martes, 8 de enero de 2013

Tarjeta #SUBE: mucho mejor pero....

...siempre hay un pero. Cuando se hacen mal las cosas hay que decirlo y, cuando se hacen bien (o casi) también.

Hace un tiempo (octubre de 2010, enero y febrero de 2011), desde Segu-Info desarrollamos un análisis y crítica sobre la inseguridad del sistema de las tarjetas SUBE y la protección de los datos personales en Argentina.

Allí, destacábamos los variados inconvenientes que tenía el sistema, sobre todo en cuanto a la facilidad del acceso a los datos de itinerarios de los viajes, y su clara contradicción sobre el marco normativo de protección de datos personales que tenemos en Argentina, situación agravada cuando se trata de un sistema del Estado.

Los problemas se podían enfocar desde tres aspectos: el específicamente técnico relacionado al desarrollo de la aplicación web que administra el sistema; el legal relacionado al uso que se realiza de los datos recolectados y; al político que evitaremos por no estar directamente relacionado con la seguridad de la información.

El tiempo pasó y, ahora nos enteramos de diversas modificaciones y mejoras que se han plasmado en el sistema. Bien, bien porque esto es la esencia de las tecnologías: superación.

El nuevo sitio de SUBE implementa un control de acceso, básicamente un sistema de usuarios, con registro previo y contraseña propia, a partir del cuál sólo aquellos usuarios logueados podrán acceder a los datos vinculados a su propia tarjeta de viaje ya sea desde el sitio oficial de SUBE, desde AFIP (con clave fiscal de cada usuario) o desde aplicaciones alternativas (no oficiales y ¿legales?) como esta para Android, desarrollada por Ingenieros del ITBA y Universidad Austral.

Si bien el sitio web sigue siendo una "mezcla extraña" de archivos de Wordpress, nuevos desarrollos en .NET sobre IIS en entornos Microsoft (y ¿el software libre como política de estado?), contenido cifrado sobre HTTPS y referencias a direcciones IP, la realidad es que el sitio luce mejor y cumple con muchos requerimientos técnicos que exigíamos hace 16 meses.
No era tan complicado lo que reclamábamos en ese entonces y lástima que no fue así desde el principio.

En aquel momento, varias voces (ver en comentarios) intentaban defender a ultranza un sistema que estaba mal diseñado, mal hecho y mal regulado. Era un sistema de control de accesos que no tenía control de accesos, tal como lo exije la Disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales en el inciso 7, en donde claramente se expresa la necesidad de contar con un Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información. No era tan complicado... ¿no?

Párrafo aparte para otra novedad del sitio de SUBE, que son la existencia de unos Términos y Condiciones del Servicio. En principio, se encuentran regulados todos los tópicos generales de unos TOS, destacando que se repiten en dos ocasiones la facultad de modificar los términos y condiciones (una después del apartado de enlaces y nuevamente al final del contrato). En realidad, en este apartado de "Modificación de Términos – Vigencia", se regula más sobre el enlaces sobre sitios terceros que otra cosa y la posibilidad de que terceros solo pueden enlazar a SUBE (y suponemos usar sus servicios) "con expresa autorización por parte de Nación Servicios" (recordemos la existencia de aplicaciones para teléfonos móviles sin duda sumamente útiles pero no oficiales).

Es bien interesante el apartado siguiente, sobre Seguridad de Datos Personales, donde se aclara que el sistema se encuentra inscripto ante la Dirección Nacional de Protección de Datos Personales. Sin embargo, esta cláusula no cumple con el art. 6 de la Ley 25.326 de PDP, en tanto no informa expresa y claramente quien es el responsable de la base de datos personales, ni su identidad ni su domicilio (inc. c), ni se informa la finalidad por la cuál el Estado decide recolectar esos datos, ni tampoco habla sobre la posibilidad de su cesión (por lo que de acuerdo a la ley, se interpreta la prohibición de su cesión, ya que la misma debe ser expresamente informada al usuario). Por último, si bien se menciona la posibilidad de acceder al "historial ampliado", no se informa al usuario sobre sus derechos de acceso, modificación o supresión de datos (inc. e del mismo art. 6).

