MinTIC y DNP: toca incluir la protección de datos para IDEC

En el Congreso está un proyecto de ley que crea la Infraestructura de Datos del Estado Colombiano (IDEC). El artículo primero del proyecto logró que diversos sectores se unan afirmando que se equivoca el gobierno al desmarcar la IDEC de las garantías a la privacidad que ofrece la ley de protección de datos.

El proyecto de ley no solo va de afán, además es difícil de leer porque no tiene suficiente información de contexto sobre la solución tecnológica -la liberan de a pocos- y llegó al Congreso sin socialización, sin recibir comentarios de los sectores interesados. Por eso resulta sorprendente que tantos, incluso en el sector público, hablen de que no se puede excluir la IDEC de la aplicación de las normas de protección de datos (parágrafo del artículo 1). En un evento de presentación del proyecto en el Externado esta semana escuché al delegado de Protección de Datos de la Superintendencia de Industria y Comercio (SIC) unirse al coro, indicando que también conoció el proyecto cuando entró al Congreso.

El proyecto de ley busca proveer al Estado datos que puedan intercambiar las entidades públicas lo más libremente posible y usarlos en forma amplia para tomar decisiones de política pública a través de metodologías que incluyen la inteligencia artificial. Visto así se entiende que se centre en datos maestros, de referencia y abiertos -el denominador común pareciera ser que se busca que no sean los típicos datos personales: nombre, dirección, número de identificación, fecha de nacimiento-. Ahora bien, sin detalles como las categorías del catálogo de datos maestros, eso no se puede afirmar. Además, tampoco significa que los datos maestros, de referencia y abiertos no puedan ser producto de tratamiento de datos, a veces personales, y que luego no puedan reconvertirse en datos personales.

En el mismo evento, el representante del Ministerio TIC nos tranquilizaba sobre esa exclusión. Indicaba que aunque no habrá tratamiento de datos personales, si las entidades públicas y las personas responsables -funcionarias públicas- de la gestión de IDEC abusan de su posición, se les aplicarán las normas de protección de datos e incluso penales y disciplinarias que corresponda. Sí, para eso no se necesita reiterar nada en la ley. El problema es que esa visión no es suficiente ni encaja en el marco legal colombiano.

El punto de partida para llegar a los datos maestros, de referencia y abiertos son nuestros datos en manos de las entidades públicas. Datos que entregamos para el cumplimiento de las funciones misionales del Estado -en una relación no voluntaria sino de obligación que de no cumplirse tiene consecuencias y un sistema de exigencia que incluye mecanismos de cumplimiento y sanciones-, que compromete a esas entidades a usarlos solo para la provisión de los servicios y garantía de nuestros derechos.

Los artículos 14 y 15 indican que las entidades que van a proveer los datos a IDEC deben separar las fuentes de información que tengan reserva legal, o normatividad especial que regule su tratamiento y difusión, esta información debe ser sometida a mecanismos de anonimización, seudononimización, o cualquier otro que evite la identificación de las personas. Solo entonces entrarían como datos maestros y referenciales a alimentar a IDEC.

De nuevo, para el gobierno parece que como los datos que van a alimentar a IDEC no son en estricto sentido datos personales, la protección de datos no le aplica. El problema de esta lógica es que los procesos de anonimización y seudononimización que las entidades públicas están obligadas por esa ley a hacer para crear los datos maestros y referenciales en los silos sectoriales -los que alimentarán al gestor de datos básicos- se consiguen a través de un tratamiento de datos, algunos seguramente personales.

La anonimización y la seudononimización son medidas respetuosas de la privacidad que se usan para limitar el procesamiento de datos personales, pero hay muchas formas de hacerlo y no hay garantía total de protección. Algunos mecanismos son mejores que otros y además la evolución de la tecnología hace que esto sea dinámico por eso lo que se busca es minimizar el riesgo, buscan que la medida sea costosa y complicada, que desincentive la posibilidad de que se reprocesen para reidentificar a las personas.

En materia de protección de datos, la norma europea obliga a que exista una base legal para tratar los datos personales y anonimizarlos o seudononimizarlos -consentimiento o una ley que lo permita-. En Europa, una vez anonimizados los datos, la base de datos resultante no queda sujeta a las normas de protección de datos si son datos anónimos, pero los datos seudononimizados siguen sujetos a la norma de protección de datos -precisamente porque el riesgo de identificación es más alto-. Las técnicas de anonimización eliminan la referencia a la persona suprimiendo datos que la identifican -como el nombre o la dirección, por ejemplo-, mientras que la seudonimización convierte el dato personal en otro que no se asocia directamente con la persona -trata de técnicas como el hash o la tokenización-.

En esa línea y atendiendo al marco legal colombiano la SIC ha dicho (radicado 18-233185-2) “Los datos personales que hayan sido anonimizados, desvinculados o desasociados por cualquier medio, tecnología o proceso respecto de una persona identificada o identificable, dejarán de ser datos personales siempre y cuando el proceso de anonimización, desvinculación o desasociación sea irreversible”. Es decir, aunque no tenemos norma que lo diga expresamente, la anonimización y la seudonimización tienen para la SIC una relación directa con el marco legal colombiano de la protección de datos.

No encuentro ninguna justificación para que el gobierno, sobre todo este gobierno comprometido con los derechos humanos, desconozca la protección de datos en un proyecto que busca el aprovechamiento o explotación de datos de la ciudadanía por el Estado usando Inteligencia Artificial. Al hacerlo está ignorando el principal riesgo de esta tecnología emergente y debe corregir. Debe incorporar la protección de datos, porque sin consentimiento de las personas, esta ley es la base legal para que las entidades obligadas a hacer anonimización y seudonimización.

No se trata de que la ley hile delgado porque se desactualiza pronto. La ley debe responder a preguntas como ¿Cuáles son las garantías para que la anonimización y seudonimización se ajusten a los ocho principios del propio proyecto de ley? ¿Cuándo se generan datos no personales? ¿Cuáles son las garantías para cuando esto deje de ser cierto? ¿Quién será responsable? ¿Cómo se evalúan los parámetros? ¿Cómo se integran en ese ecosistema las autoridades de protección de datos? No solo la SIC, también la Procuraduría General de la Nación, que lo es para el sector público y que hasta ahora no ha asumido su rol. Esta podría ser una oportunidad para que lo haga. Ando revisando el resto del proyecto.

En el Congreso está un proyecto de ley que crea la Infraestructura de Datos del Estado Colombiano (IDEC). El artículo primero del proyecto logró que diversos sectores se unan afirmando que se equivoca el gobierno al desmarcar la IDEC de las garantías a la privacidad que ofrece la ley de protección de datos.

El proyecto de ley no solo va de afán, además es difícil de leer porque no tiene suficiente información de contexto sobre la solución tecnológica -la liberan de a pocos- y llegó al Congreso sin socialización, sin recibir comentarios de los sectores interesados. Por eso resulta sorprendente que tantos, incluso en el sector público, hablen de que no se puede excluir la IDEC de la aplicación de las normas de protección de datos (parágrafo del artículo 1). En un evento de presentación del proyecto en el Externado esta semana escuché al delegado de Protección de Datos de la Superintendencia de Industria y Comercio (SIC) unirse al coro, indicando que también conoció el proyecto cuando entró al Congreso.

El proyecto de ley busca proveer al Estado datos que puedan intercambiar las entidades públicas lo más libremente posible y usarlos en forma amplia para tomar decisiones de política pública a través de metodologías que incluyen la inteligencia artificial. Visto así se entiende que se centre en datos maestros, de referencia y abiertos -el denominador común pareciera ser que se busca que no sean los típicos datos personales: nombre, dirección, número de identificación, fecha de nacimiento-. Ahora bien, sin detalles como las categorías del catálogo de datos maestros, eso no se puede afirmar. Además, tampoco significa que los datos maestros, de referencia y abiertos no puedan ser producto de tratamiento de datos, a veces personales, y que luego no puedan reconvertirse en datos personales.

En el mismo evento, el representante del Ministerio TIC nos tranquilizaba sobre esa exclusión. Indicaba que aunque no habrá tratamiento de datos personales, si las entidades públicas y las personas responsables -funcionarias públicas- de la gestión de IDEC abusan de su posición, se les aplicarán las normas de protección de datos e incluso penales y disciplinarias que corresponda. Sí, para eso no se necesita reiterar nada en la ley. El problema es que esa visión no es suficiente ni encaja en el marco legal colombiano.

El punto de partida para llegar a los datos maestros, de referencia y abiertos son nuestros datos en manos de las entidades públicas. Datos que entregamos para el cumplimiento de las funciones misionales del Estado -en una relación no voluntaria sino de obligación que de no cumplirse tiene consecuencias y un sistema de exigencia que incluye mecanismos de cumplimiento y sanciones-, que compromete a esas entidades a usarlos solo para la provisión de los servicios y garantía de nuestros derechos.

Los artículos 14 y 15 indican que las entidades que van a proveer los datos a IDEC deben separar las fuentes de información que tengan reserva legal, o normatividad especial que regule su tratamiento y difusión, esta información debe ser sometida a mecanismos de anonimización, seudononimización, o cualquier otro que evite la identificación de las personas. Solo entonces entrarían como datos maestros y referenciales a alimentar a IDEC.

De nuevo, para el gobierno parece que como los datos que van a alimentar a IDEC no son en estricto sentido datos personales, la protección de datos no le aplica. El problema de esta lógica es que los procesos de anonimización y seudononimización que las entidades públicas están obligadas por esa ley a hacer para crear los datos maestros y referenciales en los silos sectoriales -los que alimentarán al gestor de datos básicos- se consiguen a través de un tratamiento de datos, algunos seguramente personales.

La anonimización y la seudononimización son medidas respetuosas de la privacidad que se usan para limitar el procesamiento de datos personales, pero hay muchas formas de hacerlo y no hay garantía total de protección. Algunos mecanismos son mejores que otros y además la evolución de la tecnología hace que esto sea dinámico por eso lo que se busca es minimizar el riesgo, buscan que la medida sea costosa y complicada, que desincentive la posibilidad de que se reprocesen para reidentificar a las personas.

En materia de protección de datos, la norma europea obliga a que exista una base legal para tratar los datos personales y anonimizarlos o seudononimizarlos -consentimiento o una ley que lo permita-. En Europa, una vez anonimizados los datos, la base de datos resultante no queda sujeta a las normas de protección de datos si son datos anónimos, pero los datos seudononimizados siguen sujetos a la norma de protección de datos -precisamente porque el riesgo de identificación es más alto-. Las técnicas de anonimización eliminan la referencia a la persona suprimiendo datos que la identifican -como el nombre o la dirección, por ejemplo-, mientras que la seudonimización convierte el dato personal en otro que no se asocia directamente con la persona -trata de técnicas como el hash o la tokenización-.

En esa línea y atendiendo al marco legal colombiano la SIC ha dicho (radicado 18-233185-2) “Los datos personales que hayan sido anonimizados, desvinculados o desasociados por cualquier medio, tecnología o proceso respecto de una persona identificada o identificable, dejarán de ser datos personales siempre y cuando el proceso de anonimización, desvinculación o desasociación sea irreversible”. Es decir, aunque no tenemos norma que lo diga expresamente, la anonimización y la seudonimización tienen para la SIC una relación directa con el marco legal colombiano de la protección de datos.

No encuentro ninguna justificación para que el gobierno, sobre todo este gobierno comprometido con los derechos humanos, desconozca la protección de datos en un proyecto que busca el aprovechamiento o explotación de datos de la ciudadanía por el Estado usando Inteligencia Artificial. Al hacerlo está ignorando el principal riesgo de esta tecnología emergente y debe corregir. Debe incorporar la protección de datos, porque sin consentimiento de las personas, esta ley es la base legal para que las entidades obligadas a hacer anonimización y seudonimización.

No se trata de que la ley hile delgado porque se desactualiza pronto. La ley debe responder a preguntas como ¿Cuáles son las garantías para que la anonimización y seudonimización se ajusten a los ocho principios del propio proyecto de ley? ¿Cuándo se generan datos no personales? ¿Cuáles son las garantías para cuando esto deje de ser cierto? ¿Quién será responsable? ¿Cómo se evalúan los parámetros? ¿Cómo se integran en ese ecosistema las autoridades de protección de datos? No solo la SIC, también la Procuraduría General de la Nación, que lo es para el sector público y que hasta ahora no ha asumido su rol. Esta podría ser una oportunidad para que lo haga. Ando revisando el resto del proyecto.