martes, 31 de enero de 2012

Las tarjetas SUBE y la protección de datos personales

Estimados, este artículo esta basado en una consulta de un amigo personal, sobre mi opinión acerca de este tema, que debo confesar que antes de ponerme a investigarlo a fondo, sólo lo había escuchado de lejos (dado que como soy de la ciudad de Santa Fe, la tarjeta realmente me pasaba lejos). 

Aquí en nuestra ciudad, tenemos sistema de tarjetas hace tiempo, si bien son de empresas privadas y para líneas determinadas, el sistema es sencillo: las tarjetas son anónimas, uno las puede comprar en lugares habilitados, lo mismo que ir a recargar. Las usa, en el mismo ticket te dice cuanto saldo te va quedando y así la gente vive libre de las monedas. Cuando me comentaron de SUBE, pensé que debía ser algo por el estilo, pero viendo el tema, veo que hay diferencias...

En primer lugar, las tarjetas sólo son entregadas a quien realizan un trámite (sencillo aparentemente) con su DNI, de manera que cada número de tarjeta queda vinculada a una persona física. ¿Por que? Según pude interiorizarme, sería porque el Estado así puede saber cuantas personas tienen subsidio (porque estos viajes están subsidiados) y cuantas personas viajan por día en cada línea, y así saber si los prestadores del transporte cumplen con la cantidad de unidades que deben ofrecer. ¿Es necesario? Técnicamente no, porque aún siendo 100% anónimas las tarjetas, por sistema, uno podría consultar, cuantas personas tomaron el 186 a las 7:30 en la estación X, y así podría igual saber tal dato, sin necesidad de poder trazar que persona viajaba y cuál no. Con respecto al tema de controlar los subsidios, de manera que nadie tenga más de una tarjeta, creo que tampoco tiene mucho sustento, ya que aunque una persona tuviera dos o más tarjetas, eso no haría que viaje "más o menos", sino que bastaría nuevamente consultar al sistema, cuantas personas en un día, utilizaron tal línea, o tal tren y listo, sabríamos que cantidad real utiliza el servicio y si se están cumpliendo las prestaciones adecuadas para tal número.

Pero ahí no terminan las novedades, ya que lo que brindan las tarjetas SUBE es un sistema de consulta de saldos, donde lo único que necesito para saberlo es el número de tarjeta y... nada más, ahi se terminaron las exigencias de seguridad (además de un captcha espantoso). Pero las sorpresas continúan, al ver que no solo me dice cuál es mi saldo, sino que me da un listado de los últimos 10 viajes realizados! Y aquí ya la cosa me empezó a hacer ruido...

Mi primera sensación es la de un rudo golpe contra la privacidad... y lo es sin dudas, porque saber el itinerario de una persona es información sensible, desde el punto de vista que cualquiera que se pudiera hacer con el número de mi tarjeta, podría semanalmente sentarse por internet a investigar por donde anduve viajando, a que hora, en fecha me tome que colectivo o tren. Genial! (exclamo una novia celosa que hace tiempo sospecha de las andanzas de su novio). Claro, genial para esta chica, que tiene anotado el número de tarjeta de su chico, y que cada tanto le dice... ¿por donde anduviste? para comparar su anduvo por los lugares que ella sabía por el sistema. Desde el punto de vista de la privacidad, empezamos perdiendo el partido.

De vuelta, ¿Por que?. Acá la cosa ya empieza a perder sustento. ¿Por qué yo como titular de la tarjeta, voy a querer saber mis propios gastos? (si supuestamente soy el único que tiene el número de tarjeta). Yo quiero saber el saldo a lo sumo, para saber si me alcanza para volver a casa. La respuesta no parece clara, y me suena más a un proyecto apurado del gobierno, que no hizo tiempo de pensar en estos "detalles". A ver, si el sistema es electrónico, es sabido que siempre quedan los registros, pero que esos datos estén tan accesibles, es poco común y diría que no recomendado. Aquí en Santa Fe, con tarjetas anónimas, también queda registro, pero sólo los puede ver el muchacho que me carga el saldo y la empresa en su caso. Y la verdad es que no conozco a nadie que quiera saber sus propios viajes. 

