31 ene. 2012

Las tarjetas #SUBE y la protección de datos personales


Estimados, este artículo esta basado en una consulta de un amigo personal, sobre mi opinión acerca de este tema, que debo confesar que antes de ponerme a investigarlo a fondo, sólo lo había escuchado de lejos (dado que como soy de la ciudad de Santa Fe, la tarjeta realmente me pasaba lejos).

Aquí en nuestra ciudad, tenemos sistema de tarjetas hace tiempo, si bien son de empresas privadas y para líneas determinadas, el sistema es sencillo: las tarjetas son anónimas, uno las puede comprar en lugares habilitados, lo mismo que ir a recargar. Las usa, en el mismo ticket te dice cuanto saldo te va quedando y así la gente vive libre de las monedas. Cuando me comentaron de SUBE, pensé que debía ser algo por el estilo, pero viendo el tema, veo que hay diferencias...

En primer lugar, las tarjetas sólo son entregadas a quien realizan un trámite (sencillo aparentemente) con su DNI, de manera que cada número de tarjeta queda vinculada a una persona física. ¿Por que? Según pude interiorizarme, sería porque el Estado así puede saber cuantas personas tienen subsidio (porque estos viajes están subsidiados) y cuantas personas viajan por día en cada línea, y así saber si los prestadores del transporte cumplen con la cantidad de unidades que deben ofrecer. ¿Es necesario? Técnicamente no, porque aún siendo 100% anónimas las tarjetas, por sistema, uno podría consultar, cuantas personas tomaron el 186 a las 7:30 en la estación X, y así podría igual saber tal dato, sin necesidad de poder trazar que persona viajaba y cuál no. Con respecto al tema de controlar los subsidios, de manera que nadie tenga más de una tarjeta, creo que tampoco tiene mucho sustento, ya que aunque una persona tuviera dos o más tarjetas, eso no haría que viaje "más o menos", sino que bastaría nuevamente consultar al sistema, cuantas personas en un día, utilizaron tal línea, o tal tren y listo, sabríamos que cantidad real utiliza el servicio y si se están cumpliendo las prestaciones adecuadas para tal número.

Pero ahí no terminan las novedades, ya que lo que brindan las tarjetas SUBE es un sistema de consulta de saldos, donde lo único que necesito para saberlo es el número de tarjeta y... nada más, ahi se terminaron las exigencias de seguridad (además de un captcha espantoso). Pero las sorpresas continúan, al ver que no solo me dice cuál es mi saldo, sino que me da un listado de los últimos 10 viajes realizados! Y aquí ya la cosa me empezó a hacer ruido...

Mi primera sensación es la de un rudo golpe contra la privacidad... y lo es sin dudas, porque saber el itinerario de una persona es información sensible, desde el punto de vista que cualquiera que se pudiera hacer con el número de mi tarjeta, podría semanalmente sentarse por internet a investigar por donde anduve viajando, a que hora, en fecha me tome que colectivo o tren. Genial! (exclamo una novia celosa que hace tiempo sospecha de las andanzas de su novio). Claro, genial para esta chica, que tiene anotado el número de tarjeta de su chico, y que cada tanto le dice... ¿por donde anduviste? para comparar su anduvo por los lugares que ella sabía por el sistema. Desde el punto de vista de la privacidad, empezamos perdiendo el partido.

De vuelta, ¿Por que?. Acá la cosa ya empieza a perder sustento. ¿Por qué yo como titular de la tarjeta, voy a querer saber mis propios gastos? (si supuestamente soy el único que tiene el número de tarjeta). Yo quiero saber el saldo a lo sumo, para saber si me alcanza para volver a casa. La respuesta no parece clara, y me suena más a un proyecto apurado del gobierno, que no hizo tiempo de pensar en estos "detalles". A ver, si el sistema es electrónico, es sabido que siempre quedan los registros, pero que esos datos estén tan accesibles, es poco común y diría que no recomendado. Aquí en Santa Fe, con tarjetas anónimas, también queda registro, pero sólo los puede ver el muchacho que me carga el saldo y la empresa en su caso. Y la verdad es que no conozco a nadie que quiera saber sus propios viajes.

El tema se puso más complicado cuando se publicaron mil itinerarios de viajes (Noticia de Segu-Info) por parte de Anonymous. Al principio me asombre de ver todos esos datos de itinerarios, sin DNI ni nombres ni apellidos, sino una recopilación de viajes por número de tarjetas. Pero luego me dio curiosidad de chequear el sistema del gobierno y dije... es tan asi? Sí, era así nomás, es más tuve que probar como 20 veces porque el sistema estaba caído (ahí realmente les creí que lo tenía instalado y administraba el Gobierno :). Es por internet, gratis, sólo necesito saber un número y tengo los últimos 10 viajes que realizó esa persona... increíble pero real dijo un delincuente especializado en secuestros express.

Ahora yo pregunto... si hicieron que las personas asociaran la tarjeta a su DNI, porque al menos no piden aleatoriamente números del DNI como refuerzo de seguridad del sistema? Eso lo tiene hasta el sistema para anotarse a exámenes de mi facultad.

Pero bueno, realizada la catarsis, hablemos desde lo jurídico. Cumple con la Ley Nº 25.326 de Protección de Datos Personales? En principio, el site muestra el isologotipo debajo. Esto quiere decir que cumple con las normas de seguridad exigidas en el art. 9 de la Ley? No necesariamente, sólo implica que se inscribio la base. Son datos personales los revelados por el sistema? Cumple con las normas de seguridad exigidas? Comencemos por el principio...
Art. 2: "A los fines de la presente ley se entiende por:
— Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables."
Como lo dice expresamente el concepto del art. 2 de la LPDP, los datos personales son aquellos que hagan a una persona determinada o determinable. Datos que hagan a una persona determinada, es directamente decir su nombre apellido o DNI. En cambio, los determinables son menos comunes y en las capacitaciones que he podido dictar sobre Datos Personales, siempre les doy a los asistentes el ejemplo del perfil psicológico. Es decir, cuando se arman perfiles psicológicos de un alumno por ejemplo, no se pone el nombre y el apellido, se pone un número X, pero luego se hace todo un minuscioso detalle de las características de ese alumno, que es alto, morocho, se sienta adelante, muy revoltoso, que se mete el dedo en la nariz y sabe mucho de computadoras. Entonces, sin dar nombre y apellido se dan una serie de datos que hacen que la persona sea fácilmente identificable.

Personalmente opino que la publicación de un itinerario de viajes, con horarios, fechas, línea o tren que está tomando, permiten inferir una serie de datos que hacen a la privacidad de una persona, y que por lo tanto SON DATOS PERSONALES que hacen a una persona determinable.

Vamos bien... ahora, cumple con las medidas de seguridad exigidas?
"ARTICULO 9° — (Seguridad de los datos).
1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. "
Eso es más complicado de responder. La publicación de itinerarios por parte de Anonymous, no fue técnica ni legalmente un hacking... De hecho, se hizo público el código (pueden encontrar el link en este post de Segu-Info) utilizado para obtener esos datos (veanlo por gusto, son sólo 18 líneas muy sencillitas), que no hacen más que ir ingresando números y guardando resultados (y saltando ese endeble CAPTCH) de manera seriada. Esto NO es hacking en Argentina, porque el hacking (art. 153 bis) existe sólo cuando el sistema es de acceso restringido, tema que aquí no existe desde el momento que sólo pide un usuario sin pedir contraseña.

Más allá de esta divergencia, decía que es compleja la respuesta porque desde afuera uno no puede saber si el organismo que administra a SUBE cumple con todas las exigencias de la Disposición 11/2006.

Sin embargo, desde afuera, si podemos saber que el sistema permite el ingreso contando sólo con el usar (Nº de tarjeta) sin otro requisito más, lo que a mi criterio sería una falta al inciso 7 de las normas de seguridad para las bases de datos "básicas" (7. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información.).

Para ir finalizando, creo que el sistema SUBE es interesante en cuanto a la idea de reemplazar monedas, lo cuál no dudo que es muy exitoso en ese aspecto. Desde aquí se ha intentado analizar sus consecuencias en relación a la información que se brinda, su legalidad y su necesidad.

No veo realmente la necesidad ni fundamento de informar los datos de viajes realizadas, que sí son datos personales, que sí deben ser protegidos adecuadamente. Nuestra propia Ley de Protección de Datos Personales en su art. primero, establece que su finalidad es garantizar el derecho al honor y a la intimidad de las personas y desde mi punto de vista, la publicación de manera cuasi liberada de itinerarios de viajes, afecta sin dudas la intimidad de los usuarios de una manera irrazonable e injustificada.

Autor:  Marcelo Temperini - Abogado - Director de la Red Iberoamericana El Derecho Informático
Fuente: Blog de Marcelo Gabriel Ignacio Temperini

20 comentarios:

  1. Excelente, muy claro todo. Aunque me quedaron un par de dudas...

    Si SUBE NO diera el itinerario de viajes, no estaría infringiendo la ley, no?
    No obstante, si mañana al flaco schiavi se le ocurre dar de baja ese portal, no sigue siendo una persecución del estado a nuestros movimientos?

    Öjo que con la tarjetas que te dan libremente también se puede ver el itinerario de viajes y eso sirve para ver que no te hayan pasado la tarjeta 2 veces en un lector. Si así pasase, podrías reclamar que te devuelvan el cargo. (Así funcionaba con la SubteCard). De todas formas, eso no necesita la info personal, dado que en ese caso, cargarían el saldo a la tarjeta sin importar quien es el dueño, no?

    Gracias por la respuesta

    ResponderEliminar
  2. Estimado Anónimo 31/01/12 23:34

    A la primera debo responder que NO. Es decir, si no se publicara esa información, o bien si se permitiera el acceso con los recaudos de seguridad que exige la ley, no habría infracción a la Ley de Datos Personales Argentina. La norma permite el tratamiento de datos personales, siempre que se cumplan determinados requisitos.

    Lo de la persecución o no del Estado, creo que pasa por una apreciación personal de cada uno. En el post hablo sobre una invasión a la privacidad, que existe para mi ahora cuando se mantienen públicas e inseguras información a la cuál no debería acceder cualquiera. A fin de cuentas, el Estado (justificada y razonablemente) puede acceder a todos los datos que crea necesarios. De esa manera un juez puede autorizar una intervención de tu teléfono, de la correspondencia, y ahora también, saber si usaste tu tarjeta (quien te dice que te sirva como coartada cuando te acusen de algo que no hiciste :)

    Saludos

    ResponderEliminar
  3. Buena nota, yo creo que la tarjeta no esta nada mal, pero si deberian mejorar el portal ya que no cumple con los requisitos minimos e indispensables de un sistema seguro.
    Con el tema de los viajes, a mi si me interesa saber por donde anduve, ya que como bien decian en otro comentario, el temor a pasarla 2 veces siempre esta. Saludos

    ResponderEliminar
  4. Por fín leo una nota bien objetiva referida a las vulnerabilidades del nuevos sistema de boleto electrónico. Ojalá desde el Estado ya se esté trabajando para reparar este grosero error.

    ResponderEliminar
  5. Anónimo1/2/12 12:08

    Gracias por aclarar las dudas,
    Saludos
    Nicolas

    ResponderEliminar
  6. Anónimo2/2/12 01:42

    perdon...

    a nadie se le ocurrio de que se puede haber puesto la opcion de esta manera para que gente no habituada a computadoras, registraciones o claves pueda consultar su viaje de manera sencilla.

    supongo que los que armaron la web no deben ser boludos y saben como armar un sistema de registracion.

    pero pensemos al publico que va dirigido el sistema.

    sobre la interpretacion que haces de la normativa... es solo eso... una interpretacion.

    saludos
    fernando

    ResponderEliminar
  7. Fernando, tal como decis, el tema de que son datos que hacen a una persona determinable es sólo una interpretación personal de la norma.

    En cuanto al incumplimiento o no, no hay mucho lugar a la interpretación. Se cumple o no se cumple. Por ejemplo, otro incumplimiento no detallado en el artículo, es sobre la leyenda de información al usuario, que debe informar quien es el responsable de la base (que supuestamente está inscripta aunque la busque y no la encontré en la DNPDP), cuál es el número de registro de esa base y adonde me puedo comunicar para ejercer mis derechos. Eso no es interpretación, es comparar lo que hay con lo que debe ser.

    Con relación a tu postura de que la quisieron hacer simple para el usuario común, debo disentir y decirte que el usuario común seguro usa facebook, msn o twitter hoy en día, y ahi ya tenes el sistema más básico de todos: usuario y contraseña. No se está pidiendo usar identificación biométrica para el acceso, sino lo más básico en seguridad. Aparte... si en la balanza ponemos el tema de la usabilidad del usuario de un lado, y la protección de la privacidad del otro... creo que no debería dudarse en proteger la privacidad no?

    Saludos y gracias por opinar.

    ResponderEliminar
  8. Alejandro Grisoni3/2/12 12:29

    Hola Marcelo,
    realmente con todo el revuelo mediático que se armó sobre este tema me interesó buscar un poco más de información.

    Y dentro de todas las noticias, pseudo-noticias, opiniones y blogs, encontré esta entrada en un blog que no conocía y que respondía exactamente a mis dudas.
    http://www.techdays.com.ar/2012/01/30/sube-el-supuesto-hackeo-y-la-paranoia-colectiva/

    Igualmente, más allá que en la nota está mejor explicado, me gustaría hacerte dos aclaraciones:

    - No se ven los itinerarios de viaje, se puede ver a qué hora y día te tomaste qué colectivo y en qué interno. El motivo de esto es por el seguro, en caso de accidente el titular de la tarjeta tiene forma de demostrar que era parte del pasaje (como con el boleto de papel de las máquinas con monedas).

    - La utilidad de asociarla al DNI es para poder otorgar subsidios a los que realmente justifiquen necesitarlos. Por ejemplo, en Salta hace mucho que se utiliza un sistema con tarjetas personalizadas donde tienen una tarifa preferencial los sectores de menores recursos.

    Aclaro por las dudas: no soy K ni anti-K, pero me cansa un poco la eterna queja del argentino promedio sobre todo.

    ResponderEliminar
  9. Alejandro Grisoni3/2/12 13:18

    Ah... olvidé un tema más:

    - En los datos que se publicaron figura solamente la info de la tarjeta, no hay asociación con el DNI por lo tanto sólo podría saber a quién pertenece la tarjeta copiando los números de una tarjeta física. Y si alguien va a hacer eso, creo que es más ventajoso que se copie los números de una VISA o AMEX...

    ResponderEliminar
  10. Alejandro, con los números de una tarjeta de crédito no podes acceder a ninguna información del titular, ni sus movimientos, saldo, nada.
    Con la SUBE si podes saber los datos comentado. Esa en LA diferencia motivo de discusión y queja.

    ResponderEliminar
  11. Anónimo6/2/12 20:30

    Para mi lo veo muy sencillo de proteger esa información para que solo la vea el usuario de la tarjeta, es una vez que el usuario tiene la tarjeta en su poder, entra a la pagina de sube por primera vez y le asigna un numero de calve a esa tarjeta como hacemos con cualquier tarjeta de crédito para saber nuestro resumen de gastos.De esa forma para que mi chica pueda saber mis viajes,tiene que saber el numero de tarjeta mas mi calve. Eso seria como si le diéramos a nuestra chica la clave de nuestro correo electrónico. ¿Pregunto ustedes de dieron las calves del correo a su chica? yo no lo creo. Y para la empresa aseguradora esa información es útil si ocurriera un accidente de transito al tener identificado al pasajero.
    En conclusión yo no lo veo tan mal el sistema sino seria mejorarlo un poco.

    ResponderEliminar
  12. Anónimo7/2/12 23:57

    che que interesante... lei el detalle del supuesto hackeo SUBE y...

    resulta que 1000 personas se pusieron de acuerdo para hacer los viajes a los 00 segundos de diferentes horas y dias...jejeje

    digo tanto analista de hacker y no se dieron cuenta que TODAS las transacciones son a los 00 segundos... que probabilidades hay?

    me parece que se termino el curro de los analista de hackeo sube

    ResponderEliminar
  13. Hola Alejandro, primero disculpa la demora en responderte, pasa q lo había hecho y por inconvenientes técnicos el comentario nunca entro.

    Primero, la nota que recomiendas la había leido y es interesante. En relación a ella, si relees la mía, fijate que nunca se dice que hubo un hacking de la base, al contrario, se afirma que no lo fue ni técnica ni jurídicamente. Lo digo porque en la nota que recomendas (y también al último comentario que no es tuyo, pero es de alguien que habla sobre que esto es un curro de analistas de hackeo sube), tienen como objetivo simplemente hablar sobre eso, cuestión que aquí nunca se dijo, sino que se fundamento en sentido contrario.

    El hecho que el sistema exhiba fecha, hora y línea donde uno subió, informando las 10 últimas registros, es al menos para mi, un itinerario de viaje. Quizás nuestros conceptos de que es un itinerario sea diferente. La necesidad de ello por el seguro, se había mencionado y se entiende. Ahora, ello no justifica que los registros se publican de manera indiscriminada sin importar quien accede. Es decir, si el sistema estuviera protegido, la función sería la misma, pero más segura.

    Con respecto al hecho que las tarjetas se vinculan a un DNI porque el Estado quiere saber a quien está subsidiando, creo que es más una decisión política que jurídica o de seguridad. Es decir, personalmente no comparto que el transporte deba estar subsidiado sólo para algunos, porque considero que aquel que viaja en transporte público, es porque carece de recursos para tener su propio medio de transporte (considerando las condiciones del transporte público argentino, dudo que alguno viaje por placer en vez de ir en su auto). Sin embargo, tal como expreso en el artículo, creo que el Estado podría determinar la cantidad exacta de personas que viajan diariamente, por cada línea y demás, siendo que las tarjetas sean anónimas. El Estado Argentino decidio que quiere saber con nombre y apellido, quien viaja subsidiado en el transporte público... algo que no comparto, pero respeto porque considero una decisión política.

    En referencia a tu agregado, sabemos que entre los datos publicados no se encuentra el DNI (sino creeme que el problema hubiese sido mucho peor). Para finalizar, en cuanto a tu comentario que te cansa la eterna queja de los argentinos, debo decirte que aquí no es que nos sentamos a criticar por deporte, sino que tenemos una firme convicción de que el sistema no está protegido con las medidas necesarias. Y no solamente es una opinión desde el punto de la seguridad, sino que también está confirmada por una obligación de protección y seguridad de la Ley Nº 25.326 de Protección de Datos Personales. En conclusión, ya se destaco que el sistema tiene muchos aspectos positivos, pero es parte de nuestra libertad expresarnos con intención de que se solucione lo que nos parece deficiente en el sistema. Puntualmente, si el sistema se hubiese diseñado correctamente con los requisitos mínimos de seguridad (usuario y contraseña), los datos ya quedarían protegidos y esta discusión no existiría.

    Saludos y gracias por opinar.

    ResponderEliminar
  14. Jose Riu5/3/12 12:22

    Les quero comentar mi caso, para "aclarar la oscuridad" co nrespecto a la privacidad de la informaciond e la tarjeta sube.
    A mi me robaron, o "levantaron del piso cuando se me cayo", la sube el viernes proximo pasado, com on osabia si la habia perdido o me la habia choreado, quise averiguar los ultios viajes para ver si el ultimo lo habia hecho yo o habia otros viajes.
    Primero me encontre que para saber esta info de la pagina debia ener el nº de tarjeta, la cual ya no tenia, y cuyo nº obviamente no tenia anotado en ningun lado.
    Entonces llame al 0800 del sube, y un operador me pido mi nº de dni, me consulto mi nombre completo, y solo con esa info, me dio el nº de mi tarjeta con lo cual pude acceder a los ultimos viajes, y constatr que efectivamnenbte, alguien mas la estaba usando.
    Resuelta la duda si la habia extraviado en mi casa o en otro lugar, pase a denunciarla para que la deshabiliten
    La cuestion principal en todo esto, radica en el hecho de que cualquier persona puede averiguar los movimientos de quen desee, solo con saber su nombre complet, y su nº de dni; el cual si lo desconoce, puede averiguarlo por diferentes buscador en internet.
    Conclusion, cero cerebro de quien ideo el protocolo de seguridad. Me imagino que estaban tan desesperados por saber todo de todos, que no pensaron en el hecho, aunque sea por el egoismo, de ser los unicos que pudieran contar con esa info, y no dejarla abierta para todo tipo de personas, y situaciones.
    Saludos, paciencia, y saliva.....

    ResponderEliminar
  15. José, la verdad que increíble tu comentario (gracias por comentar!), y demuestra algo recurrente en materia de seguridad de la información, que muchas veces el hilo se corta por el hilo más delgado (la capa humana). O sea, para saber el itinerario de la víctima, basta que el delincuente sepa el nombre y el dni, llame haciendose pasar por el titular y listo, ya tenemos el Nº de tarjeta SUBE vinculado... una genialidad!

    ResponderEliminar
  16. Buen día!! yo quisiera saber como hacer para ver cual es mi tarjeta sube, ya que se nos mezclaron a mi amiga y a mi y no sabemos cual es de cual, ya hemos enviado el correo correspondiente para ver que codigo es de cada una y hemos intentado llamar pero es imposibleee, como podemos hacer?? queremos usar nuestras tarjetas.Gracias.

    ResponderEliminar
  17. No se podría confeccionar una tarjeta SUBE que diga JUBILADO-PENSIONADO , y que sea renovada cada 6 meses (para no ser usada por 3os.en caso de fallecimiento del titular) Es una forma de evitar de mostrar en dos movimientos las 2 tarjetas(credencial jubilado y el SUBE? dado que a veces mantenerse de pie mientras estar parado mostrando al conductor y luego acercarla al aparato para su cobro, a veces el equilibrio de los viejos es incierto.y peligroso.Aunque lo mejor de todo sería una tarjeta SUBE-JUBILADO libre de pago-viaje. Todo es posible en la vida
    juan carlos

    ResponderEliminar
  18. Muy buen debate, a mi manera personal, esta bien poder consultar los viajes y los internos del colectivo, y el momento que lo tomé, cuando me surge algún percance consulto esos datos, aunque no es algo que a uno le pasa a menudo, pero estas tranquila que tenes la data asegurada por cualquier cosa que pase, es estupendo!. Lo jodido es cuando te toca una pareja celosa obsesivo (enferma/o) que te controle tus movimientos... Eso ya es trágico lamentablemente, y no quisiera estar en ese luga A causa de esto.

    ResponderEliminar
  19. comento que con sorpresa cuando quise ingresar mi tarjeta sube para la tarifa social, me encontre que el subsidio lo tenia otra numero de tarjeta, pero con mi nombre y apellido y dni, pude ver el itinerario y son colectivos del conurbano, yo vivo en capital federal,no se como hacer para denunciarlo, ya que estoy pagando el boleto como cualquier persona sin tarifa social,cuando se me asigno,,pero a otro numero de tarjeta,,aclaro que tramite mi sube en el 2013 cuando salio y nunca la cambie, ni la perdi,,me gustaria saber como hago para que se de la baja de la apocrifa y este registrada la origina (mi tarjeta). gracias

    ResponderEliminar
  20. hola necesito ayuda, ingrese mal el dni cuando estaba registrando mi sube, como hago para cambiarlo.???

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!