El año pasado les contamos sobre un filtrado de datos personales que afectó a la ONPE durante 2018, a propósito del formulario de inscripción de un evento en donde debía ponerse a prueba la seguridad del voto electrónico. Como señalamos en su momento, la nula respuesta de esta institución y la ausencia de explicaciones motivó nuestra decisión de ingresar una denuncia formal ante la Dirección Nacional de Protección de Datos del Ministerio de Justicia. Hace pocas semanas hemos sido notificados de la decisión de la autoridad que termina multando a la ONPE por desconocer las obligaciones de seguridad que le resultan aplicables.

El sustento de nuestra denuncia

En julio de 2018, denunciamos a la ONPE ante la Autoridad de Protección de Datos Personales (APDP) por infracciones contra la Ley de Protección de Datos Personales (LPDP). Esto, a raíz de la exposición masiva de millones de datos, que se produjo por la implementación de una plataforma web de inscripción al evento “Hackaton 2018”, que permitía acceder a los datos personales de todos los peruanos inscritos en el padrón electoral. La APDP, atendiendo nuestra solicitud, inició un procedimiento de fiscalización a la ONPE que ha culminado este año.

¿Qué reclamamos exactamente? La LPDP es la norma que establece el régimen aplicable al tratamiento de los datos personales en el país. Entre otras cosas, allí se señala qué principios y condiciones debe respetar quien solicite, almacene o utilice los datos de terceros. En nuestra denuncia señalamos que la filtración de la ONPE infringió hasta tres principios de la LPDP, además de la Directiva de Seguridad dictada por la APDP.  Los principios cuyo desconocimiento denunciamos fueron los de consentimiento, proporcionalidad y seguridad. En el caso del consentimiento, sostuvimos que aunque la ONPE tiene como fin llevar un registro del padrón electoral, utilizar esta base de datos para su plataforma de inscripción a la Hackatón era un uso diferente al que está autorizado por ley. Por lo tanto, no tenía el consentimiento expreso de los ciudadanos para dicho uso. Ya en el pasado la APDP ha multado a entidades públicas y privadas por este motivo.

Respecto de la proporcionalidad, sostuvimos que, aun asumiendo que la ONPE podía usar los datos personales del padrón electoral para la plataforma de la Hackatón, este uso era desproporcionado. ¿Por qué? La plataforma de la Hackatón tenía un formulario de inscripción que, cuando se colocaba el número de DNI, automáticamente completaba otros datos como nombres y apellidos, sexo y fecha de nacimiento. Ahora bien, dado que los números de DNI en Perú son correlativos, bastaba con cambiar un dígito para poder acceder a los datos de otras personas. Con un simple programa, esta operación se podía automatizar y descargar el padrón entero en algunas horas. Frente a este potencial peligro, la ganancia propuesta por la ONPE resultaba pírrica: validar la identidad de quien se inscribía y ahorrar tiempo llenando el formulario.

Sobre el principio de seguridad, sostuvimos que no se habían implementado suficientes medidas de seguridad para proteger los datos personales. Aún asumiendo que la ONPE tenía permiso para usar los datos para su plataforma y que valía la pena emplearlos para autocompletar formularios, es imposible dejar de señalar que no existía ninguna medida de protección en la plataforma que impidiera que alguien usara ese sistema para bajarse la base de datos completa. No hace falta decir que un agente malicioso en poder de esa información (un acto de por sí ilegal) podía utilizarla para diferentes fines, desde enviar SPAM hasta ejecutar fraudes.

Finalmente, sostuvimos que la ONPE infringió también la Directiva de Seguridad dictada por la APDP pues esta disposición señala expresamente las medidas mínimas de seguridad que deben tomar entidades públicas y privadas que almacenen o traten datos personales. En este caso en específico, cuando se trata de datos tratados por entidades públicas en cumplimiento de una ley, el nivel de seguridad asignado es el crítico, que es el grado más alto. En dicha situación, se exige que se adopten medidas como la autenticación de identidad, los niveles de permisos, las contraseñas seguras, etc. Nada de esto se hallaba presente en la plataforma de la Hackatón cuando descubrimos el filtrado.

La decisión de la Autoridad

Cuando se realiza un procedimiento de fiscalización a partir de una denuncia, la APDP procede a evaluar a la organización denunciada con el fin de conocer los hechos, tras lo cual realiza un evaluación técnica y legal que determina si es necesario iniciar un procedimiento administrativo. En el caso de la filtración de la ONPE, ante la claridad de lo ocurrido, dicho procedimiento se inició por las infracciones antes descritas, tras lo cual la APDP emitió su pronunciamiento.

Dado que nuestra denuncia señalaba diferentes infracciones a la LPDP que la ONPE habría cometido, la APDP se ha pronunciado sobre cada una, estableciendo si efectivamente se cometió la infracción o no. En resumen, la APDP ha dicho en su Resolución Final que la ONPE es responsable por infringir el principio de seguridad establecido en la LPDP y también algunas disposiciones de la Directiva de Seguridad. Por ello, además de ordenar diferentes medidas correctivas, ha impuesto una multa simbólica para dicha entidad pues afirma que la falta cometida no es grave. Respecto de los principios de consentimiento y proporcionalidad, ha determinado que estos no han sido infringidos y por lo tanto ha desestimado esa parte de la denuncia.

El razonamiento de la APDP para descartar que se haya infringido el principio de consentimiento fue que la ONPE sí tenía derecho a emplear la base de datos del padrón electoral, pues eventos como la Hackatón forman parte de las funciones que esta entidad tiene autorizados por ley. En el caso del principio de proporcionalidad ha dicho algo similar, que debido a que esta entidad solo estaba cumpliendo con sus funciones, no se ha extralimitado al emplear sus bases de datos, aunque lo hubiera hecho de forma insegura.

No sabemos aún si la ONPE apelará esta decisión. Independiente de ello, esperamos que este suceso sea un primer paso para lograr un mayor claridad respecto de las obligaciones de las entidades públicas sobre la protección de nuestros datos. Es una pequeña pero importante victoria para todos los ciudadanos.

Descarga: Resolución Directoral No. 2154 -2019-JUSIDGTAJPD-DPDP

¡Nuestra familia crece! Por eso, en Hiperderecho estamos buscando a alguien que esté listo para dar el siguiente paso en su desarrollo profesional y quiera liderar nuestro trabajo tecnológico. La persona que resulte elegida para el puesto podrá trabajar a tiempo completo al desarrollo de tecnología ciudadana para el ejercicio de derechos y la investigación de cómo la tecnología que usamos los peruanos pone en riesgo nuestros derechos. Este puesto también coordinará el trabajo con nuestra área legal y de investigación para el desarrollo de intervenciones conjuntas para cerrar la brecha de acceso a la justicia en Perú.

Si crees que encajas en perfil o conoces a alguien que lo haga, avísanos para ponernos en contacto. La convocatoria estará abierta hasta este viernes 20 de septiembre. Idealmente, la persona elegida debe de estar disponible para trabajar desde octubre.

Leer más

En Hiperderecho, estamos convencidos de que la tecnología puede ser una herramienta muy potente para el ejercicio de nuestros derechos. Soñamos con un país donde la tecnología pueda ayudar a la mayor cantidad de personas a acceder a información legal,  interactuar con el sistema jurídico más fácilmente y depender de menos intermediarios. En esta línea de trabajo, nos emociona presentarles esta semana nuestro más reciente proyecto: SonMisDatos.pe.

SonMisDatos.pe nuestra aplicación web para enviar gratuitamente solicitudes de acceso e información sobre datos personales a las empresas peruanas. Cualquier persona que sea cliente actual, pasado o potencial de estas empresas puede usar esta herramienta para enviarle gratuitamente una solicitud de acceso preguntando qué datos personales tienen, cómo los obtuvieron, para qué los usa, con quiénes los comparten y por cuánto tiempo los conserva, entre otras preguntas. SonMisDatos.pe actúa como un asistente legal que te ayuda a poner en palabras claras lo que quieres decir y así ser atendido más fácilmente.

El problema

Resulta imposible desarrollar una vida con normalidad en un entorno urbano sin producir datos e irlos dejando por nuestro camino como pequeños residuos de nuestra actividad. Así, por ejemplo:

• Nuestros sistemas de transporte usan tarjetas inteligentes asociadas a nuestra identidad para registrar nuestros viajes,
• Nuestro operador de celulares y varias otras aplicaciones en nuestro teléfono saben dónde estamos todo el tiempo,
• Cuando compramos en una farmacia o supermercado registramos la compra con nuestro número de DNI o tarjeta de socio,
• Cuando vamos al banco, a la notaría, ingresamos a un edificio público o institución privada o si compramos una línea de teléfono estamos obligados a revelar nuestra información personal y biométrica.

Se puede estar a favor o en contra de estas prácticas, pero es innegable que su masificación impacta en diversos niveles nuestra vida. A muchos nos gusta recibir descuentos, promociones u ofertas especiales de las empresas que preferimos. Sin embargo, poco sabemos sobre qué más está pasando con esa información. ¿Acaso mis gustos y preferencias también están determinando el precio de los productos que compro? ¿Qué posibilidades hay de que la información sobre mis compras pueda ser usada para negarme un empleo o un préstamo?

