Desde TEDIC se vuelve a reforzar la preocupación sobre el proyecto de ley “Que establece el registro biométrico como requisito de identificación del usuario para la habilitación de servicio de telefonía movil”.
En mayo del 2021, mes que ingresó al Congreso esta propuesta legislativa presentado por el diputado liberal Fernando Oreggioni, TEDIC ya había presentado sus preocupaciones sobre el proyecto de ley. En esta nueva publicación, se vuelve a traer de nuevo argumentos esgrimidos en el 2021, acompañada de más preocupaciones legales y políticas que ponen en riesgo los derechos civiles y fundamentales de las personas.
Esta propuesta de registro biométrico no es nueva. En 2015, una propuesta similar fue presentada en el Congreso y fue vetado por el Poder Ejecutivo. El diputado colorado, Walter Harms presentó un proyecto de ley con el mismo objetivo: el registro de huellas dactilares para acceder a los servicios de telefonía móvil, para evitar fraudes e identificar a los que realizan actos ilegales a través del número de teléfono móvil. En 2017 TEDIC realizó un posicionamiento presentando las preocupaciones sobre tal proyecto. El mismo fue vetado por el presidente de la República Horacio Cartes, a partir de las recomendaciones presentadas por TEDIC y el sector privado en relación a los riesgos de vulnerar los derechos humanos de la ciudadanía.
En síntesis, esta propuesta obliga a las proveedoras de telefonía de Paraguay (Claro, Personal, Tigo y Copaco) a hacer un registro biométrico de las personas usuarias de sus servicios, como medida de identificación, para mitigar los hechos punibles relacionados al uso del teléfono móvil como amenazas, extorsión, estafas, entre otros.
Algunas de las preocupaciones identificadas son:
El registro biométrico tiene mayor riesgo que cualquier base de datos personales
Los datos biométricos se constituyen en rasgos físicos ligados a una persona. Por ejemplo: una huella digital, un rostro, el iris o ADN. En caso de filtración, tales datos no son posibles de modificar o restituir, lo que se agrava debido a que la propuesta de ley pretende la construcción de una base de datos biométricos masiva y centralizada, que crea un punto único de falla altamente atractivo a ataques informáticos.
Además, en términos de aplicación de la ley, no se define el concepto del dato biométrico y qué tipo de dato biométrico será almacenado de forma compulsiva según la ley.
Atenta contra los derechos fundamentales
Organismos internacionales de derechos humanos —como la Relatoría para la Libertad de Expresión de la ONU— han advertido que la vinculación obligatoria de una tarjeta SIM a la identidad de una persona compromete gravemente el derecho a comunicarse de manera anónima y facilita el monitoreo de la población. Dicho monitoreo vulnera el derecho a la libertad de expresión, a la privacidad y hasta a la vida de las personas; especialmente si se toma en cuenta la abundante evidencia de abuso de herramientas de vigilancia por parte de autoridades en Paraguay y la innegable y frecuente colusión de funcionarios públicos con la delincuencia organizada. Es por ello que resulta particularmente preocupante que la propuesta legislativa no establezca mecanismo de control alguno para el acceso a la base de datos por parte de autoridades que, como se ha mencionado anteriormente, han abusado ampliamente de las facultades de acceso a datos personales de personas usuarias de telecomunicaciones.
Sin un marco legal de una ley de datos personales no se recomienda realizar tratamientos biométricos
Paraguay reconoce en la Constitución Nacional el derecho de Intimidad (Art. 33). Sin embargo, en la práctica, no existen suficientes medidas para garantizar el cumplimiento de este derecho, como se evidencia en el tratamiento indebido de datos personales en bases de datos públicas y privadas.
No hay garantías de protección alguna en el proyecto de Ley que busca obligar a las empresas telefónicas a recolectar datos biométricos. El proyecto no cumple con principios de proporcionalidad, necesidad, legalidad, y otros contemplados en tratados y organizaciones internacionales a los que Paraguay suscribe.
