El ciberespacio ha
devenido un ámbito de confrontación: apropiación de datos personales, espionaje
patrimonial científico, económico y comercial de los Estados y empresas
víctimas de la competencia o de potencias extranjeras, ataques a servicios
estratégicos necesarios al buen funcionamiento de la economía o la vida diaria,
puesta en peligro de informaciones soberanas, incluyendo pérdida de vidas
humanas, son hoy las consecuencias potenciales o reales de las interacciones
entre lo tangible y lo digital de las actividades humanas.
Desde hace unos años,
los países de mayor desarrollo han propuesto algunos objetivos estratégicos y
áreas de acción pública para premunirse contra ataques informáticos. Dos
experiencias:
· En el
ámbito de la Unión Europea, UE el organismo a cargo de la ciberseguridad es la
Agencia de la Unión Europea para la Ciberseguridad (ENISA), centro de
conocimientos especializados para la seguridad cibernética en Europa. La ENISA
asiste a la UE y los países que la integran para su mejor equipamiento y
preparación para prevenir, detectar y dar respuesta a los problemas de
seguridad de la información.
ENISA
ofrece soluciones y asesoramiento prácticos a los sectores público y privado de
los países de la UE y a las instituciones europeas. La ENISA también publica
informes y estudios sobre cuestiones de ciberseguridad.
https://europa.eu/european-union/about-eu/agencies/enisa_es
· Francia,
creó en 2009 la Agencia Nacional para la Seguridad de los Sistemas de
Información (ANSSI), autoridad de servicio a las autoridades públicas, empresas
y ciudadanos. En julio de 2019 la Agencia asumió, además de su misión de
seguridad, la misión de defensa de los sistemas de información.
La
estrategia francesa reposa sobre cuatro objetivos:
o devenir
una potencia mundial en cíberdefensa y pertenecer al primer círculo de las
principales naciones en este campo, manteniendo su autonomía;
o garantizar
la libertad de decisión de Francia protegiendo la información de soberanía;
o fortalecer
la ciberseguridad de las infraestructuras vitales nacionales; y
o garantizar
la seguridad en el ciberespacio.
Tras
la publicación del Libro Blanco sobre Defensa y Seguridad Nacional, de 2013 que
identifica los ataques informáticos a gran escala contra las infraestructuras
nacionales como una de las principales amenazas para Francia, el Gobierno ha
emprendido un refuerzo significativo de las capacidades nacionales en términos
de cíberdefensa frente a las ciberamenazas[1].
El consecuencia, el
análisis propuesto sobre las inexactitudes reveladas en el D.U. 007-2020 debe
verse como un examen en perspectiva del ejercicio teórico e institucional
realizado por ENISA de la Unión Europea y la ANSSI, Agencia francesa, sobre
cíberdefensa, estimando su adaptabilidad
al Perú.
Postsriptum. El 23 de
mayo último el Diario Oficial "El Peruano" titulaba su Editorial
'Avances en la Digitalización', indicando que "no se trata de destacar
meros anuncios de modernización del Estado porque mejorarán, con la
digitalización de los procesos públicos, la competitividad y la posición del
país en los rankings internacionales, sino principalmente de garantizar la
atención a los ciudadanos mediante plataformas digitales para evitar la
propagación de la cepa viral que golpea a la comunidad internacional." Y
es precisamente éste el quid del artículo que publico: las imprecisiones sobre
el marco de confianza de seguridad digital que permiten la garantía de los servicios digitales a los
peruanos, no solo en la atención, sino la pertinencia de los contenidos,
la seguridad de las medidas técnicas,
organizacionales, jurídicas. No debe ser la fe o la creencia sobre su estado o
situación de confianza sino el conocimiento racional, adaptado a ese marco,
teniendo como base los Acuerdos, Políticas, Normas e instrumentos técnicos y de planificación,
actualizados, alineados a los fines del Estado, a la existencia de estructuras
orgánicas jerárquicas e instituciones públicas idóneas.
D.U. 007-2020 MARCO
DE CONFIANZA DIGITAL.
Vencido el plazo para
la promulgación de Reglamento del Decreto de Urgencia N° 007-2020, en adelante DU.007-2020, que aprueba el marco
de confianza digital y dispone medidas para su fortalecimiento, subrayo algunas
imprecisiones de la norma que creo necesarias en su promulgación para su mejor
alineamiento, concordancia y estrategia nacional.
1. Sobre la
Definición.
Según el DU. N° 007-2020, la confianza digital
ha sido definida como: el estado que emerge como resultado de cuán veraces,
predecibles, éticas, proactivas, transparentes, seguras, inclusivas y
confiables son las interacciones digitales que se generan entre personas,
empresas, entidades públicas o cosas en el entorno digital, con el propósito de
impulsar el desarrollo de la economía digital y la transformación digital. [2]
Etimológicamente, la
palabra "confianza" (cualidad del que tiene total seguridad de algo o
alguien) deriva de "confiar". Sus componentes son: El prefijo con
(todo, junto) como en: conectar, consolidar y consumir. La raíz -fi- del verbo
fiar, viene del latín fidere (confiar) y este de fides (lealtad, fe y
confianza). El verbo fidere en latín significa así, creer uno mismo, igual que
confiar, creer todos o en conjunto.
El Diccionario de la
Real Lengua Española, define la confianza
como la: Esperanza firme que se tiene de alguien o algo.
La segunda acepción
"digital" está relacionada fisiológicamente a los dedos, pero
asociada a la tecnología informática se refiere a la representación de los
datos de modo binario 0 y 1, o signos alfanuméricos, una de sus definiciones.
En consecuencia,
ambos conceptos, confianza y digital, debieran haber sido definidos en su
conjunción, no como un estado, sino como creencia o esperanza que las
interacciones entre las personas - y/o entre personas y objetos - en el entorno
digital, poseen algunas propiedades o características. En el mejor de los casos, la definición
corresponde a una propuesta sujeta - por los elevados ratios de obsolescencia
de las tecnologías informativas y de telecomunicaciones - a frecuentes y cada
vez más complejas evaluaciones y adaptaciones.
2. Sobre el Alcance
El
alcance de las normas y procedimientos que rigen la Confianza Digital -
Artículo 2° - se aplican a:
· Las
entidades públicas previstas en el artículo I del Título Preliminar del Texto
Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo
General, aprobado mediante Decreto Supremo N° 004-2019-JUS[3],
El alcance
comprenderá entonces, todas las entidades públicas: ítems 1-6, además de las
entidades sujetas a derecho público y
personas jurídicas de derecho privado que prestan servicios públicos o ejercen
función administrativa, ítems 7-8.
· Otras
entidades: organizaciones de la sociedad civil, ciudadanos, empresas y
academia.
Este artículo infiere,
al menos, tres observaciones: las dos primeras portan sobre las personas o
entidades, y la tercera, sobre el contenido y duración:
· Primero. El alcance de las
normas y procedimientos en materia de confianza digital comprende sólo a las
personas naturales, jurídicas, públicas o privadas, que prestan servicios o
ejercen función administrativa pero sin referirse a principios y valores sobre
los cuales se asienta la sociedad peruana. Como antecedente, podemos señalar la
Introducción del Libro Blanco Europeo sobre la Inteligencia Artificial hace
referencia a la tecnología digital en el Ecosistema de Confianza, a ciertos
conceptos o valores: Estado de Derecho, capacidad de crear productos seguros,
fiables y sofisticados[4]. Otra fuente es el artículo sobre la Estrategia
Europea de Datos. No obstante, algunos principios, modelos, política, normas,
procesos,… son enumerados posteriormente en el artículo 4° Marco de Confianza
Digital (DU.007-2020) pero sin atribuirles contenido o examen alguno.
El
Reglamento del artículo 2°, de este Decreto de Urgencia podría comprender las
libertades fundamentales de las personas: libertad de expresión, libertad de
reunión, dignidad humana, ausencia de
discriminación por razón de sexo, raza u origen étnico, religión o credo,
discapacidad, edad u orientación sexual. Y la protección de estas libertades
por el derecho: protección de los datos personales, protección de la intimidad,
la vida privada, la seguridad informática, la protección de los consumidores,
el derecho a tutela judicial efectiva y a procesos justos y oportunos, a la
legitimidad democrática, a la elaboración de políticas públicas acordes con el
Proyecto y Estrategias de Desarrollo, normas, procedimientos y mecanismos de
aprobación y control de leyes, de la información y de transparencia sobre los
bienes y actuaciones de sus autoridades.
· Segundo. El
artículo 2° tampoco alude a las interacciones entre las personas naturales,
jurídicas, públicas o privadas y los objetos o cosas, vinculando la técnica
informática a las telecomunicaciones, particularmente Internet de los objetos,
IoT, ni a los aspectos accesorios relacionados con la confianza sobre la
identidad digital de las personas - solo se menciona el DNI electrónico como el
único vector - y aquella de los objetos, derechos y obligaciones de sus
propietarios, conceptores, usuarios.
· Tercero. El
alcance de las normas y procedimientos en materia de confianza digital no se
refiere al contenido ni prioridad de las
acciones, sobre el valor estratégico de la tecnologías digitales, concepto
supuestamente implícito en el Decreto Supremo N° 237-2019-EF, Plan Nacional de
Competitividad y Productividad, pero sí enunciado en los Considerandos del
presente DU.007-2020. Ni mucho menos sugiere el alcance de la confianza y
seguridad digital en el tiempo, mediante evaluaciones, periódicas y/o graduales
en la aplicación de procedimientos, estándares, competencias,
calificaciones. Quizás el Reglamento
pueda proponer estas inquietudes.
3. Definiciones
Operativos o Definiciones Normalizadas.
Esta rúbrica puede
ser enfocada desde dos perspectivas: primera, examinar si los conceptos
contenidos en el artículo 3°, son definiciones operativas, resultan de la
significación y valor específico que le atribuyen los conceptores de la
propuesta legislativa, pertenecientes a la entidad responsable de la
iniciativa?; segunda, los conceptos vertidos son aquellos contenidos en normas
jurídicas o técnicas, nacionales o internacionales?
Sobre ello,
desconocemos si los conceptos propuestos estado o situación de confianza
corresponden a alguna norma internacional (ISO), o nacional, normalizados
por el Instituto Nacional de Calidad, o
sí son conceptos acuñados por la Secretaría de Gobierno Electrónico de la
Presidencia del Consejo de Ministros u por otra institución jurídica oficial.
Existe sí una
atribución disímil de los conceptos de estado o situación de confianza en el
DU. N° 007-2020, la Ley N° 30618 y su Reglamento Decreto Supremo N°
050-2018-PCM [5] [6]. Stricto sensu, estos dos conceptos han sido considerados
como sinónimos y polisémicos al no definírseles operativamente, por el lenguaje
de sistemas o en el lenguaje jurídico.
En la opción
lingüística, el diccionario de la Real Lengua Española, RAE, atribuye SOLO al
concepto de situación, y no al de situación de confianza, hasta seis
significados, entre ellos el quinto que define mas idóneamente situación como:
5. f.
Conjunto de factores o circunstancias que afectan a alguien o algo en un
determinado momento. El mismo RAE, define estado, - y no estado de confianza -
entre diecisiete acepciones, la más próxima al
análisis: 1. m. Situación en que se encuentra alguien o algo, y en
especial cada uno de sus sucesivos modos de ser o estar.[7] Esta indefinición
(operativa, normalizada técnica y/o jurídicamente) en las reglas nacionales
impide establecer conceptos científicos y técnicos, es decir, de significado y
significante mono-sémicos o unívocos de los dos conceptos, asociados a estado o
situación de confianza digital,
caracterizados por su objetividad,
claridad, precisión y exactitud.
En la opción técnica,
la inexistencia de algunos conceptos, sugiere agregar a la norma - además de
precisar el de estado o situación de confianza digital - aquellos atinentes
contenidos en las Normas Internacionales sobre Seguridad de los Datos e
Informaciones, ISO 27001, la Norma
Técnica Peruana sobre la materia, la Directiva de Seguridad de la Información
aprobada por R.D. N° 019-2013-JUS/DGPDP, sobre protección de datos personales,
entre otras.
Además, de ser
necesarios adicionar otros conceptos al DU.007-2020, creo que estos debieran
ser concordados, ampliados o enlazados con otras normas afines (Decreto
Legislativo N° 1412, Ley de Gobierno Digital; Decreto de Urgencia Nº 006-2020
Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital, Ley
N° 28478, su Reglamento, Decreto Supremo Nº 016-2006-DE-SG, entre otras:
· Arquitectura
Digital[8],
· Cíberdefensa
· Datos como
activo estratégico[9]
· Estado de
confianza
· Gestión de
riesgos
· Gobierno
Digital[10]
· Identidad
Digital[11],
· Internet
de los Objetos, IoT
· Interoperabilidad[12]
· OCDE[13]
· Plan
Nacional de Competitividad y Productividad[14]
· Seguridad
Digital[15]
· Situación
de confianza
· Transformación
Digital[16]
4. Marco de Confianza Digital.
Según
el numeral 4.1 constituyen este Marco de Confianza: principios,
modelos, política, normas, procesos, roles, personas, empresas, entidades,
tecnologías, estándares mínimos, los mismos que insisto, solo se enumeran, pero
no se clasifican, ordenan o priorizan por el contenido de cada uno de los
elementos constitutivos del Marco, por ejemplo: Valores y Principios; Políticas
y Normas; Entidades, Empresas, Personas Naturales y Objetos conectados;
Procesos, Roles y Estándares; Infraestructuras, Plataformas y Tecnologías. Ni
la función asignada a cada elemento, grupo o conjunto en los procesos de
generación, previsión, protección, mantenimiento, administración, evaluación,
transparencia en seguridad y confianza digital. A menos que estos contenidos y
la relación entre los mismos vayan a ser incluidos en el Reglamento anunciado
del D.U. N° 007-2020.
El numeral 4.2 define tres ámbitos
del Marco: dos están dirigidos a la protección de datos personales y la
protección del consumidor, y el tercero, orientado a la seguridad digital.
No figuran sin
embargo, otros ámbitos, por ejemplo:
· protección
de los valores estratégicos de las tecnologías digitales, enunciado en los
Considerandos del DU.007-2020, presuntamente implícito en el Decreto Supremo N°
237-2019-EF, Plan Nacional de Competitividad y Productividad; o el mismo
concepto, explícito esta vez, en el Decreto de Urgencia Nº 006-2020 que crea el
Sistema Nacional de Transformación Digital.
· las
excepciones al ejercicio del derecho de acceso a la información[17] definidas
en la Ley N° 27806 Ley de Transparencia y Acceso a la Información Pública,
artículo 15°, en lo atinente a información secreta, de afectación a los
intereses del país, estratégica, de consejos u opiniones de decisiones, de
investigaciones en trámite, ….
· aquellos
ámbitos relativos a la economía y/o transformación digital que se desprenden de
la finalidad suprema de la sociedad y del Estado, sancionados en el Artículo 1°
de la Constitución peruana: La defensa de la persona humana y el respeto de su dignidad.
Sobre éste último
ámbito, las definiciones de economía y trasformación digital no han sido
precisas ni exactas sobre el significado individual de estos términos. La
definición de economía digital comprende solo algunos sub-conceptos, evocados
en el articulo 3° Definición b) del presente Decreto de Urgencia, pero cuya
intersección o significado de ambos conceptos: economía y digital no descubren
un nuevo contenido, alcance ni
especificidades resultantes de la relación entre ambas disciplinas[18].
De otro lado, el
concepto de transformación digital, definido en otro texto legislativo,
Artículo 3° del Decreto Legislativo N° 1412, evoca similar crítica: Proceso
continuo, disruptivo, estratégico y de cambio cultural que se sustenta en el
uso intensivo de las tecnologías digitales, sistematización y análisis de datos
para generar efectos económicos, sociales y de valor para las personas.
Además de no
alinearse la definición de economía digital con el fin supremo que sanciona el
art. 1° de la Constitución, la transformación digital, no es solo un cambio en
la cultura como se pretende, sino un cambio mayor: en la forma de organización,
de producción y de redistribución social. Algunas de estas características son
mencionadas sectorialmente en el último párrafo, en lo concerniente a la
finalidad de ese proceso: generar efectos económicos, sociales y de valor para
las personas. Pero sin diferenciarlas: toda persona?, física y/o jurídica?
privada, pública y/o, asociativa? y cualquiera que fueran sus objetos sociales?
su ámbito territorial? su finalidad, sus prioridades y/o su alcance en el
tiempo?
No se anticipan mucho
menos en la norma, los efectos que la nueva economía digital tendrá como
resultado de la competitividad y productividad nacional, como en su relación
con otros bienes y servicios ofrecidos o solicitados por otras economías
internacionales; o en la continuidad de
la opción liberal de nuestra economía en el modelo social actual; ni si
se ha previsto el rol alternativo de las ventajas comparativas de Perú frente a
otras economías; el rol de la economía no digital en la economía global y su
articulación, según las diferentes formas de producción; el mantenimiento y
tránsito de diferentes formas de producción a la sociedad de la información y
del conocimiento; el reto de los
procesos de des-calificación o re-calificación profesional; de formación a
nuevas habilidades y competencias, de empleabilidad; de políticas laborales,
fiscales, redistributivas, de tiempo libre,…
No menos han sido
definidos, en el proceso de transformación digital, los recursos humanos,
técnicos, organizativos, productivos, de infraestructura y de energía necesarios para generar el estado o situación
de confianza, de seguridad: su relación con los planes, programas, diagnósticos,
objetivos, prioridades, infraestructura, sectores, plazos,… Consecuentemente, la relación entre estos
instrumentos de planificación y el presupuesto, resulta completamente ligero y
poco responsable afirmar, respecto al financiamiento de la implementación y el
fortalecimiento del marco de confianza y
seguridad digital, previsto en el artículo 14° del Decreto de Urgencia, que
éste se financia: con cargo al presupuesto institucional de las entidades
involucradas, sin demandar recursos adicionales al Tesoro Público[19], cuando
la dimensión de la propuesta amerita la concurrencia e inversión de todos los
sectores relacionados con la seguridad y defensa nacional y principalmente del
sector público, y del ente rector la PCM y su Secretaria de Gobierno Electrónico. Regresaremos sobre esta relación en el
análisis detallado de los artículos 8.
Registro Nacional de Incidentes de Seguridad Digital y el artículo 13. Centro
Nacional de Datos; además, de las articulaciones internacionales y de
comunicaciones, entre la PCM, el Ministerio de Relaciones Exteriores, el
Ministerio Transportes y Comunicaciones, arts. 10 y 11, y los temas
relacionados a la seguridad y defensa nacionales, previstos en otras normas, y
el aparente conflicto en la titularidad y rectoría del marco de seguridad y
confianza digitales.
En términos de
antecedentes sobre Acuerdos e instrumentos de Planificación en materia de
economía y transformación digital - y de manera general sobre la pretendida
Sociedad de la Información y del Conocimiento - se tienen algunas referencias,
las mismas que se revelan inexactas, imprecisas, y en el peor de casos,
desactualizadas:
A · El Acuerdo Nacional N° 35 sobre Sociedad
de la Información y del Conocimiento[20], si bien alude a
la finalidad primera de la sociedad y el Estado contenida en el Art. 1° de la
Constitución: La defensa de la persona humana y el respeto de su dignidad, ella
adolece de un error fundamental, expresado en el ítem (i), al sostener que el
Estado:
(i)
diseñará las políticas y la regulación en materia de sociedad de la información
y del conocimiento teniendo como base los principios de Internet libre,
abierto, neutro y para todos, así como el adecuado resguardo de la seguridad de
la información;
Es
inexacto pensar que la tecnología de Internet, sobre las cuales se
diseñarán las políticas y la regulación
en materia de sociedad de la información y del conocimiento pueda servir de
base al Estado peruano, bajo los
principios de Internet libre, abierto, neutro y para todos. Y además, el resguardo de la seguridad de la
información.
Como ha
sido señalado por varios autores y lo hemos confirmado en varias
investigaciones y artículos[21], Internet no es una tecnología nacional, ella
es propiedad de los Estados Unidos de Norteamérica, la misma que se encuentra
bajo su control, el mismo que ha delegado en tres organizaciones ICANN, el IETF
y el W3C:
Las
autoridades judiciales de California, y en su caso de los Estados Unidos de
Norteamérica, agrupados en Federación, vía el Departamento de Comercio
estadounidense, ejercen jurisdicción y veto en última instancia sobre las
decisiones de la ICANN, el IETF y el W3C. Esto no solamente cuestiona la
legitimidad de estas instituciones, sino que supletoriamente fija los límites
de sus poderes puesto que las decisiones de los tribunales estadounidenses si
bien son aplicables al territorio norteamericano no tienen ninguna fuerza
ejecutiva legal fuera de éste. En el caso particular de la ICANN, su fragilidad
es aún más fuerte ya que esta organización ha sido delegada por el gobierno de
EE.UU. para la supervisión de la gestión de un recurso que le pertenece, el
sistema de direccionamiento, pero así como ha podido otorgarlo, el Estado
americano puede retirarle sus competencias al ICANN, en cualquier momento. Por
otra parte, la constitucionalidad de esta delegación ha sido discutida por
algunos juristas, por no estar facultado
constitucionalmente el gobierno de los EE.UU. para confiar la regulación de un
recurso estratégico y vital a una organización privada.
Pero
además, el Acuerdo 35°, nos permite subrayar dos otros aspectos, vinculados a
la economía y transformación digital que no necesariamente el Perú controla: la
propiedad y/o la cesión en uso de las tecnologías informáticas, y los sistemas
de almacenamiento de éstas en la relación de confianza y seguridad informática
que el DU.007-2020 propone. Me refiero a
los sistemas operativos y programas informáticos que forman parte de la redes
interconectadas e interoperables de datos e informaciones públicas contenidas
en las Plataformas como en Centros de almacenamiento - particularmente en la
nube -, principalmente, de origen extranjero, que evidencian nuestra
dependencia, de un lado, como la interferencia, ver amenazas o riesgos a
nuestra defensa, soberanía, seguridad, del otro.
Estos
aspectos fueron apenas esbozados en otros instrumentos de planificación. Las
principales referencias son los Planes elaborados por el Centro Nacional de
Planeamiento Estratégico, CEPLAN: el Plan Bicentenario: El Perú hacia el 2021
de Desarrollo[22], aun cuando las fuentes para su elaboración son de data muy
antiguas; el Plan Estratégico de Desarrollo Nacional (PEDN) al 2030, y la
Visión al 2050, aprobada por consenso en el Foro del Acuerdo Nacional.
B
· CEPLAN,
además ha establecido, a través de su Observatorio, las Megatendencias,
Tendencias y Riesgos en lo Tecnológico[23], a partir de las cuales establece un
perfil de aquellas actividades prioritarias para el Perú - discutibles, si
caracterizamos los rasgos socio económicos actuales del país y el estado del
arte técnico -, en la necesaria re-formulación de la transformación digital y
del desarrollo de la economía digital.
-
Las Megatendencias en lo Tecnológico son:
· Cíberdependencia
· Interconectividad
· Convergencia
tecnológica
-
Las Tendencias en lo Tecnológico son:
· Incremento
de la interconectividad a través del Internet de las cosas (IoT)
· Mayor
automatización del trabajo
· Incremento
de la adopción de vehículos autónomos
· Incremento
del uso de dispositivos móviles inteligentes
· Incremento
del acceso a la salud por el uso de tecnología
· Incremento
del acceso a la educación por el uso de tecnología
-
Los principales Riesgos son:
· Avances
tecnológicos
· Crítica
infraestructura redes
· Cíberataques
· Fraude de
datos
Otros aspectos que no
han sido considerados o lo han sido medianamente por el Observatorio, pero que
son indispensables en el cambio de paradigma en el tránsito de la predominante
sociedad de producción de bienes y servicios materiales a la sociedad de
producción de bienes inmateriales, o sociedad de la información y del
conocimiento, son: la tecnología relacionada con la infraestructura y
aplicaciones en telecomunicaciones, es decir, el acceso al ciberespacio, la
disponibilidad satelital para la quinta generación de telefonía móvil o
5G, el acceso a supra procesadores y
supra conductores capaces de procesar y conducir datos, informaciones y
conocimientos más rápidamente. Pero también: el Cloud Computing, la Big Data,
Internet de las Cosas, la Inteligencia Artificial y la Ciberseguridad, que
según el estudio “Tendencias del sector de la TI”, elaborado por la Asociación
Española de Empresas de Electrónica, Tecnologías de la Información,
Telecomunicaciones y Contenidos Digitales (AMETIC) y MADISON Market Research
son las mas importantes. Es alrededor de
estas Macrotendencias, Tendencias y Riesgos, identificados en el ámbito
nacional y global que debiera haberse establecido el marco de confianza y
seguridad digital.
C
· La Agenda Digital N° 2, fue una propuesta intersectorial coordinada
por la Secretaria de Gobierno Digital de la PCM que data de 2011, orientando su
alcance al horizonte 2015. En ella se plantearon algunos Objetivos y
Estrategias, cuya revisión fue operada por una Comisión Multisectorial desde
2016, pero cuyas adendas no llegaron a materializarse en un documento
normativo. Su matriz original tenia Objetivos y Estrategias. Esta fue la Matriz de
Objetivos:
V.
MATRIZ DE OBJETIVOS Y ESTRATEGIAS
Fueron ocho los objetivos sobre los
cuales se sustentó la Agenda Digital Peruana 2.0 al 2015.
La Agenda Digital Peruana 2.0 debe ser
entendida de forma transversal.
OBJETIVOS
Objetivo 1. Asegurar el acceso
inclusivo y participativo de la población de áreas urbanas y rurales a la Sociedad
de la Información y del Conocimiento
Objetivo 2. Integrar, expandir y
asegurar el desarrollo de competencias para el acceso y participación de la
población en la Sociedad de la Información y del Conocimiento
Objetivo 3. Garantizar mejores
oportunidades de uso y apropiación de las TIC que aseguren la inclusión social,
el acceso a servicios sociales que permitan el ejercicio pleno de la ciudadanía
y el desarrollo humano en pleno cumplimiento de las metas del milenio
Objetivo 4. Impulsar la
investigación científica, el desarrollo tecnológico y la innovación con base en
las prioridades nacionales de desarrollo
Objetivo 5. Incrementar la
productividad y competitividad a través de la innovación en la producción de
bienes y servicios, con el desarrollo y aplicación de las TIC
Objetivo 6. Desarrollar la
industria nacional de TIC competitiva e innovadora y con presencia
internacional
Objetivo 7. Promover una
Administración Pública de calidad orientada a la población
Objetivo 8. Lograr que los
planteamientos de la Agenda Digital Peruana 2.0 se inserten en las políticas
locales, regionales, sectoriales, y nacionales a fin de desarrollar la Sociedad
de la Información y el Conocimiento
De manera general,
los objetivos de la Agenda Digital 2.0 fueron alineados a la finalidad
perseguida en el Art. 1° de la Constitución: acceso, inclusión y formación de
la población a la sociedad de la información y del conocimiento;
transversabilidad de las estrategias; desarrollo de la industria nacional e
incremento de la productividad y competitividad; promoción de la administración
pública y descentralización. Sin embargo, la Agenda Digital 2.0 no llegó a
alcanzar algunos objetivos que hubieran podido reducir o neutralizar algunos
aspectos de la dependencia tecnológica del Perú, impactando sobre la
construcción de un nuevo Proyecto Social
y Estrategia de Desarrollo, nuevas propuestas de alternativas de
reducción y/o de eliminación de debilidades, mejora de nuestras fortalezas
basadas en ventajas comparativas estratégicas de Perú, desarrollo de productos
nacionales TICs, en la demanda-oferta nacional e internacional de datos,
informaciones y conocimientos necesarios al mercado de la sociedad inmaterial
del futuro,
D · La Agenda Digital
2021[24],
fue presentada mediante un Comunicado de la Oficina de Prensa e Imagen
Institucional de la Secretaria de Gobierno Digital hace menos de dos meses, el
03 de marzo de 2020. La misma agrupó en veintiuno (21) los compromisos,
distribuidos en cinco (5) aspiraciones funcionales:
· Perú
Íntegro[25],
· Perú
Competitivo[26],
· Perú
Cercano[27],
· Perú
Confiable[28] y
· Perú
Innovador[29].
En Perú Integro, el compromiso apunta a
los objetivos de la Política Nacional de Integridad Pública, dirigido por la
Secretaría de Integridad Pública de PCM y de la Ley de Transparencia y Acceso a
la Información Pública a cargo del Ministerio de Justicia. En Perú Competitivo, el compromiso se
ajusta a los objetivos de la Política Nacional de Competitividad y
Productividad, liderada por el Ministerio de Economía y Finanzas y del Plan de
Conectividad, dirigido por el Ministerio de Transportes y Comunicaciones. En Perú Cercano, se pretende acercar el
Estado al ciudadano en la prestación de los servicios públicos más demandados y
de mayor sensibilidad. En Perú Confiable, se trata de aportar soluciones digitales a
los problemas sociales prioritarios. Finalmente, en Perú Innovador, se intenta impulsar la innovación, la economía y la
educación digitales a fin de poner la tecnología al servicio de la población.
Algunos de estos
compromisos no están mucho menos alineados con la finalidad de defensa de la
persona humana y de su dignidad, referida al Art. 1° de la Constitución, sino
se encuentran asociados a ciertas Políticas de entidades del Poder Ejecutivo,
entre ellos, los Ministerios de la Presidencia del Consejo de Ministros, PCM,
de Justicia, de Economía y Finanzas, de Transportes y Comunicaciones, de
Interior, de la Mujer y Poblaciones Vulnerables, de Salud, de Educación, de
Producción. De la misma manera, ciertos compromisos se afilian a otro Poder, el
Judicial, y otros organismos como la Fiscalía de la Nación, o la Policía
Nacional del Perú dependiente del Ejecutivo. Otros compromisos se dirigen al
sector privado, la academia, sociedad civil y los ciudadanos, específicamente,
en el diseño de la Política y Estrategia Nacional y Transformación Digital, ver
compromiso 17.
Estos compromisos
revelan una determinada prioridad de la Secretaria de Gobierno Digital de la
PCM para el logro de sus objetivos: a. liderar los procesos de innovación
tecnológica y de transformación digital, b. administrar las Plataformas
Digitales y c. constituirse en el ente rector del Sistema Nacional de
Transformación Digital del Estado Peruano. No obstante, la Agenda Digital 2021
es estrictamente selectiva, prescinde de compromisos directos con otras entidades del propio Poder Ejecutivo:
Defensa Nacional (Ejército, Marina, Aviación, Defensa Civil), u otros
Organismos Públicos; Gobiernos Regionales o Gobiernos Locales, en los ámbitos
de descentralización y desconcentración.
Ni identifica compromisos atinentes al conjunto de Poderes del Estado:
Poder Legislativo, u Organismos Constitucionales Autónomos o, proyectos especiales, y programas estatales, cuyas
actividades se realizan en virtud de potestades administrativas, como contempla
el Art. I del Título Preliminar de la Ley N° 27444, y mas allá de ello,
integrados en el Consejo Nacional de Seguridad y Defensa Nacional, sobre el
cual retornaremos en la próximo acápite.
Al igual que en las fuentes
citadas por CEPLAN: Megatendencias, Tendencias y Riesgos en lo Tecnológico,
Plan Bicentenario: El Perú hacia el 2021 de Desarrollo, o la la Agenda Digital
2.0 de la Secretaria de Gobierno Digital, si bien enumeran una serie de
obstáculos o debilidades, los principales indicadores tecnológicos, económicos,
de seguridad y defensa nacional, de soberanía, de independencia no se
encuentran alineados con la generación o el alcance de un estado o situación de
confianza y seguridad digitales. Ergo, si tomamos en cuenta solo los
Considerandos que fundamentan el DU.007-2020, el logro previsto de las
instituciones allí señaladas pueden verse comprometidas, limitadas o
ralentizadas : cumplimiento de la Ley de Gobierno Digital, implementación y
continuidad del Plan de Competitividad y Productividad, vinculación e
integración del Perú a la OCDE, cumplimiento de las Leyes de Acceso,
Transparencia y Protección de Datos Personales y Gestión de Intereses en la
Administración Pública, aparte de las Tendencias y Riesgos, identificados en el
ámbito global[30].
· 5. Seguridad y
Defensa.
Dos
otras disposiciones han sido atribuidas - artículos 5° y 6° DU.007-2020 - a las
atribuciones del ente rector de la confianza y seguridad digitales, la
Secretaría de Gobierno Digital de la PCM.
La naturaleza y
elementos de la confianza digital han sido ya enunciados en su definición,
consignada en el literal a) del Art. 2): Es el estado que emerge como resultado
de cuan veraces, predecibles, éticas, proactivas, transparentes, seguras, inclusivas
y confiables son las interacciones digitales que se generan entre personas,
empresas, entidades públicas o cosas en el entorno digital, con el propósito de
impulsar el desarrollo de la economía digital y la transformación digital.
Abordados el estado o
situación de confianza y seguridad digital se trata ahora de analizar el
significado de interacciones digitales, y entre quiénes y/o qué se realizan?
Todas o una parte de las personas y/o cosas? O solo entre aquellos o aquellas
que tienen por objeto impulsar el desarrollo de la economía digital y la
transformación digital?
Sobre lo primero, las interacciones digitales
son teóricamente aquellas relaciones realizadas mediante la técnica digital,
informática y de comunicaciones entre personas y cosas. Algunos autores
incluyen en la informática la característica de comunicación digital, por la
que no establecen diferencia alguna entre una u otra. Desconocemos si el texto
analizado hace implícito ese distingo al igual que la Ley N° 29733 y su
Reglamento 003-2013-JUS sobre Protección de Datos Personales, como sí lo
estableció la Unión Europea, en las interacciones digitales relacionadas con la
Protección de Datos Personales al promulgar dos Directivas: una, vinculada a la
protección de datos personales mediante
el tratamiento mediante la técnica informática vía la Directiva 95/46/CE
- derogada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
-, y la segunda, en la protección de los datos personales y la intimidad en las
comunicaciones, Directiva 2002/58/CE, sobre la cual existe ya una propuesta de
Reglamento de enero de 2017[31]. Es preciso mencionar, sin embargo, que en la
Directiva 95/46/CE y el Reglamento que
lo deroga, el tratamiento de los datos personales, incluye el tratamiento manual
e informático; y en la segunda Directiva, vigente aun, el tratamiento de los
datos personales y la intimidad en las comunicaciones, se refiere está a las
comunicaciones electrónicas sin diferenciarlas de las digitales.
Sobre lo segundo, entre quiénes o qué se
realizan estas interacciones, parciales o totales? La definición de dos
conceptos del artículo 2° del DU.007-2020, responden a algunas nociones
relacionadas con las interacciones, los sujetos u objetos de la relación y su
carácter parcial o total:
c) Entornos
Digitales: tecnologías y dispositivos digitales, generalmente interconectados a
través de redes e infraestructuras de datos o comunicación, incluyendo el
Internet que soportan los procesos, servicios, plataformas que sirven de base
para la interacción entre personas, empresas, entidades públicas o
dispositivos.
i) Servicio Digital:
servicio provisto de forma total o parcial a través de Internet u otras redes
equivalentes, que se caracteriza por ser parcial o totalmente automatizado y
utilizar de manera intensiva las tecnologías digitales y datos.
El texto del inciso
c) Entornos Digitales es impreciso respecto a la clasificación de los sujetos
de la relación: hubiera sido mejor diferenciar las personas naturales de las
jurídicas, y entre éstas últimas, las personas jurídicas públicas de todas
aquellas previstas en el articulo I del Título Preliminar del Texto Único
Ordenado de la Ley N° 27444, y luego incluir las personas jurídicas privadas,
incluyendo a las personas naturales o físicas.
La imprecisión es
mayor, en el inciso i) Servicio Digital al referirse a este como un servicio
provisto parcial o totalmente por redes de comunicación (en el que es
discutible la inclusión de los servicios informáticos??), o la imprecisión
sobre la equivalencia de una red similar a Internet (??); o que el servicio
pueda caracterizado por ser automatizado (la interrogante es: existe y cuál es
el segmento parcial no automatizado??); usando de manera intensiva tecnologías
digitales (solo es válido el servicio si utiliza de manera intensiva
tecnologías digitales[32]?? y si se trata de otras tecnologías,
electromagnéticas, por ejemplo??) y datos. (Sólo datos?? y las informaciones, y
el conocimiento??)
Sobre lo tercero, las referencias de las
interacciones sobre el marco de confianza y seguridad digital han sido
vinculadas específicamente a la economía y transformación digital. Recordemos
que los elementos contenidos en la definición de transformación digital son los
de: Proceso continuo, disruptivo, estratégico y de cambio cultural. Podemos
coincidir en que la transformación digital es un proceso continuo y
estratégico, aunque el concepto disruptivo, asociado a cambio irreversible de
tecnologías y de mentalidad, y el de cambio cultural los sean menos. Se trata
más bien de un cambio sustancial en la forma de organización de producción y de
redistribución social originado por las tecnologías vinculadas al tratamiento
de los datos, informaciones y conocimientos. Ello no impide la persistencia o
continuidad de otras tecnologías, ni de la mentalidad cultural.
Un
criterio adicional es que no ha sido reivindicado como
principio que estas tecnologías deben estar al servicio de la persona humana.
El artículo 1° de la Ley de 1978, Informática y Libertades de Francia, por ejemplo,
sostiene[33]:
Articulo
1°
La Informática debe
estar al servicio de cada ciudadano. Su desarrollo debe operarse en el marco de
la cooperación internacional. Ella no debe atentar ni a la identidad humana, ni
a los derechos humanos, ni a la privacidad, ni a las libertades individuales o
públicas.
Ello
coloca a la persona humana en el centro de toda transformación digital, inserta
en un Proyecto Social y Estrategia de Desarrollo, en las cuales las tecnologías
de tratamiento de datos, informaciones y conocimiento modifican sustancialmente
la forma de organización, producción y redistribución social. Los otros
elementos de esta norma: cooperación
internacional, no atentar a la identidad humana - incluyendo la identidad
digital - ni a la privacidad, ni a las libertades individuales o públicas,
deben también ser tomados en cuenta.
Pero hay
otra cuarta faceta apenas develada, sobre los sujetos u objetos de las
interacciones digitales y que los relaciona con los temas de seguridad y
defensa. El artículo 8° Registro Nacional de Confianza Digital del DU.007-2020,
numeral 8.1 indica que el propósito de crear ese Registro es de: recibir,
consolidar y mantener datos e información sobre los incidentes de seguridad
digital reportados por los proveedores de servicios digitales en el ámbito
nacional que puedan servir de evidencia o insumo para su análisis,
investigación y solución.
El
artículo 9°, referido a las obligaciones de estos Proveedores de Servicios
Digitales, PSD, incluye a las entidades de la administración pública, numeral
9.1, pero señala limitativamente algunos de ellos [PSD del sector financiero,
PSD servicios básicos (energía eléctrica, agua y gas), PSD salud y transporte
de personas, PSD de servicios de Internet, PSD
de actividades críticas y PSD de
servicios educativos)] la obligación de notificar todo incidente de seguridad
digital. Estas obligaciones solo serán
referenciales para las organizaciones privadas. Sin mencionar si las
obligaciones comprenden a los objetos indicados en las interacciones digitales
o no, y las responsabilidades de las empresas, propietarios, conceptores,
distribuidores responsables o usuarios
de los dispositivos conectados IoT y/o personas naturales. Ni su alcance respecto de las obligaciones de
notificación, implementación de medidas de seguridad, gestión del riesgo,
mantenimiento de infraestructura segura, escalable e interoperable.
Sobre la
infraestructura existiría redundancia entre los numerales 9.1 y el 9.4
El literal
d) del numeral 9.1 sobre las obligaciones de establecimiento de mecanismos para
verificar la identidad de las personas que accedan a un servicio digital
pareciera estar pensado solo a la identidad real y no a la identidad digital,
con la limitación de acceder solo con el DNI electrónico, cuando las exigencias
y recursos son mayores actualmente, incluyendo la posibilidad de acceder a las
redes vía pseudos o anónimamente, pero registrados previamente ante una
autoridad pública o mediante certificados digitales.
Un quinto
aspecto sobre seguridad y defensa, se encuentra en el numeral 8.3 sobre el
Registro Nacional de Incidentes de Seguridad Digital, enlazado al D.L. N° 1412.
Este inciso precisa que el Centro Nacional de Seguridad Digital: brinda
información sobre los registros de incidentes de seguridad digital, a los
responsables de los ámbitos del Marco de Seguridad Digital, de conformidad con
el artículo 32 del Decreto Legislativo N° 1412, y del Marco de Confianza
Digital debiendo observar para tal efecto la normatividad vigente en materia de
protección de datos personales. Sin embargo hemos visto antes que existen otros
ámbitos restringidos relativos a: las
libertades individuales y/o públicas,
El numeral
8.3 establece la vinculación entre el D. Legis. N° 1412 que aprueba la Ley de
Gobierno Digital y el DU.007-2020 que aprueba el marco de confianza digital y
dispone medidas para su fortalecimiento. El articulo 32[34] determina cuatro
ámbitos en el Marco de Seguridad Digital del Estado Peruano: a. Defensa, b.
Inteligencia, c. Justicia y d. Institucional, atinentes, según funciones y competencias
a la cíberdefensa, a la cíberinteligencia, cíberdelincuencia y a lo que
podríamos llamar cíberinformacion institucional administrativa.
Son varias las
imprecisiones sobre este aparte, las mismas que ameritan su alineamiento
estratégico:
1.- El DU.007-2020 no
se articula ni concuerda con la Ley del Sistema de Seguridad y Defensa Nacional
- Ley Nº 28478, ni con su Reglamento Decreto Supremo Nº 016-2006-DE-SG.
2. - No han sido
contempladas en el D.L. N° 1412 Ley de Gobierno Digital, algunas instituciones
relacionadas al Sistema de Seguridad la Defensa Nacional propuestas por la Ley
Nº 28478, ni en su Reglamento, Decreto Supremo Nº 016-2006-DE-SG, entre ellas,
el Ministerio de Relaciones Exteriores ni el Instituto de Defensa Civil,
INDECI, en lo relativo a la confianza y seguridad digital. El DU.007-2020
contempla el primero, pero no el segundo, en la articulación internacional,
añadiendo al Ministerio de Transportes y Comunicaciones en la articulación en
materia de comunicaciones.
3.- El Sistema de
Seguridad y Defensa Nacional, según el artículo 4° de la Ley N° 28478 está
compuesto por cuatro órganos, pero que difieren cuanto a la Gestión del Marco
de Seguridad Digital, en los ámbitos, instituciones y entes responsables que
las comprenden, conforme al Art. 32° del
D.L. N° 1412.
Ley Nº 28478. Art. 4. Componentes del Sistema. El Sistema de Seguridad
y Defensa Nacional es presidido
por el Presidente de la República e integrado por:
|
D. Ley N° 1412, Artículo 32.- Gestión del Marco de Seguridad Digital del Estado
Peruano. El Marco de Seguridad Digital del Estado Peruano tiene los
siguientes ámbitos:
|
a) El Consejo de seguridad Nacional;
|
a. Defensa: El Ministerio de Defensa (MINDEF) en el marco de
sus funciones y competencias dirige, supervisa y evalúa las normas en materia
de cíberdefensa.
|
b) El Sistema de Inteligencia Nacional;
|
b. Inteligencia: La Dirección Nacional de Inteligencia (DINI)
como autoridad técnica normativa en el marco de sus funciones emite,
supervisa y evalúa las normas en materia de inteligencia, contrainteligencia
y seguridad digital en el ámbito de esta competencia.
|
c) El Sistema Nacional de Defensa Civil;
|
c. Justicia: El Ministerio de Justicia y Derechos Humanos
(MINJUS), el Ministerio del Interior (MININTER), la Policía Nacional del Perú
(PNP), el Ministerio Público y el Poder Judicial (PJ) en el marco de sus
funciones y competencias dirigen, supervisan y evalúan las normas en materia
de cíberdelincuencia.
|
d) Los Ministerios, Organismos Públicos y
Gobiernos Regionales.
|
d. Institucional: Las entidades de la Administración Pública
deben establecer, mantener y documentar un Sistema de Gestión de la Seguridad
de la Información (SGSI).
|
4.- El Marco de
Seguridad Digital del Estado Peruano - señalado en el Art. 33° del D.L. N° 1412
Ley de Gobierno Digital pretende articularse y sustentarse en: las normas, procesos, roles,
responsabilidades y mecanismos regulados e implementados a nivel nacional en
materia de Seguridad de la Información[35] sin que sean precisados previamente
sus elementos. Por ejemplo: si los datos (signos alfanuméricos, informaciones,
conocimientos), personales o no,
públicos o privados, sensibles o no, existentes bajo diferentes formas
(escritos, voz, imágenes) o soportes (físicos, electromagnéticos, digitales)
han sido comprendidos en ese concepto? Cuáles son los alcances en su protección
o límites de su acceso, tratamiento, comunicación, cancelación, (abierto,
confidencial, reservado, secreto) teniendo cuenta la confianza y seguridad no
solo del propósito de impulsar el desarrollo de la economía y transformación
digital, sino que la seguridad de la información sea extensiva a finalidades y objetivos más integrales y
complejos: defensa, soberanía,
independencia nacional?
5. La diferencia y
organización de los componentes del Sistema de Seguridad y Defensa Nacional y
la Gestión del Marco de Seguridad Digital, impiden además lograr el objeto
propuesto en el Art. 1° del D. Legis. N° 1412[36]: establecer (…) el régimen
jurídico aplicable al uso transversal de tecnologías digitales en la prestación de servicios digitales por parte
de las entidades de la Administración Pública en los tres niveles de gobierno,
sino del Estado en general y garantizar que ese uso no comprometa la seguridad
y defensa digital de todos los componentes del Sistema de Seguridad y Defensa
Nacional. Algunas amenazas y riesgos digitales dirigidos contra uno de los
componentes de éste pueden directa o indirectamente comprometer otros y
viceversa, siendo necesario abordar de manera transversal y holística el estado
o situación de confianza y seguridad digital en todos los niveles y organizaciones
del Estado. La Agenda Digital 2021, es un ejemplo, en la propuesta de sus cinco
compromisos en la: Aspiración que pretende transversalizar,…aun cuando se trata
de un adjetivo verbalizado.
Finalmente, los
artículos 5° y 6° del D.U. 007-2020, sobre el ente rector del marco de
confianza y las atribuciones de la Presidencia del Consejo de Ministros a
través de la Secretaria de Gobierno Digital, debieran concordarse con otras
normas relativas a la Ley del Sistema de Seguridad y Defensa Nacional, Ley Nº
28478, cuyos componentes tienen a su cargo la concepción, planeamiento,
dirección, preparación, ejecución y supervisión de la defensa y seguridad
nacional y alinear estas atribuciones en la elaboración de la Política General
de Seguridad y Defensa Nacional, particularmente en los temas de
cíberdefensa[37] cíberinteligencia, cíberdelincuencia y cíberinformacion
institucional. Una oportuna y clara definición sobre el ente rector en este
alineamiento seria oportuna en el Reglamento para la debida Gestión por
procesos en la administración pública.
6. Datos, Centros y Registros
Este apartado
integra: el Artículo 7° (Centro Nacional de Seguridad Digital), el Artículo 8°.
(Registro Nacional de Incidentes de Seguridad Digital), el Artículo 12° (Datos
como activos estratégicos), y el
Artículo 13°. (Centro Nacional de Datos).
Articulo 7°. Centro Nacional de Seguridad
Digital
Este
artículo hace referencia a la creación, rectoría y funciones del Centro
Nacional de Seguridad Digital, sobre las cuales reparo tres principales
imprecisiones: Primera, sobre la estructura orgánica que esta adopta. No es
clara la idea de Plataforma, considerada como instrumento o plataforma digital.
La segunda, el reconocimiento del Centro como: componente integrante de la
seguridad nacional, adscribiendo su rectoría, sin embargo a la Secretaría de
Gobierno Electrónico de la PCM, y no a una estructura mayor prevista en la Ley
N° 28478 Ley del Sistema de Seguridad y Defensa Nacional; a fin de: gestionar,
dirigir, articular y supervisar la operación, educación, promoción,
colaboración y cooperación de la Seguridad Digital a nivel nacional - que
señala el numeral 7.1 - si consideramos ésta ultima como solo un aspecto
particular de la seguridad y defensa integral.
Más aun si el numeral 7.3 le otorga al Centro Nacional de Seguridad
Digital el carácter de mecanismo de intercambio de información y articulación
de acciones con los responsables de los ámbitos del Marco de Seguridad Digital
del Estado Peruano, conforme al artículo 32 del Decreto Legislativo N° 1412,
Ley de Gobierno Digital, y no del Sistema de Seguridad y Defensa Nacional
propuesto en la Ley N° 28478. La tercera imprecisión se relaciona con el Equipo
de Respuesta, previsto en el numeral 7.4 al cual se le asigna responsabilidades,
pero se desconoce el origen de este órgano, su relación y dependencia
orgánica en la llamada Plataforma
Digital.
Articulo 8°. Registro Nacional de Incidentes
de Seguridad Digital
A este
artículo nos hemos referido anteriormente en los temas de Seguridad y Defensa,
aunque también está relacionado con los
artículos 12° y el 7° Centro Nacional de Seguridad Digital que venimos
de analizar.
Algunas de
las imprecisiones son similares a las anotadas en el Articulo 12°, sobre el
título del Capítulo III Medidas para Fortalecer la Confianza Digital y su único
Articulo 8° Registro Nacional de
Incidentes de Seguridad Digital, como sola medida para fortalecer la confianza.
El numeral
8.3 atribuye al Centro Nacional de Seguridad Digital: brindar información sobre
los Registros de Incidentes de seguridad digital, pero sin haber definido entre
sus funciones la administración del Registro de Incidentes[38]. Además, este
Centro se encontraría vinculado al artículo 32° del D. Legis 1412, debiendo
observar para tal efecto la normatividad vigente en materia de protección de
datos personales (Solamente protección de datos personales, sin tener en cuenta
la Ley 28478, u otras normas sobre Acceso a la Información Publica y
Transparencia, ...)
Articulo 12. Datos como activos estratégicos
El título
del Capítulo IV Uso Ético de las Tecnologías Digitales y de los Datos, que
contiene solo el artículo 12. Datos como activos estratégicos, es discutible ya
por su alusión a dos diferentes ideas: se trata del uso ético de las
tecnologías digitales o los datos como activos estratégicos?
Definición, Alcance.
El D.U. 006-2020 crea el Sistema Nacional de
Transformación Digital define los Datos como Activos Estratégicos pero sin
atribuirle algunas de las características inherente y consensuadas a estos.
Primero,
el concepto de datos tiene una carácter polisémico: puede definírseles como:
· signo
alfanumérico, número, letra, o cualquier símbolo que representa una palabra,
cantidad, medida o descripción;
· hechos
que describen sucesos y entidades;
· características
sobre las cuales opera un algoritmo.
Los datos
en su primera acepción no tienen un significado per se, solo son signos sin la
referencia lineal a un significado cualquiera, es decir a un contenido
determinado. La importancia de los datos estriba en la representación que ellos
poseen, pueden o tienden, puede convertirse en contenido, información si
adhieren a un marco de referencia específico para ofrecer un significado,
conocimiento, ideas o conclusiones, como han sido definidos en su segunda
acepción: hechos que describen sucesos y
entidades[39].
Segundo,
los datos son un bien o un activo. En ciencias jurídicas, un bien es todo
inmueble, mueble o derecho valorizado en dinero o susceptible de un valor
referencial que tiene su propia individualidad y, potencial utilidad para su
dueño o poseedor. Y un activo es un bien o derecho que una persona posee. La
posesión o propiedad de los datos faculta su uso, disfrute, enajenación.
Tercero,
los datos pueden tener el carácter de un bien, derecho o activo, cuando las
personas, incluido, el Estado, le otorgan ese carácter estratégico, es decir,
son determinantes, importantes, categóricos en la toma de decisiones. Así, solo
cuando son evidentes estas tres características, los datos tienen la
significación que le atribuye la definición del D.U. 006-2020. Sin embargo, las características implícitas
de datos como valor estratégico que hemos señalado no figuran en el DU 006-2020, art. 2, literal c)[40], el D. Legis
1412 de Gobierno Electrónico o en los Considerandos o texto del DU 007-2020,
sino como referencias de valor estratégico para su uso. Además de ello, revela algunas interrogantes:
A cuáles datos nos referimos? Públicos, privados, ambos, ninguno de ellos?
Datos abiertos, confidenciales, reservados, secretos, sensibles? Anonimizados,
pseudonimizados? Provenientes de qué sectores? Cualquiera que sea el
propietario, el poseedor, el usuario? Datos vigentes, pasados, reutilizables?
Administración,
Promoción. Los numerales 12.1 y 12.2 del
artículo 12, se refieren a la
administración y uso intensivo de datos (especialmente datos personales,
biométricos, y espaciales) , adscribiendo esta facultad a las entidades
públicas y organizaciones del sector privado, garantizando cada fase de su
producción en la forma y tiempo necesarios y apropiados, considerando las
necesidades de información (utilizado como sinónimo de datos), uso ético,
riesgos y cumplimiento normativo en la protección de los datos personales, gobierno
digital y seguridad digital.
Algunos
criterios de la argumentación, específicamente referidos a la lingüística y
lógica, impiden precisar los datos en la categoría de activos estratégicos.
Veamos. Son especialmente considerados como activos estratégicos los datos
personales, biométricos y espaciales, pero de todos estos, - salvo los
espaciales -, los biométricos son datos
personales sensibles, y los solo
personales, están limitados en su administración, por principios (de legalidad,
consentimiento, finalidad, proporcionalidad, calidad, seguridad, disposición de recurso, nivel de protección
adecuado) previstos en las normas de protección (y que el DU.007-2020 previó en
el numeral 12.3), salvo las posibilidades de pseudonimización o anonimización,
o las propias necesidades de la administración pública, seguridad y defensa,
como en el caso de la pandemia por el COVID 19.
Pero debemos reconocer que aparte de los datos mencionados con las
limitaciones y protecciones, y los datos
abiertos, es difícil: diseñar políticas, tomar decisiones, así como crear y
entregar servicios digitales, de dimensión nacional o global como lo subraya la
definición del D.U. 006-2020. Además de un constreñido uso ético en las normas
de acceso a la información (nuevamente utilizada como sinónimo de dato) pública
y transparencia.
Cuanto a
la promoción y garantía del uso ético
(cuyos principios se desconocen) de las tecnologías digitales y uso intensivo de datos por las personas, es difícil asegurar que
ello pueda realizarse sino relativizamos el control y los avances sobre estas
tecnologías de las cuales dispone el país.
Limites.
Los
limites que figuran en el numeral 12.3 aluden únicamente a las normas relativas
a la protección de los datos personales, sin tener en cuenta otras normas:
Acceso a la Información Pública y Transparencia (Ley N° 27806, su Reglamento
Decreto Supremo Nº 072-2003-PCM, sus normas modificatorias y ampliatorias,
Decreto Legislativo N° 1353, que crea la Autoridad Nacional de Transparencia y
Acceso a la Información Pública, fortalece el Régimen de Protección de Datos
Personales y la regulación de la gestión de intereses, su Reglamento el Decreto Supremo N° 019-2017-JUS, entre otras).
Las excepciones relacionadas específicamente con la información secreta y muy
secreta, reservada relacionada con la seguridad y defensa nacionales,
vinculadas con la Ley N° 28478 sobre Seguridad y Defensa Nacionales, su
Reglamento y concordancias con otras
normas y conceptos atinentes.
Articulo 13°. Centro Nacional de Datos
La primera
observación en este artículo es
establecer la articulación, relaciones
orgánicas entre el Artículo 7 (Centro Nacional de Seguridad Digital), el
Artículo 8. (Registro Nacional de Incidentes de Seguridad Digital), el Artículo
12 (Datos como activos estratégicos), como las funciones de la Secretaría de
Gobierno Electrónico de la PCM y el Consejo de Seguridad Nacional.
La segunda
incógnita porta sobre si este Centro es un ente técnico normativo, es decir, no
acopia, trata, conserva o divulga datos, al instar de los elementos contenidos
en la definición de Tratamiento de datos personales previsto en artículo 2°,
numeral 17 de la Ley 29733 Protección de Datos Personales[41]? Y únicamente:
gestiona, dirige, articula y supervisa la operación, educación, promoción,
colaboración y cooperación de datos a nivel nacional (Numeral 13.1). Aunque en
el numeral 13.3 el Centro Nacional de Datos: intercambia información y articula
acciones con las entidades públicas, academia, sociedad civil y sector privado,
que pudiera asociarse a la tenencia previa para el intercambio de datos.
Finalmente,
existe una aparente contradicción entre las funciones otorgadas al Consejo de
Seguridad Nacional por la Ley 28478, por
el artículo 7.- entre otras, aprobar
la Política de Seguridad y Defensa Nacional; las directivas sobre
Seguridad Nacional; los demás aspectos relacionados con la Seguridad Nacional.
Y el numeral 13.4 del DU 007-2020, por
el cual, la Secretaría de Gobierno Digital, en su calidad de ente rector en
gobernanza de datos, establece los protocolos y mecanismos en materia de
gobierno de datos y emite los lineamientos y las directivas correspondientes.
En
Conclusión,
existen algunas imprecisiones en el DU. 007-2020 que ameritan ser evaluadas y
de ser posible corregidas. Ello no nos libera del ejercicio de fijar un
horizonte de mediano o largo plazo que permita al Perú de:
· Alinear y
establecer la correspondencia entre Proyecto Social, Estrategia de Desarrollo,
Planes, Programas, Presupuesto e
Innovación y Tecnologías, particularmente aquellas relacionadas con los
datos, informaciones y conocimiento.
· Concordar,
racionalizar, articular los heterogéneos Acuerdos, Políticas y Normas referidas
a la tecnología informática y comunicaciones, particularmente en los organismos
u órganos de su rectoría.
· Asegurar
el equilibrio, separación entre Poderes del Estado, en el marco de los principios constitucionales pero
igualmente la colaboración sobre objetivos estratégicos y transpartidarios de
mediano y largo plazo
· Introducir
y revaluar las variables relacionadas
con la soberanía, dependencia, seguridad y defensa nacional, competencia, jurisdicción,
contratación digitales en la perspectiva de intercambio global de bienes y
servicios digitales en la sociedad de la
información y del conocimiento.
· Actualizar
el diagnóstico sobre tecnologías, incluyendo las tendencias, riesgos, consecuencias, principalmente, cuanto a la
seguridad y defensa nacionales, no solo pública sino privada.
· Identificar
y evaluar áreas, sectores como herramientas tecnologías idóneas para la producción, interconexión,
interoperabilidad de bienes y servicios públicos, incluyendo los no digitales;
la formación, competencia, inducción de los recursos.
· Asegurar
el financiamiento y cooperación necesaria para el desarrollo de la tecnología
satelital, infraestructura, equipamiento.
· Asegurar
el acceso, transparencia, gestión de intereses, protección de libertades y
derechos de las personas y los bienes.
El Dr. Ferreyros hace un prolijo estudio que merece destacarse. Si la frase "confianza digital" no fuese materia del DU en cuestión ni del empleo por entidad alguna, pregunto, ¿Existiese esta preocupación? Si bien los neologismos que provienen de la tecnología generan innovación lingüística, es preciso evitar disquisiciones o barbarismos que impiden que la multidisciplinariedad se normalice. La confianza, además, es una consecuencia no un buen deseo, un pronóstico o una imposición por norma. Convendrá que las agencias que norman sean más cuidadosas con el lenguaje.
ResponderEliminar