No todo tipo de biometría: intervención en la revisión del nuevo Código Electoral

No todo tipo de biometría: intervención en la revisión del nuevo Código Electoral

El que podría ser el nuevo Código Electoral le permitiría a la Registraduría Nacional del Estado Civil usar “todo tipo de biometría” para identificar y autenticar a las personas. La autorización legal para que la Registraduría pueda usar “todo tipo de biometría” es posterior al desarrollo de distintos programas de la entidad que buscan hacer reconocimiento facial y que requerían en el momento de bases legales y análisis de necesidad y proporcionalidad. El uso de ciertos tipos de biometría como el reconocimiento facial requieren un análisis de necesidad y proporcionalidad.

El 25 de marzo del 2021, Fundación Karisma presentó su intervención en el proceso de revisión automática de constitucionalidad que lleva la Corte Constitucional del Proyecto de Ley Estatutaria 409-2020C/234/2020S – Expediente PE0000050 o Código Electoral. Nuestra intervención se presentó en conjunto con El Veinte, la Fundación para la Libertad de Prensa (FLIP), Dejusticia, Linterna Verde y el Centro de Internet y Sociedad de la Universidad del Rosario (ISUR).

Autorización para el uso de todo tipo de biometría

El artículo 44 del proyecto de ley dice:

Artículo 44. Identificación y autenticación por medios digitales. La Registraduría Nacional del Estado Civil será la encargada de la identificación digital y autenticación de todos los colombianos por los diferentes medios tecnológicos de firma digital, a través de la cédula de ciudadanía y tarjeta de identidad digital y por todo tipo de biometría o sistemas de autenticación, y se regirá por la regulación y disposiciones que para tal efecto expida la entidad.

La Registraduría Nacional del Estado Civil deberá permitir a las entidades públicas el acceso a los medios tecnológicos de identificación y autenticación de los colombianos para el cumplimiento de sus funciones constitucionales, en virtud del principio de coordinación establecido en el artículo 209 de la Constitución Nacional.

Lo anterior sin perjuicio del resto de mecanismos de autenticación descritos en la ley 527 de 1999 que promueven la digitalización de los colombianos.

Parágrafo. La Registraduría Nacional del Estado Civil implementará la consulta y expedición en línea del registro civil, el cual no incorporará la inscripción de las huellas plantares.

Nuestra intervención quiere señalar que usar biometría para la identificación de personas debe cumplir ciertos requisitos establecidos por la ley y por la misma Corte Constitucional.

Tanto la legislación de habeas data como la Corte Constitucional han considerado que el tratamiento de datos sensibles como los datos biométricos puede generar altos riesgos para la libertad, la intimidad y la dignidad de los titulares de los datos. De acuerdo con la Corte Constitucional, para el tratamiento de datos personales sensibles sin autorización del titular y por mandato legal se requiere que el tratamiento esté ordenado por ley estatutaria, sea conforme a las garantías del habeas data y cumpla con el principio de proporcionalidad1.

La Constitución no permite que las autoridades implementen cualquier tecnología biométrica. El examen del cumplimiento de las garantías del derecho a la protección de datos personales y el principio de proporcionalidad son pasos fundamentales previos para determinar cuál tipo de tecnología biométrica es admisible constitucionalmente.

Los datos biométricos son considerados datos sensibles por la ley de protección de datos y por tanto su uso está prohibido excepto en ciertos casos.2 Una de esas excepciones es que haya una ley que indique que no se necesita el consentimiento de las personas para obtener esos datos.3

Aunque el Código Electoral no dice precisamente que la autorización de las personas no será necesaria para usar sus datos biométricos, es claro que el artículo 44 apunta a esta excepción de la ley de protección de datos personales. Las condiciones que ha dicho la Corte Constitucional que debe cumplir una ley que permita prescindir del consentimiento para el tratamiento de datos sensibles son:4

  1. La ley debe ser de tipo estatutaria
  2. La orden legal debe cumplir con los principios y demás garantías de la ley de protección de datos
  3. La orden legal debe ser proporcional

El proyecto de ley del Código Electoral es una ley estatutaria, por lo que cumple el primer requisito, pero no cumple los otros dos. Los principios de la ley de protección de datos exigen que esté clara la finalidad para la que usarán los datos. Tecnologías biométricas como el reconocimiento facial permiten que, sin conocimiento de las personas, se haga su identificación para cualquier fin. En este caso, la Registraduría podría autorizar la identificación y autenticación con reconocimiento facial para cualquier fin. De ahí que, en últimas, no esté claro para qué usarán los datos de reconocimiento facial y los demás biométricos que recolectan o puedan recolectar.

