Nuestros datos biométricos que busca el gobierno no estarán seguros, evidencia demuestra poca pericia al respecto
Por Francisco Trejo y Francisco Aguirre Arias Edición: Carlos Aguirre y Eryck Aguilar Republicado con permiso de LJA.MX
En México no le hemos tomado la seriedad debida a la protección de datos personales, aunque tenemos un Instituto Nacional garante de ellos como el INAI y contamos con leyes generales y locales de protección de datos personales, las instituciones del Estado Mexicano las ignoran y no hacen lo propio para proteger nuestra información privada. Así lo comprueba una solicitud de información realizada por el equipo de LJA.mx al INAI.
Dicha solicitud revela que son pocas las instituciones públicas en México que se interesan en evaluar sus protocolos de datos personales, y más bien al grueso de las dependencias e institutos no les interesa mejorar sus procesos.
En México, el gobierno federal e instituciones no protegen nuestros datos personales.
Está comprobado: Los datos personales de los mexicanos no están seguros en el Estado Mexicano.
Las evaluaciones de impacto (EIPED) son documentos mediante los cuales los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran el impacto real respecto de determinado tratamiento de datos personales y privados, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, obligaciones y derechos de los titulares, así como los deberes de los responsables y encargados, previstos en la normativa aplicable, es decir, la manera en que se vulneran nuestros datos como el nombre, fotografía, dirección o teléfono.
De acuerdo a las respuestas recibidas por parte del INAI, el Estado Mexicano no está listo para el manejo de datos biométricos debido a que solamente 7 dependencias han hecho EIPED e incluso dos están por perder vigencia. Estas instituciones son:
- Pemex. Realizó una EIPED para su app.
- Banxico para el acceso a su edificio.
- Secretaría de Economía para un sistema interno.
- El PRD para un uso específico interno.
- La SCT para un padrón de vehículos.
- Secretaría de Gobernación en temas de CURP.
- La operación de la Secretaría Ejecutiva del Sistema Nacional Anticorrupción.
- Conapred.
Las pruebas de protección de datos personales en México son obligatorias pero -y esto no se ha revisado por el Congreso- no son vinculantes e incluso en algunos artículos se puede entender que son a juicio del sujeto obligado, o bien que, las instituciones tienen incentivos para no presentar las pruebas, ya que en caso de tener recomendaciones y no aplicarlas, son sujetas a multas de detectarse alguna vulnerabilidad.
Además, si no presentan las pruebas de protección personal -que de cualquier manera prácticamente ninguna entidad en México aprueba- simplemente evaden la posibilidad de multa.
Por poner un ejemplo práctico: para implementar el programa de Servidores de la Nación tuvo que existir una EIPED, la cual, de acuerdo con información del INAI, no existe.
Otros ejemplos pueden ser: los datos bancarios en el Banco de México, los fiscales ante el SAT, el CURP en la Secretaría de Gobierno, los pasaportes en la Secretaría de Relaciones Exteriores o el propio INE con el padrón electoral. Ninguna de esas instituciones tienen registradas evaluaciones de alto impacto sobre nuestros datos personales.
No estamos listos para el manejo de datos biométricos
En la respuesta recibida del INAI no se habla en ningún momento de que exista una EIPED (ni positivo o negativo) para:
- El INE por el padrón.
- El Instituto Federal de Telecomunicaciones.
- Banxico, en general, más allá de la entrada al edificio.
- El SAT, en absoluto.
- Cada partido político.
- Secretaría de Bienestar (Gobierno Federal) con los beneficiarios a los programas.
Sólo han existido 11 EIPED, de las cuales, sólo 4 no tuvieron recomendaciones.
¿Quién podemos decir que lo ha hecho bien? Solamente la Secretaría Ejecutiva del Sistema Nacional Anticorrupción, Pemex en una de sus evaluaciones y Conapred.
Aunque las instituciones no tienen estas evaluaciones de impacto sobre nuestros datos, el poder legislativo aprobó reformas para entregar más datos personales al Estado, aunque no ha podido garantizar la protección de los que ya se entregan.
Peor aún: viene el padrón de Telefonía Móvil.
Ahora, te explicamos la razón y los peligros que vienen con la aprobación de decretos como el Padrón Nacional de Usuarios de Telefonía Móvil.
- Un nuevo decreto, ya publicado en el Diario Oficial de la Federación, exige que los mexicanos entreguen datos personales e intransferibles al gobierno federal para poder hacer uso de la telefonía móvil, es decir, para poder hacer uso de un celular deberás, forzamente, entregar tu información personal privada al gobierno ¿Qué podría salir mal? Pues, para empezar, la venta y/o filtración de información como huellas digitales, CURP y hasta el iris de nuestros ojos.
