La semana pasada renunció el presidente del Instituto de Acceso a la Información (IAIP) por la filtración de datos personales a la Presidencia de la República (CAPRES). En resumen, según la revista Factum lo que ocurrió fue que desde el IAIP se mandaban informes a CAPRES con el contenido de las solicitudes de acceso a la información y los nombres de los solicitantes.
Para dar contexto, ocurre que la extinta Secretaría de Transparencia de CAPRES creó el sistema de gestión de solicitudes de acceso a la información (SGS), que es un portal web para canalizar peticiones de datos e informaciones. Luego de perder las elecciones, la antigua CAPRES cedió el control de la herramienta al IAIP, quienes detectaron que un informe con datos personales se estaba enviando, según han comentado.
A finales del año pasado solicité a CAPRES que me entregaran el código fuente (que viene a ser el conjunto de instrucciones que dan vida al sistema) del portal de Gobierno Abierto, que es donde estaba alojado el SGS. A partir de lo revelado por Factum, hice una revisión cuyos resultados detallo aquí.
Lo primero es que, efectivamente, el SGS tenía implementada una funcionalidad para enviar informes cuando menos desde el año 2018 (cuando a mí se me entregó) y este incluía los requerimientos y los nombres completos de los solicitantes. A alguien o a algunas personas dentro de CAPRES se les remitió un informe diario (según consta en la periodicidad programada dentro del código) sobre las solicitudes que se hacían no solo a CAPRES, sino a todas las instituciones que usaban el SGS.
Por otra parte, al revisar la base de datos se encuentra que el sistema almacena todos los requerimientos y quien los hace; es decir, cualquier persona con los privilegios suficientes (o alguien que logre acceso de forma fraudulenta) puede hacer una simple consulta y trazar todo lo que una persona con un DUI determinado ha pedido cuando menos desde 2014 (la copia que yo tengo tiene datos desde 2014 hasta 2018).
Lo anterior es muy grave porque teniendo acceso a esto se puede perfectamente espiar o dar seguimiento a usuarios incómodos, así como saber qué están investigando o tras los pasos de quien andan. Para nadie es un secreto que algunos defensores de derechos humanos y periodistas son especialmente incómodos para las autoridades del Estado y el mal uso de los datos personales de ellos pueden dar lugar a seguimientos y espionaje, lo cual ciertamente deriva no solo en la vulneración de sus derechos sino en un potencial obstáculo del derecho de la ciudadanía a conocer qué hacen sus servidores públicos.
Pero el caso no termina ahí ya que según recogen diversos medios, ocurre que los informáticos del IAIP se dieron cuenta de lo ocurrido y pararon el envío, pero luego el expresidente del instituto pidió remitir nuevamente el informe a CAPRES (la de Nayib Bukele) solo que esta vez ya sin los nombres de los solicitantes.
De las responsabilidades del IAIP hay mucho que decir. Primero, el código que enviaba los informes no cuenta con ninguna protección especial para evitar ser detectado sino todo lo contrario, la funcionalidad está a la vista y parece ser parte inherente del SGS. Esto habla muy mal de la capacidad del equipo informático del IAIP ya que haber tardado semanas en darse cuenta solo puede interpretarse como negligencia; si no fue eso, fue complicidad.
Además hay una falla o del equipo informático o de los comisionados del IAIP o de ambos ya que cualquier herramienta informática que maneje datos personales tiene que ser obligatoriamente sometida a pruebas para garantizar la seguridad de los involucrados, cosa que aparentemente no se hizo y si se hizo, ciertamente los resultados fueron un fracaso.
Si los comisionados no ordenaron tales pruebas, son corresponsables de lo ocurrido por haber autorizado el uso de algo de lo que no tenían garantía alguna. Lo cierto aquí es que los controles fallaron, lo cual pone en entredicho la capacidad del equipo técnico y los comisionados de ser garantes de los datos personales de los salvadoreños y esto debe tenerse en cuenta para la aprobación de una nueva Ley de Protección de Datos Personales.
Al final, esto me ha convencido de la necesidad de una nueva institución especializada para ser el ente rector en materia de datos personales, tal como lo sugiere Fusades y algunas gremiales conocedoras del tema.
*Carlos Palomo es analista informático