Una propuesta para el Estado

Ya pasó una semana desde el primer post sobre http://www.documentos.gov.py. Luego del lanzamiento paulatinamente fueron agregando el captcha y hace unos días HTTPS. Salió publicada una nota en ABC argumentando que todos los datos publicados en el portal son “datos públicos y no existen riesgos”.

El problema sigue allí. Puedo ver y bajar mis documentos, y como feature adicional puedo ver y bajar los documentos de otras personas sin más. En todos los casos se puede “consultar y descargar la información y documentos públicos que otorga el Estado paraguayo de manera gratuita”. Lo mejor de todo es que “los documentos incluyen elementos de seguridad y validación como códigos de barra y QR únicos”. Como reza un logo en la parte superior de la página.

Cuando leemos “Permite exigir cambios en base a información” en el portal del gobierno abierto.  Si bien tomaron el reclamo, ¿qué más podemos hacer? El gobierno abierto en paraguay es in extremis, ¿deberá quedar como caso de éxito? En el Catálogo de Datos Abiertos Gubernamentales deberán agregar “Documentos de la población”.

Mi pedido y sugerencia para el Ministro-Secretario (David Ocampos) y para el Ministro Asesor (Hugo Correa) sigue siendo el mismo. Bajen el portal. Las modificaciones realizadas no son suficientes para evitar la exposición (para mi ilegal), atentando contra derechos constitucionales de toda la población documentada. Este atentado se da en un solo acto y de forma masiva. Si no lo bajan, haré uso de mis derechos para accionar utilizando otros canales que me ofrece el Estado.

Documentos

En el mundo “físico” si necesitas un documento expedido por el Estado vas a la Institución responsable de la expedición a solicitarla. Luego ¿Donde quedan tus documentos? Probablemente los tenes en tu billetera, o están en alguna carpeta guardada en alguna biblioteca, o con el contador, o con el médico. ¿A quienes le entregas esos documentos? A la autoridad que lo pida imagino, se lo mostrás a familiares. Pero no por que te pida algún documento me lo darás a mí. Tal vez se lo entregas a tu jefe por que lo solicita la empresa donde trabajas. El mundo “físico” funciona así.

En el mundo “virtual” desde hace años varias instituciones exponen datos tuyos. Es casi análogo a que cualquier persona extraña pueda ver tus documentos, urgar en tu billetera o en tu biblioteca. Y ahora con documentos.gov.py pueden “consultar y descargar la información y documentos públicos que otorga el Estado paraguayo de manera gratuita”. Donde tus “documentos incluyen elementos de seguridad y validación como códigos de barra y QR únicos” que puede tener cualquier persona que lo solicite sin tu consentimiento y sin que vos tengas idea del pedido. Sumamente peligroso.

Como ya varios me sugirieron en los últimos días, en poco tiempo tendremos el data set completo de la población en pastebin, y toda esa información al ser dato público (como afirma la SENATICs) será “legal” su exposición en otro formato como lo hace hoy documentos.gov.py.

Y vuelvo a repetir, como en cada post. La iniciativa es excelente, es e-Gov. Pero un e-Gov mal implementado, mal conceptualizado desde el inicio. Por eso sugiero que lo bajen hasta implementar algo que se ajuste al marco legal existente donde los esfuerzos se centren en proteger los datos de la población y no en su alegre exposición.

Una propuesta

Un posible esquema para evitar varios de los problemas que se tienen en esta implementación de documentos.gov.py es la siguiente:

Registro del usuario

Si necesitas urgente un documento, vas a documentos.gov.py y te registras en el sitio. Ingresas tu número de cédula de identidad y tu número de celular, tu email. Previendo la implementación de la autenticación por dos factores.

Para la pre-validación de esta cuenta se puede pedir diversos datos ya existentes en la cédula, pueden fijarse en la parte posterior. Esto debemos hacerlo así ya que no tenemos implementado de forma masiva firma digital (que debería ser la cedula de identidad misma, el token) Como lo es en varios países europeos. De cierta forma para probar que somos los propietarios de esa identidad.

Luego el portal enviará un mail que contendrá un URL para la activación del nuevo “perfil ciudadano”. O enviará un código al celular que deberá ser cargado en el portal para la activación del nuevo perfil.

En todos los casos para cualquier documento que se consulte ya no será necesario cargar de vuelta el número de cédula de identidad ya que el sistema sabrá cual es para un perfil determinado.

Cualquier documento que baje deberá estar en un FORMATO ABIERTO STANDARD FIRMADO DIGITALMENTE POR SENATICS. Para luego poder imprimirlo. El QR generado para este documento debe tener un límite de validez en el tiempo (1 a 6 meses).

