RioCard: concentración de datos y dinero en el transporte público

En diciembre de 2015, la Asamblea Legislativa de Río de Janeiro aprobó el uso de identificación biométrica mediante reconocimiento facial en los autobuses. Poco antes del inicio de los Juegos Olímpicos se lanzó la tarjeta RioCard Duo, en asociación con Visa. Esta tarjeta permite hacer compras mediante débito y también crea un registro de los hábitos de consumo y la cuenta bancaria. El caso de la RioCard señala una tendencia mundial: la integración de cada vez más servicios en la misma tarjeta.

En América Latina, ciudades como Buenos Aires, Bogotá y San Pablo ya adoptaron sistemas similares. Generar e integrar datos es un modelo de negocios prometedor que viene siendo explorado por los más variados sectores, desde Google hasta RioCard. La integración de servicios presupone la integración de diferentes sistemas de información y, a medida en que los registros se asocian a datos personales, los servicios integrados generan grandes bases de datos con información variada sobre quiénes somos, por dónde andamos y qué consumimos. Y los organismos estatales que están recibiendo y procesando esa montaña de datos, como RioCard en Río de Janeiro, no logran o no quieren explicar con claridad qué hacen o dejan de hacer con la información, con quién la comparten y qué medidas de seguridad utilizan para esos datos no terminen expuestos en otrocaso como el del SUS(Sistema Único de Salud), en el que información delicada sobre miles de personas se volvió accesible para cualquiera, generando riesgos potenciales a su integridad física y moral. 

Muchas idas y vueltas en pocas manos

El boleto único es una política pública en el estado de Río de Janeiro, aprobada en 2009 e implementada a partir del año siguiente. La emisión, comercialización y distribución de las tarjetas está, por contrato, a cargo de la Federación de Empresas de Transportes de Pasajeros de Río de Janeiro (Fetranspor). La entidad congrega 10 sindicatos, reuniendo cerca de 200 empresas de autobuses en todo el Estado. Y también es dueña de RioPar Participações S.A., un holding que controla diversos aspectos relacionados con el transporte colectivo, uno de cuyos brazos es RioCard TI, responsable por la gestión de los datos recogidos por las tarjetas del boleto único.

La emisión, comercialización y distribución de boletos está en manos de la Fetranspor hace mucho tiempo y, mientras no haya un cambio en el contrato, continuará a su cargo para siempre. En 1987, la Resolución 215/1987 de la Secretaría de Transporte del Estado de Río de Janeiro concedió a Fetranspor exclusividad en cuanto a los servicios de expendio de boletos, en una concesión que no tiene fecha de vencimiento. Todo lo relacionado a los boletos de autobús, barco, metro y tren en Río de Janeiro está concentrado en las manos de Fetranspor.

A pesar de que son muchas, las empresas que operan autobuses en la ciudad están concentradas en las manos de un pequeño número de empresarios. Los mismos nombres están registrados como socios o directores de varias empresas que actúan en diferentes sectores de la ciudad. O sea, además de lucrar en varios frentes con el transporte, ese núcleo restringido también concentra la posesión de información sobre las personas que utilizan sus servicios, un capital cada vez más valioso.

Por mencionar solo un ejemplo, el empresario Jacob Barata, conocido en Río de Janeiro como el “rey de los autobuses”, es el dueño directo o indirecto de aproximadamente el 25% de la flota de autobuses de la ciudad. Los lucros elevados permitieron que Barata ampliase su alcance a otros estados brasileños, además de impulsar iniciativas en países europeos, como Portugal. El heredero de Barata, Jacob Barata Filho, es uno de los socios principales de M2M Solutions, que realiza el monitoreo en tiempo real, mediante GPS, de los viajes de autobús por la ciudad para la Secretaría Municipal de Transportes de Río de Janeiro (SMTR). La familia Barata también es socia mayoritaria de otra empresa, Linktrans, una compañía de tecnología de la información que genera informes a partir de los datos del GPS para las empresas de autobuses. Los Barata administran los datos de los ciudadanos también en otros puntos de Brasil: en colaboración con la familia Feitosa, que también controla una parte de los autobuses de diferentes empresas del estado vinculadas a Jacob Barata, dominan Mandacaru Administradora de Cartões S.A., responsable por Libercard, la tarjeta de boleto único del estado de Ceará.

Lo mismo pasa con RioCard. Documentos de la Receita Federal (el organismo de recaudación impositiva) muestran que pertenece a tres socios principales: Andre Nolte, Luiz Claudio Cruz Marques y Paulo Chaves Borgerth Teixeira. En la presidencia del directorio del holding, sin embargo, hay un nombre más familiar: Jacob Barata Filho, heredero del imperio de los Barata y socio o director de varias empresas que operan autobuses en Río de Janeiro. O sea, por dónde sea que se viaje en los autobuses de Río, los datos que permiten rastrear el movimiento de todos nosotros están yendo a parar a las manos de empresarios muy poderosos, como los Barata.

Es de esperar que el poder público, en la medida en que cede la explotación de los servicios a los concesionarios, tenga directrices claras sobre cómo debe operar el sistema, lo que incluye la gestión de los datos personales recogidos, ya que se trata de información privada sobre las personas. Pero el gobierno de Río de Janeiro tiene mucho menos control de la situación de nuestros datos de lo que quisiéramos creer.

Datos personales: un viaje con varias paradas y un solo destino final

Para supervisar el cumplimiento de los contratos de concesión, la Secretaría Municipal de Transporte de la ciudad de Río (SMTR) y la Secretaría de Transportes del Estado de Río de Janeiro (Setrans) reciben informes con los datos recopilados durante el funcionamiento del sistema de venta y utilización de boletos. Sin embargo, no existe un contrato legal que deje claro de qué manera se utilizarán los datos sobre el transporte de los ciudadanos ni a quién se le transferirán, ya sea en el sector público o privado.

“No hay ninguna norma que garantice la seguridad y la privacidad de los datos personales de los pasajeros en Río de Janeiro”, dice Flávio Siqueira Junior, abogado especialista en derechos difusos y colectivos. “Por ser un servicio público concedido a la iniciativa privada, las reglas siempre deberían ser bien claras, para evitar que las empresas tengan carta blanca para hacer lo que quieran con esa información”.

La totalidad de la información recogida permanece en poder de RioCard y, por lo tanto, de la Fetranspor. El gobierno solo recibe informes usados para la prestación de cuentas de las empresas de autobuses, considerando que la Coordenação e Controladoria geral do Bilhete Único, un organismo de la Setrans, tiene acceso a la base de datos para auditar el sistema contra fraudes, pero no controla qué hace la Federación con los datos, como por ejemplo si los vende a databrokers. Con la emergencia de una economía basada en datos, la concentración de esta información como propiedad de RioCard puede convertirse en un negocio muy lucrativo. En resumen, una entidad privada, controlada por un pequeño número de personas, es la única “dueña” de un enorme banco de datos con información referente a la mayoría de los ciudadanos de Río de Janeiro.

El sistema RioCard es alimentado tanto por viajes municipales como intermunicipales. Dentro de la ciudad de Río de Janeiro, Rio Ônibus, el sindicato de las empresas de autobuses del municipio, transfiere algunos datos (referentes a los tipos de vehículos y los trayectos recorridos por los usuarios) directamente a la SMTR. Después de la auditoría, la Secretaría libera los recursos financieros para el mantenimiento del sistema. La Fetranspor no participa de manera directa en ese proceso, a pesar de que reciba en paralelo toda la información generada por Rio Ônibus, incluso aquella que no se transfiere a la Secretaría Municipal.

En el auge de las manifestaciones contra el aumento de los pasajes de autobús en 2013, el entonces intendente Eduardo Paes decidió lanzar un “pacto por la transparencia en los transportes”, con el objetivo de facilitar el acceso a datos como planillas de costo y estadísticas del sistema. Como parte de ese proceso, comenzó a exigirse la instalación de GPS y cámaras de seguridad en toda la flota como una forma de garantizar la seguridad de los pasajeros durante los viajes. El problema es que esas medidas no aportaron transparencia efectiva al sistema: nadie sabe con seguridad qué se hace con la información recopilada en los autobuses y la información ofrecida por el gobierno no aclara puntos centrales, como el margen de beneficio de las empresas, el cumplimiento de las cláusulas de calidad presentes en los contratos o el tratamiento de los datos personales de los pasajeros.

En principio, las bases de datos son anónimas, o sea, no hay exposición directa de los datos personales de los usuarios, sino solo información general y estadística. Sin embargo, el cruce de bases de datos anonimizadas con alguna información personal puede ser más revelador que lo deseable. Por ejemplo, una vez que se sepa el código postal, nombre y sexo de una persona, hay un 85% de posibilidades de localizarla en los datos supuestamente anónimos.

“Si no hay una política de privacidad que aclare qué datos componen esa base de datos, cómo se usan, por cuánto tiempo, con quienes pueden compartirse, qué medidas de seguridad deben adoptarse y quiénes serán los responsables por eventuales violaciones a la privacidad de los usuarios del sistema de transporte, quedamos desprotegidos. i en Brasil hubiera una ley de protección de datos personales, ese tipo de política de privacidad sería obligatoria. Como no la hay, esas bases de datos pueden caer en manos de cualquiera. Y no es una novedad que las bases de datos de diversos tipos sean vendidas por ahí e incluso que sea posible acceder a ellas a través de internet. No es casual que recibamos llamadas de marketing de números desconocidos en nuestros celulares, por ejemplo”, dice Joana Varon, de Coding Rights.

En un escenario hipotético, los datos sobre el itinerario de alguien podrían indicar que esa persona está buscando un nuevo trabajo y, por lo tanto, podría provocar su despido. O podrían indicar que una persona injustamente acusada de estar involucrada en actividades ilegales frecuenta un área determinada, lo que podría reforzar una conclusión equivocada.

 

Empresas opacas, información inaccesible

Considerando el volumen de datos personales recolectados en los autobuses de Río de Janeiro y la concentración de todo ese material en las manos de tan pocas personas, es muy importante que nada de eso se utilice de forma inadecuada o perjudicial para la población. El problema es que las empresas responsables no son nada transparentes y nada las obliga legalmente a abrir la caja fuerte para verificaciones independientes. De esta manera, obtener incluso información básica sobre la gestión y la protección de esos datos es un desafío.

Flávio Siqueira Junior dedicó meses de trabajo a tratar de entender el panorama jurídico que incluye a la Fetranspor y los datos personales obtenidos a partir de RioCard. Como parte de ese proyecto de investigación para aportar información a este texto, Coding Rights quería saber con más claridad qué hacen las empresas de autobuses y gestión de billetes para proteger la privacidad de los pasajeros de Río de Janeiro. Un tema sobre el que la Fetranspor se niega a declarar.

“No existe ninguna preocupación por la transparencia por parte de la Fetranspor. Lograr que respondan cualquier cosa es un gran problema. Tal vez no sea por maldad, pero el hecho es que eso (la transparencia) ni les pasa por la cabeza”, lamenta Flávio, que presentó pedidos de información y llevó a cabo una amplia investigación de procesos judiciales relacionados con RioCard y sus concesiones.

Los pedidos de información realizados ante la Fetranspor y las secretarías de transporte del Estado (Setrans) y de la ciudad de Río de Janeiro (SMTR) aportaron pocas aclaraciones. Obligados por la Ley de Acceso a la Información, la Setrans y la SMTR proporcionaron respuestas poco esclarecedoras. Básicamente refuerzan la impresión obtenida durante la investigación para escribir esta nota y la confirman después de diversos contactos con la asesoría de prensa de los dos órganos: quien realmente sabe lo que ocurre con la información de millones de usuarios de autobuses es RioCard TI, cuya asesoría de prensa es controlada por la Fetranspor. La propia Fetranspor, después de meses de contactos insistentes, respondió a Flávio Siqueira de la misma manera que respondió a las insistentes llamadas telefónicas realizadas e e-mails enviados para elaborar este reportaje: con opacidad y silencio.

“Es una cuestión bastante sensible como para hablar. Creo que si no lo hacen es porque no quieren proporcionar esa información”, dijo un profesional de TI de RioCard, contactado directamente.

“Como se trata de una entidad privada, no hay un mecanismo legal que obligue a la Fetranspor a responder una solicitud de información hecha por ciudadanos y, entonces, simplemente no responden. Incluso cuando están obligados por ley, como en los pedidos del Ministerio Público, evitan informar en la medida de lo posible. Son realmente difíciles”, afirma Flávio Siqueira.

Después de más de un mes de llamadas diarias y un pedido de entrevista respondido por escrito por un profesional de TI de RioCard, la asesoría de prensa de la Fetranspor declaró que no puede aprobar la publicación del texto porque “no era un tema prioritario”, como las Olimpíadas y el VLT (vehículo leve sobre rieles), y que el reportaje debería dejar de insistir o buscar otros medios para obtener la autorización. Lamentablemente, la asesoría de prensa de la Fetranspor es la responsable por la aprobación de ese tipo de pedidos, ya sea dirigido a RioCard o a RioCard TI.

Fue a través de investigaciones sobre procesos jurídicos que logramos conocer algo sobre los procedimientos en torno al sistema RioCard, como, por ejemplo, el camino que siguen los datos recolectados entre secretarías y departamentos públicos, mientras van y vuelven a las computadoras de RioCard/Fetranspor. También es posible alimentar preocupaciones a partir del silencio que se lee entre líneas en los documentos. “No existe ninguna regla sobre la protección de los datos personales. Ninguna preocupación, ninguna palabra. Nada”, lamenta Flávio.

El poco interés de la Fetranspor en ser monitoreada va mucho más allá de periodistas y activistas del transporte público. Iniciada en el 2015, una acción promovida por la Defensoría Pública y el Ministerio Público cuestiona el procedimiento del sindicato patronal en cuanto al dinero usado para el pago de los pasajes. Hasta el inicio de esta acción judicial, los valores cargados por el usuario a la tarjeta RioCard tenían un año de validez. A partir de ese momento, lo que sobraba iba a parar a los cofres de la Fetranspor, algo que ocurría con muchísima frecuencia en el sistema, ya que los valores introducidos no siempre corresponden a un número exacto de boletos utilizados. Según una investigación del Tribunal de Cuentas del Estado de Río de Janeiro, ese sobrante suma, solamente en las líneas intermunicipales, cerca de 18 millones de reales por año (totalizando R$90 millones en cinco años). Un lucro potencializado por el corto plazo para la utilización de los créditos.

“Indagadas con respecto al mencionado plazo de vencimiento de los créditos y la consecuente apropiación por parte de las demandadas, estas optaron por el silencio, ignorando las reiteradas solicitaciones ministeriales y los oficios de la Defensoría Pública”, dicen las demandantes en su petición inicial. La primera medida preliminar del 6º Juzgado Comercial de la Capital, en marzo de este año, fue contraria a los intereses de la Fetranspor al exigir el fin de la recolección de los valores no utilizados y la posibilidad de uso o reembolso, sin plazo de vencimiento, de los créditos introducidos en la tarjeta RioCard.

Así como es difícil saber cómo RioCard y la Fetranspor administran cuestiones como esta, es tanto o más difícil aún saber cómo administran actualmente o administrarán en el futuro la inmensa base de datos con información personal y sensible sobre los ciudadanos. Durante los muchos minutos que pasamos en la espera telefónica de Fetranspor tuvimos que escuchar una grabación de audio que exaltaba las potencialidades de la biometría para garantizar más seguridad y más eficiencia en el control de quiénes tienen derecho a pasaje gratuito. Con ese sistema, decía la grabación, solo quien realmente tiene ese derecho podrá usufructuar el beneficio. Si, por un lado, la defensa del control biométrico argumenta que permitirá más transparencia entre la Fetranspor y el Estado, por el otro, el registro de datos todavía más sensibles que los que hoy se recogen con el uso de los Boletos Únicos pasará a ser recopilado por la Fetranspor, sin ninguna garantía de que los sistemas funcionarán adecuadamente en lo que respecta al control de fraudes. La base de datos generada por ese control podría compararse a los registros que la Policía Federal tiene sobre los ciudadanos que viajan con pasaporte, pero es una base de datos en manos del sector privado sobre una población que no viaja en avión, sino en autobús.

Hay un componente todavía más sensible que debe tenerse en cuenta cuando se habla sobre datos del transporte público: en Brasil, la gran mayoría de los que utilizan autobuses son estudiantes y trabajadores de bajos ingresos. Entonces, se trata de una población particularmente vulnerable si se la rastrea. Dependiendo de quien tenga acceso a esa información, los usuarios del sistema de boleto único pueden ser blanco de acciones que no solo pueden limitar su privacidad, sino también amenazar su seguridad personal y el ejercicio de la libertad de expresión y de manifestación. En Argentina, por ejemplo, los datos del sistema SUBE, tarjeta de transporte de Buenos Aires, se utilizaron en procesos de investigación criminal.

Por otro lado, con esos perfiles, también es probable que, en caso de que haya cualquier mal uso de esos datos por parte de la empresa, esos ciudadanos probablemente no dispongan de recursos para cuestionar y defender sus derechos en relación con los datos producidos por el uso de servicios públicos o privados. En 2015, el Departamento de Protección y Defensa del Consumidor (DPDC) tuvo que notificar a Telefônica/Vivo por vender datos de GPS de sus clientes como um serviço denominado Smart Steps. La idea era que la información sobre el movimiento de las personas sirviera para que establecimientos comerciales desarrollen su estrategia de marketing, el lugar donde se ubican los establecimientos y los tipos de servicios, entre otros. [LINK] Si los datos de transporte se utilizan para esa finalidad, y no hay ninguna ley ni reglamentación que impida ese tipo de uso, podemos desencadenar varios procesos de discriminación basados en los perfiles generados por los datos.

De acuerdo con Kate Crawford, investigadora del MIT Center for Civic Media: “La gente piensa que el fenómeno Big Data evita el problema de la discriminación, porque están lidiando con grandes bases de datos. Pero, de hecho, el Big Data se está usando para formas de discriminación más intensas y precisas. Es una forma de discriminación basada en datos” [1].

Tal vez todo esté bajo control. Pero ¿cómo saberlo?

Sin saber qué procedimientos usa RioCard para tratar los datos que recoge, no hay ninguna manera de evaluar la calidad y la seguridad del proceso. No se puede saber si hay una padronización de procedimientos de seguridad: ¿cómo podemos estar seguros de que alguien no tomará tu número de identificación tributaria y hará un cruce simple de datos para saber por dónde andas o con quién te encuentras cuando viajas por la ciudad? A pesar de ser una de las grandes banderas de los proyectos de “smart cities”, es cuestionable decir que esos datos están ayudando a la gestión pública.

La intendencia de Río de Janeiro ofrece estadísticas y planillas a través del portal Transparencia de la Movilidad, pero navegar por la información exige tiempo y esfuerzo: todos los archivos son estáticos, en formato PDF. En el momento de cierre de la nota, los datos no se actualizaban desde mayo de 2016. “Allí se pueden ver algunos datos, pero que explican muy poco o casi nada de las cuestiones de la movilidad en la ciudad”, critica el activista Guilherme Alves, quien participó en las jornadas de junio de 2013, en las que se pedía un nuevo modelo de transporte público en Río de Janeiro.

Guilherme participó de un esfuerzo para mapear los costos de las tarifas en la ciudad de Río. La movilización generó la Comisión Parlamentaria de Investigación (CPI) de los Autobuses, inaugurada en septiembre de 2013 y que terminó bloqueada por la mayoría oficialista en la Cámara Municipal. Obtener datos para fundamentar ese esfuerzo fue difícil, explica Guilherme. Recientemente, después de mucha presión social, el Instituto Pereira Passos comenzó a proporcionar algunos datos y estadísticas, pero todavía son “demasiado genéricos”, según Guilherme, como para que sean realmente útiles. Para saber algo más significativo, como los beneficios obtenidos a partir de los viajes y de qué modo se realizan los cálculos de las tarifas, el Movimiento Passe Livre dependía de planillas de costos proporcionadas de manera totalmente extraoficial por empleados anónimos y simpatizantes de la causa.

El activista dice que la falta de transparencia de las empresas también tiene un componente de incompetencia. “Algunas empresas ni siquiera tienen un informe contable. Por un lado, hay una falta de interés por parte de las empresas de proporcionar esos datos, pero también hay una gran falta de conocimiento. Y al mismo tiempo hay una connivencia del poder público, que observa todo eso y no actúa con la firmeza necesaria”, explica Guilherme.

