El Proyecto Sedesson, respaldado por Mastercard y Edenred, recogió datos biométricos de personas en condición de pobreza, en un enrolamiento caracterizado por la opacidad en el presupuesto asignado al programa, imprecisión en las cifras, falta de un aviso de privacidad, carencia de seguimiento y falta de información sobre sus resultados
Por Jesús Ibarra
Hermosillo, Sonora –Sin reglas de operación ni conocimiento público de un contrato con las personas involucradas, la Secretaría de Desarrollo Social del Estado de Sonora (Sedesson) realizó una prueba piloto para usar una tarjeta de débito con datos biométricos de personas en condición de pobreza en México, con participación de las compañías internacionales Mastercard y Edenred.
Para Sedesson, la prueba piloto significó la exposición de una imagen favorable al gobierno del estado en una alianza internacional que lo presentó como promotor de la innovación de la innovación tecnológica y la inclusión digital. Sin embargo, para los defensores de la privacidad, el proceso no tuvo la transparencia indispensable en el tratamiento de datos tan sensibles, sobre todo de comunidades en situación de vulnerabilidad.Esta prueba inició en abril de 2019 para usar una tarjeta de débito. Esta tarjeta se usó para repartir programas sociales y contenía el registro de la huella digital, como dato biométrico, para identificar al usuario, en este caso una persona en condición de pobreza o en la tercera edad de la ciudad de Hermosillo.
La realización de este programa piloto fue dada a conocer el 7 de mayo de 2019 en la Ciudad de México y, según Edenred, terminó en junio del mismo año.
Sedesson reportó que fueron 30 los usuarios participantes en el programa, sin embargo, la compañía Mastercard y su proveedor tecnológico IDEMIA informaron, a través de un despacho noticioso y de una entrevista, que fueron 100 las personas que participaron en la prueba, que involucró el registro de habitantes de zonas marginadas y de mayores de 60 años de edad en Hermosillo.
Aunque la muestra se tomó de la base de datos de un programa social de orden público (de donde se tomaron los datos personales de los beneficiarios), hasta la fecha no hay un informe analítico, convenio o contrato públicos sobre el avance del enrolamiento biométrico y sus resultados.
Conforme al INAI, los datos biométricos son características físicas y fisiológicas como la huella digital, el rostro (reconocimiento facial), la retina, el iris, la geometría de la mano o de los dedos, la estructura de las venas de la mano, la forma de las orejas, la piel o la textura de la superficie dérmica, el ADN, la composición química del olor corporal, el patrón vascular y la pulsación cardíaca, que son distintos en cada persona.
A pesar de que en esta prueba piloto estuvieron involucrados datos tan privados como la huella digital, protegidos por leyes nacionales e internacionales, representantes del gobierno del estado consideran que no tienen la obligación de dar seguimiento al destino de los datos.
Manuel Puebla Espinosa de los Monteros, titular de la Sedesson, respondió en entrevista que, por tratarse de un proceso por invitación, no hay necesidad de rendir cuentas.
“No se trata, y es justo precisar, de ninguna política pública, por lo que no hay seguimiento, ni tiene que haber, ni estamos obligados”, dijo Espinosa de los Monteros por teléfono.
Sin embargo, otras afirmaciones del mismo funcionario se refieren a la prueba de la tarjeta biométrica en comunidades vulnerables como una política del estado de Sonora.
En un comunicado de prensa difundido tras la presentación oficial del piloto, Espinosa de los Monteros se refirió a la prueba como un ejemplo de una política del gobierno del estado de Sonora que “refleja el compromiso con la innovación tecnológica”.
Tanto los registros financieros como los datos biométricos de los beneficiarios quedaron concentrados por un tercer socio vinculado al programa: Edenred, una empresa de origen francés especializada en servicios financieros prepago, con operaciones en México.
Hermosillo lanzó primera tarjeta biométrica en México
La Sedesson tiene capacidad para atender a más de 60 mil personas, plenamente identificadas, y cuenta con un presupuesto anual de 591 millones de pesos.
Este piloto biométrico utilizó como base para su funcionamiento en 2019 el padrón de un programa que concluyó en diciembre de 2018 denominado Unidos Por Tu Mejor Bienestar, el cual contaba con alrededor de 30 mil beneficiarios, que fueron sometidos a otro tipo de enrolamiento durante los años 2016 y 2017 para entregarles una tarjeta Edenred tradicional con banda magnética y chip.
A pesar de que estaba extinto, en abril de 2019 la Sedesson revivió ese programa e invitó a participar en su nueva versión a personas ya registradas en ese padrón, con los perfiles que interesaban a Mastercard y a Edenred: personas en pobreza y de la tercera edad. La Secretaría sólo reconoce que convocó a 30 personas.
Sedesson confirmó vía transparencia que no existe un contrato ni con Edenred ni con Mastercard para implementar dicho programa biométrico.
Sólo confirmó que, en julio de 2019, firmó un contrato por asignación directa con la empresa Edenred para ofrecer tarjetas a beneficiarios del programa que sustituyó a Unidos Por Tu Mayor Bienestar: Tiempo al Tiempo, al cual le asignaron 11 millones de pesos.
El padrón de Tiempo al Tiempo está integrado por mil 400 personas en situación de vulnerabilidad y Espinosa de los Monteros mencionó que podría ser sujeto a una actualización para adecuarlo a una tarjeta biométrica.
Sobre el acto realizado en esta alianza conformada por Sedesson, Mastercard y Edenred para el piloto biométrico, el especialista legal José Bustamante advirtió que una entidad no puede solicitar a una persona que forma parte de un programa social más datos de los que están especificados en un contrato. El asunto es que para el programa biométrico no hubo un contrato previo.
Al cuestionar a Victoria Balboa Macedo, gerente de relaciones públicas de Edenred, sobre qué personas fueron elegidas y cómo tuvieron el acceso al padrón, respondió que no tenía los documentos.
Agregó que la empresa sólo estableció una alianza estratégica con Sedesson y Mastercard, e insistió en que los datos de las personas están protegidos por tecnología de encriptación, es decir, de punta a punta entre sistemas informáticos del sector bancario.
Sin embargo, al solicitarle pruebas de contratos y comunicaciones oficiales entre miembros de esta alianza que garantizaran la integridad de los datos no entregó nada.
“La prueba piloto no fue para todos, ¿no sé qué quieran saber?”, contestó a la pregunta sobre el proceso de enrolamiento de datos biométricos y enfatizó no tener el contrato a la mano.
“No me voy a meter en temas gubernamentales, creamos una tarjeta junto a Mastercard para que, a través de una huella digital, sea realmente la persona que está recibiendo el beneficio”, se limitó a responder vía telefónica.
En este caso particular la tarjeta se entregó como parte del programa. El plástico es más sofisticado, tiene un sensor de huella digital que puede comprobar la identidad del titular para compras en comercios o ahorro personal.
Mastercard contrató a un proveedor tecnológico (IDEMIA) para obtener los datos biométricos de los beneficiarios. Edenred se encargó de realizar los depósitos en las tarjetas.
IP vende soluciones fáciles a gobierno
El argumento de la tecnología y la innovación, que usan las empresas para ofrecer soluciones fáciles que venden al gobierno está en aumento, opinó Santiago Narváez, director de la asociación civil R3D, que defiende derechos digitales en México. La biometría está entre estos recursos.
“Y así el gobierno las usa como algo muy sexy, algo muy llamativo y siempre usan las palabras de estar a la vanguardia y modernizar”, añadió, agregando que nunca había visto la operación de un programa de este tipo en México.
No se licitó, no se gastó: Sedesson
A través de solicitudes de transparencia vía InfoMex Sonora, se requirió a la Sedesson información sobre la prueba piloto de enrolamiento biométrico.
“En referencia al informe de gastos realizados para recolectar datos biométricos de beneficiarios de programas sociales para tarjetas Mastercard/Edenred en 2019 me permito informarle que no se ha generado ningún gasto que implique la recolocación de datos en el 2019”, fue la respuesta.
La respuesta niega la existencia del programa biométrico.
Víctor González Sánchez, litigante del despacho BGBG Abogados, en la Ciudad de México, consideró que, cuando el usuario de un programa social autoriza la entrega de sus datos biométricos, debe prestar especial atención al aviso de privacidad que regirá el tratamiento de sus datos.
Es necesario que entreguen el documento en el que, por obligación legal, la institución informa sobre el uso que dará a los datos.
“Si dicho aviso no existe o no contiene información sobre las finalidades para las cuales usarán los datos biométricos, deberíamos desconfiar de la entidad a la que estamos entregando los datos”, alertó.
“Al hablar de riesgos en el uso de los datos biométricos, debemos entender que dichos datos estarán asociados a diversas bases de datos, las cuales en un primer momento serán gubernamentales, ya que en este caso serán utilizadas para programas sociales y por otro lado estarán vinculadas a bases de datos de alguna institución financiera”, agregó González Sánchez.
Los datos biométricos asociados a información financiera o en poder de instituciones financieras, pueden ser considerados como sensibles, tal y como el propio INAI lo señala.
“Una huella digital podría considerarse sensible si a través de un uso indebido de la misma se puede tener acceso a información privilegiada que pudiera poner en riesgo la seguridad o estabilidad patrimonial o financiera de una persona o incluso su condición jurídica”, explicó González Sánchez.
Participaron 100 personas: IDEMIA
Leonel Tamayo fue parte del equipo de especialistas que desarrolló la tarjeta para el ‘Proyecto Sedesson’, que fue el nombre-código que se le asignó para manejo interno entre IDEMIA y Mastercard.
El ingeniero es desarrollador de tecnología para IDEMIA, una empresa internacional de servicios de seguridad biométrica que ha ganado contratos para entidades como el Instituto Nacional Electoral (INE) y tiene entre sus clientes a Mastercard.
Sobre el proceso de enrolamiento biométrico explicó que participaron alrededor de 100 personas de Hermosillo (no 30 como dijo el titular de Sedesson), como informó Mastercard en junio del 2019 en versiones vertidas a través de los sitios de tecnología de pago PYMNTS.com y The Nilson Report.
Explicó que el enrolamiento se realizó con los beneficiarios presentes y los datos biométricos no fueron almacenados por IDEMIA, el socio tecnológico de Mastercard. Los datos de los beneficiarios quedaron almacenados únicamente en el plástico de cada usuario.
“Se utilizaron en el momento para grabar en la tarjeta y después se borraron, es decir, los datos quedaron solo en la tarjeta”, aseguró.
Se le cuestionó por qué recurrieron a este procedimiento y respondió que lo hicieron para garantizar “la privacidad, y la seguridad (de los usuarios) y porque no existe un proceso específico actual normado para este tipo de producto”.
IDEMIA desarrolló la arquitectura de la tarjeta inteligente, la integración del chip, los algoritmos de funcionamiento y seguridad. Entregó el proyecto terminado (código, diagramas de flujo, guías técnicas para integrar el chip, incluyendo la metodología) a Mastercard en noviembre de 2018, luego de que este proceso de diseño inició en septiembre del mismo año.
Después, IDEMIA realizó el enrolamiento biométrico, a petición de Mastercard. Esta etapa se realizó en abril de 2019 en Hermosillo, previa invitación a las personas por parte de la Sedesson.
El enrolamiento fue llevado a cabo mediante un dispositivo llamado MorphoTablet 2i, una sofisticada terminal móvil con pantalla táctil, cámara y sensores capaz de colectar los tres patrones biométricos más importantes de toda persona: huella dactilar, rasgos faciales e iris.
Para Tamayo este producto da una certeza poco antes conocida: la prueba de vida.
“En el programa de Sedesson, me imagino que se da mucho, el dinero se deposita al papá, pero la hija o el hijo son quienes hacen uso de la tarjeta, porque son quienes saben utilizarla, esa es la complicación. Eso es como lo que quieren hacer, que quien utilice la tarjeta sea quien use el dinero correspondiente”, dijo.
Tamayo ve barreras presentes que van a obstaculizar la adopción de productos biométricos financieros en México. Una de ellas es el costo de fabricación del plástico.
Mastercard estima que cada tarjeta biométrica le cuesta entre 10 y 20 dólares, un plástico tradicional bancario tiene un costo de entre 2 y 3 dólares.
Al margen del costo está también el factor cultural.
“Es difícil que la gente pudiera aceptarlo, porque realmente es tu identidad, eres una persona y alguien puede hacer mal uso (de tu información). Más que nada las bases de datos en México han tenido mala fama en el sentido de que se las roban”, opinó.
