Servel, mi privacidad, Idiota!

7 minute read

Update: 20 Oct. 2016

Ayer me enteré que el equipo de Giorgio Jackson realizó indicaciones a la fallida Ley Corta del Servel. Dicha indicación incorporaba la aplicación de tecnologías digitales para evitar el doble voto. ¿Cree Ud. que alguien la entendió?

Últimamente ha habido un gran revuelo con los conflictos que han habido en el Servel (Servicio Electoral), debido a que se modificaron los lugares de votación de forma arbitraria.

Ahora bien, no quiero hablar sobre ese problema en particular, pues las noticias se han encargado ya de llenarnos con información sobre este tema. Esta vez quisiera hablar sobre la privacidad de los datos que entrega el Servel.

Un poquito de historia (y de información sobre las leyes)

Se supone que cualquier chileno debiese leer las leyes y estar informado sobre sus cambios y cómo nos afectan dichas leyes. Por supuesto, estamos muy ocupados como para hacerlo a diario y además las leyes están escritas en “abogado”, por lo tanto, el leerlas e investigar las leyes que nos gobiernan no es algo que hacemos a menudo, a menos que nos surja alguna emergencia o duda (por cierto, todas las leyes están en la Biblioteca del Congreso (BCN) ). Pues bien, siguiendo este ejemplo, yo no tenía idea que el Servel está obligado por ley a publicar el padrón electoral, es decir, el listado de todas las personas que tienen derecho a votar (sufragio para los “meñique arriba”).

Además de la Ley 18.556, que es la que regula el régimen de inscripción electoral y del Servicio Electoral, tenemos la linda(?) Ley 19.628 sobre protección de datos personales. Esta ley da directrices sobre cuáles son los datos personales públicos, privados, sensibles y cómo éstos deben ser tratados, almacenados y eliminados.

Entonces, tenemos por un lado una ley que obliga a una institución del Estado a entregar datos públicamente, y otra ley que protege la manipulación y acceso de ciertos datos. Creo que ya se dan cuenta hacia dónde voy.

¿Qué tan privados son mis datos privados?

Esta historia no es tan nueva. Ya han habido numerosas organizaciones, instituciones, proyectos de ley y otros tantos que han dado la alarma sobre este tema.
Contextualicémonos un poquito:

  1. Si yo accedo al padrón auditado que entrega el Servel (gracias a la Ley 18.556), puedo encontrar la dirección actual de básicamente quien yo quiera. Ok, puede que esta dirección no sea donde viva, pero seamos sinceros: muy pocos cambiamos la dirección del padrón, y quienes lo hacen, usualmente utilizan su dirección de residencia.

  2. Ahora, gracias a la controvertida idea de “inscripción automática y voto voluntario”, cualquier persona que cumpla 18 años es incorporado automáticamente a la base de datos del Servel (desconozco bien si son aquellos que cumplen años el 1º de enero de cada año, a la fecha de votación, etc.).

  3. Como la dirección que tiene el Servel no viene de la nada, sino que se la pide al Registro Civil, lo más probable es que la dirección que quede incorporada ser nuestra dirección residencial.

La pregunta que cabe hacerse ahora es ¿mi dirección es un dato privado, público, sensible?.
Como mencioné anteriormente, ya varias organizaciones han hablado sobre este tema. Por ejemplo, Ávalos F.D. publicó en el año 2014 un paper en la Revista Chilena de Derecho y Tecnología sobre el acceso público a datos personales. Por otro lado, la ONG Datos Protegidos planteó hace un mes lo siguiente

El descontrol en el que circulan nuestros datos personales no puede ser fomentado por el propio Estado. Nos hace vulnerables a malas prácticas de las industrias de publicidad o peor aún nos pone en riesgo inminente de sufrir algún delito. Claramente la norma que dispuso la publicación en la web del Padrón, no reparó en las definiciones de la ley 19.628, como la fuente accesible a público y las excepciones al consentimiento que ello implica, ni la carencia de autoridad de control para fiscalizar. La ley 19.628 es a todas luces insuficiente. Tampoco consideró los principios que inspiran el tratamiento de datos, ni las consecuencias de cara a las tecnologías que implican el tratamiento masivo de datos personales de todos los chilenos.

Además, la organización Derechos Digitales realizó un policy paper en el cual se aborda la privacidad en el Sistema Legal Chileno. En dicho paper se plantea el conflicto de los datos por parte del Servel. En particular, muestran casos de copias del padrón completo y de la publicación del padrón (del año 2012). Más aún, dicho paper plantea que

En junio de 2012, un proyecto de ley fue presentado por un grupo de diputados oficialistas a fin de derogar la disposición que obliga al Servicio Electoral de publicar el padrón y la nómina auditada de inhabilitados para participar en el proceso eleccionario.

Tal proyecto se encuentra en el Boletín N° 8345-06, ingresado el miércoles 6 de junio de 2012. Interesantemente, dicho proyecto se encuentra parado desde hace 4 años en el senado (el boletín lo puede buscar aquí).

Más aún, el Consejo para la Transparencia ha tratado el tema, sin llegar a una conclusión certera.

Como guinda de la torta, la Universidad Católica entregó, en Abril de este año, un informe de un “servicio de consultoría para la Realización de la encuesta nacional del tratamiento de datos personales”. En este informe, el gráfico nro 5 (si está viendo el informe, vaya a la página 52) muestra que un 69% de los encuestados considera que su dirección es una información considerada como personal. Haciendo un contraste, sólo un 27,2% de los encuestados estaría dispuesto a entregar su dirección vía online (gráfico 15, pag 62 de dicho informe).

Ahora…lo interesante.

Hasta aquí, sólo ha habido un trabajo de mostrar que los datos que entrega el Servel podrían ser considerados privados, protegidos o almenos, que no todo el mundo tenga acceso libre a ellos. Pero esto no pasa… ¿¿¿¿O si???? Desafortunadamente, SÍ.

La página del Servel tiene un “pequeñito” error. Si uno accede aquí, es factible buscar el padrón de una comuna en particular. Vemos que el archivo que entrega Servel es un PDF (lo puede abrir con cualquier visor de pdf, tal como Foxit Reader).

- Ah, pero no importa. Nadie se va a dar la lata de bajar archivo por archivo. Toda la razón, nadie se va a dar la lata, para eso se inventaron los computadores.
Este archivo entrega el nombre de todos los pdf y la comuna asociada. Entonces sólo es cosa de colocar el nombre de esos archivos en

http://web.servel.cl/padron/NombreDeArchivo.pdf

y estamos listos.

Más fácil aún, usando la herramienta wget (ok, y usando grep y cat) es posible automatizar la descarga de los archivos y obtener TODO EL PADRON ELECTORAL DE CHILE en su computador (aprox. 1.5 GB)

- Ya, pero igual. Tendría que revisar cada archivo, cada página, cada linea para poder saber dónde vive cada uno, ¿o no?

Ño :3. Usando tiempo libre y unas lineas de código y algunos litros de café, es posible abrir cada página de cada archivo, separar cada dato y crear una base de datos (yo usé MongoDB).

- Chuta, peligroso, pero…¿se puede hacer algo más? Por desgracia, si. Como Servel entrega la dirección, es posible usar Google Maps para geolocalizar la dirección y mostrarla en un lindo mapa. En particular, la imagen que está mas abajo fue algo que hice mientras practicaba todo esto. Obviamente no voy a colocar el rut de la persona ni sus nombres.

Algo como esto

¿Quieren jugar?

Si quieren jugar con esto, el código está disponible en Github. En particular, lo pueden bajar desde aquí. Recuerden que, según la legislación vigente, no es posible hacer uso comercial de los datos proporcionados por el Servel.

Y todo esto…¿pa qué?

Mi interés al publicar todo esto es plantear la pregunta ¿por qué es tán fácil extraer esta información?. Está bien, Servel debe publicarlas, pero ¿es necesario que publiquen la dirección de todo Chile?. ¿No bastaría con sólo publicar mi circunscripción?. Que Servel tenga la información me parece bien, pero no que cualquiera pueda obtener mis datos. Sólo pido un poquito, un poquito más de complejidad y de barreras para acceder a los datos. Podría usarse un captcha, regular la cantidad de accesos por IP, qué se yo.

Quiero dejar claro que mi intención no es dañar ni hacer mal uso de esta información. Es más, la estoy colocando en formato Open Source con licencia Creative Commons (BY-NC-SA) para que los encargados(?) de la seguridad(??) de Servel puedan tomar acciones y las medidas pertinentes.

La canción del día: Sonata Arctica - Blank File

Sonata Arctica - Blank File

Categories:

Updated:

Leave a Comment