Public Disclosure Authorized Public Disclosure Authorized Public Disclosure Authorized Public Disclosure Authorized SOBRE LA PRINCIPIOS PARA EL DESARROLLO SOSTENIBLE IDENTIFICACIÓN ii PRINCIPIOS SOBRE LA IDENTIFICACIÓN PARA EL DESARROLLO SOSTENIBLE: HACIA LA ERA DIGITAL ORGANIZACIONES PATROCINADORAS Agencia de las Naciones Unidas para los Refugiados (ACNUR) Omidyar Network Banco Africano de Desarrollo (BAfD) Open Identity Exchange UK/Europe Banco Asiático de Desarrollo (BAsD) Organismo Noruego de Cooperación para el Desarrollo (NORAD) Centro para el Desarrollo Mundial Organización de los Estados Americanos (OEA) Comisión Económica para África de las Naciones Unidas Organización Internacional para las Migraciones (OIM) Digital Impact Alliance Plan International Digital Nations Privacy and Consumer Advisory Group to the Government Digital FHI 360 Service-GOV.UK Fondo de las Naciones Unidas para la Infancia (Unicef) Programa de las Naciones Unidas para el Desarrollo (PNUD) Fundación Bill y Melinda Gates Programa Mundial de Alimentos de las Naciones Unidas-FAO Grupo Banco Mundial Secure Identity Alliance (SIA) GSMA Smart Africa ID2020 Alliance Tony Blair Institute ID4Africa Unión Internacional de Telecomunicaciones (UIT) MasterCard Unión Internacional del Notariado Oficina de Instituciones Democráticas y Derechos Humanos (OIDDH) Women in Identity PRINCIPIOS Garantizar acceso universal a las personas, 1 sin discriminación. INCLUSIÓN 2 Eliminar las barreras al acceso y al uso. 3 Establecer una identidad confiable: única, segura y precisa. 4 Crear una plataforma responsiva e interoperable. Utilizar estándares abiertos y evitar la dependencia DISEÑO 5 de proveedores y tecnologías. Proteger la privacidad y la capacidad de acción de las 6 personas mediante el diseño de sistemas. 7 Planificar para la sostenibilidad financiera y operacional. Proteger los datos personales, mantener la ciberseguridad 8 y salvaguardar los derechos de las personas por medio de un marco legal y reglamentario amplio. GOBERNANZA 9 Establecer mandatos institucionales y procedimientos de rendición de cuentas claros. Hacer que se cumplan los marcos legales y de confianza 10 mediante la supervisión independiente y la resolución de reclamaciones. 2 PROPÓSITO Toda persona tiene derecho a participar plenamente en la sociedad y en la economía y a ser reconocida como persona ante la ley1. Sin embargo, hay hasta 1000 millones de personas en el mundo que carecen de alguna prueba básica de identidad, esencial para proteger sus derechos y permitirles el acceso a servicios y oportunidades2. Muchas otras tienen formas de identi- ficación que son poco seguras o no ofrecen fiabilidad a los proveedores de servicios, o viven en países donde los sistemas de identificación son débiles e inadecuados para la era digital o no salvaguardan los derechos y los datos de las personas. Por estos motivos, subsanar esta “deficiencia de identificación” mejorando la cobertura, la calidad y la gestión de los sistemas de identifi- cación que protegen los derechos y facilitan los servicios es crucial para la agenda del desarrollo. Las organizaciones que apoyan estos principios adhieren a un conjunto de valores compartidos, con el objetivo de asegurar que los sistemas de identificación sean inclusivos, protejan los datos y los derechos de las personas, y estén diseñados para favorecer los resultados de desarrollo. Los principios fueron elaborados y publicados por primera vez en 2017, a partir de nor- mas internacionales existentes3, por un grupo de organizaciones resueltas a apoyar la creación de sistemas de identificación que fueran inclusivos, confiables y responsables, y que se utilizaran para mejorar las vidas de las personas y contribuir a la consecución de los Objetivos de Desarrollo Sostenible (ODS). En vista de la rápida evolución del sector de la identificación, los signatarios originales de los principios se comprome- tieron a revisarlos para incorporar las nuevas perspectivas y las enseñanzas recogidas. Esta segunda edición refleja los aportes reunidos en este proceso y en consultas públi- cas más amplias. Las organizaciones patrocinadoras —en consonancia con sus respectivos mandatos, políticas operacionales y reglas— utilizan estos principios para promover una con- cepción común de los principales temas y buenas prácticas; mejorar la coordinación entre las partes interesadas; orientar las decisiones sobre medidas de apoyo y financia- miento; facilitar el intercambio de ideas a nivel nacional, regional o mundial, y trabajar en conjunto para respaldar sistemas de identificación que fomenten el desarrollo eco- nómico y social, protejan los derechos individuales y humanos, y no excluyan a nadie. Esperamos que una variedad cada vez más amplia de partes interesadas —incluidos Gobiernos, organizaciones intergubernamentales, asociados para el desarrollo, miem- bros de la sociedad civil local e internacional, organizaciones no gubernamentales e integrantes del sector privado— nos acompañen en la tarea de respaldar los Principios y llevarlos a la práctica. 1 El derecho al reconocimiento ante la ley (véase el segundo párrafo en la página siguiente) está consagrado en el artículo 6 de la Declaración Universal de Derechos Humanos y en el artículo 16 del Pacto Internacional de Derechos Civiles y Políticos. El derecho a la inscripción del nacimiento está enunciado en varias convenciones internacionales, por ejemplo, en el artículo 7 de la Convención sobre los Derechos del Niño. 2 Las estimaciones extraídas del Global ID4D Dataset de 2018 del Banco Mundial se pueden consultar en http://id4d.worldbank.org/global-dataset. 3 Entre otros instrumentos, los Principios y Recomendaciones de las Naciones Unidas sobre Registro Civil y Estadísticas Vitales, las normas internacionales sobre protección de datos (como el Reglamento General de Protección de Datos de la Unión Europea y la Convención 108+ del Consejo de Europa), normas y marcos de identificación confiables mundiales y regionales, y los Principios para el Desarrollo Digital. Principios sobre la Identificación para el Desarrollo Sostenible 3 4 Definiciones y alcance Estos principios están destinados a aplicarse, en términos generales, a la creación y el uso de siste- mas de identificación4 para promover los objetivos de desarrollo. Se centran en los sistemas de iden- tificación “oficiales” proporcionados o reconocidos por los Gobiernos o en su nombre5, dado que tales sistemas son fundamentales para hacer efectivos los derechos individuales y facilitar el acceso a las prestaciones y los servicios básicos en el mundo físico y en el digital. Si bien cada país suele tener un conjunto propio de sistemas de identificación oficiales que pueden diferir considerablemente en cuanto al propósito, el proveedor, la tecnología, la arquitectura, el