Varios investigadores que trabajan con el tema movilidad tienen una impresión semejante. Gabriel de Oliveira, coordinador de transporte público de la oficina nacional del Instituto de Transporte y Desarrollo (ITDP Brasil), cuya investigación de maestría evaluó el proceso de planeamiento del transporte público en Río de Janeiro, simplemente desistió de buscar datos solicitándolos a RioCard y usó solo información del sistema intermunicipal, proporcionada a partir de un acuerdo de cooperación entre la Universidad Federal de Río de Janeiro (UFRJ) y el gobierno del Estado. Incluso destacando que no cree que RioCard proceda de mala fe, para él y sus colegas pesó la certeza de que no había ninguna manera segura de exigir, incluso judicialmente, esa información. “Sería un favor de parte de ellos, no una obligación”, resume.

Lo mismo ocurrió con la investigación de Coding Rights para saber cómo se procesan los datos de los pasajeros. Las respuestas a los pedidos de información enviados por el equipo indican que el debate sobre la protección de datos no fue incorporado por los organismos públicos y que la cultura de la transparencia continúa siendo un tabú para los gobiernos y las empresas.

“Es necesario debatir más profundamente la transparencia. El poder público no parece preparado para responder las dudas de los ciudadanos sobre la protección de sus datos. Eso no puede permanecer oculto, es algo que debe debatirse ampliamente”, agrega Gabriel de Oliveira, del ITDP Brasil.

¿Qué podemos hacer?

En resumen, no existen resultados concretos que justifiquen la gigantesca recolección de datos en el transporte colectivo de Río de Janeiro, ya que continúan produciéndose fraudes y no hay información concreta sobre qué se hace con esos datos, ni tenemos ningún tipo de garantía legal de que en un futuro próximo se realizará un uso adecuado de dicha información (o que habrá una protección eficiente y verificable de los datos de los usuarios del sistema de transporte público).

La aprobación de una ley de protección de los datos personales podría contribuir con el aumento de la transparencia de este sistema ya que, como primer paso, obligaría a la Fetranspor a elaborar y publicar una política de privacidad, de acuerdo con los términos de la ley, sobre los datos que recoge con el sistema RioCard.

Como mínimo, sería deseable contar con un documento como la política de privacidad del Transport for London (TfL), organismo del gobierno responsable por el sistema de transporte de la ciudad, que incluye información sobre el uso de los datos personales suministrados cuando alguien se registra en el billete único local, la tarjeta Oyster, y sobre qué ocurre con la información reunida a través de las cámaras de vigilancia, las CCTV (Closed Circuit Television). En el contexto brasileño, en el que los titulares de esos datos son del sector privado, ese tipo de medida se vuelve todavía más necesaria.

El requisito mínimo de elaborar una política de privacidad en términos de una ley de protección de los datos personales garantizaría que los ciudadanos supieran qué datos se recogen y almacenan, por cuánto tiempo, para qué fin, con quién se comparten y qué medidas de seguridad se adoptan para protegerlos. La ley también establecería responsabilidades y sanciones en caso de abusos en la utilización de los datos. Lamentablemente, Brasil todavía no aprobó ninguna ley en este sentido: de los tres proyectos sobre el tema que están en trámite en el Congreso Nacional, solo uno, el proyecto de ley (PL) 5276/16, fruto de seis años de consultas públicas en el Ejecutivo, tiene el potencial de considerar e implementar todos esos niveles de protección, ya que es el único que dispone la creación de un organismo competente para verificar la implementación y la verificación de la aplicación de la ley.

Notas
1. En los Estados Unidos, la llamada redlining es la práctica de denegar servicios, ya sea directamente o mediante el aumento selectivo de precios, a residentes de ciertas áreas a partir de la composición racial o étnica de dichas áreas. Mientras algunos de los ejemplos más famosos de redlining tienen que ver con denegación de servicios financieros como servicios bancarios o seguros, es posible que se denieguen otros servicios, como atención médica o incluso supermercados, a residentes (o en el caso de negocios como los supermercados antes mencionados, simplemente moviéndolos lejos de esos residentes de manera que sean imprácticos). El término redlining fue acuñado a fines de la década de 1960 por John McKnight, un sociólogo y activista comunitario. Se refiere a la práctica de marcar una línea roja en un mapa para delinear un área en la que los bancos no invertirían. Posteriormente, el término se aplicó a la discriminación contra un grupo específico de personas (generalmente clasificadas por raza o sexo) independientemente de la ubicación geográfica.