- Para qué podría usarse nuestra información personal sensible y privada? Por ejemplo, en fraudes a nuestro nombre (piensa en una tarjeta de crédito obtenida a tu nombre con toda facilidad), hasta asuntos donde la identidad sea usurpada por completo (robo de identidad) y quedemos como responsables de algún delito grave efectuado por vía digital.
En Abril del 2021, el Senado aprobó la creación el Padrón Nacional de Usuarios de Telefonía Móvil, que además de pedir datos estándar de identidad (como la CURP, domicilio y específicos del contrato de una línea celular) agrega un polémico elemento: los datos biométricos, o sea, huellas digitales, iris cular, o incluso la fisiología y detalles de tu rostro.
Escucha nuestro podcast
En un país donde el rezago digital ha sido histórico, y para muestra basta analizar la desigualdad económica y social a la hora de la educación a distancia durante la pandemia, el uso de teléfonos móviles crea la tormenta perfecta para formar un registro obligatorio y urgente de datos como nuestro iris, tono de voz, facciones y huellas digitales.
Algo así como la peor pesadilla de Edward Snowden y el sueño más emocionante de la CIA en tiempos de Obama.
¿La razón? Con lo aprobado en el Senado, tener una línea de teléfono celular (para muchos su única entrada al mundo digital y al cómputo personal) requerirá entregar los datos personales a los operadores de telefonía como AT&T y Telcel, quienes por obligación los facilitarán al gobierno federal.
Esto fue aprobado en Abril del 2021 y será efectivo desde el 2022.
Específicamente esto será requerido para tener un SIM de telefonía móvil:
- Número de la línea.
- Fecha y hora de la activación de la línea telefónica móvil adquirida en la tarjeta SIM.
- Nombre completo o, en su caso, denominación o razón social del usuario.
- Nacionalidad.
- Número de identificación oficial con fotografía o Clave Única de Registro de Población del titular de la línea.
- Datos Biométricos del usuario y, en su caso, del representante legal de la persona moral, conforme a las disposiciones administrativas de carácter general que al efecto emita el Instituto.
- Domicilio del usuario.
- Datos del concesionario de telecomunicaciones o, en su caso, de los autorizados.
- Esquema de contratación de la línea telefónica móvil, ya sea pospago o prepago.
Confirmado: nuestros datos personales no están seguros en México
Ninguna entidad en México pasa las pruebas de protección de datos personales (ni siquiera el Gobierno Federal), y aún así el Padrón Nacional de Usuarios de Telefonía Móvil se ha aprobado sin tener un protocolo aplicable y operativo en todo el mar de dependencias, órdenes de gobierno e instituciones descentralizadas en México.
¿Y en el mundo es común recopilar datos biométricos?
¿Qué tienen en común México, Venezuela, Tanzania, Perú, Nigeria y Omán? Que junto a otros 11 países (para un total de 17), tendrá uno de los registros oficiales más completos de datos biométricos de su población, mismo que será complemento para una base de datos de identidad que cualquier otro país envidiaría.
De hecho, ni siquiera EEUU se atrevió a formalizar dicho trámite, el cual se pensaba aplicar en migrantes en primera instancia durante la administración trumpista.
Leemos en The Independent a Alejandro Mayorkas, secretario del Departamento de Seguridad Nacional (en el actual gobierno de Biden), quien calificó dicha medida de invasión a la privacidad:
“Muchos comentaristas escribieron que la regla era innecesaria, ofensiva, una invasión de la privacidad, infringiría las libertades y violaría el respeto, los derechos de privacidad y las libertades civiles de los ciudadanos estadounidenses, inmigrantes legales, no ciudadanos, víctimas de violencia doméstica y otras partes vulnerables y niños “.
“[Ellos] declararon que la regla era demasiado amplia, altamente invasiva e impondría costos monetarios excesivos a los solicitantes y resultaría en demoras administrativas en la adjudicación de solicitudes de beneficios de inmigración que ya están sujetas a retrasos y largas esperas”.
No sólo hay rechazo a la captación de estos datos en tierras anglosajonas ya que en la India, durante agosto del 2017, el Tribunal supremo rechazó la recopilación de biométricos al considerarlos parte de la privacidad como “un derecho fundamental”.
Posdata
Actor malicioso ha puesto en venta la información de más de 26.000 clientes de la Comisión Federal de Electricidad (CFE) en México 🇲🇽 pic.twitter.com/mIYjvpaH4C
— Germán Fernández 🇨🇱 (@1ZRR4H) June 8, 2021
Un influencer chileno en tema de ciberseguridad reveló el 5 de junio que 26 mil clientes de la CFE tienen sus datos en peligro ya que un actor malicioso los puso a la venta, mientras que otra cuenta entusiasta del tema publicó un video acerca de cómo se pueden obtener los mismos por otras vías.
La CFE es una instancia del Gobierno Federal que ni siquiera ha realizado evaluación de impacto recientemente, de acuerdo al INAI.
***
Edición: