Instituido en 1995 mediante la ley 24.515, el Instituto Nacional contra la Discriminación, la Xenofobia y el Racismo (INADI) cumple vastas funciones de asistencia, recibiendo miles de denuncias relacionadas con actos discriminatorios o racistas, y desde 2005 opera bajo la jurisdicción del Ministerio de Justicia y Derechos Humanos de la Nación.
En ese ámbito, la confidencialidad es un componente esencial, para resguardar los datos de las víctimas que presentan denuncias, que arriesgan muchas veces su propia seguridad física. Pero un estudio realizado por la Auditoría General de la Nación (AGN) en ese organismo, concluyó que los precarios sistemas informáticos que usa el INADI permiten una serie de vulnerabilidades, lo que potencialmente compromete la protección de esa información.
El número de personas que requieren protección de datos por parte del instituto guarda relación con la cantidad de denuncias recibidas por el INADI. Según estadísticas oficiales, en el año 2022 se registraron 2.542 denuncias, cifra comparable a la del año 2021. De estas, la mitad fueron presentadas por mujeres, y la mayoría de los casos tuvieron lugar en el ámbito laboral, según se desprende del informe de gestión elaborado por el organismo.
Diversos entornos propician situaciones de discriminación, incluyendo la escuela, la vía pública, el vecindario, locales nocturnos, el ámbito familiar y tiendas de ropa, entre otros escenarios. En su más reciente informe anual, el INADI proporcionó una desglose de las denuncias de 2022, revelando que el 50 por ciento de estas fueron presentadas por mujeres, el 42 por ciento por hombres, y el resto por personas de otros géneros.
El informe de la AGN
La inquietud que se deriva del informe de la AGN plantea la pregunta crucial sobre si los datos de las personas afectadas por actos de discriminación, cuyas denuncias apuntan a posibles responsables, están adecuadamente resguardados. La respuesta de la auditoría, tras concluir la investigación, indica que esa aspiración se desplaza por un camino distante y paralelo al ideal deseado.
La pericia se centró en la gestión de denuncias recibidas tanto en la sede central del INADI como en sus delegaciones. Se examinó la manera en que se manejaron las consultas a través de los canales de comunicación, además de investigar la elaboración de estadísticas y la construcción del "Mapa Nacional de la Discriminación".
El lapso bajo examen abarcó un periodo de más de dos años, comprendido entre el 1 de diciembre de 2019 y el 31 de enero de 2022. El informe resultante fue aprobado por los seis auditores generales el miércoles pasado. Durante la auditoría la dirección de la entidad estaba a cargo de Victoria Donda, posición que en la actualidad ocupa la interventora Greta Pena, abogada y periodista.
El primer hallazgo de la AGN está atado a lo estrictamente operativo: “El INADI no cuenta con un plan estratégico de tecnologías de la información (TI), lo que dificulta establecer una visión de mediano y largo plazo y evidenciar el rol que la tecnología debe tener para brindar soporte sobre procesos críticos”. Afirma también que “la estructura organizacional de TI posee un diseño inadecuado e insuficiente para cumplir con eficiencia y eficacia sus funciones”.
Posteriormente, el informe aborda de manera más detallada el aspecto más preocupante, relacionado con la seguridad de la información. En este sentido, señala que la institución “no posee políticas de seguridad de la información transversales” y que eso “impacta su confidencialidad, integridad y disponibilidad”. También destaca que “no cuenta con un plan de seguridad de la información consistente, y conduce a vulnerabilidad en los procesos críticos de la organización”.
Se destaca asimismo que “la gestión de 'usuarios' para acceder a la base de datos de denuncias por discriminación es inadecuada, poniendo en riesgo la confidencialidad, integridad y disponibilidad de la información”.
Además, se subraya que el personal de Tecnologías de la Información (TI) “no realiza pruebas de seguridad e intrusión sobre la plataforma, o sobre entornos de soporte a denuncias, consultas y estadísticas, lo que no permite medir la seguridad, diagnosticar y tomar acciones correctivas”.
En lo que respecta a la seguridad de la infraestructura de Tecnologías de la Información (TI), la evaluación concluye que “la sala de servidores que aloja el soporte informático y la oficina donde se aloja el servidor de denuncias por discriminación no cumplen con las condiciones mínimas”.
Y agrega que esa situación “coloca al organismo en una situación de alto nivel de riesgo y vulnerabilidad, más aún considerando que los procesos relacionados con las denuncias por discriminación, gestionan información sensible y de carácter reservado”.
La investigación proporciona varios ejemplos de estas deficiencias. Un caso específico se observa en el proceso de recepción de consultas. Se explica que “el organismo opera y accede a una base de datos que se encuentra tercerizada, bajo un sistema desarrollado por la empresa Gradicom S.A., que requiere el licenciamiento de usuarios para su operación e ingreso de datos sobre la misma”.
Se destaca que el INADI solo adquirió licencias para la cantidad de usuarios que trabajan en la sede central, lo que resulta en que las delegaciones "no tienen acceso a la carga de datos sobre este entorno tecnológico, lo que genera que éstas deban enviar mensualmente por correo electrónico las planillas de cálculo con las consultas recibidas localmente”.
Además, agrega, “el proceso de recepción de datos aplicado por las delegaciones no cuenta con procedimientos documentados y formalizados para cada uno de los subprocesos involucrados, como ser: el envío de las planillas por parte de las delegaciones; la guarda de esta información, tanto en correos electrónicos como en carpetas de red compartidas; la gestión de la información de consultas recibida desde las delegaciones".
Sin plan de contingencia
Hace mención a la continuidad de las operaciones y llega a la conclusión directa de que “el personal de TI no cuenta con Plan de Recuperación de Desastres formalizado, y hay un riesgo de alto impacto ante una interrupción de TI, sobre los cuales el INADI tiene una alta dependencia”.
Posteriormente, la Auditoría General de la Nación (AGN) se centra en uno de los fundamentos programáticos del INADI: la Coordinación de Recepción y Evaluación de Denuncias (CRED) de la Dirección de Asistencia a la Víctima (DAV), señalando que “no monitorea el servicio de conectividad de la “Línea 168” (ex 0800) e imposibilita medir cumplimiento del servicio”.
Las claves del informe de AGN que se utilizará para investigar el acuerdo con el FMI en 2018
Por último agrega que el personal de TI “no cuenta con procedimientos formalizados de resguardo de la información (backups) que establezcan la ejecución y los períodos de copias de respaldo y sus pruebas de restauración”.
Los puntos finales del informe, del que aquí se extraen los párrafos salientes, son igual de preocupantes:
- “La DAV y la CRED no controlan el nivel de servicio contratado para la “Línea 168” y las áreas usuarias no pueden gestionar, controlar y medir la calidad de la prestación”.
- “Los sistemas y procesos aplicados para el tratamiento de denuncias y consultas por discriminación no se encuentran integrados, poniendo en riesgo su integridad al momento de ser recibida y posteriormente al momento de su procesamiento”.
- “No se cuenta con políticas y procedimientos formalizados para la base de datos de denuncias por discriminación que puedan garantizar la confidencialidad de la información”.
- “La DAV no ha formalizado la firma de un acuerdo de confidencialidad con los empleados que tienen acceso a información reservada, generada por las denuncias de discriminación que le asegure la no divulgación”.
La AGN atribuye a varios motivos los desmanejos en el INADI. Por un lado, consigna que en los últimos años la cantidad de denuncias creció un 33 por ciento y la infraestructura del organismo no se amplió. Por otro, destaca que si bien debería estar dirigido y administrado por un directorio, asistido por un Consejo Asesor con funciones consultivas, “desde 1997 fue intervenido de manera intermitente”. En total, ha pasado 25 de sus 28 años intervenido.
