Tarjeta #SUBE: mucho mejor pero....
...siempre hay un pero. Cuando se hacen mal las cosas hay que decirlo y, cuando se hacen bien (o casi) también.
Hace un tiempo (octubre de 2010, enero y febrero de 2011), desde Segu-Info desarrollamos un análisis y crítica sobre la inseguridad del sistema de las tarjetas SUBE y la protección de los datos personales en Argentina.
Allí, destacábamos los variados inconvenientes que tenía el sistema, sobre todo en cuanto a la facilidad del acceso a los datos de itinerarios de los viajes, y su clara contradicción sobre el marco normativo de protección de datos personales que tenemos en Argentina, situación agravada cuando se trata de un sistema del Estado.
Los problemas se podían enfocar desde tres aspectos: el específicamente técnico relacionado al desarrollo de la aplicación web que administra el sistema; el legal relacionado al uso que se realiza de los datos recolectados y; al político que evitaremos por no estar directamente relacionado con la seguridad de la información.
El tiempo pasó y, ahora nos enteramos de diversas modificaciones y mejoras que se han plasmado en el sistema. Bien, bien porque esto es la esencia de las tecnologías: superación.
El nuevo sitio de SUBE implementa un control de acceso, básicamente un sistema de usuarios, con registro previo y contraseña propia, a partir del cuál sólo aquellos usuarios logueados podrán acceder a los datos vinculados a su propia tarjeta de viaje ya sea desde el sitio oficial de SUBE, desde AFIP (con clave fiscal de cada usuario) o desde aplicaciones alternativas (no oficiales y ¿legales?) como esta para Android, desarrollada por Ingenieros del ITBA y Universidad Austral.
Si bien el sitio web sigue siendo una "mezcla extraña" de archivos de Wordpress, nuevos desarrollos en .NET sobre IIS en entornos Microsoft (y ¿el software libre como política de estado?), contenido cifrado sobre HTTPS y referencias a direcciones IP, la realidad es que el sitio luce mejor y cumple con muchos requerimientos técnicos que exigíamos hace 16 meses.
No era tan complicado lo que reclamábamos en ese entonces y lástima que no fue así desde el principio.
En aquel momento, varias voces (ver en comentarios) intentaban defender a ultranza un sistema que estaba mal diseñado, mal hecho y mal regulado. Era un sistema de control de accesos que no tenía control de accesos, tal como lo exije la Disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales en el inciso 7, en donde claramente se expresa la necesidad de contar con un Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información. No era tan complicado... ¿no?
Párrafo aparte para otra novedad del sitio de SUBE, que son la existencia de unos Términos y Condiciones del Servicio. En principio, se encuentran regulados todos los tópicos generales de unos TOS, destacando que se repiten en dos ocasiones la facultad de modificar los términos y condiciones (una después del apartado de enlaces y nuevamente al final del contrato). En realidad, en este apartado de "Modificación de Términos – Vigencia", se regula más sobre el enlaces sobre sitios terceros que otra cosa y la posibilidad de que terceros solo pueden enlazar a SUBE (y suponemos usar sus servicios) "con expresa autorización por parte de Nación Servicios" (recordemos la existencia de aplicaciones para teléfonos móviles sin duda sumamente útiles pero no oficiales).
Es bien interesante el apartado siguiente, sobre Seguridad de Datos Personales, donde se aclara que el sistema se encuentra inscripto ante la Dirección Nacional de Protección de Datos Personales. Sin embargo, esta cláusula no cumple con el art. 6 de la Ley 25.326 de PDP, en tanto no informa expresa y claramente quien es el responsable de la base de datos personales, ni su identidad ni su domicilio (inc. c), ni se informa la finalidad por la cuál el Estado decide recolectar esos datos, ni tampoco habla sobre la posibilidad de su cesión (por lo que de acuerdo a la ley, se interpreta la prohibición de su cesión, ya que la misma debe ser expresamente informada al usuario). Por último, si bien se menciona la posibilidad de acceder al "historial ampliado", no se informa al usuario sobre sus derechos de acceso, modificación o supresión de datos (inc. e del mismo art. 6).
