Código fuente de sistema informático. Suena complicado, pero es sencillo: es un conjunto de instrucciones a un programa para ejecutar determinadas tareas. Estas órdenes o comandos sirven para administrar programas y los ocupan diversas empresas e instituciones, entre ellas el Ministerio de Salud para datos sobre toda su red, en cuanto a pacientes, hospitales, servicios de atención a la población, etc.
Esos códigos fuentes que ocupa Salud en sus sistemas están ahora en medio de un conflicto. Un ciudadano pidió el año pasado que le fueran entregados, y el Instituto de Acceso a la Información Pública (IAIP) estudió el caso y consideró que hacerlos públicos podía provocar una vulneración de riesgo para la cartera de Estado. Por ello, le ordenó que se reservara estos códigos. Y el 16 de noviembre pasado, según el Índice de Información Reservada del Minsal, ya aparecen bajo “reserva total” los 49 sistemas informáticos que ocupa Salud, un bloqueo que se mantendría por siete años. Es decir, es una reserva que terminaría incluso después de que finalice la administración del presidente Nayib Bukele, en 2024.
Una fuente del IAIP explicó que están revisando si Salud se excedió en esa reserva, pues se puede interpretar que el ministerio ha bloqueado absolutamente toda la información digital. Es decir que la ciudadanía no podría saber, por ejemplo, los datos de cómo se está combatiendo enfermedades como dengue o cáncer, o cómo se administran los hospitales públicos. Hasta hoy, el Instituto no ha dado una resolución al final al respecto.
Pero dos expertos en el área de acceso a la información tecnológica alertan sobre la decisión del Instituto de reservar los códigos fuentes, esas líneas programáticas que Carlos Palomo, director de la Asociación Transparencia, Contraloría Social y Datos Abiertos (TRACODA), traduce en palabras prácticas: “es como cuando nuestra mamá nos dice, para llegar a la escuela tienes que irte por tal calle, cruzas a la derecha, abordas tal bus y llegas a tu lugar de destino. Eso son los códigos fuente” para una computadora o un programa.
Palomo explica que la decisión del IAIP de reservar estos códigos es incorrecta e injustificada.
“Hay una mala percepción de los servidores públicos en El Salvador, de que divulgar o hacer públicos los códigos fuentes que manejan las instituciones, como el Ministerio de Salud, puede poner en riesgo a los sistemas y pueden vulnerarse; y el riesgo, según ellos, incrementa cuando estos sistemas manejan datos personales, como datos de enfermedades de salud de las personas. Pero esta visión es bastante anticuada, una concepción de hace 30 o 40 años, ya se ha deshechado en Europa y otras latitudes”, argumenta Palomo.
En realidad, que la población tenga a mano los códigos fuentes de los sistemas que ocupan entidades públicos es lo más indicado, explica Palomo, pues divulgarlos “no solo no aumenta el riesgo de vulneraciones a los sistemas, sino que por el contrario, ayuda a transparentar lo que estos sistemas hacen, a que la ciudadanía pueda fiscalizarlos y auditarlos, y ver que estos programas o sistemas no estén haciendo un tratamiento indebido de datos personales, o ejecutando algunos algoritmos para obtener información que pueda facilitar la vulneración de derechos humanos”.
El especialista insiste en que “si las instituciones (públicas) poseen los procedimientos adecuados y mecanismos para mitigar riesgos de seguridad informática, el publicar código fuente no debería aumentar, ni debe, ni aumenta el riesgo de una manera incontrolable. Al contrario, al publicar el código fuente, la comunidad, la población, la ciudadanía puede colaborar, diciéndole a las instituciones que hay algún área débil que puede mejorarse”.
Laura Nathalie Hernández, abogada especialista en Tecnologías y Datos y analista de Políticas Públicas, representante de la ONG Derechos Digitales, coincide con esta visión. Explica, eso sí, que puede darse el caso que los programas tengan derecho de autor, pues pueden ser producto de “horas de trabajo” o “creatividad” de una persona en particular, que decide protegerlos al ser una obra propia.
Debido a lo anterior, lo que Hernández y Palomo recomiendan es que las instituciones públicas, entre ellas el Ministerio de Salud, deben optar por ocupar programas de licencias libres, como está pasando ya en otros países, tanto en Europa como en Latinoamérica.
TE PUEDE INTERESAR: Esta es la información que Salud ha colocado en reserva total
¿Por qué el Ministerio de Salud debería ocupar código libre o abierto? Hernández argumenta que “por Constitución, por los tratados internacionales de derechos humanos, tenemos derecho a la libertad de expresión, que comprende libertad de buscar, recibir, difundir informaciones de toda índole. Este derecho es obtener información de manera escrita, verbal, electrónica o de cualquier otra forma. Limitar o restringir el conocer o tener acceso a esa lista de secuencias (los mencionados códigos fuente), es una limitación al derecho de acceso a la información pública”.
De tal forma que “cuando uno habla de procesos de transformación digital, se debería optar o preferir por licencias que sean congruentes con el derecho de acceso a la información pública, porque son obligaciones que se deben respetar por los derechos fundamentales contenidos en la Constitución, así como por normativa internacional”, remarca la abogada.
Explica Hernández que la información que tiene es que la mayoría de programas que ocupa el Ministerio de Salud son de licencias abiertas, pero remarcó que es información que no debería ser pedida por la ciudadanía, sino que debería estar colgada y disponible en los sitios web de las instituciones públicas.
¿Peligro por hackers?
Uno de los argumentos que citó el IAIP es que piratas informáticos (hackers) podrían ocupar el código fuente de Salud para extraer datos importantes, que pongan en riesgo los objetivos del Ministerio de Salud y de la población en general. Palomo dice que ese riesgo es bajo o podría disminuirse a cero, siempre que las instituciones tomen las medidas necesarias en cuanto a seguridad digital.
Palomo dice entender que las autoridades actuales del Ministerio pueden justificar su reserva del código fuente alegando “que había malas medidas antes (Gobiernos previos), y que publicarlo incrementaría el riesgo. Aún si incrementara el riesgo, cuando se tiene algunas herramientas, configuraciones o entornos bien establecidos, aun con la liberación (de los códigos fuente) es difícil que pensemos que habrá una vulneración”.
Otra herramienta válida, explica Hernández, es que “si existiera algún dato que es necesario reservarlo, impedir el acceso a todo el código fuente no sería proporcional; en todo caso, se podría anonimizar la información que pudiera ser confidencial, o que fuera necesario reservarla”, lo cual está contemplado dentro de la Ley de Acceso a la Información Pública.
Sin embargo, Hernández agrega que sí hay un margen de riesgo, pues “entregar todo o parte del código fuente pudiera representar un riesgo de divulgación de información confidencial; incluso aunque se anonimizara alguna línea de texto del código”.
Agrega que ocurrió un caso con la aplicación Snapchat, “donde aparentemente el revelar parte del código fue el factor riesgo para un ataque informático que sufrió hace algún tiempo. La respuesta a una solicitud de información pública pudiera venir acompañada de otra información (además del código fuente) que facilitaría un ataque”.
Siete años de reserva: un exceso
Si finalmente el IAIP acepta y certifica que Salud ponga en reserva por siete años los códigos fuente, esto sería un atentado directo al derecho a la información de la ciudadanía, según Palomo. Para el especialista, esa cantidad de tiempo es excesiva y, en todo caso, “se le puede establecer un calendario con tiempos y plazas concretos para mitigar esas amenazas” de posible vulneración de sus sistemas al Ministerio de Salud; pero “no solo reservarlo por reservarlo, y decir que queda reservado por siete años y nadie va a poder saber de esto”.
Palomo subraya que “un año para nosotros ya es excesivo. Si se va a dar un plazo para que la institución tome medidas está bien, pero que se le den unos dos o tres meses, pero no un año o cinco, o peor siete años”.
Hernández fortalece esta idea al explicar que la misma Ley (de Acceso a la Información Pública, en su Artículo 21 literal c), habla “de que el daño de la divulgación, es decir si divulgo el código fuente, debe ser mayor al interés público de conocer esa información. A mí me falta conocer cuál pudiera ser el daño que pudiera provocar esa divulgación”, algo que Salud y el IAIP deberán argumentar con solidez.
EN DETALLE
códigos informáticos de ministerio de Salud no deben ser reservados
EJEMPLOS EN OTROS PAÍSES
Carlos Palomo consideró “anticuada” la postura del Ministerio de Salud y del Instituto de Acceso a la Información Pública, en cuanto a que difundir los códigos fuente de los programas que usan instituciones del Estado puede ser un riesgo. Puso como ejemplo no solamente casos en Europa, sino que “donde hay una experiencia más cercana, a nivel de Latinoamérica, es en países como Uruguay, Chile, donde incluso hay una sociedad civil consolidada y organizada en torno a estos temas”. Explicó que la tendencia internacional es divulgar estos comandos informáticos, pues con las medidas de seguridad digital adecuadas, incluso es beneficioso, pues la ciudadanía misma ejerce control.
ALERTA DE ABUSO
Palomo lanzó una alerta importante: “Recordemos que el tema de datos personales da para que los gobiernos puedan espiar a los ciudadanos, para que puedan introducirse en su vida privada, en su ámbito íntimo, y brindar otras vulneraciones. En regímenes dictatoriales, el acceso a datos personales es oro, porque les permite estar encima de todos los ciudadanos. Hay que tener mucho cuidado con eso”. Por ello, insistió en que esta información no debe ser colocada bajo reserva, salvo en circunstancias extraordinarias.
EL ACTUAL SISTEMA ES VULNERABLE
La especialista Laura Nathalie Hernández dijo que el temor que argumentan Salud e IAIP, sobre posible hackeo de los sistemas informáticos públicos, le parece “absurdo”, ya que “no es necesario conocer el código fuente para que ya sepamos que muchas de las herramientas tecnológicas implementadas no solo por Salud, sino en general en el Gobierno, ya son vulnerables, porque no se adoptan protocolos de seguridad, que son básicos y desde hace años se vienen implementando a nivel mundial. No me preocuparía tanto por el código fuente, sino por todas las medidas de seguridad que faltan. Hace algunos meses hubo caso de filtración de datos en el MinisteriO de Hacienda, por ejemplo, con millones de datos, que lo veo peligroso y grave”.
ANÓNIMO SI HAY RIESGO
Hernández explicó que, “Si existiera algún dato que es necesario reservarlo, impedir el acceso a todo el código fuente no sería proporcional; en todo caso, se podría anonimizar la información que pudiera ser confidencial, o que fuera necesario reservarla”, lo cual está dentro del marco que establece la LAIP. “La misma ley permite eso, porque habla de versiones públicas, y que el ente obligado puede publicar datos que contengan información reservada o confidencial. Es posible optar y se debería de optar por esas versiones públicas”.
DEFINICIÓN DE CÓDIGO FUENTE
“Lo definimos como un archivo que contiene un conjunto de líneas de texto, que son pasos, instrucciones o comandos que debe seguir una computadora para ejecutar un programa informático”, explicó la abogada Laura Nathalie Hernández sobre esta programación digital. Hay licencias de uso libre, como el caso de Linux, que son las que recomiendan para las instituciones de administración pública, precisamente para que la ciudadanía en general pueda acceder a ellas.