:format(jpeg)/s3.amazonaws.com/arc-authors/elespectador/24c6dc9b-7a53-4316-87fd-eaca85d91eed.png){kind=small}
Un juez negó la tutela para proteger el derecho de los observadores técnicos electorales (que la Registraduría también llama auditores, pero hacen observación) a acceder al código fuente del software de escrutinio sin que les impongan condiciones inaceptables. Ojalá el juez de segunda instancia se separe de su decisión reconociendo que este caso plantea los nuevos desafíos de llevar las garantías del mundo físico al digital, para asegurar que la caja negra electoral se pueda abrir para estudiarla y contar lo que pasa.
El 4 y 5 de octubre se hicieron los ejercicios de explicación y exposición del código fuente y de funcionalidad del software de escrutinio de las próximas elecciones. Quienes se registraron para la observación técnica participaron en la jornada general, pero para acceder al código (el 5 y del 9 al 11) la empresa UT Disproel, con la aquiescencia de la Registraduría, pidió firmar un acuerdo de confidencialidad abusivo soportado en su propiedad intelectual. El acuerdo se conoce el mismo día del ejercicio, aplica no sólo sobre el código sino también sobre “cualquier otra información confidencial” -sin precisar a qué se refiere-, no tiene límite temporal y al firmarlo le da al contratista el poder de tomar medidas jurídicas contra quien investiga. Esto mismo pasó en 2022 con ese mismo software.
La tutela la presenta parte del equipo de observación electoral de la Fundación Karisma, donde trabajo, que acompañan en esto a la MOE. Quienes de este equipo estaban presentes en la exposición y pruebas se negaron a firmar el acuerdo de confidencialidad y debieron retirarse. Otras personas que participaron de esos espacios también se quejaron por la falta de garantías -dejando constancia en las actas- y algunas incluso se retiraron. Si las elecciones se van a tercerizar con privados, la decisión no puede afectar el derecho ciudadano a la transparencia. Es responsabilidad del Estado asegurarse de que ni la propiedad intelectual, ni otros motivos, eviten la observación electoral del software.
Un entorno que no protege a las personas que investigan de seguridad digital ni atiende el comportamiento de los propietarios de las soluciones de software que con frecuencia usan procedimientos legales para amenazarles, es lo que la OCDE (2021) identifica como el principal obstáculo y mayor riesgo legal para estas personas. Es un desequilibrio de poder que genera un efecto paralizador o inhibidor afectando los mecanismos de coordinación de vulnerabilidades, privándonos de sus beneficios -además de impactar en la salud de esas personas-. En recientes recomendaciones de seguridad digital la OCDE pidió crear “safe harbors” (puertos seguros) para estas personas y ajustar la ley cuando corresponda.
La presencia de personas haciendo observación electoral y, además, la divulgación de sus hallazgos, contribuye a la transparencia del proceso electoral al reducir la posibilidad de fraude y prácticas electorales deshonestas, lo que a su vez aumenta la confianza. La forma como la Registraduría permite revisar el código es un ejercicio limitado, Sin embargo, es necesario para construir confianza sobre el funcionamiento adecuado y seguro del software del proceso electoral y para buscar algunas vulnerabilidades que deberán corregirse, ojalá antes de las elecciones.
Estas personas que hacen la observación en nombre de organizaciones -sociedad civil, partidos y movimientos políticos, Consejo Nacional Electoral y entes de control como la Procuraduría- cuando deben aceptar que les inicien acciones legales por divulgar información pasan a actuar en su propio nombre. Es una forma de decirles que deben “portarse bien” o eso puede salirles caro. Esto es innecesario, desproporcionado y claro ejemplo del efecto paralizador que menciona la OCDE, con el agravante de que sucede en un proceso formal donde se espera que hagan control. Aún así, el juez dice que quienes demandaron sabían que había un acuerdo de confidencialidad y se retiraron por su propia voluntad. Tener un acuerdo no está mal, imponerlo sin que se puedan criticar y corregir abusos, sí. Lo que no quiso ver el juez fue el riesgo jurídico, la asimetría de poder y la violación a los derechos de esas personas.
Tampoco vio el riesgo para la democracia de un acuerdo de confidencialidad en esos términos. La observación electoral acreditada es una función de interés público, protege el ejercicio de derechos de la ciudadanía. No tener un marco jurídico protector (“safe harbor”), sino un entorno que habilita la amenaza con herramientas legales, afecta su capacidad personal y la colectiva de hacer seguimiento y control al proceso electoral. Como ejercicio de transparencia que es, estas personas deben poder ver el código y hablar del ejercicio, decir que hasta donde pudieron ver funciona bien (o no) y de buena fe hace lo que debe hacer, o informar si encontraron vulnerabilidades. En todo caso no es hacer una divulgación cualquiera, es contar lo sucedido sin los detalles que hagan pública la información más delicada. Las reglas del ejercicio no deben ser para silenciar, sino para acotar. Hablemos por ejemplo de buenas prácticas para reportar y divulgar vulnerabilidades.
En 2022, Karisma tampoco pudo ver el código del software de Disproel (por la misma razón), pero sí participó en el ejercicio del software de consolidación del escrutinio que es del Consejo Nacional Electoral (CNE). A pesar de los límites del ejercicio, encontraron dos vulnerabilidades que fueron reportadas con detalle únicamente a las autoridades correspondientes para que las repararan, públicamente sólo se mencionó su existencia. Además se le dijo a la Registraduría que una de ellas debía estar también en el software de Disproel, pues involucra la forma en la que se relacionaban ambos softwares. Durante el ejercicio del 4 de octubre se indicó que hubo correcciones en el software de Disproel, pero como no pudieron ver el código no se pudo verificar.
Hay lo que se llama la divulgación responsable de vulnerabilidades. La OCDE tiene otro informe para motivar políticas de buena gestión de las vulnerabilidades donde recoge buenas prácticas que pueden inspirar al CNE para hacer un acuerdo o protocolo para las elecciones ajustado a estándares. El punto es que en 2022 Karisma aplicó buenas prácticas, habló de las vulnerabilidades en forma responsable, ayudó a mejorar el software de consolidación del escrutinio y el mundo no se acabó. Sin embargo, en 2023 para otros dos software -de selección de testigos electorales y preconteo- también hubo ejercicio de transparencia con el código fuente, y, como con el de Disproel, también pidieron el acuerdo de confidencialidad con las mismas características, siendo la contraparte no un contratista sino la Registraduría. Se sigue apostando más a la fe que a la construcción de confianza
Tristemente el juez de tutela no concedió la medida provisional porque no estaba en riesgo la vida -no pensó ni en libertad de expresión ni en la democracia- y esta semana negó la tutela. La decisión será impugnada y eventualmente llegará a la Corte Constitucional.
Ojalá el proceso evite que esto se repita en otras elecciones. Para la justicia la importancia del caso radica en el derecho a investigar en procesos electorales mediados por tecnología. Es que el efecto caja negra de la tecnología electoral obliga a pensar en cómo mantener la habilidad para la sociedad de ver y hablar sobre cómo funciona el proceso, porque eso es lo que garantiza otros derechos. Proteger a quienes investigan del silenciamiento -por contratistas y por el Estado- importa porque cuando eso pasa se afecta su derecho a la libertad de expresión y participación, y se impactan otros derechos incluído el acceso a la información para toda la población y en todo caso, a la democracia.