uso y los mecanismos de gestión, estos sistemas se pueden clasificar, en términos generales, en “jurídicos” o “funcionales”. Los sistemas jurídicos de identificación otorgan reconocimiento ante la ley y prueba de la identidad jurídica. Su nombre y naturaleza varían según la legislación nacional, pero normalmente incluyen sistemas de registro civil, sistemas de identificación nacionales, registros de población y otros sistemas de identificación fundacionales6. Los sistemas funcionales de identificación proporcionan prueba oficial de identidad y autorización para determinados propósitos o sectores. Por lo general, son los que proveen la identificación de los votantes, las tarjetas para alimentos, los números de bene- ficiario del seguro social, las tarjetas sanitarias y los números de identificación fiscal, entre otros; en algunos casos, estas credenciales también pueden ser reconocidas como prueba de identidad para otros propósitos o sectores7. Teniendo en cuenta la abrumadora tendencia hacia la digitalización de las economías y las sociedades, los Principios reflejan la naturaleza crecientemente digital de los sistemas de identificación oficiales. Por ejemplo, muchos de estos proporcionan servicios y credenciales digitales oficiales (como iden- tificaciones móviles, certificados digitales y firmas electrónicas, entre otros) que permiten la auten- tificación automatizada y remota para acceder a servicios y prestaciones, tanto en forma presencial como en línea. En algunos casos, los propios Gobiernos han establecido estos sistemas. En otros, los países han creado ecosistemas de proveedores de identidad digital que se valen de los sistemas de identificación oficiales existentes para la verificación de la identidad y el registro. En un modelo de ecosistema federado, por ejemplo, múltiples entidades públicas o privadas que operan dentro de un marco de confianza pueden expedir credenciales digitales de identidad oficialmente reconocidas. Las nuevas normas y arquitecturas de identidad descentralizadas también están generando posibilidades de almacenar y verificar credenciales digitales oficiales en dispositivos personales. En el resto del presente documento, la expresión “sistema de identificación” se refiere a las versiones analógicas y digitales de los sistemas de identificación oficiales descritos más arriba. 4 En líneas generales, los sistemas de identificación reúnen y validan datos de identidad a través de un proceso de registro y luego proporcionan credenciales a las personas —por ejemplo, certificados, tarjetas u otros documentos de identidad—, que ellas pueden utilizar para autentificar su identidad o determinados atributos de ella frente a un tercero que necesita verificarlos. 5 Los sistemas de identificación reconocidos por los Gobiernos están habilitados por el marco jurídico de los respectivos países, al que adhieren, y se basan en un proceso de prueba de identidad que supone validar al titular mediante credenciales emitidas por el Gobierno o registros de origen autorizados, como los sistemas de registro civil, los sistemas de identificación nacionales o los registros de población. 6 Los Gobiernos son los responsables últimos de la identificación jurídica (véase, por ejemplo, la definición operativa oficial de la identidad jurídica formulada por las Naciones Unidas, resolución del Consejo Económico y Social E/CN.3/2020/15). Aun cuando la prueba de la identidad jurídica —particularmente la inscripción del nacimiento o el matrimonio— se suele exigir para adquirir una nacionalidad, la identificación jurídica necesita no estar vinculada a la nacionalidad y no debe confundirse con la condición jurídica o la nacionalidad. Mientras que algunos sistemas jurídicos de identificación (por ejemplo, los sistemas de identificación nacional) exigen o constituyen prueba de la nacionalidad, otros no lo hacen. 7 En el caso de los solicitantes de asilo y los refugiados, si bien los Estados anfitriones son los principales responsables de otorgar documentos probatorios de la identidad jurídica a los refugiados que carezcan de documentos de viaje válidos, las credenciales expedidas por la Agencia de las Naciones Unidas para los Refugiados bajo su mandato en nombre del Estado anfitrión pueden ser reconocidas como prueba de la identidad jurídica u oficial (Convención de 1951 sobre el Estatuto de los Refugiados, artículos 25 y 27; Estatuto de 1950 de la Oficina del Alto Comisionado de las Naciones Unidas para los Refugiados [ACNUR]). Por qué la identificación es importante para el desarrollo Para las personas, la identificación es un derecho, un instrumento de protección y un portal de acceso a servicios, beneficios y oportunidades. La importancia de la identificación para los derechos de las personas y para el desarrollo fue reconocida por la comunidad internacional mediante la aprobación de la meta 16.9 de los ODS, cuyo enunciado es el siguiente: “De aquí a 2030, proporcionar acceso a una identidad jurídica para todos, en particular mediante el registro de nacimientos”. El derecho a la identidad desde el nacimiento —garantizado en los artículos 7 y 8 de la Convención sobre los Derechos del Niño— y al reconocimiento como persona ante la ley son primeros pasos cruciales para el goce de protección de por vida y prerrequisito para el ejercicio de otros derechos. La identidad jurídica es la base a partir de la cual los niños pueden tener una nacionalidad, evitar el riesgo de apatridia y pedir protección contra la violencia y la explotación. Por ejemplo, los documentos acreditativos de la edad son necesarios para prevenir el trabajo infantil, el matrimonio infantil y el reclutamiento de menores en las fuerzas armadas. Además, para muchas interacciones formales, transacciones y servicios en los sectores público y privado puede ser requerido algún medio de prueba oficial de la identidad. Por ejemplo, se suele verificar la identidad de una persona a través de una credencial o un registro oficiales para abrir una cuenta bancaria, votar en una elección, conseguir empleo formal, adquirir una nacionalidad, matricularse en la escuela, inscribirse en un programa de seguro médico, recibir una transferencia social, comprar una tarjeta SIM, registrar una propiedad, cruzar las fronteras o recurrir a la justicia. La aceleración del establecimiento de servicios en línea y la transformación digital en los Gobiernos y las empresas implica que también la población necesita cada vez más un medio seguro y accesible de demostrar su identidad en forma remota, por ejemplo, a través de Internet8. Para los Gobiernos, los actores del sector privado y otras partes interesadas, poder identificar con certeza a las personas o verificar determinados atributos resulta crítico a fin de ejecutar programas y prestar servicios de manera eficiente, eficaz y responsable. La posibilidad de saber quiénes son las personas es esencial para varias tareas que rea- lizan los Gobiernos, como orientar los programas sociales para que los beneficiarios correctos reciban las prestaciones; responder a las emergencias, desastres y epidemias que requieren una rápida asistencia directa; recaudar impuestos; reducir el fraude en los salarios del sector público; facilitar migraciones seguras y ordenadas, y, en el caso de los registros civiles, elaborar estadísticas vitales para planificar y vigilar el avance del desa- rrollo. Para algunas entidades privadas, verificar la identidad de sus clientes con cierto grado de seguridad para determinados servicios —como abrir una cuenta o permitir el 8 Por estos motivos, la identificación es fundamental para facilitar el logro de numerosas metas de los ODS ade- más de la 16.9, entre ellas, la 1.3 (implementar sistemas de protección social), 1.4 (garantizar que los pobres y los vulnerables tengan el control de la tierra, otros bienes y los activos financieros), 5a (otorgar a las mujeres pobres igualdad de derechos a los recursos económicos, incluidos los servicios financieros), 5b (mejorar el uso de la tecnología, en particular la tecnología de la información y las comunicaciones, para promover el empoderamien- to de las mujeres), 8.10 (fomentar el acceso a los servicios bancarios, financieros y de seguros para todos), 10.7 (facilitar la migración y la movilidad seguras y responsables de las personas), 10c (reducir el costo de transac- ción de las remesas), 12c (eliminar gradualmente los subsidios a los combustibles perjudiciales), 16a (fortalecer la capacidad para combatir el terrorismo y la delincuencia), 16.5 (reducir la corrupción), y muchas otras. Principios sobre la Identificación para el Desarrollo Sostenible 5 6 acceso a ella— es necesario para mitigar el riesgo; cumplir el procedimiento de diligencia debida con los clientes, los requisitos de “Conozca a su cliente” u otras normas, y pro- teger a los clientes contra el robo y la usurpación de identidad. Cuando los sistemas de identificación proporcionan mecanismos digitales para que las personas puedan acredi- tar su identidad en forma remota al actuar en línea, también se convierten en importan- tes elementos facilitadores de una economía digital inclusiva y sustentan las plataformas digitales en los distintos sectores, por ejemplo, los servicios en línea y los sistemas de pago digital9. Cuando se los diseña y se los utiliza adecuadamente, los sistemas de identificación tienen el potencial de ayudar a los países a acelerar el desarrollo inclusivo. Contribuyen a mejorar la gestión de gobierno y la prestación de servicios, acrecentar la inclusión financiera, reducir las desigualdades de género al empoderar a las mujeres y las niñas, y ampliar el acceso de las personas que viven en la pobreza a los servicios de salud y de protección social. En comparación con los registros basados en papel, la adopción de tecnologías digitales ofrece la posibilidad de aumentar la exactitud y la confiabilidad de los datos y de las credenciales de identidad, automatizar procesos que permiten ahorrar dinero y trabajar con más comodidad, y proporcionar nuevas plataformas para generar innovaciones en la prestación de servicios. Si bien la tecnología digital conlleva riesgos, la digitalización también presenta la oportunidad de diseñar intencionalmente sistemas de identificación que sean más inclusivos y fáciles de usar, y protejan los dere- chos y los datos de las personas mediante la elaboración de nuevas normas, modelos y herramientas para vigilar y controlar personalmente la forma en que se utilizan los datos. 9 Véase, por ejemplo, FATF Guidance on Digital Identity (2020) (Guía del GAFI sobre Identidad Digital), Grupo de Acción Financiera Internacional sobre el Blanqueo de Capitales (GAFI), París; Banco Mundial (2018), Private Sector Economic Impacts from Identification Systems (Impactos económicos de los sistemas de identificación en el sector privado), Washington, DC; Gelb, A. y A. Metz (2018), Identification Revolution: Can Digital ID Be Harnessed for Development? (La revolución de la identificación: ¿Es posible aprovechar la identificación digi- tal para favorecer el desarrollo?), Washington, DC, Centro para el Desarrollo Mundial; Gelb, A. y J. Clark (2013), Identification for Development: The Biometrics Revolution (Identificación para el desarrollo: La revolución biométrica), Centro para el Desarrollo Mundial, documento de trabajo 315. Por qué la creación de “buenos” sistemas de identificación es fundamental para mitigar los riesgos Pese a las oportunidades que ofrecen las mejoras en la identificación, los sistemas que se implementan mal o que se utilizan incorrectamente pueden generar una serie de riesgos que afectan de manera desproporcionada a los grupos desfavorecidos y que las tecnologías digitales pueden intensificar. Los principales riesgos son los vinculados a la exclusión o la discriminación, la privacidad y la protección de los datos, y el diseño y la ejecución deficientes de los sistemas de identificación, que implican el desperdicio de recursos y ofrecen pocos beneficios. Los grupos vulnerables y marginados suelen ser los que menos probabilidades tienen de contar con documentos que demuestren su identidad, pero son también los que más necesitan la protección y los servicios relacionados con la identificación10. Por lo tanto, las personas que no pueden obtener o utilizar con facilidad un medio de identificación corren más riesgo de ser excluidas cuando se deben cumplir requisitos de identificación estrictos para acceder a los servicios. Sin medidas de mitigación proactivas, los sistemas de identificación nuevos o mejorados pueden reforzar o perpetuar las desigualdades, las prácticas discriminatorias y los sesgos estructurales. Al igual que otros sistemas que procesan datos personales, los sistemas de identificación pueden socavar los derechos individuales a la protección de datos y la privacidad cuando no existen leyes y regla- mentos, supervisión, controles técnicos y salvaguardias apropiados. Las violaciones de datos, la vigilancia o el uso no autorizados, el fraude relacionado con la identidad y la desvirtuación de funciones pueden acarrear serios riesgos para las personas, en especial para los grupos vulnerables. Además, los sistemas de identificación suelen diseñarse con un enfoque “de arriba hacia abajo” y escasa transparencia. Junto con las malas prácticas en materia de adquisiciones y la elección de diseños que inflan los costos y llevan a los usuarios a quedar “atrapados” con determinados proveedores o tecnologías, esto puede dar como resultado sistemas que no sean sostenibles desde el punto de vista operativo o financiero y que no satisfagan las necesidades de la población ni