Categoría: Transparencia

Voto electrónico: muchas preguntas, pocas respuestas (parte 1)

Hace unas semanas estuvimos presentes en el evento de «Hackathon» de ONPE sobre la seguridad del Voto Electrónico Presencial (VEP). Aunque se explicaron algunos conceptos del software y hardware que se usará en las elecciones de Octubre, salimos con algunas preguntas que nos parece son importantes para todos, como ciudadanos antes que especialistas.

¿Cómo funciona el Voto Electrónico de ONPE?

Durante la capacitación para la hackathon, el personal técnico de ONPE explicó a grandes razgos la arquitectura y el diseño del sistema del VEP. De manera resumida, el VEP consiste en que los electores seleccionen su preferencia electoral, por ejemplo alcalde para su distrito, en una pantalla en lugar de en una cédula de papel, como toda la vida.

El «pitch» de venta de ONPE es que esta solución va a hacer más rápido y simple el voto, va a hacer más rápidos los resultados, y es «cien por ciento segura».

De cara al votante, el sistema del VEP está dividido en dos componentes: la estación de identificación y la estación de votación. Ambas estaciones consisten en un tablet Samsung Galaxy que usa un sistema Android personalizado («ONPEDroid»), y una aplicación visual que cumple las funciones específicas de cada estación.

El proceso está pensado para que el votante llegue a la mesa de sufragio, se identifique en la primera estación, que es manejada por los miembros de mesa, reciba una tarjeta que le permite votar en la estación de votación, y luego devuelve la tarjeta a los miembros de mesa, cerrando el proceso.

La comunicación entre estas dos estaciones es mediante tarjetas con chip, smartcards, tales como las de débito o crédito que usamos diariamente. Ninguno de los tablets está conectado a internet.

##FOTO

Aunque ya escapa a la intención de este artículo, también hay otros dos sistemas que son de particular interés desde el punto de vista de la seguridad: el sistema de transmisión de resultados, y el sistema de despliegue del software a los tablets.

El sistema de transmisión de datos es un punto obvio de ataque, lo único que sabemos de este aspecto es que se usan certificados digitales para la comunicación, y que la información entregada por cada estación es recibida cifrada, pero no sabemos si es transmitida a la central de ONPE cifrada o no.

Por otro lado el despliegue del software a los tablets, es decir la instalación del software de ONPE en cada tablet antes de ser distribuidos, también es un punto crítico de potencial ataque por parte de un actor malicioso o infiltrado en ONPE. De esto tampoco logramos recoger detalles.

Nuestra primera preocupación es que justamente estos procesos, altamente técnicos, son difíciles de dimensionar por parte de personal o ciudadanos que no son especialistas. Para un observador casual, transmitir los resultados por internet podría sonar infalible, pero como cualquier entusiasta del software sabe, eso es mas bien una gran superficie de ataque si no es manejada con mucho cuidado por los detalles.

ONPEDroid

El sistema base de los tablets para el VEP es Android, específicamente «ONPEDroid», una versión personalizada por ONPE. Según lo que explicaron, ONPEDroid está basado en Android KitKat 4.4 (cuyo soporte terminó en 2014), con los sistemas de red, wifi, bluetooth, navegación y notificación desactivados.

Además, ONPEDroid tiene un servicio de «cripto sistema» desarrollado internamente por ONPE (!!), un sistema GNU/Linux virtualizado para poder imprimir desde los tablets (!!!), y las aplicaciones de votación o identificación. El sistema además viene configurado con llaves de cifrado, que se corresponden entre la estación de votación y la estación de identificación, no está claro cómo se usan estas llaves o dónde se almacenan.

FOTO

A pesar de las repetidas menciones de nombres y tipos de algoritmos y seguridad basada en llaves, no se explicó exactamente para qué o cómo son parte del sistema, especialmente en el contexto del «cripto sistema». Tampoco se dio ningún detalle sobre cómo se generan estas claves, dónde se administran, o cómo se comprueba luego si los tablets estaban tal como salieron del centro de despliegue de software.

El código de ONPE

La primera pregunta en todo este enredo es justamente qué código ha desarrollado ONPE y cómo exactamente funciona. Es de especial interés entender cómo están garantizando la integridad de los datos y su cifrado. El personal de ONPE mencionó que hay hashes de comprobación a lo largo del sistema pero sin ver el código es imposible saber qué tan fiable es el proceso de creación de los hashes, y de validación de los mismos.

Un posible problema, por ejemplo, sería que los hashes se corresponda al número de serie de la máquina, o al nombre de archivo («votos.xml», por ejemplo). O quizá el código que comprueba si el hash es válido da por asumido que el archivo ya fue verificado en otra forma previamente, o solo verifica el hash del archivo, pero no la coherencia interna del contenido.

Igualmente nos gustaría haber tenido oportunidad de conocer cómo es el formato XML en el que se almacenan los votos en la estación de votación, qué se incluye en las tarjetas SD de backup en las estaciones de votación, cómo se transmiten los datos a la central de acopio, si es que hay opciones de desarrollo que por error podrían quedarse activadas, si es que las claves de cifrado dependen de algún factor externo, exactamente cómo funciona el sistema de despliegue del software a los tablets en la central de ONPE, etc.

La complejidad y cantidad de partes involucradas en el sistema no es pequeña, y en todas esas interacciones es donde existe el potencial para errores, o problemas de seguridad. No es necesario imaginar un escenario de catástrofe en el que un actor malicioso logra vulnerar la seguridad del VEP, bastaría con que los tablets fallen o comiencen a emitir errores a mitad de jornada, cosa que una cédula de papel no hace.

Detalles dentro de ONPEDroid

Dentro de lo que pudimos conocer del sistema tomamos nota de algunos factores particulares que pueden presentar los problemas más graves. Sin conocer el código, no podemos más que especular, pero nos parece razonable que estos sean puntos de análisis.

El almacenamiento de los votos

Según explicó el personal de ONPE, las estaciones de votación vienen precargadas con un archivo XML que contiene una cantidad total y fija de líneas donde se almacenan los votos emitidos. Estas líneas, conocidas como nodos o registros, vienen ya cargadas y se usan de forma aleatoria para evitar que posteriormente se pueda identificar a un elector según el momento en que votó.

Es decir, en vez de registrar un voto tras otro, de forma secuencial (por ejemplo, del voto #000 al #230), el archivo XML ya viene cargado con el total de registros necesarios (en este ejemplo 230), y cuando se registra un voto se selecciona de manera aleatoria dónde almacenarlo. De esta manera el primer votante podría ser almacenado en el registro #129, el siguiente votante podría ser registrado como el #012, y así sucesivamente.

El backup en las tarjetas de memoria SD

La estación de votación además tiene tarjetas de memoria SD que sirven como backup en caso de que el tablet fallase. El backup busca proteger los votos emitidos, para que siempre se pueda contabilizar lo votado, así haya algún error durante el proceso.

Nuestras dudas respecto a esa tarjeta SD es exactamente qué contienen y cómo se valida la confiabilidad e integridad de las mismas. Si bien a lo largo del sistema de ONPE se repite e insiste en el concepto de cifrado y hasheado de todos los elementos, ese tipo de medidas depende siempre de qué tan bien escrito y considerado está el código que valida las medidas.

Un ejemplo sería que para vender licor nos pidiesen nuestro DNI, pero el encargado de verificar nuestro DNI hubiese perdido sus lentes. Sí, hay una comprobación de la medida de seguridad (el DNI), pero dicha comprobación no es óptima.

Herramientas de desarrollo, sistemas hechos en casa

Por último nos queda una fuerte duda sobre cómo y qué es lo que ONPE ha desarrollado o añadido a Android. Durante las presentaciones se mencionó el famoso «cripto sistema», y una serie de cambios para deshabilitar opciones de comunicación en los tablets. Todo esto suena muy bien, pero el nivel de complejidad de modificar e implementar un sistema operativo entero es muy alto. Solamente en la configuración del núcleo del sistema, el software que comunica el hardware con las aplicaciones, ya hay miles de opciones que requieren de entendimiento especializado para modificarse.

Más allá del código

Además de los potenciales problemas técnicos, creemos que existen variables sociales que pueden ser fácilmente explotadas por atacantes o actores maliciosos.

Velocidad vs auditoría

Un primer problema en la promesa del VEP es que llegada la hora de cierre, bastará con unos minutos de interactuar con los tablets y le mesa de votación tendrá impreso el acta de cierre, lista para ser firmada. Sin embargo, creemos que se instala un incentivo perverso para que miembros de mesa y personeros simplemente firmen la mesa y se vayan tan pronto como puedan a sus casas.

Imaginemos un escenario en el que un personero con experiencia técnica detecta algo extraño en el cierre de la mesa. Quizá un tablet se tuvo que reiniciar, o alguna de las tarjetas con chip se perdió, o se dio por inoperativa. Si este personero exige un conteo manual, las otras cuatro o cinco personas de la mesa van a querer matarlo. A diferencia de una elección con papel, en el escenario del VEP, el conteo manual es «un último recurso». Se da por asumido que la máquina no puede equivocarse, y no puede ser engañada. Por supuesto, todos sabemos que no es el caso.

La identificación manual

Otro problema social consiste en que en el sistema del VEP, la identificación es mediante el número de DNI (leído con un lector de código de barras, o ingresado manualmente). El presidente o un miembro de mesa recibe el DNI del votante, lo busca en el sistema, y si a su criterio la foto coincide con la persona, la persona es autorizada para votar por ese número de DNI.

A primera vista, parece el proceso de siempre, pero ahora existe una diferencia crucial: no es necesario firmar ni dejar la huella digital. Aunque esto parezca conveniente para evitar tener que quitarse la tinta de los dedos, resulta en realidad en un problema de confiabilidad.

Si anteriormente era necesario falsificar firmas y huellas para generar un voto fraudulento, en el sistema del VEP bastaría con la complicidad de los miembros de la mesa, o algún fallo de software que permita registrar los votos antes o después de la votación oficial. Recordemos que la única comprobación de identidad es la coincidencia visual de foto y persona, y eso es totalmente según criterio del miembro de mesa que opera el tablet de identificación.

Un sistema especializado

Finalmente, otro grave problema social es que el conocimiento requerido para entender, identificar, y auditar problemas en el proceso del VEP es altamente especializado. No cualquier persona puede notar una manipulación técnica de los tablets o el software en ellos. Menos aún, desde fuera, la ciudadanía puede auditar las etapas del proceso.

Imaginemos un caso en el que una mesa de sufragio está compuesta por personas que tienen fobia a la tecnología. Todos conocemos gente de todas las edades que tienen profundo miedo a las computadoras para cualquier cosa más complicada que mandar correos o entrar a redes sociales. Pensemos en qué tan complicado sería engañarlas o confundirlas para manipular las estaciones del VEP frente a ellos.

Esta crítica no es exclusiva de nuestra experiencia, en 2009 la Corte Constitucional Federal de Alemania determinó que el voto electrónico era inconstitucional puesto que el público no era capaz de escrutar de manera significativa el proceso, justamente porque al volverse electrónico muchas etapas se convertían en opacas, o absolutamente incomprensibles para el público no especialista.

Seguridad y hackathon

La pregunta sobre seguridad empieza en 5:23.

En una entrevista reciente con Canal N, Frank Guzmán, gerente de informática de ONPE, fue cuestionado sobre cómo es que el sistema del VEP estaba siendo garantizado y analizado por potenciales problemas de seguridad, dado que muchos especialistas habían manifestado sus dudas. La respuesta de Guzmán fue que la seguridad estaría justamente dada por el evento de la Hackathon.