Además, desde TEDIC se resalta la preocupación, de que Paraguay es casi el único país en América del Sur que no cuenta con una ley de protección integral vigente de datos personales. Esto significa que todos los datos relacionados a la persona, incluyendo la información biométrica se encuentra sin protección ni salvaguardas y con alto riesgo de vulneración de derechos.
Sin una ley integral de protección de datos personales, que limite la utilización de los datos de carácter sensible para cualquier actuación contractual con el Estado o terceros, titulares de datos en Paraguay seguirán sufriendo vulneraciones a su privacidad, debilitándose todavía más un frágil Estado de derecho.
Más abusos de nuestros derechos por parte de las autoridades
En suma, ha existido un abuso sistemático y generalizado de las facultades de investigación penal que invaden la privacidad de personas usuarias de telefonía móvil. La investigación “Quien defiende tus datos”, realizado con la Electronic Frontier Foundation y TEDIC, ha expuesto la discrecionalidad de la Fiscalía en acceder sin orden judicial a los metadatos de llamadas telefónicas. Esto debería ser preocupación y prioridad del Congreso en el sentido de limitar la creación de más facultades invasivas sin otorgar previamente garantías de control de estos abusos.
El proyecto de Ley no contempla seguridad legal ante tratamiento no autorizado o ilícito o contra la pérdida o destrucción o daño accidental, que además se concretan no sólo en normativas como estas, sino también en abusos como vigilancia estatal de las comunicaciones de la periodista de ABC por las fuerzas militares, compra de software de interceptación de las comunicaciones por parte de la SENAD, sin regulación alguna como es el caso de FinFisher. O ataques cibernéticos que vulneraron los sistemas de almacenamiento de datos personales de carácter crediticios de la empresa global Equifax (Propietarios de Informconf en Paraguay), revelando datos de 143 millones de personas.
La ciberseguridad de las personas en riesgo
Como la propia experiencia de país demuestra, la creación de bases de datos personales centralizadas constituyen un serio riesgo para la privacidad y seguridad de las personas. La filtración o acceso no autorizado a dicha información puede ser utilizada precisamente para cometer delitos en contra de las personas, por parte de la delincuencia que opera fuera y dentro de las instituciones del Estado y de las propias empresas concesionarias.
Bases de datos de personas inocentes
La generación de una base de datos de personas inocentes (Artículo 3 y 4 de la ley) atenta contra la presunción de inocencia. Dada la facilidad con que es posible realizar llamadas telefónicas suplantando el número de teléfono de otra persona, es previsible que, de aprobarse esta ley, las autoridades investigadoras acusen a personas inocentes de la comisión de delitos.
Esto es aún más preocupante dada la redacción del artículo 3 y 4, el cual señala que se presume salvo prueba en contrario que los actos jurídicos realizados desde una línea telefónica corresponden a la persona que se encuentra asociada al mismo en la base de datos de la proveedora.
Una ley sin evidencias, ni análisis de impacto previo a los derechos
No existe evidencia de que los registros de tarjetas SIM contribuyan a la reducción de delitos como la extorsión. El informe de la Asociación Mundial de Operadores de Telefonía GSMA sobre registro obligatorio de tarjetas SIM (2016) indica que “no existe evidencia de que el registro obligatorio de tarjetas SIM reduzca el crimen”. Es por ello que países como el Reino Unido, Estados Unidos, Canadá y muchos otros han rechazado implementar este tipo de medidas.
La ausencia de una base de datos biométricos de personas usuarias de servicios de telefonía móvilno impide a las autoridades combatir delitos como el de extorsión, amenaza, estafas. Más bien, es posible argumentar que constituye un pretexto inaceptable para desviar la atención de la incompetencia de las instituciones de seguridad o incluso maquillar intenciones autoritarias. Una base de datos biométricos viola derechos humanos y pone en riesgo la seguridad de las personas usuarias de telefonía móvil.
