La organización Hiperderecho.org alertó sobre nueva investigación sobre un error informático de la ONPE que expuso los datos personales de millones de peruanos durante nueve meses. Afirman que en dicho lapso de tiempo fue posible descargar completamente nombres, apellidos, fecha de nacimiento y sexo de más de 20 millones de peruanos.
Hay varios ángulos de este tema: Poca o nula pericia en el desarrollo de un sistema informático, lo que significa de cara al proceso de voto electrónico presencial, y hasta los potenciales usos ilícitos que puede dársele a una base de datos de peruanos mayores de edad. Sería bueno leer el desplegado amigo lector.
ONPE filtró los datos personales de millones de peruanos durante nueve meses
Hiperderecho ha denunciado a la ONPE ante la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales por infracción grave a la Ley de Protección de Datos Personales.
(americasistemas.com.pe. Lima, Perú – 01 de agosto 2018) Entre octubre del año pasado y junio de este año, los nombres, apellidos, fecha de nacimiento, sexo y edad de todos los peruanos mayores de edad fueron accesibles y descargables a través de la página web de la Oficina Nacional de Procesos Electorales (ONPE). Una negligencia al momento de programar la página web de su concurso Hackathon 2017 y 2018 expuso una copia completa de la base de datos de peruanos mayores de edad.
Este error podía ser explotado por cualquier persona en Internet, usando las herramientas que vienen instaladas en todos los navegadores de Internet y computadoras modernas. No solo permitía consultar individualmente la información de cualquier número de DNI, sino que también facilitaba la descarga masiva de la información. La investigación de Hiperderecho demostró que en menos de treinta segundos era posible descargar la información de cincuenta personas, y archivarla en formato Excel, todo de manera completamente automática y sin que ONPE detectara un comportamiento extraño.
Hiperderecho, una organización peruana de Derechos Humanos y Tecnología, detectó y reportó este incidente a mediados de junio de 2018 a la ONPE y al PeCERT, la oficina de incidentes de seguridad de la PCM. Sin embargo, pese a que en pocos días se logró corregir el error, las autoridades nunca ofrecieron sus descargos ni brindaron detalles sobre la magnitud del problema.
Por esto, hoy se ha presentado una denuncia a la ONPE ante la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia por infracción a la Ley de Protección de Datos al haber incumplido los requisitos de consentimiento, proporcionalidad y fallado en implementar las medidas de seguridad obligatorias para el tratamiento de datos personales de ese tipo. La autoridad de protección de datos personales tiene la obligación de llevar a cabo una fiscalización del caso y, de considerarlo, imponer las multas que correspondan a la ONPE.
Para Miguel Morachimo, abogado y Director de Hiperderecho: “Este hecho es sintomático de la poca importancia que el Estado le da a la privacidad de los peruanos. No existen mecanismos de auditoría ni de asignación de responsabilidades en el Estado cuando sus sistemas informáticos comprometen nuestros derechos. Por eso le estamos pidiendo a la Autoridad de Protección de Datos, que en el pasado ha sido tan activa para sancionar a medios de comunicación, que reconozca que este uso de los datos personales escapa de cualquier ejercicio regular de las funciones de la entidad.”
La ONPE es también la autoridad encargada de desarrollar el sistema informático del voto electrónico presencial que se utilizará en las próximas Elecciones Regionales y Municipales (ERM) de octubre del 2018 para más de 2 millones de personas. Para ello, según su propio reporte, ha invertido más de 700 millones de soles.
Un Comentario
Guillermo Ruiz
Cabe que la norma de control sobre sistemas se aplique. Corresponde a la Contraloría intervenir.