer fraude, o para venderlos a personas indocumentadas, o para retirar recetas ante la Caja Costarricense del Seguro Social. Indicó que los precios van desde $550 hasta $1500, dependiendo de cuánta información tengan. Se denominan “full” cuando contienen datos completos que incluyen nombre, número de cédula, información crediticia y de salud, agregó Jiménez y precisó que el documento “full”, que contiene la información extraída de una base de datos del gobierno, permite tener ese redondeo del individuo.
Como parte de la exposición inicial que hizo ante los legisladores, Jiménez expresó que en Costa Rica la mayoría de instituciones tienen un chip como de empresa privada. “La mayoría de jerarcas de las instituciones trata la información como si fueran una empresa privada. En las empresas privadas el impacto es financiero; pero en el gobierno el impacto es humano”.
“No podemos permitir que se hagan estudios con datos del gobierno sin que antes se hagan estudios de escrutinio muy estrictos para proteger los datos de los ciudadanos. Podemos poner en peligro vidas de las personas, la salud del país, la estabilidad de sectores del gobierno. El impacto es mucho más grande cuando esta información no es bien regulada en un Gobierno”, enfatizó.