Como indicamos, a través de este control de accesos, ya no es posible el ingreso de terceros a los datos de cualquier usuario (a menos que se encuentre una vulnerabilidad en el sistema), pero esto no quita que todos los datos sí están disponibles para el Estado, y que según hemos averiguado, la decisión de vincular las tarjetas a un DNI, tiene su razón de ser en saber quienes viajan subsidiados y así lo demuestra la asociación que realiza AFIP con SUBE.

No es necesario vincular un nombre, apellido, DNI, a una tarjeta SUBE. Opinamos que esto es un avance del Estado hacia la privacidad de las personas, que si el Estado realmente desea saber el consumo del transporte subsidiado, puede hacerlo de manera anónima, sin necesidad de saber exactamente quién viaja en qué y en que horario.

Amén de eso, desconocemos y no comprendemos cual es el propósito de solicitar el número de teléfono, el celular, el sexo y la fecha de nacimiento del usuario y por otro lado estos datos no se solicitan en el caso de dar de alta la tarjeta en AFIP.

Sin embargo, estos datos tienen otra cara de la moneda. Hace un tiempo, un ladrón que robo un celular arriba de un colectivo, que negaba haber estado en el mismo, pudo ser acusado utilizando como prueba de su viaje, los datos del itinerario de su tarjeta SUBE. Es decir, aún cuando según los términos y condiciones (apartado de Seguridad de Datos Personales, último párrafo) "la información que brinde este servicio será únicamente válida para el uso personal de cada usuario", podemos ver que los mismos han sido utilizados con finalidades diferentes. Podemos deducir entonces que en caso de necesidad (a criterio del Estado por supuesto) dichos datos de nuestros viajes están ahi disponibles para ser consultados.

En el art. 4 de la Ley Nº 25.326, inc. 3, se reitera un principio con relación a lo comentado anteriormente: "Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención." Si el Estado sigue sin informar la finalidad para la cuál recolecta los datos de los viajes del usuario (incumplimiento del marco normativo), como podremos estar seguros que los mismos no sean utilizados con finalidades incompatibles, y por lo tanto, ilegales.

Para reforzar este punto, se puede consultar la base de datos pública de bases de datos inscriptas, buscar "Nación Servicios S.A." (nombre de la persona jurídica a cargo del Servicio). Presumiendo que esta base es la "Base de datos de viajes" (falta de determinación exacta con SUBE), comprobaremos que la finalidad NO está declarada en los Términos y Condiciones, tampoco está en la propia declaración de la base (extraño siendo que al inscribir una base de datos, dicho campo es OBLIGATORIO). Es más, ninguna de las bases de datos declaradas por Nación Servicios S.A. tiene una finalidad declarada, violando claramente unos de los principios de la normativa de protección de datos personales: informar al titular para que serán utilizados los datos recolectados. ¿Queremos ejercer el derecho de acceso? Hay un teléfono y una dirección... ¿y la comunicación electrónica?

En conclusión, el sistema ha sido mejorado, se han corregido los problemas de base por los cuáles reclamábamos desde el comienzo. No obstante, siguen existiendo baches, como tienen la mayoría de los sistemas. La diferencia con otros, es que aquí hablamos de un servicio que pertenece al Estado, que administra y trata datos personales de una masa muy importante de argentinos (si bien se afecta dinero nacional para beneficiar a una sola provincia), de información personal/privada, y que por lo tanto debe ser minuciosamente controlada y auditada, por el Estado a través de la DNPDP, pero sobre todo por nosotros, los propios usuarios.

Lic. Cristian Borghello
Director Segu-Info
Abog. Marcelo Temperini
Co-Director de la Red El Derecho Informátic

Publicado el día Lunes 07 de Enero de 2013 en Segu-Info