“La falta de eficiencia, eficacia y legalidad del inculpado en la función propia de su calidad de investigador del Consejo Directivo, significó un incumplimiento grave no sólo de las cláusulas establecidas en su contrato, sino también de sus deberes funcionarios y una vulneración al deber de reserva constitucional y legal respecto de los datos sensibles latamente referidos”.
Sumariado y destituido del Servicio Electoral (Servel) terminó Víctor Hugo Parra Valdenegro, investigador del Consejo Directivo del organismo. Su historia consta en un sumario de 914 páginas -al que accedió la Unidad de Investigación de BioBioChile- que reconstruye cómo se gestó la filtración de datos personales de más de 15 millones de ciudadanos en 2022.
Todo fue una cadena de omisiones. Las alarmas se encendieron en las oficinas del Servicio Electoral (Servel) a eso del mediodía del 28 de abril de ese año.
Por ese entonces, la prensa reveló que, mediante una base de datos, la institución publicó por error los RUT, edad y militancia política de quienes estaban habilitados para votar el 15 y 16 de mayo de 2021. Incluso, la filtración del Servel permitía distinguir entre quiénes sufragaron en aquella oportunidad y quiénes no.
Los datos corresponden a aquella megaelección en medio de la pandemia, que incluyó constituyentes, alcaldes, concejales y, por primera vez en la historia, gobernadores regionales. Información que por mandato constitucional reviste carácter de secreta y que -por lo tanto- debía ser resguardada de la luz pública.
Para la casa
Según consta en el expediente administrativo, el Servel se enteró por la prensa de la masiva filtración. Tras ello, el Consejo Directivo se reunió de urgencia, emitió una declaración pública admitiendo una violación a los procedimientos internos y ordenó una investigación.
Las primeras instrucciones fueron ordenadas personalmente por Andrés Tagle, presidente de la instancia, incluso en medio del feriado por el Día del Trabajador. El sumario propiamente tal comenzó a primera hora del día siguiente, el 2 de mayo. A cargo del proceso quedó el abogado Roberto Salim-Hanna, subdirector de Partidos Políticos del Servel.
Esa misma jornada tomó declaración a casi una decena de funcionarios, incluidos Luis Gutiérrez Rozas, de la División de Tecnologías de la Información (TI); y Francisco Espinoza Guzmán, de la Unidad de Comunicaciones, que de una u otra manera estaban involucrados en el proceso de publicación de la información. Sin embargo, desde un principio todos apuntaron a un nombre: Víctor Parra Valdenegro, funcionario de la Unidad de Investigación del Consejo Directivo.
Inmediatamente, tras emitir su declaración, Parra fue suspendido de sus funciones ese mismo día. Por si fuera poco, Salim-Hanna ordenó la prohibición de ingreso “a todas las dependencias” de la institución y el uso de los sistemas computacionales de la misma. En el acto, Parra debió entregar sus tarjetas de acceso, su computador y los discos duros provistos por el Servel.
De anónimos a ciudadanos identificados
Tras cada elección, el Consejo Directivo del Servel pide al equipo de Investigación analizar los datos de participación. Esos resultados se exponen ante ellos y luego las bases de datos quedan a disposición en el sitio web, donde generalmente son descargadas y utilizadas por docentes que las ocupan con fines académicos.
Siempre dicha información queda anonimizada. Es decir, no se identifica a ningún elector de forma individual.
Todo partió el 9 de noviembre de 2021. Parra le pidió a TI incorporar a las bases de datos los RUT y DV (dígito verificador). No es algo habitual, pero se hacía necesario con los datos de estos sufragios para poder responder a una petición en particular: distinguir la participación de electores identificados como miembros de algún pueblo originario, lo que ocurrió de forma inédita en aquella elección de constituyentes.
Naturalmente, esa base la usó para efectos internos y cumplir con los propósitos de su trabajo, que incluía crear los gráficos correspondientes mediante el software Tableau.
Desde esa fecha la base de datos quedó con esos cambios incorporados. Fue el paso previo para que se concretara la filtración del Servel.
Solicitudes de transparencia
El tema volvió a surgir cuatro meses después, el 28 de marzo de 2022, ante un par de solicitudes vía Transparencia. En buenas cuentas, dos ciudadanos requirieron al Servel la publicación de las bases de datos o el envío de los datos en formato CSV (lo que permite visualizarlos en Tableau). Quienes las requerían, como era de esperar, lo hacían con fines de análisis académico.
Para cumplir con los plazos, Parra solicitó la publicación del archivo el 6 de abril a la Unidad de Comunicaciones del Servel, que es la que por protocolo tiene que subir el archivo a la web.
Al día siguiente, Comunicaciones pidió a TI las vistas de los gráficos y las bases de datos, y les pidieron validar con Parra que dicha información sea la correcta.
Por su parte, de acuerdo al sumario, Comunicaciones corroboró con el equipo de Investigación que el archivo CSV a subir era el señalado. Tras ello quedó disponible en la web el 12 de abril.
Datos expuestos
De acuerdo al proceso, el Servel respondió a los requirentes que la información ya estaba disponible en línea. Pero la base de datos fue subida mediante un archivo roto, que no permitía su correcta visualización.
Tras recibir el aviso, el 27 de abril TI envió otro archivo para reemplazar el erróneo, el cual fue subido por Comunicaciones ese día cerca de las 14:00 horas.
En aquella ocasión fue posible visibilizar el archivo y se encendieron las alarmas: primero entre quienes lograron descargarlo, luego en la prensa y finalmente en el propio Servel.
