1. Las plataformas o servidores de Internet están de moda, son herramientas que escalan al nivel de casi imprescindibles, pero el Derecho Público local no ha estado a la altura de ellas. La modificada Ley N°19.880, exclusivamente para el marco de los Procedimientos Administrativos Electrónicos dispone, por ejemplo, que ellas se implementen en materia de comunicaciones[i] y de expedientes electrónicos (sin resolverse con certeza para las segundas si deben ser centralizadas en una sola para toda la Administración o independientes y desarrolladas privativamente por cada órgano o servicio público del Estado –en adelante los OAE-)[ii], y que también la recepción de documentos sea por su intermedio[iii]. Se impone además que –todas- deberán ser actualizadas en base a tecnologías no obsoletas o carentes de soporte[iv], e interoperables[v] y ciberseguras[vi].
Lo más desafiante y demandante jurídicamente es el mandato de que todo sea obligatorio y no se admitan excepciones. Otras plataformas, en cuanto a sus características, funcionalidades y operatividad se determinan reglamentariamente, como la de notificaciones administrativas, la del sistema notificador y la de los domicilios digitales únicos (o DDU), la que por ley debe administrar bajo su competencia y responsabilidad exclusiva el Servicio de Registro Civil[vii].
2. Cuatro de los posibles problemas de gestión y jurídicos están instalados para la operación de plataformas en la Administración del Estado.
Uno, (i) la externalización de la gestión de datos personales o nominativos de los administrados[viii], que por razones de menores costos se hace en modalidad de cloud computing o mediante servidores de Internet deslocalizados y ubicados fuera de Chile, sin realizarse las -próximamente- obligatorias y previas evaluaciones de impacto, antes de su externalización y en relación a su tratamiento por un tercero o encargado de dicho tratamiento, que es el proveedor de servicios de cloud. Otro, (ii) la inexistencia jurídica de las plataformas que ya operan a esta fecha y que –por ejemplo- no cumplen con las exigencias de interoperabilidad de una norma vigente ni cumplirán las del D.S.N°4 que reglamenta la Ley N°19.880[ix], carentes de institucionalidad y por ende con la indeterminación –legal y reglamentaria- de las competencias, funciones y responsabilidades administrativas que le sean propias e inherentes.
Más aún, no son correctos los criterios de (iii) creerse que se opera en el sector privado y entender las plataformas validadas -de cara a los usuarios y administrados- con términos y condiciones de uso, cuando la relación Estado/ciudadanos la determinan sólo leyes y reglamentos y no son negociables contractualmente entre ambos, de manera que incluso se pueda alterar la legalidad vigente, como por ejemplo hoy se hace en materia de eximentes de responsabilidades administrativas y en desarrollos de gran impacto ciudadano[x]. O, (iv) el considerarse que pueden omitirse los blindajes legales de Derecho Público y creer que los servidores o portales (léase como sinónimos de plataformas) son válidos y gestionables entre los OAE porque un principio general de colaboración se establece en la Ley de Bases de la Administración del Estado (LBAE); ello además se operativiza mediante convenios o acuerdos que se entienden fuente de Derecho Público sin serlo, celebrados no ajustándose a las restricciones legales del mismo, sin previas habilitaciones también legales para convenir[xi] y pasando por sobre la razón de ser del Derecho Público[xii].
3. A los desarrollos en materia de plataformas que implican la gestión de millones de documentos, cuantitativamente, no se les acompaña de una Política Regulatoria jurídica y cualitativamente idónea. En este ámbito (el de las plataformas) y en los últimos años también lo reparable es la opción de mal legislarse por el camino paralelo al del Derecho Público, “acordando”, “conviniendo” o “colaborando”, sin habilitación legal expresa para hacerlo[xiii], lo que en Derecho Público significa evadir la necesidad de tramitar las leyes ad hoc que validen las plataformas y definan legalmente sus condiciones de operatoria, sus funcionalidades y determinen sus responsabilidades[xiv]. En base al mandato general o al principio de colaboración de la LGBAE y conviniendo al efecto, se postuló que la llamada PISEE estaba legitimada; en esta línea argumental, ¿podría haber existido la plataforma de meradopúblico.cl sin la Ley N°19.886?. Porque la LGBAE contempla el principio de la colaboración, ¿es legitimación suficiente para que los OAE que intervienen gestionando los derechos de los consignatarios de mercancías operen sin ningún marco legal en la plataforma sicex.cl, previa celebración de un convenio para el cual no están expresamente habilitados a contratar?.
En Chile además los OAE que tienen establecidas por ley competencias exclusivas, por ejemplo de autenticación de identidades, presenciales y electrónicas, se han considerado habilitados para cederlas -vía el expediente de resoluciones exentas dictadas por quienes no tienen facultades normativas y excluyendo la revisión de la Contraloría General de la República- a otros OAE.
Todos los problemas obedecen a la falta de una Política Pública regulatoria previa y robusta, o de una real Política o Visión de Estado que en materia de Gobierno Electrónico es inexistente. Nada es casual, todo es fruto tanto de la falta de fiscalización (como en el pasado hizo una unidad especializada de la CGR) como de no conocerse las categorías jurídicas de base, lo que se releva –por ejemplo- cuando se lee como conclusión en un reciente documento senatorial de trabajo sobre ciberseguridad[xv] (i) que en Chile no existen leyes generales obligatorias de interoperabilidad –cuando si la hay- y (ii) que basta el Principio de necesaria colaboración entre OAE para desarrollar las plataformas.
Dicho en simple o en base a ejemplos, se ajustan a Derecho por ejemplo los portales de mercadopublico.cl, del portal mipyme del SII para la factura electrónica, del sistema de evaluación ambiental, del EDI Aduanero, etc. Se sigue buscando el blindaje legal de la ventanilla única de comercio exterior (la VUCE) www.sicex.cl, que en su página web alude a alcances y competencias y que ninguna norma la regula. Y van a operar de manera irregular plataformas ya en desarrollo u operativas, si se cree que los señalamientos genéricos de la Ley N°19.880 en cuanto a que “deberá haber obligadamente una plataforma para gestionar tales o cuales temas”, constituyen suficiente fundamento legal expreso o una causal de legitimación suficiente para desarrollarlas técnicamente, testearlas, ponerlas en producción, administrarlas y prestar servicios a los administrados, sin norma legal de Derecho Público ad hoc que las respalde y asigne las competencias a un OAE determinado.
Otro ejemplo reciente de una respuesta jurídica idónea. Un diseño de una funcionalidad tuvo su fundamento legal y cabal en la Ley N°21.327 sobre Modernización de la Dirección del Trabajo[xvi], entidad que, en mérito de la habilitación legal del nuevo inciso segundo del artículo 515 del Código del Trabajo (otra norma de rango legal) incorporado[xvii], determina en detalle y reglamentariamente los datos y la documentación que los empleadores deberán mantener obligatoriamente en un Registro Electrónico Laboral disponible también en una nueva plataforma on line[xviii].
4. Si las plataformas se implementan en modalidad de cloud computing, significa (i) que la data de la gestión de los OAE y la información nominativa (en especial la sensible como los datos de salud o la sujeta a secreto legal) de los administrados se está almacenando en servidores web[xix] ubicados fuera de Chile y deslocalizados, (ii) que la data es cambiada constantemente de ubicación y (iii) que las empresas proveedoras consiguen instalar en los contratos con los OAE cláusulas (tipo) de eximentes de responsabilidad y para que se les permita operar desde fuera de Chile.
Habiendo modelos sólidos como las normas de la CMF para la banca (salvo que cambiaron un criterio inicial y aceptaron que la información nominativa de los cuentacorrentistas –sujeta a secreto bancario y a la obligación de confidencialidad del artículo 7° de la Ley N°19.628- se trate y almacene fuera del país), en vez del trabajo legislativo necesario se generan y se siguen proponiendo desde hace años sólo guías de recomendaciones, no obligatorias y no fiscalizables[xx], que nada aportan a la solución de los problemas de gestión y normativos. No aportan y no es ofensa anotarlo, lo que esencialmente se debe a que –salvo excepciones de grandes servicios como el de compras estatales, el aduanero o el tributario- en su mayoría no son o no pueden ser una comunidad proactiva, colaborativa, entusiasta y comprometida con el desarrollo técnico y jurídico del país, de manera de no aceptar o rechazar antes de firmarse esas cláusulas lesivas propias de los proveedores de servicios de cloud. Ellos, los OAE sin facultades normativas en sus leyes orgánicas, deben ser conducidos a gestionar de tal o cual manera y en base a parámetros previos determinados por ley o al menos por un Reglamento subordinado o de desarrollo previamente habilitado.
5. Los modelos del Derecho Comparado son robustos pero pareciera que los temas normativos se omiten del aprendizaje. Así por ejemplo, se construyó jurídicamente un portal definiendo que en Uruguay la AGESIC pondría a disposición de las Entidades Públicas una plataforma de interoperabilidad, y se permitió expresamente en la norma legal que toda Entidad Pública que desee hacer uso de dicha plataforma (se estableció como facultativo) debería aceptar y cumplir con los términos y condiciones de uso que AGESIC fije a tales efectos[xxi].
Concurren jurídicamente acá tres cosas interesantes: primero, se la da institucionalidad a la plataforma y se determina un OAE responsable; en segundo lugar, se establece su no obligatoriedad o su opcionalidad (un OAE puede optar por intercambiar información bilateralmente y sin usar el canal); y en tercer lugar -lo que es muy relevante para Chile y para quienes argumentan aquello de que “acordar, convenir o colaborar” sin habilitación legal previa es fuente suficiente de Derecho Público para determinar competencias y responsabilidades-, se habilitó por ley expresamente la opción de convenir entre AGESIC y el OAE las modalidades de gestión de la plataforma, pero pre-establecidas en modalidad de términos y condiciones de uso. (Santiago, 1 de agosto de 2023)
[i] Artículo 19. Las comunicaciones oficiales entre los órganos de la Administración serán registradas en una plataforma electrónica destinada al efecto.
[ii] Artículo 18. Los expedientes electrónicos, a los que tendrán acceso permanente los interesados, contendrán un registro actualizado de todas las actuaciones del procedimiento, según lo señalado en el inciso tercero, que estará a disposición tanto en las plataformas electrónicas como en las dependencias de la Administración para su consulta.
[iii] Artículo 18. El ingreso de las solicitudes, formularios o documentos se hará mediante documentos electrónicos o por medio de formatos o medios electrónicos, a través de las plataformas de los órganos de la Administración del Estado.
[iv] Artículo 16 bis. En virtud del principio de actualización, los órganos de la Administración del Estado deberán actualizar sus plataformas a tecnologías no obsoletas o carentes de soporte, así como generar medidas que permitan el rescate de los contenidos de formatos de archivo electrónicos que caigan en desuso.
[v] Esto, con la carga adicional que si o si deben ser construidas en base a estándares abiertos y no propietarios.
[vi] Sobre el tema de la seguridad y la ciberseguridad en el Derecho Público puede verse la URL https://www.diarioconstitucional.cl/articulos/seguridad-de-la-informacion-y-derecho-en-los-servicios-publicos-un-problema-de-gestion-prevencion-y-estandares/.
[vii] El artículo 46 de la Ley N°19.880 señala que “las notificaciones se practicarán por medios electrónicos en base a la información contenida en un registro único dependiente del Servicio de Registro Civil e Identificación, sobre el cual se configurarán domicilios digitales únicos…”. Su administración, su gestión y su operatividad es una competencia que, por ende y cualesquiera que sean las funcionalidades (características) que se le asignen a la plataforma, es de Derecho Público y no cedible a otro órgano de la Administración del Estado.
