Rodolfo Arias
Allá por 1997 estaba en construcción el SCIJ, Sistema Costarricense de Información Jurídica. Yo tenía a cargo la dirección técnica, en la empresa consultora. Ese sistema, que ya tiene una veintena de años en servicio, publica en Internet la legislación vigente, que se sistematiza en la Procuraduría, así como jurisprudencia de diversa índole, tanto de las salas de la Corte Suprema como de tribunales de Hacienda y de Derechos Humanos.Cierta vez, en aquel tiempo, me topé con el finado Luis Paulino Mora, por entonces Magistrado Presidente de la Sala Constitucional, en la explanada que hay entre el edificio de la corte y el de la OIJ.
“Rodolfo”, me preguntó con su tono bonachón, “¿qué tan riesgoso es que con ese nuevo sistema pueda filtrarse información sensible que pueda dar al traste con el debido proceso judicial, o bien lesionar derechos del ciudadano?”.
Le pedí ejemplos y me los dio: “Imagínese que se filtre un proyecto de resolución, antes de que haya sido sometido a votación y antes de que se le hayan incorporado los ajustes definitivos, o que se cuele información privada de las partes, sean testigos, víctimas, cómplices… ”
Le hablé de seguridad informática, de la topología de redes que se usa para proteger la información que está siendo producida, le expliqué algo a propósito de “firewalls” y tipos de servidor.
He de confesar, sin embargo, que yo quedé más intranquilo que él.
Los siguientes lustros, de ajetreada vida de consultor, me llevaron una y otra vez al mismo intríngulis.
En República Dominicana pusimos en marcha un centro integrado de información laboral, en la Secretaría de Trabajo. Había, por ejemplo, estadísticas sobre procesos de conciliación obrero-patronales, o procesos de asistencia judicial a trabajadores. En El Salvador montamos un observatorio de transparencia para el Órgano Judicial, en Guatemala algo similar al SCIJ de aquí, en Honduras diseñé un portal Web interinstitucional, que abarcaba la Policía, la Fiscalía y el Poder Judicial.
También anduve por el muy complejo mundo de la información bancaria. Por ejemplo, en el Banco Nacional dirigí un proyecto llamado BUC, Base Única de Clientes, con el que se unificó la información personal de todos los clientes del banco, y para todos los productos y servicios: cuentas corrientes, créditos hipotecarios o fiduciarios, depósitos a plazo, fideicomisos, etc.
Una y otra vez el reto era el mismo: cómo producir información que atendiera las necesidades de los usuarios externos tanto como las de toma de decisiones gerenciales en la institución, pero sin que ello implicara un riesgo inmanejable de exponer datos sensibles, es decir, una violación al derecho de privacidad de personas físicas y jurídicas.
Con el tiempo llegué a la conclusión de que existían tres ámbitos claramente diferenciados donde debía hacerse un esfuerzo específico de diseño e implementación.
El primero era la producción de la información. Por ejemplo el proceso que culmina en la sentencia de fondo de un litigio penal. La protección y garantía de privacidad era crucial aquí.
El segundo era la sistematización de la información. Por ejemplo la manipulación de grandes volúmenes de registros para la obtención de indicadores, tendencias, gráficos y así por el estilo. O, por ejemplo, la supresión de información sensible (“anonimización”) cuyo acceso está por ley restringido a ciertos actores en el proceso.
El tercero era la difusión de la información, donde se debía garantizar que el acceso fuera tan amplio y expedito como se pudiera, al tiempo que estuviera diferenciado según el perfil de cada consultante. Aquí, un elemento clave era la imposibilidad de modificar información ya publicada, o bien el control minucioso de versiones, y de la autoría de éstas, cuando fuese necesario introducir modificaciones.
Lo anterior era, con todo, apenas un flanco de un problema mayor. Sólo se refería a la factibilidad técnica del sistema. Al lado estaba otro ámbito de gestión incluso más difícil: la factibilidad operativa.
Ésta hace referencia a qué tan bien se han sentado las bases organizacionales, infraestructurales, y legales o normativas, sobre las cuales operará el nuevo sistema. Por ejemplo, si no estaba adecuadamente definido quién tendría a su cargo la dirección técnica, quién la jefatura operativa, quién el aseguramiento de la calidad… nada caminaría.
Y peor aún: si no estaba consolidado el marco legal, todo se iría tarde o temprano al traste. De nada valía una red con unos “routers” y unos servidores de última tecnología, o un sistema diseñado con todo lujo, si las leyes, decretos y demás elementos del marco normativo no habían sido dictadas y puestas en marcha con la antelación necesaria. O si no estaba consolidado el entorno interinstitucional de convenios, controles cruzados, intercambio de datos, delimitación de roles y así sucesivamente.
Me he extendido en esta glosa de experiencias, conceptos y modelos porque conforme pasan los días y me voy enterando de las diversas aristas del escándalo de la UPAD no cesa de crecer mi estupor. Por decirlo con una expresión de uso diario: no lo puedo creer.
No ampliaré al respecto porque esta nota ya es larga, y porque han corrido y siguen corriendo ríos de tinta al respecto. Voy a limitarme a señalar tres elementos:
Improvisación. No puede ser que la UPAD haya funcionado durante tanto tiempo y que después se haya intentado consolidar su marco normativo mediante el trágico decreto.
Descoordinación. Es inexcusable que la UPAD haya sido puesta en marcha sin los convenios y mecanismos indispensables con su entorno; para el caso resalta la ausencia de nexos estables con la Comisión Nacional de Datos Abiertos o con MIDEPLAN.
Desorganización. No es de recibo que la estructura organizacional de la UPAD haya sido tan frágil, tan ad líbitum. Si fuera al contrario, sus responsables la habrían podido defender, en vez de saltar por la borda en masa con sus renuncias.
Hay un término muy nuestro que engloba estos tres aspectos: chambonada.
Y está tan claro en este desastre, que yo me atrevería a decir que el dolo primario aquí no ha sido el intento de manipular datos sensibles de la ciudadanía. Esto es habitual, y se hace en un ministerio de trabajo, en una corte, en un banco, en cualquiera de los casos que reseñé antes.
Lo que en rigor conlleva un daño a nuestra sociedad, real y potencial y jurídicamente de la mayor relevancia, es la chambonada con que todo esto se hizo. La intención era tan buena como necesaria, pero la torpeza no es excusa; llámesele malpraxis, impericia o negligencia.
El chambón es culpable. Y bien lo dice el viejo refrán: al que es tonto ni Dios lo quiere.
Tomado de Facebook