El proyecto «el Estado en un teléfono inteligente» es una de las novedades más ambiciosas del actual gobierno ucraniano. Foto de JESHOOTS-com en Pixabay.

A inicios de 2020, el Gobierno de Ucrania lanzó la revolucionaria aplicación móvil Diia (que significa “acción” en ucraniano), pilar de la promesa de campaña del presidente Volodymyr Zelensky de hacer los servicios públicos convenientes y mas fácilmente accesibles a través de internet.

La aplicación móvil Diia y el portal de servicios en línea que la acompaña les permite a los ciudadanos digitalizar su identificación nacional y pasaporte biométrico, número de impuestos personal, identificación de estudiante y mas, y los documentos digitales tienen la misma validez legal que los documentos originales en papel.  En un año, Ucrania llegó a ser el cuarto país europeo en tener un permiso para conducir digital y el primer país en el mundo en tener un pasaporte digital.

Sin embargo, una filtración masiva de datos en 2020 generó preocupaciones acerca del nivel de protección de la información personal de los usuarios.  En mayo de 2020, activistas descubrieron que un chatbot en la popular plataforma de mensajes Telegram había negociado alrededor de 900 GB de información personal de los ciudadanos. El conjunto de datos incluía números de pasaportes, números personales de impuestos, información de domicilio, licencias de conducir, contraseñas de acceso a redes sociales, y hasta información bancaria de millones de ucranianos.

Algunos funcionarios públicos acusaron a Diia de filtrar información de los registros del Gobierno, mientras que expertos en seguridad señalaron que el Ministerio de Información Digital aún no da a conocer documentación alguna de seguridad sobre la aplicación.  Aunque periodistas e investigadores pudieron confirmar que parte de los conjuntos de datos había venido de los registros del Gobierno ucraniano, no se ha encontrado evidencia alguna que implique a Diia directamente.

En el aniversario de su lanzamiento, la aplicación Diia sobrepasa los seis millones de usuarios. Al mismo tiempo, especialistas en tecnología de la información (TI) y defensores de los derechos digitales continúan pidiendo al Gobierno que considere todos los riesgos que el gobierno electrónico y la identificación tecnológica digital conllevan, ya que potencialmente podrían debilitar la confianza del público.

Digitalizar la nación

Si bien la idea de digitalizar los servicios públicos no es nueva en Ucrania, la administración de Zelensky es la primera que ha hecho de la gobernabilidad digital una alta prioridad o que estableció un ministerio aparte dedicado enteramente al asunto, el Ministerio de Transformación Digital, encabezado por Mykhailo Fedorov.

El ambicioso programa “Estado en un teléfono inteligente” fue presentado originalmente en 2019, y preveía pasar todos los servicios públicos en línea y proveer a la mayoría de los ciudadanos una manera de identificación digital. Luego se expandió para incluir metas, como incremento de la alfabetización digital, expansión de la infraestructura de internet y creación de condiciones favorables para el desarrollo de la industria de la tecnología de la información.

Si se implementa con éxito, el programa podría ayudar a combatir la corrupción con la minimización de la interferencia y las decisiones arbitrarias de funcionarios públicos, al mismo tiempo que reduciría significativamente la burocracia estatal.

Además, el ministro Fedorov ha señalado orgullosamente que ni una sola hryvnia se ha gastado del presupuesto estatal en la elaboración de la aplicación Diia. El equipo a cargo se conformó de 35 voluntarios de la bien conocida compañía de ingeniería de software EPAM Systems. Posteriormente transfirieron el producto terminado y los conocimientos técnicos relevantes al Estado.

¿Qué tan seguros están los datos de los ciudadanos en Ucrania?

Inicialmente, el ministerio anunció que Diia utilizaba tecnología BankID de varios bancos lideres en Ucrania para la autorización de usuarios, y que utilizaba un servidor seguro en la nube para la transferencia de datos encriptados.

Aun así, fueron pocas las revelaciones que se hicieron sobre la seguridad de los datos personales de los ciudadanos en la aplicación, y los especialistas en seguridad señalaron cautelosamente que no había suficiente información sobre las pruebas de seguridad de Diia.

Por ejemplo, no parece haberse realizado ninguna auditoria de seguridad independiente, algo casi inaceptable para una tecnología a la cual millones de ciudadanos confiarían su información personal. Es mas, el primer programa público de recompensas por errores de software de la aplicación se lanzó recién en diciembre de 2020.

Las filtraciones han dejado claro que los parámetros de seguridad de datos a nivel estatal en Ucrania siguen siendo inadecuados, incluido un régimen débil de protección legal de datos, implementación deficiente y la falta de medidas de protección adecuadas dentro de las mismas instituciones estatales. Por lo tanto, es probable que la sincronización de los datos de varios registros gubernamentales dentro de un mismo portal o aplicación resulte en vulnerabilidades adicionales a los ataques externos.

Además, en diciembre de 2019, el Gobierno concedió al Ministerio de Asuntos Internos la facultad de verificar y agregar los datos de los ciudadanos de varios registros estatales, y proporcionó al organismo de aplicación de ley acceso a los datos de por lo menos cinco registros gubernamentales, incluidos los que gestionan información civil, de impuestos, de seguro social, de salud y de votantes. Alarmantemente, el intercambio de datos se iba a llevar a cabo como parte de un proceso “experimental” que carecía de salvaguardias que aseguraran el derecho a la privacidad de los ciudadanos.

De acuerdo con un análisis realizado por activistas de derechos digitales de Digital Security Lab, hasta agosto de 2020, el Ministerio del Interior aun no había desarrollado una metodología para tal verificación, pero eso no le ha impedido tener acceso a la vasta recopilación de datos personales de los ciudadanos.

El abogado de Digital Security Lab, Vita Volodovska concluyó:

Якщо у випадку із цифровими відображеннями документів у смартфоні, «експериментальний» доступ до інформації, здійснюється хоч і без повної відповідності принципу правової визначеності, але лише за згодою користувачів, то передача масивів персональних даних з державних реєстрів до МВС в рамках іншого експерименту, без згоди громадян та будь-якого незалежного контролю, суперечить вимогам чинного законодавства та Конституції України.

Mientras que en el caso de la muestra digital de documentos en teléfonos inteligentes, el acceso ‘experimental’ a la información se lleva a cabo con el consentimiento de los usuarios, aunque sin el pleno cumplimiento del principio de certeza jurídica, la transferencia de datos personales de registros estatales al Ministerio del Interior en otro experimento, sin el consentimiento de los ciudadanos ni ningún control independiente, contradice los requerimientos de la legislación vigente y la Constitución de Ucrania

El futuro de la aplicación dependerá muy probablemente de la capacidad del Estado de asegurar que los datos de los ciudadanos se digitalicen de acuerdo con los mas altos parámetros de privacidad, seguridad y derechos humanos.