El Consell Insular d’Eivissa ha iniciado una consulta ciudadana para conocer la posición de la ciudadanía respecto al proyecto de una carretera. Esta vez se ha decidido la realización simultánea de una encuesta a pié de calle y una consulta telemática para permitir una mayor comodidad y la máxima participación posible.
Al igual que sucede en otros supuestos, especialmente los relacionados con votaciones a través de medios electrónicos, surgen cuestiones importantes relativas a la anonimización de los datos y las garantías correspondientes en materia de protección de datos. A mi juicio, se han producido serias deficiencias en el proceso escogido, que puede poner en duda los resultados de la consulta, en particular por lo que corresponde a cómo se identifica a los ciudadanos de Ibiza.
De acuerdo con la directora insular de Transparencia y Participación, Gloria Santiago, se ha optado en lo que respecta al procedimiento concreto de identificación
por el sistema más garantista que hemos encontrado, estudiado por los técnicos de la casa, y que nos permite cumplir con toda la legislación de protección de datos y también evitar que se validen votos hechos a través de pseudónimo o con identidades falsas
La pregunta es si realmente se cumple con la protección de datos, y si el sistema permitirá evitar estas votaciones fraudulentas en los términos que se indican desde la institución.
1. La empresa que presta el servicio
La votación telemática para esta consulta se puede realizar a través de esta dirección, un servicio prestado por Powervote SL. Los términos y condiciones generales de los servicios prestados a través de este dominio lo podemos encontrar en la sección correspondiente en español.
A diferencia de la versión en inglés de los términos y condiciones, no se especifican los datos del prestador del servicio en España. Se nos indican los datos del administrador de la página (La Générale Multimédia, situada en Francia), mientras que las Condiciones Generales de Venta hacen referencia a PowerVote SL, de la cual no se nos dan más datos.
La sección dedicada a las políticas de privacidad también brilla por su ausencia en la versión española (solo habiendo una sección dedicada a las cookies), mientras que en la edición inglesa sí que contamos con una política de privacidad completa, en la que se indica dónde ejercer los derechos ARCO. En la edición española dicha referencia aparece en los términos y condiciones generales
Vd. dispone de un derecho de acceso, de modificación, de rectificación y de supresión con respeto a los datos colectados en esta página web, según las condiciones previstas por la ley n°78-17 de 06/01/1978 relativa a la informática, a los archivos y a las libertades.
Esta referencia llama la atención si la ponemos en relación con el apartado dedicado a derecho aplicable y jurisdicción
A/ Rige el derecho español
B/ El tribunal competente para todos los litigios en relación con los contratos de suministro es el correspondiente al domicilio de PowerVote, SL. Sin embargo PowerVote, SL tiene derecho a apelar al tribunal competente en el país del COMPRADOR.
Por lo tanto, nos encontramos con un servicio prestado por PowerVote SL en el fondo, sin que se me faciliten todos los datos relativos a dicha entidad (al contrario de lo que sucede con, por ejemplo, PowerVote UK), y en la que nos remiten para el ejercicio de los derechos contemplados por la LOPD al siguiente mecanismo
Para ejercerla, envíe un correo recomendado a:
Administrador de la página:
La générale multimédia
33 rue de Neuilly 92582 Clichy cedex (Francia)
Todo lo anterior lo obtenemos en el dominio principal del prestador de este servicio, pero como veremos en la sección dedicada al proceso de información y consulta no aparecerá mención alguna al respecto.
2. La sección dedicada a la consulta
El proceso de consulta sobre el proyecto de la carretera de Santa Eulària des Riu cuenta con un subdominio dedicado en este servicio, a través del cual podemos consultar la información sobre el proyecto, recibir información sobre cómo facilitar la documentación adecuada para identificarnos, y realizar nuestro voto.
En el apartado de la Documentación se ha añadido una cláusula sobre protección de datos con la siguiente redacción
Powervote SL garantiza el total anonimato en la votación y el cumplimiento de la legislación vigente en materia de protección de datos. La identificación proporcionada en los datos cedidos a Powervote SL para este solo uso, únicamente se utilizará para comprobar que cumplís los requisitos para poder votar. Powervote SL destruirá estos datos al concluir el proceso de consulta y no se utilizarán para ninguno otro uso posterior. El Consell Insular d’Eivissa únicamente dispondrá de datos anonimizados y de datos estadísticos sobre la consulta, en ningún caso dispondrá de datos personales protegidos por la LOPD.
Con el envío de la documentación se está dando el consentimiento expreso para la cesión temporal de estos datos a Powervote SL con el fin de utilizarlas por una única vez en la consulta sobre el proyecto de la carretera.
Por lo tanto, y antes de entrar en otros aspectos, el apartado dedicado a la protección de datos habla de las garantías ofrecidas por Powervote SL (de la que no contábamos con todos los datos), y sin que se me indique nada al respecto de cómo ejercer mis derechos ante quien está tratando los datos (las referencias a la política de privacidad solo se encuentra en la web raíz de la empresa, desapareciendo el pie de página en el caso de este tipo de aplicaciones). Por otro lado, garantiza el cumplimiento vigente en materia de protección de datos pese a que (como veremos) es imposible su garantía plena dadas las herramientas que utiliza.
2. Usando WhatsApp
El uso de WhatsApp para permitir la identificación de ciudadanos tiene su base en la comodidad y la gran implantación con que cuenta este servicio, superando los 900 millones de usuarios. Pero la comodidad no debe evitar el cumplimiento íntegro de las normas.
Para ello debemos analizar en qué condiciones se presta el servicio por WhatsApp, y el uso concreto que le vamos a dar.
En el apartado de Documentación se establece el procedimiento para identificar a las personas que participarán en el procedimiento, y en particular su condición de ciudadano de Ibiza.
Para validar el cumplimiento de los requisitos y ser registrados, tenéis que enviar por correo o por WhatsApp la foto o el escaneo de un documento de identidad con fotografía (DNI, NIE o carné de conducir), y sólo en el supuesto de que este documento no refleje vuestra residencia en Ibiza, tendréis que enviar también copia de certificado de residencia.
Nada se contempla respecto al uso de certificados electrónicos u otros sistemas, sino que se obliga a los ciudadanos que quieran participar a enviar copias de dicha documentación a través de uno de los medios habilitados por la empresa que finalmente lleva a cabo la consulta.
Dejando de lado el uso del correo electrónico propio (donde habría que ver además dónde se encuentra el servidor que les está prestando dicho servicio), el apartado más preocupante es el de utilizar WhatsApp.
Las condiciones de WhatsApp no lo hacen indicado para este tipo de usos. Si leemos los términos y condiciones de la aplicación podemos encontrar que
- Solo se permite un uso personal del servicio, cuando queda claro que la cuenta destinataria no es personal
- Los servidores que prestan el servicio de WhatsApp se encuentran en Estados Unidos.
De hecho, y respecto a esta última característica, podemos encontrar la siguiente mención expresa para los usuarios de Europa
If you are a user accessing the WhatsApp Site and Service from the European Union, Asia, or any other region with laws or regulations governing personal data collection, use, and disclosure, that differ from United States laws, please be advised that through your continued use of the WhatsApp Site and Service, which are governed by California law, this Privacy Policy, and our Terms of Service, you are transferring your personal information to the United States and you expressly consent to that transfer and consent to be governed by California law for these purposes.
Por lo tanto, nos encontramos con un uso que no solo vulnera los actuales términos de uso de la aplicación, sino que implica que los DNIs y certificados de residencia sean tratados por una empresa en Estados Unidos. Este territorio no plantea garantías equivalentes a las europeas, razón por la cual se acabó anulando el acuerdo de Safe Harbor.
En conclusión, esta transferencia internacional de datos supone que Powervote no puede garantizar el cumplimiento de la normativa de protección de datos, y que el Consell ha permitido que los datos de las personas participantes puedan llegar a estar en riesgo. Esta circunstancia es aún más importante si cabe dada la naturaleza de la documentación aportada.
De hecho, podemos recordar el informe de la Agencia Catalana de Protección de Datos sobre el uso de WhatsApp y Spotbros por parte de abogados, en la que se menciona cómo expresamente WhatsApp hace referencia a la imposibilidad de garantizar la seguridad de la información transmitida. Tratándose de un procedimiento impulsado desde una Administración Pública, el uso de esta herramienta no es admisible por cómodo que pueda parecer.
3. ¿Se garantiza realmente la identidad de los usuarios?
El uso de todo este mecanismo complejo para su identificación se ha justificado en base a garantizar que de esta forma se puede identificar a los usuarios y legitimar los votos obtenidos a partir de esta consulta. La pregunta es si en realidad este esfuerzo consigue este objetivo.
En mi opinión, la respuesta a esta pregunta es (por desgracia) negativa. No, no resulta posible garantizar sin ninguna duda ni la identidad de la persona, ni su condición como ciudadano de Ibiza. Para ello me baso en los datos a que tendrá acceso la empresa que gestiona dicha consulta
foto o el escaneo de un documento de identidad con fotografía (DNI, NIE o carné de conducir), y sólo en el supuesto de que este documento no refleje vuestra residencia en Ibiza, tendréis que enviar también copia de certificado de residencia
Respecto al primer documento, la persona puede aportar diversa documentación, alguna incluyendo datos de residencia y otros que no. El problema surge que, al permitir fotografías, se hace mucho más sencillo su edición para el envío (los defectos en la imagen producidos por la misma fotografía, o que simulen serlo, dificultarían la detección de dicha modificación), pero existe además un sistema mucho más sencillo de modificar: utilizar la vía del certificado de residencia.
Permitiendo la identificación mediante carnet de conducir (que no incluye la dirección) podemos aportar un certificado de residencia, cuya edición resulta mucho más sencilla al no tratarse de un documento que incorpora imágenes de fondo que la dificulten como sí sucede en el DNI.
Toda esta problemática surge dado que, al no tener acceso a los datos existentes en los padrones de los diversos municipios (dado que si contaran con ello no requerirían de un certificado de residencia) no va a resultar posible comprobar la veracidad de la documentación aportada.
Por otro lado, tampoco podemos estar seguros de que quien realiza la actuación es la persona interesada. A causa de vulnerabilidades en diversos servicios, no resulta extraño encontrar documentación escaneada disponible en buscadores especializados, y que podría ser usada en este tipo de procedimientos (aunque es cierto que este supuesto es más improbable, sigue existiendo dicho riesgo).
La duda está en si alguien puede tener tanto interés en alterar los resultados de la consulta como para realizar las actuaciones anteriormente mencionadas (con las consecuencias jurídicas a que pueda haber lugar), pero la realidad es que estamos creando un procedimiento especialmente gravoso para la privacidad de los ciudadanos que simultáneamente no garantiza la integridad del cuerpo de personas que emitan la opinión. Además, tratándose de un proceso en el seno del cual ha surgido un conflicto, no puede dejar de tenerse en cuenta todas las posibilidades de alteración de resultados.
Este supuesto es de difícil solución en estos momentos, aunque si se generalizara el uso de las plataformas de intercambio de datos que el Govern Balear ofrece, y este gestionara las consultas a los diversos padrones municipales en los ayuntamientos, se podría regular un proceso de consulta con un sistema mucho más sencillo de identificación (como podría ser el obtener la contraseña de un solo uso utilizando los mismos datos que para obtener el certificado del padrón, o utilizando alguno de los certificados electrónicos utilizados en las sedes de las administraciones públicas). De esta forma además sería mucho más sencillo comprobar la residencia efectiva en uno de los municipios asignada a una determinada identidad.
De momento tenemos el problema de que no resulta posible saber tampoco si la persona continúa siendo residente en Ibiza (puede haber cambiado su condición con posterioridad a la emisión del DNI por ejemplo, uno de los supuestos conflictivos en su momento para la aplicación de subvenciones en viajes), dado que se remite un simple escaneo o fotografía.
Existen otros problemas, como puede ser que si realmente se procede a la destrucción de los datos como la empresa menciona (y no a su mera cancelación/bloqueo) no existirá forma de comprobar el uso fraudulento de identificaciones personales de terceros. Únicamente quedaría el resultado ya anonimizado en número.
4. ¿Se ha tenido en cuenta mi voto?
Otra deficiencia es que este sistema no me permite tener constancia sin lugar a dudas de la incorporación de mi voto a la plataforma. Esta solución es más compleja (y la menciono a título meramente informativo), porque aunque se me pueda enviar un correo de confirmación, no tengo forma de observar que se ha tenido en cuenta una vez se den los resultados.
Una solución sería la generación de un hash una vez emitido el voto que se incorporara a una blockchain con todos los votos emitidos, sin que almacenáramos la relación entre la persona concreta y su hash (dicha relación solo sería conocida por la persona que hubiera emitido el voto). Gracias a este mecanismo, cualquier persona que hubiera participado podría comprobar que su voto ha sido incorporado al proceso mientras que simultáneamente se garantizará la confidencialidad tanto del sentido del voto como de su identidad. El mecanismo actual (por lo que se menciona en la plataforma) utiliza un correo y una contraseña de un solo uso, pero nada impediría el uso de este tipo de sistema.
No hay comentarios