Colombia

Colombia entra en la era de los servicios ciudadanos digitales

El pasado 2 de mayo, se expidió el Decreto 620, que reglamenta el eje transversal de la Política de Gobierno Digital: los servicios ciudadanos digitales. Estos comprenden los servicios de autenticación digital, carpeta ciudadana, interoperabilidad y concibe, en el marco del modelo de autenticación, la cédula digital y la biometría en cabeza de la Registraduría Nacional del Estado Civil.

 

El modelo de autenticación digital hace parte de la Política de Gobierno Digital y tiene como soporte fundamental la seguridad, unicidad y masificación. Así las cosas, se espera por parte de los usuarios digitales del Estado que este modelo sea altamente seguro y evite la pérdida y uso indebido de datos sensibles. Igualmente, que haya unicidad en el modelo de autenticación, es decir, que se le facilite la vida al usuario, evitando los engorrosos formularios de preguntas y respuestas y las múltiples contraseñas. Para ello, el Decreto 620 establece la posibilidad que ya recogía el Decreto 1413 del 2017 del uso de firmas electrónicas y digitales, así como de la cédula digital y la biometría facial a través de la consulta a la base de datos biométrica facial de la Registraduría.

 

El Decreto 620 reitera la existencia de servicios ciudadanos digitales base y especiales. Los primeros, considerados necesarios para la transformación digital de las entidades, son: (i) la interoperabilidad, (ii) la autenticación digital (objeto de análisis de este artículo) y (iii) la carpeta ciudadana.

 

Autenticación digital

 

Con respecto al servicio de autenticación digital, se establecieron las siguientes condiciones:

 

Definición. Es el procedimiento que, utilizando mecanismos de autenticación, permite verificar los atributos digitales de una persona cuando adelanten trámites y servicios a través de medios digitales. Además, permite tener certeza sobre la persona que ha firmado un mensaje de datos, o la persona a la que se atribuya el mismo en los términos de la Ley 527 de 1999 y sus normas reglamentarias, y sin perjuicio de la autenticación notarial.

 

Condiciones mínimas para el servicio de autenticación digital. Para la prestación del servicio de autenticación digital, se deberán atender las disposiciones sobre firma electrónica y digital contenidas en la Ley 527 de 1999 y sus normas reglamentarias, o las que la modifiquen, deroguen o subroguen.

 

Accesibilidad inclusiva. Los servicios ciudadanos digitales ofrecidos contarán con las características necesarias para que toda la población en general pueda acceder a ellos, en especial la población en situación de discapacidad o vulnerabilidad.

 

Privacidad por diseño y por defecto. La privacidad y la seguridad deben hacer parte del diseño, arquitectura y configuración predeterminada del proceso de gestión de información y de las infraestructuras que lo soportan.

 

Seguridad, privacidad y circulación restringida de la información. Toda la información de los usuarios que se genere, almacene, transmita o trate en el marco de los servicios ciudadanos digitales deberá ser protegida y custodiada bajo los esquemas de seguridad digital y privacidad más estrictos con miras a garantizar la autenticidad, integridad, disponibilidad, confidencialidad, el acceso y circulación restringida de la información.

 

Gratuidad. El acceso de los usuarios a los servicios ciudadanos digitales base será gratuito.

 

Debemos superar las claves y las contraseñas para acceder a los sistemas, solo deberían permanecer las claves de un solo uso (OTP) para firmado de documentos. Es imperioso que dejemos de llenar de contraseñas a los ciudadanos. Hoy, cada ciudadano tiene entre 2 y 8 contraseñas para acceder a distintos sistemas. De acuerdo con un estudio de Deloitte, casi el 90 % de las contraseñas de los usuarios del mundo son vulnerables a los ataques de los ciberdelicuentes. La biometría facial en combinación con la cédula de ciudadanía digital, las firmas electrónicas y las firmas digitales son la clave para la autenticación digital del futuro que se convirtió en nuestro presente.

 

El uso de los múltiples factores de autenticación es la solución a la identificación en línea. Algo que se posee, algo que se sabe y algo que se es. Si se logra la combinación de estos tres factores, la autenticación y la forma de documentos será altamente segura. Ahora bien, las bases de datos consultadas deben ser fiables para este propósito, razón por la cual, sin duda, las bases públicas idóneas y más confiables para este fin son las de la Registraduría.

 

Mecanismos de autenticación

 

El modelo indica que son las firmas digitales o electrónicas que al ser utilizadas por su titular las que le permiten atribuirle la autoría de un mensaje de datos. Al mismo tiempo, se habilita la opción de la cédula de ciudadanía digital y la biometría facial, de modo que los mecanismos de autenticación con que disponen los colombianos en el marco del modelo de servicios ciudadanos digitales son los siguientes:

 

– Firma electrónica.

– Firma electrónica certificada.

– Firmas digitales.

– Cédula de ciudadanía digital.

– Biometría facial, base de datos Registraduría.

 

Los cambios del Decreto 620 del 2020

 

(i) La Agencia Nacional Digital (AND) no solo es el articulador del modelo, sino también prestador de servicios ciudadanos digitales base y especiales. Este cambio inconveniente, en la medida en que no se puede ser juez y parte. El Decreto 1413 estableció un modelo de libre competencia, que precisó que no eran convenientes los monopolios públicos y que los servicios ciudadanos digitales base debían ser prestados por terceros expertos que fueran habilitados ante la AND en un escenario de libre competencia. Como lo estableció el Decreto 620, la AND compite con los privados, lo cual no suena equilibrado ni coherente.

 

(ii) La AND es el operador exclusivo del servicio de interoperabilidad. Frente al particular, cabe el mismo comentario anterior y, adicionalmente, debe decirse que si bien el Gobierno es quien interopera la sede compartida que conecta a las entidades del Estado, cada entidad debe contar con su propio esquema de interoperabilidad que le permita conectarse a esa sede compartida (gov.co).

 

(iii) Sede electrónica compartida. Será el Portal Único del Estado a través de la cual la ciudadanía accederá a los contenidos, procedimientos, servicios y trámites disponibles. La Ley 1413 del 2011 estableció, en el artículo 60, que todas las autoridades deben contar con una dirección electrónica a través de la cuál expongan sus servicios. El Decreto 620 introduce un cambio importante al establecer el gov.co, como la sede compartida del Estado colombiano.

 

(iv) Carpeta ciudadana. La carpeta tiene un cambio significativo en cuanto deja de ser un repositorio de información para convertirse en un front end (interfaz gráficaque le permite al ciudadano acceder a su información que reposa en las entidades estatales.

 

(v) Autenticación digital. En esta materia no hay cambios significativos. La autenticación digital del Decreto 1413 estaba sustentada en terceros de confianza, en la cédula digital y en la biometría facial consultando las bases de datos de la Registraduría. El Decreto 620 abre la puerta a las firmas electrónicas “simples”, que pueden ser provistas por cualquier persona que, no necesariamente, sea un tercero de confianza, pero involucra también a las firmas digitales y a las firmas electrónicas certificadas propias de los terceros de confianza. De modo que el uso de uno u otro mecanismo dependerá del análisis de riesgo que haga cada entidad, donde, sin duda, primará la seguridad.

 

Para concluir, la reciente demanda de inconstitucionalidad contra el Decreto 620 por parte de la Registraduría viene de una inconformidad de vieja data. Sin embargo, no se entiende por qué, en tanto tiempo, no ha existido un entendimiento completo entre este organismo y el Gobierno para avanzar armónicamente hacia un Estado digital, donde el servicio de autenticación digital debe ser la unión e integración entre mecanismos de firma electrónica, firma digital, biometría facial y cédula digital.

 

La combinación de tres factores de autenticación es clave para tener un mecanismo uniforme y altamente seguro, siguiendo el modelo elDAS europeo, que es nuestro referente normativo y tecnológico. Allí, la AND no debe fungir como prestador del servicio de autenticación, asunto que es propio y de resorte de los terceros de confianza o entidades de certificación digital y de la Registraduría, quienes deben cooperar armónicamente con la AND y el Gobierno. Esperemos que rápidamente se recomponga el sendero de los servicios ciudadanos digitales y de la política digital del país.

 

 

 

 

Fuente: Amabito Jurídico