Según mi perspectiva, una cédula de identidad cuyo propósito sea única y específicamente establecer la identidad de un individuo, era una cuestión impostergable en México por varios factores sociales y de seguridad pública. Es necesario admitir que la credencial para votar emitida por el Instituto Federal Electoral (autoridad en materia electoral federal dentro de México) sirvió bastante bien para el propósito y por mucho tiempo, pero los tiempos han cambiado y factores como la evidente falla, desde el punto de vista de manejo de identidades, de que los menores de 18 años no pueden contar con una, la han dejado obsoleta para las necesidades de identificación actuales.

En otros países el debate ha sido constante entre las personas que están a favor de la emisión de una tarjeta nacional de identificación y las que consideran que los beneficios no justifican el costo, monetario y en términos de privacidad, de su implementación. Ambos bandos tienen puntos interesantes y bastante sólidos para respaldar sus posturas. En México no ha habido una iniciativa formal para recoger y contrastar las opiniones de la ciudadanía, por lo que sería muy aventurado decir si la mayoría apoya o rechaza esta medida.

El gobierno federal de México ha tomado la decisión de implementar, a partir del  año 2012, la emisión de tarjetas de identidad ciudadana para menores entre 4 y 18 años de edad, la cual no tiene carácter de obligatoria. Al momento de la publicación de este número, decenas de miles de niños ya habrán pasado por el trámite e inclusive ya contarán con su cédula de identidad personal.

Haciendo momentáneamente a un lado el debate de factores sociales y económicos, es absolutamente necesario entrar en la discusión seria de las medidas de protección a la información colectada en el proceso de enrolamiento y aquella que se queda impresa en la tarjeta.

De acuerdo con la página de preguntas frecuentes sobre la cédula de identidad personal[1], los datos recolectados se almacenarán de forma centralizada en una base de datos del Registro Nacional de Población (RENAPO), llamada Servicio Nacional de Identificación Personal (SNIP). Según la información dentro de la propia página de preguntas frecuentes, la base de datos del SNIP cuenta con las más altas medidas de seguridad “que la hacen inviolable”.

Estoy seguro de que se tomaron muchas medidas de seguridad para proteger los datos, pero me gustaría que se profundizara en este tema; y no en el sentido de exponer públicamente cuáles fueron los controles que se implementaron, pero sí me parece importante que se conduzca (si es que no se ha realizado, y no hay información oficial sobre este hecho en particular) una revisión por alguna entidad independiente reconocida como autoridad en la materia, en el mismo esquema que la UNAM auditó el código de sistema de resultados electorales preliminares (PREP).

Los datos que contiene la cédula de identidad son[2]:

  1. Nombre completo del menor.
  2. CURP.
  3. Nombre completo de los padres o tutores.
  4. Fecha de nacimiento.
  5. Vigencia.
  6. Fotografía.
  7. Registro del iris de un ojo.
  8. Número único de cédula de identidad.

.

No es claro si todos los datos que se contienen en la cédula van a parar a la base de datos del SNIP, lo cual también estimo relevante proporcionar dentro de la información oficial, ya que el manejo de datos biométricos debe tener un cuidado muy especial por el hecho de que las características físicas, en este caso el iris, son prácticamente imposibles de cambiar, a diferencia de, por ejemplo, una contraseña.

Para el caso de la información impresa en la tarjeta física, se incluirán dos códigos de barras que contienen la información del iris. Uno solo puede esperar que esta información impresa en código de barras sea una suerte de hash[3] y no los datos del iris como tales (no se aclara el tema en la página de preguntas frecuentes), ya que en este último caso, cualquiera que tuviera un lector de barras podría robarse los datos biométricos y guardarlos para buscar la manera de falsificar una lectura.

En Holanda, los datos del iris no se almacenan en una base de datos centralizada y los lectores biométricos que se usan para validar la identidad tampoco guardan tales datos, sino que únicamente comparan la lectura con la información biométrica impresa en la tarjeta[4], lo cual brinda un nivel aceptable de protección sin perder la funcionalidad de identificación requerida.

Como un control adicional y muy necesario, el IFAI necesita tomar un rol activo en la revisión y sanción del cumplimiento de la legislación aplicable al RENAPO y al SNIP, apoyado en sus facultades como garante de la protección de datos personales, de forma que los ciudadanos tengamos una entidad sólida que cuide nuestros intereses en términos del manejo de este tipo de información.

El estado mexicano está a muy buen tiempo para revisar, y corregir si es necesario, los controles de seguridad que habiliten la correcta implementación de esta iniciativa tan importante para el país.

.

[email protected]