¿De quién son nuestros datos? Lo que revela la cédula digital

Desde 2022 he hablado de problemas estructurales del modelo de identidad digital que ha desarrollado la Registraduría Nacional del Estado Civil (RNEC) en Colombia. Este modelo no se sustenta en normas legales producto del debate democrático en el Congreso, sino en actos administrativos y contratos. Además, depende fuertemente del sector privado -en particular de la empresa francesa IDEMIA- y se ha implementado sin una evaluación suficiente de sus impactos en los derechos de las personas. Un reciente informe de la Fundación Karisma -soy parte de su junta directiva- aporta nuevos elementos que confirman este panorama.

El informe, titulado “Análisis de la aplicación Cédula Digital”, describe la aplicación como la “llave maestra de la transformación digital en Colombia” porque permitirá la interoperabilidad entre los servicios digitales del Estado, conectará con servicios financieros y servirá para recibir notificaciones y documentos oficiales. A lo que, agrego, permite la consulta de la base de datos biométrica para la fuerza pública, lo que facilita las labores de vigilancia,

El hallazgo principal es la confirmación del rol central de IDEMIA en la gestión de la identidad en Colombia. Aunque la RNEC presenta la aplicación como una solución nacional, el informe demuestra que se trata de una versión local (rebranding) del sistema Mobile ID, desarrollado por IDEMIA e implementado en varios países. En la práctica, en la versión local la RNEC funge como fachada institucional: promueve y respalda la aplicación, pero su operación y control técnico están en manos de la empresa francesa, que accede a las bases de datos y administra la infraestructura principal.

Para Karisma, este rol convierte a IDEMIA en encargada del tratamiento de los datos personales, según la legislación colombiana de protección de datos. Sin embargo, la RNEC no reconoce públicamente esta función, ni la incluye en la información disponible en las tiendas de aplicaciones o en las políticas de privacidad. Así, las personas usuarias desconocen que una empresa privada extranjera gestiona sus datos más sensibles.

Esta falta de transparencia no solo vulnera la ley de protección de datos, sino que plantea preguntas sobre el grado de dependencia tecnológica del Estado frente a un proveedor privado y si ello resulta aceptable en términos de soberanía y derechos.

La investigación también revela que la aplicación no solo envía información a dominios controlados por IDEMIA, sino también a servidores de otras empresas. Se identificaron cinco componentes de terceros que funcionan como rastreadores para analítica y marketing digital. Que una aplicación estatal, presentada como pilar de la transformación digital, alimente el ecosistema publicitario global es alarmante. Si algo similar ocurriera con las bases de datos de la cédula física colombiana, sería considerado un escándalo, especialmente en tiempos preelectorales.

En materia de seguridad digital, el informe reconoce la existencia de buenas prácticas y medidas adecuadas, aunque también detecta vulnerabilidades moderadas que fueron notificadas a la RNEC para su corrección. Estas vulnerabilidades, así sean moderadas, junto con los problemas de privacidad ya mencionados, son suficientes para plantear la necesidad de que se pida una auditoría de seguridad digital externa, independiente y transparente que pueda ofrecer transparencia y explicabilidad a lo que sucede con la aplicación. Es de esperarse que la propiedad intelectual de IDEMIA sobre buena parte de esta solución tecnológica no sea barrera para que se lleve a cabo una auditoría de este tipo, como ya pasó en el caso del software electoral.

Otro hallazgo clave del informe es el relacionado con la accesibilidad. Ya sabíamos el problema que surge de que la aplicación solo pueda instalarse en dispositivos recientes (Android 12+ o iOS 17+), lo que excluye a una porción de la población y dificulta su masificación. El informe encontró que además el sistema de reconocimiento facial -método de activación de la aplicación- presenta barreras adicionales para personas con discapacidad visual, incluso leve, limitando aún más su acceso.

Si la cédula digital llega a convertirse realmente en la “llave maestra” de la vida ciudadana, el ejercicio de varios derechos y múltiples actividades cotidianas llegarán a depender de este documento. En ese escenario, los riesgos de dependencia tecnológica, abusos y sesgos deberían estar en el centro del debate.

Así como el caso de los pasaportes abrió la discusión sobre soberanía tecnológica, la cédula digital exige un análisis aún más profundo. En materia de servicios públicos, seguimos legislando como si el Estado tuviera control pleno, cuando en la práctica muchos sistemas están ya en manos de empresas privadas -muchas de ellas extranjeras- y el país carece de estrategias claras para enfrentar estos desafíos.