15 de Septiembre 2019
Informe ante las observaciones del Poder Ejecutivo a la Autografa de la Ley
de Ciberseguridad
By Erick Iriarte Ahon
I. Sobre la naturaleza de las leyes
La Constitución Política del Perú establece en su artículo 102, como atribuciones
del Congreso la siguiente:
“Artículo 102°.- Son atribuciones del Congreso:
1. Dar leyes y resoluciones legislativas, así como interpretar, modificar o derogar las
existentes.
2. Velar por el respeto de la Constitución y de las leyes (…)”
Es pues atributo del Congreso dar las leyes, en las materias que considere
oportuno de acuerdo al devenir de la historia, siendo que los congresistas tienen
iniciativa legislativa.
De igual manera la Constitución indica:
“Artículo 44°.- Son deberes primordiales del Estado: defender la soberanía nacional;
garantizar la plena vigencia de los derechos humanos; proteger a la población de
las amenazas contra su seguridad; y promover el bienestar general que se
fundamenta en la justicia y en el desarrollo integral y equilibrado de la Nación.
(…)
Artículo 58°.- La iniciativa privada es libre. Se ejerce en una economía social de
mercado. Bajo este régimen, el Estado orienta el desarrollo del país, y actúa
principalmente en las áreas de promoción de empleo, salud, educación, seguridad,
servicios públicos e infraestructura.
(…)
Artículo 163°.- El Estado garantiza la seguridad de la Nación mediante el
Sistema de Defensa Nacional.
La Defensa Nacional es integral y permanente. Se desarrolla en los ámbitos
interno y externo. Toda persona, natural o jurídica, está obligada a participar
en la Defensa Nacional, de conformidad con la ley”
1 DS 050-2018-PCM - https://busquedas.elperuano.pe/normaslegales/aprueban-la-
definicion-de-seguridad-digital-en-el-ambito-nac-decreto-supremo-n-050-2018-pcm-
1647865-1/
2 DL 1412 - https://busquedas.elperuano.pe/normaslegales/decreto-legislativo-que-
aprueba-la-ley-de-gobierno-digital-decreto-legislativo-n-1412-1691026-1/
2.2. En el caso de las empresas que conforman la actividad empresarial del Estado, su
aplicación se da en todo aquello que le resulte aplicable.”
Igualmente el DL 1412, tiene como objeto
“Artículo 1.- Objeto
La presente Ley tiene por objeto establecer el marco de gobernanza del
gobierno digital para la adecuada gestión de la identidad digital, servicios
digitales, arquitectura digital, interoperabilidad, seguridad digital y datos, así
como el régimen jurídico aplicable al uso transversal de tecnologías digitales en la
digitalización de procesos y prestación de servicios digitales por parte de las
entidades de la Administración Pública en los tres niveles de gobierno.” (las
negritas son nuestras)
Es decir su ambito esta claramente delimitado y la autografa de ley va a todo el
Estado, no solo a las entidades gubernamentales, sino inclusive a las personas
naturales.
Es decir las dos normas presentadas como base de la observación del Poder
Ejecutivo no son de alcance de todo el Estado sino solo de las entidades
gubernamentales comprendidas en sus respectivos alcances, siendo entonces que
las definición incorporada así como el objeto de la Ley van mas alla de las normas
antes indicadas (DL 1412 y DS 050-2018-PCM), frente a una necesidad real social y
pública.
Es ciertamente cuestionable que el DL 1412 y el DS 050-2018-PCM hayan sido
dados despues de que se estableciera la Política 35 del Acuerdo Nacional, pero no
hayan sido alineadas con la misma, y mas aún que el DL 1412 tenga una alcance
mayor al establecido en su propio objeto al tambien incluir actividades fuera del
alcance de la SeGDI.
La SeGDI (antes oficina nacional de gobierno electrónico – ONGEI) se estableció
mediante el Decreto Supremo N° 022-2017-PCM3 (27 de febrero de 2017), Decreto
Supremo que aprueba el Reglamento de Organización y Funciones (ROF) de la
Presidencia del Consejo de Ministros (PCM).
Dicho instrumento normativo indica como funciones de la SeGDI:
“Artículo 47.- Secretaría de Gobierno Digital
3 DS 022-2017-PCM
https://cdn.www.gob.pe/uploads/document/file/362916/Reglamento_de_Organizacion_
y_Funciones_DS_022_2017_PCM_adecuado_al_DS_042_2018_PCM.pdf
acuerdo-nacional/politicas-de-estado%E2%80%8B/politicas-de-estado-castellano/iv-
estado-eficiente-transparente-y-descentralizado/35-sociedad-de-la-informacion-y-
sociedad-del-conocimiento/
Dicha política indica:
“Nos comprometemos a impulsar una sociedad de la información hacia una sociedad
del conocimiento orientada al desarrollo humano integral y sostenible, en base al
ejercicio pleno de las libertades y derechos de las personas, y capaz de
identificar, producir, transformar, utilizar y difundir información en todas las
dimensiones humanas incluyendo la dimensión ambiental.
Promoveremos el acceso universal al conocimiento a través de las Tecnologías de la
Información y Comunicación (TIC), acompañado de la generación de contenidos,
servicios y bienes digitales así como del desarrollo de capacidades para que todos
los peruanos puedan desempeñarse plenamente y de manera segura en el
entorno digital, y de igual manera promoveremos mecanismos que fortalezcan el
acceso, conectividad y su uso en las regiones del país.
(…)
Con este objetivo el Estado: (a) generará una institucionalidad
multiestamentaria, con participación del gobierno, sociedad civil, academia y
sector privado, con la finalidad de garantizar principios como los de la Cumbre
Mundial de la Sociedad de la Información: acceso universal a la información, libertad
de expresión, diversidad cultural y lingüística, y educación para todos; (b)
fomentará el pleno ejercicio y respeto de los Derechos Humanos en todo
entorno digital; (c) promoverá, a través de la educación, la inclusión y
alfabetización digital para reducir las brechas existentes y generar igualdad de
oportunidades, de modo tal que ninguna persona en el Perú quede fuera de la
sociedad de la información y del conocimiento; (d) fomentará la ampliación y
modernización de la infraestructura como soporte de la reducción de los
aspectos digitales de la brecha social, e impulsará las ciudades inteligentes; (e)
fomentará la modernización del Estado, mediante el uso de las TIC, con un
enfoque descentraliza, planificador e integral; (f) promoverá las TIC como
factor de generación de empleo digno y no de exclusión, y establecerá
lineamientos para la reconversión laboral en casos que las TIC generen pérdidas de
empleo; (g) promoverá la productividad y competitividad del país mediante el
uso de las TIC en los sectores productivos, e impulsará una industria de las TIC;
(h) fomentará el uso transversal de las TIC en ámbitos tales como educación,
salud, conservación del ambiente, seguridad ciudadana, prevención de riesgo de
desastres, gobierno abierto, defensa nacional, innovación, investigación,
transferencia de conocimiento y sectores productivos y sociales; (i) diseñará las
políticas y la regulación en materia de sociedad de la información y del
conocimiento teniendo como base los principios de internet libre, abierto,
regula-el-sistema-de-defensa-naciona-decreto-legislativo-n-1129-875566-3/
6 DS 037-2013-PCM
http://www2.congreso.gob.pe/sicr/cendocbib/con4_uibd.nsf/A28BC0838FC142DB0525
7BDE0066399A/$FILE/2013-04-04_SCWLQTMGOUPAORLBGGIN.pdf
nacional-el-desarrollo-del-gobierno-digi-decreto-supremo-n-118-2018-pcm-1718338-2/
Créase el Comité de Alto Nivel por un Perú Digital, Innovador y Competitivo, órgano
de carácter estratégico dependiente de la Presidencia del Consejo de Ministros, que
tiene por objeto la coordinación multisectorial, articulación y promoción de las
acciones relacionadas al desarrollo y consolidación del gobierno digital, la
innovación y la economía digital, haciendo uso estratégico de las tecnologías
digitales, a fin de fortalecer la competitividad y el bienestar económico y social
en todas las regiones del Perú.
