Resumen y resultado del caso

El Tribunal Superior de Kenia sostuvo que la recopilación de datos de ADN y GPS constituía una violación injustificable del derecho a la privacidad y, por lo tanto, era inconstitucional. A su vez, agregó que el marco general de protección de datos era deficiente. Tras la promulgación de enmiendas a la Ley de Registro de las Personas, que disponían la creación de una base central de datos biométricos y la implementación de un sistema numérico de identificación única, tres organizaciones no gubernamentales iniciaron acciones ante el Tribunal. El Tribunal aceptó la necesidad que tiene el Estado de recopilar y conservar ciertos datos biométricos, pero sostuvo que los beneficios que plantea la recopilación de datos de ADN y GPS no compensan los riesgos que esto entraña y, por lo tanto, no puede justificársela. A pesar de la adopción de la Ley de Protección de Datos durante el proceso, el Tribunal planteó que el marco regulador que regía la recopilación de datos no era lo suficientemente completo y declaró que el sistema sólo podría implementarse a pleno si se adoptaba un marco regulador integral de protección de datos.

---

Hechos

El 20 de noviembre de 2018, se promulgó en Kenia la Ley de Derecho Estatutario (Enmienda Miscelánea) n.º 18. La Ley modificó la Ley de Registro de las Personas (capítulo 107 de las Leyes de Kenia) (la Ley) y estableció el Sistema Nacional Integrado de Gestión de la Identidad (NIIMS), una fuente central de datos personales de todos los ciudadanos y extranjeros residentes en Kenia. El artículo 9A(2) establece las funciones del NIIMS:

a) Crear, administrar, mantener y gestionar un registro nacional de la población como fuente central de datos personales de todos los ciudadanos kenianos y los extranjeros registrados residentes en Kenia.

b) Asignar un número único de identificación nacional a cada persona inscrita en el registro.

c) Recopilar, armonizar e incorporar en el registro la información proveniente de las bases de datos de otros organismos gubernamentales relacionados con el registro de las personas.

d) Propiciar la impresión, distribución y entrega de todas las tarjetas de identificación nacional, tarjetas de refugiado, certificados de extranjería, certificados de nacimiento y defunción, licencias de conducir, permisos de trabajo, pasaporte y documentación para viajes al extranjero, tarjetas de identificación de estudiante emitidas en virtud de la Ley de Registro de Nacimientos y Defunciones, la Ley de Educación Básica, la Ley de Registro de las Personas, la Ley de Refugiados, la Ley de Tráfico, la Ley de Ciudadanía e Inmigración de Kenia y todos los demás documentos de identidad emitidos por el gobierno, según lo especifique el Secretario del Gabinete mediante notificación en el boletín oficial.

e) Con la colaboración de las diversas autoridades emisoras, diseñar un formato de documento de identidad que reúna toda la información contenida en los ítems enumerados en el párrafo (d) para emitir un solo documento, cuando corresponda.

f) Verificar y autenticar la información relativa al registro e identificación de las personas.

g) Cotejar la información obtenida en virtud de esta Ley y reproducirla según sea ocasionalmente necesario.

h) Velar por la conservación, protección y seguridad de la información o los datos recogidos, obtenidos, mantenidos o almacenados en el registro.

i) Corregir errores en los datos registrados, si así lo requiere una persona o por iniciativa propia, para garantizar que la información sea fidedigna, completa, actualizada y no engañosa.

j) Desempeñar aquellas otras funciones que sean necesarias o convenientes para el dar cumplimiento a esta Ley.

La Ley define el término «biométrico» como identificadores o atributos únicos que incluyen huellas dactilares, geometría de la mano, geometría del lóbulo de la oreja, patrones de retina e iris, ondas de voz y ácido desoxirribonucleico en formato digital; y define el término «servicios de posicionamiento global» como el identificador único de ubicación geográfica precisa en la Tierra, expresada en caracteres alfanuméricos, que es una combinación de latitud y longitud.

El Foro de Derechos de Nubia -una organización defensora de los derechos humanos que protege los derechos de la comunidad Nubia de Kenia-, la Comisión de Derechos Humanos de Kenia y la Comisión Nacional de Derechos Humanos de Kenia consideraron que estas enmiendas violaban el derecho a la privacidad protegido por el artículo 31 de la Constitución. El artículo 31 de la Constitución establece: «Toda persona tiene derecho a la privacidad, que incluye el derecho a que no se realice ninguno de los siguientes actos: (a) investigar  su persona o registrar su domicilio o bienes; (b) incautar sus bienes; (c) solicitar o revelar innecesariamente información relativa a su familia o asuntos privados; o (d) violar la privacidad de sus comunicaciones».

Cada organización presentó su petición ante el Tribunal Superior de Kenia y, posteriormente, todas se unificaron. Otras entidades, como Musulmanes por los Derechos Humanos, Haki Centre, Sociedad Legal de Kenia e InformAction, sumaron su apoyo a los peticionarios.

Los demandados fueron el Procurador General, el Secretario de Gabinete y el Ministro del Interior y de Coordinación del Gobierno Nacional; el Director del Registro Nacional; el Ministro de Información, Comunicación y Tecnología; el Vocero de la Asamblea Nacional y la Comisión de Reforma Legislativa de Kenia. La Sociedad de Bienestar Infantil de Kenia, la Sociedad Ajibika, Bunge La Mwananchi, el Grupo de Política Internacional y la Iniciativa de Apoyo a las Víctimas del Terrorismo se acoplaron a la posición de los demandados, contraria a las peticiones.

Antes de cerrarse el caso, el Parlamento de Kenia promulgó la Ley de Protección de Datos 29 de 2019.

---

Análisis de la Decisión

La sentencia fue dictada por el juez Mumbi Ngugi, la jueza Pauline Nyamweya y el juez Weldon Kipyegon Korir. Los temas centrales considerados fueron: si las enmiendas limitaban el derecho a la privacidad al permitir la recopilación de datos «excesiva, intrusiva y desproporcionada», si las garantías y los marcos de protección de datos eran deficientes y si las limitaciones eran justificables.

Los peticionarios enfatizaron la importancia del derecho a la privacidad y argumentaron que «el Estado no puede diluirlo, infringirlo ni interferir levemente sin la debida justificación». [Párrafo 709]. Argumentaron que la recopilación de datos de ADN y GPS era intrusiva e innecesaria, ya que no había restricciones legales sobre la retención de datos y el gobierno nacional no había explicado razones por las cuales era necesario reunirlos. Sostenían que los datos se recopilaban sin el consentimiento de los sujetos y que la Ley no era clara en cuanto al propósito de hacerlo. También manifestaron que se corría el riesgo de que terceros no autorizados accediesen a los datos personales almacenados en el NIIMS y que, sin salvaguardas sólidas, el uso de tecnologías biométricas puede «facilitar la discriminación, la elaboración de perfiles y la vigilancia masiva». [Párrafo 712]. Con respecto a la privacidad de los niños, su postura fue que -como la Ley establecía que sus disposiciones se aplicaban a personas mayores de 18 años- simplemente no alcanzaba a los niños y no podía utilizarse para recopilar datos biométricos de menores. Agregaron que, en todo caso, no se preveían salvaguardas para regular el uso de datos de niños y que no había evidencia de que la recopilación de datos biométricos pudiera prevenir delitos contra menores. También sostenían que no existían leyes de protección de datos para evitar que estos cayeran en manos no autorizadas y que «es imperativo que se fijen estándares técnicos y legales apropiados para garantizar la seguridad del sistema de identificación digital propuesto y la privacidad de los datos personales recopilados». [Párrafo 829]. Según su criterio, el Estado no había justificado dónde radicaba la importancia de la Ley como para llegar a infringir el derecho a la privacidad o por qué los medios adoptados eran el único camino para lograr el objetivo legislativo; y opinaban que no se había demostrado la utilidad del NIIMS en la prevención de delitos, uno de los propósitos declarados del sistema, ni que se habían considerado medidas menos restrictivas.

Los demandados del Estado argumentaron que era una práctica generalizada en todo el mundo recopilar datos biométricos, incluidos los datos del GPS, y que no había expectativas razonables de privacidad con respecto a las huellas dactilares y los escaneos del iris. El Estado sostuvo que la recopilación de datos biométricos de los niños ayudó a protegerlos contra la trata y a defender los derechos humanos básicos de la infancia, y que la recopilación de datos de ADN estaba permitida en Kenia y fue útil para resolver cuestiones de paternidad. Sin embargo, el Estado dijo que, en la práctica, no se recopilaban datos de ADN o GPS en Kenia, pero que hacerlo era, en teoría, importante. Según el Estado, existía un marco legal suficiente para la protección de datos y la constitucionalidad de una ley no puede determinarse por la falta de marcos legales o reguladores. Y reiteró que el propósito de la Ley era crear un sistema integrado de gestión de la identidad a escala nacional y que este era un objetivo estatal legítimo que no infringía en gran medida el derecho a la privacidad.

El Tribunal dividió las cuestiones relativas al derecho a la privacidad en cuatro apartados: (a) Si la información recopilada fue «excesiva, intrusiva y desproporcionada con respecto a los objetivos declarados del NIIMS»; (b) si se violó la privacidad de los niños; (c) si existen suficientes garantías legales y marcos de protección de datos personales que se recopilan en el NIIMS; y (d) si las enmiendas imponían una «limitación irrazonable e injustificable al derecho a la privacidad». [Párrafo 705].

El Tribunal analizó la naturaleza del derecho a la privacidad y la manera en que las jurisdicciones comparables habían abordado los problemas de privacidad de la información. Observó que el artículo 31 preserva el derecho y «protege contra infracciones específicas de la privacidad, incluida la revelación innecesaria de información relacionada con asuntos familiares o privados». [Párrafo 742]. El Tribunal se refirió al caso Bernstein c. Bester NO sustanciado ante el Tribunal Constitucional de Sudáfrica -que se tomó como jurisprudencia en los casos kenianos denominados Ebrahim c. Ashleys Kenia, Red de Cuestiones Legales y Éticas de Kenia sobre el VIH/SIDA (KELIN) c. Secretario del Gabinete del Ministerio de Salud, y Tom Ojienda que opera como Tom Ojienda & Associates Advocates c. la Comisión de Ética y Anticorrupción-; y a la protección del derecho consagrado en la Declaración Universal de los Derechos Humanos, el Pacto Internacional de Derechos Civiles y Políticos, el Convenio Europeo de Derechos Humanos y la Comisión Africana de Derechos Humanos y de los Pueblos. Describió el alcance del derecho como «incapaz de definición» y como un «conjunto o espectro de derechos que tienen una variedad de justificaciones». [Párrafo 748]. El aspecto del derecho en el presente caso era el derecho a la privacidad de la información, que incluye el derecho a controlar la propia información, y el Tribunal adoptó la definición consignada en el caso KELIN de que el derecho «protege contra la revelación innecesaria de información relacionada con la familia o asuntos privados de un individuo,… protege el núcleo mismo de la esfera personal de un individuo y -básicamente- prevé el derecho a vivir la propia vida con una interferencia mínima… [y] restringe la recopilación, el uso y la divulgación de información privada». [Párrafo 751]. Con referencia al caso sudafricano de Mistry c. Consejo Médico y Dental Interino de Sudáfrica, el Tribunal señaló que cuando la privacidad de la información está en discusión, la Justicia debe determinar si la recopilación de información fue intrusiva, si la información abarcaba aspectos íntimos de la vida del individuo, si la información era utilizada para un propósito diferente de aquel para el cual fue proporcionada, y si la información se difundió ampliamente.

