Cuando el Estado se mete con nuestras huellas

Cada vez más servicios en el Perú usan datos biométricos para verificar nuestra identidad. Nuestras huellas dactilares son requeridas en notarías, bancos, e incluso en las tiendas que venden celulares. Para solicitar el nuevo pasaporte o el DNI electrónico nos piden registrar las diez huellas de las manos y nuestra foto. La verificación biométrica está de moda. Aunque estas medidas están orientadas a reducir el nivel de fraude en la contratación y aumentar la seguridad, no se sabe bien quién maneja esta base de datos, cómo o para qué. ¿Estamos seguros de que no estamos pasando a un escenario de mayor inseguridad?

Hace poco, el Ministerio de Transportes y Comunicaciones publicó el Decreto Supremo No. 004-2017 que adelanta la obligación que tenían las empresas proveedoras de líneas móviles de instalar lectores biométricos en cada uno de sus puntos de ventas. Según esta modificación, desde el 1 de abril de 2017 sólo se podrá comprar una línea móvil si es que proporcionamos nuestra huella digital. Comprarla por Internet, difícil. Comprarla anónimamente, imposible.

La revolución del comercio electrónico está ocupando un lugar protagonista. La ola de la tecnología aplicada a las finanzas (fintech) viene ganando terreno en nuestro país, cuya brecha de bancarización todavía es notable. También lo hacen los mecanismos de verificación de identidad y controles financieros. Muchos dicen que la identificación biométrica es lo que se necesita: “No hay otra forma de saber quién realiza una transacción en línea, si no es a través de la identidad biométrica”.

En nuestro actual ambiente regulatorio, donde los conectados no llegan a un 50% de la población, donde las municipalidades prohíben videojuegos, donde se cuestionan nuevas formas de hacer cosas viejas, la innovación y la disrupción del mercado están jugando un papel clave. El Estado tiene que dejar hacer y no deshacer. Al mismo tiempo, tiene la obligación de explicarnos cómo conservará y con quienes compartirá nuestros datos.

Diseño difuso de políticas públicas

Lamentablemente, no existe articulación estatal en el diseño de políticas que inciden en el mundo digital, y quizás el estado de la identidad digital es el mejor ejemplo de este problema. Recientemente se publicó el Decreto Legislativo 1246 que promueve favorablemente la interoperabilidad entre las entidades de la Administración Pública y facilita la realización de ciertos trámites. Pero pocos días después se publica el mencionado D.S. 004-2017-MTC, que adelanta imperiosamente la implementación de un sistema de verificación biométrica para todos los puntos que vendan líneas para teléfonos celulares. Claramente hay una dicotomía de fines. Es decir, se flexibiliza el proceso para realizar un trámite administrativo, pero se aumenta los costos para los consumidores al contratar una línea de teléfono.

La estrategia que gira en torno al diseño de estas políticas es difusa. La necesidad de una entidad que revise este tipo de contradicciones es urgente. Ya se ha avanzado con el anuncio de un Viceministerio de Tecnologías de la Información bajo la órbita del MTC, aunque todavía no se implementa. También con el traspaso de la CODESI, antes bajo el mando de ONGEI y de la PCM, hacia el mismo Ministerio. Sin embargo, la discrecionalidad y el recelo que tienen ciertas entidades para con el trabajo en equipo, en la búsqueda de soluciones comunes, afines y beneficiosas para todas, termina perjudicando al ciudadano.

El interminable apagón telefónico

Hace unos meses analizábamos cómo viene ejecutándose el llamado “apagón telefónico”. Desde su lanzamiento en 2010, esta maniobra busca combatir la delincuencia mediante la amenaza de suspensión y corte a los usuarios que no se acercaran a una tienda a re-registrar su línea de teléfono móvil. Implica que el ciudadano que tenía una línea prepaga o que quiera contratar una nueva línea de teléfono móvil debe obligatoriamente disponer de su huella digital para que la empresa proveedora verifique y valide su información. Esta la única forma de re-registrar o contratar esa línea.

