Un marco de evaluación para la identificación digital
Un marco de evaluación para los sistemas de identificación digital
Los programas nacionales de identificación digital se están implementando en todo el mundo para facilitar inclusiónLos gobiernos participantes de OGP están trabajando para crear gobiernos que realmente sirvan a todas las personas. Los compromisos en este ámbito pueden abordar personas con discapacidad, mujeres y niñas, lesbianas, gays, bisexuales, tr... Más de las comunidades marginadas, y garantizar una gobernanza más eficaz y abierta mediante la prestación eficiente de servicios gubernamentales y medidas de bienestar, la reducción de la corrupción y la preservación de la seguridad nacional. En muchos programas de identidad nacional, la recopilación y el almacenamiento obligatorios de datos biométricos se promueven como la solución principal para establecer y autenticar la identidad (particularmente en países en desarrollo con sistemas de registro civil débiles). Estos plantean preocupaciones sobre la privacidad y la vigilancia, y un impacto potencialmente adverso en las libertades civiles. Las bases de datos centralizadas de información confidencial también son objetivos de los ataques de ciberseguridad. En medio del impulso global de los programas nacionales de identificación digital, es fundamental adoptar un enfoque basado en los derechos e incorporar salvaguardas durante su desarrollo e implementación.
Uno de esos ejemplos es el Sistema Nacional Integrado de Gestión de Identidad (“Huduma Namba”), establecido en Kenia como un sistema de identidad fundamental para crear un registro biométrico de población para ciudadanos y residentes y actuar como una “fuente única de verdad”. Las preguntas planteadas por nuestro marco de evaluación se reflejan en el litigio que lo impugna. Por ejemplo, mientras decidía la constitucionalidad del sistema Huduma Namba, la Corte paralizó su implementación hasta que se pudiera promulgar un “marco regulatorio adecuado y completo”. Haciéndose eco de una de nuestras primeras pruebas en el marco, la Corte reconoció que “una ley que afecte un derecho o libertad fundamental debe ser clara e inequívoca”. Nuestro El marco está concebido como una serie de preguntas con las que se pueden probar dichos programas de identificación digital. Tenemos la intención de que informe las compensaciones que se deben realizar para garantizar que los derechos estén adecuadamente protegidos y los daños minimizados en cada etapa. Comprende tres tipos de pruebas: estado de derecho, basadas en derechos y basadas en riesgos.
Pruebas de estado de derecho
El uso de la identificación digital por parte de actores estatales y privados requiere un marco de estado de derecho para evitar el uso indebido del sistema para fines fuera de su alcance previsto. Los sistemas de identificación digital deben tener como objetivo cumplir los parámetros básicos del estado de derecho, como el mandato legislativo. La identificación digital, por su propia naturaleza, puede potencialmente violar el derecho de una persona a la privacidad y la libertad de expresión. Cualquier posible infracción de estos derechos debe ser sancionada por una ley estatutaria aprobada por el órgano legislativo correspondiente y no simplemente por una instrucción ejecutiva. Esta ley debe ser accesible para todas las personas que puedan verse afectadas y lo suficientemente precisa como para limitar la discreción y prevenir el abuso ejecutivo. Debe tener una finalidad legítima, a la que deben corresponder todas las finalidades para las que se utiliza el DNI digital. Todos los actores y propósitos que surgen de este legítimo fin deben estar claramente identificados, así como cómo se aplica a los actores estatales y privados. El potencial deslizamiento de la misión debe mitigarse mediante limitaciones de propósito claramente expresadas respaldadas por la ley, para garantizar que la autoridad ejecutiva no pueda usar la identificación digital para fines no especificados sin un examen legislativo o judicial adecuado de usos adicionales, o un nuevo consentimiento de los usuarios. La ley también debe establecer medidas de rendición de cuentas ex ante y ex post.
Pruebas basadas en derechos
La identificación digital implica intrínsecamente restricciones sobre ciertos derechos fundamentales. En cada etapa del proyecto, cada aspecto del marco de identidad debe ser examinado contra los derechos que puede violar, y si estas violaciones son necesarias y proporcionadas a sus beneficios potenciales. Esto es importante porque el fracaso o la ausencia de identificación puede dar lugar a exclusiones de los derechos básicos. Los principios de minimización de datos deben dictar claramente la cantidad y la naturaleza de los datos que se recopilarán y almacenarán. Los mecanismos de control de acceso que regulan el acceso a los datos por parte de diferentes actores deben establecerse en el marco legal circundante y aplicarse mediante estrictas sanciones civiles y penales por cualquier violación. Las exclusiones surgen no solo de una implementación deficiente, sino también de fallas de diseño en el sistema. Si el uso previsto de la identificación puede llevar a la denegación de servicios, se deben emplear mecanismos para garantizar que las personas no se vean privadas. Más importante aún, la identificación digital no debe ser obligatoria para acceder a los beneficios, y deben proporcionarse múltiples mecanismos de identificación alternativos. También se debe proporcionar una opción de exclusión voluntaria que no restrinja el acceso al servicio y borre obligatoriamente la información recopilada.
Pruebas basadas en riesgos
Un sistema de identificación digital debe tener en cuenta cualquier daño potencial. Este enfoque de la privacidad requiere que el sistema se examine frente a riesgos tangibles para las personas, lo que permite al administrador priorizar los riesgos en orden de gravedad y responder en consecuencia. Estos riesgos se pueden clasificar en daños a la privacidad, daños por exclusión y daños discriminatorios. Un enfoque diferenciado de la gobernanza implicaría categorizar varios usos de la identificación digital como per se dañinos (que pueden prohibirse por completo), per se no dañinos (que pueden evitar regulaciónLos reformadores del gobierno están desarrollando regulaciones que consagran valores de transparencia, participación y rendición de cuentas en las prácticas gubernamentales. Especificaciones técnicas: Acta de creación o reforma...), y sensible (donde la regulación se basa en varios factores). El nivel de riesgo que surge de una identificación digital se mide en términos de gravedad y probabilidad. Estos daños deben entonces ser abordados proporcionalmente por la ley. Las amenazas al sistema de identificación se pueden analizar en función de sus usos, con una mayor cantidad de usos que dan como resultado un mayor nivel de riesgo. Si los riesgos derivados del sistema son demostrablemente altos, se deben emplear mecanismos para restringir el uso hasta que se introduzcan factores mitigantes. Las estrategias de mitigación incluirían notificaciones en caso de incumplimiento, tener un plan probado de continuidad del negocio y aumentar la creación de capacidadMejorar las habilidades, capacidades y procesos de los servidores públicos, la sociedad civil y los ciudadanos es esencial para lograr resultados duraderos en la apertura del gobierno. Especificaciones técnicas: Conjunto de ac.... La elección de estrategias depende del diseño del sistema de identificación y su dependencia de entidades privadas para diferentes funciones.
Recomendaciones
Como áreas políticas como gobernanza digitalA medida que las tecnologías en evolución presentan nuevas oportunidades para que los gobiernos y los ciudadanos promuevan la apertura y la responsabilidad, los gobiernos participantes de OGP están trabajando para crear políticas que aborden el... Más seguir creciendo dentro de la Open Government PartnershipLa Open Government Partnership (OGP) es una iniciativa de múltiples partes interesadas enfocada en mejorar la transparencia del gobierno, garantizar oportunidades para la participación ciudadana en asuntos públicos y fortalecer... Más, Los miembros de OGP tienen una oportunidad única para adoptar un enfoque basado en derechos e incorporar salvaguardas durante el desarrollo e implementación de sus programas de identificación digital. Nuestro marco destaca algunos pasos claros que los gobiernos deben tomar.
- El proceso de consulta en la etapa de planificación del programa debe ser inclusivo, participativo y transparente en sus procedimientos.
- El alcance del sistema propuesto debe estar claramente definido, derivar de un objetivo legítimo y operar dentro de un marco legal claramente definido.
- Cada aspecto del sistema debe medirse en función de su impacto potencial sobre los derechos fundamentales, y si esto es necesario o proporcionado a sus aparentes beneficios.
- Debe emplearse desde el principio un enfoque diferenciado del riesgo con estrategias de mitigación de los daños potenciales según su gravedad.
- Un mecanismo sólido e independiente de reparación de quejas es fundamental para garantizar la rendición de cuentas.
- Ninguna identificación debe ser obligatoria, ya que esto puede perpetuar aún más la exclusión de comunidades ya marginadas.
- Deben implementarse mecanismos para garantizar que nadie se vea privado de sus derechos por falta de identificación.
