Tecnología

Chau DNI, hola "selfie": el Gobierno lanza un sistema de identidad digital para hacer trámites, pero expertos advierten sobre sus riesgos

13-07-2018 La pieza clave del proceso es el Registro Nacional de las Personas (Renaper), que tiene más de 45 millones de fotos y huellas digitalizadas. Esta base ya se usa para la validación de datos personales y verificación de huellas. Hay dudas sobre su seguridad 
Por Cesar Dergarabedian
Recibí nuestro newsletter diario SUSCRIBIRME
A-
A+

Los ministerios de Modernización, y de Interior, Obras Públicas y Vivienda lanzaron este jueves el Sistema de Identidad Digital (SID), una plataforma que permitirá validar la identidad de los argentinos a través del reconocimiento facial, con una autofoto (“selfie”).

El sistema, en el que se invirtieron más de 28 millones de pesos, permitirá que los ciudadanos puedan realizar a distancia cualquier trámite que hoy requiera una validación de identidad, tanto en organismos públicos como privados.

¿Cómo funciona? El SID realiza un análisis biométrico del rostro para validar, ante la consulta de organismos públicos y de empresas, la identidad de la persona a través de una foto. 

La pieza clave del proceso es el Registro Nacional de las Personas (Renaper), que tiene más de 45 millones de fotos y huellas digitalizadas. Esta base ya se usa para la validación de datos personales y verificación de huellas.

¿Cuáles son, entonces, las novedades del anuncio de este jueves? Son dos: la suma de un servicio de validación por biometría del rostro, y su disponibilidad para entidades privadas. El costo de esa consulta oscilará entre los 5 y los 30 pesos, según lo establece una resolución del Ministerio del Interior, emitida en 2017. 

El desarrollo de los dos ministerios fue coordinado con el Banco Central, durante la gestión de Federico Sturzenegger. El antecedente más cercano es un convenio entre el BCRA y el Ministerio del Interior, firmado en julio de 2017, que autorizó la apertura de cuentas bancarias desde el celular, tomándose una “selfie”.

Las pruebas previas del SID se llevaron a cabo en las entidades del sistema financiero y “fintech”, con la participación de la empresa informática argentina VU Security, que fue elegida por el Renaper para implementar este tipo de tecnología.  

Algunas “fintech” y bancos ya aplican esta tecnología, bajo el argumento de minimizar los riesgos de fraude de identidad y mejora los tiempos en el alta de servicios y en las transacciones. 

El programa del SID con el que deberá interactuar el ciudadano cuenta con un control de seguridad por el cual se pedirá una prueba de vida.

Por ejemplo, se pedirá a la persona que envíe fotos con gestos aleatorios, como el guiño de un ojo o el movimiento ascendente de una mano, para comprobar que el rostro capturado no corresponde a la fotografía de un tercero o de una persona fallecida. 

Una vez entregada la prueba de vida, el organismo del Estado o la empresa privada que reciban esas imágenes de la persona las enviarán al servicio de biometría del Renaper. Este registro responderá la consulta de forma positiva o negativa, y con un porcentaje determinado de confianza. 

El ministro del Interior, Obras Públicas y Vivienda, Rogelio Frigerio, y su par de Modernización, Andrés Ibarra, explicaron en una conferencia de prensa que el usuario sacará una foto de su rostro y/o de su DNI para que la información sea comparada con la base del Renaper.

“El Sistema de Identidad Digital es la primera herramienta tecnológica desarrollada por el Estado, que mediante la validación de la identidad por rostro le permitirá al ciudadano acceder a servicios públicos y privados sin necesidad de trasladarse a una oficina. Son hechos concretos que le hacen más fácil la vida a la gente, ahorrando tiempo y achicando distancias”, destacó Frigerio durante el acto de presentación que se realizó en el Salón de los Pueblos Originarios de Casa Rosada. 

Ibarra indicó: “Esto que estamos presentando hoy marca un antes y después en todo el ecosistema de servicios digitales; es un hito importantísimo en pos de simplificarle la vida a la gente. La Argentina necesita más y mejor empleo, y la manera de crearlo es con una economía dinámica y pujante, sin filas, demoras ni idas y vueltas innecesarias, dónde la tecnología juega un rol fundamental”. 

