Opinión / Espacio del lector

SAT: hacer negocio con las huellas dactilares de los contribuyentes

El SAT quiere hacer negocio con los datos personales de los contribuyentes. Y no se trata de cualquier tipo de dato, sino de los más sensibles: las huellas dactilares, los iris y los rostros de millones de ciudadanos mexicanos. La idea está descrita en su propuesta de Miscelánea Fiscal de 2021 y consiste en crear una vertical de negocio que ofrezca a organizaciones privadas “el servicio de verificación de identidad de los usuarios”.

La idea del SAT (Servicio de Administración Tributaria) es ofrecer servicios de verificación de la identidad de “segunda generación”. Si el INE ya ofrece un servicio similar a bancos para autentificar las credenciales de elector (la identificación más popular en México), el SAT quiere ir más allá y ofrecer una verificación basada en registros biométricos, que son signos de identificación individual que ninguna otra persona comparte. Los datos biométricos constituyen características físicas, fisiológicas o conductuales de las personas. La protección de este tipo de datos personales exige los más altos estándares de seguridad; un tratamiento equivocado puede dar origen, por ejemplo, a la suplantación de identidad.

Con eso quiere lucrar el SAT, a pesar de que su aviso de privacidad vigente (el acuerdo con los contribuyentes sobre la manera en que el SAT usará los datos personales) no tiene contemplado ese uso de los datos personales o, con palabras llanas: no están descritas las condiciones para emprender esa nueva vertical de negocio.

Como parte del Paquete Económico 2021, la Secretaría de Hacienda envió al Congreso la propuesta para modificar el artículo 17-F del Código Fiscal de la Federación, que permitiría ilegalmente al SAT otorgar “el servicio de verificación de la identidad de los usuarios emitiendo una respuesta binaria (sí/no) ante la validación de identidad biométrica requerida por el solicitante”.

La descripción de la propuesta señala que el SAT “no expondrá en ningún momento ningún dato personal proporcionado por el ciudadano, ya que la validación será a partir de los elementos que sean enviados y emitirá solo la respuesta de la coincidencia o no de la información biométrica” y afirma que “este servicio solo sería prestado a los particulares que determinen el uso de la firma electrónica avanzada como medio de autenticación o firmado de documentos digitales”.

Vamos por partes. El aviso de privacidad, el instrumento que regula la relación para el tratamiento entre el responsable (el SAT) y los titulares de datos (los contribuyentes), no prevé un uso de los datos personales para ofrecer servicios de autentificación para terceros. Si el SAT quiere ofrecer esos servicios, deberá cambiar su aviso de privacidad y solicitar el consentimiento expreso de todos los titulares —los dueños— de esos datos personales sensibles. En palabras del SAT, estamos hablando de un volumen de “más de 100 millones de huellas dactilares, más de 20 millones de iris y más de 15 millones de rostros”.

Por si fuera poco, la ley de datos personales que regula al SAT le obliga a realizar previamente a cualquier modificación del tratamiento una evaluación de impacto en la protección de datos personales, que permita “identificar y mitigar posibles riesgos”. Y entre los riesgos sobra decir que un tratamiento intensivo como el que se propone multiplicará los riesgos de vulneración de datos personales sensibles y se volverá un jugoso objetivo para los cibercriminales.

Basta recordar los recientes incidentes de seguridad de la información registrados en México, incluso en sistemas que se creían infalibles, como el sistema de pagos electrónicos SPEI administrado por el Banco de México; las vulneraciones a la información de una empresa de valor crítico para el Estado, como Pemex; los ataques a la infraestructura tecnológica del banco de desarrollo Bancomext, o descuidos con información sobre la salud de los pacientes médicos del ISSSTE que quedaron expuestos en Google sin contraseñas ni otras medidas de seguridad.

Como cada año, el SAT y Hacienda presentan sus propuestas para reformar las leyes de recaudación de impuestos y la estimación de ingresos del Gobierno federal. Y, como cada año, estiran la liga entre lo permitido y lo ilegal o inconstitucional para ver cuál pega y se vuelve ley. Este año, además de proponer hacer negocio con los datos personales sensibles de los contribuyentes, también se ha propuesto fotografiar los domicilios y la intimidad de los contribuyentes durante las visitas de verificación fiscal. La barbarie no tiene límites.

Artículo de  José Soto Galindo para el El Economista remitido por uno de nuestros lectores.

---