A pesar de que se contactó a la oficina de relaciones públicas de Mastercard en México varias veces durante los últimos cinco meses, recién en marzo pasado fue posible obtener su versión sobre el tema.
Se solicitó a través de LinkedIn una entrevista con Robert Reany, vicepresidente ejecutivo de Soluciones de Identidad para Mastercard. Reany respondió que tendría que consultar a su departamento de Relaciones Públicas. Después nunca dio fecha para entrevista.
La presentación del programa piloto en la Ciudad de México estuvo a cargo de Jorge Noguera, presidente de Mastercard México y Centroamérica, con la participación de Espinosa de los Monteros y ejecutivos de Edenred, el 7 de mayo del año pasado.
“Esta prueba permite a Mastercard y Edenred apoyar la inclusión financiera e implementar nuevas tecnologías en asociación con la Secretaría de Desarrollo Social del estado mexicano de Sonora, lo que demuestra el verdadero valor de las asociaciones público-privadas en la entrega de programas significativos”, dijo Noguera en esa ocasión, sugiriendo el carácter oficial del proyecto.
El tratamiento
Jonathan Mendoza Iserte, secretario de Protección de Datos Personales del INAI, señaló que es urgente establecer claridad en estos programas por el enrolamiento biométrico e implementación entre los sujetos obligados (entidades públicas de gobierno, entre otras) para que los beneficiarios comprendan el tipo de agravio al que podrían estar expuestos.
Debido a la naturaleza sensible de la información biométrica, indicó, es necesario determinar cuáles pueden ser las responsabilidades de los involucrados si se da un mal uso de esos datos.
Sedesson puede recabar información e instruir a Mastercard y Edenred que traten los datos personales con determinada finalidad, a eso, en materia de datos personales, se le llama Relación Responsable-Encargado, así el sector público es el ‘responsable’, mientras el que actúa siguiendo sus instrucciones es el ‘encargado’.
“Eso es lo primero que habría que establecer, ¿quién recaba los datos?”, dijo Mendoza Iserte en entrevista telefónica.
La otra parte que resulta clave es la del almacenamiento de la información, por la seguridad que debe tener el operador al momento de facilitar el tránsito de los datos a través del sistema financiero y entre computadoras.
“No solo es quién los recaba, sino quién los almacena y qué medidas de seguridad tiene. Si los van a transferir a terceros y por qué, eso también lo tiene que autorizar el titular, no puedes transferir esa información a cualquiera, ni por un motivo distinto al cual recabaste”.
Luego es posible acceder a los datos propios, y entonces hay derechos denominados ARCO que permiten a una persona rectificar la información, cancelarla o negar su uso si se pretende utilizar para un fin que resulte inconveniente.
‘No hay obligación de informar sobre el programa biométrico’: Secretario de Sedesson
Manuel Puebla Espinosa de los Monteros, titular de la Secretaría de Desarrollo Social en Sonora (Sedesson), es un empresario de tradición familiar.
Aseveró que sólo son 30 poseedores de tarjetas biométricas facilitadas por Edenred, con apoyo de Mastercard, que fueron invitados directamente por Sedesson en la primavera de 2019 para ser sometidos al enrolamiento biométrico.
Aseguró que al tratarse de una invitación no hay obligación legal por parte de Sedesson para rendir cuentas sobre el programa, tampoco hay contrato, sentenció.
¿Qué resultados obtuvieron?
“No se trata y es justo precisar de ninguna política pública, por lo que no hay seguimiento, ni tiene que haber, ni estamos obligados a realizar un seguimiento con respecto al uso, ya eso le corresponde directamente a Edenred, o bien a Mastercard. Ellos se acercaron para ver si queríamos participar y les dijimos que lo único que podíamos hacer es invitar a los beneficiarios a ver si ellos querían participar. Encantados y gustosos cooperaron, pero sí, no hay ningún seguimiento, ni tampoco ninguna obligación de nuestra parte porque no se trata en sí de una política pública que hayamos desarrollado”.
¿Cuál fue el monto total transferido para las tarjetas del programa piloto?
“Son los mil pesos que se les transfieren del apoyo con el que nosotros estábamos con ese programa. Son 30 mil pesos al año”.
Hablé con el ingeniero de IDEMIA que desarrolló el producto biométrico para Mastercard, me asegura que fueron 100 personas en total.
“Desconozco totalmente”.
