Este artículo fue originalmente publicado en Infobae. Por Beatriz Busaniche.
La administración pública tiene máxima responsabilidad en la custodia y necesita elevar los estándares de seguridad de la información que recopila, que es propiedad de cada ciudadano.
La gestión pública demanda grandes volúmenes de información. Cotidianamente se recopilan, administran y procesan datos filiatorios, declaraciones impositivas, información económica y de salud, entre muchos otros datos que se almacenan y procesan en bases en poder del Estado. Esos datos no sólo son importantes para la gestión. También tienen alto valor económico para el mercado y gran impacto en la vida privada de las personas. Por eso, el Estado tiene máxima responsabilidad en su custodia y necesita elevar los estándares de seguridad y protección de esa información que recopila, que es propiedad de cada ciudadano. La Administración Pública no puede ser negligente al respecto.
La información es objeto de una amplia gama de amenazas, usos indebidos e incluso ilícitos, por lo que es indispensable que cada oficina pública que administra datos tenga una política apropiada de preservación de la confidencialidad, disponibilidad e integridad de los mismos. Se trata, sin dudas, de velar por la protección de derechos y libertades de las personas, pero además de cumplir de forma eficiente con las diversas prestaciones que se esperan de un Estado moderno. Es indispensable y urgente una política de seguridad de la información, de protección de datos, preservación y confidencialidad: múltiples aristas de una sola problemática que es compleja y requiere profesionalismo, autonomía y políticas de largo plazo.
Un vacío en las prioridades argentinas: flaquezas históricas en protección de datos y seguridad de la información
Argentina tiene una larga deuda en las políticas públicas en la materia y está lejos de tener en claro la importancia de esto. En diciembre de 2004, y con la firma de quien entonces era Jefe de Gabinete de Ministros y hoy es Presidente de la Nación, el Dr. Alberto Fernández, el PEN publicó la Resolución 669/2004 ‘Política de Seguridad de la Información’, que establecía el mandato de dictar y/o adecuar políticas de seguridad de la información, conformar un comité de seguridad de la información con las máximas autoridades y desarrollar una serie de lineamientos para el debido resguardo de la información en poder del Estado.
Las políticas de seguridad de la información siempre fueron insuficientes y nunca se llegó a estandarizar una buena práctica en la materia. La falta de un presupuesto apropiado es una de las aristas de la situación. La seguridad informática requiere profesionales altamente capacitados, recursos humanos por cuya disponibilidad compite el mercado en Argentina y el mundo. La virtual inexistencia de protocolos de trabajo, políticas de acceso a los datos, establecimiento de responsabilidades por parte de funcionarios a cargo de las bases de datos y la magra a nula actividad de la Dirección de Protección de Datos Personales a la hora de fijar lineamientos claros al manejo de datos por parte del Estado hicieron lo suyo.
A esto se suma la virtual acefalía en la que está operando la Agencia de Acceso a la Información Pública tras la renuncia de su primer director, el Dr. Eduardo Bertoni, desde el 1° de enero de 2021. Una agencia garante de dos derechos esenciales, la protección de datos y el acceso a la información pública, no tiene hoy un liderazgo político apropiado ni una institucionalidad que le permita fijar los límites efectivos y arbitrar acciones apropiadas para velar por estos derechos. La necesidad de reforma de la ley de Protección de Datos Personales también aparece en el horizonte, en particular el establecimiento de la obligación por parte de los titulares de bases de datos de informar debidamente filtraciones cuando la seguridad de estas se viera comprometida.
Hacia la definición de una política pública apropiada e integral de protección de la información
Es inadmisible que administraciones públicas de diverso nivel pongan a disposición de la ciudadanía aplicaciones carentes de una evaluación y estándar mínimo de seguridad y protección de los datos personales, pero ocurre y más seguido de lo que debería. Desde Fundación Vía Libre y con el apoyo de la Iniciativa por los Derechos Digitales en América Latina (INDELA) entendemos que es necesario cooperar en ese desarrollo de políticas públicas para la protección de los datos.
Lamentablemente, en la región se ha promocionado más la doctrina de la seguridad desde un punto de vista criminal y policial que de prevención y responsabilidad sobre los datos. La adopción de la Convención Cibercrimen de Budapest de forma casi emblemática o el seguimiento de la doctrina de la ciberseguridad de la OEA, en lugar de priorizar el estudio de pautas más apropiadas como el Reglamento General de Protección de Datos de la Unión Europea o la Directiva NIS, nos pusieron en un lugar problemático desde el punto de vista de la seguridad de la información en poder del Estado.
El camino preventivo requiere inversiones, formación de capacidades, políticas de largo plazo, estrategias consensuadas en el más alto nivel y apoyo político de todos los múltiples sectores involucrados bajo la premisa común de proteger los activos digitales y custodiar los derechos de la ciudadanía. El camino punitivo, en cambio, supone una política de hechos consumados, bajo el erróneo paradigma de que la amenaza penal puede disuadir a un potencial atacante sin considerar que la gran mayoría de los problemas de seguridad se deben, en primer lugar, a la negligencia de quienes deben asumir responsabilidades frente a la información que manejan.
El Estado administra cada vez más datos, muchos de ellos son información sensible de la ciudadanía: datos filiatorios que involucran información sobre pertenencia étnica o racial, información de salud, sobre orientación de género e incluso información biométrica. Lamentablemente, Argentina tiene un largo historial de priorizar el camino punitivo en materia de la seguridad, lo que ha decantado en una situación crítica para la práctica de Infosec. Las zonas grises de la legislación penal suponen una capacidad discrecional de perseguir a quienes reportan vulnerabilidades a empresas u oficinas públicas. Es urgente priorizar el trabajo preventivo y la debida diligencia frente al reporte de vulnerabilidades, porque como en muchos otros temas, una vez que los datos se filtran, el daño está hecho.
El abordaje de la seguridad de la información no debería ser tamizado bajo el paraguas del cibercrimen y mucho menos incluido en la problemática de los delitos complejos. Sin una infraestructura técnica de calidad, con presupuesto, profesionalismo y buenas políticas públicas, no será la policía la que resuelva los problemas de ciberseguridad (sino todo lo contrario).
A su vez, es indispensable no sólo realizar una traza de responsabilidades sobre los datos, sino y principalmente dejar de construir bases de datos si no hay una razón argumentada que lo justifique. El principio precautorio debe ser la norma antes de seguir construyendo bases de datos que, a la fecha y como están las cosas, el Estado no protege.