Desde ArCERT nos han respondido que el reporte fue enviado a la Cámara Nacional Electoral (CNE) para su revisión. Ahí terminó todo, sin solucionar nada.
Tres meses después el problema persiste. Finalizadas las Elecciones Legislativas (del pasado domingo 27 de octubre), habiéndose conocido una acción de amparo de la Asociación de Derechos Civiles (ADC) contra la CNE y siendo que el padrón ya no se encuentra en línea para consultas, he decido hacer público el problema.
Cualquiera que haya consultado la mesa en que le corresponde votar en el sitio padron.gob.ar, y que previamente haya tramitado su nuevo DNI, habrá notado que junto a la información electoral, aparece su foto:
Efectivamente, como indicaba ADC ayer, "la exhibición y disponibilidad de tales fotografías en Internet viola el derecho a la privacidad de todas estas personas... la publicación de las fotografías en un sistema de acceso abierto pone en riesgo la autonomía de las personas en tanto les impide tener un control adecuado sobre un dato personalísimo y sensible como es la imagen de sus respectivos rostros... su publicación implica una cesión de hecho de esa información a terceros, quienes la podrían compilar e integrar a bases de datos con fines comerciales e ilícitos."
En Argentina, el derecho a la imagen reconoce protección a través de distintos instrumentos jurídicos. Entre ellos podemos encontrar el Art. 31 de la Ley 11.723 de Derechos de Autor. En dicho texto, se establece como excepción (el principio es que la imagen pertenece a su titular, y no se puede publicar sin su consentimiento) que "Es libre la publicación del retrato cuando se relacione con fines científicos, didácticos y en general culturales, o con hechos o acontecimientos de interés público o que se hubieran desarrollado en público". En el caso del padrón electoral, no existe algunas de estas finalidades determinadas por la ley como excepciones.
De hecho, este análisis es una adecuada puerta de entrada sobre la interpretación del problema a la luz de la Ley 25.325 de Protección de Datos Personales, otro de los instrumentos jurídicos aplicables para la protección de la imagen. De acuerdo al concepto amplio de dato personal del art. 2 de la citada ley, la imagen ES sin lugar a dudas un dato personal, gozando de las protecciones que brinda la normativa.
Debemos recordar que de acuerdo al art. 5 de la LPDP, el principio es que los datos personales sólo puede ser tratados lícitamente cuando el titular hubiere prestado consentimiento libre, expreso e informado. Es interesante señalar que el inc. 2 de este artículo detalla algunos casos excepcionales donde NO se necesita consentimiento.
Puntualmente, y pensándose en los datos del padrón electoral, se incluyó en el inc. c a aquellos "listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio". Como puede observarse, aquí no se detalla la imagen entre los datos exceptuados de consentimiento, de manera que su incorporación y publicación irrestricta en modo público, puede interpretarse como ilícito, por no contarse con el consentimiento de sus titulares.
Finalmente, más allá del aspecto de la necesidad del consentimiento ya señalado, recordemos que el art. 4 inc. 1 determina que "los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido".
Existe también el principio de la necesariedad de la imagen como dato en el padrón electoral. ¿Es pertinente? ¿Es excesivo? No parece ser pertinente y es excesivo, toda vez que las elecciones anteriores fueron perfectamente llevadas a cabo sin la existencia de este dato. En todo caso, si su fundamento es evitar que a través de un fraude en la identidad, alguna persona utilice un DNI alterado para ir a votar, su respuesta podría haber sido que la imagen exista como dato en las planillas de votación, pero no que estén abiertamente publicados en Internet, más aún sin las medidas de seguridad que corresponden de acuerdo a la normativa vigente (art. 9 LPDP).
En relación a este último punto, se destaca la gravedad del problema puesto que actualmente las imágenes se encuentran disponibles en un directorio público en un servidor público, lo cuál hace fácil que cualquier interesado en "robarse" las imágenes, haga un pequeño script que analice ciertos parámetros y en base a eso descargue todas las fotografías.
En base a esto es que originalmente me he puesto en contacto con ArCERT para que intercedan en la solución pero, como suele pasar en este tipo de situaciones, nada a sucedido en consecuencia y el error de la CNE persiste.
Las fotos de millones de ciudadanos siguen públicas y así el estado insiste en violar el derecho a la privacidad garantizado en el artículo 19 de la Constitución Nacional, en la Declaración Universal de Derechos Humanos y en la Ley Argentina 25.326 de Protección de Datos Personales.
Con esta ignorancia del problema por parte del estado, no es de extrañar que luego se cometan decenas de delitos con la información recolectada en línea por los delincuentes: robo de identidad, falsificación de documentación, ataques contra la intimidad, estafas...
Finalmente, algunas pregunta adicionales: ¿quién dice que estas fotos ya no han sido descargadas y están siendo utilizadas? ¿Hay algún registro/log de descargas? ¿Quién autorizó el uso de esas imágenes en forma pública?
Actualización 14:00: al parecer han intentado "solucionar" el problema bloqueado el User-Agent de modo tal que si la petición de la imagen no es desde un navegador reconocido, la imagen no es descargada. Sobra decir que realizar un spoofing de User-Agent es trivial y por lo tanto la solución no es viable.
Lic. Cristian Borghello, CISSP - MVP
Director Segu-Info
