Uso de cookies

La Silla Vacía usa Cookies para mejorar la experiencia de nuestros usuarios. Al continuar navegando acepta nuestra política.

listo

La confianza ciega: las tecnologías biométricas en el Estado colombiano

Carolina Botero
Carolina Botero
Fundación Karisma
184 Seguidores0 Siguiendo

0 Debates

22 Columnas

Columna

0

07 de Junio de 2019

<p dir="ltr"><em>*<meta charset="utf-8" />Esta columna fue realizada con el apoyo de Joan López, investigador de<a href="https://karisma.org.co"> Fundación Karisma</a>.</em></p>

<p dir="ltr">&nbsp;</p>

<p dir="ltr"><meta charset="utf-8" /></p>

<p dir="ltr">Cada vez es más común que para ingresar a un edificio nos pidan la huella o una foto. Se populariza el registro de nuestro iris como una forma de agilizar nuestra entrada y salida del país, y ya no nos autentican una fotocopia en la notaría sin tomarnos la huella digital.</p>

<p dir="ltr">En cualquiera de estas acciones estamos hablando de tecnología biométrica, de algoritmos que reconocen patrones físicos para identificar a una persona comparando la muestra que se entrega con la que está en una base de datos.</p>

<p dir="ltr">Usar esa tecnología para identificar a una persona puede ser útil en algunos escenarios. Sin embargo, es frecuente que su incorporación sea el resultado de un afán “solucionista”, en donde la tecnología se presenta como la respuesta neutral y automática a los complejos problemas de nuestras sociedades. También es común que sirvan para dar continuidad a la cultura de la sospecha, donde socialmente todos somos culpables, lo que justifica el uso de medidas cada vez más policivas. &nbsp;</p>

<p dir="ltr">En 2016, Bogotá diseñó y alcanzó a probar un sistema de videovigilancia biométrico en Transmilenio que iba a escanear las caras de quienes usan el sistema de transporte en las más populosas estaciones y prometía identificar a los criminales. De acuerdo con <a href="https://karisma.org.co/camaras-indiscretas/">la investigación que hicimos en Karisma</a>, a pesar de la millonaria inversión, el sistema no funciona aún.</p>

<p dir="ltr">¡Atención!, este sistema falló no porque se dieron cuenta que construían un peligroso mecanismo de vigilancia masiva -que amenazaba los derechos de la ciudadanía-, sino por “las trabas derivadas de la creación, gestión y manejo de una base de datos con la que se haría el cotejo de la información recolectada por las cámaras ubicadas en las estaciones de Transmilenio”, concluyeron nuestras investigadoras.</p>

<p dir="ltr">Este intento es un buen ejemplo de la forma en que el país concibe los sistemas biométricos, donde “las consideraciones principales son técnicas y no se realizan estudios de impacto, necesidad y proporcionalidad o posibles afectaciones al ejercicio de derechos humanos”.</p>

<p><meta charset="utf-8" />En una <a href="https://karisma.org.co/descargar/biometria-en-el-estado-colombiano/">nueva investigación</a> nos preguntamos: ¿cómo se han incluido tecnologías biométricas en el Estado colombiano?, ¿cuáles han sido sus justificaciones?, ¿dónde está la regulación en todo esto? y ¿cuáles son sus riesgos?</p>

<p>&nbsp;</p>

<p dir="ltr"><strong>La ley y el problema del consentimiento</strong></p>

<p dir="ltr"><meta charset="utf-8" /></p>

<p dir="ltr">Antes de entrar en los casos, debemos resaltar que la Ley de Protección de Datos clasifica los datos biométricos en la categoría de sensibles. Esto quiere decir que su tratamiento necesita de un consentimiento especial.</p>

<p dir="ltr">Como con todos los datos personales, para los datos biométricos se debe recoger el consentimiento libre e informado, informando qué datos se recogen y su finalidad. Además, por ser sensibles, se debe advertir que no hay obligación de entregarlos para que se preste el servicio.</p>

