...siempre hay un pero. Cuando se hacen mal las cosas hay que decirlo y, cuando se hacen bien (o casi) también.
Hace un tiempo (octubre de 2010, enero y febrero de 2011), desde
Segu-Info desarrollamos un análisis y crítica sobre la
inseguridad del sistema de las tarjetas SUBE y
la protección de los datos personales en Argentina.
Allí, destacábamos los variados inconvenientes que tenía el sistema,
sobre todo en cuanto a la facilidad del acceso a los datos de
itinerarios de los viajes, y su clara contradicción sobre el marco
normativo de protección de datos personales que tenemos en Argentina,
situación agravada cuando se trata de un sistema del Estado.
Los problemas se podían enfocar desde tres aspectos: el específicamente
técnico relacionado al desarrollo de la aplicación web que administra el
sistema; el legal relacionado al uso que se realiza de los datos
recolectados y; al político que evitaremos por no estar directamente
relacionado con la seguridad de la información.
El tiempo pasó y, ahora nos enteramos de diversas modificaciones y
mejoras que se han plasmado en el sistema. Bien, bien porque esto es la
esencia de las tecnologías: superación.
El nuevo sitio de SUBE implementa un control de acceso, básicamente un
sistema de usuarios, con registro previo y contraseña propia, a partir
del cuál
sólo aquellos usuarios logueados podrán acceder a los datos vinculados a su propia tarjeta de viaje ya sea desde el
sitio oficial de SUBE,
desde AFIP (con clave fiscal de cada usuario) o desde aplicaciones alternativas (no oficiales y ¿legales?) como
esta para Android, desarrollada por Ingenieros del ITBA y Universidad Austral.
Si bien el sitio web sigue siendo una "mezcla extraña" de archivos de
Wordpress, nuevos desarrollos en .NET sobre IIS en entornos Microsoft (y
¿el software libre como política de estado?),
contenido cifrado sobre HTTPS y referencias a direcciones IP, la
realidad es que el sitio luce mejor y cumple con muchos requerimientos
técnicos que exigíamos hace 16 meses.
No era tan complicado lo que reclamábamos en ese entonces y lástima que no fue así desde el principio.
En aquel momento, varias voces (
ver en comentarios)
intentaban defender a ultranza un sistema que estaba mal diseñado, mal
hecho y mal regulado. Era un sistema de control de accesos que no tenía
control de accesos, tal como lo exije la
Disposición 11/2006
de la Dirección Nacional de Protección de Datos Personales en el
inciso 7, en donde claramente se expresa la necesidad de contar con un
Procedimientos
de identificación y autenticación de los usuarios de datos autorizados
para utilizar determinados sistemas de información. No era tan complicado... ¿no?
Párrafo aparte para otra novedad del sitio de SUBE, que son la existencia de unos
Términos y Condiciones del Servicio.
En principio, se encuentran regulados todos los tópicos generales de
unos TOS, destacando que se repiten en dos ocasiones la facultad de
modificar los términos y condiciones (una después del apartado de
enlaces y nuevamente al final del contrato). En realidad, en este
apartado de "
Modificación de Términos – Vigencia", se regula más
sobre el enlaces sobre sitios terceros que otra cosa y la posibilidad de
que terceros solo pueden enlazar a SUBE (y suponemos usar sus
servicios)
"con expresa autorización por parte de Nación Servicios" (recordemos la existencia de aplicaciones para teléfonos móviles sin duda sumamente útiles pero no oficiales).
Es bien interesante el apartado siguiente, sobre
Seguridad de Datos Personales, donde
se aclara que el sistema se encuentra inscripto ante la Dirección
Nacional de Protección de Datos Personales. Sin embargo, esta cláusula
no cumple con el art. 6 de la Ley 25.326 de PDP, en tanto no informa
expresa y claramente quien es el responsable de la base de datos
personales, ni su identidad ni su domicilio (inc. c),
ni se informa la finalidad por la cuál el Estado decide recolectar esos datos,
ni tampoco habla sobre la posibilidad de su cesión (por lo que de
acuerdo a la ley, se interpreta la prohibición de su cesión, ya que la
misma debe ser expresamente informada al usuario). Por último, si bien
se menciona la posibilidad de acceder al "historial ampliado", no se
informa al usuario sobre sus derechos de acceso, modificación o
supresión de datos (inc. e del mismo art. 6).
