Data Privacy. Lo que el Gobierno sabe de vos.

Decir que no te preocupa la privacidad porque no tienes nada que ocultar es como decir que no te preocupa la libertad de expresión porque no tienes nada que decir.  

– E. Snowden

En Contexto 

Cada vez son más los países de la región que día a día avanzan en materia de Protección de Datos Personales y Seguridad Informática. Sin embargo, la Argentina es una de esas excepciones.

Doce años después del último recuento realizado en nuestro país y después de numerosos hechos de vulneración de datos personales dentro del Estado Argentino, el Gobierno Nacional se pone en campaña para realizar el Censo Nacional de Población, Hogares y Viviendas 2022.

Como si no hubiera algo mejor en qué gastar nuestros impuestos, el día miércoles 18 de Mayo del corriente año, el para nada intrusivo o innecesario INDEC, tocará las puertas de todos los argentinos. Y no será precisamente para preguntarte qué hiciste el fin de semana (o si), sino que lo hará para recolectar información sobre vos y tu entorno, y de esta manera hacer uso del mismo para la conformación de políticas públicas que luego derivarán en mayor riesgo de vulneración de datos personales y robo de información sensible. Y aunque lo anterior suene desmotivador, créeme que al final de la nota vas a sentirte un poco mejor. Espero..

Hoy vamos a indagar sobre algunas consideraciones que creo que tenés que tener en cuenta antes de que llegue ese día, y de esta manera puedas tener mejores precauciones a la hora de otorgar información personal a terceros.

Censo 2022

Este nuevo recuento incluirá varias cuestiones nuevas. Por ejemplo, será la primera vez que se podrá realizar el censo de manera digital. Y la primera vez en la historia argentina que el censo se vincularía a un dato de identificación unívoca como el DNI, lo cual afectaría la privacidad de las personas. Además, se crearía una base de datos con información altamente sensible de la población. La remoción del anonimato es contraria a las recomendaciones y buenas prácticas estadísticas a nivel nacional e internacional (Ley Nº17.622 y Disposición Nº176/99 del INDEC)

Paralelamente a esto, ciertas agrupaciones toman la iniciativa de reclamar que se los reconozca estadísticamente en este censo, por ejemplo la comunidad de “Tejido de Profesionales Indígenas” perteneciente a los Pueblos Originarios, que reclaman por visibilidad censal ya que según ellos, mientras más integrantes sean reconocidos, mejores serán las políticas públicas que beneficien a su comunidad.

Otro es el tema de género, donde Organizaciones Sociales relacionadas a la comunidad LGTB reclaman que en el actual formato de preguntas del Censo 2022 no están reflejados adecuadamente todo el arco de identidades (¿Debería existir una lista de los 37 géneros reconocidos actualmente?), además se agrega el cuestionamiento a que en un apartado se toma como lo mismo a “Mujer Trans” con “Travesti”.

Sin embargo, pude encontrar un proyecto que se acercó bastante a la cuestión del resguardo de datos personales. Es el caso de la acción de Amparo que distintas organizaciones sociales (tales como Fundación “Vía Libre” y O.D.I.A.) presentaron para que no se pida el DNI durante el censo de este año en defensa de todos los ciudadanos que se vieran afectados por el mal manejo de la información personal que vayan a otorgar. 

Desde la justicia se resolvió que el INDEC no deberá pedir DNI el miércoles 18 de mayo, aunque no quedó claro el tema con el formulario digital. Ya que en la plataforma del censo, el INDEC sigue solicitando N.º de DNI. El director del organismo público encargado del censo, Marco Lavagna, comentó a medios periodísticos que la solicitud del número de DNI solo se utilizará para validar los datos en la plataforma, no se adjuntará al formulario de la persona que realiza el censo y que dichos datos de identificación se destruirán automáticamente luego de completado el proceso. ¿Vos decís?

El Miércoles 18 de Mayo es un día clave, no podemos estar seguros que el proceso censal no sea vulnerado y los datos filtrados. De hecho, no sería la primera vez que sucede. Nos abstendremos a decir solamente que llegar a ese día habiéndose informado debidamente sobre temas de protección de datos personales nos daría una ventaja importante si llegara a suceder algo inesperado.

Una desactualizada Ley de Protección de Datos Personales.

Ya van a ser más de 20 años desde la promulgación de la Ley de Protección de Datos Personales. Sin lugar a duda, en el transcurso de este tiempo, el avance tecnológico y digital a nivel mundial ha cambiado incontables veces, y esto debería obligar a los gobiernos a adaptarse a los últimos estándares en materia de seguridad informática. Sin embargo la Argentina no es este caso, las nuevas tecnologías en términos de procesamiento de datos masivos y su correcta manipulación no son el fuerte de los distintos gobiernos que pasaron por nuestro país. A modo de ejemplo mencionaré el caso RENAPER.

     Es primordial para la población argentina la actualización inmediata de dicha Ley, para poder resguardar de manera efectiva la información personal que el Estado ya posee sobre nosotros. Es importante impulsar proyectos que mejoren cada vez más la seguridad durante la recolección y procesamiento de información privada que entidades gubernamentales, en su deficiente comportamiento, recaudan día a día.

Filtración de datos del RENAPER

En octubre de 2021 se conoció que la base de datos del Registro Nacional de las Personas (RENAPER) había sufrido una vulneración de seguridad donde se extrajo información de los documentos nacionales de identidad como foto y número de trámite. De acuerdo a comunicaciones oficiales, se detectó el uso indebido de una clave otorgada al Ministerio de Salud de la Nación por la cual se accedió al sistema y se obtuvieron los datos. Pese a que el Ministerio del interior no lo considera vulneración o filtración de datos, muy por el contrario, esto representa una seria vulneración al sistema informático.

La negativa del RENAPER de dar respuesta a los pedidos de acceso a la información pública va en contra de la normativa nacional y opaca la transparencia con la que el Estado debería actuar.

Esta vulneración se suma a una larga lista de incidentes haciendo de esto ya un problema estructural. Entre ellos, el incidente conocido como “la gorra leaks”, la filtración de la base de datos del Instituto de la Obra Social de las Fuerzas Armadas, la vulneración de la base de datos de la Dirección Nacional de Migraciones y la filtración de datos del Ministerio de Salud, solo para mencionar los más recientes.

Persecución criminal a quienes denuncian vulnerabilidades en los sistemas informáticos.

El trabajo de la comunidad de seguridad de la información es esencial para garantizar que los sistemas informáticos cuenten con medidas de seguridad suficientes para evitar vulneraciones. En las numerosas oportunidades que estos defectos han sido descubiertos por especialistas, el accionar estatal ha consistido en perseguir a quienes realizan las denuncias o a miembros de la comunidad sin basamento fáctico.

Por ejemplo, Gaspar Ariel Ortmann fue perseguido al denunciar una vulnerabilidad en el sistema de HomeBanking del Banco Nación pese a haber actuado de buena fe y comunicado el problema a las autoridades correspondientes. En diciembre de 2020 el juez a cargo de la causa decidió su absolución y determinó que su actuar no solo no constituyó un acceso ilegítimo sino que reconoció la utilidad pública de su actividad.

Sistemas informáticos ineficientes. La evidencia que demanda una mejora inmediata.

 Podemos ver que a lo largo de estos últimos años, el Estado ha implementado numerosas tecnologías potencialmente peligrosas sobre su población (como reconocimiento facial y cámaras térmicas) o sistemas informáticos que en un potencial uso indebido pueden desencadenar en serias vulneraciones a los derechos de ciudadanía (por ejemplo el Sistema Federal de Identificación Biométrica, apps relacionadas al cuidado contra el Covid-19 entre otros)

Sin embargo, en ningún momento durante el desarrollo o implementación de estas tecnologías, se han establecido barreras de seguridad óptimas que eviten la incorrecta manipulación de los datos recaudados sobre la ciudadanía ; No hubieron debates abiertos con sectores interesados, estudios de impacto sobre la privacidad, auditorías independientes, transparencia en el desarrollo.

Conclusión

 El mensaje tiene que ser claro: Es importante contar con información clara y precisa respecto a las herramientas con las que el Estado protege nuestros datos personales y qué datos personales poseen de la población.

Se debe suspender la adquisición, implementación y desarrollo de nuevas tecnologías de procesamiento masivo de datos por parte del gobierno hasta que: Se generen nuevos mecanismos de participación ciudadana y protección de datos personales previos al desarrollo e implementación de tecnologías que puedan poner en riesgo la privacidad y seguridad de las personas afectadas, se generen herramientas jurídicas que salvaguarden la seguridad de aquellas personas que denuncien fallas en los sistemas informáticos que utiliza el gobierno, y por supuesto, se realice una inmediata actualización a la Ley de Protección de Datos Personales, la cual lleva más de 20 años desde su promulgación.

La responsabilidad queda en nosotros, nuestra información personal forma parte de nuestra propiedad, y nadie tiene el derecho a hacer uso del mismo sin nuestro consentimiento. Por eso es importante mantenernos informados acerca de cómo evitar que esto suceda. Aquellos que no toman en cuenta eso, terminarán probablemente destinados a fracasar. En cambio, una sociedad atenta a los grandes cambios y dispuesta a impulsar nuevas formas de adaptarse a los mismos tiene por consecuencia una gran prosperidad.

“No hay libertad para un hombre donde su seguridad, su vida y sus bienes están a merced del capricho de un mandatario”

Juan Bautista Alberdi