No es una práctica en países democráticos
Solo 17 países en el mundo exigen algún tipo de identificación biométrica para la compra de una tarjeta SIM. Dicha lista está predominantemente compuesta por países autoritarios como China, Arabia Saudita, Afganistán, Venezuela, Emiratos Árabes Unidos, Tayikistán, entre otros y que no incluye a ningún país plenamente libre y democrático.
La generación de una base de datos biométrica para acceder a telefonía móvil e internet constituye una política autoritaria, orientada al control y la vigilancia de la población, que es incompatible con la Constitución y los tratados internacionales de los que Paraguay es parte y pone en riesgo de daño irreversible a la población.
Promueve que se roben más celulares
Con esta ley se promueve que se roben más celulares pues los criminales no usarán los suyos para cometer delitos. Asumir que las redes criminales usarán teléfonos asociados a su identidad para cometer sus delitos es inverosímil y falto de sentido común. Actualmente existen múltiples técnicas y mecanismos que son utilizadas para la suplantación de números telefónicos, tales como: la clonación y duplicación de tarjetas SIM, el uso de tarjetas SIM de otras jurisdicciones en las que no existe un registro, (como Argentina, Brasil, Estados Unidos), la utilización de servicios de voz sobre IP (VOIP), el robo de teléfonos móviles, entre otros.
Aumenta la brecha digital
Se constituiría en una barrera para el acceso a las telecomunicaciones a las personas atendiendo que este servicio es de uso masivo llegando al 77% de los hogares del país. Además va ahondar en las desigualdades que trae esta crisis económica y de pandemia.
Recomendaciones
Desde TEDIC volvemos a recalcar lo que ya se sugirió en el 2021 sobre esta ley y volvemos a traer las mismas recomendaciones:
- Retirar la propuesta de recolección masiva de datos biométricos por ser innecesaria y desproporcionada en la protección de los derechos fundamentales consagrados en la Constitución Nacional. Esta iniciativa es intrusiva y desproporcionada porque recolecta datos sensibles de las personas que acceden a un servicio de telefonía y acceso a Internet, independientemente de si han sido sospechosas de conductas indebidas y sin ninguna garantía aparente. La recolección indiscriminada de datos sensibles debe buscar otra medida menos intrusiva. En el 2017, una propuesta legislativa fue vetado por el presidente de la República Horacio Cartes a partir de las recomendaciones presentadas por el sector privado y los riesgos a los derechos humanos.
- El Congreso debe concentrar sus esfuerzos en implementar políticas basadas en evidencia y análisis de evaluación de impacto previos a la creación de una norma. Deben analizar previamente el contexto y las medidas a tener en cuenta para la persecución de los delitos, y evaluar si una medida como tal no va ser más perjudicial para la calidad de vida de las personas.
- Además deberán cumplir con el principio de debido proceso de los estándares internacionales ratificados por Paraguay: para que el Estado bloquee o censure el acceso a las comunicaciones e información en general la medida debe ser de carácter excepcional y cumplir con los requisitos del debido proceso como la orden de juez competente, por resolución fundada bajo pena de nulidad. No existen entidades autorizadas para intervenir una comunicación privada sin orden judicial de acuerdo con el orden jurídico vigente en Paraguay. Sin el cumplimiento de requerir una orden judicial, este tipo de medidas pueden ser consideradas inconstitucionales, afectando el derecho fundamental de libertad de expresión.
- Paraguay necesita una ley de protección de datos personales . Se necesita el apoyo del Congreso Nacional y en especial el Diputado Fernando Oreggioni O’Higgings a la propuesta legal de la Coalición de datos personales entregada para su tratamiento en el 2021 y que hoy se encuentra en análisis en el Congreso. Se necesitan marcos jurídicos suficientes que permitan garantizar un adecuado tratamiento de datos biométricos recolectados, tanto por parte del Estado como el sector privado.
Si querés leer más sobre la necesidad de legislar sobre nuestros datos personales te invitamos a seguir nuestra campaña “Mis datos, mis derechos” o a descargar nuestro fanzine sobre datos biométricos.