Durante el 2020, hemos estado desarrollando un ambicioso proyecto de investigación sobre cómo funciona la identidad digital en nuestro país. Aunque todos llevamos un documento de identidad en el bolsillo y somos diariamente identificados en diversos espacios, todavía es poco lo que conocemos sobre qué reglas aplican a este sistema, cuáles son sus límites y cómo conversa con otros ordenamientos legales. A través de este proyecto, queremos ofrecer una comprensión crítica de este fenómeno en movimiento en el país. Al mismo tiempo, este proyecto ha sido desafiado y se ha enriquecido por la situación de emergencia del Covid-19, que ha acelerado el uso de tecnología en diversos espacios y presentado nuevos problemas.
Otro de los aspectos que nos ha interesado en particular es cómo funciona técnicamente este sistema. RENIEC, siendo el organismo autónomo encargado de la identificación de los peruanos, se encargó del diseño, implementación y validación de los mecanismos tecnológicos para que los peruanos podamos hacer uso de diversos trámites y procesos provistos por el estado donde requiera una validación de nuestra identidad.
En nuestro informe Análisis de la plataforma e infraestructura de Identidad Digital de RENIEC exploramos las diversas maneras en las que RENIEC ha puesto en marcha la validación de identidad digital de los peruanos, mediante diversos canales y herramientas: desde el uso de hardware, como el DNI-electrónico, hasta el uso exclusivo de software mediante reconocimiento facial.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
Durante el 2020, hemos estado desarrollando un ambicioso proyecto de investigación sobre cómo funciona la identidad digital en nuestro país. Aunque todos llevamos un documento de identidad en el bolsillo y somos diariamente identificados en diversos espacios, todavía es poco lo que conocemos sobre qué reglas aplican a este sistema, cuáles son sus límites y cómo conversa con otros ordenamientos legales. A través de este proyecto, queremos ofrecer una comprensión crítica de este fenómeno en movimiento en el país. Al mismo tiempo, este proyecto ha sido desafiado y se ha enriquecido por la situación de emergencia del Covid-19, que ha acelerado el uso de tecnología en diversos espacios y presentado nuevos problemas.
En 2018, Hiperderecho condujo por primera vez una investigación sobre la situación de la identificación biométrica en el país. Al ser un trabajo inicial y exploratorio, nos centramos en describir los aspectos institucionales y legales del sistema biométrico en el Perú. Los hallazgos de dicha investigación han sido empleados como la base de esta nueva entrega, que apunta más arriba, hacia el origen mismo de las políticas públicas de identificación.
Descifrando a RENIEC
Perú cuenta con un sistema de identificación que utiliza una base de datos centralizada gestionada por un organismo público autónomo: RENIEC. Esta entidad fue creada por la Constitución de 1993, que le encargó la tarea de crear un registro civil único en donde se consigne la información personal de todos los peruanos. Para lograr este objetivo, posteriormente RENIEC creó el Documento Nacional de Identidad (DNI), que es actualmente el único documento exigible para la identificación de la persona frente al Estado, pero también para sus interacciones con los privados. Por disposición legal, el DNI almacena datos personales como nombre, sexo, fecha de nacimiento, firma, huella dactilar, entre otros. Este documento ha ido transformándose con el tiempo y recientemente, posee una versión que incorpora tecnologías de firma digital: El DNI electrónico (DNIe). Sobre este instrumento es que se ha construido el actual sistema de Identidad Digital peruano, al menos desde el sector público.
En su calidad de entidad única encargada de gestionar la base de datos personales más completa del país, RENIEC no solo ha logrado afianzar su concepto de Identidad Digital en el sector público, sino que ha exportado su modelo al sector privado. Igual que con las tecnologías biométricas, la adopción por parte del sector privado es mayoritariamente voluntaria, pero a veces también viene impuesta por el marco legal vigente.
