Accedí al audio del panel "debate" que se dio en
segurinfo. Como la transmisión en vivo daba pena, no la pude escuchar en vivo. Por suerte me pasaron la grabación de las exposiciones de Santagada y de Sequera.
Espero que @godcito, levante estos audios en algún lugar, para que lo puedan juzgar uds mismos. Gracias @godcito, cuando se vive en el kokue 2.0 y cuando la SENATICs no utiliza adecuadamente las herramientas que tiene en Internet, se hace difícil saber que pasa en Asunción acá en la campaña.
La exposición de Sequera me asustó, por lo que volveré a su exposición en otro post.
Luego de escuchar
varias veces la exposición de Santagada y siguiendo los post anteriores (
I,
II,
III,
IV,
V,
VI,
VII) se me ocurre lo siguiente:
A modo de partida
- Partamos de la
base de que no estoy en contra del espíritu de la ley 5282 de acceso
a la información pública. Particularmente creo que esta ley es
fabulosa para miles de cuestiones que se pueden hacer desde el sector
privado para fortalecer el gobierno electrónico y para monetizar si
se quiere los datos abiertos que puedan surgir o implementarse con
esta ley. Más allá de tener claro que es una herramienta
fundamental para ventilar, con el propósito de corregir, todos los
malos manejos que se tienen de la cosa pública. Esta ley hace al
fortalecimiento de la democracia, aunque creo que esto solo se
fortalecerá si hay grupos de ciudadanos monitoreando permanentemente
la información que se va generando. Donde cada vez se deben exigir
más y mejores datos. Algo que no sucede hoy. Fijarse en los datos
abiertos de la DNCP, son datos de muy alto nivel, prácticamente
resúmenes, no hay detalles que también deberían estar expuestos.
Aunque imagino que forma parte de la evolución del proceso de
implementación de estos sistemas. Esto es un tema para otro post. Tengo mis reservas
respecto a varios artículos de la ley, sobre todo porque no existen
suficientes reglamentaciones que regulen todo lo referente a datos de
carácter personal. Si bien están:
- Ley 861/96 “De
bancos, financieras y otras entidades de crédito”, los artículos
84 a 86
- Ley 1268/98
“Código Procesal Penal”, los artículos 322 a 326
- Ley 1337/99 “De
defensa nacional y seguridad interna”, los artículos 12 y 13
- Ley 1630 “De
patentes e invenciones”, los artículos 23 y 71
- Ley 1682/01 con
su reforma la Ley 1969/02 “Que reglamenta la información de
carácter privado”, el artículo 4
- Ley 1680/01
“Código de la Niñez y la Adolescencia” , los artículos 27 a 29
Esta lista no es
exhaustiva, se que existen más leyes, pero no las tengo a mano.
Falta aún mucha más
reglamentación para que ese ítem 2 del artículo 2 sobre
Información pública quede delimitado.
En cuanto a las
fuentes públicas, no todo es ni debe ser información pública. Los
límites de cada derecho deben estar claros, centrados en la
protección del ciudadano.
- Partamos de la
base de que no estoy en contra del espíritu de la ley 1682 que
reglamenta la información de carácter privado. Aunque creo que esta
ley es obsoleta en sí misma, debe modernizarse, se le debe sacar el
foco que tiene sobre inforconf y se la debe centrar en proteger los
datos de carácter privado de toda la ciudadanía.
Me parece risible
argumentar que todos se tiraron al pozo de las redes sociales por
falta de educación en seguridad por eso tenemos que tirarnos todos,
señalando el cambio de mentalidad sobre la privacidad, en especial
en facebook donde el negocio justamente es la exacerbación del
vouyerismo. Están lucrando con nuestros datos y eso hoy es legal.
Además, es muy diferente cuando una persona “cede” sus derechos
ante una corporación, a que el Estado por medio de sus servicios nos
obligue a “ceder” los nuestros por una mala interpretación de la
ley o por simple antojo de un funcionario.
Prefiero centrarme
en las distintas generaciones de leyes y reglamentaciones referentes
al tema privacidad, estamos en la tercera o cuarta generación de
leyes donde cada vez se busca la protección de los datos de
carácter personal, con más y mejores reglamentaciones, inclusive con
la creación de instituciones para la defensa de estos datos. Como
sucede en Europa.