favorezcan los obje- tivos de desarrollo. Aunque están presentes en cualquier sistema de identificación, estos riesgos pueden verse intensificados por la digitalización. Con las tecnologías digitales, aumentan las posibilidades de que la escala y los daños derivados de la mala gestión o el uso indebido de los datos personales sean mayores que los que entrañan los sistemas basados en papel. En el mismo sentido, la adopción de tecnologías que dependen de la conectivi- dad a Internet y de dispositivos costosos encierra el potencial de ampliar la brecha digi- tal y crear nuevos obstáculos que dificulten a los grupos marginados obtener o usar con confianza su identificación. La velocidad de las innovaciones también puede impulsar a centrarse en obtener la tecnología más moderna en lugar de crear sistemas que sean apropiados para los fines que se persiguen en ese momento y flexibles para atender necesidades futuras. Por otra parte, aun si los sistemas de identificación se digitalizan 10 Los grupos particulares que corren más riesgo de ser excluidos por los sistemas de identificación varían según el contexto, pero suelen incluir a las personas que viven en la pobreza; las mujeres y los niños; las poblaciones migrantes; los refugiados y los solicitantes de asilo; los habitantes de zonas remotas y rurales; las minorías étnicas, lingüísticas o religiosas; las minorías sexuales y de género; las personas con discapacidad; los despla- zados internamente; los apátridas; las personas afectadas por conflictos; los trabajadores del sector informal, y otros grupos marginados o minoritarios. Véase, por ejemplo, Banco Mundial (2019), Global ID Coverage, Barriers, and Use by the Numbers: An In-Depth Look at the 2017 ID4D-Findex Survey (Cobertura universal, obstáculos y uso de los sistemas de identificación en cifras: Estudio detenido de la encuesta de 2017 de ID4D y Findex), Washington, DC, Grupo Banco Mundial. Principios sobre la Identificación para el Desarrollo Sostenible 7 8 satisfactoriamente, es improbable que desarrollen todo su potencial a menos que la digi- talización sea completa —transformando y reconfigurando los procesos para el medio digital— y que se realicen inversiones complementarias en conectividad a Internet, ser- vicios en línea, plataformas de pagos y otros sistemas digitales. Para aprovechar los beneficios de los sistemas de identificación en la era digital, las partes interesadas deben enfrentar estos riesgos de manera proactiva, integral y permanente. Crear un sistema de identificación que alcance los objetivos de desarrollo requiere un enfoque multidisciplinario en el que intervengan múltiples interesados. A tal fin es pre- ciso definir claramente los propósitos y los usos previstos del sistema; adoptar y dotar de recursos a los marcos legales y reglamentarios adecuados para eliminar los obstáculos al acceso y proporcionar salvaguardias y supervisión suficientes; implementar políticas y prácticas inclusivas para la adopción y el uso de los sistemas de identificación; aplicar, en el diseño y la evaluación de los riesgos, un enfoque que esté centrado en las perso- nas y proteja la privacidad de los datos, y escoger tecnologías adecuadas al contexto, equitativas y accesibles que aseguren la calidad, la seguridad y la utilidad del sistema en ese momento y en el futuro. La interacción continua y transparente con el público y con un conjunto diverso de partes interesadas a lo largo de estos procesos es esencial para promover la confianza y la rendición de cuentas, y para crear sistemas de identificación que sean útiles para las personas y contribuyan a obtener buenos resultados en materia de desarrollo sostenible. Principales partes interesadas y sus funciones En la práctica, aplicar los Principios exige el esfuerzo coordinado y sostenido de numerosos interesados que cumplen funciones esenciales en la provisión, el uso, la supervisión y el financiamiento de los sistemas de identificación: • Personas. Constituyen el centro de los sistemas de identificación, como sujetos de los datos de estos sistemas y como usuarios finales que dependen de la identifica- ción para proteger y reclamar sus derechos y para acceder a los servicios. Tienen derecho a saber, supervisar adecuadamente y controlar cómo y con qué fin las enti- dades públicas y privadas recopilan, utilizan, almacenan, comparten o de cualquier otro modo procesan sus datos personales. Es fundamental comprender y atender las necesidades e inquietudes de las personas en relación con su identificación, proteger sus datos personales y su privacidad, y asegurar su participación en el diseño y la implementación de los sistemas de identificación que afectan sus vidas. • Gobiernos. Normalmente, los organismos públicos nacionales y locales son los pro- veedores de identidad para los sistemas de identificación jurídica —registros civiles y estadísticas vitales, sistemas nacionales de identificación, registros de población y credenciales de identificación fundacionales, entre otros—, así como para muchos sistemas funcionales, como los que proporcionan las credenciales de identificación de los votantes, los datos de identificación tributaria y los permisos de conducir. En muchos casos, otros organismos públicos y prestadores de servicios recurren a esos sistemas y los utilizan para identificar o verificar la identidad de las personas con las que interactúan o a las que atienden. Las instituciones del Estado, incluidos los órganos legislativos y los organismos de supervisión, cumplen una función decisiva en la creación y la aplicación de los marcos legales y reglamentarios destinados a habilitar y proteger los sistemas de identificación proporcionados tanto por el sector público como por el privado. Por último, los organismos públicos suelen intervenir en la fijación de normas y en la formulación y la supervisión de marcos de confianza y de seguridad para los proveedores de identidad, las partes que se valen de las iden- tificaciones y otros interesados de los ecosistemas de identidad digital centralizados, federados o descentralizados. • Sector privado. En muchos casos, las compañías privadas son desarrolladoras, inno- vadoras y proveedoras de infraestructura y componentes para los sistemas de iden- tificación, así como también, en ocasiones, prestadoras de servicios de verificación y autentificación de identidad. Muchas empresas privadas también dependen de los sistemas de identificación jurídica o de otro tipo para verificar o autentificar la identi- dad de sus clientes (por ejemplo, a fin de abrir cuentas bancarias o de dinero móvil). En algunos casos, las entidades del sector privado son proveedoras de identidad dentro de un ecosistema federado o descentralizado que utiliza credenciales expe- didas por el Gobierno y registros de fuentes autorizadas (como los registros civiles y los sistemas de identificación nacionales) para crear credenciales digitales o servi- cios de autentificación que sean aceptados para servicios en línea del sector público (y del sector privado). Principios sobre la Identificación para el Desarrollo Sostenible 9 10 • Organizaciones no gubernamentales, de la comunidad y de la sociedad civil. Estos tipos de organizaciones pueden ser de vital importancia para diseñar y llevar a la práctica los sistemas de identificación, dado que realizan actividades de promoción, prestan protección y asistencia jurídica, conciencian sobre diversos temas, facilitan las consultas con las comunidades, empoderan a las personas a acceder a mecanis- mos de identificación o de atención de reclamaciones y exigen a los proveedores de identidad que rindan cuentas de su actuación. • Organizaciones internacionales, órganos regionales y asociados para el desarrollo. A menudo, los órganos intergubernamentales internacionales, los organismos humani- tarios y de desarrollo, las fundaciones y otros donantes proporcionan financiamiento y asistencia técnica para los sistemas de identificación y contribuyen al estableci- miento de normativa estándar. Otros órganos internacionales y regionales también intervienen en la fijación de normas vinculadas con la identificación, como las relati- vas a la interoperabilidad transfronteriza y el reconocimiento mutuo de credenciales. En determinados casos, las entidades humanitarias y de desarrollo también pueden actuar como proveedoras de identidad o administrar sistemas de identificación para actividades o programas específicos. En el caso de los refugiados y los solicitantes de asilo, la Oficina del Alto Comisionado de las Naciones Unidas para los Refugia- dos (ACNUR) puede proporcionar un documento probatorio de la identidad jurídica u oficial en nombre del Estado anfitrión bajo su mandato. PRINCIPIOS Principios sobre la Identificación para el Desarrollo Sostenible 11 12 INCLUSIÓN 1 Garantizar acceso universal a las personas, sin discriminación. • Identidad jurídica para todos. Todas las personas deberían estar en condi- ciones de dar prueba de su identidad jurídica. Los países deben cumplir sus obligaciones y compromisos de proporcionar identificación jurídica a todos los residentes11 —no solo a los ciudadanos—12 desde el nacimiento hasta la muerte, conforme a lo dispuesto en las leyes internacionales y nacionales13. Ello incluye la obligación de registrar el nacimiento de todos los niños14, medida esencial para acreditar la identidad jurídica desde el nacimiento, y de registrar a su debido tiempo otros datos vitales, como los matrimo- nios y las defunciones. También están comprendidas las obligaciones y los compromisos de entregar documentos probatorios de la identidad jurídica a los refugiados, los apátridas y los migrantes que carecen de credenciales válidas o no pueden demostrar su identidad jurídica por algún otro medio. • No discriminación. Todos los sistemas de identificación deben estar libres de discriminación en sus políticas, en la práctica y desde su diseño. Esto incluye los marcos legales, los requisitos y los procedimientos estableci- dos para registrar, obtener o utilizar una identificación, y los datos que se recopilan o se exhiben en las credenciales no deben facilitar ni reforzar la discriminación contra grupos particulares, como los que pueden estar más expuestos a sufrir exclusión por motivos culturales, políticos, económicos o de otra índole. Entre estos grupos se cuentan las personas que viven en la pobreza; las mujeres; los niños; las poblaciones rurales; las minorías raciales, étnicas, lingüísticas y religiosas; las personas con discapacidad; las minorías sexuales y de género; los migrantes; los solicitantes de asilo, los refugiados, las personas desplazadas por la fuerza y los apátridas. Además, los sistemas y los datos de identificación no deben usarse jamás como ins- trumento de discriminación ni para vulnerar o negar derechos individuales o colectivos. 11 Si bien, de acuerdo con el derecho internacional, los Estados tienen el derecho soberano de determinar las condiciones que se deben reunir para obtener su ciudadanía y de expedir los documentos probatorios perti- nentes, también tienen la obligación de otorgar un documento que acredite la identidad jurídica —o reconocer la identificación jurídica emitida por otro Estado o por una organización internacional— a todos los residentes en su territorio, con inclusión del registro del nacimiento. Por ejemplo, en el artículo 27 de la Convención de 1951 sobre el Estatuto de los Refugiados se dispone que los Estados “expedirán documentos de identidad a todo refugiado que se encuentre en el territorio de tales Estados y que no posea un documento válido de viaje”, y el artículo 27 de la Convención de 1954 sobre el Estatuto de los Apátridas contiene una disposición similar para los apátridas. Proporcionar a todos documentos probatorios de la identidad jurídica es crítico para evitar la apatridia (véase https://www.unhcr.org/ibelong/es/). 12 Los Estados deben entregar pruebas de ciudadanía a todas las personas que tengan derecho a ello, sin discri- minación de ninguna especie. 13 La obligación de los Estados de otorgar documentos que acrediten la identidad jurídica no implica necesaria- mente que la inscripción en los sistemas de identificación sea jurídicamente obligatoria. 14 Por ejemplo, en el artículo 7 de la Convención sobre los Derechos del Niño se establece lo siguiente: “El niño será inscripto inmediatamente después de su nacimiento y tendrá derecho desde que nace a un nombre, a adquirir una nacionalidad y, en la medida de lo posible, a conocer a sus padres y a ser cuidado por ellos”. La convención ha sido ratificada por todos los Estados miembros de las Naciones Unidas, excepto por Estados Unidos, que, no obstante, la suscribió. Sin embargo, en la práctica, casi todos los nacimientos que se producen en Estados Unidos se inscriben. 