Gobierno implementaría código QR pese a posible violación a la ley

(CRHoy.com).- El gobierno de la República de Carlos Alvarado, a través del Ministerio de Salud buscará, a partir de diciembre próximo, implementar el proyecto de acceso a comercios y espacios para eventos privados con código QR para validar el esquema de vacunación contra el COVID-19, aún y cuando este podría violentar la Ley 8968 (Ley de protección de la persona frente al tratamiento de sus datos personales).

Tras una serie de cuestionamientos hechos por CRHoy.com al Ministerio de Salud, en la cartera confirmaron que el servidor que alojaría los datos de millones de costarricenses y extranjeros radicados en el país (vacunados con esquema completo e incompleto), se encuentra en una plataforma operativa de la empresa estadounidense Amazon, denominada Amazon Web Services (AWS), un servicio de almacenamiento de datos en la nube.

Esa acción deriva de la donación que hará la empresa tecnológica Soin Soluciones Integrales S.A, a través de un supuesto marco de cooperación que se ha mantenido vigente entre la firma y el Ministerio de Salud a lo largo de la pandemia por COVID-19.

Pero Salud confirmó que no existe ningún contrato, ni acuerdo comercial, con el que se haya justificado la donación hecha para los intereses de la aplicación del servicio de código QR, anunciado con bombos y platillos por el ministro de Salud Daniel Salas y el presidente Carlos Alvarado días atrás, sino que se materializó por medio de un documento firmado por ambas partes. 

"Los servidores del Centro de Comando se encuentran en la infraestructura de Amazon AWS, que es una de las infraestructuras más seguras del mundo, con comunicaciones encriptadas a nivel físico y estrictas políticas de seguridad. El control de la base de datos está a cargo del Ministerio de Salud, quien es el único que tiene las acreditaciones de administración de la base de datos, y es el único que puede conceder acceso directo a la información (…) Reiteramos que no existe compra de sistema alguno a SOIN, por lo que no existe un contrato de compra", citaron a través de un correo electrónico.

La Ley 8968 establece en sus artículos 30 y 31 los supuestos en los cuales podría haber sanciones para entidades que utilicen datos privados de las personas sin el consentimiento firmado para transferirlo a un servidor o banco informativo, de igual manera, castiga también el traslado de información de personas a un servidor en el extranjero, como lo ha sugerido el mismo Ministerio de Salud en las respuestas dadas a este medio.

• Artículo 30. Faltas graves: Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.
• Artículo 31. Faltas gravísimas: Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

Según Adalid Medrano, abogado especialista en delitos informáticos y ciberseguridad, el proyecto y su implementación podría cruzar la línea de ilegalidad en el entendido de que no existe hasta ahora, la firma de los ciudadanos otorgando consentimiento al Ministerio de Salud para transferir sus datos a los servidores de la empresa SOIN para que estos al mismo tiempo los muevan a una nube de empresa extranjera.

Los datos de este certificado de vacunación, podrían ser considerados como datos sensibles, pues se trata de la confirmación de una persona que ha sido vacunada contra una enfermedad. 

"No es de recibo, que cometan los mismos errores que también se cometieron en el caso UPAD, porque también fue algo señalado que podría haber sido una infracción a la ley y al mismo tiempo se señalaron las limitaciones que conlleva para el ciudadano la aplicación de este código, pues requeriría una ley para usarse. En otras naciones democráticas como Francia y Alemania, que a pesar de hacerlo a través de una ley, en estos certificados se incluye información de personas que han padecido una enfermedad -COVID-19-, o que no portan la enfermedad, en esos escenarios, se han generado disturbios sociales", indicó Medrano.

La empresa SOIN, confirmó a este medio que los detalles del manejo de la información que se utilizará, es de uso exclusivo del Ministerio de Salud, y que ellos únicamente facilitan el traslado a la nube de la corporación Amazon.

Gobierno lo planeó desde febrero

Este medio consultó además a la Agencia de Protección de Datos de los Habitantes (Prodhab), para corroborar los alcances de una eventual solicitud de inscripción de la base de datos para el código QR por parte del Ministerio de Salud.

La directora de Prodhab, Elizabeth Mora, confirmó a CRHoy.com que desde febrero se han venido haciendo las gestiones de la inscripción de la base de datos, lo que quiere decir, que el gobierno de Alvarado tiene meses pensando en la solución, aún así, se pretende ejecutar con posibles y eventuales vacíos legales.

"Sí, la inscripción de la base de datos del Ministerio de Salud se encuentra en trámite ante la Prodhab. Hasta tanto culmine el proceso y la Prodhab resuelva si se tiene por inscrita o no, no es posible brindar mayor información o detalles al respecto (…) "Según consta en el Departamento de Registro de Archivo y Bases de Datos de Prodhab, el Ministerio de Salud presentó la solicitud de inscripción de su base de datos en febrero de este año, misma que a la fecha se encuentra activa", citó Mora.

La jerarca añadió que no ha sido posible inscribir el banco de datos, "dado que ha sido necesario en varias ocasiones solicitar ampliación y/o aclaración de información necesaria…".