Hasta hace unos días, las modificaciones habían sido dos: una en el 2014 y otra en el 2016. Ambas apuntando a la validación biométrica de los usuarios como punta de lanza para el potencial control de líneas suplantadas. Sin embargo, el D.S. 004-2017-MTC viene a desviar la presión hacia las empresas proveedoras. Esto es porque, mientras que la anterior regulación permitía la implementación de este sistema de validación hasta diciembre de 2019, la última regulación ordena una implementación total antes de abril de 2017. Es decir, adelanta su implementación dos años y diez meses. Dentro de un mes, ningún punto de venta podrá vender una línea sin que el usuario se acerque y ponga su huella digital.

Esta última reforma alteró el mercado local de proveedores de servicios de telefonía móvil. Se conoció que Virgin Mobile, único operador móvil virtual del país, no afrontará (por el momento) esta condición y por eso cerrará el 80% de sus puntos de venta. La mayoría de sus puestos físicos eran stands en centros comerciales, supermercados, tiendas por departamento. Su servicio de atención era casi en su totalidad a través de sus redes sociales y canales en línea. Los costos que el mercado va imponiendo tienen que ser atacados con alguna estrategia disruptiva. Por ejemplo, la posibilidad de adquirir una línea vía Internet, sin tener que ir a la tienda, y con envío a domicilio, queda truncada con esta barrera. Con esto, los que perdemos somos los usuarios que vemos reducida nuestra capacidad de elegir qué empresa contratar.

La regulación no debe recargar el mercado con trabas, sino lo contrario. Debe impulsar la innovación, la competencia, la libertad. También debe impulsar proporcionalmente la seguridad de los ciudadanos.

La biometría como estandarte de seguridad

En el Perú, la discusión sobre el uso de biometría no es nueva. Su análisis debe remontarse a la década de los 90s con la creación de la RENIEC y la SUNARP. En aquel momento, la modernización del Estado era inexcusable. El uso de la tecnología para sostener los registros civiles y los registros inmobiliarios eran una buena idea. Sigue siéndolo. Sin embargo, la implementación de sistemas informáticos que manejan datos sensibles debe ser responsable y medida. Hoy, más que nunca.

Cuando un funcionario o empleado requiere una huella digital para verificar una identidad, accede a una base de datos de la RENIEC gestionada por un Sistema Automático de Identificación de Impresiones Dactilares (AFIS). Este sistema no es infalible. Desde su implementación, se han detectado numerosos casos de suplantación y multiplicidad. Es decir, una persona proporcionaba su huella digital y aparecía la identidad de otra (error de identidad). O esa misma persona figuraba con otro nombre (doble inscripción en el Registro Único de Identificación de las Personas Naturales). Tampoco sabemos qué registros conservan o pueden conservar las empresas operadoras al tener acceso a esta base de datos: ¿solo transaccionales? ¿se quedan con una copia de nuestra huella digital? ¿hasta cuándo?

La promoción y difusión que está llevándose a cabo en torno a la implementación del DNI electrónico y el Pasaporte biométrico hace sonar algunas alarmas. Por ejemplo, un pasado informe de Panorama mostró como los nuevos pasaportes tienen errores en su impresión, lo que potencialmente provocaría problemas a todos los peruanos si es que en el exterior tuviesen un inconveniente con ello. Por el lado del DNI electrónico, sabemos que es una smartcard, que contiene información biométrica, una “llave pública” y una “llave privada”. Con ello podemos firmar digitalmente y autenticarnos remotamente. Pero no se sabe qué tipo de smartcards nos entregan, qué tecnología de encriptación implementan, qué tipo de lectoras adquirieron, entre otras cuestionen que hacen a la seguridad de nuestros datos y de nuestra identidad.

Desde Hiperderecho, nos comprometemos a indagar más sobre este asunto. Invitamos a toda la comunidad técnica y público en general a involucrarse en esta investigación y nos ayuden a dilucidar esta problemática con el objetivo de aportar y mejorar las políticas y los sistemas de información que el Estado está implementando como administrador de nuestros datos.

*Agradecemos a Fernando Paredes García por sus aportes.

Foto: Kin Lane (CC BY-SA)

Leave a reply

Basic HTML is allowed. Your email address will not be published.