Dirección de Protección de Datos Personales multa a ONPE por filtrar datos personales de votantes

El año pasado les contamos sobre un filtrado de datos personales que afectó a la ONPE durante 2018, a propósito del formulario de inscripción de un evento en donde debía ponerse a prueba la seguridad del voto electrónico. Como señalamos en su momento, la nula respuesta de esta institución y la ausencia de explicaciones motivó nuestra decisión de ingresar una denuncia formal ante la Dirección Nacional de Protección de Datos del Ministerio de Justicia. Hace pocas semanas hemos sido notificados de la decisión de la autoridad que termina multando a la ONPE por desconocer las obligaciones de seguridad que le resultan aplicables.

El sustento de nuestra denuncia

En julio de 2018, denunciamos a la ONPE ante la Autoridad de Protección de Datos Personales (APDP) por infracciones contra la Ley de Protección de Datos Personales (LPDP). Esto, a raíz de la exposición masiva de millones de datos, que se produjo por la implementación de una plataforma web de inscripción al evento “Hackaton 2018”, que permitía acceder a los datos personales de todos los peruanos inscritos en el padrón electoral. La APDP, atendiendo nuestra solicitud, inició un procedimiento de fiscalización a la ONPE que ha culminado este año.

¿Qué reclamamos exactamente? La LPDP es la norma que establece el régimen aplicable al tratamiento de los datos personales en el país. Entre otras cosas, allí se señala qué principios y condiciones debe respetar quien solicite, almacene o utilice los datos de terceros. En nuestra denuncia señalamos que la filtración de la ONPE infringió hasta tres principios de la LPDP, además de la Directiva de Seguridad dictada por la APDP.  Los principios cuyo desconocimiento denunciamos fueron los de consentimiento, proporcionalidad y seguridad. En el caso del consentimiento, sostuvimos que aunque la ONPE tiene como fin llevar un registro del padrón electoral, utilizar esta base de datos para su plataforma de inscripción a la Hackatón era un uso diferente al que está autorizado por ley. Por lo tanto, no tenía el consentimiento expreso de los ciudadanos para dicho uso. Ya en el pasado la APDP ha multado a entidades públicas y privadas por este motivo.

Respecto de la proporcionalidad, sostuvimos que, aun asumiendo que la ONPE podía usar los datos personales del padrón electoral para la plataforma de la Hackatón, este uso era desproporcionado. ¿Por qué? La plataforma de la Hackatón tenía un formulario de inscripción que, cuando se colocaba el número de DNI, automáticamente completaba otros datos como nombres y apellidos, sexo y fecha de nacimiento. Ahora bien, dado que los números de DNI en Perú son correlativos, bastaba con cambiar un dígito para poder acceder a los datos de otras personas. Con un simple programa, esta operación se podía automatizar y descargar el padrón entero en algunas horas. Frente a este potencial peligro, la ganancia propuesta por la ONPE resultaba pírrica: validar la identidad de quien se inscribía y ahorrar tiempo llenando el formulario.

Sobre el principio de seguridad, sostuvimos que no se habían implementado suficientes medidas de seguridad para proteger los datos personales. Aún asumiendo que la ONPE tenía permiso para usar los datos para su plataforma y que valía la pena emplearlos para autocompletar formularios, es imposible dejar de señalar que no existía ninguna medida de protección en la plataforma que impidiera que alguien usara ese sistema para bajarse la base de datos completa. No hace falta decir que un agente malicioso en poder de esa información (un acto de por sí ilegal) podía utilizarla para diferentes fines, desde enviar SPAM hasta ejecutar fraudes.

Finalmente, sostuvimos que la ONPE infringió también la Directiva de Seguridad dictada por la APDP pues esta disposición señala expresamente las medidas mínimas de seguridad que deben tomar entidades públicas y privadas que almacenen o traten datos personales. En este caso en específico, cuando se trata de datos tratados por entidades públicas en cumplimiento de una ley, el nivel de seguridad asignado es el crítico, que es el grado más alto. En dicha situación, se exige que se adopten medidas como la autenticación de identidad, los niveles de permisos, las contraseñas seguras, etc. Nada de esto se hallaba presente en la plataforma de la Hackatón cuando descubrimos el filtrado.

La decisión de la Autoridad

Cuando se realiza un procedimiento de fiscalización a partir de una denuncia, la APDP procede a evaluar a la organización denunciada con el fin de conocer los hechos, tras lo cual realiza un evaluación técnica y legal que determina si es necesario iniciar un procedimiento administrativo. En el caso de la filtración de la ONPE, ante la claridad de lo ocurrido, dicho procedimiento se inició por las infracciones antes descritas, tras lo cual la APDP emitió su pronunciamiento.

Dado que nuestra denuncia señalaba diferentes infracciones a la LPDP que la ONPE habría cometido, la APDP se ha pronunciado sobre cada una, estableciendo si efectivamente se cometió la infracción o no. En resumen, la APDP ha dicho en su Resolución Final que la ONPE es responsable por infringir el principio de seguridad establecido en la LPDP y también algunas disposiciones de la Directiva de Seguridad. Por ello, además de ordenar diferentes medidas correctivas, ha impuesto una multa simbólica para dicha entidad pues afirma que la falta cometida no es grave. Respecto de los principios de consentimiento y proporcionalidad, ha determinado que estos no han sido infringidos y por lo tanto ha desestimado esa parte de la denuncia.

El razonamiento de la APDP para descartar que se haya infringido el principio de consentimiento fue que la ONPE sí tenía derecho a emplear la base de datos del padrón electoral, pues eventos como la Hackatón forman parte de las funciones que esta entidad tiene autorizados por ley. En el caso del principio de proporcionalidad ha dicho algo similar, que debido a que esta entidad solo estaba cumpliendo con sus funciones, no se ha extralimitado al emplear sus bases de datos, aunque lo hubiera hecho de forma insegura.

No sabemos aún si la ONPE apelará esta decisión. Independiente de ello, esperamos que este suceso sea un primer paso para lograr un mayor claridad respecto de las obligaciones de las entidades públicas sobre la protección de nuestros datos. Es una pequeña pero importante victoria para todos los ciudadanos.

Descarga: Resolución Directoral No. 2154 -2019-JUSIDGTAJPD-DPDP

Foto: ONPE

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *