Las tarjetas SUBE y la protección de datos personales

tarjeta_sube

Por Marcelo Temperini

Estimados, este artículo esta basado en una consulta de un amigo personal, sobre mi opinión acerca de este tema, que debo confesar que antes de ponerme a investigarlo a fondo, sólo lo había escuchado de lejos (dado que como soy de la ciudad de Santa Fe, la tarjeta realmente me pasaba lejos).
Aquí en nuestra ciudad, tenemos sistema de tarjetas hace tiempo, si bien son de empresas privadas y para líneas determinadas, el sistema es sencillo: las tarjetas son anónimas, uno las puede comprar en lugares habilitados, lo mismo que ir a recargar. Las usa, en el mismo ticket te dice cuanto saldo te va quedando y así la gente vive libre de las monedas. Cuando me comentaron de SUBE, pensé que debía ser algo por el estilo, pero viendo el tema, veo que hay diferencias…
En primer lugar, las tarjetas sólo son entregadas a quien realizan un trámite (sencillo aparentemente) con su DNI, de manera que cada número de tarjeta queda vinculada a una persona física. ¿Por que? Según pude interiorizarme, sería porque el Estado así puede saber cuantas personas tienen subsidio (porque estos viajes están subsidiados) y cuantas personas viajan por día en cada línea, y así saber si los prestadores del transporte cumplen con la cantidad de unidades que deben ofrecer. ¿Es necesario? Técnicamente no, porque aún siendo 100% anónimas las tarjetas, por sistema, uno podría consultar, cuantas personas tomaron el 186 a las 7:30 en la estación X, y así podría igual saber tal dato, sin necesidad de poder trazar que persona viajaba y cuál no. Con respecto al tema de controlar los subsidios, de manera que nadie tenga más de una tarjeta, creo que tampoco tiene mucho sustento, ya que aunque una persona tuviera dos o más tarjetas, eso no haría que viaje “más o menos”, sino que bastaría nuevamente consultar al sistema, cuantas personas en un día, utilizaron tal línea, o tal tren y listo, sabríamos que cantidad real utiliza el servicio y si se están cumpliendo las prestaciones adecuadas para tal número.
Pero ahí no terminan las novedades, ya que lo que brindan las tarjetas SUBE es un sistema de consulta de saldos, donde lo único que necesito para saberlo es el número de tarjeta y… nada más, ahi se terminaron las exigencias de seguridad (además de un captcha espantoso). Pero las sorpresas continúan, al ver que no solo me dice cuál es mi saldo, sino que me da un listado de los últimos 10 viajes realizados! Y aquí ya la cosa me empezó a hacer ruido…
Mi primera sensación es la de un rudo golpe contra la privacidad… y lo es sin dudas, porque saber el itinerario de una persona es información sensible, desde el punto de vista que cualquiera que se pudiera hacer con el número de mi tarjeta, podría semanalmente sentarse por internet a investigar por donde anduve viajando, a que hora, en fecha me tome que colectivo o tren. Genial! (exclamo una novia celosa que hace tiempo sospecha de las andanzas de su novio). Claro, genial para esta chica, que tiene anotado el número de tarjeta de su chico, y que cada tanto le dice… ¿por donde anduviste? para comparar su anduvo por los lugares que ella sabía por el sistema. Desde el punto de vista de la privacidad, empezamos perdiendo el partido.

De vuelta, ¿Por que?. Acá la cosa ya empieza a perder sustento. ¿Por qué yo como titular de la tarjeta, voy a querer saber mis propios gastos? (si supuestamente soy el único que tiene el número de tarjeta). Yo quiero saber el saldo a lo sumo, para saber si me alcanza para volver a casa. La respuesta no parece clara, y me suena más a un proyecto apurado del gobierno, que no hizo tiempo de pensar en estos “detalles”. A ver, si el sistema es electrónico, es sabido que siempre quedan los registros, pero que esos datos estén tan accesibles, es poco común y diría que no recomendado. Aquí en Santa Fe, con tarjetas anónimas, también queda registro, pero sólo los puede ver el muchacho que me carga el saldo y la empresa en su caso. Y la verdad es que no conozco a nadie que quiera saber sus propios viajes.

El tema se puso más complicado cuando se publicaron mil itinerarios de viajes (Noticia de Segu-Info) por parte de Anonymous. Al principio me asombre de ver todos esos datos de itinerarios, sin DNI ni nombres ni apellidos, sino una recopilación de viajes por número de tarjetas. Pero luego me dio curiosidad de chequear el sistema del gobierno y dije… es tan asi? Sí, era así nomás, es más tuve que probar como 20 veces porque el sistema estaba caído (ahí realmente les creí que lo tenía instalado y administraba el Gobierno :). Es por internet, gratis, sólo necesito saber un número y tengo los últimos 10 viajes que realizó esa persona… increíble pero real dijo un delincuente especializado en secuestros express.

Ahora yo pregunto… si hicieron que las personas asociaran la tarjeta a su DNI, porque al menos no piden aleatoriamente números del DNI como refuerzo de seguridad del sistema? Eso lo tiene hasta el sistema para anotarse a exámenes de mi facultad.

Pero bueno, realizada la catarsis, hablemos desde lo jurídico. Cumple con la Ley Nº 25.326 de Protección de Datos Personales? En principio, el site muestra el isologotipo debajo. Esto quiere decir que cumple con las normas de seguridad exigidas en el art. 9 de la Ley? No necesariamente, sólo implica que se inscribio la base. Son datos personales los revelados por el sistema? Cumple con las normas de seguridad exigidas? Comencemos por el principio…

Art. 2: “A los fines de la presente ley se entiende por:

— Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.”

Como lo dice expresamente el concepto del art. 2 de la LPDP, los datos personales son aquellos que hagan a una persona determinada o determinable. Datos que hagan a una persona determinada, es directamente decir su nombre apellido o DNI. En cambio, los determinables son menos comunes y en las capacitaciones que he podido dictar sobre Datos Personales, siempre les doy a los asistentes el ejemplo del perfil psicológico. Es decir, cuando se arman perfiles psicológicos de un alumno por ejemplo, no se pone el nombre y el apellido, se pone un número X, pero luego se hace todo un minuscioso detalle de las características de ese alumno, que es alto, morocho, se sienta adelante, muy revoltoso, que se mete el dedo en la nariz y sabe mucho de computadoras. Entonces, sin dar nombre y apellido se dan una serie de datos que hacen que la persona sea fácilmente identificable.
Personalmente opino que la publicación de un itinerario de viajes, con horarios, fechas, línea o tren que está tomando, permiten inferir una serie de datos que hacen a la privacidad de una persona, y que por lo tanto SON DATOS PERSONALES que hacen a una persona determinable.
Vamos bien… ahora, cumple con las medidas de seguridad exigidas?

“ARTICULO 9° — (Seguridad de los datos).

1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

2. Queda prohibido registrar datos personales  en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. “

Eso es más complicado de responder. La publicación de itinerarios por parte de Anonymous, no fue técnica ni legalmente un hacking… De hecho, se ha hecho público el código (pueden encontrar el link en este post de Segu-Info) utilizado para obtener esos datos (veanlo por gusto, son sólo 18 líneas muy sencillitas), que no hacen más que ir ingresando números y guardando resultados (y saltando ese endeble captcha) de manera seriada. Esto NO es hacking en Argentina, porque el hacking (art. 153 bis) existe sólo cuando el sistema es de acceso restringido, tema que aquí no existe desde el momento que sólo pide un usuario sin pedir contraseña.
Más allá de esta divergencia, decía que es compleja la respuesta porque desde afuera uno no puede saber si el organismo que administra a SUBE cumple con todas las exigencias de la Disposición 11/2006.

Sin embargo, desde afuera, si podemos saber que el sistema permite el ingreso contando sólo con el user (Nº de tarjeta) sin otro requisito más, lo que a mi criterio sería una falta al inciso 7 de las normas de seguridad para las bases de datos “básicas” (7. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información.).

Para ir finalizando, creo que el sistema SUBE es interesante en cuanto a la idea de reemplazar monedas, lo cuál no dudo que es muy exitoso en ese aspecto. Desde aquí se ha intentado analizar sus consecuencias en relación a la información que se brinda, su legalidad y su necesidad.

No veo realmente la necesidad ni fundamento de informar los datos de viajes realizadas, que sí son datos personales, que sí deben ser protegidos adecuadamente. Nuestra propia Ley de Protección de Datos Personales en su art. primero, establece que su finalidad es garantizar el derecho al honor y a la intimidad de las personas y desde mi punto de vista, la publicación de manera cuasi liberada de itinerarios de viajes, afecta sin dudas la intimidad de los usuarios de una manera irrazonable e injustificada.

Publciado por el autor en la Red Iberoamericana elderechoinformatico.com.