Caso TIGO: o como dormís con el enemigo.

Así como @ml_lawii recibió el mail donde se ofertaba “un cubo” actualizado a febrero con el 100% de clientes de TIGO, recibieron otras personas. 150$ nada más costaba “la información” de (según el mail) 3.933.020 “registros”. Datos de casi 4 millones de personas, de paraguayos. Según una publicación de Ultima Hora en la empresa “deslindaron toda responsabilidad y prometieron tomar acciones judiciales en torno a lo denunciado.”
UPDATE: también se aclaró un caso de homonimia parcial en ultima hora.

En esos registros se puede ver la estructura de datos que se utiliza en alguno de los sistemas, datos técnicos/administrativos de uso interno, ademas el número de celular, el nombre del propietario de la cuenta y un dato de geolocalización aparentemente, la identificación de la celda.

Y esto le sucedió ahora a Tigo, pero sabemos que ya antes le había sucedido, ya que desde hace tiempo se vienen ofreciendo estas bases de datos. Y no solo le sucedió a Tigo, sino también a otras prestadoras de servicios incluyendo bancos y cooperativas. Hace años estamosdesprotegidos. 

Es decir, gran parte de las empresas del sector privado que manejan nuestros datos fueron vulnerados de alguna forma, ya sea por un hackeo desde algún servicio en Internet, o desde la copia directa de algún empleado desleal o irresponsable. Es probable que muchas empresas de alguna forma estén comerciando con sus datos para agregarlas a otras bases. ¿A quien no le pasó que una vez que solicitaste una tarjeta de crédito al poco tiempo te llueven las ofertas de otros bancos o financieras con las cuales nunca operaste? Al menos a mí eso me sucedió en VARIAS oportunidades. Esto último evidencia alguna especie de intercambio de información entre grandes empresas con datos de la población. Por supuesto es “lícito” que una empresa cualquiera se comunique conmigo para ofrecerme servicios o productos. ¿Pero qué tan lícito es que comercien (vendiendo o intercambiando) mis datos?

Es decir en el sector privado tenemos dos aspectos:

1) cuando la información sale por medios no legales

2) cuando las mismas empresas intercambian nuestra información

Por otro lado en el sector público tenemos otro esquema legal. Según varios abogados, varias ONGs y la misma SENATICs el Estado está obligado a entregar datos de la población, salvo los datos que se prohíben explícitamente diversas leyes. Este es el argumento principal de por qué existe hoy http://documentos.gov.py, servicio de la SENATICs o el de IPS. Servicios que siguen en línea exponiendo todo tipo de datos de la población sin mayores trámites (Tramites que la misma ley 5282 y decreto 4064 Capitulo IV les exige cumplir y que no están cumpliendo).

La combinación de bases de datos del sector público con bases de datos del sector privado es simplemente explosiva. Amenaza real, concreta. Amenaza bajo la cual vivimos desde hace al menos una década. Amenaza que va evolucionando en el tiempo y así va perfeccionándose. Ejemplos de ello ya tenemos varios. Hoy en la red existen varios servicios donde con introducir tu número de cédula y tu email te muestran tu “prontuario” comercial. Es decir, estas bases se están integrando a las redes sociales. Desde hace tiempo seguro recibís SPAM por ejemplo de Nora Ruoti entre otros.

Dado estos eventos que se vienen dando tanto en el sector público como en el sector privado, se hace urgente (vuelvo a repetir) una ley de datos de carácter personal.

Como ya dije en otros post, mis datos de carácter personal NO SON PÚBLICOS.

• Tengo derecho a saber quien, para qué, cuando y como alguna persona o empresa consulto alguno de mis datos en servicios como documentos.gov.py. Inclusive en un servicios como Inforconf.
• Tengo derecho a que un servicio como Tigo o cualquier otra empresa del sector privado solo me pida lo estrictamente necesario para ofrecerme el servicio. (no como le sucedió a un amigo que para cobrar 150.000 Guaraníes que le enviaron por giro, le quisieron obligar a firmar un documento donde la financiera podía urgar en sus movimientos comerciales, finalmente rechazó firmar y no pudo cobrar el dinero).
• Tengo derecho a que empresas como Tigo tengan prohibido y penado el compartir datos de sus clientes. Nuestros datos.
• Tengo derecho a que las personas o empresas que comercien con mis datos sean penados con fuertes condenas de cárcel y/o fuertes sanciones económicas. Si esto le sucedió a Tigo varias veces en los últimos años es simplemente por que no les interesa proteger los datos de sus clientes y eso sucede por que no reciben penas o por la ausencia de un marco legal para el sector privado.
• Tengo derecho a que la fiscalía o alguna otra institución pueda salir a defendernos de la violación de los derechos de nivel constitucional ante casos de fuga de datos masivas, como sucede en documentos.gov.py o en el caso de Tigo y el de otras empresas.

Es muy probable como dice el articulo de última hora que los abogados de Tigo puedan “deslindar responsabilidades” en base al marco legal vigente. Es probable que pueda conseguir que las personas implicadas en este caso paguen con cárcel. ¿Pero y por que Tigo no? Etica y moralmente Tigo como empresa es responsable de esta fuga. Legalmente puede que no, y es por ello que necesitamos urgente una Ley de Datos de Carácter personal. URGENTE.

Sin una ley de Datos de Carácter Personal, el Estado paraguayo nos obliga a dormir con el enemigo.