Las agencias federales fallan en las salvaguardas de la privacidad al modernizar el sistema de asilo, poniendo en riesgo los datos de los refugiados
Tres agencias gubernamentales que se asociaron en un proyecto de 68 millones de dólares para modernizar el sistema de asilo de Canadá no completaron las pruebas obligatorias de protección de la privacidad durante años mientras se implementaba el proyecto, según supo CBC News.
La falta de protección de la privacidad genera "señales de alerta", dicen los abogados, y puede haber puesto en riesgo los datos y las solicitudes de los solicitantes de refugio.
Inmigración, Refugiados y Ciudadanía Canadá (IRCC), la Agencia de Servicios Fronterizos de Canadá (CBSA) y la Junta de Inmigración y Refugiados (IRB) trabajaron juntos en el "proyecto de interoperabilidad de asilo", que transformaría el sistema de asilo en uno digital más eficiente y abordaría la creciente acumulación de solicitudes de asilo pendientes, que actualmente asciende a más de 290.000 .
A principios de este año, CBC informó que el proyecto, que se lanzó en 2019, se había cerrado prematuramente en 2024 en lo que la CBSA llamó una medida "inesperada".
Ahora, documentos obtenidos a través de la legislación de acceso a la información muestran que hubo evaluaciones de impacto sobre la privacidad (PIA) "pendientes" para el proyecto, que fue descartado silenciosamente cuando solo estaba completado en un 64 por ciento.
Según un manual de privacidad digital del gobierno , una PIA es un "proceso de políticas para identificar, evaluar y mitigar los posibles riesgos de privacidad antes de que ocurran".
"Todos estos pasos deben completarse antes del lanzamiento de la iniciativa", dice esa guía.
Si bien el proyecto de interoperabilidad ya fue descartado, implementó cambios en la forma en que se recopilan y utilizan los datos digitalmente, lo que significa que completar las PIA sigue siendo una parte esencial de ese proceso de identificación de riesgos, dijo Andrew Koltun, un abogado de inmigración y refugiados que también se especializa en leyes de privacidad.
Sin embargo, los departamentos informaron a CBC por correo electrónico que las evaluaciones de privacidad aún están incompletas. IRCC indicó que actualmente está redactando su parte de la PIA y espera que esté lista para finales de 2025.
El hecho de que aún no hayan terminado, dijo Koltun, levanta "muchas señales de alerta".
"Desafortunadamente, si no se cuenta con una evaluación del impacto en la privacidad, el riesgo se magnifica en cuanto a que esos datos podrían filtrarse y ser obtenidos por actores adversos", dijo.
Ladirectiva de la Secretaría del Consejo del Tesoro de Canadá exige que este control de la salud de la privacidad se realice "antes" de iniciar o actualizar proyectos, en los casos en que una institución planea "modificar sustancialmente" la forma en que se recopila y utiliza la información por razones administrativas.
El proyecto de interoperabilidad de asilo creó un proceso de solicitud de refugio en línea, un cambio significativo respecto de las solicitudes en papel.
El proyecto ayudó a incorporar cierta automatización y a permitir un mayor intercambio de información en tiempo real entre departamentos, según los documentos. También incorporó la capacidad del gobierno para cancelar automáticamente permisos de trabajo o estudio válidos cuando se emite una orden de expulsión, entre otras mejoras.
'Patata caliente' con responsabilidadesLa Oficina del Comisionado de Privacidad de Canadá denomina a las evaluaciones de privacidad un "sistema de alerta temprana" que puede ayudar a generar confianza pública al garantizar que las agencias gubernamentales cumplan con la ley y protejan la privacidad de las personas.
El organismo de control de la privacidad declinó conceder una entrevista, afirmando que realiza consultas sobre privacidad de forma confidencial, pero reiteró en un correo electrónico que el comisionado había recomendado anteriormente que las obligaciones de PIA se integraran a la ley.
Según una nota informativa de la CBSA obtenida por CBC, parecía haber una confusión interna sobre quién era responsable de las PIA.
Los documentos revelan que había una expectativa inicial de una gran evaluación de privacidad dirigida por IRCC.
Pero tres años después, a fines de 2022, IRCC notificó tanto a CBSA como a IRB que ya no estaban realizando una PIA "para todo el proyecto y que cada socio sería responsable del suyo propio".
Luego, la CBSA dijo que IRCC cambió el enfoque "y amplió el alcance a una evaluación a nivel de programa", según muestran los documentos.
Cuando el proyecto se cerró inesperadamente el año pasado, la CBSA dijo que los PIA eran "un asunto pendiente" y que IRCC todavía esperaba que los demás socios completaran sus planes de privacidad.
"Sin embargo, dada la falta de financiación y de recursos, es necesario seguir dialogando", señala la nota de la CBSA.
Koltun, quien revisó los documentos internos, describe que los departamentos están jugando a la "papa caliente" con los controles de privacidad, cuando deberían haber sido un "componente básico".
"Esto es un símbolo del incansable esfuerzo del IRCC por alcanzar la modernización digital a un ritmo vertiginoso sin garantizar necesariamente de antemano que se tomen todas las medidas de mitigación de riesgos necesarias", afirmó.
El espacio de los refugiados es un área pobre para adoptar un enfoque de prueba beta del tipo: "Trabajar rápido, romper cosas y luego arreglarlas después".
Las violaciones de la privacidad "traumatizan" a los clientes, afirma un abogadoGreg Willoughby, un abogado de refugiados en London, Ontario, dice que IRCC le envía correos electrónicos "con más frecuencia de la que [él] puede contar" que revelan documentos privados e información altamente sensible de solicitantes que no son sus clientes.
"Parece haber una falta sistémica de preocupación por las cuestiones de privacidad y confidencialidad", dijo Willoughby.
Uno de los peores ejemplos, recordó, fue cuando IRCC envió un correo electrónico a los familiares de uno de sus clientes en Irán —familiares de los que ella estaba huyendo— alertándolos así sobre su solicitud de protección como refugiado.
"Pensé: '¿Qué es esto? Son agentes de persecución'", dijo Willoughby. "Fue realmente traumático y dañino para ella. Fue horrible".
No está claro si existe un vínculo entre las actualizaciones digitales en el proyecto de interoperabilidad de asilo y las experiencias de Willoughby con violaciones de privacidad en los últimos años.
Pero Willoughby advierte que el enfoque del gobierno en la eficiencia y la integración tecnológica sin las garantías de privacidad adecuadas es "muy, muy peligroso", especialmente si los datos corren el riesgo de ser accedidos indebidamente por actores maliciosos.
Los gobiernos y los departamentos de inmigración deberían estar muy alertas. Esto debería ser una prioridad.
En un comunicado, IRCC afirmó que el tipo de información recopilada y compartida entre los socios no cambió, sino que "el [proyecto] creó interfaces de TI para garantizar la transmisión segura de esta información".
IRCC todavía afirma que está siguiendo la directiva de la Secretaría del Consejo del Tesoro, aunque esa directiva establece que las PIA deben estar completas antes de implementar iniciativas, especialmente cuando hay "uso de cualquier tecnología de información nueva o modificada".
"Todos los acuerdos entre socios gubernamentales incluyen fuertes salvaguardias", escribió IRCC.
Mientras tanto, la CBSA dijo que "ya no está realizando" una evaluación de impacto sobre la privacidad y señaló a IRCC como el líder de este proyecto.
"La CBSA reconoce la importancia del proceso PIA", escribió un portavoz.
IRB afirmó que "analizamos cuidadosamente las implicaciones de privacidad" cuando se lanzó el proyecto y determinó que las preocupaciones sobre privacidad "todavía estaban adecuadamente abordadas" en un PIA existente para sus propios sistemas.
Koltun dijo que las respuestas de IRCC e IRB son "inadecuadas" porque "ignoran los deberes legales" bajo la directiva federal.
"Cuando se utiliza una tecnología de la información o un proceso de TI nuevo o modificado, el requisito mínimo es que se cree un PIA actualizado", dijo.
cbc.ca