Como dijimos recientemente, un evento de tipo Hackathon, y con claros cortes publicitarios, no es suficiente para garantizar la seguridad de un sistema tan complejo como este, menos aún un sistema que tendrá a cargo algo tan importante como la elección de autoridades populares.

Creemos que es responsabilidad de ONPE respaldar sus afirmaciones de seguridad, simpleza y confiabilidad. No es responsabilidad de estudiantes o entusiastas absorber el costo de consultorías y auditorías de seguridad que ONPE debería haber encargado de manera pública y transparente.

Se trata de nuestros votos

Es muy importante para nosotros dejar claro que nuestra exposición de estas dudas y preocupaciones no es un ataque al equipo de ONPE, ni tampoco una denuncia de malos manejos o malas intenciones. Creemos que el equipo de ONPE tiene las mejores intenciones en el desarrollo de su sistema, pero como especialistas también sabemos que desarrollar soluciones de software de esta complejidad, sin opiniones externas, es muy difícil, y es aún peor si el tema que se está atendiendo es tan crítico como la elección de nuestras autoridades. Nos parece que con el afán de mantener en secreto el sistema, se están perdiendo valiosas oportunidades de mejora.

Esperamos que ONPE flexibilice su actitud hacia su solución y tome medidas para hacerla realmente confiable, sin tener que confiar en su palabra, o en el entusiasmo de un grupo de estudiantes desvelados durante un fin de semana.

Se admite a trámite Acción Popular de Hiperderecho contra secretismo de correos electrónicos de funcionarios

Hace varios meses, Hiperderecho presentó ante el Poder Judicial una demanda de Acción Popular contra el Reglamento del Decreto Legislativo N° 1353, que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública. Como ya lo habíamos mencionado a finales del año pasado, parte del contenido de este Reglamento creaba ilegalmente una nueva excepción al acceso a la información pública, afectando la transparencia y los derechos de todos los ciudadanos a conocer y fiscalizar la actividad del Estado. Hace unas semanas fuimos notificados con la resolución que admite a trámite nuestra demanda en la Primera Sala especializada en lo Constitucional de la Corte Superior de Justicia de Lima.

No se trata de que todos los correos de los funcionarios se declaren de acceso público, sino que su publicidad siga estando sujeta a un análisis de caso por caso (y solo limitada cuando comprometa su intimidad). Es decir, si un funcionario se comunica con otro para contarle un problema familiar, esa información debería de mantenerse en reserva. No obstante, si el mismo funcionario se comunica por la misma vía con otro para informarle de una reunión sobre un proyecto o darle parte de un suceso, no hay ninguna razón para no considerarla información pública.

Los principales argumentos de nuestra demanda son tres: (i) la ilegalidad manifiesta de la medida, (ii) la interpretación de la naturaleza de la información de acceso público, y, (iii) la lesión de los principios de transparencia en el Estado.

Ilegalidad Manifiesta

En el primer nivel de análisis, detectamos que la propuesta del Reglamento del Decreto Legislativo N° 1353 que crea la nueva excepción al acceso a la información contradice directamente a la Constitución, a la Ley de Transparencia a sus normas conexas. En el caso de la Constitución, se contradice el artículo 2, inciso 5 en donde se consagra el derecho fundamental a hacer solicitudes y recibir información de acceso público. En cuanto a la Ley de Transparencia, esta contradicción es aún más explícita pues en el Texto Único Ordenado de esta norma se señala claramente que cualquier nueva excepción solo puede crearse por ley (no a través de un reglamento).

