Inicio Destacadas UPAD accedió a datos sensibles por el Sistema de Beneficiarios del Estado

UPAD accedió a datos sensibles por el Sistema de Beneficiarios del Estado

Denuncia la Defensoría de los Habitantes

0
Alejandro Madrigal junto a Carlos Alvarado, ambos investigados por caso UPAD
  • Defensoría de los Habitantes realizó un informe técnico y jurídico

Redacción-La Defensoría de los Habitantes investigó el caso de la Unidad Presidencial de Análisis de Datos (UPAD), este trabajo fue realizado en conjunto con un equipo de la institución, bajo el expediente 310955- 2020.

Como Institución Nacional de Derechos Humanos, dentro de las competencias otorgadas por ley, la Defensoría de los Habitantes realizó este informe técnico y jurídico tomando en consideración tres ejes fundamentales de acción:

  1. El análisis del decreto hoy derogado
  2. El tema de la protección de datos
  3. Los riesgos generados por la puesta en operación del equipo de análisis de datos de Casa Presidencial.

En cuanto al Decreto la Defensoría de los Habitantes indica que:

El Decreto Ejecutivo No. 41996-MP-MIDEPLAN era contrario al ordenamiento jurídico al no cumplir con el procedimiento, ya que careció de estudios técnicos y consulta experta en materia de protección de datos.

 En el decreto hoy derogado no se hizo referencia a protocolos de actuación conforme a la Ley de Protección de Datos que incluyen identificación de datos, seguridad y custodia de los datos obtenidos.

El artículo 7 del mencionado decreto tenía importantes roces de legalidad y constitucionalidad que lo hacían improcedente técnica y jurídicamente.

El artículo 8 del decreto contempló en la integración de la UPAD una serie de especialidades profesionales, pero no a una persona experta en protección de datos o ciberseguridad.

En cuanto a la protección de datos, la Defensoría de los Habitantes indica que:

El equipo de asesores que trabajó en el análisis de datos durante 18 meses en Casa Presidencial realizó sus funciones sin respaldo legal que justificara sus alcances, limitaciones y responsabilidades.

Asimismo, dicho equipo no contaba con los recursos tecnológicos y de infraestructura requeridos para desempeñar las mencionadas labores de conformidad con lo establecido en la Ley de Protección de Datos, No. 8968, lo cual los convertía en un equipo de hecho y no de derecho.

Aunado a lo anterior, en el manejo y análisis de datos, se requiere de personal técnico jurídico especializado, y quienes estaban realizando dicha labor eran asesores presidenciales sin especialización.

Al respecto, las competencias y responsabilidades en las funciones propias y ordinarias de un asesor presidencial difieren de las correspondientes a una persona que se avoque a la gestión y administración de bases de datos. No resulta ni conveniente, ni apropiado, que asesores de un Despacho Presidencial, sin importar la formación que tengan, sean quienes estén gestionando bases de datos, siendo necesario personal técnico-jurídico dedicado a dicha misión.

La Agencia de Protección de Datos fue omisa en el cumplimiento de sus competencias al no intervenir según lo establece la Ley No. 8968, sea analizando las bases de datos obtenidas por el equipo de la UPAD, requiriendo la existencia de protocolos de actuación o bien, emitiendo una medida cautelar.

En cuanto a los riesgos generados por la operación del equipo de análisis de datos de Casa Presidencial, indica que:

 A partir del uso del Sistema Único de Beneficiarios del Estado (SINIRUBE), sí se tuvo acceso a datos sensibles, los cuales fueron obtenidos a través de convenios que autorizaban conexión directa a las mencionadas bases. Asimismo, la Defensoría considera que se deben dejar sin efecto los convenios suscritos entre la Presidencia de la República y las instituciones a las que se les requirió información.

No hubo análisis de riesgos en protección de datos incluyendo protocolos de actuación, de seguridad, custodia de los datos, protocolo de identificación y manejo, los cuales permiten que un habitante, al sentirse afectado por el uso de sus datos personales, ejerza los derechos de acceso, rectificación, cancelación y oposición, conocidos como ARCO.

De los hallazgos de la investigación, se determina la necesidad de conocer qué otra información estaba en la computadora utilizada por el equipo y la naturaleza de la misma. Ahora, corresponderá a la Fiscalía determinar el uso o no de dichos datos.

Es con base en estas conclusiones que la Defensoría presentó ante el Ministerio Público una relación de hechos que dio pie a la actual investigación que desarrolla ése órgano jurisdiccional al cual le corresponde determinar con claridad, mediante peritajes y otras acciones forenses si se utilizaron o no datos sensibles o restringidos.

Salir de la versión móvil