- Dado que los programas de identificación digital crean un desequilibrio de poder inherente entre el Estado y sus residentes, es importante asegurarse de que los beneficios que prometen no conduzcan a una implementación apresurada sin una evaluación rigurosa.
Esta entrada de blog se basa en "Governing ID: un marco para la evaluación de la identidad digital" por Vrinda Bhandari, Shruti Trikanad y Amber Sinha.
En todo el mundo, se están implementando programas nacionales de identificación digital para facilitar la inclusión de las comunidades marginadas y asegurar una gobernanza más efectiva y abierta a través de la provisión de servicios de gobierno y medidas sociales, la reducción de la corrupción y la protección de la seguridad nacional. En muchos programas nacionales de identidad, la colecta obligatoria de datos biométricos ha sido la solución principal para establecer y certificar la identidad de las personas (especialmente en países en vías de desarrollo en donde los sistemas de registro civil son deficientes). Lo anterior ha generado preocupaciones relacionadas con la privacidad, vigilancia y posibles afectaciones a las libertades cívicas. Además, las bases de datos centralizadas que contienen información delicada son posibles blancos de ataques cibernéticos. En este contexto de impulso a los programas nacionales de identificación digital, es fundamental incorporar una perspectiva de derechos y asegurar la aplicación de una serie de salvaguardas durante su desarrollo e implementación.
Un ejemplo de ello es el Sistema Nacional Integral de Manejo de la Identidad (“Huduma Namba”), establecido en Kenia como el sistema fundamental de identificación para crear un registro biométrico de los ciudadanos y residentes y ser una “única fuente de verdad”. Las preguntas que surgieron alrededor de nuestro marco de evaluación están reflejadas en la litigación que lo cuestiona. Por ejemplo, en el proceso de decisión sobre la constitucionalidad del sistema Huduma Namba, el tribunal detuvo su implementación hasta que se aprobara un “marco regulatorio adecuado e integral”. De forma alineada con nuestras primeras pruebas del marco, el tribunal reconoció que “una ley que afecta un derecho o libertad fundamental debe ser clara y precisa.” Nuestro marco está planteado como una serie de preguntas que deberán ser utilizadas para poner a prueba los programas de identificación digital. La intención es que ayude a tomar decisiones sobre las medidas que deben tomarse para asegurar la protección de los derechos y la minimización de los daños en todas sus fases. Abarca tres tipos de pruebas: estado de derecho, basadas en derechos y basadas en riesgos.
Pruebas de estado de derecho
El uso de sistemas de identificación digital por parte del estado y de actores privados requiere de marcos de estado de derecho que eviten malos usos del sistema para fines no establecidos en su alcance definido. Los sistemas digitales deben cumplir con una serie de parámetros de estado de derechos, por ejemplo lo relacionado al mandato legislativo. La identificación digital, por naturaleza, puede violar el derecho de las personas a su privacidad y a la libre expresión. Las violaciones a estos derechos deben ser sancionadas por leyes aprobadas por los organismos legislativos y no por instrucción ejecutiva. Dichas leyes deberán ser accesibles a todas las personas que podrían ser impactadas y deben ser lo suficientemente precisas para limitar decisiones discrecionales y evitar abusos ejecutivos. Todos los actores y objetivos que surjan de este objetivo legítimo deben identificarse claramente, así como sus aplicaciones a actores estatales y del sector privado. Deberán limitarse los cambios en la misión a través de limitaciones expresas con respaldo legal para asegurar que las autoridades ejecutivas no puedan utilizar el registro digital para objetivos no especificados si no cuenta con la supervisión legislativa o judicial para usos adicionales o el consentimiento de los usuarios. Además, la ley debe incluir medidas de rendición de cuentas ex ante y ex post.
Pruebas basadas en derechos
Las identificaciones digitales inherentemente involucran restricciones a ciertos derechos fundamentales. En todas las fases del proyecto, todos los aspectos del marco de identidad deben analizarse en función de los derechos que podría violar y tomando en cuenta si dichas violaciones son necesarias y proporcionales a sus beneficios. Lo anterior es importante debido a que la falta de identificación puede llevar a ser excluido de derechos básicos. Los principios de minimización de datos deberán dictar claramente la cantidad y la naturaleza de datos que deberá colectarse y almacenarse. Los mecanismos de control al acceso que regulan el acceso a datos por parte de diferentes actores deben establecerse en el marco legal y aplicarse a través de sanciones en caso de violación. Las exclusiones podrían no solo ser resultado de una mala implementación, sino también de fallas en el diseño del sistema. Si el uso previsto de las identificaciones puede llevar a la negación de servicios, deben implementarse mecanismos para asegurar que las personas no sean privadas de derechos. Lo que es más importante, las identificaciones digitales no deben ser un requisito para tener acceso a beneficios y deberán ofrecerse diversos mecanismos de identificación. Si la persona elige no participar en el sistema, no deberá restringirse su acceso a servicios.
Pruebas basadas en riesgos
Los sistemas de identificación digital deben tomar en consideración todos los posibles riesgos que implican. Este enfoque a la privacidad exige que el sistema sea analizado en función de los riesgos que presenta para las personas, de manera que quienes administran los programas puedan priorizar los riesgos en orden de severidad y responder adecuadamente. Estos riesgos pueden clasificarse en daños a la privacidad, daños de exclusión y daños de discriminación. Un enfoque diferenciado a la gobernanza involucraría categorizar diferentes usos de las identificaciones digitales como dañinas per se (los cuales deberán ser prohibidos directamente, no dañinos per se (los cuales podrían evitar ser regulados) y sensibles (en donde las regulaciones dependen de diversos factores). El nivel de riesgo que surge de una medida de identificación digital se mide por su severidad y probabilidad de incidencia. Estos daños deberán atenderse a través de la ley. Las amenazas a los sistemas de identificación pueden analizarse según sus usos, pues una mayor cantidad de usos resultará en un mayor grado de riesgo. Si los riesgos que surgen del sistema son altos, deberán aplicarse mecanismos para restringir su uso hasta que se implementen mecanismos de mitigación. Las estrategias de mitigación deben incluir notificaciones en caso de vulneración al sistema, un plan de continuidad y un mayor desarrollo de capacidades. La elección de la estrategia dependerá del sistema de identificación y de su dependencia en entidades privadas para diferentes funciones.
Recomendaciones
Las áreas de política como la gobernanza digital seguirán cobrando importancia en Open Government Partnership; en ese sentido, los miembros de OGP tienen la oportunidad de adoptar un enfoque basado en derechos y de incorporar salvaguardas durante el desarrollo e implementación de sus programas de identificación digital. Nuestro marco identifica algunas medidas claras que los gobiernos deben tomar.
- El proceso de consulta implementado en la fase de planeación del programa debe ser incluyente, participativo y transparente.
- El alcance del sistema propuesto deberá identificarse claramente, partir de un objetivo legítimo y operar dentro de un marco legal claramente definido.
- Todos los aspectos del sistema deberán evaluarse en función de su impacto potencial a los derechos fundamentales y según la medida en la que es necesarios y proporcionales a sus beneficios.
- Deberá utilizarse, desde el inicio, un enfoque diferenciado a los riesgos con estrategias de mitigación a posibles daños según su severidad.
- Para asegurar la rendición de cuentas, es fundamental aplicar un mecanismo independiente de denuncias.
- Los sistemas de identificación no deberán ser obligatorios, pues podrían exacerbar la exclusión de comunidades marginadas.
- Deberán implementarse mecanismos para asegurar que ninguna persona sea privada de sus derechos por no contar con identificación.
- Debido a que los programas de identificación digital pueden crear desequilibrios de poder entre los Estados y sus residentes, es importante asegurar que los beneficios que prometan no lleven a una implementación precipitada sin evaluaciones rigurosas.
Aún no hay comentarios
Más información
Una guía para el gobierno abierto y el coronavirus: protecciones de privacidad
Los gobiernos están recopilando cantidades sin precedentes de datos personales para respaldar esfuerzos vitales de salud pública, como el seguimiento de la transmisión de COVID-19 y la aplicación de la cuarentena. En particular, los gobiernos y las corporaciones están recolectando y ...
Una guía para el gobierno abierto y el coronavirus: protección de la participación y la deliberación
COVID-19 ha cambiado las agendas políticas en todo el mundo. Los gobiernos han pausado leyes y regulaciones no esenciales y medidas aceleradas para responder a la pandemia.
Oportunidades en tiempos de crisis: hacia un estado abierto y digital
La emergencia global que plantea Covid-19 marca un antes y un después en la forma en que vivimos. También podría ayudarnos a repensar cómo gobernamos ...
Deje un comentario