En menos de dos semanas, Argentina vivió una serie de filtraciones de datos personales de gran envergadura. A principios de abril, un ciberdelincuente publicó más de 115 mil fotos robadas del Renaper. Dos semanas más tarde, robaron y difundieron casi 6 millones de imágenes de licencias de conducir de Argentina. Y el jueves de la semana pasada, otro atacante publicó una base de datos con 65 millones de registros, también del Renaper.
Por este tipo de casos -entre otras razones, la Fundación Vía Libre-, que lucha por la protección de los derechos digitales de los ciudadanos, presentó un informe en formato dossier en el que le exigen más responsabilidad al Estado. La presentación, conducida por Beatriz Busaniche, presidenta de la Fundación, experta en privacidad y derecho a la información, contó con especialistas en tres áreas que son cruciales para el tratamiento de datos personales.
“El proyecto es parte del programa de trabajo de Datos en Fuga que se viene desarrollando con apoyo de Avina, la iniciativa Indela”, explicó Busaniche.
Las filtraciones, o “leaks” como se conocen en el ambiente de la ciberseguridad (así se dice en inglés), implican que cierta información interna de un Estado, empresa o entidad, que no estaba pensada para ser pública, se da a conocer. Los datos personales se comercializan para cometer diversos tipos de ciberdelitos, entre los que se encuentra la suplantación de identidad, que puede usarse para conseguir accesos no autorizados o realizar ingeniería social.
Pero los peligros van más allá de estas estafas concretas. El informe resalta cuestiones de fondo que tienen que ver no sólo la responsabilidad estatal, sino también cómo es la ley en Argentina: ¿qué pasa si se filtran datos de mi documento? ¿A quién se le puede reclamar? ¿Quién se hace cargo de los potenciales daños que se puedan sufrir?
Acá, todo sobre la presentación, el panorama en Argentina y el texto completo para leer online:
¿Por qué el Estado recolecta (tanta) información?
La idea del dossier de Vía Libre apunta a trabajar sobre el manejo de los datos en el Estado. “Tiene un recorrido histórico sobre las políticas de identificación por parte del Estado, cómo las políticas de DNI se fueron desarrollando, el rol de la identificación, la historia del Renaper, el panorama actual y por qué hay que ponerle límites, incluyendo la reforma de la legislación vigente”, explicó Busaniche.
La presentación tuvo tres oradores dedicados a entender la naturaleza de los datos personales, cada uno con distintas perspectivas. La primera en hablar fue Margarita Trovato, abogada encargada de políticas públicas en Fundación Vía Libre, quien hizo un repaso por la historia de la recolección de datos en el país. ¿A qué información tiene acceso el Estado? ¿Cómo cambió, el avance de la tecnología, el volumen de datos y qué potenciales problemas nuevos se generaron en épocas de big data?
“Naturalmente el Estado recolecta datos personales; originalmente por una cuestión registral y luego, con el paso de los años, con funciones diversas, por ejemplo para producir políticas públicas. A lo largo de ese tiempo, la tecnología de recolección, procesamiento y almacenamiento de datos evolucionó a pasos agigantados, incluso sobre el tipo de datos que se recolecta (pensemos en biometría) pero el marco normativo es el mismo: nuestra ley de protección de datos personales, número 25.326, es del año 2000”, explicó la especialista a este medio.
Por supuesto, una ley que ya tiene 24 años “quedó desactualizada y anacrónica”, pero preserva ciertas garantías mínimas. “Sabemos que el Estado tiene límites claros en lo que puede hacer con nuestros datos personales: en ningún caso puede vulnerar los derechos constitucionales a la privacidad, intimidad, autodeterminación informacional, seguridad, transparencia, por mencionar algunos, que a su vez son condición para el ejercicio de otros”, agregó.
En este sentido, el consentimiento es un punto de partida ineludible: hay ciertos datos que el ciudadano tiene que decidir, activamente, brindarle al Estado, recordó, e incluso no pueden ser utilizados con una finalidad distinta a la cual fue pensada al momento de ser solicitados.
Pero lo más interesante es que el Estado tiene el deber de la seguridad y la confidencialidad: durante los últimos años, instituciones estatales de Argentina fueron “breacheadas” (filtradas, hackeadas), como se dice en el ambiente de la ciberseguridad: desde la Dirección Nacional de Migraciones, que sufrió un ransomware que hizo públicas salidas del país, hasta el Senado de la Nación, exponiendo documentación interna de legisladores, o la Legislatura porteña.
El problema es que, según Trovato, hay “lagunas que en la práctica se vuelven ventanas para apartarse de estos principios” de protección de datos. Explica:
1) El primer gran problema es el régimen de excepciones al consentimiento del titular. El Estado no debería recopilar ni almacenar más datos que los estrictamente necesarios para la política pública que lleva a cabo, pero la ley deja espacio para que pueda hacerlo.
2) Esto es aún más preocupante si lo combinamos con otra de las falencias de la ley: crea una autoridad de control con poca autonomía, débil institucionalmente y que actualmente se encuentra concentrada en la Agencia de Acceso a la Información Pública (AAIP) que, como su nombre lo indica, tiene una naturaleza y especificidad técnica totalmente distinta.
3) Finalmente, aunque en la misma línea, la ley tampoco describe claramente cuáles serían las medidas de seguridad que deberían adoptarse ni cómo deben actuar las autoridades públicas frente a un incidente de seguridad (por ejemplo una filtración), cuestión que legislaciones más avanzadas en otras regiones ya resuelven [Chile, por ejemplo, que en enero aprobó una Ley Macro sobre Ciberseguridad].
“Vamos hacia un Cromañón informático”
La segunda exposición estuvo a cargo de Tomás Pomar, miembro del Observatorio de Derecho Informático Argentino (O.D.I.A.), entidad que tiene un historial en advertir sobre violaciones a derechos de ciudadanos (como el reconocimiento facial en la Ciudad de Buenos Aires). El abogado destacó los desafíos actuales de la cesión de datos entre agencias intraestatales.
“La ausencia de un marco regulatorio adecuado, combinado con la falta de controles judiciales efectivos y la imposibilidad de desarrollar amplios consensos políticos sobre la materia, terminan por formar un cóctel explosivo. Por estos leaks, al analizar la constante erosión de los sistemas informáticos del Estado y las luces de alerta que encienden las crecientes filtraciones, creemos en la necesidad de comunicar desde O.D.I.A. su urgencia y solemos plantear que estamos yendo hacía un Cromañón informático”, dijo Pomar a Clarín.
La referencia es una analogía con la Tragedia de Cromañón, que dejó 194 muertos el 30 de diciembre de 2004 en la Ciudad de Buenos Aires.
“Designamos como ‘Cromañón informático’ a un potencial ciberincidente con perjuicios físicos tangibles para la ciudadanía. Desde esa definición, lo de Renaper no caería en esta categoría, sino, por poner un ejemplo, lo que sí caería sería que recibamos un ataque en infraestructuras críticas como los sistemas de aguas sanitarias o, incluso, de torres de control aeronáuticas”, explicó.
“Es decir, una ‘tragedia’ en el sentido más clásico pero originado en un ataque informático y, como tantas otras veces, en la desidia y negligencia de las autoridades con responsabilidad en la materia”, cerró el abogado especialista en protección de datos personales. Esto es lo que se conoce como el sector OT (Operation Technology, como ocurrió con la empresa energética Colonial Pipeline en Estados Unidos en 2021).
Para finalizar, Pablo Palazzi, profesor de Derecho Universidad de San Andrés y socio del área derecho tecnológico de Allende & Brea, expuso sobre qué leyes podrían obligar al Estado a ser más transparente en torno a las filtraciones.
Primero, reconoció la dificultad del área: “Cuando hablás de ciberseguridad, hablás de defenderte. Siempre te estás defendiendo y eso es más difícil que ir al ataque. Pueden hackear a cualquiera: la seguridad es un proceso, no es un producto”, sentenció en un tramo de la presentación.
En la actualidad, ante este tipo de filtraciones, el Estado debería notificarlo ante la AAIP. Pero a fines de 2022 el Congreso aprobó un convenio llamado 108+ que, a pesar de que requiere el pliego de otros países para que entre en vigor, también insta a los organismos a hacer públicos estos incidentes.
“El convenio 108+ todavía tiene que entrar en vigencia, pero posee un artículo sobre notificaciones de incidentes de seguridad que, como es directamente aplicable, en Argentina sería obligatorio que se notifiquen los incidentes. Es decir, no habría que esperar a un proyecto de ley que está actualmente en el Congreso para notificar incidentes: como es directamente aplicable, Argentina tendría data breach notification”, cerró Palazzi.
Los incidentes de seguridad preocupan a diversos sectores en el país. Ante el último caso del Renaper, uno de los temores más grandes tuvo que ver con la enorme cantidad de servicios que consultan al registro de personas. La protección de los datos, la ciberseguridad y la seguridad de la información se consolidan cada vez más como un problema que, lejos de minimizarse, se profundiza.
El derecho está intentando corregir el hiato que quedó abierto entre los derechos digitales de las personas y el avance tecnológico, ese es cierto que nos simplifica cada vez más la vida, pero también la de los ciberdelincuentes.
La presentación completa se puede ver en este enlace: