domingo, 17 de abril de 2016

Datos Privados vs Datos Públicos


Accedí al audio del panel "debate" que se dio en segurinfo. Como la transmisión en vivo daba pena, no la pude escuchar en vivo. Por suerte me pasaron la grabación de las exposiciones de Santagada y de Sequera.
Espero que @godcito, levante estos audios en algún lugar, para que lo puedan juzgar uds mismos. Gracias @godcito, cuando se vive en el kokue 2.0 y cuando la SENATICs no utiliza adecuadamente las herramientas que tiene en Internet, se hace difícil saber que pasa en Asunción acá en la campaña.
La exposición de Sequera me asustó, por lo que volveré a su exposición en otro post.
Luego de escuchar varias veces la exposición de Santagada y siguiendo los post anteriores (I, II, III, IV, V, VI, VII) se me ocurre lo siguiente:

A modo de partida

  • Partamos de la base de que no estoy en contra del espíritu de la ley 5282 de acceso a la información pública. Particularmente creo que esta ley es fabulosa para miles de cuestiones que se pueden hacer desde el sector privado para fortalecer el gobierno electrónico y para monetizar si se quiere los datos abiertos que puedan surgir o implementarse con esta ley. Más allá de tener claro que es una herramienta fundamental para ventilar, con el propósito de corregir, todos los malos manejos que se tienen de la cosa pública. Esta ley hace al fortalecimiento de la democracia, aunque creo que esto solo se fortalecerá si hay grupos de ciudadanos monitoreando permanentemente la información que se va generando. Donde cada vez se deben exigir más y mejores datos. Algo que no sucede hoy. Fijarse en los datos abiertos de la DNCP, son datos de muy alto nivel, prácticamente resúmenes, no hay detalles que también deberían estar expuestos. Aunque imagino que forma parte de la evolución del proceso de implementación de estos sistemas. Esto es un tema para otro post. Tengo mis reservas respecto a varios artículos de la ley, sobre todo porque no existen suficientes reglamentaciones que regulen todo lo referente a datos de carácter personal. Si bien están:
  • Ley 861/96 “De bancos, financieras y otras entidades de crédito”, los artículos 84 a 86
  • Ley 1268/98 “Código Procesal Penal”, los artículos 322 a 326
  • Ley 1337/99 “De defensa nacional y seguridad interna”, los artículos 12 y 13
  • Ley 1630 “De patentes e invenciones”, los artículos 23 y 71
  • Ley 1682/01 con su reforma la Ley 1969/02 “Que reglamenta la información de carácter privado”, el artículo 4
  • Ley 1680/01 “Código de la Niñez y la Adolescencia” , los artículos 27 a 29 
Esta lista no es exhaustiva, se que existen más leyes, pero no las tengo a mano.
Falta aún mucha más reglamentación para que ese ítem 2 del artículo 2 sobre Información pública quede delimitado.
En cuanto a las fuentes públicas, no todo es ni debe ser información pública. Los límites de cada derecho deben estar claros, centrados en la protección del ciudadano.
  • Partamos de la base de que no estoy en contra del espíritu de la ley 1682 que reglamenta la información de carácter privado. Aunque creo que esta ley es obsoleta en sí misma, debe modernizarse, se le debe sacar el foco que tiene sobre inforconf y se la debe centrar en proteger los datos de carácter privado de toda la ciudadanía.
    Me parece risible argumentar que todos se tiraron al pozo de las redes sociales por falta de educación en seguridad por eso tenemos que tirarnos todos, señalando el cambio de mentalidad sobre la privacidad, en especial en facebook donde el negocio justamente es la exacerbación del vouyerismo. Están lucrando con nuestros datos y eso hoy es legal. Además, es muy diferente cuando una persona “cede” sus derechos ante una corporación, a que el Estado por medio de sus servicios nos obligue a “ceder” los nuestros por una mala interpretación de la ley o por simple antojo de un funcionario.
    Prefiero centrarme en las distintas generaciones de leyes y reglamentaciones referentes al tema privacidad, estamos en la tercera o cuarta generación de leyes donde cada vez se busca la protección de los datos de carácter personal, con más y mejores reglamentaciones, inclusive con la creación de instituciones para la defensa de estos datos. Como sucede en Europa.
  • Partamos de la base de que mi planteamiento no ataca la acordada 1306. Este documento, de cierta manera recoge el choque entre dos derechos constitucionales. El del derecho a la información y el derecho a la privacidad. Donde la Corte Suprema define que existe un interés general que prima sobre el particular en referencia a datos patrimoniales de funcionarios públicos.Claramente expresa que el funcionario público al “Asumir un cargo público y ser depositario de la confianza pública exigen que este interés en resguardar la intimidad ceda en cierta medida en favor de la obligación de rendir cuentas a la comunidad”. Este es el costo de acceder a un cargo público. Los funcionarios públicos deben estar conscientes de ello.
  • Partamos de la base de que no soy activista, no tengo una agenda financiada por algún organismo o por algún sector, o por algún partido político. Lo que expreso son posturas mías, personales, analizando lo que sucede en el país y el mundo a partir de estas tecnologías, y sobre todo siendo consciente de las capacidades que una persona con mínimos conocimientos técnicos puede realizar con cualquiera de estos datos (sean estos lícitos o no).
  • Partamos de la base de que las leyes evolucionan, que no existe una ley escrita en piedra, que sea absoluta. Las leyes cambian dependiendo de las políticas mismas o de las sociedades. Hoy es ilegal la marihuana, mañana puede que no.
  • Partamos de la base de que el gobierno electrónico es necesario y urgente. No solo para evitar largas colas, también servirá para atacar cotos de corrupción, sobre todo para la obtención de documentos. Cuanto más y mejores servicios el Estado ofrezca a la ciudadanía por estos medios, mayor será la penetración de estas tecnologías y vice versa.

Como aporte para el debate

Me parece correcta la afirmación de Santagada referente a que existe un costo que el ciudadano debe pagar por vivir en sociedad hoy. Este costo es elevado en un país como el nuestro donde las Instituciones son débiles, inmersas en una sociedad que reacciona muy lentamente a los cambios, que en tiempos tecnológicos se puede percibir como una especie de estancamiento en el pasado.
Pero el costo a pagar no es un cheque en blanco al Estado, y menos al gobierno y a un funcionariado soberbio y prepotente. Las leyes vigentes actualmente pueden dar un cierto velo de legalidad a las acciones de SENATIC respecto a documentos.gov.py, una legalidad aparente, dada la interpretación que se tiene de las mismas.
Publicar datos de licitaciones, adquisiciones, de rutas, de recursos naturales, etc me parece estupendo como ya dije anteriormente, estos datos pueden servir para la toma de decisiones a cualquier ciudadano que quiera tomarlo, procesarlo y utilizarlo.
Pero otra cosa muy diferente es la de publicar documentos de personales, datos sobre las personas, sobre todo cuando cualquier persona puede acceder libremente al dato y no solo eso, puede bajar e imprimir una especie de certificado de ese documento. Son conocidos diferentes casos donde con tan solo fotocopias de cedulas se han levantado cuentas a personas propietarias de esos documentos.
Al inicio se notó claramente la falta de planificación, no se tuvo la más mínima intensión de aplicar ciertos esquemas básicos de seguridad sobre el sistema. Y esto es sumamente preocupante ya que esta misma institución es una de las encargadas de diseñar el PlanNacional de Ciberseguridad  que por lo que nos enteramos en segurinfo está en su etapa final. Respecto a este plan, es interesante que no se abra a la ciudadanía en general para su definición. Plan Nacional de Seguridad a puertas cerradas.


A todo esto, es necesaria la participación ciudadana en la construcción de este plan. Esto me preocupa de sobre manera ya que SENATICs teniendole como cabeza al Ministro-Secretario David Ocampos pareciera que no le interesan los Derechos Humanos de la población, en su momento el apoyó la ley #pyrawebs. ¿Será que este “Plan Nacional de Ciberseguridad” contempla algún esquema parecido?
En cuanto al padrón que mostró como ejemplo, una cosa es tener sistemas de controles de forma transparente, otra muy diferente es disponibilizar todos los datos para cualquier ciudadano en Internet, y no solo eso, sino a cualquier usuario de Internet en cualquier parte del mundo. Antes que fortalecer la democracia, esto es debilitar más a las instituciones del Estado. En aquella época varias personas se pusieron a analizar esos datos (recuerdo un sistema que hizo Thor y que presentó una serie de informes analizando la calidad de los datos), se encontraron diversos problemas al cual nadie prestó la atención debida, por lo que de vuelta fue una vez más una forma de hacer vito de nuestros datos. Ya que real y efectivamente no se implementaron esquemas de retroalimentación para la verificación de esos datos. Fue exponer los datos de la ciudadanía “para la foto” algo a lo cual están muy acostumbrados nuestros funcionarios públicos y ni que decir algunas ONGs.
Publicar el padrón como se hizo me pareció una locura desde el punto de vista de la seguridad de la información, para ilustrar esto, hace unos días sucedió algo similar con el padrón de Turquía, más información pueden leerla aquí
Y el razonamiento para esto es simple. Supongamos que somos 6.000.000 de habitantes. Se publican los datos de 3.000.000 que están inscriptos en el padrón. Se realizan 100.000 copias de la base bajando de Internet (suponiendo que solo se baja en nuestro país, eso sin contar quienes bajan de otros países ya que al fin y al cabo esta expuesto libremente en Internet). De esas 100.000 copias supongamos que 50.000 personas tienen capacidad de procesar y analizar la información, también tienen el interés. Es decir para un 0.8% de la población se realiza esta acción. Encima se realizan los análisis y no existen mecanismos para hacer llegar las dificultades que se encuentran.
En síntesis, no estoy en contra del proceso de transparencia electoral sobre el padrón. Esto es necesario. Discrepo profundamente en la forma en que se hizo. Esto implica simplemente hacer vito de la información de la población. Y esto es lo que se señala en el caso de Turquía. Esta acción irracional de parte de una institución como el Tribunal Superior de Justicia Electoral fue simplemente para la foto, para decir: “tenemos un proceso transparente”. El costo desde el punto de vista de la seguridad de la información es excesivamente alto.
Este tipo de acción, de hacer vito con nuestros datos, históricamente lo hicieron diversas Instituciones, En el caso de la SENATICs fue peor porque concentró un montón de información en un solo sitio. Existen otras instituciones que siguen haciendo exactamente lo mismo sin ningún mecanismo de control, de forma totalmente abierta e irrestricta. Inclusive se llega hasta el punto de dejar expuestos datos de niños (Esto sucedió con los sistemas de SENATICs) y sigue sucediendo hoy por Ej. en IPS. Como muestra un botón:




Estoy más que seguro que seguirán miles de reuniones para ver estrategias de como “proteger” a la niñez y a la adolescencia.


 
Pero si cuestiones mínimas no se tienen en cuenta, estas reuniones quedaran en la nada, ya que son las mismas instituciones quienes ofrecen estos datos a TODO internet.

Llegado a este punto quisiera aclarar algo. Cuando señalo que los datos son expuestos de forma abierta e irrestricta en Internet me refiero a los peligros que implican desde el punto de vista de la seguridad de la información. Sostengo: NO DEBE SER ASÍ. De hecho, el decreto 4064 reglamenta todo lo concerniente a la ley 5282. Se tiene todo el Capítulo IV que perfectamente se puede implementar en todos los sistemas para el acceso a la información. Sostengo que implementar con sistemas lo que se reglamenta en este capítulo DEBE SER MINIMAMENTE la forma para acceder a los datos.
Es decir, si bien creo que no están del todo claras las limitaciones de cada derecho constitucional, dada la falta de una ley de Protección de Datos de Carácter Personal, implementar estos mecanismos permite de cierta manera, el acceso teniendo mínimos recaudos respecto a la seguridad de la información. La forma en como se hace hoy, atenta contra los Derechos Humanos de toda la población.
Me resulta claro que la SENATICs y otras instituciones NO CUMPLEN con las disposiciones del Capitulo IV de este decreto, en relación a documentos.gov.py.

Conclusión.


Una cosa es aplicar la ley a partir de una interpretación determinada para justificar crasos errores de implementación de los sistemas y una muy diferente es la de aplicar la ley a la luz de las tendencias y doctrina actual de las mismas, inclusive teniendo en cuenta la jurisprudencia existente en nuestro país.
Es necesario que la implementación de estas leyes en los sistemas de Gobierno Electrónico asegure mínimamente cuestiones referentes a la Seguridad de la Información. Hoy no se da esto.
Por supuesto la ley misma, en su evolución, tendrá o tenderá a modernizarse hasta llegar a tener acabadamente delimitados los derechos que eventualmente colisionan. Es una lastima que SENATICs y otras instituciones no sean proactivas a la modernización en estos temas. Son más bien reactivos.

Para ir terminando. Los argumentos esgrimidos por el Sr. Santagada creo que tienen sustento por si mismos. Estoy de acuerdo con el espíritu de su argumentación, en gran medida. Donde claramente discrepamos es en la forma de implementación de esos sistemas a la luz de las leyes, teniendo en cuenta conceptos mínimos referente a la seguridad de la información.


No hay comentarios: