21.9 C
Resistencia
28 noviembre, 2024

Descubren que el sistema informático del INADI pone en riesgo a miles de víctimas

El Instituto Nacional contra la Discriminación, la Xenofobia y el Racismo (INADI) fue creado en 1995 mediante la ley 24.515. El organismo es el encargado de, entre otras cosas y como su nombre lo indica, recibir denuncias de discriminación, actos xenofóbicos y/o racistas. Funciona desde 2005 bajo la órbita del Ministerio de Justicia y Derechos Humanos de la Nación.

La confidencialidad es un elemento clave para la protección de los datos de las víctimas denunciantes. Sin embargo, una investigación de la Auditoría General de la Nación (AGN) determinó que la protección de la información dentro del sistema informático del INADI muestra un abanico de vulnerabilidades con riesgos potenciales.

La cantidad de denunciantes cuyos datos debería resguardar el instituto está vinculado al número de denuncias que recibe el INADI. Según datos oficiales, en 2022 hubo 2.542 denuncias y en 2021 una cifra similar. La mitad fue realizada por mujeres y la mayoría por episodios en el ámbito laboral, según surge del informe de gestión que elabora el organismo.

Otros ámbitos de discriminación suelen ser la escuela, la vía pública, el barrio, los boliches, la familia y los locales de ropa, entre una larga lista de escenarios. En su último informe anual, el INADI detalló que el 50 por ciento de las denuncias de 2022 habían sido hechas por mujeres; el 42 por ciento por varones; y el resto por otros géneros.

El informe de la AGN

La inquietud que surge a partir del informe de la AGN es si los datos de esas personas, víctimas de actos de discriminación cuyas denuncias apuntan contra supuestos victimarios, están correctamente protegidos. La respuesta de la auditoría, concluida la investigación, es que esa aspiración circula por un carril lejano y paralelo al ideal.

Victoria Donda era la interventora del INADI en el momento en que fue realizada la auditoria. Foto: Federico López ClaroVictoria Donda era la interventora del INADI en el momento en que fue realizada la auditoria. Foto: Federico López ClaroLa pericia se focalizó en el tratamiento de denuncias recibidas en la sede central del INADI y en sus delegaciones; cómo fue el tratamiento de las consultas a través de los canales de comunicación; y también se indagó en la confección de estadísticas y en el “Mapa Nacional de la Discriminación”.

El período auditado fue de más de dos años, entre 1° de diciembre de 2019 al 31 de enero de 2022 y el trabajo fue aprobado por los seis auditores generales el miércoles pasado. La repartición era comandada por Victoria Donda al momento de la auditoría, cargo que ahora ocupa la interventora Greta Pena, abogada y periodista.

El primer hallazgo de la AGN está atado a lo estrictamente operativo: “El INADI no cuenta con un plan estratégico de tecnologías de la información (TI), lo que dificulta establecer una visión de mediano y largo plazo y evidenciar el rol que la tecnología debe tener para brindar soporte sobre procesos críticos”. Afirma también que “la estructura organizacional de TI posee un diseño inadecuado e insuficiente para cumplir con eficiencia y eficacia sus funciones”.

Luego entra de lleno en el aspecto más inquietante del informe, que es el referido a la seguridad de la información. Entonces dice que “no posee políticas de seguridad de la información transversales” y que eso “impacta su confidencialidad, integridad y disponibilidad”. Agrega que “no cuenta con un plan de seguridad de la información consistente, y conduce a vulnerabilidad en los procesos críticos de la organización”.

Otro punto que se advierte es que “la gestión de ‘usuarios’ para acceder a la base de datos de denuncias por discriminación es inadecuada, poniendo en riesgo la confidencialidad, integridad y disponibilidad de la información”, además de que el personal de TI “no realiza pruebas de seguridad e intrusión sobre la plataforma, o sobre entornos de soporte a denuncias, consultas y estadísticas, lo que no permite medir la seguridad, diagnosticar y tomar acciones correctivas”.

Jesús Rodríguez, presidente de la Auditoría General de la Nación.Jesús Rodríguez, presidente de la Auditoría General de la Nación.En cuanto a la seguridad de la infraestructura de TI, la conclusión es que “la sala de servidores que aloja el soporte informático y la oficina donde se aloja el servidor de denuncias por discriminación no cumplen con las condiciones mínimas”.

Y acota que esa situación “coloca al organismo en una situación de alto nivel de riesgo y vulnerabilidad, más aún considerando que los procesos relacionados con las denuncias por discriminación, gestionan información sensible y de carácter reservado”.

La investigación aporta varios ejemplos de estos déficits. Uno, por ejemplo, lo observa en el proceso de recepción de consultas. Explica que “el organismo opera y accede a una base de datos que se encuentra tercerizada, bajo un sistema desarrollado por la empresa Gradicom S.A., que requiere el licenciamiento de usuarios para su operación e ingreso de datos sobre la misma”. Y que el INADI sólo ha licenciado la cantidad de usuarios que trabajan en la sede central, motivo por el que “las delegaciones no tienen acceso a la carga de datos sobre este entorno tecnológico, lo que genera que éstas deban enviar mensualmente por correo electrónico las planillas de cálculo con las consultas recibidas localmente”.

Además, agrega, “el proceso de recepción de datos aplicado por las delegaciones no cuenta con procedimientos documentados y formalizados para cada uno de los subprocesos involucrados, como ser: el envío de las planillas por parte de las delegaciones; la guarda de esta información, tanto en correos electrónicos como en carpetas de red compartidas; la gestión de la información de consultas recibida desde las delegaciones.

Sin plan de contingencia

Lo que sigue no es mejor: se refiere a la continuidad de las operaciones y concluye, simplemente, que “el personal de TI no cuenta con Plan de Recuperación de Desastres formalizado, y hay un riesgo de alto impacto ante una interrupción de TI, sobre los cuales el INADI tiene una alta dependencia”.

Por último agrega que el personal de TI “no cuenta con procedimientos formalizados de resguardo de la información (backups) que establezcan la ejecución y los períodos de copias de respaldo y sus pruebas de restauración”.

Luego la AGN pone el foco en uno de los pilares programáticos del INADI: la Coordinación de Recepción y Evaluación de Denuncias (CRED) de la Dirección de Asistencia a la Víctima (DAV), sobre lo que afirma que “no monitorea el servicio de conectividad de la “Línea 168” (ex 0800) e imposibilita medir cumplimiento del servicio”.

Los puntos finales del informe, del que aquí se extraen los párrafos salientes, son igual de preocupantes:

– “La DAV y la CRED no controlan el nivel de servicio contratado para la “Línea 168” y las áreas usuarias no pueden gestionar, controlar y medir la calidad de la prestación”.

– “Los sistemas y procesos aplicados para el tratamiento de denuncias y consultas por discriminación no se encuentran integrados, poniendo en riesgo su integridad al momento de ser recibida y posteriormente al momento de su procesamiento”.

– “No se cuenta con políticas y procedimientos formalizados para la base de datos de denuncias por discriminación que puedan garantizar la confidencialidad de la información”.

– “La DAV no ha formalizado la firma de un acuerdo de confidencialidad con los empleados que tienen acceso a información reservada, generada por las denuncias de discriminación que le asegure la no divulgación”.

La AGN atribuye a varios motivos los desmanejos en el INADI. Por un lado, consigna que en los últimos años la cantidad de denuncias creció un 33 por ciento y la infraestructura del organismo no se amplió. Por otro, destaca que si bien debería estar dirigido y administrado por un directorio, asistido por un Consejo Asesor con funciones consultivas, “desde 1997 fue intervenido de manera intermitente”. En total, ha pasado 25 de sus 28 años intervenido.

PS

Últimas Noticias
NOTICIAS RELACIONADAS