Como
indicamos, a través de este control de accesos, ya no es posible el
ingreso de terceros a los datos de cualquier usuario (a menos que se
encuentre una vulnerabilidad en el sistema), pero esto no quita que
todos los datos sí están disponibles para el Estado, y que según hemos
averiguado, la decisión de vincular las tarjetas a un DNI, tiene su
razón de ser en saber
quienes viajan subsidiados y así lo demuestra la
asociación que realiza AFIP con SUBE.
No es necesario vincular un nombre, apellido, DNI, a una tarjeta SUBE.
Opinamos que esto es un avance del Estado hacia la privacidad de las
personas, que si el Estado realmente desea saber el consumo del
transporte subsidiado, puede hacerlo de manera anónima, sin necesidad
de saber exactamente quién viaja en qué y en que horario.
Amén de eso, desconocemos y no comprendemos cual es el propósito de
solicitar el número de teléfono, el celular, el sexo y la fecha de
nacimiento del usuario y por otro lado estos datos no se solicitan en el
caso de dar de alta la tarjeta en AFIP.
Sin embargo, estos datos tienen otra cara de la moneda. Hace un tiempo,
un ladrón que robo un celular arriba de un colectivo, que negaba haber
estado en el mismo,
pudo ser acusado utilizando como prueba de su viaje, los datos del itinerario de su tarjeta SUBE. Es decir, aún cuando según los términos y condiciones (apartado de Seguridad de Datos Personales, último párrafo)
"la información que brinde este servicio será únicamente válida para el uso personal de cada usuario",
podemos ver que los mismos han sido utilizados con finalidades
diferentes. Podemos deducir entonces que en caso de necesidad (a
criterio del Estado por supuesto) dichos datos de nuestros viajes están
ahi disponibles para ser consultados.
En el art. 4 de la Ley Nº 25.326, inc. 3, se reitera un principio con relación a lo comentado anteriormente: "
Los
datos objeto de tratamiento no pueden ser utilizados para finalidades
distintas o incompatibles con aquellas que motivaron su obtención."
Si el Estado sigue sin informar la finalidad para la cuál recolecta los datos de los viajes del usuario
(incumplimiento del marco normativo), como podremos estar seguros que
los mismos no sean utilizados con finalidades incompatibles, y por lo
tanto, ilegales.
Para reforzar este punto, se puede consultar la
base de datos pública de bases de datos inscriptas,
buscar "Nación Servicios S.A." (nombre de la persona jurídica a cargo
del Servicio). Presumiendo que esta base es la "Base de datos de
viajes" (falta de determinación exacta con SUBE), comprobaremos que la
finalidad NO está declarada en los Términos y Condiciones, tampoco está
en la propia declaración de la base (extraño siendo que al inscribir
una base de datos, dicho campo es OBLIGATORIO). Es más, ninguna de las
bases de datos declaradas por Nación Servicios S.A. tiene una finalidad
declarada, violando claramente unos de los principios de la normativa de
protección de datos personales: informar al titular para que serán
utilizados los datos recolectados. ¿Queremos ejercer el derecho de
acceso? Hay un teléfono y una dirección... ¿y la comunicación
electrónica?
En conclusión, el sistema ha sido mejorado, se han corregido los
problemas de base por los cuáles reclamábamos desde el comienzo. No
obstante, siguen existiendo baches, como tienen la mayoría de los
sistemas. La diferencia con otros, es que aquí hablamos de un servicio
que pertenece al Estado, que administra y trata datos personales de una
masa muy importante de argentinos (si bien se afecta dinero nacional
para beneficiar a una sola provincia), de información personal/privada, y
que por lo tanto debe ser minuciosamente controlada y auditada, por el
Estado a través de la DNPDP, pero sobre todo por nosotros, los propios
usuarios.
Marcelo Temperini es Abogado, especializado en Derecho Informático, Doctorando CONICET en materia de Delitos Informáticos y Cibercrimen. Desde hace varios años se encuentra dedicado al estudio e investigación del Derecho Informático y Nuevas Tecnologías, en especial, orientado en materia de Delitos Informáticos, Protección de Datos Personales, Seguridad de la Información, Propiedad Intelectual y Redacción de Políticas, Términos y Condiciones.