El problema fue que la nueva base de datos disponible en la web del organismo fue justamente aquella que contaba con los RUT y la filiación política de los electores. Información que debería haber sido eliminada antes de su publicación.
La reacción del Servicio Electoral fue bajar el documento digital apenas se enteró del error, al mediodía del 28 de abril. En simple, estuvo disponible por prácticamente 24 horas.
Descarga inusual
Según consta en la declaración de la jefa de Unidad de Comunicaciones, el día de la filtración ingresaron cerca de 120 personas a la página que contenía el archivo descargable.
—¿Ese tráfico de 120 personas de visualización a esa publicación es usual? —interrogó el fiscal.
—No es usual —respondió la jefa de la repartición.
Con todo, un informe interno remitido más tarde a Salim-Hanna, detalló que el archivo fue descargado 17 veces y, esta vez, al contrario de como se hace habitualmente, la información no quedó anonimizada.
Nadie reparó en que para publicar los datos era necesario eliminar el cambio realizado en noviembre de 2021, que permitía individualizar a los electores.
Por ese entonces, Parra estaba en su cargo reemplazando a otra funcionaria y, de acuerdo a lo que se expuso en el proceso de sumario interno, no sabía que era su responsabilidad validar la publicación de bases de datos.
A raíz de ello, el Servel decidió desvincularlo de la institución. Aún más, el organismo resolvió autodenunciarse ante el Ministerio Público por los hechos ocurridos.
“Mi persona no autorizó ni validó una base de datos”
Con todo, el 8 de junio de 2022, Víctor Parra presentó sus descargos para intentar revertir la decisión, y aseguró: “Mi persona no autorizó ni validó una base de datos”.
En ese sentido, recalcó que fue un trabajo realizado por TI, quienes “son dueños de sus propios datos” y que él como investigador sólo “obtuvo las estadísticas necesarias de dichas bases”.
Asimismo, admitió que nunca había realizado dicha labor antes: “Mi persona no ha vivido ni trabajado en la publicación de datos abiertos anteriormente, específicamente de participación electoral, debido a que comienzo mi trabajo con el Servicio Electoral en septiembre de 2021 hasta mayo de 2022, fechas en que no se habían publicado estos datos para elecciones previas. Por tanto, el procedimiento habitual de publicación de datos no era de conocimiento”.
En tanto, también se defendió diciendo que “en ningún momento se me notifica que mi persona u otra debe ser quien valide dicha información” y, además, que cuando se subió el segundo archivo él no fue parte de la conversación.
A mediados de 2022 se cerró el sumario. Pero semanas después el proceso fue reabierto, para incorporar nuevas diligencias. En el proceso no sólo se formularon cargos contra Parra, sino también a Gutiérrez y Espinoza. En dicha instancia volvieron a exponer sus descargos.
Filtración en el Servel: un destituido y dos absueltos
El 7 de septiembre el fiscal del sumario entregó su resolución final. Para Gutiérrez y Espinoza recomendó el mismo castigo: suspensión de 30 días con goce del 50% de sus remuneraciones. En tanto, Parra se llevó la peor parte, pues en su caso se resolvió la destitución.
Tras ello, el expediente fue elevado a la directora subrogante del Servel, Elizabeth Cabrera Burgos, quien confirmó la sanción y los cargos contra Parra el 12 de octubre, puesto a “esta autoridad le asiste plena convicción en torno a la responsabilidad que le cabe”.
“La falta de eficiencia, eficacia y legalidad del inculpado en la función propia de su calidad de investigador del Consejo Directivo, significó un incumplimiento grave no sólo de las cláusulas establecidas en su contrato, sino también de sus deberes funcionarios y una vulneración al deber de reserva constitucional y legal respecto de los datos sensibles latamente referidos”, versa la resolución que selló la salida de Parra.
Sin embargo, discrepó respecto de los cargos contra Gutiérrez y Espinoza, por lo que no aplicó ningún castigo para ellos, por considerar que la validación de la base de datos no era parte de sus funciones. Es decir, fueron absueltos.
Parra, el 25 de octubre, presentó un recurso de revisión, el cual fue visto por el Consejo Directivo del Servel el 7 de diciembre. Su intento finalmente fue desechado.
Refuerzos tras filtración en el Servel
Consultados por BioBioChile, desde el Servel señalaron el miércoles recién pasado que realizaron cambios para evitar que esta situación se repita con información de procesos eleccionarios en el futuro.
A partir de la exposición de datos del 28 de abril han realizado una serie de acciones “para reforzar el compromiso con la mejora continua de los procesos y la seguridad de la información, enfocadas en robustecer la estructura y gobernanza en materia de datos personales, sensibles y seguridad de la información”.
En particular, “algunas mejoras tienen que ver con el marco normativo de seguridad de la información; la política de protección de datos personales; el procedimiento para solicitar y anonimizar datos; el procedimiento para la generación, tratamiento, publicación y mantenimiento de datos abiertos; y el procedimiento para publicación de contenido en los distintos sitios web del Servicio Electoral y Transparencia Pasiva”.
Al mismo tiempo, explican que “se reforzó la estructura organizativa de la División de Tecnologías de la Información, fortaleciendo la protección de los datos, a través de un encargado de gobierno de datos y arquitectura. En conjunto con lo anterior, se realizó un proceso de capacitación y evaluación en las materias normativas de protección y tratamiento de datos personales a todos los funcionarios de Servel”.
El sumario del Servel que terminó con funcionario destituido por masiva filtración de datos personales
