Etiquetas

¡¡¡¡¡¡¡¡Testeo la app del CNJ y zapatea sobre la LOPDP!!!!!!!

                                      



FOROZILLAPP ATACA! Los términos de EFJ Digital pisotean la normativa de Datos Personales.  😦😱

Ayer moneaba —como buen mono— la App Store. Ya no recuerdo qué buscaba, pero sí recuerdo qué encontré. Me topé cara a cara con una app que se llama EFJ DIGITAL... ¡avalada por nuestro Consejo de la Judicatura!

Debo decir que me alegré sobremanera al encontrarme con una aplicación "que te facilita la vida" (repítase con la papa en la boca). Originalmente, no me funcionó (eran como las 23:00 h). Me dije: "Como buen servidor público, trabaja puntualmente de 8:30 a 17:00 h, así que supuse que estaba molestando". "Intentaré mañana", pensé.

Curiosamente, siendo sábado, la aplicación funcionó perfectamente, exhibiéndome mi carné de lado a lado: perfecto, luminoso, prístino y... con código QR. Aparte, muestra una hermosa dedicatoria sobre la Revolución Digital que, bueno, me hizo sentir en el futuro. Y piantó un lagrimón de felicidad en mi ojo izquierdo.

Acto seguido, como si me viese en el espejo de Dorian Gray o hubiese tomado la pócima del Dr. Jekyll, mi rostro se desdibujó. El xenomorfo que me habita, vestido de Delegado de Protección de Datos, saltó desde mi pecho y me espetó a la cara: "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn".

Lo cual quiere decir, aproximadamente: "¿Y dónde está la Política de Protección de Datos, las de 'cookies' (o su equivalente para el móvil), en esta aplicación digital, eh?".

Desdoblándome en el abogado del diablo, me dije: "Deben ser estos términos y condiciones del inicio". Le di clic para leerlos. Daba opción a imprimir, a descargar... "todo bien," sin leerlos.

Sentí pena por los colegas que usaban la credencial analógica para usarla de cuchara en los agachaditos, porque ahora gastarán ingentes sumas en celulares sumergibles, pero, según avanza la historia, mi pena es mayor con el CNJ y su Delegado de Protección de Datos.

¿MI CONTRASEÑA SER TU CONTRASEÑA, MI CASA, TU CASA?

Supongamos que, hace algunos años, se digitalizó parte de la justicia en un país y se creó una plataforma en la que debías indicar un usuario y te daban una clave provisional. Al momento de recibir el correo, se te exigía establecer una nueva de tu absoluto conocimiento. Luego, la misma función judicial crea una app que ya trae por defecto tu usuario y contraseña, la que se supone era secreta.

Y sigamos suponiendo, sólo suponiendo, que se trata de la Oficina Judicial Electrónica (e-SATJE). ¿Quién autorizó al CNJ a usar mi contraseña... y cómo la tiene en su poder, al punto de haberla incorporado por defecto en la app? Lo grave es que esto nos lleva a concluir que hay una persona en el CNJ que tiene todas nuestras contraseñas como abogados, y no lo sabemos. ¡Eso es una brecha de seguridad de la información del tamaño de una catedral!

🤔🤫🧩INTRÍNGULIS CHÍNGULIS

Este es un escenario con serias implicaciones de seguridad y privacidad en la digitalización de la justicia. Te explico el intríngulis:

Cuando te dan una clave provisional y te obligan a cambiarla por una que solo tú sabes, eso es correcto para la seguridad de tus datos. La idea es clara: que nadie más meta mano si te pillan el correo con esa clave temporal. Altas medidas tecnológicas, ¿verdad? Solo tú puedes ingresar a tu oficina judicial virtual, y solo tú revisas tus casos, haces tus búsquedas como profesional autorizado por el cliente, clientes que pueden ser contendores en una acción civil, pero también en casos de extrema sensibilidad, y no hablo únicamente de alimentos, sino de abusos a menores, violaciones sexuales, violencia de género, intrafamiliar, en fin, casos que, inclusive, en algunos casos no aparecen en las búsquedas abiertas al público o están restringidos solo a las partes.

Pero, de repente, aparece una app oficial que, ¡de golpe y porrazo!, ya viene con tu usuario y tu contraseña cargados por defecto. Esa contraseña que se suponía era un secreto de Estado entre tú y el sistema, resulta que no lo es, porque ¡la app ni siquiera te da la posibilidad de generar un usuario y contraseña nuevos!, sino que usa los que aprobaste para tu cuenta de la oficina judicial virtual y que se supone tienes celosamente guardados. Por consiguiente, no es un delirio darse cuenta de que alguien del CNJ almacena y puede (y lo ha hecho) replicar las contraseñas vinculadas a sus respectivos usuarios y que nos permiten identificarnos.

Esto también nos lleva a suponer que la app, en la fase de diseño, se testeó con nuestros datos personales, y el CNJ... ¡ni un correo para recabar autorización! Y no me venga a decir que lo ha hecho por una misión institucional o por una obligación legal; por útil que sea el utilitario, la sábana no alcanza para tanto.

Veamos:

  • ¿Contraseña "Secreta"? ¡Por favor!: Si la app ya trae por defecto tu "secreta" clave (aunque fuese 1234567), el secreto es a voces. Significa que la propia función judicial, o quienes muevan los hilos detrás de esa app, tienen acceso a tu contraseña. ¡Adiós a la idea de que solo tú la conocieras y a a protocolos de seguridad de la información (o de plano no existen)!

  • Un Caramelito para los Amigos de lo Ajeno: Imagínate que al guardar o tener la llave de tus credenciales, la función judicial se convierte, ni más ni menos, adquiere un r iesgo altísimo, y esa información replicable es un "bocato di cardinale" para el mercado de ande al acecho. Si le hacen agua el sistema y la lírica... Miles, o quizá millones, de credenciales expuestas, y con información judicial de por medio son un taco de dinamita en el zaguán de Rukito.

  • Se rematan principios de seguridad. Yo quisiera que los gurús de TIC´s de la CNJ expliquen cómo operan sus medidas técnicas, organizativas, legales, etc., alrededor de esto: Las contraseñas no se guardan de forma que se puedan "deshacer". Se "hashean", se transforman en algo irreversible, para que ni el gurú del sistema pueda ver tu clave original. Si la app puede pre-llenar tus datos, pues... aquí más que mala tos, hay covid19.

  • Tu Seguridad, en Sus Manos (y No en las Tuyas): NO TENEMOS CONTROL, así de simple. No queda claro, porque se ha violado el derecho más elemental a la transparencia y a la información, cómo la app decide cuándo y cómo usar esas credenciales pre-cargadas, qué margen de maniobra tienes para proteger tu acceso o para usar herramientas más robustas, como la autenticación multifactor. ¿Y la "justicia digital" como práctica diaria? ¿Dónde? Risky Business.

Veamos, ejemplificativamente, algunos de los casos que han involucrado la seguridad de nuestros datos personales en manos de responsables públicos y sobre los cuales desconocemos el verdadero alcance de la filtración para nuestra privacidad, porque el Estado, simplemente, no nos informa. Y es lógico, la falta de implementación de medidas adecuadas o de "errores humanos" son daños que se pagan. Y a más ignorancia, menos demandas y menos responsabilidad.

🧑💻📄🔒¿Y EL TRATAMIENTO DE DATOS? Las aplicaciones recopilan información personal, sin duda. Y esta no se queda atrás.

¿Qué información suelen recopilar las apps del CNJ y por qué no se está informando a los abogados ni pidiendo su consentimiento?

En las apps, no se suelen hablar de cookies, pero para simplificar, tienen sus mecanismos propios para guardar tus cositas en el dispositivo para hacer lo mismo. Tenemos las siguientes:

  • Cuquis: Si una app te muestra una página web como si se tratara de un navegador chiquito estamos frente a "cookies", al igual que pasaría en tu laptop o en tu PC. Estos enrutadores suelen estar como "enjaulados" dentro de la app, sin que otras apps o el navegador principal de tu móvil puedan espiar lo que hacen.

  • Identificadores Únicos de Dispositivo (Advertising IDs): En Android (con su AdID) como iOS (con su IDFA) se usan unos identificadores únicos que útiles para los desarrolladores y, por supuesto, para anunciantes. Son su manera de seguir tus pasos por las apps para luego soltarte publicidad "a medida" o para echarle un ojo a cómo te mueves. Estos son los primos-hermanos más cercanos a las cookies de terceros en el móvil.

  • El Almacenamiento Local: Las apps también son muy de guardar información en tu propio dispositivo, lo cual incluye preferencias de idioma, datos de inicio de sesión o incluso lo que dejas en el carrito de la compra. Todo queda guardado ahí, para que la experiencia de vida sea "más fácil".

  • SDKs de Terceros (Kits de Desarrollo de Software): Se meten en casi todas las apps. Son de empresas externas (para análisis, publicidad, redes sociales...) y son, en muchos casos, los verdaderos recolectores de datos detrás de la cortina.

Estos pequeños amigos se encuentran en permanente comunicación y recopilan tus datos con diversos fines para "mejorar tu experiencia en la red": Pueden recordar tus preferencias, tus inicios de sesión, o incluso lo que ibas a comprar, (los memoriosos); adaptar el contenido crear que la ilusión que la app te entiende; para mejorar el rendimiento, esto es, conocer cómo usas la app, qué botones aprietas más, cuánto tiempo te engancha, si algo falla; mostrarte esos anuncios que, supuestamente, te van a encantar porque encajan con lo que haces y te gusta, y que muchas veces te lleva a pensar que la app te escucha.

🤫⚖️🗣️Privacidad y la Ley: Palabras Mayores

Todo recopila datos en estas apps y deben ser adecuadas a la Ley. Está claro que Privacidad por Diseño y Defecto no hay, y por lo tanto la responsabilidad proactiva es inexistente. Los desarrolladores debían tener claridad absoluta sobre esto, informar qué datos cogen, para qué y, en un montón de casos, pedirte permiso explícito. La ausencia de un aviso de privacidad o el "banner de cookies" en las apps, y que te permitan gestionar lo que quieres que se sepa de ti, está completamente ausente. Y eso nos lleva a pensar, si el responsable, el Consejo de la Judicatura, debe permanentemente garantizar la intervención de su Delegado de Protección de Datos Personales, esto solo quiere decir una de dos cosas: El responsable no cumple con sus obligaciones, lo cual incluye que no tiene asignado un Delegado de Protección de Datos Personales o , en su defecto, el DPO es uno de esos servidores que están pintados en la pared como un grafiti de baño público.

🕵️♀️📜🔍Breve Análisis de los "Términos y condiciones"


🧠 Observaciones generales

  1. Lenguaje generalista y mención alguna a la protección de datos.

  2. No hay mención expresa a la LOPDP, ni integración de principios clave como la minimización, necesidad o licitud.

  3. Se confunde el carácter "oficial" de la información con su libre disponibilidad: aunque la información sea pública, su tratamiento a través de tecnologías está regulado por la LOPDP (Art. 5 LOPDP).

  4. Las claves de acceso no constituyen información pública, sino confidencial bajo estándares de seguridad de la información.

✅ Recomendaciones para la adecuación

  1. Incluir una robusta política de protección de datos dentro de los términos y condiciones.

  2. Incorporar el nombre del Responsable del Tratamiento o DPD y un canal de contacto claro (correo electrónico o formulario).

  3. Redactar un aviso de privacidad o política de tratamiento de datos personales como documento anexo o vinculado.

  4. Cumplir con el principio de transparencia y legalidad, incluyendo la base legal del tratamiento (por ejemplo, interés público o ejercicio de competencias públicas).

  5. Incorporar un mecanismo claro para que los usuarios ejerzan sus derechos ARCO (acceso, rectificación, eliminación, etc.).

  6. Incorporar el nombre y demás datos del DPD para ejercitar derechos (entidad del Sector Público).

  7. En general, dar cumplimiento a la Ley, a su Reglamento y a las disposiciones de la Autoridad Competente.

Conclusión

La app del Consejo de la Judicatura, al cargar credenciales secretas por defecto, compromete la seguridad del usuario y viola principios fundamentales de protección de datos. Necesariamente la SPDP debe dar un paso adelante y empezar una acción oficiosa sobre este asunto para exigir que se respeten los derechos de miles de abogados que están siendo afectados.

¡Qué Pasa, CNJ! 🚀

Exigimos plena transparencia y seguridad en el manejo de nuestros datos judiciales. Esto es otro caso particular en que el Estado pone en entredicho las garantías debidas a sus ciudadanos, particularmente en la protección de datos personales. ¿Qué vamos a hacer, abogados?

#JusticiaDigitalSegura #PrivacidadDeDatos #LOPDP #Ciberseguridad #InnovacionJudicial




Etiquetas:

Comentarios

Publicar un comentario

Entradas populares