Artículos de Opinión

Las claves de autenticación electrónica son credenciales y son datos personales. ¿Puede el SII revocarlas o bloquearlas unilateralmente, y con qué fundamentos?

Lo esencial es el tratamiento de datos personales. La Identidad Digital no es lo mismo que la imagen de una persona proyectada en redes sociales o en internet; y el llamado delito de “robo de identidad” no es solo una suplantación de alguien usando un perfil falso en RRSS. La Identidad Digital debe ser un idóneo o varios medios idóneos de autenticación para acceder a un sistema informático y/o telemático, y el robo de identidad es el acceso no autorizado a esas credenciales y mecanismos de autenticación para suplantar al titular.

1. Tanto en el sector privado como en el público las conexiones digitales a redes, servidores y sistemas deben ser previamente autenticadas, y las modalidades para hacerlo son diversas. Cualquiera que sea, y para asegurar operaciones íntegras, confidenciales y seguras que estén siempre disponibles para realizarse, evitándose suplantaciones, se construyen en base a credenciales asociadas a información nominativa –generalmente el RUT- del identificado. Porque habilitada para autenticarse una persona natural (o el representante de una persona jurídica) ella será por su intermedio “identificada o identificable”, nos situamos bajo el contexto del tratamiento de datos personales –hoy y desde el 2018 un Derecho Fundamental- y de la existencia de “identidades digitales”, sea al generarse una clave, al almacenarse por quien permite generarla, al usarse para autenticarse o incluso al revocarse o cancelarse.

Y todos estos ciclos (generación, almacenamiento, uso y revocación) requieren, si o si, ser legitimados o contar con una base de licitud, que en Derecho Público sólo puede ser una ley. Lo exigen los artículos 4° y 20° de la Ley N°19.628, y ha dejado de ser una potestad unilateral en relación a un tema tecnológico. Si lo aplicamos a la llamada “clave única”, sólo el SRC puede –potestativamente y por ley[i]– cancelarsela a un ciudadano.

2. Así como (i) un banco permite a sus cuentacorrentistas y tarjetahabientes generar una clave inicial (y por cierto, le suma otros elementos para asegurar la autenticación en cada transacción, como el envío de SMS o la generación de una segunda clave), porque el contrato ad hoc legitima y permite el tratamiento, (ii) los servicios públicos necesitan de una habilitación legal como base de licitud, para permitir generar la clave y eventualmente para revocarla: entramos al contexto de la gestión de credenciales. Y si el contrato con el banco termina, se revocarán los mecanismos de autenticación.

La duda que ha quedado abierta, se ha recurrido judicialmente y deberá resolver la Corte Suprema (pero no en relación a la protección de datos personales)[ii], es si un servicio público y en concreto el SII puede –legal, fundada y potestativamente- revocar o impedir el uso de los mecanismos de identificación previamente generados a un contribuyente. Porque se le invalida o revoca unilateralmente su clave tributaria[iii].

En el hecho, es una sanción equivalente a impedirle el ingreso físico a una Dirección Regional para realizar trámites tributarios lo que puede generarle perjuicios, y quizás por eso el contribuyente alegó mediante un Amparo Económico (cuya resolución está pendiente en la Corte Suprema) la vulneración del derecho a la libre iniciativa en este contexto.

3. Lo esencial es el tratamiento de datos personales. La Identidad Digital no es lo mismo que la imagen de una persona proyectada en redes sociales o en internet; y el llamado delito de “robo de identidad” no es solo una suplantación de alguien usando un perfil falso en RRSS. La Identidad Digital debe ser un idóneo o varios medios idóneos de autenticación para acceder a un sistema informático y/o telemático, y el robo de identidad es el acceso no autorizado a esas credenciales y mecanismos de autenticación para suplantar al titular. La llamada ID se construye y se gestiona técnica y jurídicamente, mediante un método automático que crea credenciales o atributos de la identidad asociadas siempre a un dato nominativo, para que un sistema informático y/o telemático –como lo son todas las actuales plataformas de los servicios públicos o las de transferencias bancarias– pueda verificar –con seguridad y certeza– quién es la persona que está accediendo a él desde el otro extremo de la conexión[iv].

Siempre se dividirá en dos componentes, el referido a de quién es la identidad y lo relacionado con las credenciales que se poseen o los atributos para operativizar la ID (v. gr., que, en su versión más simple, menos segura o donde la autenticación es de sólo un factor será dada por la combinación de RUT o nombre de usuario + clave de acceso o contraseña, y donde el nombre de usuario sería la identidad y las contraseñas las credenciales de autenticación)[v]. La ID se juega en el contexto de las autenticaciones de forma remota y a través de canales digitales, donde la versión más simple, estática y vulnerable sería (i) identidad/nombre de usuario o RUT, (ii) credencial/contraseña, y ambas aplicadas mediante una (iii) autenticación al momento del acceso en línea coincidiendo ambas. Los ejemplos en Chile de la Clave Única y de la Clave Tributaria obedecen a estos conceptos[vi].

Y la ID manifestada en la clave tributaria o en la clave única no puede cancelarse o bloquearse sin causa legal y justificada, porque en sede de PDP se carecería de una causal de legitimidad del tratamiento revocatorio y jurídicamente sancionatorio.

4. ¿Sobre la Clave Tributaria?. En Chile constituye el mecanismo oficial de autenticación para las personas naturales y muy especialmente el único para las jurídicas o entes y agrupaciones sin personalidad jurídica, que acceden a procedimientos administrativos ante el SII (y otros servicios que lo solicitan), y desde su creación a través del D.F.L. Nº 3 en el año 1969 y por la obligatoriedad de su uso alcanzó altos niveles de adopción por parte de los contribuyentes, a través de una simplificación y agilización de los procedimientos administrativos. Se le define como “el mecanismo de identificación de todos los contribuyentes del país, incluyendo a las personas naturales y jurídicas, comunidades, patrimonios fiduciarios y aquellos sin titular, sociedades de hecho, asociaciones, agrupaciones o entes de cualquier especie, con o sin personalidad jurídica, siempre que causen y/o deban retener impuestos, en razón de las actividades que desarrollan”[vii].

5. El contribuyente afectado no interpuso un RRPP fundado en la privación, perturbación o amenaza al Derecho a la protección de datos personales del artículo 19/4 de la Constitución. En este contexto, el SII, como responsable del tratamiento y del acto administrativo de bloqueo, debería responder a la Corte acerca de cuál es el fundamento o el motivo de –en el hecho- un acto administrativo que importa una sanción restrictiva, y que este no es ni arbitrario ni menos ilegal. Sobre todo porque el artículo 8 bis N°9 del Código Tributario lo grava expresamente con el deber de que en los actos de fiscalización (i) “se respete la vida privada” (debió aludir a la confidencialidad o secreto de los tratamientos) y (ii) “se protejan los datos personales” en conformidad con la ley.

La clave tributaria es un dato personal, una “credencial” y se le aplica la Ley N°19.628; …las preguntas acá son “qué legitima” el tratamiento y “bajo qué condiciones” puede y debe hacerse; a lo primero, la ley tributaria y la ley de PDP son la respuesta; a lo segundo, esta ley dice que debe hacerse con seguridad y confidencialidad. Lo mismo ocurre con la clave única, a pesar de su evidente falta de legitimidad[viii].

Si el SII no lograra justificar en Derecho y en concreto lo que motivó el bloqueo, para que lo obrado no sea arbitrario o ilegal, sin aludir a genéricas o ambiguas razones de seguridad tecnológica, entonces, siempre usando la Ley N°19.628, se puede invocar el artículo 23 y reclamar que al cancelarse y/o bloquearse la cuenta y credencial en sus sistemas se ocasiona un perjuicio derivado de un tratamiento de DP indebido, que incluso debe indemnizarse. Porque habría un daño al derecho “a la protección del dato personal clave tributaria”, que identifica o hace identificable al contribuyente bloqueado.

6. Por cierto, sólo como referencia, lo resuelto por la ICA de Arica primero y por la Corte Suprema después, ha caminado procesalmente por otro sendero jurídico, el de la interposición de un recurso de Amparo Económico. En concreto, se resolvió que frente al bloqueo en el portal electrónico del Servicio, el tribunal a quo carecía de facultades para declarar inadmisible una acción de amparo económico, puesto que la Ley N° 18.971 establece que el tribunal debe (i) investigar la infracción denunciada y (ii) dar curso progresivo a los autos hasta el fallo respectivo, por lo cual se revocó la resolución de inadmisibilidad de la Corte de Arica[ix] y se admitió a trámite el recurso de amparo económico deducido por una empresa en contra del Servicio de Impuestos Internos. El recurrente había sostenido que el bloqueo le impidió la emisión y pago de facturas y otras actividades comerciales esenciales, sin haberse recibido una respuesta clara sobre las razones del bloqueo, lo que afectaba gravemente sus operaciones y le generaba un perjuicio económico importante, dada la urgencia de emitir las facturas de los meses en curso. Jurídicamente, el actor (i) denunció la vulneración de su derecho a desarrollar cualquier actividad económica lícita, consagrado en el artículo 19 N° 21 de la Constitución, y de sus derechos tributarios establecidos en el artículo 8 Bis del Código Tributario, especialmente en su numeral 14, que protege el normal desarrollo de las actividades económicas; y (ii) solicitó que se restablezca el acceso al portal del SII a fin de continuar con sus actividades comerciales, afirmando que el bloqueo fue arbitrario e ilegal, ya que no existía un acto administrativo que lo fundamentara. (Santiago, 23 de septiembre de 2024)

 

[i] La referencia es a su ley orgánica, porque la Ley N° 19.880 no alude de modo alguno ni asigna competencias de Derecho Público a otro servicio público para su otorgamiento, almacenamiento y revocación; y, en consecuencia, porque lo que establecen el artículo 57 del Reglamento de la ley de procedimientos administrativos y el sub reglamento derivado para la clave única es ilegal.

[ii] El caso concreto en análisis puede verse en la URL.

[iii] El marco administrativo sobre la clave tributaria, que no contempla causales de caducidad o de bloqueo, puede verse en la URL.

[iv] Se explica como la ID posibilita superar la vara física de no poder interactuarse directamente con un sistema electrónico o digital, y que ella debe ser construida. De manual, se la concibe como “un conjunto de información y recursos proporcionados por un sistema informático a un usuario en particular, mediante los cuales poder validarse o autenticarse en un proceso de identificación digital”. Su grado de fiabilidad y la cantidad de información requerida para construirla pueden variar significativamente –se dice– dependiendo de la naturaleza de la transacción o donde se aplique (financiera, comercial, ante un OAP, de divertimiento, etc.).

[v] Pero, claro, si se presenta una persona para autenticarse y el sistema es capaz de leer un certificado digital de PKI emitido a su nombre, se tratará de una ID bastante más robusta y compleja técnicamente.

[vi] La ID se juega en el contexto de las autenticaciones de forma remota y a través de canales digitales, donde la versión más simple, estática y vulnerable sería (i) identidad/nombre de usuario o RUT, (ii) credencial/contraseña, y ambas aplicadas mediante una (iii) autenticación al momento del acceso en línea coincidiendo ambas. Los ejemplos en Chile de la Clave Única[vi] –sólo para las personas naturales– y de la Clave Tributaria –para las personas naturales y jurídicas–, que gestiona el SII o Servicio de Impuestos Internos o de Rentas en Chile, obedecen a estos conceptos.

[vii] El SII la define explicando que “permite obtener una clave para realizar todas las operaciones que el organismo tiene disponible en línea”, (tales como) “iniciar actividades de personas naturales y jurídicas, realizar la declaración mensual de IVA, emitir boletas de honorarios, operar con facturas electrónicas, consultar situación tributaria, entre otras. Física y técnicamente es una clave alfanumérica de al menos ocho caracteres integrado por letras y números.

[viii] Lo que se reguló sin habilitación legal previa expresa de la Ley N°19.880 –o de otra norma de rango legal- (Derecho Público) como Norma Técnica de Autenticación, dictada en el contexto del PAE, en conformidad al artículo 57 del Decreto Supremo N°4 del 2021 y con el aval jurídico de la CGR, se articula en base a la Clave Única –para las personas naturales-, que se administra técnicamente pero sin competencias determinadas por ley y en base a la Clave Tributaria –para las personas jurídicas-.

[ix] La Corte de Arica declaró inadmisible el amparo económico, al estimar que del examen de los antecedentes cabía colegir que la decisión recurrida por el Amparo constitucional no decía relación con una eventual infracción al derecho a desarrollar cualquier actividad económica que no sea contraria a la moral, al orden público o a la seguridad nacional, en los términos a que se refiere la Ley N° 18.971, en relación el numeral 21 del artículo 19 de la Constitución Política, y que sólo cabía ejercer las vías de impugnación o reclamación especiales para conductas que puedan estimarse como arbitrarias, por vía legal o constitucional en los artículos 155 y siguientes del Código Tributario y en el artículo 21 de la Constitución Política.

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *