A inicios del mes de enero de 2020, se promulgó el Decreto de Urgencia Nº 007-2020, que crea el Marco de Confianza Digital. Esta nueva norma continúa la propuesta del Ejecutivo de organizar el ecosistema de ciberseguridad peruano desde el Estado.
Gobierno Digital y Confianza Digital
Se trata de una norma de continuación, que afianza el camino iniciado varios años atrás por la Secretaría de Gobierno Digital (SEGDI) de la Presidencia del Consejo de Ministros con el fin de dirigir la evolución del ecosistema digital en el país. Como está escrita, esta propuesta no es solo un paso más en el camino de la configuración del esquema de Gobierno Digital, sino también una respuesta del gobierno a las iniciativas presentadas por el Congreso disuelto, específicamente la Autógrafa de la Ley de Ciberseguridad, de la cual ha tomado casi todos sus elementos.
Pero, ¿qué es la Confianza Digital? Podemos partir de la definición que la SEGDI misma propone, viéndola como “la confianza en el entorno digital o también denominada confianza digital emerge como resultado de cuán veraz, predecible, seguro y confiable son las interacciones digitales que se generan entre empresas, individuos o cosas.” Este concepto ya se había establecido previamente en el Decreto Supremo que regula la Seguridad Digital, que es la norma que sienta las bases para el desarrollo de la ciberseguridad desde el Estado.
Se señala que la Confianza Digital establece diferentes mecanismos de actuación en varias áreas, siendo las más importantes: Protección de datos, transparencia, seguridad digital y protección del consumidor en el entorno digital. En cada una de ellas ha dispuesto medidas que afectan no solo a actores del Estado sino también a los privados, como detallo a continuación.
Nuevas obligaciones para el sector privado
En el Capítulo I, el Decreto de Urgencia define la categoría de “Proveedor de Servicio Digital”, que es toda aquella entidad pública o privada que sea responsable del diseño, prestación y/o acceso a un servicio digital. Si nos atenemos a la definición que también se incluye de “Servicio Digital”, podemos concluir que cualquier empresa que opere sobre Internet cae dentro de esta categoría, desde Google hasta una empresa de marketing digital en San Borja o Chimbote. Además, para la norma no importa dónde esté localizada la entidad, bastando que los servicios se presten en el territorio nacional para que resulte de aplicación.
¿Por qué esto importa? Pues porque en el Capítulo III se establecen obligaciones para los proveedores de servicios digitales. Las obligaciones son principalmente dos: a) Notificar al Centro Nacional de Seguridad Digital de incidentes de seguridad que los afecten; y b) Verificar la identidad de las personas que acceden a sus servicios digitales. Pese a que estas obligaciones son dirigidas a proveedores digitales específicos, entre una de las categorías está la de “proveedores de servicios de internet”. Este término es ambiguo y, dependiendo cómo se interprete, puede incluir solo a quienes ofrecen servicio de acceso a Internet (ej. empresas de telefonía), pero también a empresas que ofrecen servicios sobre Internet que, como dijimos, puede ser básicamente cualquiera.
Así pues, bajo una interpretación extensiva de la norma, estas obligaciones aplicarían a cualquier empresa y no reportar una vulneración al Centro de Seguridad Digital podría eventualmente constituir una falta, pasible de sanción. No obstante, surgen varias preguntas: ¿Cuál será la sanción si la empresa no reporta? ¿Las empresas que notifiquen los incidentes no serán sancionadas aún cuando hayan sido negligentes? ¿Qué pasa si las empresas son PYMEs y no tienen presupuesto o conocimiento para detectar los incidentes o contratar sistemas de seguridad robustos?
Además, el Decreto parece querer abarcar a los servicios digitales que prestan empresas no domiciliadas, como algunas plataformas de transporte o de alquiler de vivienda. Si llegan a implementarse mecanismos de sanción en el Reglamento, ¿empresas como Google, Uber o Airbnb podrían ser sancionadas por no notificar incidentes de seguridad al Centro Nacional de Seguridad Digital? ¿Cuál sería su sanción si no cumplen? ¿Bloquearlas? Esta preocupación no es baladí. El año pasado, el Ministerio de Transportes y Comunicaciones publicó una norma muy polémica que le permite exigir el bloqueo de aplicaciones y páginas web, sin proceso judicial previo. En su artículo 11, el Decreto de Confianza Digital habla de coordinaciones entre la SEGDI y este Ministerio en materia de comunicaciones. ¿Este sería un tema a tratar en dichas coordinaciones?
Registro Nacional de Incidentes de Seguridad Digital
En su artículo 8, el Decreto de Urgencia crea el Registro Nacional de Incidentes de Seguridad Digital, el cual recopilará y almacenará información sobre estos incidentes con fines documentales, pero también de análisis y solución. Se señala que el registro es confidencial, se mantiene en una plataforma gestionada por la SEGDI y y se pone a disposición de las entidades encargadas del Marco de Seguridad Digital y el de Confianza Digital. Leyendo esta norma junto con la de Gobierno Digital, estas entidades serían: Ministerio de Defensa, DINI, Ministerio de Justicia, Ministerio del Interior, Ministerio Público, Poder Judicial, INDECOPI y la misma SEGDI.