El tema se puso más complicado cuando se publicaron mil itinerarios de viajes (Noticia de Segu-Info) por parte de Anonymous. Al principio me asombre de ver todos esos datos de itinerarios, sin DNI ni nombres ni apellidos, sino una recopilación de viajes por número de tarjetas. Pero luego me dio curiosidad de chequear el sistema del gobierno y dije... es tan asi? Sí, era así nomás, es más tuve que probar como 20 veces porque el sistema estaba caído (ahí realmente les creí que lo tenía instalado y administraba el Gobierno :). Es por internet, gratis, sólo necesito saber un número y tengo los últimos 10 viajes que realizó esa persona... increíble pero real dijo un delincuente especializado en secuestros express. 

Ahora yo pregunto...  si hicieron que las personas asociaran la tarjeta a su DNI, porque al menos no piden aleatoriamente números del DNI como refuerzo de seguridad del sistema? Eso lo tiene hasta el sistema para anotarse a exámenes de mi facultad.

Pero bueno, realizada la catarsis, hablemos desde lo jurídico. Cumple con la Ley Nº 25.326 de Protección de Datos Personales? En principio, el site muestra el isologotipo debajo. Esto quiere decir que cumple con las normas de seguridad exigidas en el art. 9 de la Ley? No necesariamente, sólo implica que se inscribio la base. Son datos personales los revelados por el sistema? Cumple con las normas de seguridad exigidas? Comencemos por el principio...


Art. 2: "A los fines de la presente ley se entiende por: 
— Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables."


Como lo dice expresamente el concepto del art. 2 de la LPDP, los datos personales son aquellos que hagan a una persona determinada o determinable. Datos que hagan a una persona determinada, es directamente decir su nombre apellido o DNI. En cambio, los determinables son menos comunes y en las capacitaciones que he podido dictar sobre Datos Personales, siempre les doy a los asistentes el ejemplo del perfil psicológico. Es decir, cuando se arman perfiles psicológicos de un alumno por ejemplo, no se pone el nombre y el apellido, se pone un número X, pero luego se hace todo un minuscioso detalle de las características de ese alumno, que es alto, morocho, se sienta adelante, muy revoltoso, que se mete el dedo en la nariz y sabe mucho de computadoras. Entonces, sin dar nombre y apellido se dan una serie de datos que hacen que la persona sea fácilmente identificable. 
Personalmente opino que la publicación de un itinerario de viajes, con horarios, fechas, línea o tren que está tomando, permiten inferir una serie de datos que hacen a la privacidad de una persona, y que por lo tanto SON DATOS PERSONALES que hacen a una persona determinable. 
Vamos bien... ahora, cumple con las medidas de seguridad exigidas?

"ARTICULO 9° — (Seguridad de los datos). 
1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. 
2. Queda prohibido registrar datos personales  en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. "


Eso es más complicado de responder. La publicación de itinerarios por parte de Anonymous, no fue técnica ni legalmente un hacking... De hecho, se ha hecho público el código (pueden encontrar el link en este post de Segu-Info) utilizado para obtener esos datos (veanlo por gusto, son sólo 18 líneas muy sencillitas), que no hacen más que ir ingresando números y guardando resultados (y saltando ese endeble captcha) de manera seriada. Esto NO es hacking en Argentina, porque el hacking (art. 153 bis) existe sólo cuando el sistema es de acceso restringido, tema que aquí no existe desde el momento que sólo pide un usuario sin pedir contraseña.

Más allá de esta divergencia, decía que es compleja la respuesta porque desde afuera uno no puede saber si el organismo que administra a SUBE cumple con todas las exigencias de la Disposición 11/2006.
Sin embargo, desde afuera, si podemos saber que el sistema permite el ingreso contando sólo con el user (Nº de tarjeta) sin otro requisito más, lo que a mi criterio sería una falta al inciso 7 de las normas de seguridad para las bases de datos "básicas" (7. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información.).

