Defensoría encontró serias anomalías en la Unidad Presidencial de Análisis de Datos (UPAD)

a Defensoría de los Habitantes dio a conocer el día una investigación sobre el caso de análisis de datos conocido en la opinión pública como UPAD, un resumen de los principales hechos del trabajo realizado en conjunto con un equipo de la institución bajo el expediente 310955-2020.

Como institución nacional de derechos humanos, dentro de las competencias otorgadas por ley, la Defensoría de los Habitantes realizó este informe técnico y jurídico tomando en consideración tres ejes fundamentales de acción:

1. El análisis del decreto hoy derogado
2. El tema de la protección de datos
3. Los riesgos generados por la puesta en operación del equipo de análisis de datos de Casa Presidencial.

En cuanto al Decreto la Defensoría de los Habitantes indica que:
1. El Decreto Ejecutivo No. 41996-MP-MIDEPLAN era contrario al ordenamiento jurídico al no cumplir con el procedimiento, ya que careció de estudios técnicos y consulta experta en materia de protección de datos.

2. En el decreto hoy derogado no se hizo referencia a protocolos de actuación conforme a la Ley de Protección de Datos que incluyen identificación de datos, seguridad y custodia de los datos obtenidos.

3. El artículo 7 del mencionado decreto tenía importantes roces de legalidad y constitucionalidad que lo hacían improcedente técnica y jurídicamente.

4. El artículo 8 del decreto contempló en la integración de la UPAD una serie de especialidades profesionales, pero no a una persona experta en protección de datos o ciberseguridad.

En cuanto a la protección de datos, la Defensoría de los Habitantes indica que:
5. El equipo de asesores que trabajó en el análisis de datos durante 18 meses en Casa Presidencial realizó sus funciones sin respaldo legal que justificara sus alcances, limitaciones y responsabilidades.

6. Asimismo, dicho equipo no contaba con los recursos tecnológicos y de infraestructura requeridos para desempeñar las mencionadas labores de conformidad con lo establecido en la Ley de Proteccion de Datos, No. 8968, lo cual los convertía en un equipo de hecho y no de derecho.

7. Aunado a lo anterior, en el manejo y análisis de datos, se requiere de personal técnico jurídico especializado, y quienes estaban realizando dicha labor eran asesores presidenciales sin especialización. Al respecto, las competencias y responsabilidades en las funciones propias y ordinarias de un asesor presidencial difieren de las correspondientes a una persona que se avoque a la gestión y administración de bases de datos. No resulta ni conveniente, ni apropiado, que asesores de un Despacho Presidencial, sin importar la formación que tengan, sean quienes estén gestionando bases de datos, siendo necesario personal técnico-jurídico dedicado a dicha misión.

8. La Agencia de Protección de Datos fue omisa en el cumplimiento de sus competencias al no intervenir según lo establece la Ley No. 8968, sea analizando las bases de datos obtenidas por el equipo de la UPAD, requiriendo la existencia de protocolos de actuación o bien, emitiendo una medida cautelar.

En cuanto a los riesgos generados por la operación del equipo de análisis de datos de Casa Presidencial, indica que:

9. A partir del uso del Sistema Único de Beneficiarios del Estado (SINIRUBE), sí se tuvo acceso a datos sensibles, los cuales fueron obtenidos a través de convenios que autorizaban conexión directa a las mencionadas bases. Asimismo, la Defensoria considera que se deben dejar sin efecto los convenios suscritos entre la Presidencia de la República y las instituciones a las que se les requirió información.

10. No hubo análisis de riesgos en protección de datos incluyendo protocolos de actuación, de seguridad, custodia de los datos, protocolo de identificación y manejo, los cuales permiten que un habitante, al sentirse afectado por el uso de sus datos personales, ejerza los derechos de acceso, rectificación, cancelación y oposición, conocidos como ARCO.

11. De los hallazgos de la investigación, se determina la necesidad de conocer qué otra información estaba en la computadora utilizada por el equipo y la naturaleza de la misma. Ahora, corresponderá a la Fiscalía determinar el uso o no de dichos datos.

12. Se evidenció el debilitamiento del control interno de Casa Presidencial en lo que respecta a tecnologías de la información, tanto como en la asignación de funciones a otras unidades sin que existiera un respaldo legal.

Es con base en estas conclusiones que la Defensoria se compromete a dar seguimiento y colaboración en todos los extremos, a la investigación del Ministerio Publico, el cual es el órgano competente para determinar con claridad, mediante peritajes y otras acciones forenses si se utilizaron o no datos sensibles o restringidos. Dado que existe una investigación en la Fiscalía para determinar acciones y responsables en este caso, la Defensoría ha considerado prudente remitirle a dicho órgano la totalidad del informe previo a hacerlo público. No obstante, lo anterior se constituye como las principales conclusiones de dicho informe.