No obstante, no queda claro el beneficio directo para las empresas del sector privado de participar de este registro. Los bancos, que son entidades obligadas por el Decreto de Urgencia, ya cuentan actualmente con mecanismos propios para lidiar contra incidentes de seguridad. ¿Cuál sería su motivación para notificar de sus incidentes al Centro Nacional de Seguridad Digital? ¿El Centro realmente tiene recursos para resolver los incidentes? Si solo son un repositorio de casos para estudio, el que solo estén a disposición del sector público le resta casi todo su valor en términos de aprendizaje o alerta para los agentes del mercado.
No queda claro tampoco cómo la obligación de notificar al Registro interactúa con la Ley de Protección de Datos Personales y las Directivas de Seguridad emitidas por la Autoridad de Protección de Datos. Por ejemplo, si una empresa no ha acatado la normativa de protección de datos, ¿realmente tiene un incentivo para notificar un incidente que podría revelar su negligencia? ¿Reportar eximirá a la empresa de cualquier investigación posterior? ¿Qué pasa con los no domiciliados en este aspecto?
¿Nuevas entidades de gestión?
En el artículo 7 de la norma, se crea el Centro Nacional de Seguridad Digital, que se identifica como una “plataforma” pero también como una suerte de “entidad” que procesa y gestiona los incidentes de seguridad, se entiende que previamente monitoreados a través del Registro de Incidentes. ¿Cómo así esta plataforma/entidad va a gestionar los incidentes? ¿Significa esto que va a resolverlos? ¿Cómo? ¿En qué casos?
El Centro Nacional de Seguridad Digital se parece un poco al Consejo de Ciberseguridad propuesto por la Autógrafa de Ley de Ciberseguridad, pero con atribuciones menos específicas y conformado enteramente por el Estado. Quedan dudas incluso de si reemplazaría alguna entidad existente o sería una suerte de espacio de coordinación, más que una oficina nueva. ¿Este Centro incorpora al actual Pe-Cert?
Otra adición igual de imprecisa se presenta más adelante: El Centro Nacional de Datos. Esta es otra plataforma/entidad, pero esta vez orientada la gobernanza de datos. De su descripción en el artículo 13, podría entenderse que este Centro gestionará las bases de datos en poder del Estado. ¿Es realmente así? Si fuera así, tendría un largo trabajo por delante, teniendo en cuenta el alto nivel de fragmentación en la información pública y la baja interoperabilidad en la Administración Pública que existe actualmente.
¿Qué va a ocurrir ahora?
Por lo pronto, la SEGDI ha convocado algunas reuniones para recibir recomendaciones de diferentes sectores para el proceso de reglamentación de la norma de Confianza Digital. Personalmente no me queda claro el objetivo final de este Decreto. Tengo la impresión de que esta norma tuvo tres objetivos. El primero es dejar en offside a la Autógrafa de la Ley de Ciberseguridad, de la cual se ha apropiado casi todo, pero planteando mecanismos desde la óptica de la SEGDI, es decir; con un modelo de gestión vertical, con alta institucionalidad, pero baja participación de sectores no estatales en su operación regular.
El segundo es complejizar aún más el esquema propuesto por la Ley de Gobierno Digital, colocando a la SEGDI como centro, de tal manera que el desarrollo de normatividad en materia digital finalmente recaigan en esta entidad, aun cuando en el campo los problemas sean gestionados por otras áreas del Estado (como INDECOPI, el Ministerio de Transportes, MINJUS, etc.). Esto va muy en la línea de mejorar la gobernanza pública, una de las observaciones hechas por los diferentes estudios de la OCDE respecto del Perú.
El tercer objetivo sería aprovechar al máximo el interregno en el cual el Ejecutivo tiene potestad de producir normas sin control previo con el fin de robustecer lo suficiente el modelo de seguridad digital propuesto por SEGDI, con el fin de que resista cualquier intento de cambio en el futuro. A la norma de Confianza, se suman la de Transformación, las cuales a su vez se originan en la Ley de Gobierno Digital, que a su vez se sostiene en varios decretos previos sobre interoperabilidad, uso de nube, seguridad de la información, etc. Desmontar ese entramado poco a poco se volverá más y más difícil si es que no imposible para las siguientes administraciones.
No nos queda más que estar atentos al proceso de reglamentación, especialmente en el tema de obligaciones de notificación para privados y también en las entidades de gestión de ciberseguridad dentro y fuera del Estado, las cuales deberían asegurar la participación activa de actores no estatales.
Foto: Taylor Vick para Unsplash
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.