- Partamos de la
base de que mi planteamiento no ataca la acordada 1306. Este documento,
de cierta manera recoge el choque entre dos derechos
constitucionales. El del derecho a la información y el derecho a la
privacidad. Donde la Corte Suprema define que existe un interés
general que prima sobre el particular en referencia a datos
patrimoniales de funcionarios públicos.Claramente expresa
que el funcionario público al “Asumir un cargo público y ser
depositario de la confianza pública exigen que este interés en
resguardar la intimidad ceda en cierta medida en favor de la
obligación de rendir cuentas a la comunidad”. Este es el costo de
acceder a un cargo público. Los funcionarios públicos deben estar
conscientes de ello.
- Partamos de la
base de que no soy activista, no tengo una agenda financiada por algún
organismo o por algún sector, o por algún partido político. Lo que
expreso son posturas mías, personales, analizando lo que sucede en
el país y el mundo a partir de estas tecnologías, y sobre todo
siendo consciente de las capacidades que una persona con mínimos
conocimientos técnicos puede realizar con cualquiera de estos datos
(sean estos lícitos o no).
- Partamos de la
base de que las leyes evolucionan, que no existe una ley escrita en
piedra, que sea absoluta. Las leyes cambian dependiendo de las
políticas mismas o de las sociedades. Hoy es ilegal la marihuana,
mañana puede que no.
- Partamos de la
base de que el gobierno electrónico es necesario y urgente. No solo
para evitar largas colas, también servirá para atacar cotos de
corrupción, sobre todo para la obtención de documentos. Cuanto más
y mejores servicios el Estado ofrezca a la ciudadanía por estos
medios, mayor será la penetración de estas tecnologías y vice
versa.
Como aporte para el debate
Me parece correcta
la afirmación de Santagada referente a que existe un costo que el
ciudadano debe pagar por vivir en sociedad hoy. Este costo es elevado
en un país como el nuestro donde las Instituciones son débiles,
inmersas en una sociedad que reacciona muy lentamente a los cambios,
que en tiempos tecnológicos se puede percibir como una especie de
estancamiento en el pasado.
Pero el costo a
pagar no es un cheque en blanco al Estado, y menos al gobierno y a un
funcionariado soberbio y prepotente. Las leyes vigentes actualmente
pueden dar un cierto velo de legalidad a las acciones de SENATIC
respecto a documentos.gov.py, una legalidad aparente, dada la
interpretación que se tiene de las mismas.
Publicar datos de
licitaciones, adquisiciones, de rutas, de recursos naturales, etc me
parece estupendo como ya dije anteriormente, estos datos pueden
servir para la toma de decisiones a cualquier ciudadano que quiera
tomarlo, procesarlo y utilizarlo.
Pero otra cosa muy
diferente es la de publicar documentos de personales, datos sobre las
personas, sobre todo cuando cualquier persona puede acceder
libremente al dato y no solo eso, puede bajar e imprimir una especie
de certificado de ese documento. Son conocidos diferentes casos donde
con tan solo fotocopias de cedulas se han levantado cuentas a
personas propietarias de esos documentos.
Al inicio se notó
claramente la falta de planificación, no se tuvo la más mínima
intensión de aplicar ciertos esquemas básicos de seguridad sobre el
sistema. Y esto es sumamente preocupante ya que esta misma
institución es una de las encargadas de diseñar el
PlanNacional de Ciberseguridad
que por lo que nos enteramos en segurinfo está en su etapa final.
Respecto a este plan, es interesante que no se abra a la ciudadanía
en general para su definición. Plan Nacional de Seguridad a puertas
cerradas.
A todo esto, es
necesaria la participación ciudadana en la construcción de este
plan. Esto me preocupa de sobre manera ya que SENATICs teniendole como
cabeza al Ministro-Secretario David Ocampos pareciera que no
le interesan los Derechos Humanos de la población, en su momento el
apoyó la ley
#pyrawebs. ¿Será que este “Plan Nacional de Ciberseguridad” contempla
algún esquema parecido?
En cuanto al padrón
que mostró como ejemplo, una cosa es tener sistemas de controles de
forma transparente, otra muy diferente es disponibilizar todos los
datos para cualquier ciudadano en Internet, y no solo eso, sino a
cualquier usuario de Internet en cualquier parte del mundo. Antes que
fortalecer la democracia, esto es debilitar más a las instituciones
del Estado. En aquella época varias personas se pusieron a analizar
esos datos (recuerdo un sistema que hizo Thor y que presentó una
serie de informes analizando la calidad de los datos), se encontraron
diversos problemas al cual nadie prestó la atención debida, por lo
que de vuelta fue una vez más una forma de hacer vito de nuestros
datos. Ya que real y efectivamente no se implementaron esquemas de
retroalimentación para la verificación de esos datos. Fue exponer
los datos de la ciudadanía “para la foto” algo a lo cual están
muy acostumbrados nuestros funcionarios públicos y ni que decir algunas
ONGs.
Publicar el padrón
como se hizo me pareció una locura desde el punto de vista de la
seguridad de la información, para ilustrar esto, hace unos días
sucedió algo similar con el padrón de Turquía, más información
pueden leerla
aquí.
Y el razonamiento
para esto es simple. Supongamos que somos 6.000.000 de habitantes. Se
publican los datos de 3.000.000 que están inscriptos en el padrón.
Se realizan 100.000 copias de la base bajando de Internet (suponiendo
que solo se baja en nuestro país, eso sin contar quienes bajan de
otros países ya que al fin y al cabo esta expuesto libremente en
Internet). De esas 100.000 copias supongamos que 50.000 personas
tienen capacidad de procesar y analizar la información, también
tienen el interés. Es decir para un 0.8% de la población se realiza
esta acción. Encima se realizan los análisis y no existen
mecanismos para hacer llegar las dificultades que se encuentran.
En síntesis, no
estoy en contra del proceso de transparencia electoral sobre el
padrón. Esto es necesario. Discrepo profundamente en la
forma en que se hizo. Esto implica simplemente hacer vito de la
información de la población. Y esto es lo que se señala en el caso
de Turquía. Esta acción irracional de parte de una institución
como el Tribunal Superior de Justicia Electoral fue simplemente para
la foto, para decir: “tenemos un proceso transparente”. El costo
desde el punto de vista de la seguridad de la información es
excesivamente alto.
Este tipo de acción,
de hacer vito con nuestros datos, históricamente lo hicieron diversas
Instituciones, En el caso de la SENATICs fue peor porque concentró
un montón de información en un solo sitio. Existen otras
instituciones que siguen haciendo exactamente lo mismo sin ningún
mecanismo de control, de forma totalmente abierta e irrestricta.
Inclusive se llega hasta el punto de dejar expuestos datos de niños
(Esto sucedió con los sistemas de SENATICs) y sigue sucediendo hoy
por Ej. en IPS. Como muestra un botón:
Estoy más que seguro
que seguirán miles de reuniones para ver estrategias de como
“proteger” a la niñez y a la adolescencia.
Pero si cuestiones
mínimas no se tienen en cuenta, estas reuniones quedaran en la nada,
ya que son las mismas instituciones quienes ofrecen estos datos a
TODO internet.
Llegado a este punto
quisiera aclarar algo. Cuando señalo que los datos son expuestos de
forma abierta e irrestricta en Internet me refiero a los peligros que
implican desde el punto de vista de la seguridad de la información. Sostengo: NO DEBE SER ASÍ. De hecho, el decreto 4064 reglamenta
todo lo concerniente a la ley 5282. Se tiene todo el Capítulo IV que
perfectamente se puede implementar en todos los sistemas para el
acceso a la información. Sostengo que implementar con sistemas lo
que se reglamenta en este capítulo DEBE SER MINIMAMENTE la forma para
acceder a los datos.
Es decir, si bien
creo que no están del todo claras las limitaciones de cada derecho
constitucional, dada la falta de una ley de Protección de Datos de
Carácter Personal, implementar estos mecanismos permite de cierta
manera, el acceso teniendo mínimos recaudos respecto a la seguridad de
la información. La forma en como se hace hoy, atenta contra los
Derechos Humanos de toda la población.
Me resulta claro que la SENATICs y otras instituciones NO CUMPLEN con las disposiciones del Capitulo IV de este decreto, en relación a documentos.gov.py.
Conclusión.
Una cosa es aplicar
la ley a partir de una interpretación determinada para justificar
crasos errores de implementación de los sistemas y una muy diferente
es la de aplicar la ley a la luz de las tendencias y doctrina actual
de las mismas, inclusive teniendo en cuenta la jurisprudencia
existente en nuestro país.
Es necesario que la
implementación de estas leyes en los sistemas de Gobierno
Electrónico asegure mínimamente cuestiones referentes a la
Seguridad de la Información. Hoy no se da esto.
Por supuesto la ley
misma, en su evolución, tendrá o tenderá a modernizarse hasta
llegar a tener acabadamente delimitados los derechos que eventualmente
colisionan. Es una lastima que SENATICs y otras instituciones no sean proactivas a la modernización en estos temas. Son más bien reactivos.
Para ir terminando. Los argumentos esgrimidos por el Sr. Santagada
creo que tienen sustento por si mismos. Estoy de acuerdo con el
espíritu de su argumentación, en gran medida. Donde claramente
discrepamos es en la forma de implementación de esos sistemas a la
luz de las leyes, teniendo en cuenta conceptos mínimos referente a
la seguridad de la información.