A partir del 11 de enero de 2023, el Servicio General de Identificación Personal (SEGIP) aprobó la validez, en todo el territorio nacional, de las cédulas de identidad y licencias de conducir digitales.
De acuerdo con lo señalado por el Decreto Supremo No. 4861, se reglamentan los artículos 12, 17 y 20 de la Ley No. 145 del SEGIP y se implementa el formato digital a efectos de reforzar la seguridad y contenido de los datos que respaldan la emisión de la Cédula de Identidad y la Licencia de Conducir.
El mencionado Decreto contiene un listado de aquellos datos que deberán ser incluidos, como datos propios, dentro del Registro Único de Identificación (RUI), datos personales que ya se encuentran contenidos en los archivos y registros de la entidad emisora, SEGIP. Se agregan, además, datos complementarios de las personas, como ser registro de matrimonio, de defunción, profesión u ocupación, datos de la libreta de servicio militar, datos complementarios de padres, tutores o terceros encargados de niños o adolescentes, datos del domicilio.
La Cédula de Identidad en formato digital será efectivizada a través de una aplicación móvil denominada “Estado Digital ED-7”, administrada por el SEGIP. A efectos de habilitar la Cédula Digital, se requiere un dispositivo móvil inteligente.
La validez de ambos documentos en formato digital, será de dos años y su obtención es de carácter voluntario, manteniendo los formatos físicos su validez por el plazo de 5 años.
Ahora bien, surge la duda sobre la necesidad real de contar con un documento adicional a aquel formato físico, tomando en cuenta la calidad de sensible de toda la información contenida en las Cédulas de Identidad y Licencias de Conducir.
Se debe tomar en cuenta que los datos que una entidad almacena pueden ser atractivos para ciberdelincuentes, que buscan secuestrarlos y cobrar una recompensa monetaria por ellos (El ransomware, en informática, es un tipo de malware o código malicioso que impide la utilización de los equipos o sistemas que infecta. El ciberdelincuente toma control del equipo o sistema infectado y lo “secuestra” de varias maneras, cifrando la información, bloqueando la pantalla, etc.).
En este caso en particular, hablamos de la privacidad digital, que se define como el control que un usuario de internet ejerce sobre sus datos personales, limitando el acceso a lo mismos por parte de personas, organizaciones o instituciones. Tomando en cuenta que la Cédula de Identidad y la Licencia de Conducir incluyen datos personales sensibles para sus titulares, se debe contar con lineamientos detallados y específicos para poder conseguir un buen sistema de ciberseguridad en la gestión de dichos documentos, una estrategia de seguridad informática, considerando los riesgos organizacionales, operacionales, normativos y físicos.
El autor Juan Voutssas M., en su artículo titulado “Preservación documental digital y seguridad informática” (versión On-line ISSN 2448-8321versión impresa ISSN 0187-358X. Investig. bibl vol.24 no.50 Ciudad de México ene./abr. 2010), se hace generalmente en dos pasos:
Paso 1) Establecer los requisitos de seguridad. Para ello se estudian tres fuentes:
a) Los principios, objetivos, políticas, procedimientos y requisitos que la organización ha desarrollado para apoyar sus operaciones y que conforman el tratamiento de la información.
b) El conjunto de requisitos legales, estatutos, contratos y regulaciones que deben satisfacer tanto la organización en sí misma como sus socios, usuarios, contrapartes, contratistas y proveedores de servicios.
c) La valoración de los riesgos de la información en la organización, a partir de sus objetivos y estrategias generales. Con ellos se identifican las amenazas a los activos, se evalúa la vulnerabilidad, la probabilidad de su ocurrencia y se estima su posible impacto. Para el análisis de riesgos es práctica generalizada seleccionar alguna metodología ya probada al efecto. Existe un buen número de ellas a nivel mundial, pero si se desea abundar en el conocimiento de este tipo de metodologías, recomiendo estudiar en particular la denominada OCTAVE – Operationally Critical Threat, Asset, and Vulnerability Evaluation7.
Este análisis o valoración de riesgos permite estar en capacidad de:
- Identificar, evaluar y manejar los riesgos de seguridad informática.
- Establecer la probabilidad de que un recurso informático quede expuesto a un evento, así como el impacto que ese evento produciría en la organización.
- Determinar las medidas de seguridad que minimizan o neutralizan ese riesgo a un costo razonable.
- Tomar decisiones preventivas y planeadas en lo tocante a seguridad.
Los datos digitalizados están más seguros, pero no exentos de ataques cibernéticos, por lo que es recomendable, en primer lugar, contar con reglas claras sobre protección de datos y privacidad de datos sensibles, así como tomar medidas extra de seguridad, ya que la digitalización de documentos, datos, certificados, bases de datos, etc., es una tendencia que llegó para quedarse, pero se debe contar con una Ley de Protección de Datos y Privacidad que garantice la máxima seguridad para la protección de los datos de los usuarios, en este caso, y garantizar que uno pueda estar tranquilo con su uso y sus ventajas.
Paula Bauer
C.R. & F. Rojas Abogados
El presente articulo no se trata de un análisis, es un breve comentario sobre la norma legal vigente en Bolivia