La Verificación de terceros

Si necesito el documento de otra persona. Un esquema fácil de AUTORIZACIÓN es el de solicitar el documento original o la impresión del documento que se puede bajar del portal. Por ejemplo, el empleador solicita al empleado un documento. El empleado al entregar el documento impreso o el archivo digitalmente firmado DA SU CONSENTIMIENTO para que el empleador tenga el documento (una copia, fotocopia, etc.) y eventualmente, pueda validarlo en el mismo portal por medio del URL que contiene el QR. El documento bajado del portal como dije anteriormente, debe tener una validez de 1 mes a 6 meses. Si el documento se entrega en formato digital se podrá validar su autenticidad por medio de la firma digital a dicho documento.

De cierta forma, el empleado DA SU CONSENTIMIENTO para que puedan revisar sus datos entregando el documento impreso o el digital. Y/O firmando otro formulario (lo que normalmente se hace en los bancos y las telefónicas para acceder al tema inforconf, la persona que requiere el servicio o préstamo es FORZADA a RENUNCIAR a derechos constitucionales, pero este es otro tema).

Para realizar esta verificación por medio del QR será necesario estar logueado. Esto implica que el empleador deberá registrarse en el portal. De tal forma a que se pueda registrar quien consulto los datos de quien, para auditorias o investigaciones fiscales posteriores y sobre todo para que empleado o ciudadano pueda VER QUIEN CONSULTÓ QUE DOCUMENTO Y PARA QUÉ. Esto implica que para cada verificación se debe obligar a la persona que consulta dar las razones del acceso a esos datos.

En el perfil del empleado aparecerán aparte de la lista de documentos a los que puede acceder, todas las consultas que se realizaron sobre sus documentos.

Software creado

Todo el software implementado debería ser públicado en github o algún servicio parecido con licencia GPL v3 o similar como lo hacen otros estados. Esto debería ser así para todos los proyectos del Estado. (pero este tema es para debatirlo aparte)

Conclusión

Si este es el mecanismo, yo no podré ver los datos de otra persona alegremente como sucede ahora. No solo eso, ya no podré imprimir con código QR los documentos de otra persona. Y al tener el documento firmado digitalmente, puedo enviarlo por mail o cualquier otro medio.

Sé que esta solución tendrá muchos defectos, es mi aporte para ayudar a diseñar un sistema que proteja los datos del ciudadano ANTES que salga una Ley de Datos de Carácter Personal que todos coincidimos en que es necesaria y urgente. Moralmente es el deber de la SENATICs como institución que forma parte del poder ejecutivo.

Con este esquema seguirá siendo fácil y rápido, el acceso y la validación. Y podrán cumplir con la legislación vigente.

PERO deberían bajar todos los otros servicios que están distribuidos en las otras Secretarias/Ministerios para consolidar una sola forma de acceso a los documentos. (Esto implicará decisión política con decretos y/o resoluciones).

Con esto terminamos esta serie de post que pueden verse en I, II, III, IV, V, VI.

Las siguientes acciones las realizaré por los canales correspondientes.

Coincidencias y discrepancias, nota a TEDIC

Luego del último post salió publicado una nota a Maricarmen Sequera de TEDIC y Pablo Santacruz. Ella es abogada, conoce mejor las leyes, sus interpretaciones, etc. Al arrancar la nota se lee:

La experta explicó que los datos personales son de carácter público

Existen datos personales míos, tuyos que no pueden tener el carácter de público. Un ejemplo claro de esto son los resultados de análisis clínicos o el mismo historial médico. Estos “documentos” contienen datos sobre personas que deben ser resguardados ya que solo a la persona le interesa, existen otros más de este tipo. No todo dato que identifique a la persona DEBE ser público (Ej. el ADN, el geoposicionamiento). Si nuestra legislación tiene esta acepción la de que todo dato personal es de carácter público, esas leyes o artículos deben cambiarse, o minimamente regularse.

Por otro lado coincidimos en que la iniciativa de SENATICs es buena. Pero volvemos a discrepar en la facilidad. Acceder a MIS documentos DEBERÍA de ser fácil y rápido, de eso se trata e-Gov, las TICs, Internet. Pero aclaro que debería también acceder con la misma facilidad a los documentos de otras personas PERO CON AUTORIZACIÓN del propietario del documento. Y no de la manera indiscriminada como se puede acceder hoy. Finalmente son documentos de OTRA persona las que querría ver. Es más, también debería poder saber PARA QUE revisan mis documentos. Sobre todo si se van a mostrar los datos así como están en la actualidad.

Volvemos a coincidir en que es necesario una ley de protección de datos de carácter personal. Para regular el tratamiento, etc. etc.

Tengo un borrador de una propuesta para implementar los mecanismos que se necesitan. La haré llegar a la autoridad que tenga la intención de corregir este problema. Estoy seguro de que en varios ambientes se discutieron diferentes alternativas, la mía será una más de esas alternativas.

Mientras tanto en SENATICS

Desde el día de hoy se accede a la pagina vía https. El análisis de esto pueden verlo aquí y aquí (gracias thor) Recomendaría cambiar la configuración para evitar cifrados débiles entre otras cosas. El certificado tiene 3 meses de validez, por lo que probablemente será uno temporal. Pero vamos avanzando, lento, pero avanzando igual.

Finalmente.

Es normal que servicios como este estén siendo parchados a medida que avanza el tiempo así como lo hicieron en SENATICs. El problema acá radica en la misma concepción del sistema y la total falta de tino respecto a la seguridad del servicio. A partir de una interpretación de las leyes se realiza una implementación para acceder a datos de personas de forma irrestricta e indiscriminada, y por las características del sistema, a los datos de toda la población documentada. Este es el hecho grave. Esto debe ser investigado de alguna forma. Ya que los responsables no están asumiendo el problema, creo que otras instancias deberían de intervenir.

Para entender este post ver aquí, aquí y aquí, ademas de en los post anteriores.

Nudo Gordiano: dato privado de carácter personal vs dato público

Ayer salió publicada esta nota en ABC, se me escapó la nota, estaba con mis lechugas en el kokue 2.0. 

Solo para aclarar algunos puntos de la nota: nunca fui funcionario de la SENATIC. ni de la SETIC. Sí fui contratado para acompañar el diseño de dos áreas del Plan Director TIC, formé parte de un equipo fabuloso de profesionales. Tengo gratos recuerdos de aquella época. Al finalizar ese contrato salgo del proyecto, luego se crea la SETIC y posteriormente la SENATIC.

Bajo ningún aspecto estoy “en contra de las políticas actuales de la institución”. Es un contrasentido diseñar planes que se ejecutarán para luego ponerte en contra. Como ya dije en post anteriores es necesario y urgente la implementación del e-Gov en nuestro país.

Mi reclamo se centra en la exposición de datos de carácter personal de forma libre y sin restricciones por el esquema del sistema, por lo menos así como esta expuesto hasta el día de hoy en Internet. Concuerdo con Galli en el sentido de que no todos los datos expuestos son personales, pero no todos los datos expuestos tampoco son públicos por lo que están quebrantando la ley y pisoteando la constitución.

La intención de esta serie de post no fue más que la de señalar algunos errores que pueden ser corregidos. La corrección o no corresponderá a los responsables en sus respectivos estamentos. Por lo que esta serie continúa con ejemplos extremos.

En todo este tema lo técnico (informático) es trivial de solucionar y con la cantidad de excelentes técnicos que tiene la SENATICs, la tarea es sencilla. Por eso pondré de lado todo este aspecto. Si existe esta página, probablemente exista algún dictamen jurídico sobre todo, porque en la página de documentos.gov.py abajo se lee (al día de hoy):

Los documentos disponibles en línea son datos públicos de ciudadanos en formato digital provenientes del Sistema de Intercambio de Información entre instituciones del Estado. Esto garantiza que son datos confiables y verificables, emitidos por cada una de las instituciones.

Estos datos son información pública, que según define el Artículo 2˚ de la Ley N˚ 5.282/14 es aquella producida, obtenida, bajo control o en poder de las fuentes públicas, independientemente de su formato, soporte, fecha de creación, origen, clasificación o procesamiento, salvo que se encuentre establecida como secreta o de carácter reservado por las leyes. Igualmente, la Ley N˚ 1.682/01 en su Artículo 6˚ establece que podrán ser publicados y difundidos, los datos que consistan únicamente en nombre y apellido, documento de identidad, domicilio, edad, fecha y lugar de nacimiento, estado civil, ocupación o profesión, lugar de trabajo y teléfono ocupacional.

Si uno selecciona Consulta de Asegurado (IPS) y coloca su número de cédula, la consulta expone los siguientes datos:

Nro de cédula, Aporte Jubilación, Cantidad de Beneficiarios Activos, Empleador, Meses de Aportes, Fecha de Inscripción, Vigencia.

Esta claro que si pongo mi cédula tengo derecho  a saber esos datos. Pero ¿por qué puedo ver los de otra persona sin que exista algún sistema de registro de que hice la consulta?

Pero bueno, veamos, según el Art. 6 de la 1682/01. Aporte Jubilación, Cantidad de Beneficiarios Activos, Meses de Aportes, Fecha de Inscripción, Vigencia, ¿qué es?. Es dato privado, que yo puedo ver de cualquier otra persona. Estos datos no están en la lista de lo que se puede publicar. Ahora si para publicar esto se basan en el Articulo 2 de la ley 5282. Es dato público. Si esa es la acepción, entonces también lo serán:

• Las fotos de las cédulas de identidad
• Las huellas digitales (datos biométricos)
• Las Fichas Medicas del IPS y del MSPBS
• Las notas de todos los profesores del MEC
• Las notas de todos los alumnos del MEC
• etc. etc. etc.

Si todo esto es dato público, Insisto ¿por qué el sistema expuesto no tiene un método de registro de la consulta, procedimiento que está descripto en la ley y reglamentado en el decreto correspondiente?.

Ya pasaron cuatro días desde la primera denuncia y solo colocaron el captcha. Ni si colocan HTTPS (que según leo en declaraciones de funcionarios del CERT-PY en las RRSS tampoco es necesario, a los funcionarios del CERT-PY les sugiero que lean esto y esto ;D para ver como se trabaja en instituciones serias) van a solucionar el problema en sí por la forma en como expusieron el servicio.

Por lo que veo mi castellano es muy complicado. O soy muy malo redactando el reclamo. Lo que me resulta raro es que mucha gente entiende el planteamiento. Universos paralelos.

Es una pena que ataquen al mensajero y no se argumente contra el mensaje. Mucha inmadurez personal y profesional. (Como bien dijo Siscon en algún post que luego borraron).

Este nudo gordiano lo ató alguien o lo ataron varios funcionarios públicos. El nudo sigue creciendo, tan solo por no reconocer errores y corregirlos. Soberbia.

¿Quien será el Carlo Magno que corte este nudo? ¿El Ministro-Secretario? ¿El Ministro Asesor en TI? ¿El presidente? ¿O el Congreso?

Existe un juramento de defender la constitución, imagino que todos ellos lo hicieron.

La serie de post para entender esto es: I, II, III, IV

Repito mi solicitud a las autoridades: Baje los servicios de www.documentos.gov.py e implementelo de forma correcta en SENATICs y de soporte a los otros ministerios en el mismo sentido. Mis Datos de Carácter Personal NO SON PÚBLICOS. Mis documentos no pueden ser accedidos por cualquier persona.

Si efectivamente existe legislación que le permite publicar mis Datos de Carácter Personal sugiera modificaciones de las mismas y retrase el lanzamiento de la plataforma. Colabore con Diputados y Senadores para tener las reglas de juego bien claras con la aprobación de una ley de Protección de Datos de Carácter Personal.  La SENATICs debe velar y preservar los datos de todos los paraguayos. No hacer vito de los mismos.

 

Así como esta el sistema donde se exponen datos de toda la población se está atentando contra los Derechos Humanos de todos los paraguayos.

Nueva irresponsabilidad de SENATICs IV

Ayer escuché una entrevista que le hicieron a la Sra. Guliana Galli en el programa de radio Tecnopolis (ex mandiocast programa de Gunter Krone y Edward Ibarra en Ñandutí, genial que sigan manteniendo el espacio, es sumamente importante) en monumental 1080 AM. Interesante entrevista donde de cierta forma, se describe la intención de la SENATICs.

Utilizando esas declaraciones y resumiendo, la intención es:

1) implementar un sistema de intercambio de datos entre instituciones públicas

2) ofrecer todo tipo de documentos al ciudadano en el portal documentos.gov.py

Las dos ideas son excelentes, son necesarias, son urgentes. Es implementar sistemas hacia dentro de las instituciones, y ofrecer métodos automatizados al sector privado y a toda la ciudadanía. Apuntalando un vector del e-Goverment.

Implementación de un sistema de intercambio de datos estatal

Este sistema es estratégico para construir sobre él todo tipo de servicios. Pero es de difícil implementación aunque no imposible. ¿Por qué? Es de difícil implementación por la lógica de tribus, de estancos en el sector público; donde cada tribu “cuida” los datos de la institución como de “su propiedad”. Normalmente no queriendo compartirla con otras instituciones, solo porque sí. Es decir, es difícil no por cuestiones técnicas, sino por la cultura organizacional del funcionario público en general. Ellos ven el árbol no el bosque. Probablemente para la SENATICs sería mucho mas fácil si los funcionarios encargados de los diferentes sistemas en las instituciones públicas viesen al ciudadano como meta final de sus tareas. Esta no es la realidad. El resultado de toda esta problemática es lo que se presenta en documentos.gov.py.

Para eliminar o mitigar esta problemática, se necesita una fuerte voluntad política desde las más altas esferas para que se llegue rápido a buen puerto. La famosa “orden superior” se necesita. Por lo que sé, esto no se da del todo en la actualidad. ¿Por qué no se da? Simplemente por que el ejecutivo nombró a un asesor que tiene una especie de “poder paralelo” respecto al institucional que representa la SENATICs. (de esto hay evidencia en la prensa, ya tratamos en otro post) Gran error del presidente. Es decir, para poner en ejecución un sistema como este, tenes problemas a nivel operativo y también tenes problemas a nivel gerencial. 100% stress para todos ellos. Al final esto se vuelve una lucha de poderes completamente estéril donde la ciudadanía esta en último lugar.

El resultado de todo este embrollo se puede ver en documentos.gov.py. En principio no es este sistema (el de intercambio de información), al menos no completamente, esto más bien aparenta ser un parche. Por qué digo un parche, simplemente por la utilización de iframes. Para el ciudadano normal, no técnico esto pareciera ser ese sistema de interconexión, pero vos que sos técnico sabrás que no. No tengo idea de cómo lo están implementando en la actualidad. Pero con ese iframe y encima sin https en internet tengo mis severas dudas de que esta implementación sea la correcta, la más eficiente y segura. Lo más probable (por lo que se ve), es que este sistema sea el típico“lo que se pudo hacer”. Y teniendo en cuenta la problemática de la gestión de recursos desde el ejecutivo, es lo que podremos aspirar en este gobierno. Aunque uno nunca pierde las esperanzas, estamos por la mitad de la gestión, se pueden corregir los rumbos de tal forma a que la SENATICs como institución pueda alcanzar las metas que por ley debe implementar. Dudo que esto se corrija, las TICs en el Estado y en este gobierno en particular no están como prioridad. Lo están solo en el discurso.

Esto a muchos les puede resultar algo anecdótico. No lo veo así. Esto hace al régimen democrático, esto acentúa la debilidad de nuestras instituciones. Al final esta problemática nos atrasa; antes que acelerar, nos frena. Nos venden gato por liebre, como en el caso de 4G, o como en el caso de la penetración de Internet  que a todo esto, es cierto que se duplicó desde el 2015, pero en este gobierno, como que la pendiente se estancó, incluso hay un retroceso, una desaceleración. Es solo cuestión de analizar los gráficos y hacer la lectura. Ya lo dije en otro post. Esta es nuestra realidad. Y lo será por largo tiempo independientemente del color que este al frente del ejecutivo.

Ofreciendo todo tipo de documentos

Imagínense: desde tu pc, desde tu cel, bajas todo tipo de documentos, ¡excelente idea!, en muchos países ya se realiza esto. El gobierno electrónico funciona, baja costos, baja el stress y elimina mucha corrupción. Claro, elimina gran parte de la corrupción existente en muchas instituciones públicas donde hay sistemas paralelos para la expedición de documentos. Ya no tenes que contratar un gestor que paga coimas a determinados funcionarios públicos para “acelerar” el proceso de expedición. En muchos casos los mismos procedimientos institucionales empujan a que tengas que contratar estos gestores. Sin lugar a dudas, esta idea es excelente. Nadie puede estar en contra de esto. Sobre todo si queremos avanzar.

Por otro lado, como decía la Sra Giuliana Galli, muchas instituciones ya ofrecen hoy estos servicios de expedición de documentos. Cierto, es muy cierto. Mucho de los documentos que se colocaron en documentos.gov.py ya se podían gestionar desde las páginas de las instituciones, desde hace años. Un ejemplo claro de esto es IPS. En la misma pagina principal de la previsional ustedes pueden acceder a las consultas de cualquier asegurado. Tan solo colocando un número de cédula, tenes los datos de la persona, Nro. Patronal!! Empleador!! Meses de aporte!!. Podes probar de forma aleatoria cualquier número de cédula que capaz te muestre esos datos. ¿Datos públicos? ¿O Datos privados?. Definitivamente DATOS PRIVADOS.

Otras instituciones tienen el mismo problema.

¿Y cuál es el problema con esto? Y simplemente que cualquier persona puede saber datos de cualquier otra persona!!. Sin ser abogado afirmo que esto NO está cubierto por la ley 5282. Lógica simple. Repetiré hasta el cansancio: Mis datos son míos, mis datos no son públicos. Y si esa es la acepción que asumirá la SENATIC y todas las otras instituciones, algo está mal, hay que cambiar todas las leyes que les permitan hacer eso. O plantear una ley que proteja cuales son mis datos de carácter personal y cuales son realmente públicos.

El problema que señalo no es el acceso fácil y rápido a la información, es imperioso hacerlo fácil y rápido, pero también se deben tomar las medidas mínimas de seguridad, teniendo en cuenta como se trabaja en Internet hoy.

Mi reclamo original de esta serie de post apunta principalmente a la SENATICs. Asumía que como secretaría rectora de estas nuevas tecnologías reencausaría apropiada y correctamente todas estas malas prácticas. No lo hicieron, simplemente continuaron repitiendo los mismos errores, inclusive amplificándolos, ya que se centralizó el pedido de documentos y sin más se publicó la base de datos de la policía. Tienen tiempo para asumir errores y reencauzar el problema. Estoy más que seguro que ya tendrán en SENATICs soluciones a todas las cuestiones señaladas. Seguro leyeron en las RRSS muchas ideas también. Háganle caso a las redes. Esto no se trata de hacer hurra en un sentido o en otro. Esto se trata de hacer bien las cosas.

Por último mantengo mi solicitud al Ministro-Secretario David Ocampos: Baje los servicios de www.documentos.gov.py e implementelo de forma correcta en SENATICs y de soporte a los otros ministerios en el mismo sentido. Mis Datos de Carácter Personal NO SON PÚBLICOS.

Si efectivamente existe legislación que le permite a publicar mis Datos de Carácter Personal sugiera modificaciones de las mismas y retrase el lanzamiento de la plataforma. Colabore con Diputados y Senadores para tener las reglas de juego bien claras con la aprobación de una ley de Protección de Datos de Carácter Personal. Su deber como cabeza de la SENATICs es la de velar y preservar los datos de todos los paraguayos. No hacer vito de los mismos.

Nueva irresponsabilidad de SENATICs III

Para cualquier sistema, un mecanismo de control es la retroalimentación o realimentación. Concepto que viene desde Wiener. En los últimos días le sugerí a David Ocampos vía twitter que baje los sistemas de http://www.documentos.gov.py por la mala implementación que tiene y ahora creo, por no tener sustento legal. No sé que pasa, aparentemente mis twitts no le llegan, ya que no tengo retroalimentación suya.

Ayer sí tuve de cierta forma algo de retroalimentación por medio de las cuentas de CERT-PY y hmerelespy. Y de esta conversación surge este post en continuación al post de ayer.

De vuelta cabe la advertencia de que no soy abogado. Algún abogado tendrá el valor de defender los derechos de la mayoría.

CERT-PY y los "datos públicos"

Ayer me pasaron un twitt del CERT-py donde nos recordaba que la cédula y la fecha de nacimiento son “datos públicos” disponibles en Internet por lo que no deberíamos utilizarlos como contraseñas. Este twitt fue generado el día de ayer luego del lanzamiento de http://www.documentos.gov.py.

En un momento dado hmerelespy acota correctamente que lo afirmado por el CERT-PY es tema de prólogo de cualquier libro de seguridad. Y es cierto, quien administró sistemas y aplicó políticas de seguridad sabe que muchas personas utilizan estos datos como contraseña. Esta es una realidad no menor. En una instalación llegué a detectar un 46-48% de personas que utilizaban estos datos. Esto se gestiona aplicando políticas y restringiendo el uso de este tipo de passwords.

Este es uno de los grandes peligros que ahora se nos viene encima a todos, luego de la publicación sin mas trámites de diversos datos de carácter personal en un lugar centralizado como lo hizo la SENATIC. Esto último es una realidad hoy. De hecho, en la ciudad en que vivo por ejemplo. La mayoría de los pines de Tigo money son configurados de esa manera, esta configuración lo hacen los revendedores. Es decir en esta ciudad vos robas un celular y si llegas a saber algunos datos podrás acceder a su billetera con muy poca dificultad. No quisiera imaginarme como será a nivel nacional. Teniendo en cuenta la cantidad de servicios que hoy ofrece el sector privado (Home banking, etc.) Muchos de estos servicios sin mínimas políticas de seguridad.

Otro argumento de hmerelespy es que muchos mas datos se pueden sacar de las redes sociales. Y es cierto. Pero hay una gran diferencia. En el caso de las redes sociales una persona declina ciertos derechos, los cede. Pero el Estado paraguayo no son las redes sociales y nadie (al menos a mi no me aviso nadie) cedió sus derechos para publicar sus datos en documentos.gov. Los datos simplemente fueron publicados sin mas trámites. Esta es una diferencia fundamental desde el punto de vista jurídico. 

El Estado paraguayo me expuso antes que protegerme. Y esta última es su función.

En una rama del mismo hilo el CERT-PY argumenta que mis datos, tus datos son de carácter público de acuerdo a la ley 1682/01 que como vimos en el post de ayer, reglamenta explícitamente que datos pueden ser publicados en el articulo 6. Teniendo en cuenta esto, la SENATIC quebrantó esta ley publicando otros datos más sin mi expresa autorización. Como dije en el post anterior, cuando se disponibiliza que cualquier persona pueda consultar mis datos sin más antes que facilitar están quebrantando mis derechos a la privacidad, los míos y los de toda la población.

Ante la pregunta a CERT-PY de en qué parte de esa ley les autoriza a ellos a publicar datos, como por ejemplo, si soy asegurado del IPS o no, me respondieron que eso está cubierto por la ley 5282. Esta ley trata sobre acceso a la información pública. Leer esta twitt me aterrorizó aún más. El art. 2 en el inciso 2 dice:

2. Información pública: Aquella producida, obtenida, bajo control o en poder de las fuentes públicas, independientemente de su formato, soporte, fecha de creación, origen, clasificación o procesamiento, salvo que se encuentre establecida como secreta o de carácter reservado por las leyes.

A mi modesto entender, advierto de vuelta que no soy leguleyo, la acepción que toma el CERT-PY es que TODO DATO en poder de las instituciones públicas es información pública. Creo que esta acepción es un gravísimo error. Una cosa son los datos sobre el funcionamiento de las instituciones que sí deben ser públicas para ejercer el control ciudadano, y otra muy diferente, son los datos de Carácter Personal que estas instituciones tienen sobre la ciudadanía.

Muy diferente es acceder a estos datos para control ciudadano que acceder a estos datos para control del ciudadano. Una suerte de control tercerizado de parte del Estado.

Independientemente a la interpretación de esta ley, igual se quebranta dicha ley, ya que no se implementan mecanismos para el registro de acceso a los datos. Titulo IV, artículo 12, 13, 14 y 15. Por otro lado el decretoreglamentario 4064 en su Art. 8 habla del Portal Unificado que está en funcionamiento http://informacionpublica.paraguay.gov.py , acá tenemos otro portal. Es decir www.documentos.gov.py no esta amparado por el decreto 4064, creo que tampoco por la ley 5282

Con todo esto sigo opinando que con el lanzamiento de www.documentos.gov.py se ha quebrantado los Derechos Humanos de toda la población. Se ha quebrantado el articulo 36 de la Constitución nacional que habla del derecho a la inviolabilidad del patrimonio documental y la comunicación privada.

Y esto último es grave. Ya que se ha vulnerado este derecho para toda la población documentada.

Sigo insistiendo en mi pedido al Ministro Secretario David Ocampos. Por favor baje los servicios ofrecidos en www.documentos.gov.py. Implemente de forma correcta los sistemas informáticos allí expuestos. Mis datos, los datos de toda la población NO SON INFORMACIÓN PÚBLICA. Son datos de carácter personal que deben ser protegidos por el Estado. Su función es protegernos y no exponernos.

Quiero hacer con esto un llamado a la sociedad civil organizada para defendernos de esto. Vos también podes ayudar, compartí esta serie de post, continuará.

UPDATE: Mas info aquí y aquí

Nueva irresponsabilidad de SENATICs II

Existen varias leyes que de alguna manera tocan lo referente a Datos de Carácter Personal que se encuentran vigentes en nuestro país. Aquí pueden ver una lista (que creo no esta completa) 

De cierta forma este es el principal problema, diferentes leyes con objetivos distintos reglamentan o regulan lo referente a este tema. Al menos en mi opinión, acá cabe la advertencia de que no soy abogado. Sheko informaticominte. 

Es interesante detenerse en la ley 1682 del 16 de enero del 2001. Si no estoy equivocado es la ley “Inforcomf”. Fijense en el Art. 6. que dice:

Artículo 6°.- Podrán ser publicados y difundidos:

a) Los datos que consistan únicamente en nombre y apellido, documento de identidad, domicilio, edad, fecha y lugar de nacimiento, estado civil, ocupación o profesión, lugar de trabajo y teléfono ocupacional;

b) Cuando se trate de datos solicitados por el propio afectado; y,

c) Cuando la información sea recabada en el ejercicio de sus funciones, por magistrados judiciales, fiscales, comisiones parlamentarias o por otras autoridades legalmente facultadas para ese efecto

(El subrayado es mio)

En el caso de http://www.documentos.gov.py la SENATICs libremente pública “Consulta de Asegurado”, “Constancia de Inscripción Obrero Patronal” (del IPS), Constancia de Inscripción de Empleado (Ministerio de Trabajo), Constancia de ser o no Funcionario/a Público/a (SFP). Digo libremente por que con solo tener mi número de cédula quien quiera podrá ver mi estado. Creo que estos son certificados personales que solo deben entregar a la persona afectada y no a cualquiera que lo solicite a no ser que tenga autorización del afectado.

En el caso de la Consulta de Datos de RUC (que creo debe ser público para verificar facturas etc.) y el Certificado de Cumplimiento Tributario (SET) es diferente ya que se toman medidas (como el hecho de solicitar fecha de nacimiento y un captcha).

El día de hoy veo que agregaron fecha de nacimiento y una especie de captcha que no funciona del todo aún. Es un avance. Pero el daño ya esta hecho.

Pregunto a los lectores dedicados al derecho. ¿No cometen algún tipo de delito o falta tanto el IPS como la SENATICs y otras instituciones al ofrecer estos datos sin mas?

De vuelta ¿Quién se hace responsable de esto?. A todo esto ¿Y el fiscal donde está?

En los próximos días ahondaré en la ley de Datos de Carácter Personal. Es urgente tener las reglas claras. 

UPDATE: Más info aquí y aquí

Nueva irresponsabilidad de SENATICs

El día de hoy estaba escribiendo un post sobre el hackathon del agro, evento que se realizo el fin de semana pasado. En eso me doy cuenta de una muy grata noticia. Con sumo placer lo leí en Ultima Hora. Me dije a mi mismo al fin vamos avanzando en el camino correcto. El gobierno electrónico es necesario, es urgente disponibilizar herramientas para un mejor gobierno. Sin más preámbulos voy a documentos. Y empezaron las sorpresas.

Lo Técnico

Sin HTTPS

Lo primero que uno puede notar es que el servicio esta sin encripción. No se realiza una conexión segura. ¿Para qué tenemos una ley de firma digital si un servicio tan delicado al cual accederá toda la población no tiene esto?

Pero bueno vaya y pase. Ponele que esta bien.

Sin Registro

Sin más selecciono el tipo de documento, completo la cedula y tengo los datos. No necesito registrarme!!!. Bueno, ponele que esta bien, son novatos los programadores. Seguramente pensarán que cualquiera puede falsificar datos para el registro.

Sin Captcha

Entre las cosas que mas me sorprenden de este sistema es que no tiene captcha!!! Es decir vos colocas tu número de cedula y te muestra tus datos. ¿Esto que implica? Que cualquier persona puede hacer un pequeño script y bajar la mayoría de las bases de datos disponibles. Incluso desde Rusia (y esto lo probé). Mis datos están libres en Internet!! sin mayores trámites como bien lo “vendieron” en la presentación probablemente donde estuvieron:

El evento contó con la presencia del ministro de Trabajo, Empleo y Seguridad Social, Guillermo Sosa; el Ministro Secretario de la Senatics, David Ocampos; el ministro secretario de la Función Pública, Humberto Peralta; el presidente del Instituto de Previsión Social (IPS), Benigno López; la viceministra de Tributación, Martha González; el director general de Planificación y Cooperación del MT, Enrique López Arce, y el gerente general de la Cámara Nacional de Comercio y Servicios de Paraguay, Miguel Riquelme.

Probablemente aplaudieron a rabiar los grandes avances del gobierno nacional. ¿Habrán estado conscientes de estos “detalles” técnicos? Probablemente ni les interesará.

Sin otros datos

Para varias consultas ni siquiera piden otros datos. Como por ejemplo “fecha de nacimiento” (como bien lo hace la SET en su formulario). De tal forma a validar al menos que tengo algunos datos mas sobre la persona. O que di autorización para que otra persona o entidad privada consulte MIS datos.

¿Estos datos son realmente públicos? ¿Dónde esta el límite? ¿Son conscientes de lo que se puede hacer minandolos?

Lo e-Gov

Me parece estupendo que por diversas necesidades de la población o del sector privado se disponibilice estos datos. Creo que es lícito. Creo que es necesario. Discrepo profundamente en la forma en que se hizo. Básicamente la SENATICs disponibiliza varias bases de datos de forma irestricta aquí y en la China. Sin mínimas medidas de seguridad. Con esto se expone a toda la ciudadanía registrada en alguna de estas bases de datos de alguna forma. Y esto es sumamente alarmante ya que también de la misma forma en varios servicios del sector privado tenemos la misma lógica. Y con estos datos disponibles perfectamente se puede penetrar la seguridad de esos sistemas. Trabajo práctico: Ing. Social en las telefónicas o en los bancos.

Es una absoluta irresponsabilidad de parte de los encargados de estos sistemas, desde el programador hasta el Ministro-Secretario David Ocampos de este hecho. En Internet permitir este tipo de accesos es inaudito más aun cuando en el mundo se esta debatiendo e implementando mas y mejores medidas de seguridad sobre los datos de las personas.

Necesitamos urgente una “Ley de protección de Datos Personales”, necesitamos reglas de juego claras. Nuestros datos están en manos de un funcionariado irresponsable que busca solo lanzar servicios sin medir las reales consecuencias.

Mi sugerencia sigue siendo la misma, Deben bajar el servicio y hacerlo correctamente. Luego de varios twitts bajaron solo las consultas a la base de datos de la policía.

Pero mientras tanto. ¿A quién le reclamo si utilizan mal mis Datos?¿A la SENATICs?

Me siento desnudo. ¿vos no?. Todos estamos al desnudo.

UPDATE: Más info aquí y aquí