Nuestra Ley de Protección de Datos Personales entiende como dato personal cualquier información que nos identifica o podría servir para identificarnos a través de algún método razonable. Esta misma ley señala que cualquier empresa o persona que quiera usar nuestros datos personales tiene la obligación de informaros en detalle sobre qué información conservará, para qué la usará, la identidad de con quiénes la compartirá y por cuánto tiempo la tratará. No obstante, en la práctica hay muy pocos casos en los que somos informados en con cierto nivel de detalle sobre el destino que tendrán nuestros datos.

Esta situación es particularmente incierta cuando hablamos de datos personales más allá del nombre, teléfono o número de documento que otorgamos en el proceso de registro inicial. La información sobre nuestras compras o servicios solicitados y lo que puede deducirse de ellos (grupo familiar, nivel socioeconómico, desplazamientos frecuentes) a veces es vista más como información comercial del negocio y no como datos personales. En consecuencia, no solo no somos informados sobre cómo se usarán nuestros datos si no que muchas veces no sabemos siquiera qué datos están siendo explotados comercialmente por terceros.

Afortunadamente, nuestra Ley de Protección de Datos Personales nos otorga una herramienta clave para poder entender mejor este problema. Esta ley obliga a todas las personas y empresas que traten datos personales a recibir y responder cualquier solicitud que las personas le hagan sobre la manera en la que usan sus datos. Estas Solicitudes ARCO (denominadas así porque permiten acceder, rectificar, cancelar u oponerse al tratamiento de datos), son gratuitas, no necesitan de abogado y vienen usándose hace varios años en nuestro país. En otras palabras, son la herramienta ideal para aprender más sobre cómo se usan nuestros datos personales.

No obstante, llenar una Solicitud ARCO no siempre es fácil. Incluso cuando las empresas nos permiten hacerlo a través de Internet, llenando un formulario o mandando un correo electrónico, muchos no sabemos qué preguntar. ¿Qué datos tienen? ¿Cómo los obtuvieron? ¿Para qué los están usando? ¿Los han compartido con otros o planean hacerlo? Si no hemos pasado mucho tiempo pensando en esto, va a ser difícil que sepamos exactamente qué escribir.

Nuestra solución

SonMisDatos.pe busca ayudar a las personas a expresar en forma detallada lo que quieren solicitar, ofreciendo una serie de campos predefinidos. Además, en los casos en los que la empresa haya habilitado un correo electrónico para recibir estas solicitudes, la aplicación se encargará de mandar la solicitud directamente. No obstante, nuestra web solo actúa como un intermediario en el envío de solicitudes y no tiene la capacidad de obligar a las empresas a responder ni ha sido desarrollado en acuerdo con éstas.

Para enviar una Solicitud a través de nuestra plataforma, solo basta con seguir cinco sencillos pasos desde SonMisDatos.pe.

Paso 1: Elegir el rubro de la empresa

Hemos clasificado a las principales empresas peruanas en torno a rubros. Si tienes ideas o sugerencias de otras empresas y rubros a incluir, mándanos un mensaje o déjanos un comentario.

Paso 2: Elegir la empresa a solicitar

 

Paso 3: Elegir lo que se desea preguntar a la empresa

Hemos escrito para ti las principales preguntas que muchos podrían tener sobre cómo una empresa trata sus datos personales. No obstante, también dejamos un espacio en blanco para que escribas tus propias preguntas.

Paso 4: Identificarte frente a la empresa

Según la Ley de Protección de Datos, estas solicitudes solo pueden enviarlas los titulares de datos o sus representantes. Por eso, es necesario que ingreses los datos que legalmente se exigen para tramitar tu solicitud. Luego de enviar tu solicitud, tal como lo indica nuestra Política de Privacidad, borramos de nuestros servidores todos tus datos salvo tu nombre, correo electrónico, y detalle de tu solicitud. Usaremos esta información para contactarte en el futuro para preguntarte cómo te fue y publicar información estadística agrupada sobre las empresas y tipos de solicitud más comunes.

Paso 5: Elegir el método de envío

Si eliges enviar por correo electrónico, la plataforma lo hará por ti y te enviará una copia del mismo mensaje a tu correo. Si eliges descargar en PDF, te daremos la opción de imprimir una solicitud formateada según tus preferencias y tendrás que llevarla al local de la empres que corresponda.

En un futuro cercano, esperamos poder tener suficiente información estadística sobre las empresas que recibieron más solicitudes, los rubros de la información solicitada y en nivel de satisfacción de los solicitantes con su respuesta.

Agradecimientos

Esta herramienta es parte de un proyecto de investigación social y tecnológico liderado por la Dra. Katherine Reilly, Profesora Asociada de la Facultad de Comunicaciones de la Universidad Simon Fraser de Vancouver, Canadá. Le agradecemos a ella y a sus colegas investigadoras Carol Muñoz Nieves y Belén Febres-Cordero por su ayuda en este proceso. También queremos agradecer a nuestras voluntarias y voluntarios que, de manera desinteresada, han evaluado versiones preliminares de la herramienta y nos han ayudado a entender mejor cómo mejorarla durante estos meses. Ellos son Diego Estrada Medina, Franz Rojas Pineda, José Aranda Neglia, Karol Valencia Jaen, María Alejandra Bernedo, Marvin Huarac, Miguel Carrasco Bonifacio, Sebastián Guzmán García, y Silvana Escudero. Pronto les contaremos más sobre los hallazgos de la investigación que hemos llevado a cabo en conjunto.

La aplicación web ha sido desarrollada por Hiperderecho en colaboración con nuestros buenos amigos de Vía Código, una organización de desarrolladores y psicólogos que tiene como objetivo el darle la oportunidad de formarse en carreras digitales a hombres y mujeres jóvenes en condiciones de vulnerabilidad y abandono social.

¡Nuestro equipo sigue creciendo! Por eso, en Hiperderecho estamos buscando a alguien que esté listo para dar el siguiente paso en su desarrollo profesional y se una a nuestro equipo legal. Quien resulte elegido para el puesto podrá dedicarse a tiempo completo a el diseño de estrategias de litigio a nivel nacional, el acompañamiento a casos sobre violencia de género en línea en sede penal y constitucional, así como la investigación y divulgación sobre cómo nuestro sistema legal está respondiendo a los retos de la era digital. En particular, este puesto trabajará en nuestro proyecto Tecnoresistencias y de cerca con nuestro equipo de políticas públicas.

Si crees que encajas en perfil o conoces a alguien que lo haga, avísanos para ponernos en contacto. La convocatoria estará abierta hasta este miércoles 28 de agosto. Idealmente, la persona elegida debe de estar disponible para trabajar desde septiembre.

Leer más

Existen actualmente diferentes excepciones a la ley de protección de datos peruana que impide a los ciudadanos ejercer su derecho a controlar la forma cómo se trata su información personal para fines de seguridad ciudadana. 

1. ¿En qué consiste?

Las leyes de datos personales suelen ser creadas con el fin de establecer las condiciones bajo las cuales se recopila y almacena información de carácter personal, así como quiénes están autorizados para hacerlo y cuáles son los derechos que tienen los titulares de dichos datos. El objetivo es generar un ecosistema de confianza que permita el uso de esta información, sin que se vulnere el consentimiento o la privacidad de las personas. En algunos casos las leyes otorgan la posibilidad de que el tratamiento de los datos se realice solo con autorización previa, pero en algunos casos puede realizarse por mandato legal.

En el Perú, desde el año 2011 se cuenta con una ley de protección de datos personales que tiene como objetivo proteger el uso de la información de las personas. En ella se recogen los escenarios bajos los cuales se autoriza su recopilación y tratamiento, así como los derechos que tienen los titulares que son: Derecho de acceso, rectificación, cancelación y oposición (ARCO). Existe también una Autoridad Nacional de Protección de Datos encargada de supervisar el cumplimiento de esta norma. Sin embargo, también existen excepciones contempladas en dicha ley. Una de las más amplias es la que autoriza a las entidades públicas a tratar datos personales de los ciudadanos sin necesidad de consentimiento y con reglas poco claras sobre su tratamiento posterior.

2. ¿Dónde está reconocida?

Julio 2011: Ley de Protección de Datos Personales y su Reglamento

• Señala que la ley no aplica a los datos administrados por entidades públicas, siempre que su tratamiento resulte necesario para que estas cumplan con sus competencias, por motivos de defensa nacional o de seguridad pública. (Ley de Protección de Datos Personales, Artículo 3, inciso 2; Reglamento, Artículo 4)

3. Contexto

Las políticas públicas relacionadas al tratamiento de datos personal son una iniciativa importante en el marco del reconocimiento de la autodeterminación informativa, que consiste en el derecho de cualquier persona a ejercer control sobre su información personal contenida en registros públicos o privados. Durante los últimos veinte años, el desarrollo de este derecho, íntimamente ligado al de la privacidad, ha propiciado la aparición de leyes y entidades que buscan proteger el uso de los datos personales, entregando mayores herramientas para su fiscalización, en especial teniendo en cuenta el alto nivel de digitalización y automatización de la recolección de información.

Desde 2011, el Perú cuenta con su propia ley de protección de datos. Esto significa que cualquier entidad pública o privada que desee almacenar datos personales debe contar con autorización previa de sus titulares y realizar el tratamiento exclusivamente con los fines para los cuales solicita dicha información. No obstante, como dijimos, la ley peruana presenta tres excepciones: (i) cuando se trata del tratamiento de datos por parte de entidades públicas, (ii) con motivo del cumplimiento de sus funciones, o (iii) razones de seguridad pública o defensa nacional.

Empleando estas excepciones, diferentes entidades públicas no requieren solicitar permiso a los titulares de los datos para tratar o compartir su información. Esto implica a veces que tampoco puedan hacer uso de los derechos ARCO, especialmente cuando la información se almacena por motivos de seguridad pública o defensa. Esto último hace que se puedan llevar a cabo tareas de recolección y tratamiento muy intrusivas que no están sujetas a fiscalización. En los últimos cinco años, han aparecido diferentes leyes y disposiciones que crean nuevas situaciones en donde se utiliza esta excepción: Por ejemplo: las leyes que obligan a colocar cámaras de vigilancia, las que crean un mecanismo para obtener y almacenar datos de geolocalización, las que obligan a realizar autenticaciones biométricas, etc.

Pese a que existe una Autoridad de Protección de Datos que debe vigilar el cumplimiento de esta norma, existen tantos supuestos en donde se aplican las excepciones, que no es posible saber si en todos los casos se toman medidas de seguridad o se tratan los datos respetando los derechos de privacidad e intimidad de las personas. Las entidades públicas que se amparan en estas excepciones tampoco son muy transparentes a la hora de revelar cómo protegen la información que recolectan.

4. ¿Cuál es el problema?

Las leyes de protección de datos personales son positivas, pues representan un límite al uso de la información personal realizada por entidades públicas y privadas. El problema es que estas normas suelen incorporar excepciones, casi siempre pensadas para no obstruir el trabajo que realizan ciertas entidades públicas como las que llevan el registro civil, pero que terminan siendo empleadas también por las fuerzas de seguridad del Estado, que suelen operar de forma poco transparente, y sobre las cuales es muy difícil ejercer control alguno.

En el Perú, algunos de los problemas asociados a esta política pública son:

1. Afectan el derecho a la privacidad de todas las personas porque el almacenamiento de sus datos personales se realiza sin su autorización y no existen disposiciones para oponerse o fiscalizar que el tratamiento se realiza con estándares de seguridad y necesidad.

5. ¿Existen políticas públicas similares en la región y el mundo?

En la mayoría de países del mundo existen leyes de protección de datos personales, que son más o menos garantistas con el derecho de autodeterminación informativa. En ese sentido, queremos comparar el caso del Perú con el de otros países. Para ello vamos a tomar dos ejemplos:

a) Chile

Chile fue uno de los primeros países en implementar leyes de protección de datos. Su norma principal, la Ley N° 19.628 de 1999, disponía la necesidad de inscribir los bancos de datos personales a ser tratados y exigir autorización de sus titulares. De forma similar que la norma peruana, la ley chilena contempla dos excepciones: Cuando la información se trata con fines de “Seguridad Nacional” o en “Interés de la Nación”. Hasta hace muy poco, Chile no contaba con una autoridad encargada de vigilar directamente el cumplimiento de esta norma y analizar los casos en disputa, pero desde 2018 se han encargado estas funciones a su Autoridad de Transparencia.

b) Unión Europea

A partir de 2016, entró en vigencia la política europea para la protección de datos: El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), una norma que obliga a todas las empresas que tratan datos personales en países europeos o de ciudadanos europeos a obtener siempre autorización expresa de sus titulares. Además de los derechos ARCO, incorpora también otros derechos como el “derecho al olvido” (desindexación o eliminación de contenidos caducos o inexactos) y el derecho a la portabilidad de los datos personales. Así mismo, incorpora obligaciones nuevas para las entidades privadas, como que estas deben informar si han sufrido incidentes de seguridad. No obstante, igual que en Perú, persisten las excepciones destinadas a permitir el funcionamiento de entidades de registro y de las fuerzas públicas.

Esta entrada es parte de nuestra serie especial Privacidad es seguridad gracias al apoyo de Privacy International.