9 riesgos de la transferencia de datos privados de clientes al Banco Central
Funcionarios podrían abusar de información interna custodiada
Banco Central de Costa Rica. (Archivo/CRH).
(CRHoy.com) -La ola de críticas y sospechas por el interés del Banco Central de Costa Rica (BCCR) de acceder a datos privados de los costarricenses ya cumplió un mes.
¿Cuáles son los riesgos de la transferencia de información confidencial por parte de bancos y otras entidades públicas a la autoridad monetaria del país?
Adalid Medrano, especialista en Derecho Informático, consultor y expositor internacional, y Rafael Montenegro, experto en Abogacía Digital y Nuevas Tecnologías, reconocen que sí existen riesgos en el acceso de información de deudores, depositantes y ahorrantes por parte del BCCR.
Adalid Medrano, experto en Derecho Informático. (Archivo/CRH).
En conjunto, ambos identifican al menos nueve riesgos. Medrano menciona los siguientes:
1. Posible abuso interno de la información privada por parte de funcionarios encargados de custodiarla. Recordó que Edward Snowden, consultor tecnológico y ex empleado de la Agencia Central de Inteligencia y de la Agencia de Seguridad Nacional, denunció que en Estados Unidos esto ocurría cuando la NSA empezó a recopilar grandes cantidades de información de los ciudadanos y que incluso los funcionarios vigilaban a vecinos o a sus parejas.
2. Uso de la información para perseguir disidentes. Con el simple acceso a la información centralizada, se pueden crear perfiles más precisos de los ciudadanos, lo cual se puede utilizar para perseguir a personas y eliminar la oposición.
3. Permite a la ciberdelincuencia organizada tener acceso a la información de los ciudadanos mediante un solo ataque informático. Ya sea con la colaboración de funcionarios o no. El principal peligro es la ciberdelincuencia organizada patrocinada por otras naciones que con un solo ataque podrían vulnerar la intimidad se todos los ciudadanos del país.
4. Uso de inteligencia artificial para una violación más intensiva de la intimidad. Una vez que se tiene una base de datos que refleja distintos aspectos de la vida personal del ciudadano, la inteligencia artificial puede llevar a etapas más peligrosas la vigilancia estatal.
5. Es la base para la construcción de un gobierno vigilante y omnipotente. La creación de una base de datos centralizada podría generar categorías de ciudadanos para diferentes fines. Esto requeriría leyes posteriores y podría dar lugar a la creación de un sistema social similar al crédito social chino.
Más vulnerabilidades
Rafael Montenegro, experto en Abogacía Digital. (Archivo/CRH).
Montenegro, por su parte, citó estos otros riesgos:
6. Se puede ver quebrantado el principio de minimización de datos. Una recolección masiva de los mismos puede permitir la generación de perfiles crediticios de forma indiscriminada en vulneración de la autodeterminación informativa. Este principio señala que se deben procesar y tratar la menor cantidad de datos y que estos deben estar limitados a un fin para evitar que se generen perfiles predictivos en quebranto de los intereses del individuo.
7. Puede perderse el rastro de quién, cómo y dónde se procesa la información. Esto, porque al darse una transferencia de datos sin autorización, no se conoce quién va a tener acceso, quién va a procesar, consultar o usar sus datos. De esta forma, el titular de los datos queda totalmente indefenso ante un tratamiento abusivo de los mismos.
8. Aumenta el riesgo de vulnerabilidades sobre la información. Esto, porque no se conocen cuáles son o si existen protocolos de actuación, protocolos de transferencia de datos personales o protocolos de seguridad de la información entre el banco emisor de los datos y el BCCR como receptor de los mismos. Después de los ataques de abril de 2022, al desconocer esto, se podría pensar en un incremento de las amenazas contra dicha información.
9. Un riesgo muy sensible es que se está centralizando la información en el Banco Central. Tiene información del Registro de Transparencia y Beneficiarios Finales que, de por sí, es una base de datos sumamente amplia. El Ministerio de Hacienda le transfirió información tributaria y en caso de que los bancos estén suministrando datos personalizados, se centraliza toda una base de datos global. Para efectos de intrusos informáticos, lo convierte en una base de datos target de ataques e intentos de vulneraciones.
El caso
Sala Constitucional. (Archivo/CRH).
El 23 de noviembre de 2022, el BCCR solicitó a la Superintendencia General de Entidades Financieras (SUGEF) tener acceso a datos integrales de todas las operaciones de crédito, incluyendo el número de identificación de cada deudor, que las entidades financieras reguladas le remiten a la Superintendencia para sus labores de supervisión.
La SUGEF se negó a transferirle esa información al BCCR con base en un criterio legal, según el cual sus jerarcas tienen prohibición legal para entregar datos confidenciales de las operaciones de las entidades supervisadas a terceros.
Esto motivó que el Banco Central denunciara penalmente a la jerarca de la SUGEF, Rocío Aguilar, por el presunto delito de desobediencia a la autoridad.
El BCCR también pidió datos de deudores, ahorrantes y depositantes al Banco Nacional de Costa Rica (BNCR), Banco de Costa Rica (BCR), Banco Popular y de Desarrollo Comunal (BP) y al BAC.
Todos -excepto el BNCR, cuyo gerente general, Bernardo Alfaro, también fue denunciado- entregaron la información.
Por su interés en tener acceso a datos privados de los costarricenses, el Banco Central enfrenta dos acciones de inconstitucionalidad y recursos de amparo en la Sala Constitucional, la apertura de un expediente judicial y deberá rendir cuentas a la Asamblea Legislativa.