Alcance de la información de acceso público

En un segundo momento, exploramos la posibilidad de hallar una interpretación “constitucional” del Reglamento y encontramos que efectivamente hay una, pero que solo funciona si se acepta que la información contenida en los correos electrónicos y servicios de mensajería (cuyo acceso se ha restringido en el reglamento) nunca había estado disponible como fuente de acceso público. Sin embargo, esta tesis no se sostiene pues la Ley de Transparencia es clara en que toda información pública producida debe conservarse no importa el formato en que se encuentre (físico o virtual), además de la abundante evidencia empírica de que muchas veces las entidades públicas envían información contenida en correos y servicios de mensajería (ver solicitud hecha a FIT por el caso de Wachitaxi).

Afectación de la transparencia en el Estado

Finalmente, como consecuencia de lo anterior, tenemos dentro de nuestro sistema a normas de menor rango que contradicen a otras de mayor jerarquía, lo que afecta gravemente el trabajo de los operadores de justicia y la coherencia de nuestro ordenamiento jurídico. Pero más allá de eso se encuentra también el menoscabo de un principio fundamental de la democracia que es la transparencia. Esto es quizás lo más grave pues, en el contexto actual, lo que menos queremos es reducir las herramientas que tienen los ciudadanos para fiscalizar a los funcionarios públicos.

Como parte de las acciones tomadas contra el Reglamento del Decreto Legislativo N° 1353, meses atrás enviamos cartas a diferentes entidades del sector público, entre ellos a la Presidenta del Consejo de Ministros (en ese entonces Mercedes Aráoz), a varios congresistas de diferentes bancadas y a la Defensoría del Pueblo. Esta última nos ha hecho saber hace poco que va a consultar a la Autoridad Nacional de Transparencia con el fin de saber su postura sobre este tema. También hemos recibido expresiones de interés de algunos despachos congresales y continuamos a la espera de mejores noticias. Hasta entonces, seguiremos peleando en el Poder Judicial el derecho de todos los peruanos a la transparencia y el acceso a la información pública.

Voto Electrónico: hackaton no basta para generar confianza

La Oficina Nacional de Procesos Electorales (ONPE) organizó el mes pasado la Hackaton: Desafiando la Solución del Voto Electrónico Presencial. Se trató de un concurso dirigido a estudiantes y público en general para invitarlos a encontrar errores en la solución de voto electrónico que usaremos en las próximas elecciones. Como les contamos hace poco, la página que se habilitó para la inscripción de participantes tenía una grave falla de seguridad que filtró los datos personales de millones de peruanos durante meses. Más allá de la anécdota, actualmente bajo investigación en la Dirección de Protección de Datos, la idea de una hackaton como solución a los problemas de transparencia es problemática y ONPE tiene todavía mucho por explicar.

Un problema antiguo

Desde el 2006, la ONPE viene desplegando progresivamente una solución de voto electrónico que consiste en usar tablets sin conexión a Internet para emitir votos y luego enviar los resultados consolidados por Internet. En el sistema que propone ONPE el acto de votar sigue siendo presencial, pero en lugar de marcar en una cédula de papel, se usa un tablet que tiene una representación visual de lo que hubiese sido la cédula tradicional. Es decir, es un «voto electrónico» pero «presencial», de ahí el nombre. El software que se usa en las tablets de votación y mesas de sufragio, así como el sistema de transmisión, ha sido desarrollado internamente por ONPE.

Leer más

Muncipalidad de Lima apeló sentencia que le ordena entregar lista de usuarios bloqueados en Facebook

En octubre de 2017, el Primer Juzgado Especializado en lo Constitucional de Lima resolvió en una sentencia que la Municipalidad de Lima Metropolitana estaba obligada a entregar a un demandante la lista completa de usuarios bloqueados en su página de Facebook. El caso fue largamente cubierto por la prensa pero, como pudimos corroborar con el demandante a principios de 2018, la Municipalidad ha apelado y será una segunda instancia quien dicte el veredicto final. ¿Qué implicancias tiene esto para nuestros derechos digitales?

A lo largo de los últimos diez años, son varias las sentencias, resoluciones y otros actos judiciales y administrativos que han resuelto (o creado) conflictos relacionados a Internet o a la forma cómo los peruanos la utilizamos. Por ejemplo, en 2010 existió toda una controversia sobre una sentencia que condenaba a un blogger por presuntamente haber compartido enlaces que llevaban a sitios con contenido difamatorio. Más adelante, en 2016 la Autoridad de Protección de Datos Personales sancionó a Google y parcialmente legitimó la controvertida doctrina del “Derecho al Olvido” en el país.

Leer más

Reglamento de la Autoridad de Transparencia impide el acceso a correos electrónicos de funcionarios

En el mes de setiembre, se publicó el Reglamento del Decreto Legislativo N° 1353. Como se recuerda, dicho Decreto Legislativo creó la Autoridad Nacional de Transparencia y Acceso a la Información Pública con el objetivo de incrementar el estándar de transparencia del Estado ante la ciudadanía. No obstante, en Hiperderecho ya habíamos comentado las limitaciones de la naciente entidad, que considerábamos una nueva oportunidad desaprovechada por parte del gobierno en su lucha contra la corrupción.

Sin embargo, no ha pasado mucho tiempo para que detectemos un nuevo mecanismo que entorpece esta lucha y que parece haber sido introducido de forma deliberada y maliciosa dentro del Reglamento. Nos referimos a una de las Disposiciones Complementarias Modificatorias, que modifica el artículo 16 del reglamento de la Ley de Transparencia para denegar de forma categórica el acceso a la información contenida en correos electrónicos o aplicaciones de mensajería de funcionarios públicos.

Leer más

Hiperderecho envió al Congreso comentarios sobre el Proyecto de Ley que quiere hacer públicos correos de funcionarios

Hace unos meses les contábamos de un nuevo Proyecto de Ley que proponía hacer público el contenido de los correos electrónicos de funcionarios públicos. De aprobarse, siginficaría que cualquier ciudadano podría solicitar copia de un correo electrónico enviado o recibido por un funcionario de la misma manera en la que lo hace con cartas. Presentado por la Defensoría del Pueblo, desde inicios de este año el Proyecto se encuentra bajo estudio en la Comisión de Fiscalización y Contraloría.

A nosotros nos parece que es una buena idea y que lo único que hace es actualizar la Ley de Transparencia para reconocer la forma en la que hoy la administración pública funciona. Si la Ley de Transparencia fuese a ser escrita hoy, sería imposible no tomar en cuenta la gran cantidad de información pública que se envía y recibe a través de correos electrónicos.

Sin embargo, creemos que hay algunos problemas de aplicación que tendrían que prevenirse en el Proyecto. En particular, nos preocupa los mecanismos de publicidad a implementarse y creemos que no debería de ser un sistema de publicidad automática sino solo a pedido del ciudadano. Además, debe de evitarse que los funcionarios eludan esta obligación usando sus correos electrónicos personales a través de sanciones administrativas. Es en este sentido que este mes hemos enviado una carta a la Comisión de Fiscalización y Contraloría del Congreso para dejar nuestros comentarios como parte del expediente del Proyecto.

Descarga: Comentarios de Hiperderecho al Proyecto de Ley No. 947/2016-DP

Hiperderecho te muestra el Convenio que dio origen a la aplicación WachiTaxi

A fines de mayo, el Ministerio del Interior presentó una iniciativa novedosa dentro del marco de los esfuerzos por mejorar la seguridad ciudadana: la aplicación WachiTaxi, desarrollada por la empresa privada FIT. Esta aplicación para móviles busca emplear la tecnología para poder hacer más seguros los viajes en taxi, introduciendo algunos componentes de seguridad e interconectando sus funciones con la Policía Nacional. Si bien fue presentada y difundida a través de los canales oficiales del Ministerio del Interior, el concepto, desarrollo e implementación estuvieron a cargo de la empresa peruana For Innovation Technology Big Data S.A. (FIT).

Desde el primer día y hasta la fecha, se han planteado múltiples cuestionamientos acerca de WachiTaxi. Por ejemplo, están aquellos que cuestionan la arquitectura de la aplicación y su funcionalidad limitada para el usuario, quien podría encontrar complejo recordar dos contraseñas y sacarle una fotografía al conductor de cada taxi que toma. También los que argumentan que las políticas de privacidad de WachiTaxi no son claras y cuestionan que el Estado esté promoviendo una iniciativa privada sin mayor transparencia sobre cómo se usarán los datos generados o con quiénes se compartirán. Por su parte, los propios usuarios de la aplicación han dejado opiniones muy críticas en las plataformas de Google Play y en el AppStore de Apple.

Leer más

Defensoría del Pueblo quiere hacer público el contenido de los correos electrónicos de funcionarios

En la coyuntura actual, en la que se discuten casos de corrupción dentro del Estado, la Defensoría del Pueblo ha presentado una iniciativa que bien podría ayudar a solucionar muchos de estos problemas. Desde febrero de este año descansa en la Comisión de Fiscalización y Contraloría el Proyecto de Ley N° 947/2016-DP.

Este Proyecto de Ley propone extender el acceso público sobre: a) Los procesos de promoción de la inversión privada y b) el contenido de los correos electrónicos de funcionarios públicos. La premisa detrás de esto es simple. En principio, toda la información producida por el Estado es pública, pero por motivos injustificados se ha venido bloqueando el acceso a estos elementos. Con esta norma, se busca revertir dicha situación y fortalecer el control de la ciudadanía.

En Hiperderecho nos ha llamado especialmente la atención el extremo del proyecto que quiere hacer público el contenido de los correos electrónicos. En principio porque es una herramienta potencialmente muy útil para la fiscalización, pero también porque es el corolario a una controversia sobre el ejercicio de la privacidad en la función pública cuando se usan medios electrónicos.

La controversia

Pese a que hoy el texto de la Ley de Transparencia y Acceso a la Información Pública parece muy claro sobre la publicidad de los correos electrónicos, durante un tiempo existió un amplio debate sobre si efectivamente se podía acceder a su contenido.

Para empezar, la Constitución del Perú protege el secreto e inviolabilidad de las comunicaciones. Este derecho aplica para todos los peruanos (funcionarios o no) y cualquier intervención requiere de ciertas formalidades legales. Así pues, se esgrimía el argumento de que el contenido de los correos electrónicos de los funcionarios públicos estaba protegido y por lo tanto intentar acceder a través de la Ley de Transparencia era un ejercicio inconstitucional.

Sin embargo, como bien señala la Defensoría del Pueblo en su Exposición de Motivos, diferentes sentencias del Tribunal Constitucional y normas de desarrollo en la Administración Pública han quitado peso a esa teoría. En primer lugar porque los correos electrónicos institucionales son recursos del Estado, de la misma forma que lo son una fotocopiadora o una camioneta. En segundo porque durante la jornada laboral, los funcionarios públicos tienen impedido hacer otra cosa que no sea su trabajo.

Todo esto hace que, a diferencia del sector privado, los correos institucionales no puedan ser usados para otros asuntos que no estén directamente relacionados con el trabajo del funcionario. Y que, al contener todo tipo de información pública (contratos, comunicaciones internas, etc), entren dentro de los supuestos en que es posible ejercer el derecho de acceso a la información pública.

Expectativa vs. Realidad

Uno de los beneficios de que este proyecto sea aprobado es que al día siguiente podríamos solicitar acceso al contenido de los correos electrónicos de funcionarios públicos de cualquier nivel, incluidos los ministros de Estado. Sin embargo, el primer problema será contar con información suficiente para hacer identificable lo que queremos pedir. Por ejemplo, sería muy difícil que tenga respuesta un pedido en donde solo se indican fechas y no asuntos o palabras en específico. Además, si bien la norma puede ser aplicada con respecto a información pública pasada, puede ocurrir que esta se haya borrado.

Otro de los beneficios es que, al menos en teoría, los funcionarios públicos deberían adecuar su conducta a esta nueva norma siendo más diligentes y evitando cometer actos de corrupción. Pero aquí también pueden ocurrir varias cosas: Por ejemplo, un funcionario puede empezar a utilizar correos diferentes al institucional para cometer sus inconductas o delitos. También cabe la posibilidad de que, si no existe una política de conservación de datos, estos correos pueden ser borrados de la bandeja y del servidor.

Finalmente, la implementación de esta norma debería empujar el proceso de modernización de la Administración Pública. Actualmente todavía existen muchas entidades del Estado que no hacen uso de recursos informáticos en su gestión. No obstante, en muchos casos esto no deja de ser un síntoma de otras carencias como la falta de infraestructura, los bajos presupuestos e inclusive la inexistencia de medios de comunicación tradicionales diferentes de la radio.

Conclusión

Que este proyecto vea la luz depende exclusivamente del Congreso y revelaría un compromiso en la lucha contra la corrupción. Sin embargo, no basta con crear más herramientas de fiscalización si su implementación queda trunca o no se complementa con otras reformas de igual importancia. Esperamos que la Comisión de Fiscalización y Contraloría pueda tener en cuenta esto a la hora de evaluar el proyecto y hacer sus recomendaciones.

Acceso a normas legales: ofrecer el SPIJ gratis no es suficiente

Una de las medidas más importantes que ha tomado este Gobierno es liberar el acceso al Sistema Peruano de Información Jurídica (SPIJ). Sin embargo, esta labor se viene haciendo poco y mal. Hay muchas medidas más inteligentes que el Ministerio puede tomar, aunque probablemente carece de cualquier tipo de incentivo para hacerlo.

Hasta hace pocos meses, acceder a la base de datos de normas legales vigentes mantenida por el Ministerio de Justicia costaba más de 1,100 soles. Es decir, el Poder Ejecutivo le cobraba a cualquier peruano interesado en consultar el archivo oficial y completo de legislación actualizada el equivalente a casi dos sueldos mínimos al año.[1] No es broma, hace siete años escribí un artículo sobre lo mismo. Pregúntenle a cualquier abogado que conozcan. Una situación ridícula y vergonzosa para cualquier democracia acometida con complacencia por la Dirección General de Desarrollo y Ordenamiento Jurídico del Ministerio de Justicia durante muchísimos años, que nunca rindió cuentas de cómo usaba estos recursos ni de la razonabilidad de la tasa cobrada. Al punto que el año pasado la OECD diagnosticó este como uno de los problemas principales de nuestro país en su reciente análisis de marco regulatorio para Perú.[2]

Leer más

Autoridad de Transparencia y Protección de Datos: otra oportunidad perdida

Finalmente se creó la Autoridad de Transparencia y Acceso a la Información Pública. Aunque fue de las primeras promesas de campaña del Presidente Kuczynski, fue el último Decreto en ser aprobado en el último día en el que podía aprobarse bajo las facultades delegadas. Pero el Decreto Legislativo 1353 no se limitó a crear la Autoridad de Transparencia, sino que también modificó en parte la controvertida Ley de Protección de Datos aunque manteniéndo su aplicación a cargo del Ministerio de Justicia.

Como se temía, los resultados dejan bastante que desear. Dice mucho del estado actual de nuestra democracia que tenga que recurrirse a un mecanismo de excepción (decreto legislativo) para crear una instancia de excepción (tribunal administrativo) porque ni el Congreso ni el Poder Judicial quieren o pueden o se les deja hacer su trabajo. Lo que es todavía peor es que cinco días después la misma norma tenga que ser modificada, no corregida, sino modificada mediante Fe de Erratas porque nuestro Ejecutivo “técnico y pragmático” no terminó de decidirse sobre un texto final. El resultado de esta evasión serial de instituciones es obviamente una norma blanda, descalificada por sus propios proponentes, políticamente light y con muy pocas chances de resultar efectiva.

Leer más