El director del Renaper, Juan José D’Amico, destacó que "la etapa de pruebas finalizó con buenos resultados y estamos muy contentos de poder lanzarlo oficialmente porque creemos que abre grandes posibilidades y beneficios tanto para organismos, empresas y principalmente para todos los ciudadanos”, remarcó.

Los datos serán enviados directamente al Renaper para que los valide y en menos de 7 segundos el solicitante podrá continuar con su trámite "online".

Esta nueva herramienta se suma a otros dos servicios que Renaper ya tiene en funcionamiento, uno de validación de datos personales y vigencia de DNI y otro de verificación por huella digital que actualmente tienen un tráfico de más 700 mil transacciones por día

Con el objetivo de asegurar los datos de los usuarios, se trabajó de manera conjunta con la Agencia de Acceso a la Información Pública.

Los primeros en implementarlo serán el sector financiero y "fintech" que ya finalizaron la etapa de pruebas impulsada por el Banco Central y que corresponde a su política de bancarización e inclusión financiera. Se espera que el aplicativo permita a los ciudadanos abrir una caja de ahorros y solicitar préstamos de modo completamente virtual. 

La plataforma también es susceptible de ser utilizada para la generación de clave fiscal, sistemas de billeteras electrónicas y cualquier trámite que hoy requiera una validación de identidad.

En el ámbito público se implementará en el Ministerio de Salud para el empadronamiento de pacientes, en el Ministerio de Desarrollo Social para el cobro de programas sociales, en el Ministerio de Seguridad para el control de fronteras, migraciones y espectáculos de todo tipo. También se podrá utilizar para la renovación del pasaporte o DNI, o para cualquier otro trámite que implique la validación de identidad.

El aplicativo también se utilizará en la plataforma Mi Argentina, la ventanilla única digital para trámites con el Estado. Esta plataforma, que ya cuenta con más de 400.000 usuarios, permite crear un perfil digital, donde el ciudadano puede hacer un seguimiento de sus trámites, solicitar turnos y recibir alertas de vencimientos, fechas de cobro, entre otras cosas.

Advertencias sobre la seguridad
Sin embargo, esta plataforma, una suerte de panacea para quienes se olvidan de portar su DNI al momento de hacer un trámite o prefieren no llevarlo encima por el riesgo de un robo o hurto, no está exenta de riesgos, según advirtieron ante iProfesional diferentes expertos.

Pablo Palazzi

“Es una forma de usar digitalmente los datos de identidad que tiene el Estado para beneficio del sector privado y también del público, y debería estar disponible para todos igual si se lo  considera una suerte de ‘servicio público’”, analizó este abogado, quien recordó que la base de datos del Renaper “es la más actualizada porque a los argentinos el DNI se nos ‘vence’ cada tanto con lo cual la foto se actualiza regularmente”.

Palazzi enumeró también las ventajas frente a la forma de identificación habitual de presentar un DNI: “Al ser ‘online’ se va a aplicar al comercio electrónico. Cuando pedís crédito en un local, te identificas con el DNI, esto es lo mismo pero digitalmente. Ya lo pedían de hecho algunas empresas, que para validarte ‘online’ te pedían que mandes una foto tuya con una foto del DNI sacada por el celular y comparaban ambas”.

Sin embargo, el abogado de Allende & Brea advirtió que "se debería hacer con las medidas de seguridad y privacidad que exige la ley de protección de datos personales, esto para resguardar la protección de datos de la gente”. 

“El otro reparo es de seguridad informática, es decir que tenga resguardos para evitar el hacking del sistema lo cual es difícil, ya que no existe el sistema infalible”, afirmó Palazzi, quien planteó su “reparo más general” por la acumulación de datos en manos del Estado, que “algún día pueden ser usados para otra finalidad lesiva al ciudadano”.

Palazzi negó que el SID vulnere la ley de protección de datos personales: “La gente da sus datos con consentimiento y el Estado tiene facultad de recopilarlos para armar el DNI. Las empresas privadas que lo usen deberían informar a sus clientes que usarán este sistema, para que sepan que la foto que manden terminará en manos del Estado”. 

“Es legal recopilar datos biométricos si consentís por el artículo 5° de la ley 25.326 o si es para funciones del Estado. No está prohibido. De hecho al dar el dato estas consintiendo el envío a quien se lo envías. Lo importante es que el consentimiento sea informado, es decir que le digan al ciudadano que esto va a ocurrir, que sus datos se guardaran por NN años”, concluyó Palazzi.

El abogado Miguel Sumer Elías, director de Informática Legal, señaló que “esta evolución es inevitable” y ante ella hay que poner foco, “en vez de desgarrarse las vestiduras”, en “el control en materia de legalidad y seguridad”.

Este especialista advirtió que "hay un gran atraso en la protección de los datos, de forma serie y responsable”, si se compara a la Argentina con “las tendencias muy fuertes” que existen en Europa y otros países en esta materia.

Mientras la Unión Europa es muy exigente ante los gigantes de Internet y otros grandes jugadores del negocio tecnológico, en la Argentina, según Sumer Elías, “no hay ánimo ni sancionatorio ni recaudatorio” por parte del Estado.

El abogado de Informática Legal recordó además un  episodio de 2013, cuando fotografías de millones de ciudadanos registrados en el Padrón Electoral Argentino estuvieron disponibles en la web para ser descargadas a causa de una imprevisión tecnológica, y sobre el cual informó iProfesional en esta nota.

Sobre el SID, Sumer Elías concluyó que “hay que ser muy claros y precisos sobre la regulación y reglamentación, para que los ciudadanos comprendan” este proceso y sus implicancias, y reclamó que se apliquen “sanciones al uso desautorizado” de esos datos biométricos.

Camilo Gutiérrez, jefe del Laboratorio de Investigación de la empresa de seguridad informática Eset Latinoamérica, afirmó que "sin lugar a dudas la tecnología de autenticación basada en biometría es una de la más seguras que existen, por lo tanto es una de las mejores alternativas para autenticar usuarios a un sistema". 

Sin embargo, reparó que "la tecnología es independiente de la implementación que se haga de ésta, es decir de la herramienta que se utilice debe hacer un correcto uso de la tecnología para que el sistema sea completamente seguro".

Aunque aclaró que "si bien en este caso" del SID no conocía "cómo será la implementación ni la herramienta a utilizar", insistió que "tener una tecnología de este tipo puede ayudar con la identificación única de usuarios".

Entre las ventajas de herramientas como el SID frente a la forma de identificación habitual de presentar un DNI, Gutiérrez destacó "la movilidad que permiten este tipo de tecnologías", la cual juzgó como "clave para que sea masiva".

"Teniendo en cuenta que el factor de autenticación es el usuario mismo, se puede hacer un seguimiento desde el nacimiento de la persona. Además puede facilitar los trámites a los usuarios eliminando documentación física y otros factores de autenticación que podrían ser falsificados más fácilmente", resaltó.

Pese a estos benefocios, el especialista de Eset advirtió que "sin lugar a dudas el mayor riesgo está en la implementación que se haga de la tecnología. Se debe garantizar que los canales de comunicación, los medios de acceso, el hardware y en general todos los dispositivos y herramientas que se utilicen deben estar probados para que el conjunto del sistema no permita intrusiones o accesos indebidos a la información".

En cuanto a la ley de protección de datos personales, observó que "si se garantiza que el manejo de la información personal se hace bajo los requerimientos de la ley no debería representar un incumplimiento" de esa norma.

La confianza en la mira
La abogada Dolores Dozo, directora de Proyectos Latam Habeasdat y experta en protección de datos, recordó que hoy las personas van “dejando rastros digitales en todo” lo que hacen y están expuestas “a perder el control” sobre su propia imagen, datos y sobre la libertad de elegir como consumidores qué datos quieren dar, cómo quieren que sean utilizados.

Mencionó al respecto “el escándalo de Facebook y Cambridge Analytica”, que “enseñó “cuánto está en juego cuando se habla de privacidad y su impacto no solo a nivel individual sino político y social, quedando en evidencia cuando Facebook asumió haber afectado hasta el buen funcionamiento del proceso democrático a partir del uso de datos personales”.

“La protección de datos es un derecho fundamental y requiere una fuerte protección. Estos abusos ponen de manifiesto algunos de los principales desafíos a los que nos enfrentamos hoy cuando pensamos en protección de datos: ¿Qué datos tienen de mí? ¿Qué pueden hacer las empresas con ellos? ¿Como los cuidan? ¿Cuáles son mis derechos? ¿Están mis datos bajo mi control?”, se preguntó Dozo.

Para la especialista, “hay una sola llave” como respuesta a esos interrogantes: “La protección de datos está directamente relacionada con la confianza: cuando las personas temen que no se respeta su privacidad o ven que las empresas o el Estado no garantiza la seguridad de sus datos, pierden la confianza y comienza a ser reacios a compartir su información personal. La confianza es un recurso clave de la economía digital”.

Advirtió entonces que la confianza, es además "la llave del éxito" en la implementación de sistemas como el SID, que “sólo será eficaz si brinda un alto nivel de confianza sobre la información (actualizada, exacta y veraz) que permita la identificación de un ciudadano”.

Aunque reconoció que “son indudables los beneficios que estos servicios brindan al mercado y al desarrollo de la economía digital, a la vez que simplifican los trámites y agilizan los tiempos para el ciudadano”, Dozo afirmó que “la preocupación es que estos avances vengan de la mano con la mejora en la protección de los datos personales existente. Brindar mejores servicios requiere mejor protección. Esto no obedece a un capricho del consumidor, sino a un mandato legal”.

El caso de Estonia
Estonia, un país báltico, es pionero en la implementación de servicios online basados en la identificación biométrica, pero Dozo recordó que para ello “debió emprender un enorme cambio para garantizar la confianza a los usuarios y adecuar sus servicios a los nuevos estándares de protección de datos vigentes en Europa”.

Desde el 25 de mayo de este año la Unión Europea adoptó un nuevo Reglamento General de Protección de Datos Personales (RGPD), “la mayor reforma en privacidad de los últimos 25 años”, según Dozo, que instauró “nuevas reglas para garantizar la confianza de los consumidores y la seguridad en el tratamiento de datos personales, acordes al demandante mundo digital. Entre otros cambios significativos, el RGPD incluye a la información biométrica como dato personal sensible. 

¿Una herramienta que nace obsoleta?
En la Argentina, que sigue la tendencia europea, según Dozo, ya existe un anteproyecto de ley que regula también a la información biométrica como dato sensible.

La especialista advirtió: “Además de la obvia ilegalidad del sistema SID, si no se adecúa a la normativa argentina de protección de datos, y de la violación a derechos humanos fundamentales reconocidos en la Constitución Nacional, se enfrentará a un panorama internacional sombrío”.

La razón de esa advertencia es que “a partir de la vigencia del GDPR, todas las empresas con matriz en Europa o empresas que traten datos personales de ciudadanos europeos (Banco Santander, Galicia, Telefónica, por mencionar algunas) tienen prohibido contratar a proveedores que no adecuen sus servicios a las medidas de seguridad establecidas en el GDPR. Con lo cual, el Estado Argentino y el SID en particular, quedarían a poco de su estreno, como una herramienta obsoleta, sin poder ser ofrecida a empresas con matriz en Europa, el primer exportador de datos del mundo”.

El antecedente de Facebook
Hay un antecedente reciente y negativo para el SID por el lado de la mayor red social del mundo: Facebook. Cuando la empresa californiana desplegó herramientas de reconocimiento facial en la Unión Europea este año, promocionó la tecnología como una manera de ayudar a que las personas resguarden su identidad en línea.

“La tecnología de reconocimiento facial nos permite evitar que un extraño utilice tu foto para hacerse pasar por ti”, informó la compañía del millonario Mark Zuckerberg a sus usuarios en Europa.

Seis años antes, la red social había desactivado la tecnología en Europa después de que los reguladores plantearon preguntas acerca de su sistema de consentimiento para el reconocimiento facial. Este año, Facebook volvió a presentar el servicio como parte de una actualización de su proceso de permisos de los usuarios en Europa.

Sin embargo, la compañía toma un riesgo grande para su reputación al presentar de manera agresiva esta tecnología en una época en que sus prácticas de extracción de datos están bajo un mayor escrutinio en Estados Unidos y Europa. 

Varias agencias gubernamentales estadounidenses investigan la respuesta de Facebook a la recolección de los datos de sus usuarios por parte de Cambridge Analytica, una firma de consultoría política.

La insistencia de Facebook para extender el uso del reconocimiento facial, y el lanzamiento del SID en la Argentina, abren un debate acerca de cómo debe manejarse esa tecnología tan poderosa, en vista de que puede usarse de manera remota para identificar a la gente por su nombre sin que lo sepan ni lo consientan. 

SECCIÓN Tecnología
NOTAS RELACIONADAS
TAMBIÉN TE PUEDE INTERESAR