A pesar de la predominancia del modelo de Identidad Digital de RENIEC, es posible reconocer también la existencia de un desarrollo en esta materia en el sector privado, pero que actualmente es marginal. Desde su posición hegemónica, RENIEC no ha tenido límites normativos a la hora de desarrollar sus planes de expansión del sistema de Identidad Digital.
Pese a que RENIEC no reconoce límites a la tecnología que puede desarrollar en virtud de su mandato de lograr la identificación de los peruanos, existen algunas normas y entidades que ponen a prueba estos límites. Por ejemplo, la Constitución y su ley orgánica han establecido límites en su actuación y no puede crear normas. Tampoco puede transgredir algunos principios como el de la intimidad o la privacidad. También hay otras entidades cuyas competencias también parecieran superponerse y podrían afectar su modelo de Identidad Digital. Por ejemplo: La Policía Nacional posee bases de datos personales y su propio sistema de identificación, llamado AFIS Policial. La Superintendencia de Migraciones tiene su propio sistema de identificación para extranjeros residentes en el país, que RENIEC no contempla en sus bases de datos y a los cuales pronto entregará también documentos similares al DNI electrónico. La Secretaría de Gobierno Digital también ha empezado a regular la Identidad Digital, nombrándose el ente rector de estas políticas, lo que resta autonomía a RENIEC en este ámbito. Finalmente, están las normas de protección de datos personales, pero pareciera que estas han sido hechas de una forma que no afectan necesariamente la autonomía de RENIEC.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
Una vez empezada la pandemia y decretado el Estado de Emergencia a nivel nacional, varias empresas y sectores académicos se comunicaron con la Presidencia del Consejo de Ministros con la intención de ofrecer apoyo tecnológico sin fines de lucro. ¿Estaba el estado peruano listo para ello? ¿Cómo reaccionó? ¿Lideró el desarrollo de aplicativos?
Este miércoles 24 de junio a las 11 am (hora de Perú); Carlos Guerrero, Director de Políticas Públicas de nuestra organización, participará del foro virtual “Cómo protegernos en tiempos de digitalización” organizado por nuestros amigues de el Centro Cultural de España en Guatemala. Este espacio servirá para hablar sobre cómo la pandemia nos ha colocado en la circunstancia de digitalizar nuestra cotidianidad y los cuidados que debemos tener en cuenta frente a ello. El foro contará también con la participación de Sara Fratti de la Fundación AVINA y Angélica Contreras de Cultivando Género.
Protección de nuestra privacidad
Proteger nuestra privacidad en Internet es muy importante en estos días debido a que nos encontramos mucho más tiempo en línea por diversas razones y necesidades. Es así como necesitamos que nuestros espacios virtuales sean lo más seguros posibles para nosotres durante nuestra estadía en ellos en el día a día para así poder llevar a cabo nuestras actividades de manera tranquila.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
Aunque concebido exclusivamente para ser utilizado por los beneficiarios, el sitio web desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) permitía a cualquier persona intentar infinitas combinaciones de documentos de identidad y fechas de emisión hasta dar con la combinación de un titular de bono. Luego de encontrarlo, la plataforma requería como único método de validación de la identidad, que quien consultaba respondiera una pregunta sobre los nombres reales de sus padres (que los delincuentes presuntamente obtenían en el mercado negro de bases de datos sustraídas de fichas RENIEC). Finalmente, se pedía al beneficiario que ingrese cualquier número de celular para obtener un código que le permitía retirar el dinero de cualquier cajero; es decir, no se exigía que la línea estuviera su nombre o al de un familiar. Así, bastaba con tener acceso a la ficha RENIEC de una persona para engañar a la plataforma del Bono y cobrar el dinero de cualquier beneficiario.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
El martes 14 de abril el Presidente Martín Vizcarra anunció la creación del Grupo de Trabajo “Te Cuido Perú”, que entre otras estrategias contará con una plataforma digital que permitirá la geolocalización de las personas diagnosticadas con Covid-19 y su entorno directo. Tres días después, se publicó el Decreto Supremo que desarrolla y especifica cómo funcionará esta estrategia.
