10 noticias relevantes para la privacidad en Argentina
La Argentina está repleta de sucesos que, de un modo u otro, se relacionaron con la protección de nuestros datos, la seguridad de la información en manos del Estado y empresas privadas o la posibilidad de disfrutar del espacio público sin temor a ser objeto de vigilancia masiva. Al mismo tiempo, varios de los acontecimientos afectaron a la ciudadanía en general pero también hubo grupos que se vieron perjudicados de manera especial, como los de niñez y adolescencia. Por otro lado, la aparición de la pandemia de Covid-19 puso el vínculo entre salud y privacidad en el centro de la escena. Sin embargo, la coyuntura no impidió que otros temas de la agenda -como el reconocimiento facial o la ciberseguridad- continuaran ofreciendo novedades destacables.
A continuación, presentamos diez noticias que creemos tendrán un considerable impacto en la privacidad de la sociedad argentina. El orden no es por importancia ya que consideramos que cualquiera de estos sucesos puede ser igual de relevante, más allá del lugar que haya ocupado en la agenda. La defensa de la privacidad debe ser llevada a cabo con la misma intensidad en todos los ámbitos en donde se vea amenazada. Asimismo, es probable que haya novedades importantes que fueron omitidas. Sin embargo, estamos seguros de que el siguiente listado ofrece un panorama bastante completo acerca de los futuros desafíos que nuestro país enfrentará en la materia.
1. El auge de los ataques ransomware. Los secuestros virtuales de información volvieron a ser una amenaza grave para la seguridad informática del país. Los ataques ransomware se llevan a cabo a través de programas maliciosos cuyo fin es ingresar a un sistema informático para -mediante el cifrado de archivos o el bloqueo de pantalla, entre otros- impedir que el usuario acceda a la información de su computadora. A cambio de permitir nuevamente el acceso, los “secuestradores” exigen el pago de una suma de dinero. El año pasado hubo varios casos de ransomware con impacto en Argentina y que tuvieron como objeto tanto empresas privadas como reparticiones públicas. Respecto a las compañías, en julio de 2020 la empresa telefónica Telecom sufrió un ataque ransomware en las computadoras que se encargan de brindar el servicio de atención al cliente. Los perpetradores del ataque solicitaron 7 millones y medio de dólares de rescate, pero según la empresa, no fue necesario pagar el monto ya que el intento fue finalmente neutralizado. Por otro lado, el grupo empresarial chileno Cencosud fue infiltrado en noviembre pasado y los atacantes exigieron millones de dólares para no divulgar información personal de los clientes de diversas empresas pertenecientes al conglomerado. La noticia tuvo impacto local, ya que el grupo es dueño de varios de los principales supermercados de Argentina. Cencosud se negó a pagar la suma exigida y, de esta manera, la información personal de miles de clientes fue difundida.
El sector público no estuvo ajeno a este tipo de ataques. A fines de agosto de 2020, la Dirección Nacional de Migraciones (DNM) fue víctima de un ataque de ransomware. Los delincuentes solicitaron 4 millones de dólares a cambio de no difundir los datos. La DNM contaba con una copia de la información secuestrada y, por lo tanto, no necesitaban el desbloqueo del acceso. Sin embargo, los atacantes también hicieron una copia y, ante la falta de pago del rescate, la información fue filtrada a la web. Datos personales de miles de extranjeros y argentinos repatriados quedaron al descubierto. Por otro lado, a finales de noviembre pasado, la Agencia de Seguridad Vial habría sido víctima de un ataque similar y el incidente está siendo investigado por la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).
Es de esperar que los ataques de ransomware continúen y, por lo tanto, imprescindible que el Estado argentino y las empresas que operan en el país cuenten con los recursos humanos, técnicos y financieros necesarios para adoptar las medidas de seguridad adecuadas. El resguardo de la información es clave para la preservación de los activos de un país, pero también es una forma de respetar el derecho de la ciudadanía a la protección de los datos personales.
2. Se expande la vigilancia por reconocimiento facial. En octubre de 2020, la Legislatura porteña reformó la Ley 5688 del Sistema Integral de Seguridad Pública para incorporar el Sistema de Reconocimiento Facial de Prófugos (SRFP), que hasta entonces solo estaba autorizado por una resolución del Ministerio de Justicia y Seguridad. A pesar de la oposición de la sociedad civil, la iniciativa prosperó y sirvió como cristalización de una tendencia que viene imponiéndose en varios puntos del país. Como si fuera producto de un efecto dominó, en noviembre pasado el Ministerio de Seguridad de la provincia de Santa Fe anunció que un sistema similar se implementará en la ciudad de Rosario para el primer trimestre de 2021. Entre los antecedentes mencionados para justificar la iniciativa se encuentra la experiencia de la Ciudad de Buenos Aires.
De esta manera, el 2021 comenzó con anuncios de nuevos despliegues de esta tecnología en Argentina. Aun cuando los organismos internacionales de derechos humanos vienen advirtiendo sobre los peligros del uso del reconocimiento facial con fines de seguridad pública, diversos gobiernos de nuestro país continúan insistiendo en una tecnología cuyos perjuicios superan a los presuntos beneficios. En este sentido, es indispensable que las autoridades adopten procedimientos participativos serios previo a cualquier discusión sobre el tema. De este modo, los expertos y la sociedad civil serán capaces de informar acerca de cómo el reconocimiento facial en el espacio público afecta a una gran variedad de derechos fundamentales.
3. Reportaron vulnerabilidades en el Documento Nacional de Identidad (DNI) digital. A finales de noviembre de 2019, el Estado nacional anunció el lanzamiento del DNI digital. De este modo, las personas de Argentina podrían contar con una versión digital del DNI con la misma validez que su versión física. El año pasado, el investigador informático Dan Borgogno identificó fallas en la aplicación Mi Argentina, que es la que permite contar con el mencionado DNI. De este modo, quedó expuesta información de los usuarios de la aplicación que debería haber estado protegida. En declaraciones a Infobae, Borgogno destacó que el DNI digital carece de las medidas de seguridad adecuadas y recomendó agregar la generación aleatoria de un token para validar la identidad. De lo contrario, es posible que la versión digital sea propensa a sufrir falsificaciones que permitan diversas estafas.
Es muy probable que este año -y los sucesivos- haya más personas que utilicen el DNI digital en lugar del físico. Por lo tanto, es conveniente que el Estado continúe prestando atención a las sugerencias de los expertos en seguridad informática sobre este tema. Las pruebas e investigaciones que suelen llevar a cabo constituyen un aporte valioso para el fortalecimiento de las medidas de protección de la información.
4. Más aplicaciones para colaborar en la lucha contra el Covid-19: Argentina no fue la excepción en el uso de aplicaciones informáticas para ayudar a prevenir los efectos de la pandemia del Coronavirus. Tanto a nivel nacional como provincial y municipal, los gobiernos han recurrido a aplicaciones con el objetivo de -entre otras finalidades- difundir información, permitir autodiagnósticos, o validar permisos de circulación. Desde la Asociación por los Derechos Civiles (ADC) seguimos el tema durante todo el 2020. (nuestros análisis técnicos y legales sobre las distintas aplicaciones pueden verse aquí y aquí). Pero una conclusión general debería resaltar que la confianza de la ciudadanía es un elemento vital para la legitimidad de todo tratamiento de datos personales y sensibles. Esta confianza no puede construirse si el Estado no garantiza que sus bases de datos se encuentran debidamente protegidas frente a filtraciones. A su vez, si estas aplicaciones no cuentan con la transparencia adecuada para que la ciudadanía pueda controlar su funcionamiento, tampoco habrá espacio para que las personas confíen. Por último, las personas deberían recibir información acerca de los motivos para lanzar una aplicación que recolectará datos sobre su salud o acerca de su paradero. De nuevo, si esta justificación brilla por su ausencia, también la confianza faltará.
El 2021 será un año en donde continuarán los esfuerzos para mitigar los efectos de la pandemia. De este modo, las diversas aplicaciones seguirán formando parte de los dispositivos móviles de los argentinos. En este sentido, la construcción de confianza es un paso indispensable para que la tecnología cumpla una función efectiva en la lucha contra la enfermedad sin afectar los derechos de las personas.
5. Ciberpatrullaje para monitorear las redes sociales. Luego de las declaraciones de la ministra de seguridad de la Nación en abril pasado acerca de que las fuerzas de seguridad monitorean las redes para evaluar el humor social, el ciberpatrullaje fue uno de los puntos más polémicos en relación a las iniciativas políticas del Gobierno nacional vinculadas a la privacidad. Sucede que además de estas afirmaciones, diversas personas fueron sometidas a investigaciones penales por posteos sobre la pandemia publicados en las redes. La Comisión Interamericana de Derechos Humanos (CIDH) y la Relatoría Especial para la Libertad de Expresión (RELE) se refirieron a estos casos en su comunicado sobre restricciones a la libertad de expresión y el acceso a la información en la respuesta de Estados a la pandemia del COVID-19. Finalmente, el gobierno convocó a una reunión a la sociedad civil y luego, dictó un protocolo para regular la investigación en fuentes abiertas. Sin embargo, este documento fue observado por la Agencia de Acceso a la Información Pública (AAIP), la autoridad de protección de datos personales de la Argentina. La AAIP sostuvo que las disposiciones del protocolo deberían ser revisadas para que se ajusten a la regulación vigente en materia de protección del derecho humano a la privacidad. De este modo, el organismo recomendó la suspensión de la aplicación del instrumento hasta que se ajuste a la normativa de protección de datos personales. La duración del protocolo está supeditada a la continuación de la emergencia sanitaria. Por lo tanto, es muy probable que sus disposiciones sigan vigentes durante gran parte de 2021. Hasta el momento, no tenemos noticias de que el Ministerio de Seguridad haya revisado el protocolo en sintonía con lo sugerido por la AAIP. Por lo tanto, habrá que estar atento este año al accionar de las fuerzas de seguridad en las redes sociales para controlar que la libertad de expresión y la privacidad no se vean afectadas.
6. Se fortalece la relación entre el gobierno nacional y las empresas de tecnología de investigación y vigilancia. En octubre pasado, tuvo lugar una reunión entre funcionarios del Ministerio de Seguridad y distintos referentes de empresas del sector como CISCO, Fortinet, CheckPoint, ESET, Palo Alto Networks y Cellebrite. En esa oportunidad, la firma Cellebrite hizo una demostración de un software de su propiedad para el desarrollo de tareas de investigación criminal en entornos digitales. Según Valentina Novick, subsecretaria de investigación criminal y cooperación judicial, el objetivo fue convocar al sector privado -y otros actores, como sociedad civil- a la comisión asesora prevista por el Plan Federal de prevención de delitos tecnológicos y ciberdelitos. En el caso de las empresas, Novik afirmó que también existe la propuesta de hacer convenios de colaboración e intercambio de información e incluso un convenio ya habría sido firmado.
Mas allá de estos anuncios, hasta el momento no hemos podido acceder a información adicional acerca del contenido de los convenios firmados o por firmarse. Tampoco sabemos si ya hubo adquisiciones de software de estas empresas por parte del Estado o si se planea hacerlo en el futuro. Junto con otras organizaciones colegas presentamos un pedido de acceso a información pública pero nuestras preguntas no fueron respondidas. Asimismo, desconocemos si el gobierno ha tomado en cuenta los problemas que estas herramientas han planteado para los derechos de las personas en otras partes del mundo. Efectivamente, la empresa Cellebrite ha sido cuestionada porque sus productos han servido para que las fuerzas de seguridad pueden acceder a celulares o para rastrear la ubicación de individuos en base a la recolección de datos. Si bien esta tecnología puede servir para combatir de manera más eficaz el crimen, la ausencia de controles y transparencia puede crear las condiciones para que la herramienta se termine utilizando en actividades de vigilancia injustificada y/o abusiva. Por lo tanto, la poca información no contribuye a despejar las dudas sobre la conveniencia de contar con esta tecnología. De esta manera, es de esperar que este 2021 nos brinde mayores novedades acerca del vínculo entre el sector público y las empresas de tecnologías de vigilancia.
7. Avanza la digitalización de la salud. A finales de noviembre, el Senado de la Nación dio media sanción al proyecto de ley que establece la digitalización de las historias clínicas mediante el “Programa Federal Único de Informatización y Digitalización de las Historias Clínicas de la República Argentina”. La iniciativa es justificada bajo argumentos de mayor accesibilidad, rapidez y facilidad de lectura. En paralelo, el Ministerio de la Salud anunció Impulsa, un programa cuyo objetivo será promover la transformación digital del sistema sanitario. De acuerdo con declaraciones del ministro de Salud Ginés González García, la iniciativa contempla la creación de la historia clínica única, la receta electrónica, los datos en la nube y la telemedicina. Este año seguramente tendrá lugar el debate en la Cámara de Diputados para decidir si el proyecto se transforma en ley y conoceremos más acerca de las actividades del programa Impulsa. Sin embargo, lo conocido hasta hoy es suficiente para que se enciendan ciertas alertas. En primer lugar, existe la intención de crear una base de datos unificada que contenga todas las historias clínicas del país. Esta centralización es muy riesgosa si las medidas de seguridad no son las adecuadas para proteger información tan sensible como la salud de toda la ciudadanía del país. Lamentablemente, el Estado nacional no cuenta con los mejores antecedentes (ver noticias 1 y 3) al momento de resguardar los datos de los argentinos. La implementación de una base única implica el riesgo de que los datos de salud de la población sean víctimas de ataques informáticos, como ha sucedido en otros casos. Por otro lado, poner demasiado énfasis en la telemedicina como solución al acceso a la salud es ignorar que la raíz de este problema reside en la desigualdad social y económica. Contrario a lo que pueda pensarse, la telemedicina ha venido favoreciendo en general a sectores medios y altos. Esto es lógico si se tiene en cuenta que la ausencia de acceso a internet y la mala conectividad en lugares alejados de los centros urbanos son circunstancias sufridas por los sectores de menores ingresos.
8. Datos de menores de edad sometidos a investigación penal son publicados en línea. En octubre pasado, la organización internacional Human Rights Watch (HRW) envió cartas a Alberto Fernández, presidente de la Nación Argentina, y a Horacio Rodríguez Larreta, jefe de gobierno de la Ciudad de Buenos Aires, con el fin de denunciar que la base de datos del sistema de Consulta Nacional de Rebeldías y Capturas (CONARC) estaba difundiendo públicamente datos personales de menores acusados de cometer un delito. Los datos de esta base son los que se encargan de alimentar el Sistema de Reconocimiento Facial de Prófugos (SRFP) de la ciudad. La situación representaba una clara violación de la privacidad de los menores, ya que los Estados tienen el deber de no publicar indebidamente información que pudiera llevar a la identificación de niños, niñas y adolescentes sometidos a un proceso penal. Luego de la denuncia, el gobierno nacional bloqueó el acceso público a la base de datos del CONARC y anunció una auditoría del sistema informático.
La noticia es un ejemplo grave de las violaciones específicas que los menores pueden sufrir en sus derechos por parte de las tecnologías digitales. Este fenómeno ha sido advertido a nivel internacional y de este modo, el Comité de Derechos del Niño de Naciones Unidas se encuentra en proceso de redacción de una Observación General sobre los derechos del niño en relación con el ámbito digital. Es de esperar que la versión final de la Observación se publique este año y, si así sucede, la sociedad contará con un instrumento actualizado para demandar a los Estados la garantía de que la tecnología será puesta al servicio de los menores y no para su perjuicio.