<p dir="ltr">En la práctica, la política de tratamiento de datos de las empresas, como hemos experimentado en carne propia, sigue una lógica general de obtención del consentimiento que consiste en: "si no se queja, está aceptando" y "si se queja, no entregue sus datos, pero no obtendrá el servicio o el trabajo".</p>

<p dir="ltr">La Ley piensa solamente en consumidores con libertad de decisión, no en los derechos de las personas. Es decir, no reconoce que a veces el consentimiento pone en riesgo el ejercicio de derechos colectivos e individuales, y puede servir para autorizar o incentivar abusos.</p>

<p dir="ltr">Además de que exista consentimiento, se debe valorar el propósito de la recolección de los datos, revisar si el dato es necesario para prestar el servicio y que se contemplen alternativas, que se cumpla la no obligatoriedad. Estos principios también se derivan de la ley, pero no se les da el suficiente peso. El consentimiento reina.</p>

<p dir="ltr">Así, por ejemplo, la Delegatura de Protección de Datos de la Superintendencia de Industria y Comercio (SIC) se ha limitado a sancionar a las empresas que no cumplen con el requerimiento formal del consentimiento, dejando de lado otras preocupaciones. Al final es como si el consentimiento permitiera recoger cualquier tipo de dato.</p>

<p dir="ltr">La situación legal es más complicada cuando se trata del Estado. La idea del consentimiento falla en el sector público, pues viene de una ley pensada para el consumo y no para la ciudadanía. Por eso, la premisa actual es que, si el Estado considera que necesita los datos, los puede tomar incluso sin consentimiento.</p>

<p dir="ltr">El problema de los datos biométricos en el sector público no está en el consentimiento pensado para el sector privado. Los requerimientos deberían ser diferentes y responder a las necesidades de la relación Estado-ciudadanía. Por esto, si quiere construirse un sistema de identificación biométrica o darle un nuevo uso a una base de datos, debería haber una suerte de principios que busquen equilibrar las necesidades públicas con los derechos de la ciudadanía y los pilares de una democracia.</p>

<p dir="ltr">En nuestra opinión, el Estado debe (1) explicar los objetivos del programa y su propósito en la política pública, (2) mostrar la efectividad de los datos para el problema a solucionar, (3) analizar los riesgos de abuso, (4) tener mecanismos de monitoreo del programa y (5) estar dispuesto a desmontar el sistema si se comprueba que no sirve.</p>

<p dir="ltr">Veamos, entonces, cómo se refleja esta complejidad en algunos de los proyectos de biometría en el país.</p>

<p>&nbsp;</p>

<p dir="ltr"><strong>Las bases de datos biométricas en Colombia</strong></p>

<p dir="ltr"><meta charset="utf-8" /></p>

<p dir="ltr">En Colombia existen dos grandes bases de datos biométricas. Primero, la del Registro Civil, que la maneja la Registraduría Nacional del Estado Civil, cuenta con las huellas y las fotografías biométricas de la mayoría de la población. Es decir, todos los que tenemos una cédula dorada y los menores de edad con la nueva Tarjeta de Identidad.</p>

<p dir="ltr">La historia del Registro Civil muestra cómo ha funcionado la identificación en Colombia. A principios del siglo XX, la biometría se utilizaba en momentos excepcionales. Así, la Policía creó la primera base de datos biométrica de criminales y la autoridad electoral empezó a recoger datos biométricos en elecciones. En los años 60, la biometría, antes solo utilizada en elecciones, se convirtió en una obligación para que las personas reclamen sus derechos.</p>

<p dir="ltr">En los noventas, la Registraduría inició un proceso de digitalización y automatización de las bases de datos. Finalmente, en el 2012, se crearon las plataformas web para ofrecer el servicio de autenticación biométrica en todas las entidades e, inclusive, se comenzó a vender servicios de autenticación a privados que cumplieran los requisitos tecnológicos de la Registraduría, en los que se incluye el sector financiero.</p>

<p dir="ltr">Esos movimientos de la Registraduría muestran las tendencias para el uso de la biometría. Con la idea de hacer más moderno y más eficiente el sistema, recoge más datos que se vuelven obligatorios para más cosas. Con esto, se termina utilizando la identificación biométrica para cualquier cosa, inclusive, el acceso a servicios públicos obligando a las entidades a implementar costosas tecnologías o a contratar con un tercero.</p>

<p dir="ltr">Estos sistemas permiten la vigilancia en espacios públicos como <a href="https://www.elpais.com.co/judicial/los-nuevos-gadgets-de-la-policia-con-... sistema Appolo de la Policía</a> que utiliza terminales móviles para identificar personas. Asimismo, la dependencia en estos sistemas para servicios públicos puede generar exclusión. Por ejemplo, en India se han denegado servicios básicos a los más vulnerables <a href="https://www.hrw.org/news/2018/01/13/india-identification-project-threate... una falla de reconocimiento</a> o <a href="https://www.tribuneindia.com/news/nation/rs-500-10-minutes-and-you-have-... el robo de datos con la cuenta de una empresa operadora</a>.</p>

<p dir="ltr">La segunda base de datos se llama BIOMIG, un sistema que compró Migración Colombia en 2017 para hacer "más eficiente financieramente, más moderno, más seguro y más rápido" el ingreso y salida del país de la ciudadanía. Esto suena bien, ¿a quién no le incomoda al llegar de un largo viaje esa eterna fila para sellar pasaporte y contestar preguntas?</p>

<p dir="ltr">Sin embargo, siguiendo la tradición solucionista, la solución para Migración Colombia fue comprar unas terminales costosísimas que recogen los datos del iris. El registro del iris se hace bajo la lógica de los privados "si no se queja, está aceptando". Pero, <a href="https://karisma.org.co/descargar/derecho-de-peticion-biometria/">si se les pregunta por el consentimiento</a>, la respuesta es: "soy el Estado y si lo necesito, lo tomo, el consentimiento no me aplica".</p>

<p dir="ltr">En la práctica, el resultado es tangible para las personas. En su siguiente viaje la fila es más corta y ágil, pasa por una terminal, sin funcionario preguntón, y con una mirada rápida, que confirma su identidad para revisar si hay una orden de captura nacional o internacional, se levanta la barrera y sigue.</p>

<p dir="ltr">Buenísimo, pero la pregunta continúa siendo ¿Para qué?, es decir, ¿Por qué comprar un sistema así? ¿Para qué arrancar con el iris? ¿Por qué no usábamos las bases de datos existentes (Registro Civil) y dejábamos algo de control humano? Todavía no sabemos cuáles serán las consecuencias de esto, pero la confianza ciega en la tecnología no siempre es buena.</p>

<p>&nbsp;</p>

<p dir="ltr"><strong>Los proyectos de reconocimiento facial</strong></p>

<p dir="ltr"><meta charset="utf-8" /></p>

<p dir="ltr">Si el pasado y el presente nos señala la mentalidad solucionista del Estado, el futuro tampoco pinta bien. La Policía Nacional y la Registraduría están trabajando en crear sistemas de identificación facial. La Policía ya cuenta con una base de datos decadactilar de criminales, con juguetes que le regaló Estados Unidos, que usa para identificarlos en espacios públicos cuando un policía lo considere necesario.</p>

<p dir="ltr">Esto no fue suficiente y en 2017 la Policía empezó un proyecto en el que gastaron más de doce mil millones de pesos para montar un sistema de identificación facial. Aunque el sistema no está listo aún debido a una escalada de problemas, reproduce las preocupaciones vinculadas con el solucionismo tecnológico.</p>

<p dir="ltr">Si tiene tiempo y lee <a href="https://www.contratos.gov.co/consultas/detalleProceso.do?numConstancia=1... contratos</a> es hasta chistoso. Primero contrataron a una empresa que le quedó grande, luego pagaron más para traer a IDEMIA y HERTA (dos gigantes de la biometría), y allí encontraron que la base de datos tenía pocas fotos y muchas no servían (unas por baja calidad y otras por carecer de datos personales).</p>

<p dir="ltr">Por un lado, además del afán y de la improvisación, preocupa el gasto. La Policía había hecho grandes gastos para tener la identificación decadactilar en cualquier dispositivo y ahora quiere reemplazarla por un nuevo y más costoso sistema. ¿Se han hecho los estudios, se sabe cuál es la necesidad del cambio, se justifica la nueva tecnología?</p>

<p dir="ltr">Por otro lado, preocupa que, desde 2016, <a href="https://www.registraduria.gov.co/IMG/pdf/RNEC-Informe-de-Gestion_-VC_28_... Registraduría está tratando de construir un sistema de reconocimiento facial</a> con las fotografías que ya tiene. La idea de tener un software que busque personas previamente investigadas en espacios públicos entre todas las personas con cédula deja fuera la presunción de inocencia y abre la puerta a “falsos positivos”.</p>

<p dir="ltr">De hecho, si la Registraduría termina su sistema, lo que quiere la Policía es la capacidad de reconocer a cualquiera en cualquier parte con los riesgos de abuso y sin la mayor precaución de que esto falle. Por ejemplo, en un piloto en Londres, <a href="https://www.independent.co.uk/news/uk/home-news/facial-recognition-londo... 96% de los resultados que arroja el reconocimiento facial son falsos positivos</a>.</p>

<p dir="ltr">Volvemos al principio de la sospecha y la vigilancia que cree que la criminalidad es un problema individual que se resuelve cazando "delincuentes" o "sospechosos" en la vía pública. El riesgo para los derechos de las personas se materializó en la <a href="https://www.theguardian.com/us-news/2019/may/14/san-francisco-facial-rec... prohibición en San Francisco del reconocimiento facial como herramienta policiva</a>, una historia que recuerda que esto es más complejo.</p>

<p dir="ltr">Estamos en la espiral del "solucionismo" y la vigilancia que acaba nuestros derechos: si no pasa nada, es que la inversión valió la pena, si pasa algo es que tenemos que gastar más y ser más intrusivos.</p>

<p>&nbsp;</p>

<p dir="ltr"><strong>¿Y si falla? Las lecciones para el Estado</strong></p>

<p dir="ltr"><meta charset="utf-8" /></p>

<p dir="ltr">Podemos afirmar que no mucho ha cambiado, el Estado quiere estar a la vanguardia y comprar los últimos juguetes. Sigue sin parar a pensar riesgos y necesidades de las tecnologías que usa. Quiere arreglar el daño cuando ya está hecho.</p>

<p dir="ltr">La aproximación sigue siendo solucionista, construyen sistemas de identificación biométrica con costosas tecnologías como soluciones fáciles a problemas difíciles, sin un análisis de necesidad y proporcionalidad de los medios y los fines.</p>

<p dir="ltr">La situación nos obliga a reflexionar sobre la confianza que tenemos en las tecnologías biométricas, pues la idea de que no fallan es una farsa. El reconocimiento facial <a href="https://www.nytimes.com/2018/02/09/technology/facial-recognition-race-ar... en mujeres y personas afro</a>, los lectores de huella tienen problemas <a href="https://www.dukeupress.edu/when-biometrics-fail">con las mujeres asiáticas</a> y<a href="https://privacyinternational.org/scoping-paper/24/biometrics-friend-or-f... las personas que hacen trabajos manuales</a> y <a href="https://journals.sagepub.com/doi/10.1177/0896920509347144">los de iris tienen problemas con colores muy oscuros</a>. Es decir, son tecnologías que privilegian a hombres blancos.</p>

<p dir="ltr">Pero, si a pesar de esto se decide implementar un proyecto biométrico, el Estado “innovador” debe tener cuidado cuando quiera crear nuevas bases de datos o cuando le da nuevos usos a las viejas bases de datos. El consentimiento no es suficiente, debe dar justificaciones, demostrar la efectividad, analizar los riesgos y monitorear el programa dispuesto a desmontarlo si no funciona.</p>

<p>&nbsp;</p>

<p dir="ltr">Para saber más, le invito a consultar la investigación que hicimos en la Fundación Karisma, donde trabajo, sobre el uso y las justificaciones de la biometría en el Estado colombiano, la cual puede <a href="https://karisma.org.co/descargar/biometria-en-el-estado-colombiano/">des... acá</a>.</p>

Interactiva: