Cada vez más servicios en el Perú piden datos biométricos para verificar nuestra identidad. Requieren nuestras huellas dactilares en las notarías, en los bancos, en las tiendas que venden celulares. Para solicitar el nuevo pasaporte o el DNI electrónico también piden el registro de las diez huellas de las manos y nuestra foto. La verificación biométrica está de moda. Los peruanos están contribuyendo a una base de datos sensibles (biométricos) que no se sabe bien quién la maneja, cómo o para qué.

En este contexto, el Ministerio de Transportes y Comunicaciones ha publicado el Decreto Supremo 004-2017 que adelanta intempestivamente la obligación que tenían las empresas proveedoras de líneas móviles de instalar lectores biométricos en cada uno de sus puntos de ventas. Con esta modificación, a partir del 1 de abril de 2017 sólo se podrá comprar una línea móvil si es que proporcionamos nuestra huella digital. Comprarla por Internet, difícil. Comprarla anónimamente, imposible.

La revolución del comercio electrónico está ocupando un lugar protagonista. Los bitcoins y las fintech vienen ganando terreno en nuestro país. También lo hacen los mecanismos de verificación de identidad y controles financieros. Identidad biométrica es lo que dicen que se necesita: “No hay otra forma de saber quién realiza una transacción en línea, si no es a través de la identidad biométrica”. Frase hecha que no ayuda mucho por ahora.

En nuestro actual ambiente regulatorio, donde los conectados no llegan a un 50% de la población, donde se prohíbe jugar a un juego móvil en una zona particular, donde se cuestionan nuevas formas de hacer cosas viejas, la innovación y la disrupción del mercado  están jugando un papel clave. El Estado tiene que dejar hacer y no deshacer. Mientras siga poniendo más trabas y más condiciones para la libre competencia, más sufrirá la ciudadanía, los usuarios y los emprendedores.

Diseño difuso de políticas públicas

No hay coordinación estatal en el diseño de políticas que inciden en el mundo digital. Recientemente se publicó el Decreto Legislativo 1246 que promueve favorablemente la interoperabilidad entre las entidades de la Administración Pública y facilita la realización de ciertos trámites. Pero pocos días después se publica el mencionado D.S. 004-2017-MTC, que adelanta imperiosamente la implementación de un sistema de verificación biométrica para todos los puntos que vendan líneas para teléfonos celulares. Claramente hay una dicotomía de fines. Es decir, se flexibiliza el proceso para realizar un trámite administrativo, pero se deben entregar datos biométricos para poder contratar una línea de teléfono. Y todo esto sin poner en debate si estos actos puedan o no puedan hacerse a través de Internet.

La estrategia que gira en torno al diseño de estas políticas es difusa. La necesidad de una entidad que revise este tipo de contradicciones es urgente. Ya se ha avanzado con el anuncio de un Viceministerio TIC bajo la órbita del MTC (todavía inoperante). También con el traspaso de la CODESI, antes bajo el mando de ONGEI y de la PCM, hacia el mismo Ministerio. Sin embargo, la discrecionalidad y el recelo que tienen ciertas entidades para con el trabajo en equipo, en la búsqueda de soluciones comunes, afines y beneficiosas para todas, termina perjudicando al ciudadano.

El interminable apagón telefónico

Hace unos meses analizábamos cómo viene ejecutándose el llamado “apagón telefónico”. Desde su lanzamiento en 2010, esta maniobra busca combatir la delincuencia mediante la amenaza de suspensión y corte a los usuarios que no se acercaran a una tienda a re-registrar su línea de teléfono móvil. Implica que el ciudadano que tenía una línea prepaga o que quiera contratar una nueva línea de teléfono móvil debe obligatoriamente disponer de su huella digital para que la empresa proveedora verifique y valide su información. Esta la única forma de re-registrar o contratar esa línea.

Hasta hace unos días, las modificaciones habían sido dos: una en el 2014 y otra en el 2016. Ambas apuntando a la validación biométrica de los usuarios como punta de lanza para el potencial control de líneas suplantadas. Sin embargo, el D.S. 004-2017-MTC viene a desviar la presión hacia las empresas proveedoras. Esto es porque, mientras que la anterior regulación permitía la implementación de este sistema de validación hasta diciembre de 2019, la última regulación ordena una implementación total antes de abril de 2017. Es decir, adelanta su implementación dos años y diez meses. Dentro de un mes, ningún punto de venta podrá vender una línea sin que el usuario se acerque y ponga su huella digital.

Esta última reforma alteró el mercado local de proveedores de servicios de telefonía móvil. Se conoció que Virgin Mobile, único operador móvil virtual del país, no afrontará (por el momento) esta condición y por eso cerrará el 80% de sus puntos de venta. La mayoría de sus puestos físicos eran stands en centros comerciales, supermercados, tiendas por departamento. Su servicio de atención era casi en su totalidad a través de sus redes sociales y canales en línea. Los costos que el mercado va imponiendo tienen que ser atacados con alguna estrategia disruptiva. Por ejemplo, la posibilidad de adquirir una línea vía Internet, sin tener que ir a la tienda, y con envío a domicilio, queda truncada con esta barrera. Los operadores móviles virtuales pueden hacerlo.

La regulación no debe recargar el mercado con trabas, sino lo contrario. Debe impulsar la innovación, la competencia, la libertad. También debe impulsar proporcionalmente la seguridad de los ciudadanos.

La biometría como estandarte de seguridad

En el Perú, la discusión sobre el uso de biometría no es nueva. Su análisis debe remontarse a los 90’ con la creación de la RENIEC y la SUNARP. En aquel momento, la modernización del Estado era inexcusable. El uso de la tecnología para sostener los registros civiles y los registros inmobiliarios eran una buena idea. Sigue siéndolo. Sin embargo, la implementación de sistemas informáticos que manejan datos sensibles debe ser responsable y medida. Hoy, más que nunca.

Cuando un funcionario o empleado requiere una huella digital para verificar una identidad, accede a una base de datos de la RENIEC gestionada por un Sistema Automático de Identificación de Impresiones Dactilares (AFIS). Este sistema no es infalible. Desde su implementación, se han detectado numerosos casos de suplantación y multiplicidad. Es decir, una persona proporcionaba su huella digital y aparecía la identidad de otra (error de identidad). O esa misma persona figuraba con otro nombre (doble inscripción en el Registro Único de Identificación de las Personas Naturales). Esto es grave.

La promoción y difusión que está llevándose a cabo en torno a la implementación del DNI electrónico y el Pasaporte biométrico hace sonar algunas alarmas. Por ejemplo, un pasado informe de Panorama mostró como los nuevos pasaportes tienen errores en su impresión, lo que potencialmente provocaría problemas a todos los peruanos si es que en el exterior tuviesen un inconveniente con ello. Por el lado del DNI electrónico, sabemos que es una smartcard, que contiene información biométrica, una “llave pública” y una “llave privada”. Con ello podemos firmar digitalmente y autenticarnos remotamente. Pero no se sabe qué tipo de smartcards nos entregan, qué tecnología de encriptación implementan, qué tipo de lectoras adquirieron, entre otras cuestionen que hacen a la seguridad de nuestros datos y de nuestra identidad.

 

Desde Hiperderecho, nos comprometemos a indagar más sobre este asunto. Invitamos a toda la comunidad técnica y público en general a involucrarse en esta investigación y nos ayuden a dilucidar esta problemática con el objetivo de aportar y mejorar las políticas y los sistemas de información que el Estado está implementando como administrador de nuestros datos.

 

*Agradecemos a Fernando Paredes García por sus aportes.

Foto: Kin Lane (CC BY-SA)