En menos de dos semanas, Argentina vivió una serie de filtraciones de datos personales de gran magnitud. A principios de abril, un ciberdelincuente publicó más de 115 mil fotografías robadas del Renaper. Dos semanas después, casi 6 millones de imágenes de licencias de conducir argentinas fueron robadas y distribuidas. Y el jueves de la semana pasada, otro atacante publicó una base de datos con 65 millones de registros, también de Renaper.
Para este tipo de casos -entre otras razones, el Fundación Vía Libreque luchan por la protección de los derechos digitales de los ciudadanos, presentó un informe en formato dossier en el que Exigen más responsabilidad al Estado. La presentación, encabezada por Beatriz Busaniche, presidenta de la Fundación, experta en privacidad y derecho a la información, contó con especialistas en tres áreas cruciales para el tratamiento de datos personales.
«El proyecto forma parte del programa de trabajo Leaking Data que se ha desarrollado con el apoyo de Avina, la iniciativa Indela», explicó Busaniche.
Las filtraciones, o “fugas” como se las conoce en el entorno de la ciberseguridad (como se dice en inglés), implican que se dé a conocer cierta información interna de un Estado, empresa o entidad, que no estaba destinada a ser pública. Los datos personales se comercializan para cometer diversos tipos de delitos cibernéticos, incluidos fraude de identidadque puede utilizarse para obtener acceso no autorizado o realizar ingeniería social.
Pero los peligros van más allá de estas estafas específicas. El informe destaca cuestiones de fondo que tienen que ver no sólo con la responsabilidad del Estado, sino también con cómo es la ley en Argentina: ¿qué pasa si se filtran datos de mi documento? ¿Ante quién puedes quejarte? ¿Quién es responsable de los posibles daños que se puedan sufrir?
Aquí todo sobre la presentación, el panorama en Argentina y el texto completo para leer en línea:
¿Por qué el Estado recopila (tanta) información?
La idea del expediente Vía Libre apunta a trabajar la gestión de datos en el Estado. “Tiene un panorama histórico de las políticas de identificación del Estado, de cómo las políticas de IDENTIFICACIÓN se desarrollaron, el rol de la identificación, la historia del Renaper, el panorama actual y por qué es necesario poner límites, incluida la reforma de la legislación vigente”, explicó Busaniche.
La presentación contó con tres ponentes dedicados a comprender la naturaleza de los datos personales, cada uno con diferentes perspectivas. La primera en hablar fue Margarita Trovato, abogada encargada de políticas públicas de Fundación Vía Libre, quien hizo un revisión de la historia de la recolección de datos en el país. ¿A qué información tiene acceso el Estado? ¿Cómo cambió el avance de la tecnología, el volumen de datos y qué potenciales nuevos problemas se generaron en tiempos de grandes datos?
“Naturalmente el Estado recopila datos personales; originalmente para una cuestión de registro y luego, con el paso de los años, con diversas funciones, por ejemplo para producir políticas públicas. Durante ese tiempo, la tecnología de recopilación, procesamiento y almacenamiento de datos ha evolucionado a pasos agigantados, incluido el tipo de datos que se recopilan (piense en biometria) pero el marco regulatorio es el mismo: nuestra ley de protección de datos personales, la número 25.326, data del año 2000”, explicó el especialista a este medio.
Por supuesto, una ley que ya tiene 24 años «era anticuado y anacrónico», pero preserva ciertas garantías mínimas. «Sabemos que el Estado tiene límites claros sobre lo que puede hacer con nuestros datos personales: en ningún caso podrá violar derechos constitucionales a la privacidad, la intimidad, la autodeterminación informativa, la seguridad, la transparencia, por mencionar algunas, que a su vez son condición para el ejercicio de otras”, añadió.
En este sentido, el consentir Es un punto de partida ineludible: hay determinados datos que el ciudadano tiene que decidir activamente facilitar al Estado, recordó, y ni siquiera pueden utilizarse para un fin distinto al previsto en el momento de ser solicitados.
Pero lo más interesante es que el Estado tiene el deber de seguridad y confidencialidad: Durante los últimos años, las instituciones del Estado argentino fueron “breacheada”, como se dice en el ámbito de la ciberseguridad: desde la Dirección Nacional de Migraciones, que sufrió un ransomware que hizo públicas las salidas del país, hasta el Senado de la Nación, exponiendo documentación interna de los legisladores, o de la Legislatura porteña.
El problema es que, según Trovato, existen “lagunas que en la práctica se convierten en ventanas para desviarse de estos principios” de protección de datos. El explica:
1) El primer gran problema es el régimen de excepciones al consentimiento del propietario. El estado no debe recopilar ni almacenar más datos de los estrictamente necesarios para la política pública que lleva a cabo, pero la ley le deja espacio para hacerlo.
2) Esto es aún más preocupante si lo combinamos con otra de las falencias de la ley: crea una autoridad de control con poca autonomíainstitucionalmente débil y que actualmente se concentra en la Agencia de Acceso a la Información Pública (AAIP) que, como su nombre indica, tiene una naturaleza y especificidad técnica totalmente diferente.
3) Finalmente, aunque en la misma línea, la ley tampoco describe claramente qué medidas de seguridad se deben adoptar ni cómo deben actuar las autoridades públicas ante un incidente de seguridad (por ejemplo una filtración), cuestión que la legislación más avanzada en otras regiones ya resuelven [Chile, por ejemplo, que en enero aprobó una Ley Macro sobre Ciberseguridad].
“Vamos hacia un ordenador Cro-Magnon”
La segunda presentación estuvo a cargo de Tomás Pomar, miembro de la Observatorio Argentino de Derecho Informático (ODIA), entidad que tiene un historial de alertar sobre violaciones a derechos ciudadanos (como el reconocimiento facial en la Ciudad de Buenos Aires). El abogado destacó los desafíos actuales de la transferencia de datos entre agencias intraestatales.
“La ausencia de un marco regulatorio adecuado, combinado con la falta de controles judiciales efectivos y la imposibilidad de desarrollar un amplio consenso político sobre la materia, terminan formando un cóctel explosivo. Para éstos fugasAl analizar el constante desgaste de los sistemas informáticos del Estado y los focos de alerta que encienden las crecientes filtraciones, creemos en la necesidad de comunicar su urgencia desde ODIA y solemos plantear que vamos hacia una Computadora Cromagnon“Pomar dijo Clarín.
La referencia es una analogía con la Tragedia de Cro-Mañón, que dejó 194 muertos el 30 de diciembre de 2004 en la Ciudad de Buenos Aires.
“Designamos como ‘Computer Cro-Magnon’ un posible incidente cibernético con daños físicos tangibles a los ciudadanos. De esa definición, Renaper no entraría en esta categoría, pero, por poner un ejemplo, lo que sí entraría sería que recibiéramos un ataque a infraestructuras críticas como los sistemas de agua sanitaria o incluso torres de control aeronáutico», explicó.
«Es decir, una ‘tragedia’ en el sentido más clásico pero originada en un ataque informático y, como tantas otras veces, en la desidia y negligencia de las autoridades competentes en la materia», concluyó el abogado especialista en protección de datos personales. . Es lo que se conoce como sector OT (Operation Technology), tal y como ocurrió con la energética Colonial Pipeline en Estados Unidos en 2021.
Finalmente, Pablo Palazzi, profesor de Derecho de la Universidad de San Andrés y socio del área de derecho tecnológico de Allende & Brea, explicó qué leyes podrían obligar al Estado a ser más transparente respecto a las filtraciones.
Primero, reconoció la dificultad del área: “Cuando se habla de ciberseguridad, se habla de defenderse. Siempre estás defendiéndote y eso es más difícil que atacar. Pueden hackear a cualquiera: la seguridad es un proceso, no es un producto”, afirmó en un apartado de la presentación.
Actualmente, ante este tipo de filtraciones, el Estado debe notificar a la AAIP. Pero a finales de 2022, el Congreso aprobó una acuerdo llamado 108+ que, si bien requiere las especificaciones de otros países para que entre en vigor, también insta a las organizaciones a hacer públicas estas incidencias.
“El acuerdo 108+ aún no ha entrado en vigor, pero ya un artículo sobre notificaciones de incidentes de seguridad que, como es directamente aplicable, en Argentina sería obligatorio reportar los incidentes. Es decir, no habría que esperar a un proyecto de ley que está actualmente en el Congreso para notificar incidencias: al ser directamente aplicable, Argentina tendría notificación de violación de datos”Palazzi cerró.
Los incidentes de seguridad preocupan a varios sectores del país. Ante el último caso del Renaper, uno de los mayores temores tenía que ver con la enorme cantidad de servicios que consultan el registro de personas. La protección de datos, la ciberseguridad y la seguridad de la información se están convirtiendo cada vez más en un problema que, lejos de minimizarse, se profundiza.
La ley intenta corregir la brecha que quedó abierta entre los derechos digitales de las personas y el avance tecnológico, es cierto que nos hace la vida cada vez más sencilla, pero también el de los ciberdelincuentes.
La presentación completa se puede ver en este enlace: