Primer análisis temático de Karisma a la reforma al Código Electoral que inicia su trámite en el Congreso en la segunda legislatura del 2020.
Por: Carolina Botero con el apoyo de Pilar Sáenz , Joan López y Andrés Velasquez
Las auditorías tecnológicas independientes, son la mejor forma de imprimir transparencia y de generar confianza entre la base electoral y entre los demás actores involucrados en el proceso de administración electoral. El propósito central de las auditorías, es promover la participación ciudadana para proteger el secreto y la integridad del voto en un proceso que se vuelve más oscuro para las personas, a medida en que más tecnología se incorpora.
Existen consensos internacionales sobre los aspectos que deben considerarse para la incorporación de tecnologías en los procesos electorales que sirven de requerimientos para esta reforma al Código Electoral y que podemos resumir de la siguiente manera:
1. Los sistemas tecnológicos deben ser transparentes y deben poder ser controlados según las particularidades de cada etapa del proceso,
No solo por las autoridades públicas, también por los actores interesados o incluso -de ser posible- por cualquier persona.
La transparencia se hace más necesaria conforme las tecnologías están más cerca de la emisión del voto, pues se hace más difícil que cualquier persona audite el procedimiento. Por eso, cualquier mecanismo de voto electrónico exige formas alternativas de auditoría que sean lo más inclusivas posible, pues de lo contrario cualquier alteración del voto podría pasar desapercibida para la ciudadanía.
2.Las actividades de control deben ir más allá de la mera observación del proceso de transmisión de votos
En otras palabras, no se puede igualar el proceso de observación electoral de sistemas manuales con el de los sistemas electrónicos (1), pues hay factores que requieren de habilidades técnicas para ser auditados. Por eso, sugerimos diferentes formas de auditorías para cada fase del proceso electoral que deben ser consideradas por la legislación cuando se incorpore tecnología.
3.Todos los ejercicios de transparencia deben ser para garantizar los derechos de la ciudadanía,
tanto en la parte manual del proceso como en la digital, con el propósito de generar confianza en el sistema electoral (2).
Los sistemas electorales son para la ciudadanía, no para los Organismos de Administración Electoral o para los contratistas. Por esta razón, la ciudadanía (en sus diferentes representaciones) debe tener el derecho y ser capaz de controlar, verificar, entender y participar en cada uno de los elementos del proceso electoral que incorpore tecnología.
4.La propiedad intelectual sobre el software que se use en el proceso electoral no pueden ser una barrera para la transparencia electoral
La mejor forma de evitar este efecto es que el software utilizado en las elecciones sea del Estado y que sea software libre o de código abierto, cuyo código fuente se encuentre en un repositorio público.
De acuerdo con las recomendaciones anteriores y con los análisis y reflexiones que continúan en este texto, desde Karisma, manifestamos que las auditorías que incluye el nuevo Código electoral son insuficientes para garantizar la transparencia del proceso electoral. Aunque el documento reconoce la necesidad de tener auditorías en este, la propuesta no cubre todos los procesos -desarrolla solamente el proceso de administración de resultados-, ni todas las etapas de preparación para las elecciones e implementación el día de los comicios. Así mismo, el nuevo código tampoco reconoce que hay muchas formas de hacer la auditoría. En ese sentido, el documento formaliza los sistemas de control que se han desarrollado hasta hoy, pero también reproduce los problemas que tienen actualmente.
Observaciones y comentarios de la reforma al Código electoral
La mejor forma de complementar el esfuerzo de este Código para crear auditorías en el proceso de administración electoral, supone identificar y explicitar los diferentes momentos del ciclo de incorporación de tecnología en el proceso donde se puede ejercer control. Además, establecer quiénes serán los que pueden auditar (directa o indirectamente) y por cuánto tiempo. Así, se puede establecer lo que se requiere tanto en la fase de preparación de los sistemas tecnológicos para las elecciones como en su implementación directamente en los comicios.
En un trabajo aún inédito que hicimos para La Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura- UNESCO-, propusimos el siguiente esquema como un modelo de auditorías de las tecnologías que se incorporan a un proceso electoral:
En este esquema se muestra cómo hay diferentes tipos de auditorías y actores participando, ya sea en la preparación del sistema o en su implementación. La etapa de preparación incluye las fases de definición de requerimientos, diseño de arquitectura y desarrollo del sistema para los comicios. Sobre la columna derecha del diagrama tenemos la etapa de implementación de este diseño tecnológico que sucede en las fases de simulación antes del día de las elecciones, durante la votación y, finalmente, después de la consolidación y publicación de resultados oficiales.
Ahora bien, un sistema de administración electoral ideal funciona en ciclos que se retroalimentan de las experiencias de implementación. En otras palabras, el sistema electoral no es un producto terminado, sino un ciclo de etapas en constante iteración. Por eso, las auditorías para cada proceso ayudan a consolidar un sistema que está en constante mejora y dándole más transparencia, seguridad y resiliencia apoyado en una amplia participación.
Si analizamos las disposiciones propuestas para el nuevo código electoral, (especialmente los artículos 228 a 234), frente al ciclo descrito, en este primer diagrama se identifican los elementos de auditoría disponibles en el nuevo Código para las diferentes etapas:
El proyecto de reforma incluye una “auditoría de sistemas” (art. 236) que se hace desde seis meses antes de la elección y prevé la socialización de los sistemas cada vez que se va a implementar cualquier sistema de asistencia tecnológica (art. 230). Además, se establecen requerimientos para la entrega de resultados oficiales en el escrutinio y una plataforma de fiscalización (art. 164). Adicionalmente, se propone que el código del software de escrutinios sea propiedad de la Registraduría y de código abierto.
Sin embargo, la “auditoría de sistemas” que propone el nuevo código no es de sistemas. Ciertamente, es un ejercicio más completo de lo que se hace hoy con los simulacros -propone, por ejemplo, que se haga seis meses antes y no una semana, como sucedió la última vez- pero, no tiene como propósito auditar el software, sino el proceso. Por tanto, no es suficiente. Es decir, permite ver el simulacro para ver superficialmente cómo se comporta el software en las elecciones, pero no para verificar, por ejemplo, que la programación esté bien, que cumple las reglas, o que se establezca que el software que se corre en los comicios sea el mismo que se presentó como oficial. La auditoría del proceso es una forma de control mediante observación, pero no es una “auditoría de sistemas”.
Si comparamos lo que el código propone (Figura 2) con el ideal que desarrollan los consensos internacionales (Figura 1), podemos mostrar un mapa de lo que hay y lo que falta. Es decir, tendríamos un panorama de lo que debería haber en un código electoral que busca incorporar tecnología.
Propuesta de Karisma de ajustes al código electoral para garantizar transparencia y control en los procesos que incorporan tecnología
El Código Electoral que el Congreso apruebe debe tener 4 momentos de auditoría que podemos describir de la siguiente forma:
1.El primer momento de auditoría sería el de documentación, es decir, de los documentos de requerimientos y diseños de cualquier sistema
Si bien el código tiene disposiciones sobre la socialización del diseño y requerimientos para la implementación de sistemas de asistencia tecnológica nuevos, si consideramos que la producción del software no da como resultado productos finales y cerrados, es necesario contemplar que la auditoría de documentación es el primer paso de cada ciclo electoral. Por tanto, el acceso a la documentación, la socialización y las recomendaciones no solo deben existir para sistemas nuevos, también para lo que ya tenemos. En términos de participación se trata de un proceso de observación para recomendaciones y control que puede hacer cualquier persona pero en el que los actores electorales y expertos pueden tener un rol especial.
2.El segundo momento de control debería ser el de la auditoría técnica independiente de sistemas
Esta auditoría sucede cuando se tiene una versión funcional del sistema a usar en las elecciones y se permite que los actores políticos a través de equipos técnicos muy especializados (equipos de expertos) puedan revisar que la programación esté bien hecha, que se ciña a las reglas, pudiendo revisarse el código, los algoritmos, las bases de datos, los sistemas de transmisión, en general toda la infraestructura tecnológica, tanto para establecer su integridad como la de las bases de datos. Las auditorías a este nivel pueden ser de programación, funcionales y/o de seguridad.
Este es un proceso de revisión técnico -no se trata de un simple ejercicio de observación- que debe ser independiente. En otros países lo realizan organizaciones independientes como universidades, centros de estudio u organizaciones o firmas especializadas que se registran en los términos en que proponga el administrador del proceso electoral. Los resultados de los ejercicios sirven para producir informes con recomendaciones que deben ser atendidas antes del proceso electoral y que en una versión simplificada se publica para conocimiento general. Este tipo de ejercicios deberían suceder al menos 6 meses antes de las elecciones.
3.El tercer momento de control son las auditorías de los simulacros
En este caso, además de lo que se propone en la reforma al código, que incluye ejercicios por parte de los actores del proceso electoral y sus auditores -expertos-, sobre actividades de observación, se deben conectar los resultados de la auditoría técnica previa con los simulacros. De esta forma hay un nivel en esta auditoría que también va más allá de un ejercicio de observación funcional. Esta auditoría debe incorporar temas de revisión técnica como la verificación de que el código que se usa es el mismo que fue auditado, que se pueda mirar la integridad del código, de la base de datos y de los sistemas de transmisión. Este es un proceso de observación pero también de revisión técnica. Estos ejercicios se hacen usualmente antes de los comicios, durante los últimos dos meses y especialmente las semanas antes de las elecciones.
4.El cuarto momento de control es el que sucede durante y después de las elecciones y se refiere a la auditoría de los resultados electorales
Este paso es el que más ha mejorado la Registraduría y que el código recoge al establecer acceso a los actores del proceso a una plataforma de escrutinios para tener acceso a los resultados de la votación y previendo algunos parámetros de entrega de datos abiertos que permiten que los resultados sean controlados incluso por cualquier persona.
Conclusión
Estos ajustes son necesarios para que cumplamos los requerimientos de unas elecciones democráticas permitiendo ir más allá de la observación en las fases en que lo tecnológico es clave. Pero, es muy importante que todo esto no sea solo para el escrutinio, sino para todos los procesos electorales. Este análisis requiere más tiempo.
En el sistema electoral manual, la simple observación puede garantizar buena parte de la transparencia y permite activar los sistemas de control. Al momento de incorporar tecnología, esto ya no basta. El efecto “caja negra” (3), en el que solo conocemos los datos de entrada y los de salida pero no el funcionamiento del sistema, hace que se deba actuar expresamente para permitir la transparencia y, para ello, se necesita:
- Garantizar el acceso a la documentación de desarrollo del sistema y a todos los detalles de la contratación con terceros;
- Dar acceso a la documentación que refleja los resultados del proceso;
- Facilitar acceso a los archivos planos que reflejan los datos de entrada y salida del sistema de cómputo;
- Facilitar la auditoría del sistema que se está preparando abriendo el código fuente y/o creando ambientes de prueba con el código, hardware y mecanismos de transmisión y alojamiento que se usarán en las elecciones, o cualquier otro mecanismo que permita auditorías técnicas independientes.
- Los softwares utilizados en las elecciones son de o para el Estado.
Como la incorporación de tecnología supone un desafío importante para garantizar que el control y seguimiento de estos procesos lo pueda hacer cualquier persona, se requiere al menos de dos acciones adicionales.
- Fortalecer y desplegar herramientas de alfabetización ciudadana de las tecnologías utilizadas en las elecciones. Las explicaciones simples de cada paso del proceso son esenciales para facilitar el efectivo control ciudadano y consolidar el requerimiento de transparencia en las elecciones. La inclusión de tecnología debe comprender la construcción de guías claras, como sucede en México por ejemplo, para que la ciudadanía pueda entender tanto el proceso electoral como los mecanismos que le permiten hacer control del proceso. Considerando la posibilidad de fiscalizar los resultados por parte de la ciudadanía, los OAE deberían además contar con plataformas accesibles al público para reportar anomalías e inconsistencias e incluso brindar herramientas de software o plataformas abiertas al público para facilitar ese control. Esto ayudaría a tener un sistema más transparente y participativo.
- Contar con facultades que permitan desarrollar nuevos y fuertes mecanismos de participación ciudadana para el mejoramiento del proceso electoral a medida que progrese la incorporación de tecnología en el futuro.
(1) UNDP, Electoral Results Management Systems, 11.
(2) The Carter Center. The Carter Center Handbook, 26.
(3) Caja negra en este caso no es como la caja negra de los aviones que permite dilucidar lo que pasó, por al revés se refiere a una caja oscura y cerrada que no deja ver su interior.
Aquí te compartimos un hilo que realizamos en Twitter sobre esta entrada
1/11 Hoy #DíaDeLaDemocracia iniciamos el análisis del proyecto de Código Electoral a discutirse en el Congreso de Colombia, el cual regulará el uso de TICS en procesos electorales para consolidar elecciones transparentes que protejan la integridad y el secreto del voto.
2/11 Les presentamos un 1er análisis temático sobre Auditorías de la tecnología; controles que construyen confianza entre base electoral y actores del proceso administrativo de votaciones.
3/11 Tener auditorías en todos los procesos electorales y en todas sus etapas garantiza su transparencia, construye confianza sobre la integridad y el secreto del voto. Para el caso del proceso electoral de escrutinios se vería así ??
4/11 En la figura anterior vemos que el Código no incluye una auditoría técnica independiente, habría que ajustar la de simulacros en etapa de implementación de los comicios y la de documentación al principio de la etapa preparatoria. En el nuevo Código quedaría así ??
5/11 El artículo 230 del Código propone un control para que cualquier “grupo significativo” de personas, además de actores interesados, participen en socialización de nuevos sistemas tecnológicos (lo que equivale a la 1era fase de definición de requerimientos y diseño).
6/11 En el Código, no hay provisiones para controles en la fase de desarrollo del sistema en la que se requiere una auditoría técnica independiente. Lo que sí es positivo, es que este prevé que el software de escrutinios sea del Estado y de código abierto.
7/11 En la fase ”antes” de implementación de los comicios, el artículo 236 del Código propone que durante los seis meses previos a la votación, en los simulacros, los actores interesados y sus auditores (expertos) pueden observar cómo funciona el sistema.
8/11 Finalmente en las fases del durante y después de las elecciones el Código se ocupa de la auditoría para hacer seguimiento a los resultados para verificar que los votos que ingresaron sean los que se contaron y como fueron emitidos.
9/11 Hacer estos ajustes es clave para que @Registraduria garantice elecciones transparentes al integrar tecnologías al proceso de escrutinio y para guiar los controles para todos y cualquier proceso electoral.
10/11 Desde Karisma, manifestamos que las auditorías que propone el nuevo Código Electoral para el proceso de escrutinio son insuficientes, estas deben estar en todas las etapas y fases de cada uno de los procesos (no solo del de escrutinios).
11/11 Debemos insistir a la @Registraduría que la discusión del Código no debe ser de afán y debe garantizarse la participación. Las auditorías deben estar en todas las etapas y fases de cada uno de los procesos (no solo del electoral).
Conoce aquí el listado actualizado de nuestras publicaciones sobre #AnálisisTécnicoNuevoCódigoElectoral
9 de septiembre: Comentarios al proyecto de Código Electoral de 2020
17 de septiembre: Autenticación biométrica obligatoria o el grave riesgo de negarle el voto a media Colombia
21 de septiembre: El nuevo Código Electoral y el articulito que dejaría desprotegidos los datos sobre nuestra identidad
29 de septiembre: Voto electrónico en Colombia, más riesgos que ventajas