9. Se legalizó el aborto en la Argentina. A finales de diciembre, el Congreso de la Nación sancionó la ley que consagra el derecho de las personas con capacidad de gestar a decidir libremente la interrupción de su embarazo dentro de las 14 semanas de gestación. De esta manera, nuestro país se transformó en el tercero de América Latina -luego de Cuba y Uruguay- en legalizar el aborto para todo su territorio. La sanción de la ley representó un avance en la protección de la privacidad ya que este derecho no se vincula solamente con el resguardo de la intimidad, sino que también está relacionado con la autonomía personal. El 2021 será el año de la implementación de la normativa y numerosos desafíos aguardan para lograr una operativización efectiva. Un aspecto clave a considerar es la protección de la intimidad de la persona antes, durante y después de llevar adelante un aborto. En muchos casos, la persona puede verse inhibida de abortar si teme que esa información será divulgada a terceros. Esto puede ser grave sobre todo en aquellos lugares en donde la sociedad todavía no mira con buenos ojos dicha práctica. Para evitar represalias, es indispensable que los datos sensibles de la persona por abortar gocen de absoluta confidencialidad. La ley reconoce que la persona gestante tiene que acceder a una atención que respete su privacidad durante todo el proceso y garantice la reserva de la información aportada. Que se cumpla lo dispuesto por la norma dependerá de una política de privacidad robusta, medidas de seguridad estrictas y una infraestructura adecuada para cuidar la información personal.
10. Otro escándalo en el sistema de inteligencia: En septiembre de 2020, poco menos de 4 mil resoluciones de la Agencia Federal de Inteligencia (AFI) fueron filtradas y difundidas en internet. Los datos personales de numerosos agentes de inteligencia quedaron a disposición del público y de este modo, varios integrantes de la AFI tuvieron que cesar en sus actividades para preservar su seguridad. La filtración tuvo origen en la información aportada por la AFI a la causa judicial por espionaje ilegal a políticos, empresarios y sindicalistas. Todo sucedió cuando la agencia envió al Juzgado una copia de diversas resoluciones del organismo y luego, esa información fue digitalizada en el sistema. A partir de ahí, comenzaron a difundirse copias públicamente. Actualmente, la Justicia está investigando la filtración para detectar a los responsables y probablemente habrá novedades a lo largo del año. El escándalo pone de nuevo en escena el eterno problema de nuestro país para contar con un sistema de inteligencia transparente, democrático y comprometido con las tareas para las cuales fue creado. Por un lado, los cruces de acusaciones entre los actores involucrados (AFI, Poder Judicial, Fiscalías, etc.) deja a la ciudadanía sin la certeza de saber si la filtración fue solo una cuestión de mala praxis o hubo algún motivo oculto detrás. Por otro lado, la falta de cumplimiento de protocolos mínimos de seguridad demuestra que, sea quien sea finalmente el responsable, el Estado -en sus tres poderes- no puede garantizar la protección de información sensible. Este hecho no tiene repercusiones negativas únicamente en el sistema de inteligencia. También influye en la percepción de legitimidad del Estado para almacenar datos personales en general. Se supone que las identidades de los agentes de inteligencia constituyen una de las informaciones más delicadas que el Estado debe proteger. Si filtraciones de esta naturaleza suceden, resulta difícil no desconfiar de la manera en que los datos de la ciudadanía común son resguardados.
2021 ya arrancó y nuestro país afronta un año lleno de desafíos económicos, sociales, políticos y sanitarios. El repaso deja como conclusión que la protección de la privacidad también será un asunto importante para considerar en la agenda. Esperemos que 2021 constituya el inicio de un cambio de paradigma en la forma en que sector público y privado manejan la información íntima de las personas en Argentina.