Hace unos días, la Comisión de Inteligencia entregó el Dictamen del Proyecto de Ley Nº 772/2016-CR, una iniciativa impulsada por el congresista Marco Miyashiro (Fuerza Popular). Esta propuesta buscaba dotar de herramientas a los órganos de Inteligencia del Estado, específicamente a la Dirección Nacional de Inteligencia (DINI), para hacer frente los retos del país en materia de Ciberseguridad. El texto modificado que acaba de ser enviado por la Comisión al Pleno es el producto del consenso entre diferentes entidades del Estado, pero también de representantes de la sociedad civil. Aunque todavía puede ser discutido y perfeccionado, el proceso que produjo esta última versión es un ejemplo de cómo deberían de discutirse las normas que afectan las tecnologías en nuestro país.
En estos últimos años, se ha vuelto frecuente que veamos en el Congreso iniciativas legislativas relacionadas a Internet. En su mayoría, estos proyectos de ley buscan regular o prohibir situaciones o tecnologías específicas por diferentes motivos, muchos de ellos cuestionables y otros francamente incomprensibles. Sin exagerar, hoy existen decenas de estos proyectos en el Congreso que, si llegaran a aprobarse, destruirían Internet como la conocemos. Aunque esto ocurre también en otras áreas, en el caso de la tecnología se ponen en peligro a muchos otros bienes valiosos como el desarrollo económico, la seguridad pública e incluso los derechos humanos.
Una de las causas más comunes de este problema es la desinformación. Nuestros legisladores, sus asesores y en general los hacedores de políticas públicas parecen no entender completamente qué es Internet, cómo funciona y qué actores están envueltos en su gobernanza. Por eso, cuando analizamos el texto del Proyecto de Ley de Marco Miyashiro no nos pareció extraño encontrar que contenía propuestas preocupantes para el desarrollo de la Ciberseguridad en el país.
Los problemas del Proyecto de Ley
El texto del Proyecto planteaba la modificación del Decreto Legislativo 1141, una norma reciente sobre el fortalecimiento del Sistema Nacional de Inteligencia (SINA) y la DINI. Tanto en los artículos añadidos como en las modificaciones, lo que se quería era introducir y desarrollar un concepto nuevo dentro del universo de competencias en el SINA: el de Seguridad Digital. Este concepto era definido de la siguiente forma:
8) Seguridad Digital: Es la situación de confianza en el entorno digital, alineada al logro de los objetivos del Estado, a través de la gestión de riesgos, la aplicación de medidas de Ciberseguridad y las capacidades de ciberdefensa.
Al inicio pensábamos que el hecho de que este tipo de iniciativa hubiera salido del Congreso era más o menos inédito y hasta bienvenido. Pese al esfuerzo invertido y al liderazgo de entidades como la Secretaría de Gobierno Digital (ex ONGEI), hasta ahora no había en la fila ninguna norma que tocara sustancialmente el tema de la Ciberseguridad, tan urgente en el tiempo que vivimos. No obstante, no tardamos en encontrar problemas de fondo y de forma.
En primer lugar, el Proyecto de Ley no recogía en su texto conceptos o terminología previamente elaborados por otras instituciones. Por ejemplo, se ignoraba el conjunto de normas técnicas sobre la materia producidas por la ex ONGEI. Tampoco se utilizaban términos empleados por organismos internacionales como la UIT o la OTAN. El problema de no seguir ningún modelo previo es que posteriormente hay que definir qué significa todo. Esto iba a hacer que su cumplimiento fuera problemático.
Por otro lado, si bien no hay un consenso mundial sobre qué es Ciberseguridad, en la mayoría de países existen planes nacionales que permiten desarrollar qué significa, quiénes son los actores relevantes y cuáles son sus ámbitos de competencia. Dado que el concepto propuesto era más o menos genérico, su adecuación dentro del texto hacía que fuera imposible conocer su verdadero alcance. ¿Solo dentro del SINA? ¿A nivel nacional?
Pero quizás el punto más polémico se encontraba en el ámbito de las competencias. Con una redacción de ese tipo y con un margen tan amplio de interpretación, la norma iba a provocar una colisión de responsabilidades y atribuciones no solo dentro del Sector Defensa sino en toda la Administración Pública. A eso hay que sumarle que el Proyecto incluía una disposición final en donde se encargaba a la DINI (una entidad especializada dentro de uno de los tantos Sectores del Estado) la redacción del Plan Nacional de Ciberseguridad de todo el país. ¡De todo el país!
Reuniones, malentendidos y consensos
Cada uno de los problemas planteados más arriba se ramifican en muchos otros más. Por ejemplo, que dos entidades del Estado se disputen quién hace qué es algo catastrófico en un sistema ya de por sí burocrático. Peor aún, que una entidad pequeña como la DINI fuera encargada de construir un Plan Nacional de Ciberseguridad podía provocar un gran daño no solo al Estado sino también a los particulares por una sencilla razón: a diferencia de la Ciberdefensa, la Ciberseguridad es principalmente un problema de empresas y de usuarios. Sin menospreciar su trabajo, la DINI no es precisamente una institución acostumbrada a crear espacios abiertos al público para construir un Plan Nacional de Ciberseguridad funcional y transparente.
Una de las primeras alarmas cuando el Proyecto fue presentado la lanzó el abogado Erick Iriarte en este artículo en LaMula. El hecho de que su denuncia se enfocara en el historial negativo de la DINI en conexión con uno de los problemas que mencionamos (vaguedad de los términos y alcances) atrajo la atención de algunos medios de comunicación que cubrieron la noticia. Esto generó una reacción que creemos dio pie al giro (favorable) de toda la situación: a finales del mes de mayo recibimos una invitación de la Comisión de Inteligencia para participar de una Mesa de Trabajo sobre este Proyecto. De la misma manera, fueron invitados otros representantes de la sociedad civil, consultores privados y representantes del gobierno. Sin duda, se había presentado una gran oportunidad para lograr un cambio positivo.
En gran medida, la primera Mesa de Trabajo se enfocó en hacer un recuento de los problemas ya mencionados y sus consecuencias. La opinión mayoritaria sobre la falta de claridad del texto y la superposición de competencias era común incluso entre los representantes de entidades del Estado. Pero este dato curioso no fue nada en comparación a lo que se concluyó luego de haber escuchado a los miembros de la Comisión: El Proyecto no pretendía tener un alcance tan grande, sino solo quería abarcar los procesos del SINA “en el ámbito de su competencia.” Después de todo, se trataba de un malentendido y de una redacción deficiente. ¡Pero ese malentendido pudo convertirse en Ley! De cualquier forma, en este nuevo contexto se pidió a los asistentes enviar sus propuestas de modificación y se pactó una segunda y última reunión para consensuar el texto final. Puedes revisar la carta que enviamos aquí.
En la Mesa de Trabajo final y con una propuesta integral presentada desde la Presidencia del Consejo de Ministros (PCM) en coordinación con la DINI, se superaron la mayoría de las objeciones. El concepto de Seguridad Digital se restringió al ámbito de competencia del SINA, se mejoró la redacción general para eliminar la vaguedad y se redujo las prerrogativas de la DINI con respecto a su papel en la creación de planes. Los únicos puntos sobre los que podría haber desacuerdo son la definición de lo que implica Seguridad Digital, que en el texto final quedó encargado a la PCM y otros aspectos ejecutivos como quién se encargará de los programas de capacitación, entre otros. Por supuesto, todo esto sin olvidar que aún queda una gran tarea pendiente que es trabajar en un Plan Nacional de Ciberseguridad para el Perú.
Entre el correo electrónico que mencionamos al inicio de este artículo y la primera reunión ha pasado menos de un mes. En las Mesas de Trabajo, además del espacio y del tiempo de los participantes, no creemos que se hayan invertido demasiados recursos. Ciertamente la buena voluntad de los miembros de la Comisión y de otras entidades del Estado es invaluable, pero su buena disposición no le cuesta nada al Tesoro Público. En contraposición, los resultados de este esfuerzo compartido son enormes. El Proyecto de Ley actual tiene ahora mayores chances de producir efectos positivos, no solo para el Sector Defensa al que está dirigido sino para todos. Esta es una experiencia que debe repetirse de aquí en adelante no solo por el bien de estas iniciativas sino en el de toda la sociedad.
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
3 comentarios