Catalina Crespo, defensora de los habitantes aseguró que sí se tuvo acceso a datos sensibles mediante el Sistema Único de Beneficiarios del Estado (SINIRUBE)
por: Aarón Chinchilla / 28 febrero, 2020
Primeros datos empiezan a dilucidarse sobre la UPAD.
De acuerdo a la Defensora de los Habitantes, Catalina Crespo, los asesores de la Unidad de Análisis de Datos de la Presidencia accedieron a datos sensibles de los costarricenses, a través del Sistema Nacional de Información y Registro único de Beneficiarios del Estado (Sinirube).
Mediante conferencia de prensa, Crespo precisó que, luego de realizar una una investigación sobre el caso UPAD, se determinó que el equipo de asesores que trabajó en el análisis de datos durante 18 meses en Casa Presidencial «realizó sus funciones sin respaldo legal» y adicionalmente, «eran asesores sin especialización» en materia de big data.
(…) en el manejo y análisis de datos, se requiere de personal técnico jurídico especializado, y quienes estaban realizando dicha labor eran asesores presidenciales sin especialización. Al respecto, las competencias y responsabilidades en las funciones propias y ordinarias de un asesor presidencial difieren de las correspondientes a una persona que se avoque a la gestión y administración de bases de datos. No resulta ni conveniente, ni apropiado, que asesores de un Despacho Presidencial, sin importar la formación que tengan, sean quienes estén gestionando bases de datos, siendo necesario personal técnico-jurídico dedicado a dicha misión (…) Dicho equipo no contaba con los recursos tecnológicos y de infraestructura requeridos para desempeñar las mencionadas labores de conformidad con lo establecido en la Ley de Proteccion de Datos, No. 8968, lo cual los convertía en un equipo de hecho y no de derecho.
Por otra parte, la investigación determinó que, mediante el Sistema Único de Beneficiarios del Estado (SINIRUBE), sí se tuvo acceso a datos sensibles, los cuales fueron obtenidos a través de convenios que autorizaban conexión directa a las mencionadas bases.
Sin embargo, en el decreto hoy derogado, no se hizo referencia a protocolos de actuación conforme a la Ley de Protección de Datos que incluyen identificación de datos, seguridad y custodia de los datos obtenidos.
«La Defensoría considera que se deben dejar sin efecto los convenios suscritos entre la Presidencia de la República y las instituciones a las que se les requirió información (…) La Agencia de Protección de Datos fue omisa en el cumplimiento de sus competencias al no intervenir según lo establece la Ley No. 8968, sea analizando las bases de datos obtenidas por el equipo de la UPAD, requiriendo la existencia de protocolos de actuación o bien, emitiendo una medida cautelar».
Finalmente, Crespo precisó que no hubo análisis de riesgos en protección de información, incluyendo protocolos de actuación (seguridad, custodia de los datos, protocolo de identificación y manejo) y es necesario conocer información que se encontraba en otras computadoras.
«Se evidenció el debilitamiento del control interno de Casa Presidencial en lo que respecta a tecnologías de la información, tanto como en la asignación de funciones a otras unidades sin que existiera un respaldo legal. Es con base en estas conclusiones que la Defensoría se compromete a dar seguimiento y colaboración en todos los extremos, a la investigación del Ministerio Publico, el cual es el órgano competente para determinar con claridad, mediante peritajes y otras acciones forenses si se utilizaron o no datos sensibles o restringidos.
Otros hallazgos de la investigación fueron la ilegalidad del artículo 7 del Decreto Ejecutivo No. 41996-MP-MIDEPLAN, el cual presentaba «importantes roces de legalidad y constitucionalidad que lo hacían improcedente técnica y jurídicamente» y en sí, la creación y funcionamiento de la UPAD era «contraria al ordenamiento jurídico», puesto que «no cumplía con procedimientos, careció de estudios técnicos y consulta experta en materia de protección de datos».
Adicionalmente, el artículo 8 del decreto contempló en la integración de la UPAD una serie de especialidades profesionales, «pero no a una persona experta en protección de datos o ciberseguridad»
Acerca del autor