Estado de Emergencia no habilita limitar o suspender el derecho a la protección de datos personales
Las declaraciones del Presidente Martín Vizcarra en su conferencia de prensa se plasmaron en el Decreto Supremo 068-2020-PCM, publicado el mismo 14 de abril. Este Decreto modifica el artículo 3 que prorroga el Estado de Emergencia incorporando el numeral 3.10 que enuncia:
El Poder Ejecutivo constituye un Grupo de Trabajo denominado “Te Cuido Perú”, de carácter multisectorial, liderado por el Ministerio de Defensa, que tiene por objeto brindar vigilancia y asistencia a las personas afectadas con el Covid-19 (…) y a las personas que habitan con ellas en sus domicilios durante la fase de aislamiento social obligatorio. En tal sentido, para el adecuado desarrollo de sus funciones, el grupo de trabajo contará con una plataforma digital encargada de la geolocalización de las personas y su entorno directo, así como los demás instrumentos o estructuras funcionales que le permitan el seguimiento clínico, vigilancia, monitoreo, entre otras medidas que coadyuven al cumplimiento del objeto de dicho grupo de trabajo. (resaltado nuestro)
Esta norma, como podemos apreciar, habilita a que el Grupo de Trabajo “Te Cuido Perú” pueda realizar vigilancia y monitoreo de los pacientes y sus entornos empleando la geolocalización. No obstante, el Decreto Supremo no especificó de qué se trata este monitoreo, cuál es el tipo de geolocalización a la que se refiere o qué tecnología implementará la plataforma digital.
Estamos en Estado de Emergencia pero eso no significa que todos nuestros derechos fundamentales estén restringidos. El mandato de protección de los datos personales se mantiene vigente, por lo que toda estrategia orientada a combatir la pandemia del nuevo Coronavirus debe ser respetuosa de este derecho. Hoy, más que nunca, resultan imperativos los procedimientos de anonimización o disociación, así como la elaboración de mapas de contagios que no pongan en peligro a las personas diagnosticadas con esta enfermedad.
En el Estado de Emergencia Nacional en el que actualmente nos encontramos se restringieron los derechos fundamentales relativos a la libertad y la seguridad personales, la inviolabilidad del domicilio, la libertad de reunión y de tránsito en el territorio y la garantía de no de detención sin orden judicial previa. Nuestra Constitución no habilita a que en Estado de Emergencia se restrinja el derecho fundamental a la protección de datos personales (artículo 2 inciso 6), por lo que este y sus contenidos desarrollados a través de la Ley N° 29733 se encuentran plenamente vigentes.
Este derecho fundamental garantiza que todas las personas puedan decidir con quién comparten y cómo se usa la información que los identifica o hace identificables. Es decir, que nuestros datos personales sean tratados conforme a ley; con nuestro consentimiento; que sean recopilados de acuerdo a la finalidad determinada, explícita y lícita; que el uso que se le dé a estos datos sea conforme a esta finalidad; y, que sean tratados conforme a estándares de calidad que garanticen su seguridad y un nivel de protección adecuado.
Datos personales y datos sensibles
Un dato personal, tal como lo indica la Ley de Protección de Datos Personales, es toda información que identifique o haga identificable a una persona. Así, un dato personal sería, por ejemplo, el nombre, el número de Documento de Identidad, la imagen del rostro de una persona, etcétera. Ello porque estos datos identifican a una persona.
Sin embargo, también tenemos que tomar en cuenta que hay cierta información que si bien no nos identifica de manera directa, nos puede identificar “de manera indirecta”. Por ejemplo, nuestro número de celular: por sí mismo no nos identifica; no obstante, juntando dicha información (número de celular) con otra (registros en empresas de telecomunicaciones) se nos podría identificar. A ello es lo que hace referencia la ley cuando enuncia que dato personal es toda información que haga identificable a una persona.
