El 12 de abril se dio a conocer un fallo judicial que puso en suspenso el sistema de reconocimiento facial utilizado por el Gobierno de la Ciudad de Buenos Aires para detectar personas que se encuentran prófugas. La decisión llegó tras una presentación del Centro de Estudios Legales y Sociales (CELS) y el Observatorio del Derecho Informático en la Argentina (O.D.I.A.).
Según consta en la denuncia y la resolución del juez Roberto Gallardo, el Ministerio de Seguridad porteño accedió a datos biométricos de millones de personas. Desde políticos de todos los partidos, pasando por dirigentes sociales, sindicales y de derechos humanos, hasta jueces, empresarios y periodistas.
Esto fue posible gracias a un convenio firmado en 2019 con el Registro Nacional de las Personas (Renaper). No obstante, el mismo señalaba que los datos requeridos debían ser de personas incluidas en la Consulta Nacional de Rebeldías y Capturas (CoNaRC). Si bien ese registro tiene hoy alrededor de 40.000 nombres, entre abril de 2019 y marzo de 2022, las consultas realizadas por la cartera de Seguridad porteña fueron 9 millones.
De acuerdo a los datos entregados al juez por el Renaper, en el período mencionado se solicitaron 76 veces datos del presidente Alberto Fernández; 225 veces de la vicepresidenta Cristina Fernández; 12 veces del diputado Máximo Kirchner y el ministro de Seguridad Aníbal Fernández; 18 veces de la presidenta del PRO, Patricia Bullrich; 8 veces de los diputados Ricardo López Murphy y José Luis Espert; 32 de Javier Milei; y 3 de Myriam Bregman y Sergio Massa, entre otros.
También fueron buscados los datos de los periodistas Gustavo Sylvestre (9 veces); Eduardo Feinmann (9 veces); Viviana Canosa (6 veces) y Joaquín Morales Solá (una vez). Asimismo la lista incluye a la fundadora de Madres de Plaza de Mayo, Hebe de Bonafini, con 5 requerimientos, y a la presidenta de Abuelas de Plaza de Mayo, Estela de Carlotto, con dos.
Todo esto fue descubierto gracias a que en 2020, O.D.I.A. inició una acción de amparo para discutir la constitucionalidad de las normas que implementaron el sistema de reconocimiento facial en la Ciudad de Buenos Aires. Allí señalaban que se utilizan programas que realizan una comparación de características biométricas de dos rostros y que la mayoría de ellos “presentan sesgos en cuanto discriminan por raza, color y etnia”.
Rodrigo Iglesias, miembro del Observatorio, reconstruye el estado actual de la causa y los peligros que implica el mal manejo de datos personales por parte de instituciones que carecen de los reaseguros necesarios para protegerlos.
– ¿Cómo fue que detectaron originalmente esta irregularidad de que el Ministerio de Seguridad porteño solicitara tantos datos biométricos del Renaper?
– La irregularidad surgió a resultas de la producción de prueba ordenada en el marco del amparo que iniciamos desde O.D.I.A. contra la implementación del sistema.
– Más allá de que existía un convenio, ¿nadie en el Renaper detectó que la cantidad de datos solicitados era llamativamente superior a la cantidad de personas que figuraban en la CoNaRC? ¿O por qué se pedían datos de figuras políticas, periodistas y otras personalidades?
– Aparentemente nadie en Renaper detectó esta anomalía. Por el patrón de datos que pudimos observar con la poca información que nos proveyeron, estas fueron accedidas en distintas fechas y horas de forma aleatoria, por lo que no se habría notado. No sabemos si el acuerdo tenía un límite de peticiones. No sabemos si Renaper monitorea particularmente los pedidos de figuras públicas.
En este organismo ya se había presentado un antecedente de hackeo a través del Ministerio de Salud, del que nos enteramos sólo porque ya estaba disponible para la venta toda su base de datos. Cabe resaltar que existe al menos un convenio más a través del cual el Ministerio de Justicia solicita información al Renaper. La Defensoría del Pueblo de la CABA es quien tiene facultades de auditoría y acceso a todos los convenios. Por otra parte, la Comisión Especial de Seguimiento de los Sistemas de Video Vigilancia que ordena crear el art. 490 bis de la Ley de Seguridad Pública aún no fue creada.
– Si bien la investigación está en curso ¿se puede decir que se cometió algún delito o existe la sospecha de que se haya cometido?
– No existe prueba cabal de la comisión de un delito. Por el momento sólo podemos afirmar que hubo una petición de datos personales marcadamente excesiva, pero, aún no resulta posible determinar cuál ha sido el destino o uso de registros.
– ¿Cuáles son los próximos pasos en lo que respecta a la causa judicial?
– Actualmente, nos encontramos a la espera del peritaje de los servidores que se encontraban en poder del Ministerio de Seguridad de la Ciudad. Una vez llevada a cabo tal medida de prueba, tendremos la posibilidad de determinar cuál ha sido el destino de los datos requeridos al Renaper y, por ende, establecer el curso de acción a seguir. Sin perjuicio de esto, entendemos que “anomalías” como esta dan cuenta de un modo sobrado de los peligros que estas tecnologías conllevan para nuestros espacios públicos.
– Ustedes no solo han trabajado sobre este tema, si no también han abordado el manejo de datos de la app Cuid.ar, entre otras. A partir de su trabajo ¿qué mirada tienen respecto a la seguridad digital y la protección de datos personales en nuestro país? ¿Qué medidas se podrían tomar para mejorar esa situación?
– El estado de seguridad y protección de datos personales parece bastante alarmante. Sabemos de dos hackeos importantes a organismos públicos nacionales, la Dirección Nacional de Migraciones y Renaper vía el Ministerio de Salud. La seguridad informática es un problema difícil y nunca se puede estar completamente libre de vulnerabilidades, sin embargo la frecuencia y volumen nos dan a entender que no suele ser una prioridad.
Un elemento particularmente preocupante respecto a este punto en nuestro país, viene dado por la ausencia de políticas públicas integrales y coordinadas en la materia. Así mismo, las especiales características del mercado de InfoSec, como las condiciones flexibles y con salarios altos dolarizados, resultan un desafío infranqueable al momento de incorporar capacidades técnicas idóneas en este campo a las estructuras de los diversos niveles estatales.
No existe una solución universal a la seguridad. Una vulnerabilidad puede pasar en cualquier “capa” que acceda a los datos, desde el sistema automatizado al operador humano.
Al momento de crear o adoptar un sistema nuevo tiene que tenerse en cuenta el impacto que puede tener sobre los datos personales, así también como su seguridad y aún más verificar que el bien que pueda traer contra el daño que pueda generar.