(…)
Artículo 3.- Integrantes del Comité de Alto Nivel
(…)
3.4 El Comité promoverá políticas, iniciativas y programas para el desarrollo
de la innovación, la competitividad, la transformación digital de procesos y
servicios públicos, las competencias digitales, la inclusión digital y el
desarrollo de aplicaciones para la economía digital.”
Este comité de alto nivel, no diferente del planteado por la autografa, pero solo
conformado por entidades públicas con posibilidad de “invitar” a entidades de otra
naturaleza, no tiene entre sus alcances el tema de seguridad digital. Aunque si bien
lo mencionan en los antecedentes, no se encuentra referencia a lo mismo en la
parte resolutiva, y fundamentalmente porque los temas de seguridad ya tienen
espacios creados para ello, tal como se ha indicado y demostrado en líneas
precedentes.
III. Sobre los principios de seguridad digital
El artículo 4 de la autografa de ciberseguridad, se plantean en dos parrafos, uno de
respeto a los Derechos Humanos, tal como se indica en la Política 35 del Acuerdo
Nacional (ya citada), y sobre todo siguiendo los lineamientos de la Resolución de
Naciones Unidas 68/167 el derecho a la privacidad en la era digital. Resolución
aprobada por la Asamblea General el 18 de diciembre de 2013. Siendo que el mal
uso de la tecnología puede devenir en usos abusivos es necesario que se proteja
tambien en entornos digitales a la población y sus derechos.
La segunda parte del artículo 4to deviene en un principio de cooperación mínimo,
que deberá ser desarrollada de una manera multiestamentaria (con la sociedad
civil, el sector privado, la academia, la comunidad técnica de internet) en su
reglamentación. Este principio además busca proteger a las personas y entidades
que han visto vulnerada su seguridad digital, en mano de terceros, de la manera
idónea que establezca la autoridad competente (Autoridad de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales).
Pero lo que ademas nos parece importante señalar es que de acuerdo al ROF de
PCM (Decreto Supremo N° 022-2017-PCM), se tiene que la estructura de SegDI es
la siguiente:
“Artículo 49.- Unidades Orgánicas de la Secretaría de Gobierno Digital
La Secretaría de Gobierno Digital para el cumplimiento de sus funciones, cuenta con
la siguiente estructura:
a) Subsecretaría de Tecnologías Digitales
b) Subsecretaría de Transformación Digital
Artículo 50.- Funciones de la Subsecretaría de Tecnologías Digitales
La Subsecretaría de Tecnologías Digitales tiene las siguientes funciones:
a) Realizar acciones para la interoperabilidad de los sistemas informáticos del
Estado y promover el desarrollo de sistemas y aplicaciones de uso común en las
entidades de la administración pública.
b) Efectuar acciones para el desarrollo de los portales web de las entidades de la
administración pública en base a estándares y buenas prácticas, para facilitar la
interrelación entre sí y de éstas con el ciudadano.
c) Administrar el Portal del Estado Peruano y otros de competencia de la Secretaría.
d) Brindar asistencia técnica a las entidades de la administración pública para la
implementación de proyectos de tecnologías de la información.
e) Diseñar, implementar y monitorear los indicadores para medir la digitalización
del Estado y el gobierno digital.
f) Otras que le asigne el/la Secretaria/o de Gobierno Digital.
Artículo 51.- Funciones de la Subsecretaría de Transformación Digital
La Subsecretaría de Transformación Digital tiene las siguientes funciones:
a) Elaborar políticas públicas, estrategias y planes nacionales en el marco de las
competencias de la Secretaría de Gobierno Digital.
b) Elaborar y proponer normas, directivas, lineamientos y demás disposiciones, en
materias de informática y gobierno digital; así como supervisar su cumplimiento.
c) Desarrollar acciones orientadas a la consolidación y desarrollo del Sistema
Nacional de Informática y supervisar el cumplimiento de la normativa
correspondiente.
d) Elaborar propuestas para impulsar el proceso de desarrollo e innovación
tecnológica para la mejora de la gestión pública y modernización del Estado
promoviendo la integración tecnológica.
e) Formular y proponer normas y estándares para el desarrollo e implementación de
la seguridad de la información, infraestructura de datos espaciales, datos abiertos,
interoperabilidad, portales del Estado, entre otros, de las entidades públicas del
Estado.
f) Elaborar informes de opinión técnica en las materias de competencia de la
Secretaría de Gobierno Digital.
g) Otras que le asigne el/la Secretaria/o de Gobierno Digital.”
Siendo entonces que el Pe-CERT se encuentra como alguna de las funciones del
acapite f del articulo 50, o g del artículo 51 del DS 022-2017-PCM, no aparece entre
las funciones de la SegDI la del mantenimiento o gestión de dicho grupo de trabajo
(Pe-CERT), siendo que su relevancia ha sido tal que la observación que indica la
PCM a la autografá de la Ley de Ciberseguridad es que se estarían “duplicando
funciones” entre lo propuesto de creación del CSIRT y el PeCERT que no aparece
entre las funciones de SegDI, en su ROF, que es de fecha 2017, cuando el PeCERT,
como grupo de trabajo se creo en 2009, es decir debería haberse o incorporado la
función como parte de las funciones que se indican en materia de seguridad digital
o el PeCERT en realidad no tendría existencia funcional. Cabe destacar que la
propuesta del CSIRT es de alcance mayor y con participación de Sociedad Civil,
Academia, Comunidad Técnica de Internet, Sector Privado y otras entidades
gubernamentales que sean necesarias.
De esta manera la observación 5, del documento de observación del
Ejecutivo, que cuestiona el artículo 7 de la autografa de Ciberseguridad
deviene en ser incorrecta, al no existir duplicación de funciones con el Pe-
CERT, sino se plantea la creación del CSIRT bajo los lineamientos de lo ya
establecido en el RM 360-2009-PCM.
De esta manera la observación 6, del documento de observación del
Ejecutivo, que cuestiona el artículo 8 de la autografa de Ciberseguridad
deviene en ser incorrecta, por lo expresado en lineas previas que no hay
duplicación de funciones ni con la entidad a plantearse ni con la necesidad
de crear lineamientos para todas las entidades del Estado Peruano, al
entenderse el tema de seguridad digital, desde la seguridad. Siendo ademas
importante señalar que reconociendo la valía en temas de gobierno digital,
es decir de entidades públicas, la participación de SegDI se ha indicado como
relevante para el Comité de Seguridad Digital como una Secretaría Técnica
especializada. Ciertamente que los docuemntos que haya avanzado SegDI
servirán para la labor a desplegarse.
V. Sobre Reconocimiento de Entidades que gestionen recursos técnicos de
internet
1. Sobre el reconocimiento de entidades que gestionen recursos técnicos de
internet, cabe destacar que la la autografa de ciberseguridad se realizó en conjunto
con la ley de ciberdefensa ya promulgada, que a solicitud de funcionarios públicos
se separaron, siendo entonces que el parrafo indicado que era general para ambos
temas resulta siendo independiente al separar las normas, siendo que en el caso de
la ley de ciberdefensa su ambito es solo en materia de ciberdefensa con una
naturaleza específica sobre accionar, y en el caso de ciberseguridad deberá
tambien reconocerse dicha naturaleza a las entidades que gestionen recursos
técnicos de interent.
9 OCDE. Informe de Gobernanza Pública (2016) https://read.oecd-
ilibrary.org/governance/estudios-de-la-ocde-sobre-gobernanza-publica-
peru_9789264265226-es#page42
paginas 42 y ss