Dentro de lo que son nuestros datos personales, existe una categoría de estos que goza de especial protección: los llamados datos sensibles. Estos son datos personales cuya protección es de suma importancia debido a su calidad o debido a la información que revelan sobre una persona: datos referidos al origen étnico, ingresos económicos, opiniones o convicciones políticas, filiación sindical, a la salud o a la vida sexual. Estos datos sensibles son objeto de una especial protección. Así, por ejemplo, el consentimiento para su tratamiento debe constar por escrito según la ley peruana.
Las recientes elecciones congresales en Perú han sido distintas en muchos sentidos. Entre otras razones, porque se han aplicado por primera vez las normas que prohíben que los partidos y candidatos se anuncien en radio y televisión mediante avisos pagados. Eso ha significado que el esfuerzo y gasto en publicidad electoral se concentre en medios alternativos, desde volantes impresos hasta páginas web y redes sociales. Aunque estas medidas buscaban “equilibrar” la presencia de los candidatos en medios a través de la publicidad, se ha reflexionado poco sobre cómo funciona la publicidad política en línea y sus desequilibrios. De cara a la siguiente campaña electoral del 2021, hay varias cosas pasando en este espacio que merecen especial atención.
En Perú, no existen reglas que obliguen a los candidatos a ser transparentes con el gasto y la pauta publicitaria que colocan en Internet, solo reglas generales de reportar todos sus gastos en campaña. Cuando la publicidad política estaba permitida en televisión y radio, las empresas de radiodifusión eran obligadas a presentar reportes a la autoridad electoral sobre sus ingresos por contenido político. No obstante, pese a la ausencia de obligatoriedad, empresas como Facebook han puesto a disposición de candidatos en todo el mundo herramientas de transparencia voluntarias muy detalladas que les permiten comunicar claramente el contenido, audiencia, origen y gasto en publicidad en línea y están disponibles en Perú.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
En septiembre participamos de la consulta pública organizada por la Dirección General de Protección de Datos Personales (DGPDP) sobre su Proyecto de “Directiva para el Tratamiento de Datos Personales mediante Sistemas de Videovigilancia”. Este esfuerzo busca señalar los límites que deben imponerse a estas tecnologías para que su uso no afecte la privacidad más allá de lo estrictamente necesario para garantizar la seguridad pública.
Algunos de los aspectos principales del borrador de la Directiva eran que: (a) regulaba en qué situaciones estaba permitido tratar datos personales a través de la grabación de cámaras de videovigilancia, (b) establecía una serie de principios que debían ser respetados a la hora de realizar el tratamiento de los datos, y, (c) señalaba algunas obligaciones específicas respecto del tipo de cámaras como el plazo de almacenamiento, los protocolos de seguridad, etc.
Gracias a una investigación de Ernesto Cabral para Ojo Público, este mes conocimos más sobre el negocio de venta de datos de sus usuarios que Telefónica viene desarrollando en Perú y otros países de la región. Siguiendo la pista de las grandes compras públicas, Ojo Público encontró varios contratos suscritos por Telefónica con PromPerú y la Autoridad Autónoma del Sistema Eléctrico de Transporte Masivo de Lima y Callao por más de US$ 1 millón de dólares americanos y no precisamente por servicios de telefonía o Internet.
El servicio que Telefónica brinda, a través de su unidad de inteligencia datos llamada LUCA, es la información sobre circulación de personas en Perú en base a cómo se desplazan sus usuarios de telefonía móvil. Así, por ejemplo, Telefónica puede decirle a PromPerú cuántas personas de Independencia visitan Huancayo o Huaraz al mes o señalar a la empresa de publicidad exterior Clear Channel la cantidad de mujeres de nivel socioeconómico B o C que transitan por determinada esquina.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