Como indicamos, a través de este control de accesos, ya no es posible el ingreso de terceros a los datos de cualquier usuario (a menos que se encuentre una vulnerabilidad en el sistema), pero esto no quita que todos los datos sí están disponibles para el Estado, y que según hemos averiguado, la decisión de vincular las tarjetas a un DNI, tiene su razón de ser en saber quienes viajan subsidiados y así lo demuestra la asociación que realiza AFIP con SUBE.
No es necesario vincular un nombre, apellido, DNI, a una tarjeta SUBE. Opinamos que esto es un avance del Estado hacia la privacidad de las personas, que si el Estado realmente desea saber el consumo del transporte subsidiado, puede hacerlo de manera anónima, sin necesidad de saber exactamente quién viaja en qué y en que horario.
Amén de eso, desconocemos y no comprendemos cual es el propósito de solicitar el número de teléfono, el celular, el sexo y la fecha de nacimiento del usuario y por otro lado estos datos no se solicitan en el caso de dar de alta la tarjeta en AFIP.
Sin embargo, estos datos tienen otra cara de la moneda. Hace un tiempo, un ladrón que robo un celular arriba de un colectivo, que negaba haber estado en el mismo, pudo ser acusado utilizando como prueba de su viaje, los datos del itinerario de su tarjeta SUBE. Es decir, aún cuando según los términos y condiciones (apartado de Seguridad de Datos Personales, último párrafo) "la información que brinde este servicio será únicamente válida para el uso personal de cada usuario", podemos ver que los mismos han sido utilizados con finalidades diferentes. Podemos deducir entonces que en caso de necesidad (a criterio del Estado por supuesto) dichos datos de nuestros viajes están ahi disponibles para ser consultados.
En el art. 4 de la Ley Nº 25.326, inc. 3, se reitera un principio con relación a lo comentado anteriormente: "Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención." Si el Estado sigue sin informar la finalidad para la cuál recolecta los datos de los viajes del usuario (incumplimiento del marco normativo), como podremos estar seguros que los mismos no sean utilizados con finalidades incompatibles, y por lo tanto, ilegales.
Para reforzar este punto, se puede consultar la base de datos pública de bases de datos inscriptas, buscar "Nación Servicios S.A." (nombre de la persona jurídica a cargo del Servicio). Presumiendo que esta base es la "Base de datos de viajes" (falta de determinación exacta con SUBE), comprobaremos que la finalidad NO está declarada en los Términos y Condiciones, tampoco está en la propia declaración de la base (extraño siendo que al inscribir una base de datos, dicho campo es OBLIGATORIO). Es más, ninguna de las bases de datos declaradas por Nación Servicios S.A. tiene una finalidad declarada, violando claramente unos de los principios de la normativa de protección de datos personales: informar al titular para que serán utilizados los datos recolectados. ¿Queremos ejercer el derecho de acceso? Hay un teléfono y una dirección... ¿y la comunicación electrónica?
En conclusión, el sistema ha sido mejorado, se han corregido los problemas de base por los cuáles reclamábamos desde el comienzo. No obstante, siguen existiendo baches, como tienen la mayoría de los sistemas. La diferencia con otros, es que aquí hablamos de un servicio que pertenece al Estado, que administra y trata datos personales de una masa muy importante de argentinos (si bien se afecta dinero nacional para beneficiar a una sola provincia), de información personal/privada, y que por lo tanto debe ser minuciosamente controlada y auditada, por el Estado a través de la DNPDP, pero sobre todo por nosotros, los propios usuarios.
Lic. Cristian Borghello
Director Segu-Info
Abog. Marcelo Temperini
Co-Director de la Red El Derecho Informático
Hace un tiempo (octubre de 2010, enero y febrero de 2011), desde Segu-Info desarrollamos un análisis y crítica sobre la inseguridad del sistema de las tarjetas SUBE y la protección de los datos personales en Argentina.
Allí, destacábamos los variados inconvenientes que tenía el sistema, sobre todo en cuanto a la facilidad del acceso a los datos de itinerarios de los viajes, y su clara contradicción sobre el marco normativo de protección de datos personales que tenemos en Argentina, situación agravada cuando se trata de un sistema del Estado.
