Protección de Datos – ¿Están seguras nuestras huellas?

El registro de las huellas de los colombianos, como corresponde, está en manos de la Registraduría. Con la irrupción de adelantos informáticos, se han convertido en el insumo esencial para que sea verificada la identidad de las personas en diversos trámites que adelantan diariamente. Empresas privadas o terceros autorizados por la ley, pagan altas sumas de dinero por consultar paquetes que pueden ir desde los 100.000 hasta los 12 millones de huellas. Todo al amparo de una norma que autoriza consultar la base de datos a determinados operadores biométricos (privados).

Cuando un colombiano acude a un banco para adelantar algún trámite, generalmente se le solicita poner su huella. Esto mismo ocurre en notarías o en distintas entidades públicas y privadas, pero ¿cómo y por qué entidades o terceros pueden consultar la base datos de huellas de la Registraduría? ¿Cuál es el manejo que la Registraduría da a las huellas de los colombianos?

Ese proceso de verificación de identidad y la forma en que se hace, ha generado algunas inquietudes. Una fuente experta, que prefirió no identificarse, considera que este servicio no sólo es, según la fuente, un negocio con las huellas de los colombianos, quienes a su juicio, no son informados o consultados sobre ese proceso, sino un riesgo el que cada vez sean más las empresas que consultan o tiene acceso a información sensible.

Esta entidad presta el servicio de acceso a su base de datos, con base en el artículo 159 de la Ley 1753 de 2015, que creó la obligatoriedad de permitir el acceso a entidades públicas a la información, norma que menciona la figura de “aliado tecnológico”.

“Para el desarrollo de los planes, programas y proyectos incluidos en el Plan Nacional de Desarrollo y en general para el ejercicio de las funciones públicas, las entidades públicas y los particulares que ejerzan funciones públicas, pondrán a disposición de las entidades públicas que así lo soliciten, la información que generen, obtengan, adquieran o controlen y administren, en cumplimiento y ejercicio de su objeto misional…”, dice esa ley.

Esa misma norma señala que el suministro de la información será gratuito, debe ser solicitado y realizarse respaldado en estándares que faciliten el intercambio y no en tecnologías específicas. Y añade que: “no estará sujeto al pago de tributo, tarifa o precio alguno y las entidades públicas sólo podrán cobrar los costos asociados a su reproducción o los derivados de la aplicación de procesamientos o filtros especiales…” Las entidades que necesiten acceder a la base de datos biométrica de la Registraduría, además, pueden implementar infraestructura propia o mediante un “aliado tecnológico” certificado por el órgano electoral.

En la resolución 5633 del 29 de junio del año 2016, se reglamentaron las condiciones y el procedimiento para el acceso a las bases de datos. En ese documento se hacen precisiones sobre cómo se podrá acceder a la consulta de las huellas, los requisitos que se deben cumplir y se menciona el manejo que se debe dar a la información.

“…La Registraduría Nacional del Estado Civil autorizará y pondrá a disposición de las entidades interesadas, la consulta de las bases de datos que produce y administra para el cumplimiento de las obligaciones constitucionales y legales (entidades públicas y particulares con funciones públicas) o con el objeto social (particulares autorizados por la ley), según el caso…”, señala uno de los apartes del artículo 3.

Para consultar la base de datos que contiene la información biográfica y biométrica, indica la resolución, se deberá presentar por escrito una solicitud indicando la información requerida, específicamente, si lo hará a través de operadores biométricos y argumentar las razones por las requiere consultarla.

Algunos de los cuestionamientos que han surgido es que este proceso se haga mediante un convenio interadministrativo y no una licitación, también porque consideran existe un “negocio” en el que no sólo la Registraduría recibe unos ingresos por dicha consulta, sino también los llamados los operadores biométricos. La fuente experta, considera que se está dando una comercialización de las huellas, sin pedir ninguna autorización o consentimiento de los ciudadanos y exponiendo la información de los mismos.

Actualmente existen 6 operadores biométricos y 14 entidades del Estado, según la Registraduría, que tienen acceso a la base datos. Es decir, consultan la base de datos para el proceso de autentificación biométrica, por ejemplo: la Fiscalía, Policía Nacional, Cancillería, Aeronáutica Civil, Colpensiones, entre otras.

Pero las entidades públicas no son las únicas que lo hacen. Además, existen 19 firmas particulares autorizadas por la ley que también acceden al servicio y consultan la base de datos de huellas de los colombianos. La Asociación de Notarios, la Asociación Bancaria de Colombia, empresas del sector de las Telecomunicaciones y de Seguridad Social, son algunas de ellas.

El acceso o consulta de la base de datos que contiene la información biográfica y biométrica tiene un costo. Este incluye la presentación de una prueba técnica para habilitarse como operador biométrico, que según la resolución 1204 del 05 de febrero de este año, asciende a 11 millones de pesos, y, adicionalmente, tarifas millonarias para consulta de las huellas que requiera la entidad pública o particulares autorizados por la ley. De ese cobro se exceptúa a la entidades públicas que cumplen funciones públicas administrativas, como la Policía y la Fiscalía.

¿Los colombianos deberían ser informados sobre el manejo que se le da a sus huellas o información personal? ¿Es necesario solicitar a los ciudadanos algún tipo de autorización para comercializar con su información? ¿Qué implicaciones puede tener permitir a terceros el acceso a información sensible, como son los datos personales de los ciudadanos y qué garantiza que no se utilice para fines distintos a los señalados?, son algunas de las preguntas que surgen.

El director Nacional de Identificación de la Registraduría Nacional, Didier Chilito, manifestó que esa entidad exige “rigurosos” protocolos de seguridad para el proceso de autentificación biométrica, “que impiden que la información pueda ser utilizada para fines distintos al autorizado”.

“La información de la huella se recibe, se compara contra nuestras bases de datos y simplemente se retorna un resultado indicando si la persona que está del otro lado de la transacción, es quien dice ser. Entre las medidas de seguridad, por ejemplo, podríamos mencionar que se exige la utilización de dispositivos electrónicos que encriptan la información y esto impide que la misma pueda ser copiada o replicada. Todo el proceso de comunicaciones de datos que viajan entre la Registraduría y las entidades usuarias se encuentra cifrado para evitar la filtración de datos o que algunas personas no autorizadas puedan acceder de manera fraudulenta a los mismos”, indicó el funcionario.

Respecto a si la Registraduría debe o no pedir autorización a los ciudadanos, la entidad explica que la normatividad que habilita a las entidades a acceder a su base de datos, dice que se debe consultar al ciudadano si autoriza o no la verificación de su identidad. Por eso interpreta que el permiso lo tendría que pedir la entidad que necesita hacer la verificación y no la Registraduría.

“Este es un proceso riguroso que cumple con diversos escenarios de seguridad, que impiden que los datos sensibles de los colombianos puedan ser replicados o utilizados para propósitos diferentes al autorizado. Ahora bien, este proceso de autenticación, para las entidades autorizadas por la ley, sólo procede luego de que el colombiano otorga su consentimiento, previo, expreso e informado, para que su identidad pueda ser corroborada frente a la Registraduría Nacional del Estado Civil, conforme lo exige la ley de protección de datos”, indicó el directivo.

Si bien se ha dicho que las huellas no se comparten a la entidad usuaria y simplemente se hace un proceso de cotejo, la fuente experta, considera que nada garantiza que al momento de poner la huella el ciudadano en alguna entidad, esta no sea copiada y utilizada para fines distintos al permitido.

Precisamente, frente a la confidencialidad de la información, la resolución 5633 del 29 de junio del año 2016 dice que “los interesados deberán garantizar la reserva, integralidad, seguridad y demás principios que la Ley establezca para el acceso a la información de la Registraduría Nacional del Estado Civil, establecida en la normatividad vigente, mediante la suscripción de un Acta de compromiso de reserva y confidencialidad” y agrega el artículo 29 de la resolución, que “está totalmente prohibido recolectar, enrolar y almacenar huellas digitales o imágenes de éstas…”.

Del papel, el país dio el salto a digitalizar las huellas de millones de colombianos. Precisamente, dos de los interrogantes que rondan a expertos consultados por este medio, van encaminadas no solo a la seguridad del proceso y el conocimiento que tienen los colombianos, sino también a la comercialización que se estaría generando alrededor de este servicio.

Andrés Guzmán, abogado experto en protección de datos personales y CEO de Adalid, considera que el proceso de consulta de las bases de datos o la autenticación biométrica es seguro y que difícilmente alguna persona pueda acceder a la información de los colombianos.

“La huella digital no se guarda en ningún sitio ni queda en el sistema, sino que simplemente se envía la información, se revisa que sí sea y se regresa diciendo solamente si es o no. Entonces con un mecanismo así es muy seguro el sistema, porque no se guarda la información en ningún lado. Lo segundo es que las empresas que hacen la verificación, pues tienen acceso a la información, pero también tienen unas restricciones de envío, de guarda y unos reglamentos muy altos de estándares de almacenamiento y seguridad de la información, lo que garantiza que esta información, de forma real, esté muy segura y que nadie pueda acceder a ella”. Y frente a si existe o no riesgo de que la información sea utilizada de manera indebida, manifestó que: “los riesgos siempre existen. En materia tecnológica no hay ningún sistema que sea 100% seguro, ni hay un proceso que sea un proceso 100% fiable. Por lo tanto, evidentemente se hacen y se toman controles, se hacen en procesos de hacking ético, es decir que se trata de hackear el sistema de forma controlada para revisar si en algún momento pudiera perderse la información. Sin embargo, considero que los controles que hoy en día se administran sobre esas bases de datos de información biométrica, tienen los estándares de seguridad básicos que se requerirían para evitar riesgos como la fuga de la información. Entonces consideraría que pese a que si se puede perder, pues es muy poco probable con los sistemas de seguridad que hoy en día existen”, agregó.

Por su parte el exmagistrado del Consejo Nacional Electoral, Armando Novoa, considera que la Registraduría debe garantizar que la información tenga estrictos controles.

“La Registraduría Nacional del Estado Civil tiene en sus manos una base de datos muy sensible como es la identificación biométrica y personal de los ciudadanos. Esa información debería estar sujeta a unos controles técnicos que permitan auditar la manera en que se suministra la misma a terceros y los mecanismos de seguridad con los que cuenta el Estado para evitar que haya filtración o captura indebida de esa información para propósitos que no son del resorte de las entidades del Estado”, indicó.

Si bien es cierto que se debe evitar la suplantación personal a la hora de realizar trámites ante entidades bancarias o por temas de seguridad nacional, también es pertinente una reflexión sobre los riesgos que podría implicar que operadores biométricos (privados) tengan acceso a la base de datos que administra la Registraduría, concretamente a información personal de los colombianos. Y también cuál es el alcance de los “particulares autorizados por la ley”, es decir, cuál es el límite para acceder a las bases de datos.

Fuente: Huellas digitales: ¿Están seguras nuestras huellas? | Hoy por Hoy | Caracol Radio