El Tribunal reconoció que, dado que contienen información sobre una persona, la protección de los datos biométricos se encuadra en el artículo 31 y los datos recopilados conforme al NIIMS revisten el carácter de datos personales. Señaló que esto era importante ya que «la calificación de datos biométricos como personales tiene consecuencias importantes en relación con la protección y el procesamiento de dichos datos y -como tal- entraña el riesgo de violación del derecho a la privacidad en caso de que las medidas de protección sean inadecuadas». [Párrafo 760]. El Tribunal aceptó la categorización de «datos confidenciales» establecida en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, el Convenio de la Unión Africana sobre Ciberseguridad y Protección de Datos Personales, y la Ley de Protección de Datos recientemente sancionada,  y sostuvo que los datos biométricos y los datos de ADN «deben protegerse contra el acceso no autorizado, y el acceso a dichos datos también debe limitarse mediante prácticas de seguridad de datos eficaces diseñadas para evitar la divulgación ilegal y las violaciones de datos». [Párrafo 762].

El Tribunal sostuvo que cuando se implementó el NIIMS no existía la obligación de que una persona diera su consentimiento para que se recopilaran sus datos biométricos y, por lo tanto, aunque la Ley de Protección de Datos ahora exige el consentimiento y admite que la persona se niegue al procesamiento de sus datos, las enmiendas dieron luz verde a la recopilación de datos sin consentimiento. En referencia al Documento de Trabajo sobre Biometría del Consejo Consultivo sobre Protección y Privacidad de Datos de la Unión Europea, el Tribunal sostuvo que la recopilación de algunos de los datos biométricos permitida conforme al NIIMS fue intrusiva y citó el ejemplo de la recopilación de información de ADN sin el conocimiento del sujeto. Con respecto a la recopilación de datos de GPS, el Tribunal se refirió al caso de los Estados Unidos c. Antoine, en manos de la Corte Suprema de ese país, al señalar que las enmiendas requerían una «regulación más detallada y estricta sobre el uso de coordenadas de GPS» para evitar abusos. [Párrafo 771].

En consecuencia, el Tribunal sostuvo que la recopilación de datos biométricos y GPS implicaba recabar datos personales e información confidencial que debían ser protegidos y obligaban al Estado a adoptar medidas de protección de datos.

El Tribunal examinó si era necesario recopilar datos personales. Con referencia al caso indio Puttaswamy c. Union of India (II) y al Documento de Trabajo sobre Biometría del Grupo de Trabajo del artículo 29, el Tribunal señaló que el propósito de la recopilación de datos biométricos es verificar la identidad de una persona y que para que la recopilación sea permisible los datos biométricos recopilados deben ser universales, únicos y permanentes. [Párrafo 778]. Sostuvo que la mayoría de los datos recopilados en términos del NIIMS cumplieron con estos criterios, pero que no fue así en el caso de los datos de ADN. El Tribunal se refirió al caso S y Marper c. Reino Unido 30562/04, tramitado en el Tribunal Europeo de Derechos Humanos, al sostener que la recopilación de datos de ADN sujeto al NIIMS implicó una violación del derecho a la privacidad. También sostuvo que no quedaba en claro la necesidad de recopilar datos de GPS, especialmente si se tienen en cuenta los riesgos para la privacidad que plantea la recopilación de esa información.

En consecuencia, el Tribunal sostuvo que la recopilación de datos de ADN y GPS era «intrusiva e innecesaria» e inconstitucional, pero que la recopilación de otros datos biométricos no constituía una violación del artículo 31. También reconoció que el principal propósito del NIIMS era la autorización y verificación de personas, lo que hizo necesario crear una base de datos central y que los beneficios que aporta el NIIMS «son de interés público y no inconstitucionales». [Párrafo 790].

Seguidamente, el Tribunal evaluó si los procesos del NIIMS violaban el derecho de los niños a la privacidad. Su opinión fue que las razones aducidas por el Estado para justificar el registro de los niños conforme al NIIMS -la posibilidad de combatir el terrorismo, el tráfico de niños y el trabajo infantil, así como proteger los derechos constitucionales de los niños a la educación, nutrición, vivienda y atención médica, etc., y contra el abuso- eran «razonables y loables». [Párrafo 809]. En consecuencia, el Tribunal sostuvo que la recopilación de datos biométricos de niños era constitucional. Pero, indicó que la redacción y la estructura de la Ley eran tales que los niños quedaban fuera del alcance del NIIMS.

En su tercera etapa de investigación, el Tribunal se abocó a evaluar si las garantías legales y los marcos de protección de datos eran suficientes. Aceptó los argumentos de la Asamblea Global de Privacidad sobre los riesgos de exclusión, violaciones de datos y «ampliación gradual de la misión» (la recopilación de datos para un propósito, pero utilizado para otro fin) que plantean los sistemas de identidad biométrica, y señaló que el acceso no autorizado y el uso indebido pueden derivar en «discriminación, creación de perfiles, vigilancia de los sujetos y robo de identidad», y ese almacenamiento central significa que los interesados no tienen control sobre el uso que se hace de sus datos. [Párrafo 880]. Con referencia al informe sobre privacidad de datos del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, el Tribunal afirmó que «todos los sistemas biométricos, ya sean centralizados o descentralizados, y que utilicen tecnología de código abierto o cerrado, requieren una política de seguridad sólida y procedimientos detallados para su protección y seguridad que cumplan con las normas internacionales». [Párrafo 883]. El Tribunal tuvo en cuenta el GDPR, los Principios de la ONU sobre Protección de Datos Personales y Privacidad, los Principios de Privacidad de la OCDE y el Convenio de la Unión Africana sobre Ciberseguridad y Protección de Datos Personales. Su conclusión fue que la Ley de Protección de Datos había incorporado «la mayoría de los principios de protección de datos aplicables», pero que no eran válidos para la Ley de Registro de las Personas (la legislación pertinente en el presente caso) y que no se habían dictado las reglamentaciones  de la Ley de Protección de Datos necesarias.

El Tribunal también verificó si el régimen de protección era suficiente para proteger los datos informativos de los niños y sostuvo que la propia Ley no establecía ninguna protección; y que -aunque la Ley de Protección de Datos introdujo ciertos amparos- el marco legislativo en materia de protección de datos de menores devino en inadecuado debido a la falta de disposiciones específicas respecto de la protección infantil.

Así, el Tribunal sostuvo que «el marco legal sobre las operaciones del NIIMS no es conveniente y entraña un riesgo para la seguridad de los datos que se recopilarán en el NIIMS». [Párrafo 885].

Finalmente, el Tribunal examinó si las limitaciones al derecho a la privacidad -surgidas de la recopilación de datos de ADN y GPS y debido a las deficiencias en el marco de protección de datos- eran innecesarias, irrazonables e injustificables. Según la Constitución de Kenia, un derecho sólo puede limitarse en términos del artículo 24, que exige que la limitación se ajuste a la ley y «sólo en la medida en que la limitación sea razonable y justificable en una sociedad abierta y democrática cimentada sobre la dignidad humana, la igualdad y la libertad, siempre teniendo en cuenta la naturaleza del derecho o libertad fundamental». [Párrafo 912]. El Tribunal subrayó que la Justicia debe evaluar el propósito y la importancia de la limitación y si existen medios menos restrictivos a través de los cuales lograr el propósito previsto.

También sostuvo que no se justificaba la recopilación de datos de ADN y GPS sin las garantías y los procedimientos adecuados. Y agregó que el marco establecido en la Ley era incompleto y, por lo tanto, no constituía un instrumento integral para la recopilación de datos personales y, entonces, no era claro ni inequívoco. En consecuencia, el Tribunal concluyó que el proceso era injustificable e inconstitucional.

Por otro lado, declaró inconstitucionales los artículos que exigen la recopilación de datos de ADN y GPS, y sostuvo que el Estado podría implementar el sistema NIIMS «a condición de que exista un marco regulador apropiado y completo sobre la implementación del NIIMS que cumpla con los requisitos constitucionales aplicables». [Párrafo 1047].

---