¿Cuál fue la duración del enrolamiento biométrico?
“Tuvo una duración de dos días el empadronamiento, ya si ellos continuaron con algún estudio de desempeño habría que preguntarles a ellos”.
Salvo la dispersión de la partida
“No es la dispersión porque ya formaban parte del programa en sí solo. Independientemente Edenred iba a transferir ese recurso a las tarjetas tradicionales y se les ofreció a esas personas hacerlo por ese día”
¿Consideran viable darle continuidad al programa biométrico?
“Tendrían que ofrecernos los resultados y qué tanta satisfacción tuvo a fin de cuentas el beneficiario. De ser así sí lo consideraríamos por las medidas de seguridad que esto ofrece. Y también por dar la certeza, yo estoy más enfocado en la transparencia y en la rendición de cuentas y en publicar la lista general de beneficiarios de todos los programas. Pero no estamos únicamente cerrados a que lo realice Edenred o Mastercard, vamos a hacer el proceso de licitación correspondiente”.
¿Ha habido reclamos en el uso de otras tarjetas por parte de los beneficiarios?
“No, lo que ha habido son algunas quejas en cuanto al funcionamiento de tarjetas que tienen su mecanismo de seguridad, por ejemplo que si no la usan en tanto tiempo, creo que son seis meses en algún lado se bloquea la tarjeta”.
¿Existe algún problema de seguridad con los plásticos?
“No. En el peor de los casos son los mismos familiares los que hacen uso de la tarjeta y se aclara en ese momento y hay manera de aclararlo, el apoyo era significativo y simbólico por mil pesos”.
De nuevo, entrevisté al desarrollador de la tarjeta, asegura que son más de 30
“Igual y lo hicieron con otro tipo de personas, a lo mejor no necesariamente eran beneficiarios”.
¿Existe otra iniciativa similar de corte biométrico en el Gobierno de Sonora’?
“Desconozco”.
Sí tiene responsabilidades: Abogado
Sobre la afirmación de Espinosa de Los Monteros, quien aseguró no tener obligación legal, resulta que está omitiendo un principio: Todas las acciones de gobierno tienen como base facultades legales que tienen consigo de forma implícita la obligación de rendir cuentas, advirtió un litigante de la Barra Sonorense de Abogados (BSA).
“Toda autoridad que tenga contacto, directa o indirectamente, con esos datos sensibles está obligada a protegerlos y cuando tiene que trabajar con tales datos sensibles tiene que ceñirse a lo que establece el Artículo 16 Constitucional: Es un derecho humano fundamental que toda autoridad no se entrometa en mi vida privada y cuando se tenga que meter, porque tiene que meterse a una cuestión privada como son mis datos personales, él está obligado a no divulgarlos a terceros, a no ser que ese tercero también se asuma responsable en el manejo de esos datos personales”, consideró Ernesto Moreno Bojórquez.
Agregó que otro elemento que no se percibe en esta prueba biométrica es la existencia de un reglamento general para el uso de los datos personales.
“Como no hay una normatividad en específico entonces vámonos a la ley general, la Constitución, y desde las reglas del servicio público, desde la Protección de Datos Personales y la ley general que está prevista para proteger datos sensibles”, agregó.
Moreno Bojórquez abundó que el programa podría haber tenido una intención positiva, pero por la forma en cómo se implementó estaría al margen de la normatividad constitucional.
Por su parte, Darbé López Mendívil, socio fundador de la BSA, consideró que en este caso mientras no sea posible encontrar el contrato, el acuerdo o los lineamientos de ejecución de una acción de gobierno, es casi imposible obligar al titular de Sedesson a rendir cuentas.
“Todas las autoridades en el ámbito de sus competencias obligadas a rendir cuentas por las actividades que realizan, tienen una responsabilidad, por lo mismo, cada acto que hagan en función de sus atribuciones es susceptible de ser requerido para rendir cuentas”.
“Pero en el caso particular no tengo clara la manifestación que realiza la empresa Mastercard”, agregó.
***
CRÉDITOS:
Investigación: Jesús Ibarra
Edición: Lorena Lamas
Ilustración: Carlos Mendoza
Este reportaje es parte del Hub de Periodismo de Investigación de la Frontera Norte, un proyecto del International Center for Journalists en alianza con el Border Center for Journalists and Bloggers