Preocupaciones y propuestas sobre la «carpeta ciudadana»

Desde hace días en la lista general de RedPaTodos se viene discutiendo sobre la iniciativa de Gobierno de crear una nube oficial con una «carpeta ciudadana» para todos y cada uno de los ciudadanos colombianos. Esta iniciativa incluye que todos tengamos un correo oficial que sería el único aceptado para trámites y relaciones con cualquier instancia estatal y además una carpeta donde esté la información del ciudadano relevante para cualquier trámite ante un organismo gubernamental, esto incluye desde la imagen de la cédula y el pasaporte, hasta las historias clínicas, pasando por casi cualquier cosa (derechos de petición, hoja de vida, diplomas académicos…) Este tipo de información no es pública, está amparada por el derecho a la privacidad, y en muchos casos es información sensible. En el fondo de esta propuesta está la creación de una identidad virtual oficial para los ciudadanos colombianos.
Si bien, las intenciones de este proyecto pueden ser buenas: facilitar los trámites con el estado, tener una mejor comunicación con las instituciones, y disminuir la cantidad de documentos pedidos y almacenados en estos trámites. La implementación plantea muchas preocupaciones:
  • Coacción gobierno-entes privados: Que la información sea almacenada por un tercero mediante un contrato del Estado con un privado facilita que exista coacción entre ellos. Por ejemplo, el gobierno podría amenazar a la empresa con la renovación de la concesión en caso de no permitir acceso a información privada.
  • Robo de información: Tener toda la información centralizada potencia el robo de la misma. En la actualidad quien desee toda la información personal de alguien tiene que acceder a múltiples fuentes. En este nuevo escenario con  atacar exitosamente el sistema central o lograr acceso a la información de un usuario se puede tener toda la información de una manera muy rápida y efectiva.
  • Suplantación de identidad: Si un atacante tiene acceso a la información de alguien puede secuestrar totalmente la identidad de la persona. Podría hacer trámites y realizar operaciones en su nombre: vender y comprar artículos, servicios y bienes, realizar  fachadas para actividades criminales, estafar a terceros y al Estado mismo.
  • Violación de derechos civiles: Aceptémoslo, la persecución a periodistas y disidentes es normal en Colombia y este sistema puede en  gran medida ser usado también con este fin por algunas instancias del estado sin las garantías suficientes para los ciudadanos. Algunas prácticas posibles pueden ser: Desactivar el correo a activistas, periodistas u opositores  políticos; exposición de información privada almacenada en la nube o de comunicaciones de correo; interceptación ilegal de comunicaciones; vigilancia selectiva; manipulación de la cuenta, de la información o de los registros de uso de la misma.
  • Espionaje a precios accesibles: Algo que se confirmó con las revelaciones de Snowden, es que los gobiernos y las empresas pueden tener a todo el mundo bajo vigilancia masiva y usar la información en su propio beneficio para cosas como verificar el patrimonio y hábitos de consumo, determinar necesidades, establecer hábitos de uso de internet, de consumo de información y muchas más cosas. El estado colombiano ha invertido miles de millones de pesos en sistemas de vigilancia y en el fortalecimiento de sus unidades de seguridad e inteligencia.  Un enorme gasto de dinero que hace que el espionaje masivo no sea tan rentable, pero este proyecto haría posible que el gobierno gaste mucho menos.
  • Creación de ciudadanos artificiales: Un ente podría crear ciudadanos virtualmente legitimos que no estén asociados a personas reales. Estos ciudadanos artificiales podrían influir de manera política y económica participando en consultas ciudadanas, votando iniciativas en línea, haciendo comentarios a proyectos; entre otros. Además se podrían llegar a mecanismos que faciliten la falsificación de identidades, la nacionalización ilegal y el testaferrato.Así como ocurrió de manera fraudulenta hace algún tiempo con el caso llamado «estudiantes fantasma«
  • Cruces de información personal: La información puede llegar a ser de alto valor para empresas públicas y privadas donde estas pueden restringir, priorizar o limitar el uso de ciertos servicios. (Como el caso del sector Bancario para determinar adjudicación de préstamos según la salud de sus clientes, o la asignación de determinados servicios de salud dependiendo de la disponibilidad de pago o incluso la contratación o no dependiendo del historial de derechos de petición o tutelas)
  • El Anonimato:  Para muchos Colombianos es claro que algunas denuncias presentadas a los entes de vigilancia y control o incluso ante fiscalía o policía deben presentarse de manera anónima. En este caso se estaría perdiendo este derecho.
Muchos podrán decir, a este punto, que nos hemos vuelto paranoicos o extremistas, otros dirán que si algo de esto puede ser cierto lo mejor sería desechar este proyecto y dejar las cosas como están. Sin embargo, es necesario recordar que el proyecto busca subsanar problemas reales y ayudar a solucionar problemas enormes como son la agilidad de los trámites y las comunicaciones con el mismo estado. Así que además de criticarlo, hemos pensado en algunas de las cosas que deberían tenerse en cuenta para la implementación de este tipo de iniciativas.
  • Información cifrada: Aunque aún no conocemos los detalles técnicos del proyecto pensamos que los archivos en la nube y los mensajes de correo deben estar cifrados, esto significa que cada ciudadano debe tener una llave criptográfica pública y otra privada generadas por el mismo, y que las entidades del gobierno que deseen enviar un correo electrónico o un archivo al ciudadano usando la plataforma deben firmar con la llave pública del ciudadano para garantizar que únicamente él tenga acceso a la información, de la misma manera la información debería guardarse cifrada para que ni siquiera quien tenga acceso del lado del administrador del sistema tenga acceso a la misma.
  • El Software:  La implementación debe hacerse con Software Libre. No por que pueda ser menos costoso, sino por que de esta forma se garantiza la posibilidad de una auditoría plural sobre las características del software y su implementación.
  • Protocolos y estándares: Deben usarse protocolos y estándares abiertos para garantizar la interoperabilidad y escalabilidad de la plataforma.
  • Infraestructura descentralizada: Una infraestructura que no tenga un único lugar de almacenamiento, control y fallo. Que garantice la alta disponibilidad en sus más altos niveles y que los gestores de la infraestructura cumplan estándares internacionales de seguridad y tratamiento de la información.
  • Autorización expresa del individuo para el acceso y uso de información: Para  evitar violaciones a la privacidad y a la seguridad  ese sistema debe ser diseñado para que cualquier petición de consulta  que se haga sobre la información, deba ser autorizada expresamente por  el individuo, provenga de donde provenga la petición. No importa si  es de una entidad prestadora de salud, o de una empresa que nos quiere  contratar o incluso que la información venga del gobierno, nosotros  debemos tener el derecho de decidir si autorizamos o denegamos el acceso  total o parcial de la información y también tener el derecho de revocarlo. Además debe entenderse que la información no son solo los contenidos (correos, archivos, etc) sino también los metadatos asociados (direcciones IP de conexión, tipo de dispositivos utilizados, información de geolocalización, etc). Por supuesto  para poder autorizar el acceso y uso de nuestra información debemos tener el derecho de saber que información está almacenada y decidir sobre la misma. También debemos tener la posibilidad de conocer los metadatos registrados en esta plataforma y como es utilizada  esta información.
  • Reglamentación: Se necesita una adecuada reglamentación que especifique los derechos de los usuarios, del estado, de las instituciones que tienen acceso a la información. Con las debidas garantías. Esto incluye mecanismos de transparencia, y control e informes periódicos de uso y peticiones sobre el sistema. Finalmente, quien pueda acceder a esta información, aun de forma «legal», puede generar una copia de la información y hacer usos indebidos de la misma. Esto no solo debe prevenirse sino además ser sancionado.  Que la información solicitada solo sea usada para los fines específicos para los cuales se autorizó, y solo por quienes tienes autorización debe ser parte de esta reglamentación.
  • Las empresas: Si el proyecto es realizado por el sector privado, es importante aclarar que la infraestructura (centros de datos) deberá estar geográficamente localizada en Colombia y los administradores deberán ser empresas Colombianas que no tengan sedes principales ni empleados estadounidenses para evitar el espionaje so pretexto de cumplimiento del acta patriota de dicho país. (La normativa de los EEUU establece que sin perjuicio alguno todos los datos alojados, trasferidos y procesados por empresas o nacionales estadounidense serían escrudriñadas sin que medie orden judicial o que sea enterado el dueño de los datos)
Es claro que tenemos demasiadas preocupaciones y pocas claridades, algunas de estas preguntas vienen de la poca información concreta sobre el proyecto y otras más sobre la existencia de contratos que parecieran estar relacionados. Obvio, si ya hay contratos el margen de incidencia es mucho menor que si es una  propuesta abierta para el debate y su mejoramiento. Hemos realizado una recopilación de la información que creemos está relacionada con el proyecto pero sabemos que está incompleta. Ante la falta de certezas e información pública y veraz sobre este proyecto, hemos decidido presentar un derecho de petición a MinTIC solicitando más información y con esta definir una ruta posible para afectar esta propuesta buscando la garantía de nuestros derechos. Lo que resulte de este proceso lo haremos público a medida que se den avances.
Para los interesados publicamos una copia del derecho de petición.
*Este texto nace gracias a la contribución de varias personas en la lista general del colectivo RedPaTodos y el debate que esto suscitó. Agradecemos a todos por su participación activa.

Feedback

Comments

2 Responses to “Preocupaciones y propuestas sobre la «carpeta ciudadana»”
  1. digitalfredy dice:

    Enlaces de interés:

    * Presentación: http://www.mintic.gov.co/portal/604/articles-7229_recurso_1.pdf

    * Proyecto en web minTIC: http://www.mintic.gov.co/portal/604/w3-article-7229.html

    * Autenticación (enlace a sitio del proyecto está mal): http://www.mintic.gov.co/portal/604/w3-article-8232.html

  2. Jose Humberto Araque Meza dice:

    De llegar a implementarse algo así, creo yo que es muy importante que no sea se uso obligatorio, que los ciudadanos tengamos el derecho a decidir si aceptamos o no hacer parte de esta, y si decidimos no hacer parte de la misma, que no sea exigible por ningún ente estatal o privado hacer parte de esta carpeta ciudadana, para la obtención de algún bien o servicio, ni que exista tipo alguno de discriminación entre los que decidieron hacer parte o no, de dicha carpeta. Internet nació como una red descentralizada y así debe permanecer, esa es su fortaleza. Importantísimo, software libre y estándares libres para poder auditar y garantizar nuestros derechos. De una vez comento, NO quiero ser parte de esta carpeta ciudadana, no importa los beneficios que pueda brindar, todo lo mio que esté en la nube, ya no es mio.

Deja un comentario