
Análisis final de las respuestas a las solicitudes de acceso a la información pública sobre el uso de tecnologías con capacidad de vigilancia en El Salvador
AUTOR: Danilo Ernesto Flórez López (IDHUCA)
Sumario:
1. Antecedentes.
2. Solicitudes de acceso a la información:
a) Tecnologías consultadas;
b) Solicitudes presentadas.
3. Principales hallazgos:
a) Sobre los procesos de adquisición (contratos);
b) Sobre la evaluación de impacto en los derechos humanos;
c) Sobre la recolección y procesamiento de datos;
d) Sobre el rol de las empresas privadas.
4. Conclusiones.
1. Antecedentes
Desde hace algunos años, en El Salvador se ha intentado regular el uso de las nuevas tecnologías dentro de ciertos ámbitos de la vida económica, social y cultural.
En este esfuerzo, por ejemplo, se puede citar la aprobación de la Ley de Acceso a la Información Pública, en 2011, que contiene un capítulo dedicado a la protección de los datos personales de las personas usuarias, que hayan sido obtenidos por la Administración Pública a través de sistemas informáticos destinados a gestionar el acceso a servicios públicos. En la misma línea, se aprobó la Ley de Firma Electrónica en 2015, la Ley de Comercio Electrónico en 2019 y, en medio de la pandemia, la Ley de Teletrabajo en 2020.
Posteriormente, la Asamblea Legislativa mayo 2018 – abril 2021 aprobó el veintidós de abril de 2021 la Ley de Protección de Datos Personales y la Ley de Creación de la Autoridad Nacional Digital, sin embargo, ambas fueron vetadas por el presidente Nayib Armando Bukele el siete de mayo de 2021, aduciendo, por un lado inconveniencias debido a una supuesta falta de armonía entre la ley de protección de datos con el marco legal actual, la falta de experticia técnica para poder conformar la Autoridad Nacional Digital, y falta de planificación presupuestaria para poder implementar los insumos de dicha ley. Asimismo, en cuanto a la ley que creaba la Autoridad Nacional Digital, Bukele mencionó que la vetaba por ser inconstitucional. Según el presidente, se vulneraba el principio de planificación y equilibrio presupuestario, ya que “su implementación requiere de la realización de ciertos aspectos técnicos y financieros que carecen de una fuente de financiamiento”.
Sin embargo, ninguna de estas leyes y proyectos de ley regula adecuada y suficientemente la adquisición, uso y control de los softwares de datos biométricos, cámaras de vigilancia u otras herramientas informáticas para la detección de personas ni tampoco, de forma explícita, la administración de los datos personales que el Estado puede obtener a través de tales insumos o herramientas.
Desde hace algunos años, la Administración Pública salvadoreña habría estado invirtiendo en la adquisición de recursos tecnológicos para mejorar la prestación de sus servicios en múltiples ámbitos de su funcionamiento: por ejemplo, desde agilizar la captura de datos en la gestión de documentos personales, pasando por mejorar el control sobre la jornada laboral de los servidores públicos, hasta ampliar las posibilidades de identificación de las personas.
No obstante, actualmente se ha mostrado un mayor interés por llevar esta inversión a montos más elevados y, con ello, adquirir o desarrollar un mayor número de recursos tecnológicos con capacidades de vigilancia, tanto durante como después de la pandemia y no solo para aspectos sanitarios.
Así, por ejemplo, se ha adquirido un software de datos biométricos o reconocimiento facial. En el transcurso de la pandemia, las autoridades de seguridad se habrían preparado para implementar uno de los Memorandos que firmó con Estados Unidos sobre asuntos migratorios, en 2019, específicamente, el que regula al intercambio de información biométrica y otros datos personales. Además, como estrategia de contención del virus y de atención de pacientes contagiados, las autoridades de salud también invirtieron en equipos tecnológicos con capacidad de reconocimiento facial, que fueron destinados al Hospital El Salvador, el hospital nacional construido exclusivamente para COVID-19. Este tipo de software de reconocimiento facial también habría sido utilizado en la realización de la prueba académica AVANZO, que tuvieron que rendir el estudiantado del último año de bachillerato, a nivel nacional. Asimismo, dado que las clases están siendo virtuales, el Estado decidió implementar el programa de entrega de computadoras portátiles a estudiantes del sistema público de educación; computadoras que cuentan con un software de seguridad que permite rastrear su ubicación, aún estando apagada.
De igual forma, se ha invertido en la adquisición de cámaras de videovigilancia y se habría anunciado la adquisición de aún más, así como de otras herramientas que facilitan la detección de personas. Mientras en el ámbito de la salud varios hospitales nacionales se habrían equipado con cámaras, en el ámbito de la seguridad pública se utilizaron drones para detectar y capturar personas que intentaban ingresar al territorio nacional por “puntos ciegos” (lugares sin controles migratorios ni aduanales), durante el cierre de fronteras motivado por la cuarentena domiciliar obligatoria que se impuso. En suma, el estado ha anunciado una gran inversión en la compra de tecnología de vigilancia para empezar con la fase tres del Plan Control Territorial, el actual plan de seguridad pública; una tecnología que vendría a sumarse a la ya existente, cuyo uso está exento de regulación legislativa, en la actualidad, y puede ser promotora de dinámicas autoritarias.
Finalmente, este contexto también ha generado una multiplicación en la construcción de bases de datos que contienen información personal. Muchas de estas bases se destinaron a la atención sanitaria de la pandemia, pero otras a la mitigación de sus efectos socioeconómicos. Para apoyar estos últimos efectos, específicamente los provocados por la cuarentena domiciliar obligatoria, el estado entregó $300 a 1.5 millones de familias, que se seleccionaron al cruzar la información de múltiples variables socioeconómicas de las personas. De igual manera, dentro de los programas de telemedicina, para la atención de pacientes con sospechas o contagiados, y de vacunación, las autoridades de salud están creando múltiples bases de datos personales, cuyo resguardo y uso adecuado debería ser prioritario.
2. Solicitudes de acceso a la información
a) Tecnologías consultadas
Al elaborar las solicitudes de acceso a la información se requirió información sobre tres categorías de recursos tecnológicos con capacidades de vigilancia o seguimiento sobre la población: softwares o aplicaciones informáticas; equipos e infraestructura de video vigilancia o seguimiento; y, bases de datos personales y estadísticas.
b) Solicitudes presentadas
Mediante solicitudes realizadas en virtud de la Ley de Acceso a la Información Pública (LAIP), se requirió información a doce instituciones públicas sujetas a la referida ley, a efecto de proporcionar documentación que diera cuenta de aspecto que abarcaban desde el proceso de contratación de las tecnologías hasta los encargados de custodiar y dar mantenimiento a la información compilada, así, con fecha doce de octubre de dos mil veintiuno, se solicitó información a las instituciones siguientes:
- Ministerio de Justicia y Seguridad Pública (MJSP)
- Ministerio de Salud (MINSAL)
- Ministerio de Economía (MINEC)
- Ministerio de la Defensa Nacional (MDN)
- Ministerio de Gobernación y Desarrollo Territorial (MINGOBDT)
- Ministerio de Educación, Ciencia y Tecnología (MINEDUCYT)
- Policía Nacional Civil (PNC)
- Presidencia de la República (CAPRES)
- Consejo Nacional de Ciencia y Tecnología (CONACYT)
- Instituto de Acceso a la Información Pública (IAIP)
- Corte de Cuentas de la República (CCR)
- Procuraduría para la Defensa de los Derechos Humanos (PDDH)
Las instituciones públicas dieron el trámite correspondiente establecido en la Ley de Acceso a la Información Pública y la Ley de Procedimientos Administrativos, con excepción del CONACYT quien no emitió ningún tipo de resolución, incluyendo la referida a la admisión de la solicitud presentada.
3. Principales hallazgos
a) Procesos de adquisición (contratos)
En términos generales, la información relativa a los procesos de adquisición de equipos — entre ellos, cámaras de video vigilancia, drones, equipo informático, lectores de huellas digitales, reloj biométricos, GPS, etc–, servicios de mantenimiento de los equipos mencionados, adquisición de software y hardware, fue entregada por las entidades requeridas, con excepción del MIGOBDT quien hizo referencia a los procesos de adquisición consultados pero no entregó la documentación correspondiente, como sí lo hicieron cuatro de las instituciones (MJSP, MINSAL, MINEC, MDN). Por otro lado la PNC declaró que toda información referida a compra de drones y equipo informático era de carácter reservado.
A diferencia de Chile y Colombia, no fue posible obtener información de convenio o contrato alguno con entidades públicas o privadas para el desarrollo de tecnologías en el contexto de la pandemia, lo anterior pese a ser de conocimiento público la existencia de plataformas utilizadas por el MINSAL para el registro de información por parte de teleoperadores, mediante la estrategia de telemedicina, para el contacto y seguimiento de casos positivos y sospechosos de COVID-19, del sistema de nexos epidemiológicos y mecanismo de monitoreo de personas utilizado durante las primeras etapas de la pandemia, así como para el seguimiento de la vacunación de la población. Sobre estos aspectos el MINSAL declaró que se trata de información reservada, estipulando un plazo de siete años para dicha reserva. En similares términos la PNC estipuló que todo la información requerida respecto del seguimiento de la pandemita tiene carácter reservado según acuerdo PNC/DG/No.A-0773-05-2021, de fecha cuatro de mayo de dos mil veintiuno, en la cual declara información reservada toda información referente a “Documentación relacionada con la contratación de la adquisición de equipo tecnológico para plataforma integral de la investigación criminal y científica del delito”.
Por otro lado, la CCR resolvió que la totalidad de información requerida sobre la adquisición de equipos y tecnologías a que se hizo referencia en las solicitudes de información aún no ha realizado las auditorías correspondientes.
b) Evaluación de impacto en los derechos humanos
Dado el tipo de tecnologías implementadas por el gobierno de El Salvador, la posible intromisión en la esfera personal de los administrados, y el riesgo a la intimidad y dignidad personal ante un inadecuado tratamiento de datos personales, se solicitó a diversos entes encargados de la implementación de los mecanismos de video vigilancia que informasen sobre la existencia de procesos de análisis y ponderación entre la afectación en el respeto y protección de los derechos humanos de las personas que se someten al uso de las tecnologías y el beneficio de los objetivos buscados.
Dos de las instituciones respondieron que esa información era de naturaleza reservada (MINSAL y PNC), cuatro más indicaron que no existe la referida información al no encontrarse prevista evaluación de esta naturaleza ni durante los procesos de adquisición ni en la fase de funcionamiento de los equipos o sistemas, por lo que respondieron que la información no ha sido producida (MINEDUCYT, MJSP, MINEC y MDN), y otra más no se pronunció ni hizo referencia sobre la consulta (MIGOBDT).
Para el caso de los lectores de huellas, mecanismos de marcación digital, reloj biométricos, etc., las justificaciones de algunas instituciones fueron de índole laboral, referidas al seguimiento de las entradas y salidas de las y los empleados públicos, como medio para verificar el cumplimiento de la normativa de trabajo y disciplinaria (MDN y MINEC).
En el caso de los drones, dos instituciones (MINEC y MDN) adujeron razones de utilización para la cobertura de actividades institucionales, el MINEC por ejemplo señaló que dicho equipo sería utilizado por la Dirección de Hidrocarburo y Minas para verificar los avances en los sistemas de explotación en inspecciones mineras no metálicas (canteras) a nivel nacional, esto debido a la dificultad que presentan los terrenos debido a las alturas o a la situación climática del país. Ahora bien, al requerir copia digital del reglamento, protocolo, instructivo, política, manual o documento cualquiera que sea su denominación, que contenga las regulaciones vigentes de protección de datos personales y la privacidad de la información obtenida mediante el uso de drones por parte del Ministerio de Economía respondieron que tal información no puede ser proporcionada debido a que todos los datos obtenidos por medio del uso del dron se encuentran garantizados conforme el art. 24 de la Ley de Acceso a la Información Pública (LAIP), con categoría de información confidencial, y en igual sentido se pronunció, aunque basándose en el art. 25 de la LAIP, con relación a la copia de las grabaciones, filmaciones y fotografías obtenidas por el dron, en el período estudiado.
A mayor abundamiento, el art. 35 de la LAIP establece que todo ente obligado que posea registros o sistemas de datos personales debe de hacerlo del conocimiento del IAIP, quien deberá mantener una lista actualizada de los mismos y sus respectivos protocolos de seguridad. Pese a que es un hecho obvio y notorio que el gobierno, mediante los diversos mecanismos de monitoreo y video vigilancia, recolecta datos personales de los administrados, la resolución del IAIP indica que no se cuenta con ningún registro o sistema de datos; y, que tampoco existe normativa relacionada con la protección de datos personales.
c) Recolección y procesamiento de datos
En las solicitudes de información presentadas se incluyeron diversos ítems relacionados a las regulaciones vigentes de protección de datos personales y privacidad de la información recolectada a través de las tecnologías objeto de análisis, así como del uso y cifrado de los datos e informaciones; al respecto, cuatro de las instituciones (PNC, MJSP, MINSAL y MINEDUCYT) indicaron que esa información era reservada, otras manifestaron, por ejemplo, no contar con regulaciones sobre protección de datos biométricos obtenidos por lectores de huella digital, reloj biométrico (MIGOBDT, MDN, MINEC), ya que el único objetivo, para el caso del lector de huella digital, es controlar el ingreso y salida de personal (MINEC). Tampoco expresaron poseer regulaciones sobre protección de datos personales y privacidad de la información obtenida mediante el uso de drones, informando además que las grabaciones, imágenes e incluso las bitácoras de vuelo, son de carácter confidencial (MIGOBDT), se exceptúa de dicha postura, como se indicó antes, al MDN. Con relación a la normativa de uso de drones sólo una institución se refirió a regulaciones específicas, así, el MINEC consignó la Ley de Procedimientos Administrativos (LPA) y el Reglamento de Regulación de Vehículos Aéreos No Tripulados de la Autoridad de Aviación Civil de El Salvador.
Todas las instituciones indicaron alojar la información ya sea en las memorias internas de los equipos (marcadores biométricos, lectores de huellas, etc.) o en servidores alojados en las mismas instituciones, sin poder brindar mayores detalles por tratarse de información confidencial (PNC, MJSP, MINSAL, MINEDUCYT, MIGOBDT, MINEC).
d) Rol de las empresas privadas
En las solicitudes de información presentadas se indagó sobre la ubicación de los servidores en donde se encuentran almacenados los datos recolectados a través de las tecnologías objeto de análisis (reloj biométricos, cámaras de video vigilancia, nexos epidemiológicos, mecanismos de monitoreo, drones, sistemas de video vigilancia, etc.) y si dicho servicio era brindado por las empresas que además se encargaran del mantenimiento de los servidores, o la indicación de las unidades encargadas del tratamiento de los datos personales.
En las respuestas por parte de los entes obligados se indicó que ninguna institución pública había contratado a empresa alguna para el mantenimiento de servidores o tratamiento de datos, esto debido a que no se habían adquirido ni servidores, ni contratado a empresas para que brindaran el servicio y tampoco un sistema en donde se traten los datos recopilados, por el contrario, indicaron que en algunos casos la información se aloja y administra en las correspondientes instituciones públicas, tal es el caso de MINSAL que informó que las imágenes de los drones, por ejemplo, se encuentran en la Dirección de Comunicaciones del citado ministerio.
4. Conclusiones
El gobierno de El Salvador ha invertido recursos financieros en la adquisición de tecnologías de vigilancia sin que existan regulaciones claras que protejan a la población de potenciales agresiones a sus derechos a la intimidad, privacidad, libertad de expresión, reunión, entre otros.
Tampoco se conoce suficientemente sobre las finalidades, alcances y límites, así también las políticas o planes de uso, ni los protocolos de protección de datos personales. En algunos casos la compra de tecnologías de vigilancia se justificaron para usos de índole interna de las instituciones ya sea de control del personal o protección de sus instalaciones, pero en otros casos, en donde el uso de las tecnologías tendría alcances mayores, ya sea por temas de seguridad pública o de atención y seguimiento de la pandemia, tal es el caso de la PNC y MINSAL, se desconocen sus límites dado que dicha información se declaró de carácter reservado por parte de las respectivas entidades, hasta por un plazo de siete años.
Luego de verificar los procesos de compra proporcionados por los entes obligados, se puede inferir que la tecnología consistente en monitoreo de laptops, gps, cámaras de video vigilancia, drones y lectores biométricos, se encuentran funcionando, en primer lugar, sin sistemas informáticos que garanticen su integridad y confidencialidad, sin un servidor en donde se esté almacenando adecuadamente la información, sin claridad de las personas (naturales o jurídicas) encargadas de su custodia y/o tratamiento de datos recopilados; y, sin existir aún un marco normativo que regule el tratamiento de datos personales.
Cómo se mencionó en los antecedentes de este informe, en mayo de dos mil veintiuno el presidente de la República vetó los decretos legislativos que contenían la Ley de Protección de Datos Personales y la Ley de Creación de la Autoridad Nacional Digital. Por otro lado, las respuestas de los requerimientos de información presentados reflejaron la ausencia total de normativas internas sobre el uso de las tecnologías de vigilancia, las cuáles han puesto en evidencia la discrecionalidad y criterios diversos en el tratamiento de la información, así mientras las PNC declaró reserva total de la información, el MDN entregó información sobre imágenes captadas por drones.
La opacidad en la información recopilada y la falta de regulaciones dan lugar a la existencia de fundados temores de estar siendo vigiladas y vigilados sin que las personas tengamos conocimiento de ello, así también de la potencial retención de información personal sin la debida autorización. Al respecto, cabe hacer mención de una aplicación que surgió con posterioridad a los requerimientos de información presentados en el marco de esta investigación, nos referimos a la aplicación “Chivo Wallet”. Como se sabe, a partir de septiembre de dos mil veintiuno, El Salvador adoptó el bitcoin como moneda de curso legal y el gobierno de El Salvador, a través de una empresa de naturaleza privada, en donde el único accionista es una empresa de naturaleza estatal, creó la referida aplicación con un altísimo riesgo de acceso a información sensible, en tal sentido, la Red por el Derecho a la Comunicación (ReDCo) denunció, a través de un comunicado, que la “Chivo Wallet” -billetera electrónica para bitcoins- vulnera la privacidad de las personas. Señalando que esta aplicación solicita acceso a información sensible de la población que podría poner en riesgo sus datos personales, razón por la que exigieron al gobierno respetar la privacidad, los datos personales y la seguridad digital de las personas que usen la criptomoneda.
De igual manera, durante los últimos cuatro meses de dos mil veintiuno tuvieron lugar al menos tres eventos de protesta social contra el gobierno del presidente Nayib Armando Bukele, protestas que recogieron distintos desacuerdos, entre ellas referidas al estilo de gobierno y medidas implementadas en materia económica y política, entre otras; actividades que fueron desacreditadas mediante spots gubernamentales con imágenes captadas por drones, incluyendo la errónea vinculación de un periodista con la quema de un kiosko que contenía un cajero para el uso de bitcoins. Sobre el hecho, la Asociación de Periodistas de El Salvador (APES), señaló que presidente de la República y usuarios de redes sociales sociales cometieron difamación en perjuicio de un periodista y directivo de la (APES), William Gómez, asegurando que él dio instrucciones a una de las personas que destruyó un cajero de Chivo Wallet en la marcha del 15 de septiembre. También muchos usuarios de redes sociales expusieron la imagen de Gómez etiquetando a la Policía Nacional Civil (PNC), señalándolo por el supuesto vandalismo. Además de acusar a los miembros de APES de maquinar disturbios y actos vandálicos en las calles, para tales señalamientos el gobierno se valió de la comparación de imágenes erróneas entre William Gómez y una de las personas que intervinieron en la quema del cajero.
Finalmente, el veintitrés de noviembre de dos mil veintiuno, 23 periodistas de diferentes medios de comunicación recibieron una alerta de la empresa Apple sobre un “posible espionaje” realizado por el Estado salvadoreño, entre los afectados están periodistas de los medios El Faro, Gato Encerrado, Diario El Mundo, El Diario de Hoy, La Prensa Gráfica y periodistas independientes, también un directivo de la APES está en la lista de afectados de esta posible pesquisa.
Los hallazgos de este informe y los eventos relatados, ocurridos con posterioridad a los requerimientos de información presentados, dan cuenta de la fragilidad y vulneraciones a los derechos a la privacidad, libertad de expresión, reunión, igualdad, entre otros, derivados del uso de las tecnologías de vigilancia, por lo que se torna indispensable que su utilización se haga en el marco de estándares internacionales de respeto a los derechos humanos y que cualquier afectación esté previamente establecida por la ley y cumpla los principios de objetividad y proporcionalidad.
(1) Ver, Voces, “Bukele veta ley de protección de datos personales”, 18 de mayo de 2021, https://voces.org.sv/elsalvador/bukele-veta-ley-de-proteccion-de-datos-personales/
(2) Ver https://arpas.org.sv/2021/09/redco-chivo-wallet-vulnera-privacidad-datos-personales-y-seguridad-digital-arpas/ de fecha 9 de septiembre de 2021.
(3) El 15 y 30 de septiembre y el 12 de diciembre de 2021.
(4) Ver https://apes.org.sv/alertas/presidente-bukele-y-usuarios-de-redes-sociales-difaman-a-directivo-de-apes/ de fecha 19 de septiembre de 2021.
(5) https://apes.org.sv/alertas/posible-espionaje-a-23-periodistas-de-diferentes-medios-de-comunicacion/ de fecha 23 de noviembre de 2021.