Adicionalmente, una autorización amplia para usar “todo tipo de biometría” no es proporcional. A pesar de que estemos acostumbrados a presentar un documento de identidad a quien lo pida o usar la huella digital para entrar a edificios públicos o privados, decidir usar nuevas formas de biometría para identificar a todas las personas nacionales colombianas debe justificar para qué y por qué se necesita. Desde que nació la cédula las autoridades han estado justificando cambios y la adquisición de tecnología porque hay riesgos de fraude o se necesita más seguridad en los documentos5. Emplear tecnologías cada vez más invasivas debería justificarse en razones y evidencias más fuertes que no se reduzcan a la simple amenaza o a la posibilidad de fraude. No es normal que las autoridades puedan usar “todo tipo de biometría” porque hay nuevas tecnologías o necesitamos “ponernos al día”.

Evaluar la necesidad y proporcionalidad de tecnologías que sabemos que son riesgosas

Si la ley obliga a las personas a entregar datos sensibles, debe discutirse si la tecnología que hace uso de esos datos (iris, rostro, venas, ritmo de caminar, voz, entre otras) pone en peligro derechos fundamentales.

En el artículo sobre los riesgos del reconocimiento facial detallamos algunos de los problemas que genera esta tecnología biométrica. Adicionalmente, como explicamos en el artículo sobre el reconocimeinto facial en el Sistema Nacional de Identificación, la Registraduría Nacional ha avanzado en la implementación de estas tecnologías a través de contratos en lugar de procesos públicos de discusión sobre la necesidad y conveniencia del reconocimiento facial.

En este contexto, la decisión de la Corte Constitucional puede reafirmar un estándar de protección alto al exigir que las obligaciones legales para entregar datos sensibles deben estar establecidas en una ley estatutaria y deben ser el resultado de evaluar la necesidad y proporcionalidad de la medida. Hasta ahora, las distintas entidades deciden implementar tecnologías biométricas sin mayores consideraciones a los derechos a la igualdad, intimidad y protección de datos de las personas.

En este enlace se puede descargar el texto de nuestra intervención en el proceso de revisión automática del Código Electoral.

Referencias bibliográficas

  1. Corte Constitucional, Sentencia C-748 de 2011, M.P.: Jorge Ignacio Pretelt Chaljub. - 2.8.4. Examen de la constitucionalidad de las excepciones a la prohibición de tratamiento de datos sensibles - Ahora bien, como se trata de casos exceptuados y que, por tanto, pueden generar altos riesgos en términos de vulneración del habeas data, la intimidad e incluso la dignidad de los titulares de los datos, los agentes que realizan en estos casos el tratamiento tienen una responsabilidad reforzada que se traduce en una exigencia mayor en términos de cumplimiento de los principios del artículo 4 y los deberes del título VI. Esa mayor carga de diligencia se deberá también traducir en materia sancionatoria administrativa y penal. Finalmente, las excepciones, en tanto limitaciones de alcance general al derecho al habeas data, al igual que en el caso de las excepciones del artículo 2, deben ser desarrolladas por el legislador estatutario. 

  2. Ley 1581 de 2012, artículo 5: Datos Sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. 

  3. Ley 1581 de 2012, artículo 6, literal a): Se prohíbe el Tratamiento de datos sensibles, excepto cuando: a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; (…) 

  4. Corte Constitucional. Sentencia C 748 de 2011, M.P.: Jorge Ignacio Pretelt Chaljub. Sección 2.8.4. 

  5. Restrepo, Olga Matilde, Sebastián Guerra Sánchez y Malcolm Ashmore. “La ciudadanía de papel: ensamblando la cédula y el estado”. En Proyecto Ensamblado en Colombia, 1:277–327. Bogotá, 2013. 

No todo tipo de biometría: intervención en la revisión del nuevo Código Electoral
Anterior

Intervención en el Estatuto temporal de protección a migrantes venezolanos

Siguiente

Qué es y cómo funciona el reconocimiento facial

No todo tipo de biometría: intervención en la revisión del nuevo Código Electoral