[viii] Téngase presente que esta referencia puede llegar hasta las direcciones IP de los administrados, porque ellas no identifican directamente a una persona natural pero si “la hacen identificable”. La AEPD ha sido clara en reconocerle las IP el carácter de datos personales.
[ix] Entre otras, es el caso de www.sicex.cl, www.pisee.cl o www.docdigital.gob.cl
[x] Como ejemplo, la plataforma de claveunica.cl determinó operar con cláusulas eximentes de responsabilidad administrativa de cara a los administrados.
[xi] Un ejemplo de habilitación legal –en Chile- de convenios operativos puede verse en el artículo 10 de la Ley N°20.766 del 2014, en cuya virtud se autorizó a la CGR para establecer mediante resolución los actos administrativos cuya toma de razón o registro podrán efectuarse electrónicamente y los servicios –públicos- que, previo convenio operativo, sometan tales actos a dicha tramitación.
[xii] El ejemplo más claro de esta hipótesis es el sitio de www.firmagob.cl.
[xiii] Otro ejemplo –de Derecho Comparado- está en la normativa de Uruguay, al definirse que se pondría a disposición de las Entidades Públicas una Plataforma de Interoperabilidad y habilitarse legalmente a que se pueda convenir entre OAE o el que se “deberá aceptar y cumplir con los términos y condiciones de uso que AGESIC fije a tales efectos”.
[xiv] Ejemplos idóneos para hacer el paralelo, y existe una gran diferencia en materia de legalidad si comparamos con la génesis y las funciones de las plataformas de la Ley N°19.886, del Portal Mipyme del SII regulado en el artículo 4 bis de su Ley Orgánica, del SIAPRES de la CGR o del sistema del e-seia para la evaluación de impacto ambiental (Ley N°19.300 y D.S. N°42), todas ajustadas a Derecho Público en cuanto a su origen, competencias y funcionalidades.
[xv] El documento puede verse en la URL https://obtienearchivo.bcn.cl/obtienearchivo?id=documentos/10221.1/89176/1/Construyendo_la_Ciberseguridad_en_Chile.pdf
[xvi] El texto puede consultarse en la URL https://www.bcn.cl/leychile/navegar?idNorma=1158983.
[xvii] Señala el nuevo artículo 515 del Código, en su inciso segundo: “Un reglamento del Ministerio del Trabajo y Previsión Social, previo informe de la Dirección del Trabajo, determinará los datos y la documentación, de aquellos a los que se refiere el artículo 31 del decreto con fuerza de ley Nº 2, de 1967, del Ministerio del Trabajo y Previsión Social, que los empleadores deberán mantener obligatoriamente en el referido sitio. Incorporada dicha información en este registro electrónico laboral, los empleadores podrán centralizar tales documentos en un solo lugar, el que deberá ser informado previamente a la Dirección del Trabajo. El reglamento establecerá las modalidades y procedimientos mediante los cuales se implementará y mantendrá actualizado el mencionado registro”.
[xviii] La plataforma opera en la URL https://midt.dirtrab.cl/welcome
[xix] Pueden leerse al respecto las reflexiones de Herrera Bravo, Rodolfo (2011), Cloud Computing y Seguridad: Despejando Nubes Para Proteger los Datos Personales. En la Revista de Derecho de la Universidad San Sebastián 17-2.
[xx] Así por ejemplo, puede verse del Ministerio Secretaría General de la Presidencia (2014), el documento Buenas prácticas en materia de contratación de Servicios de Cloud Computing al interior de la Administración del Estado: Un documento para el apoyo de toma de decisiones, Versión 1.0, p.21.
[xxi] Estas habilitaciones legales para las regulaciones operativas de detalle en Chile se omiten; simplemente varias de las plataformas que operan a esta fecha se construyen al margen de la necesaria legalidad de Derecho Público y bajo promociones de marketing político elevadas a supuestas Políticas Públicas del tipo “cero papel”, “cero filas”, etc.