Para ir finalizando, creo que el sistema SUBE es interesante en cuanto a la idea de reemplazar monedas, lo cuál no dudo que es muy exitoso en ese aspecto. Desde aquí se ha intentado analizar sus consecuencias en relación a la información que se brinda, su legalidad y su necesidad.

No veo realmente la necesidad ni fundamento de informar los datos de viajes realizadas, que sí son datos personales, que sí deben ser protegidos adecuadamente. Nuestra propia Ley de Protección de Datos Personales en su art. primero, establece que su finalidad es garantizar el derecho al honor y a la intimidad de las personas y desde mi punto de vista, la publicación de manera cuasi liberada de itinerarios de viajes, afecta sin dudas la intimidad de los usuarios de una manera irrazonable e injustificada.

Abog. Marcelo Temperini

_____________________________________________________________

Actualización Marzo 2012:

Me parece interesante compartir el comentario que un usuario ha dejado como comentario en la publicación de este mismo artículo en el blog de Segu-Info, que sirve para visualizar la fragilidad del sistema comentado:

"Les quiero comentar mi caso, para "aclarar la oscuridad" co nrespecto a la privacidad de la informaciond e la tarjeta sube. A mi me robaron, o "levantaron del piso cuando se me cayo", la SUBE el viernes proximo pasado, como no sabia si la habia perdido o me la habia choreado, quise averiguar los ultios viajes para ver si el ultimo lo habia hecho yo o habia otros viajes.
Primero me encontre que para saber esta info de la pagina debia ener el nº de tarjeta, la cual ya no tenia, y cuyo nº obviamente no tenia anotado en ningun lado.
Entonces llame al 0800 del SUBE, y un operador me pido mi nº de dni, me consulto mi nombre completo, y solo con esa info, me dio el nº de mi tarjeta con lo cual pude acceder a los ultimos viajes, y constatar que efectivamnenbte, alguien mas la estaba usando.
Resuelta la duda si la habia extraviado en mi casa o en otro lugar, pase a denunciarla para que la deshabiliten.
La cuestion principal en todo esto, radica en el hecho de que cualquier persona puede averiguar los movimientos de quen desee, solo con saber su nombre complet, y su nº de dni; el cual si lo desconoce, puede averiguarlo por diferentes buscador en internet."
Es decir, a través de la experiencia se demuestra que toda esa seguridad prometida para imposibilitar hacer un trazado desde el titular hacia el número de tarjeta, se corta por la parte más delgada del hilo, que por lo general suele ser la capa humana.
Por otro lado, el propio tiempo y la práctica en el uso de la tarjeta para viajes, ha tenido como consecuencia algo que se anuncia en las noticias en estos dias, que es una marcha atrás con respecto a la reglamentación inicial que afirmaba que cada usuario debía tener su propia tarjeta (hasta tuve que escuchar a un funcionario por televisión que afirmaba que un nene de 4 años, tenía que tener su propia tarjeta para viajar!... luego la guardaba en su billetera en la parte trasera de los jeans no?). :) . En fin, actualmente desde la Secretaría de Transporte de la Nación, se emitió un comunicado donde aclararon que se podrá pagar más de un boleto con la misma tarjeta SUBE, lo cuál parece lógico y razonable que una madre que viaja con sus chicos, centralice el débito de los viajes, o una pareja, o cualquier grupo de 2 o más personas que quieran hacerlo. Lo importante, es que esta marcha atrás afecta una de las razones iniciales del proyecto, dado que al ir despersonalizandose el uso de las tarjetas y los débitos de los viajes (por pagar más de uno), se afecta la intención de detectar al más mínimo detalle "quién viaja subsidiado y quién no" que tanto se ha defendido a la hora de justificar la emisión de tarjetas relacionada con los datos personales de algún titular....



0 comentarios:

Publicar un comentario