Los problemas se podían enfocar desde tres aspectos: el específicamente técnico relacionado al desarrollo de la aplicación web que administra el sistema; el legal relacionado al uso que se realiza de los datos recolectados y; al político que evitaremos por no estar directamente relacionado con la seguridad de la información.
El tiempo pasó y, ahora nos enteramos de diversas modificaciones y mejoras que se han plasmado en el sistema. Bien, bien porque esto es la esencia de las tecnologías: superación.
El nuevo sitio de SUBE implementa un control de acceso, básicamente un sistema de usuarios, con registro previo y contraseña propia, a partir del cuál sólo aquellos usuarios logueados podrán acceder a los datos vinculados a su propia tarjeta de viaje ya sea desde el sitio oficial de SUBE, desde AFIP (con clave fiscal de cada usuario) o desde aplicaciones alternativas (no oficiales y ¿legales?) como esta para Android, desarrollada por Ingenieros del ITBA y Universidad Austral.
Si bien el sitio web sigue siendo una "mezcla extraña" de archivos de Wordpress, nuevos desarrollos en .NET sobre IIS en entornos Microsoft (y ¿el software libre como política de estado?), contenido cifrado sobre HTTPS y referencias a direcciones IP, la realidad es que el sitio luce mejor y cumple con muchos requerimientos técnicos que exigíamos hace 16 meses.
En aquel momento, varias voces (ver en comentarios) intentaban defender a ultranza un sistema que estaba mal diseñado, mal hecho y mal regulado. Era un sistema de control de accesos que no tenía control de accesos, tal como lo exije la Disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales en el inciso 7, en donde claramente se expresa la necesidad de contar con un Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información. No era tan complicado... ¿no?
Párrafo aparte para otra novedad del sitio de SUBE, que son la existencia de unos Términos y Condiciones del Servicio. En principio, se encuentran regulados todos los tópicos generales de unos TOS, destacando que se repiten en dos ocasiones la facultad de modificar los términos y condiciones (una después del apartado de enlaces y nuevamente al final del contrato). En realidad, en este apartado de "Modificación de Términos – Vigencia", se regula más sobre el enlaces sobre sitios terceros que otra cosa y la posibilidad de que terceros solo pueden enlazar a SUBE (y suponemos usar sus servicios) "con expresa autorización por parte de Nación Servicios" (recordemos la existencia de aplicaciones para teléfonos móviles sin duda sumamente útiles pero no oficiales).
Es bien interesante el apartado siguiente, sobre Seguridad de Datos Personales, donde se aclara que el sistema se encuentra inscripto ante la Dirección Nacional de Protección de Datos Personales. Sin embargo, esta cláusula no cumple con el art. 6 de la Ley 25.326 de PDP, en tanto no informa expresa y claramente quien es el responsable de la base de datos personales, ni su identidad ni su domicilio (inc. c), ni se informa la finalidad por la cuál el Estado decide recolectar esos datos, ni tampoco habla sobre la posibilidad de su cesión (por lo que de acuerdo a la ley, se interpreta la prohibición de su cesión, ya que la misma debe ser expresamente informada al usuario). Por último, si bien se menciona la posibilidad de acceder al "historial ampliado", no se informa al usuario sobre sus derechos de acceso, modificación o supresión de datos (inc. e del mismo art. 6).
Como indicamos, a través de este control de accesos, ya no es posible el ingreso de terceros a los datos de cualquier usuario (a menos que se encuentre una vulnerabilidad en el sistema), pero esto no quita que todos los datos sí están disponibles para el Estado, y que según hemos averiguado, la decisión de vincular las tarjetas a un DNI, tiene su razón de ser en saber quienes viajan subsidiados y así lo demuestra la asociación que realiza AFIP con SUBE.No es necesario vincular un nombre, apellido, DNI, a una tarjeta SUBE. Opinamos que esto es un avance del Estado hacia la privacidad de las personas, que si el Estado realmente desea saber el consumo del transporte subsidiado, puede hacerlo de manera anónima, sin necesidad de saber exactamente quién viaja en qué y en que horario.
Amén de eso, desconocemos y no comprendemos cual es el propósito de solicitar el número de teléfono, el celular, el sexo y la fecha de nacimiento del usuario y por otro lado estos datos no se solicitan en el caso de dar de alta la tarjeta en AFIP.
Sin embargo, estos datos tienen otra cara de la moneda. Hace un tiempo, un ladrón que robo un celular arriba de un colectivo, que negaba haber estado en el mismo, pudo ser acusado utilizando como prueba de su viaje, los datos del itinerario de su tarjeta SUBE. Es decir, aún cuando según los términos y condiciones (apartado de Seguridad de Datos Personales, último párrafo) "la información que brinde este servicio será únicamente válida para el uso personal de cada usuario", podemos ver que los mismos han sido utilizados con finalidades diferentes. Podemos deducir entonces que en caso de necesidad (a criterio del Estado por supuesto) dichos datos de nuestros viajes están ahi disponibles para ser consultados.
En el art. 4 de la Ley Nº 25.326, inc. 3, se reitera un principio con relación a lo comentado anteriormente: "Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención." Si el Estado sigue sin informar la finalidad para la cuál recolecta los datos de los viajes del usuario (incumplimiento del marco normativo), como podremos estar seguros que los mismos no sean utilizados con finalidades incompatibles, y por lo tanto, ilegales.
Para reforzar este punto, se puede consultar la base de datos pública de bases de datos inscriptas, buscar "Nación Servicios S.A." (nombre de la persona jurídica a cargo del Servicio). Presumiendo que esta base es la "Base de datos de viajes" (falta de determinación exacta con SUBE), comprobaremos que la finalidad NO está declarada en los Términos y Condiciones, tampoco está en la propia declaración de la base (extraño siendo que al inscribir una base de datos, dicho campo es OBLIGATORIO). Es más, ninguna de las bases de datos declaradas por Nación Servicios S.A. tiene una finalidad declarada, violando claramente unos de los principios de la normativa de protección de datos personales: informar al titular para que serán utilizados los datos recolectados. ¿Queremos ejercer el derecho de acceso? Hay un teléfono y una dirección... ¿y la comunicación electrónica?
En conclusión, el sistema ha sido mejorado, se han corregido los problemas de base por los cuáles reclamábamos desde el comienzo. No obstante, siguen existiendo baches, como tienen la mayoría de los sistemas. La diferencia con otros, es que aquí hablamos de un servicio que pertenece al Estado, que administra y trata datos personales de una masa muy importante de argentinos (si bien se afecta dinero nacional para beneficiar a una sola provincia), de información personal/privada, y que por lo tanto debe ser minuciosamente controlada y auditada, por el Estado a través de la DNPDP, pero sobre todo por nosotros, los propios usuarios.
Lic. Cristian Borghello
Director Segu-Info
Abog. Marcelo Temperini
Co-Director de la Red El Derecho Informático
Perdón... A pesar de que se que no vas a publicar esto te voy a hacer una serie de consideraciones.
ResponderBorrarSería bueno que te asesores, nunca se violo la ley de datos personales, ya que cuando no se pedía clave a lo único que se accedía era a los viajes de una tarjeta determinada ANÓNIMA, eso no es un dato personal y soy abogado.
Ahora se eliminó la necesidad de registrarse para adquirir las tarjetas ya que a diferencia de antes que eran gratuitas y se pedía registracion para que nadie tenga más de una tarjeta al mismo tiempo ahora al ser onerosa se registra el que quiere y el que no es anónimo y feliz.
Los datos que se piden son los típicos de un formulario de registracion,si te fijas te piden celular y email para que tengas dos formas de recuperar la clave... Si te la olvidaste algo que es común te la manda por mensaje de texto o por email... Veo poco que objetar... Y si no queres no pones nada o pones fruta... Pro después no te quejes si perder la clave.
Por otro lado estas manipulando un dato que salió en los diarios usando sólo el título de la noticia y sin investigar el fondo...
El chorro al que haces referencia no es que tenía la tarjeta a su nombre.... Lo agarraron, tenía una tarjeta en el bolsillo, abran emitido una orden judicial pidiendo los viajes de esa tarjeta en particular y salto la hora y el día del echo delictivo... Como abogado te informo que cualquiera organismo público o privado ante orden judicial tiene que entregar la información requerida.
Agrego una cosa.... Tanto quilombo x los datos que piden?
ResponderBorrarSi el estado ya los tiene y no es obligatorio lo completa l que quiere
Che te quedaste atrasado la aplicación android sin autorización ya esta bloqueada... Y no es medio pretencioso decir que atendieron tus recomendaciones...
ResponderBorrarAnonimo, no veo porque no publicaria tu comentario porque todo lo que mencionas está explicado en el post.
ResponderBorrarY, por las dudas te comento que la "investigación en los diarios" que dices la comenzamos nosotros en octubre de 2011 y la noticia salio en la prensa un par de meses después (tal y como dice el post).
Cristian
celebro que hayas publicado la opinión de alguien que no concuerda con uds.
ResponderBorrarLa verdad soy lector frecuente de este blog ya que si bien estudie derecho siempre me intereso la tecnología y es un campo virgen en lo normativo sobre el que hay mucho que trabajar por lo que trate de darle esa orientación a mi carrera.
Por eso sigo el tema del SUBE desde sus comienzos ya que me parece uno de los proyectos mas importantes de los últimos años.
Lo que yo pongo esta tratado en el post, pero no explicado, me parece bastante tendencioso lo que decís.
Hablas de la ley de datos personales con mucha liviandad citando artículos de acuerdo al sentido que le queres dar al post pero sin darle el contexto adecuado al artículo, el mayor error radica en que partís de una premisa falsa, los viajes anónimos no son datos personales.
Haces referencia al tipo de información que se brindaba el año pasado objetando que no se pedía clave, pero en ningún momento explicas que no se trata de datos personales, se brindaba fecha, hora, interno, línea, valor y saldo de un numero de tarjeta determinada pero no se brindaba ninguna herramienta para asociar esa tarjeta con ninguna persona… por eso el articulo en el que se hablaba de un “hackeo” a la web SUBE no fue tomado como serio por nadie que conozca del tema ya que lo único que hicieron fue copiar los viajes de una tarjeta y después cambiar los números para simular toma de datos masiva…. Con un luckete negro para que quede más hacking… si fuiste a ekoparty 2012 abras notado que a todos nos sorprendió la trascendencia que se le dio a esto en algunos medios sin hacer un chequeo mínimo de la información.
En tu post nunca analizas que se pedían los datos al momento de retirar la tarjeta por que estas eran GRATUITAS, sin esta precaución seguramente se hubiera creado un mercado paralelo con gente retirando varias tarjetas por día para luego venderlas o te parece incorrecto lo que digo?
Ahora las tarjetas tienen costo, cada persona compra las que quiere y no te piden ningún dato.
Con el cambio de paradigma cambio la manera de funcionar de la web y se constituyo en una herramienta para el que quiere registrarse y recuperar el saldo, dar de baja su tarjetas o simplemente asegurarse que el estado tenga sus datos correctamente por que entiende que esta en el segmento que debe ser subsidiado, te parece incorrecto?
Objetas el tipo de datos que se piden, email y teléfono. La verdad te piden lo básico que se completa en un sistema de registración, es mas podrían pedir la dirección, ahora… ahora si no pones email y celular y perdes la clave cual es la opción razonable? No poner nada y si perdes la clave te jorobas?
Además no es obligatorio, podes no completar los datos o ponerlos mal, es una decisión personal, como lo fue los que quisieron la tarjeta y completaron sus datos… bien o mal depende de cada uno.
Cual es el miedo? Que el estado tenga esos datos??? Ya los tiene!!! Que me siga y sepa que colectivo uso y cuantas veces al día?
Te parece tan grave? Con ese dato no sabe en que parada me subí ya que la información es genérica de la línea, por si no usan colectivos cada línea tiene muchísimas paradas, además el procesamiento necesario para hacer trazabilidad de los viajes de cada persona seria infernal… sos consiente de ello no?
Y eso siempre y cuando yo haya decidido brindar mis datos cosa que es opcional… además para que molestarse si es mas fácil y económico hacer un seguimiento de mi celular que reporta donde estoy por mas que tenga tarjeta sube o no… o vos lo apagas por que no queres que te sigan?
Finalmente…
ResponderBorrarsi la investigación del chorro agarrado con la sube la iniciaron uds… hubiera estado bueno aclarar que al chorro no lo agarraron por que la tarjeta estuviera a su nombre!!!
Lo agarraron abajo del bondi, tenia una tarjeta sube, como podría haber tenido un boleto de colectivo con hora y línea a la que se había subido…. El juez pidió los viajes de esa tarjeta en particular para determinar si estaba se habia usado en el colectivo de la victima, para ello no hacia falta que el tipo estuviera registrado ni que hubiera dado sus datos al sube, y a vuelta de oficio judicial seguramente salto que esa tarjeta había estado en el colectivo que el chorro decía no haberse subido…
a todo esto gracias por avivar a los chorros de que cuando salgan a afanar paguen con monedas.
Mi colega te puede ilustrar en que la información pedida por oficio judicial debe ser entregada salvo justificación bien documentada… sino vas en cana y no hay ley de datos personales que te salve
y no se me ocurre por que negarle a un juez que esta investigando un ilícito la información sobre los últimos viajes de una tarjeta.
En síntesis, no me parece que lo que yo escribí en el post este tratado adecuadamente en tu articulo y me parece que un experto en informática y un colega podrían explicarle un poco mas claramente las cosas a la gente que no esta en tema y no generarles miedos innecesarios o criticar un proyecto que entiendo positivo por la critica misma….
Valoraría un análisis desprovisto de objetividad y donde se resaltaran posibilidades de mejoras.
Un abrazo y gracias por publicar el anterior aunque entiendo que este, mas haya, de que fue escrito con el máximo de los respetos no es publicable.
Por cierto me llamo Martin, publico como anónimo por que las otras opciones brindan datos personales míos que no me interesa compartir con el mundo en general… gmail, Facebook etc
Rpta para Anónimo 08/01/13-22:15.
ResponderBorrarPara comenzar, en cuanto a tu recomendación de "buscar asesoramiento", yo también soy abogado y hace años que me dedico al derecho informático, particularmente a la protección de datos personales y delitos informáticos, con varias publicaciones realizadas en el campo, de manera que creo tener las herramientas para opinar sobre la materia.
La ley de protección de datos personales SI estaba siendo vulnerada, toda vez que nosotros consideramos que los datos del itinerario de un viaje si son datos personales, que merecen la tutela y protección reconocidos por la ley. El argumento a ello, ya está desarrollado en nuestro post que se vincula al comienzo del artículo (sino buscalo en Segu: Las tarjetas #SUBE y la protección de datos personales). Brevemente, datos personales es toda información que haga a una personada determinada o determinable: puntualmente estos datos harían a una persona determinable.
El post precisamente lo hicimos, para demostrar como algo que el Estado había hecho decididamente MAL, pasó un tiempo y lo arreglaron. Lo cuál es algo que apreciamos y aplaudimos. Sin embargo, siguen quedando algunos detalles sin resolver, y a eso apuntamos, a señalarlos, esperando que a futuro también se resuelvan...
Decis que ahora se eliminó la necesidad de vincular las tarjetas a una persona, cuestión que no me consta toda vez que desde el propio sitio oficial de tarjeta sube, si queres comprar la tarjeta ONLINE, te pide TODOS los datos de manera OBLIGATORIA. (https://gestiones.sube.gob.ar/Formulariodecompra.aspx).
Nosotros no manipulamos ningún dato ni noticia de los medios de comunicación (algo tan esgrimido en las defensas de argumentos políticos en nuestro país), lo que hacemos con Cristian no es más que analizar un caso por denuncias o consultas de la gente, y dar nuestra opinión sobre el tema desde la seguridad de la información y desde el derecho informático.
Lo del ejemplo del robo, no es más que un ejemplo, para mostrar que esos datos si están al alcance del Estado para finalidades que no están expresas ni detalladas (violando así la 25.326 según ya explicado) ni en los términos y condiciones ni en la propia DNPDP (prueben consultar y buscar las bases).
¿Tanto quilombo por los datos? (preguntas en tu agregado). SI, TANTO QUILOMBO POR LOS DATOS. Los datos pertenecen a sus titulares, no al Estado. Los ciudadanos tenemos DERECHO a que se respete un tratamiento adecuado y acorde a la legislación vigente, cuya finalidad (no te cito el artículo porque ya que sos abogado, doy por descontado que conoces de lo que te hablo) es precisamente garantizar el derecho al honor y la intimidad de las personas. Que el Estado sepa donde viajo, cuando y donde, afecta mi derecho a la intimidad. Y si, puede a vos no importarte, pero a mi sí me importa y espero que a otros tanto también.
Que el Estado ya tenga mis datos por otras fuentes, demuestra entonces que el Estado puede otra vez estar violando la LPDP. Si fuera todo legal, vos podrías decirme en que bases de datos declaradas tiene el Estado, que tiene sobre mi y para qué lo tiene. Así, solamente así, podré ejercer eficazamente mi derecho de hábeas data.
Saludos
Rpta para Anónimo 09/01/13-12:49.
ResponderBorrarNo alcanzo a saber si es la misma persona, pero en todo caso hay aportes nuevos que creo que merecen respuesta.
Hablo de la LPDP con conocimiento de toda la ley, sin liviandad, y no desarrollo más de lo que lo hago, porque no quiero que la gente se aburra conmigo, sino el artículo ya tendría un destino más académico que una nota de interés donde la idea es que aquellos que no saben derecho, igual puedan entendernos.
Los artículos que cito, son así, y podríamos citarlos enteros y debatir sobre su interpretación si te parece, pero acá no se está haciendo ninguna interpretación forzada de nada. Es simple, nosotros consideramos que los datos de los viajes son datos personales, la explicación ya está desarrollada así que te vuelvo a remitir al artículo anterior sobre SUBE.
Lo del tema del "hackeo" que no fue tal, también ya está explicado en el artículo anterior, dentro de las respuestas a las personas que participaron en ese momento, que te invito a leer.
Lo del hecho que las tarjetas sean gratuitas y onerosas, no cambia que los datos personales sean datos personales, y que el Estado debe cuidarlos adecuadamente. Si eran gratuitas, no entiendo porque la gente hubiese de "comprarlas" en un mercado paralelo...
Ahora son onerosas, y si realmente es posible comprarlas de manera anónima, bienvenido sea, si esa es la recomendación que nosotros proponemos. Ahora, en el sitio oficial de SUBE, para comprar, te pide todos los datos de manera obligatoria (no opcional).
El cambio de paradigma que te referis, es lo que celebramos en el post, porque es una mejora notoria al estado anterior del sistema. Perfecto que cada persona tenga su nombre y usuario, puesto que lo que sucedía anteriormente (posibilidad de consulta de datos con sólo el número de tarjeta) era un verdadero problema.
Creo que estas mal interpretando el post. No objetamos que te pidan datos para que puedas recuperar tu tarjeta o tu saldo. Si los datos están cuidados, perfecto. Lo que objetamos es que entre esos datos sea obligatorio brindar datos como mi nombre, apellido y DNI, haciendome perfectamente determinable ante el sistema. ¿La idea SOLAMENTE es que puedas recuperar tu crédito? Pidan solo un mail o celular nomás, te mandan un mail de confirmación y ahi podes tramitar tu recuperación.
Si tu recomendación es "completar mal los datos", creo que estamos debatiendo sobre cosas distintas, porque la idea es precisamente debatir sobre el concepto, diseño y ejecución del sistema en sí.
¿Cuál es el miedo? Un Estado que avanza sobre los derechos de los ciudadanos, sin justificación y en violación a la legislación vigente. Que el Estado tenga mis datos? reitero lo mismo que en la respuesta anterior... SI, ME IMPORTA, y tengo derechos constitucionales al hábeas data que quiero que se respeten. Quiero saber que datos tiene de mí, porque los tiene y para que los tiene (algo que no está declarado)
Con respecto a tu comentario final, es una posición que se ve reflejada en diferentes comentarios tuyos... "tanto quilombo por los datos?" "si total ya tienen todo" "para que molestarse si es más fácil que me sigan por el celular" (nose que celular tenes vos, pero en el mio no me siguen :P). Si hacemos todo esto que hacemos con Cristian, que nos tomamos el tiempo y el trabajo de analizar y desarrollar el post, es precisamente porque CREEMOS que la cosa puede cambiar y puede mejorar. Para eso analizamos, exponemos, respondemos, debatimos y confiamos en que podemos aportar puede ser útil en esa mejora.
Saludos!
Martin (ex anonimo) :)
ResponderBorrarTodo lo que mencionas y cuestionas, lo explica Marcelo (el co-autor del post) que es abogado y algo sabe del tema.
Yo solo quiero agregar algo sobre lo que vos decis al final de tu comentario: "publico como anónimo por que las otras opciones brindan datos personales míos que no me interesa compartir con el mundo en general" y, sin embargo luego nos cuestionas porque reclamamos ese mismo dcho al estado, que no se queden con nuestra información de viajes y que no puedan rastrear nuestros movimientos a través de la tarjeta SUBE.
Por las dudas aclaro: aplaudimos que haya sistemas que le faciliten la vida a los ciudadanos (y que se mejoren) pero los mismos deben estar bien diseñados y bajo ningún punto de vista deben avasallar los derechos de esos ciudadanos. Desde nuestra primera publicación allá por octubre de 2011, cuando denunciamos todas los errores que tenía el sistema, hasta hoy, ha mejorado mucho pero hicimos este análisis porque creemos que puede ser aún mejor y, por supuesto el debate suma, cuando es constructivo.
Cristian
Anónimo, 08/01/13 22:56:
ResponderBorrarLa App de Android está siendo analizado por sus autores, con quien estuvimos en contacto desde antes de escribir el post.
Puede ser pretencioso pero tb hay que tener en cuenta que nosotros fuimos quienes publicamos los problemas originales y de los cuales luego se hicieron eco los diarios (lee las notas y busca los nombres).
Cristian
Rpta para Anónimo 09/01/13 12:51
ResponderBorrarTe reitero que el caso del robo, no es más que un ejemplo, para mostrar que esos datos si están al alcance del Estado para finalidades que no están expresas ni detalladas. Nada más que eso, todo lo relativo al caso es irrelevante para el tema que planteamos.
Es cierto que un pedido de juez competente solicitando información, debe ser adecuadamente respondido. NO estamos diciendo que no deba informarse a la justicia sobre los datos en los casos que lo solicite. LO QUE ESTAMOS DICIENDO es que el Estado tiene en su poder esos datos, sin definir (ni en los términos y condiciones ni en la propias bases de datos declaradas) cuál es su finalidad y PARA QUE los va a utilizar, algo que te vuelvo a decir, es obligatorio de acuerdo a la LPDP.
Deja el caso de pedido judicial de lado, yo te pregunto: quien me asegura a mí que el Estado no utiliza esos datos para otros fines, por ejemplo, para cruzar las bases de datos con información fiscal (fijate que ahora los datos de la SUBE son "opcionalmente" confirmables a través del propio AFIP).
Creo que el reclamo está claro y entendible para la gente, en todo caso que alguien no lo entienda, intentaremos mejorar nuestro nivel de expresión.
No quedan claras las propuestas de mejoras? proponemos que digan en los términos y condiciones quien es el responsable inscripto, número de inscripción, finalidad, persona de contacto, mail para ejercer los derechos de acceso a la información. En resumen, que se cumpla con el deber de información regulado en la LPDP. En cuanto a lo técnico, proponemos que el sistema sea 100% realizado con software libre, algo que desde el propio Estado se declara como una política de este gobierno.
Por último, reclamas por un "análisis desprovisto de objetividad", y creemos que queres lo opuesto a ello. Lo ideal de todo conocimiento es la OBJETIVIDAD, precisamente es uno de los desafíos de la ciencia es tratar de desprenderse de la mayor subjetividad posible (imposible 100% de objetividad, porque en todo saber hay subjetividad y el investigador está formado por experiencias, que también inciden en sus producciones).
Un abrazo y gracias por tomarte el tiempo de debatir y participar.