2 Eliminar las barreras al acceso y al uso. • Costos directos e indirectos. Los costos nunca deben ser una barrera que impida a las personas obtener las credenciales de identidad exigidas para hacer efectivos sus derechos o acceder a prestaciones o servicios básicos. Por ejemplo, la inscripción en el registro civil y la emisión de los primeros certificados de nacimiento y defunción y otras credenciales de identidad deben ser gratuitas. Si se cobra por determinados servicios adicionales (como la reposición de credenciales perdidas), los precios deben ser razo- nables, proporcionales a los gastos correspondientes y transparentes para el público. También se deben reducir al mínimo los costos indirectos que entraña obtener una identificación, incluidos los cargos por la documen- tación probatoria, los gastos de viaje y los procedimientos administrativos complejos. • Asimetrías de información. Las partes interesadas deben trabajar para reducir las barreras y las disparidades de información y conocimiento que podrían impedir, por ejemplo, a las minorías lingüísticas, las personas con bajos niveles de alfabetización y las personas con discapacidad obtener o utilizar identificaciones, y para fomentar una cultura de confianza y rendi- ción de cuentas informando y concienciando sobre el sistema. Las cam- pañas de información y educación y otros materiales deben ser inclusivos y accesibles a fin de que todos dispongan de los conocimientos, la capa- cidad y las herramientas que necesitan para participar en el sistema de identificación y ejercer sus derechos de supervisión y control. • Brechas digitales. Si bien la tecnología es fundamental para posibilitar los sistemas de identificación, a nadie se le debe negar la identificación ni los servicios y derechos conexos por carecer de conectividad móvil o a Internet, dispositivos electrónicos, alfabetización digital, competencias informáticas, o la comodidad o la capacidad para usar determinada tec- nología, o por sesgos o fallas tecnológicos. Por lo tanto, las partes intere- sadas deberían trabajar juntas a fin de que todos tengan a su disposición y puedan utilizar los servicios de identificación y autentificación, con inde- pendencia de la conectividad, las competencias o los recursos digitales. Además, es preciso que los procedimientos de gestión de excepciones y los mecanismos de atención de reclamaciones sean accesibles para evitar que se nieguen servicios o derechos y para actuar en caso de dificultades técnicas. • Inclusión desde el diseño. Los sistemas de identificación deben priorizar las necesidades y atender las inquietudes de los grupos marginados y vul- nerables que corren mayor riesgo de exclusión y más necesitan las protec- ciones y los beneficios que una identificación les puede proporcionar. Ello requiere trabajar con las comunidades para definir de manera proactiva las barreras legales, procedimentales, sociales y económicas con que tropie- zan determinados grupos, así como los riesgos que enfrentan y los efectos que sufren, y para adoptar las tecnologías y las medidas de mitigación apropiadas, de modo que los sistemas de identificación, sean nuevos o modernizados, no refuercen ni profundicen las desigualdades. Principios sobre la Identificación para el Desarrollo Sostenible 13 14 DISEÑO 3 Establecer una identidad confiable: única, segura y precisa. • Unicidad. Un sistema de identificación proporciona un mecanismo para esta- blecer y autentificar una identidad única cuando —dentro de ese sistema— cada persona tiene solo una identidad y no hay dos personas que compartan la misma. La unicidad es particularmente importante dentro de los sistemas de identificación jurídica y en otros destinados a usos que requieren niveles elevados de seguridad15, como las votaciones y los pagos de los Gobiernos a las personas. Cabe destacar que la unicidad existente dentro de un sistema no implica que debe haber un solo proveedor de identidad o un solo sistema ni un único identificador permanente (por ejemplo, un único número de documento de identidad) que se utilice para todos los fines en un país o en una jurisdicción. • Seguridad. Los sistemas de identificación deben contar con salvaguardias adecuadas y efectivas contra el acceso no autorizado, la manipulación (la alteración u otros cambios introducidos en los datos o las credenciales sin autorización), el robo de identidad, el uso indebido de datos, la ciberdelin- cuencia y otras amenazas que se produzcan a lo largo del ciclo de identifi- cación. Los datos deben estar protegidos en reposo y durante su circulación, tanto cuando las personas usan sus credenciales como cuando están almace- nados en sus dispositivos personales. Las medidas de seguridad deben incluir sistemas orientados a concienciar sobre la utilización segura del sistema y a notificar a los titulares en caso de violación de sus datos, y también recursos para los casos en que los documentos de identidad hubieran sido robados o comprometidos y fuera necesario volver a emitirlos. • Precisión. El suministro de datos de identidad precisos y actualizados es uno de los principios fundamentales de la protección de datos y uno de los dere- chos de los titulares, y también resulta esencial para la fiabilidad del sistema. Los sistemas de identificación deben estar diseñados de manera que los datos recopilados sean exactos y deben disponer de procedimientos sencillos para que los usuarios puedan ver los datos, actualizarlos y corregir los errores, a fin de asegurar la precisión a lo largo del tiempo. 15 En líneas generales, el “nivel de seguridad” representa la magnitud de la confianza que una credencial o un sis- tema de identificación determinados inspiran a un tercero en que la identidad que una persona o una entidad afirman tener es su “verdadera” identidad. Depende de múltiples factores, como la solidez del proceso de acre- ditación de la identidad cuando las personas están inscritas en un sistema de identificación y se les expiden cre- denciales (nivel de seguridad de la identidad), la solidez de la tecnología y el proceso de autentificación (nivel de seguridad de la autentificación) y, en caso de que se utilice un modelo federado, el protocolo de aserción usado por la federación para comunicar la información relativa a la autentificación y a los atributos (nivel de seguridad de la federación) (adaptado de NIST 800-63:2017). 4 Crear una plataforma responsiva e interoperable. • Responsividad. Los servicios de identificación y autentificación deben dise- ñarse para atender las inquietudes y las necesidades reales de la gente. Ade- más, deben ser flexibles, ampliables y útiles para los organismos públicos y las entidades del sector privado que recurren a ellos a efectos de identifica- ción y autenticación. Ello requiere extensas consultas con las partes intere- sadas y un enfoque participativo que gire en torno a las personas (incluidos la sociedad civil, el público en general, los prestadores de servicios y otras partes que utilizan los sistemas de datos), se inicie con el proceso de diseño y continúe durante toda la implementación. • Interoperabilidad. Con sujeción a las leyes y los reglamentos sobre intercam- bio de datos y las salvaguardias técnicas apropiadas, incluidos los principios de “privacidad desde el diseño”, la capacidad de los sistemas de identifica- ción para comunicarse con otros sistemas (por ejemplo, los de registro civil y los prestadores de servicios) e intercambiar preguntas o información facilita servicios como las certificaciones o la verificación de identidad, el proceso de “Conozca a su cliente” por vía electrónica, otros intercambios de datos con autorización y el reconocimiento mutuo de sistemas de identificación transfronterizos16. 5 Utilizar estándares abiertos y evitar la dependencia de proveedores y tecnologías. • Estándares abiertos. Los diseños basados en ellos facilitan la innovación y la competencia de mercado17. Los estándares abiertos son esenciales para aumentar la eficiencia y mejorar la funcionalidad y la adaptabilidad de los sistemas de identificación, tanto dentro de los países como más allá de las fronteras. • Evitar la dependencia de determinados proveedores y tecnologías. Los pro- cesos de adquisiciones adecuados facilitan la competencia, promueven la innovación y evitan la dependencia de proveedores y tecnologías, que pue- den aumentar los costos y reducir la flexibilidad para adaptarse a los cambios con el correr del tiempo. Los procesos de adquisiciones deben enfatizar la buena relación costo-beneficio, la economía, la integridad, la adecuación a la finalidad, la eficiencia, la transparencia y la justicia. Una gestión eficaz de los contratos asegurará que estos beneficios se mantengan durante toda la implementación. 16 La interoperabilidad transfronteriza puede facilitar la migración y el comercio, pero es preciso implantar controles para proteger la seguridad de grupos vulnerables, como los refugiados, cuyos datos personales deben, en mu- chas ocasiones, ponerse a resguardo de autoridades de su país de origen. 17 Por ejemplo, la Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/CEI) ha elaborado estándares que abarcan muchos aspectos de los sistemas de identificación. Para más información, véase Banco Mundial (2016), Technical Standards for Digital Identity Systems: Formulating a Strategic Approach (Normas técnicas para los sistemas de identidad digital: Formulación de un enfoque estratégico). Principios sobre la Identificación para el Desarrollo Sostenible 15 16 6 Proteger la privacidad y la capacidad de acción de las personas mediante el diseño de sistemas. • Enfoque de protección de la privacidad desde el diseño. Los sistemas de identificación deben configurarse en forma predeterminada para priorizar y proteger los datos y la privacidad, sin requerir a los individuos que rea- licen alguna acción especial adicional. Los datos personales, incluidos los vinculados o vinculables con una persona, deben ser protegidos del uso indebido, proactivamente y por defecto, mediante un marco legal y regla- mentario robusto, un diseño adecuado del sistema y la adopción de normas técnicas y controles operacionales18. • Los principios de protección de datos en la práctica. El diseño, las políticas y la tecnología empleados por los sistemas de identificación deben cumplir con normas internacionales de protección de datos relativas a la minimiza- ción y la proporcionalidad de los datos, la especificación del propósito, el tratamiento lícito, la limitación rigurosa de la retención de datos, la preci- sión de los datos, la seguridad, la rendición de cuentas y la transparencia, entre otras cuestiones19. Por ejemplo, los sistemas de identificación deben limitar la recopilación y la revelación de datos —particularmente la informa- ción personal sensible20—, en especial en las credenciales y en la estructura de los números de identificación. Los protocolos de autentificación deben revelar solo los datos mínimos necesarios para que los niveles de seguri- dad sean apropiados y retener los datos únicamente durante el plazo que sea necesario para cumplir con el propósito para el cual se pueden usar legítimamente o se ha dado consentimiento. Estos niveles y el método de autentificación deben reflejar la evaluación del nivel de riesgo de las tran- sacciones y deben basarse, preferentemente, en normas internacionales reconocidas21. Las reglas y las políticas sobre datos deben ser transparentes y deben ponerse a disposición de las personas en un formato sencillo para que estas tomen conocimiento de sus derechos y de los procesos existen- tes para controlar o supervisar sus datos. 18 Acerca del enfoque de “protección de la privacidad desde el diseño”, véase, por ejemplo, Cavoukian, A. (2011), Privacy by Design: The 7 Foundational Principles. Implementation and Mapping of Fair Information Practices (Privacidad desde el diseño: Los siete principios básicos. Aplicación y trazado de las prácticas informativas justas), https://iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf. 19 Entre los ejemplos de normas que se suelen citar se encuentran las prácticas informativas justas, las Directri- ces de Privacidad de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), el Reglamento General de Protección de Datos de la Unión Europea, los Principios de las Naciones Unidas sobre Privacidad y Protección de los Datos Personales, y la Convención 108+. 20 Lo que se define como “información personal sensible” puede variar según el contexto, pero normalmente la expresión se refiere a los datos que se podrían utilizar para crear identidades fraudulentas o para caracterizar o señalar a personas específicas. Están incluidos los datos biométricos y los números identificativos, como los números de identidad permanentes o únicos, y atributos tales como la religión, el origen étnico, la casta y la afiliación política. La divulgación de información identificativa puede entrañar riesgos particularmente graves para determinadas personas, por ejemplo, los solicitantes de asilo y los refugiados. Por estos motivos, en los sistemas de identificación utilizados principal o exclusivamente con fines humanitarios, en particular en entor- nos afectados por conflictos, violencia y fragilidad, se aplican criterios específicos. Véanse, por ejemplo, Policy on the Processing of Biometric Data by the ICRC (Política sobre el Procesamiento de Datos Biométricos por el CICR), Comité Internacional de la Cruz Roja (CICR) (2019), disponible en https://www.icrc.org/en/download/ file/106620/icrc_biometrics_policy_adopted_29_august_2019_.pdf, y el Manual sobre Protección de Datos en la Acción Humanitaria, publicado por el CICR y Brussels Privacy Hub, segunda edición (2020). 21 Esas evaluaciones del impacto del riesgo deberían ser ejecutadas por la entidad responsable que crea, re- copila, comparte o utiliza datos a los fines de autentificación e identificación vinculados al caso específico. Algunas de las normas vigentes sobre los niveles de seguridad para la verificación de identidad son la norma ISO/CEI 29115 y las emitidas por eIDAS, la Oficina del Gabinete del Reino Unido y el Instituto Nacional de Nor- mas y Tecnología de los Estados Unidos (NIST). 7 Planificar para la sostenibilidad financiera y operacional. • Sostenibilidad. Los sistemas de identificación deben ser diseñados de manera que aseguren la estabilidad fiscal y operacional a largo plazo. Ello exige un enfoque del diseño transparente y basado en los resultados, para que el sistema sea acorde con su objetivo y tome decisiones técnicas y de gestión sostenibles, y la adopción de modelos de negocios que aseguren la durabilidad del sistema sin poner en peligro otros Principios. El cobro de cargos por los servicios de identificación puede crear barreras al acceso, la inclusión de las personas y la adopción por los prestadores de servicios. Los esfuerzos para recuperar los costos aumentando la eficiencia y reduciendo las filtraciones deben también ponderar en las metas de ahorro fiscal la posibilidad de que aumenten los errores de exclusión. Los sistemas de iden- tificación deben estar diseñados para incentivar a todas las partes involu- cradas a exhibir altos estándares de desempeño. Principios sobre la Identificación para el Desarrollo Sostenible 17 18 GOBERNANZA Proteger los datos personales, mantener la ciberseguridad y 8 salvaguardar los derechos de las personas por medio de un marco legal y reglamentario amplio. • Marcos legales y reglamentarios. Los sistemas de identificación deben estar respaldados por marcos legales y reglamentarios legítimos, amplios y que se puedan hacer cumplir; y por políticas sólidas que promuevan la confianza en el sistema, velen por la protección y la privacidad de los datos (incluida la ciberseguridad), mitiguen abusos tales como la vigilancia no autorizada en violación de los debidos procesos legales, no sean discrimi- natorias y promuevan la inclusión, particularmente de grupos vulnerables o marginados, y garanticen la rendición de cuentas. Los marcos legales deben delinear claramente las responsabilidades y los recursos a disposi- ción de los particulares y deben ser supervisados por organismos regulato- rios independientes dotados de las facultades adecuadas y financiamiento constante. También deben impedir que se acceda de forma inapropiada a los datos de las personas y que estos sean objeto de vigilancia indebida o se utilicen para la elaboración ilícita de perfiles. Los marcos deben hallar un equilibrio entre los modelos regulatorios y de autorregulación que no ahogue la competencia, la innovación y la inversión. Los marcos legales y reglamentarios apropiados también son necesarios para la interoperabili- dad transfronteriza o el reconocimiento mutuo22. • Derechos de los titulares de los datos. Los servicios de identificación deben dar a las personas opciones genuinas y la capacidad de controlar el uso de sus datos, incluida la posibilidad de revelar selectivamente solo aquellos atributos que sean necesarios para una determinada transacción. Los particulares deben contar con medios sencillos para corregir gratuita- mente los datos inexactos y obtener una copia de sus datos personales. No debe haber segundas intenciones ni propósitos velados en el uso de la información personal sin el consentimiento informado del titular, a menos que así lo exija o lo autorice la ley (por ejemplo, si el uso es necesario y proporcionado)23. Los proveedores de identidad y otras partes interesa- das deben obrar con transparencia en la gestión de la identidad; deben elaborar los recursos apropiados para dar a conocer a las personas cómo se utilizarán sus datos y deben proporcionarles instrumentos accesibles y fáciles de usar para administrar sus datos, otorgar su consentimiento informado y tramitar reclamaciones. Los proveedores de identidad deben garantizar que el proceso inicial para la corrección de errores no sea judi- cial, sino administrativo, a fin de acelerar su resolución y reducir los costos. Los acuerdos sobre intercambio de datos también deben ser transparentes y estar plenamente documentados. 22 Por ejemplo, los solicitantes de asilo y los refugiados deben recibir consideración especial; véase UNHCR Ad- visory Opinion on the Rules of Confidentiality Regarding Asylum Information (Opinión consultiva del ACNUR sobre las reglas de confidencialidad relativas a la información sobre el asilo), en https://www.refworld.org/ docid/42b9190e4.html. 23 Véanse, por ejemplo, los artículos 5, 10 y 11 de la Convención 108+. 9 Establecer mandatos institucionales y procedimientos de rendición de cuentas claros. • Mandatos institucionales. La legislación, los reglamentos y los marcos de confianza deben establecer y regular mecanismos de gobernanza integra- les para los sistemas de identificación y los proveedores nacionales y, si corresponde, internacionales. Deben especificarse los términos y las con- diciones que rigen las relaciones institucionales entre las partes intervi- nientes, de modo que todas tengan en claro los derechos y las responsa- bilidades de cada una. • Rendición de cuentas. Las funciones y las responsabilidades de todas las entidades que participan en la creación, el funcionamiento, la gestión y la supervisión de los sistemas de identificación deben caracterizarse por la transparencia y una clara rendición de cuentas. Principios sobre la Identificación para el Desarrollo Sostenible 19 20 Hacer que se cumplan los marcos legales y de confianza 10 mediante la supervisión independiente y la resolución de reclamaciones. • Supervisión. El uso de los sistemas de identificación debe ser monitoreado en forma independiente (por cuestiones de eficiencia, transparencia, exclusión y uso indebido, entre otras) para asegurar que todas las partes interesadas cumplan con las leyes y los reglamentos vigentes, utilicen ade- cuadamente los sistemas para los propósitos previstos, realicen controles y respondan ante posibles violaciones de datos, y reciban las quejas o las inquietudes relativas al procesamiento de datos personales. Las entidades reguladoras deben contar con los recursos suficientes y estar facultadas para ejercer las funciones que fija la ley. • Resolución de reclamaciones. Las disputas acerca de la identificación y el uso de datos personales (por ejemplo, la negativa a inscribir a una per- sona o a corregir datos, o la determinación desfavorable de la condición jurídica de una persona) que no sean resueltas satisfactoriamente por los proveedores de identidad deben ser objeto de un examen rápido y de bajo costo a cargo de autoridades administrativas y judiciales independientes y facultadas para otorgar una reparación apropiada sin añadir barreras a la persona. Fotografías | Cubierta: ONU-Mujeres/Fatma Elzahraa Yassin (parte superior), iStock.com/hadynyah (medio) y iStock.com/borchee (parte inferior); página 7: UNICEF/BANA2012-02020/Jannatul Mawa; página 9: iStock.com/Bartosz Hadyniak; página 11: Sébastien Rieussec/Safran; página 15: Medios de Comunicación, Naciones Unidas/Jashim Salam. ENDORSING ORGANIZATIONS ORGANIZACIONES PATROCINADORAS PCAG PCAG We welcome Invitamos additional a otras organizations organizaciones to join us inpara a acompañarnos endorsing these ratificar Principles estos Principios February Febrero de2021 2021