Escrito por Cecilia Kahn[1], Asociada y líder del área de Nuevas Tecnologías y Protección de Datos Personales de CMS Grau
Habiendo transcurrido algunos días desde la publicación del Decreto de Urgencia No. 007-2020 mediante el que se aprobó el Marco de Confianza Digital (la “Ley de Confianza Digital”) y habiendo sido la sensación, muchos deben estarse preguntando: ¿Qué es confianza digital? ¿Cómo se aplica? ¿A quién le aplica? ¿Que de nuevo trae? y, seguramente, un sinnúmero de preguntas adicionales. Bueno, intentaré comentarles y, de ser posible, de forma sencilla.
Antes de empezar y en línea con lo que trata la Ley de Confianza Digital, me gustaría comentarles que, en abril y mayo del año pasado, fueron presentados ante el Congreso de la República los Proyectos de Ley No. 4237/2018-CR y 4352/2018-CR referidos a ciberseguridad y, en julio de ese mismo año, dichos proyectos fueron unificados mediante dictamen emitido por la Comisión de Defensa Nacional, Orden Interno, Desarrollo Alternativo y Lucha contra Las Drogas (la “Comisión de Defensa Nacional”). En dicho dictamen, se proponía que la ley de ciberseguridad tuviera como objeto establecer el marco normativo aplicable a la Seguridad Digital del Estado Peruano. Asimismo, era de aplicación a entidades del sector público, sector privado, academia y sociedad civil y se ordenaba la creación de un Comité de Ciberseguridad del Estado Peruano (COSEDENA) y del Equipo de Respuesta frente a Incidentes de Seguridad Informática (CSIRT). Sin embargo, dicho dictamen fue observado por el Poder Ejecutivo el pasado 11 de septiembre por distintos motivos, siendo uno de ellos el ir en contra de las recomendaciones de la OCDE, hecho que pondría en riesgo el ingreso del Perú como miembro[2] de la OCDE. Posteriormente, dicho dictamen volvió a la Comisión de Defensa Nacional, pero todos ya sabemos lo que ocurrió después, se disolvió el Congreso.
Ahora sí, les voy a explicar sobre qué trata esta Ley de Confianza Digital que fue promulgada el pasado jueves 9 y que ha captado el interés de muchos. Es importante comentarles que ésta tiene como propósito seguir las recomendaciones de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) sobre la (i) gestión de riesgos de seguridad digital y (ii) necesidad del establecimiento de equipos de respuestas a incidentes de Seguridad Digital a nivel de Estados. Además, la confianza digital es un elemento clave para llevar a cabo la transformación digital del país, por lo que el gobierno ha encontrado necesario crear algún tipo de regulación que brinde lineamientos y pautas sobre la confianza digital.
¿Qué busca la Ley de Confianza Digital?
Establecer medidas que resulten necesarias para garantizar la confianza de los ciudadanos en su interacción con los servicios digitales prestados por entidades públicas y privadas en el territorio nacional.
Para entender mejor lo anterior, es necesario que todos tengamos claros, cuando menos, los siguientes conceptos que son desarrollados en los literales a) e i) del artículo 3 de la Ley de Confianza Digital:
- Confianza Digital. – Es el estado que emerge como resultado de cuán veraces, predecibles, éticas, proactivas, transparentes, seguras, inclusivas y confiables son las interacciones digitales que se generan entre personas, empresas, entidades públicas o cosas en el entorno digital, con el propósito de impulsar el desarrollo de la economía digital[3] y la transformación digital[4]. Es un componente de la transformación digital y tiene como ámbitos la protección de datos personales, la ética, la transparencia, la seguridad digital y la protección del consumidor en el entorno digital.
- Servicios Digitales.- Es aquel servicio provisto de forma total o parcial a través de Internet u otras redes equivalentes, que se caracteriza por ser parcial o totalmente automatizado y utilizar de manera intensiva las tecnologías digitales y datos, permitiendo, al menos, una de las siguientes prestaciones: (i) Adquirir un bien, servicio, información o contenido (e. plataformas digitales como Aliexpress, Amazon, Mercado Libre, etc.) (ii) Buscar, compartir, usar y acceder a datos, contenido o información sobre productos, servicios o personas (i.e. motores de búsqueda como Yahoo, Bing, etc.), (iii) Pagar un servicio o bien tangible o intangible (i.e. yape, lukita, etc.) y, (iv) El relacionamiento entre personas (i.e. redes sociales como facebook, instagram, tinder, etc)[5].
Como podrán advertirlo, luego de conocer estas dos definiciones claves, el gobierno busca establecer medidas que permitan que todos los usuarios podamos interactuar en estos servicios digitales provistos por entidades públicas o privadas, independientemente de su localización geográfica, de forma segura.
De otro lado, la Ley de Confianza Digital involucra los siguientes ámbitos: a) Protección de Datos Personales y Transparencia, b) Protección del Consumidor y c) Seguridad Digital, y:
- Fija como ente rector de la Confianza Digital a la Presidencia de Consejo de Ministros a través a la Secretaria de Gobierno Digital (la “SeGDi”), quién será responsable de dirigir la estrategia de Confianza Digital a nivel nacional y supervisar su cumplimiento, además de otras funciones.
- Crea el Centro Nacional de Seguridad Digital, quién será el responsable de identificar, proteger, detectar, recuperar y recopilar información sobre incidentes de seguridad digital[6] en el país con el propósito de gestionarlos e incorpora al Equipo de Respuestas a Incidentes de Seguridad Nacional Digital que, a su vez, es responsable de a) gestionar las respuestas y recuperación de incidentes de seguridad digital y b) coordinar y articular acciones con otros equipos para atender los incidentes de seguridad digital.
- Crea el Registro Nacional de Incidentes de Seguridad Digital que tiene como objetivo recibir y mantener los datos sobre los incidentes de seguridad digital reportados por proveedores de servicios digitales.
¿Quiénes están obligados y en qué casos?
Según el artículo 9 de la Ley de Confianza Digital, están obligados a) las entidades de la administración pública, b) los proveedores de servicios digitales del sector financiero, servicios básicos (energía eléctrica, agua y gas), salud y transporte de personas, c) proveedores de servicios de internet, d) proveedores de actividades críticas y e) de servicios educativos a:
- Notificar al Centro Nacional de Seguridad Digital todo incidente de seguridad digital.
- Implementar medidas de seguridad física, técnica, organizativa y legal que permitan garantizar la confidencialidad del mensaje, contenido e información que se transmiten a través de sus servicios de comunicaciones.
- Gestionar los riesgos de seguridad digital en su organización con fines de establecer controles que permitan proteger la confidencialidad, integridad y disponibilidad de la información.
- Establecer mecanismos para verificar la identidad de las personas que accedan a un servicio digital, conforme al nivel de riesgo del mismo y según la normatividad vigente en materia de datos personales.
- Reportar y colaborar con la autoridad de protección de datos personales cuando verifiquen un incidente de seguridad digital que involucre datos personales, etc.
Asimismo, según el artículo 12 de la Ley de Confianza Digital, todas las entidades públicas y organizaciones del sector privado que administren datos, especialmente, personales, biométricos y espaciales, y activos estratégicos deben hacerlo garantizando que el tratamiento de los mismos se realice sobre la base del uso ético, transparencia, riesgos y el estricto cumplimiento de la normatividad vigente en protección de datos personales, gobierno digital y seguridad digital. De la misma manera, estas mismas entidades deben promover y asegurar el uso ético de tecnologías digitales, el uso intensivo de datos como Internet de las Cosas -IOT-, Inteligencia Artificial, ciencia de datos, analítica y procesamiento de grandes volúmenes de datos.
Reglamento
Según la primera disposición complementaria de la Ley de Confianza Digital, el Poder Ejecutivo aprobará el Reglamento de la Ley de Confianza Digital (el “Reglamento”) dentro de los 90 días hábiles siguientes a la entrada en vigencia de la Ley de Confianza Digital, lo que sería aproximadamente a partir de la tercera semana de mayo.
Este proceso de reglamentación será sumamente importante, ya que se espera que el Reglamento precise algunas obligaciones. Por ejemplo, los reportes de incidentes de seguridad digital, en tanto, la definición es algo amplia por referirse a eventos o series de eventos que puedan comprometer la confianza, la prosperidad económica, la protección de las personas y sus datos personales. Ello podría generar cierta preocupación por parte de los obligados, en tanto se podría estar hablando de tener que comunicar inclusive todos los intentos de hackeo que ocurran y que no necesariamente tengan algún impacto. Además, será necesario que se fije cómo se harán estos reportes y a qué nivel.
De otro lado, dentro de los obligados se mencionan a los proveedores de internet, pero éstos no han sido definidos en la Ley de Confianza Digital o nos remiten a alguna normativa vigente, con lo cual no queda claro a quiénes se estarían refiriendo. Así también, se incluye como otro obligado de reportar incidentes de seguridad digital a los proveedores de actividades críticas, los mismos, que según entiendo de la interpretación conjunta con la definición de actividad crítica, serían todos aquellos cuya actividad económica y/o social se ve interrumpida teniendo graves consecuencias en la salud y seguridad de los ciudadanos, en el funcionamiento efectivo de los servicios esenciales que mantienen la economía, sociedad y el gobierno, o afecten la prosperidad económica y social en general. Es decir, podría ser cualquier empresa que calce en alguno de estos supuestos. En este punto, sería conveniente que se aterricen, de ser posible, los supuestos que califiquen como una afectación a la prosperidad económica y social en general.
Considero que definitivamente promover la transformación digital del Estado y de las empresas es necesaria e importante para los avances de nuestro país. Por ello, todos los aportes de la sociedad civil, empresas, academia, sector público y demás ciudadanos serán sumamente valiosos para que se logre contar con una normatividad en confianza digital que precisamente logre garantizar la interacción con los servicios digitales de manera segura y, así también, más peruanos tengamos la confianza de acceder a los servicios digitales provistos por entidades públicas y privadas, reduciendo brechas en nuestro país, tales como el acceso a la educación y a los servicios financieros.
[1] Cecilia Kahn es abogada por la Universidad de San Martín de Porres y tiene estudios de postgrado en derechos de autor en la Universidad Complutense de Madrid y cursa un PEE en la Universidad ESAN. Cecilia cuenta con más de 7 años de experiencia brindando asesoría en temas relacionados a Protección de Datos Personales, Seguridad de la Información y Nuevas Tecnologías, incluyendo asesoría legal para Startups. Actualmente, se desempeña como asociada y líder del área de Nuevas Tecnologías y Protección de Datos Personales de CMS Grau.
[2] http://www.congreso.gob.pe/pley-2016-2021
[3] Según la Ley de Confianza Digital es la innovación y la transformación de la economía basada en el uso estratégico y disruptivo de las tecnologías digitales. Desarrolla la capacidad de incrementar la eficiencia, productividad, transparencia, seguridad y eficacia de los procesos y actividades económicas y sociales, sustentada en el uso intensivo de tecnologías digitales, redes de datos o comunicación y plataformas digitales. Conlleva a la generación de beneficios económicos y sociales, prosperidad y bienestar para la sociedad.
[4] Según el artículo 3 del Decreto de Urgencia No. 006-2020, Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital, la transformación digital es el proceso continuo, disruptivo, estratégico y de cambio cultural que se sustenta en el uso intensivo de las tecnologías digitales, sistematización y análisis de datos para generar efectos económicos, sociales y de valor para las personas.
[5] El subrayado y los ejemplos son míos.
[6] Según el literal e) del artículo 3 de la Ley de Confianza Digital, el incidente de seguridad digital es un evento o serie de eventos que pueden comprometer la confianza, la prosperidad económica, la protección de las personas y sus datos personales, la información, entre otros activos de la organización, a través de tecnologías digitales.