En Chile no existen normas de seguridad para la provisión de productos y servicios tecnológicos al Estado de Chile que sean transversales, obligatorias y de aplicación directa. Sin embargo, las mismas entidades públicas han ido paulatinamente incorporando requisitos de seguridad para los proveedores por la vía contractual, fundamentalmente en procesos de licitación pública1.
Estos requisitos de seguridad tienen dos fuentes principales:
- normas obligatorias aplicables únicamente a la administración pública; o
- buenas prácticas o recomendaciones extendidas por la Dirección de Compras y Contratación Pública y cuyo público objetivo es la misma administración (soft law).
Este panorama ha generado que los proveedores de servicios tecnológicos deban cumplir con cierta regulación en seguridad para contratar con el Estado, que de otra forma no les sería aplicable; regulación que, por esta misma circunstancia, muchas veces ignoran con antelación a los procesos de compras públicas.
En este contexto, resulta indispensable conocer cuáles son las normas obligatorias y buenas practicas o recomendaciones más relevantes en este ámbito, de forma que un proveedor de servicios tecnológicos pueda prepararse con la debida antelación frente a una contraparte pública que le requiera su cumplimiento.
- El Decreto N°83 de 2005 del Ministerio Secretaría General de la Presidencia, relativo a la norma técnica sobre la seguridad y confidencialidad de los documentos electrónicos para la Administración del Estado.
- El Decreto N°1 de 2015 del Ministerio Secretaría General de la Presidencia, sobre la norma técnica aplicables a los sistemas y sitios web de la Administración del Estado.
- La Ley N°19.628 sobre la Protección de la Vida Privada (“LPD”), que establece una obligación general de diligencia para los responsables del tratamiento, así como disposiciones para el tratamiento de datos por mandato y que corresponde al escenario más común para proveedores de tecnología. En este caso, el responsable y el mandatario deben suscribir un contrato de mandato en el que se establezcan las condiciones de uso de los datos. Aparte de las obligaciones del contrato de mandato, los mandatarios no tienen obligaciones particulares en virtud de la LPD.
- El Instructivo Presidencial sobre Ciberseguridad publicado el año 2018, que, entre otras cosas, obliga a los organismos públicos a informar de la ocurrencia de incidentes de ciberseguridad, y tomar las medidas conducentes al cumplimiento del nivel avanzado de seguridad en los términos del Decreto N°83 del 2005.
Además de estas normas obligatorias, cabe destacar el prolífico desempeño que ha tenido la Dirección de Compras y Contratación Pública 2 (https://www.chilecompra.cl/) mediante la dictación de instrumentos que, si bien no son estrictamente obligatorios para las entidades públicas, han servido para elevar los estándares bajo los cuales se prestan esta clase de servicios tecnológicos a la administración del Estado. Algunos de estos instrumentos son:
- La Directiva N°24 sobre instrucciones para la contratación de bienes y servicios relacionados con tecnologías de la información del año 2015.
- La Directiva N°27 sobre recomendaciones para favorecer la generación de datos abiertos en la contratación pública del año 2016.
- La Directiva N°32 sobre recomendaciones para la contratación de servicios en la nube del año 2018.
- Formatos tipo de bases administrativas para adquisición de servicios de data center y de cloud computing, y que pueden ser utilizados por las entidades administrativas para adquirir este tipo de servicios de manera eficiente. En materia de ciberseguridad, estos modelos sugieren solicitar ciertas certificaciones al proveedor como NCh-ISO 27001, ISO 27017, ISO 27018, BS 15000, ISO/IEC 20000-1- Gestión de Servicios o similar; y el cumplimiento de ANSI/TIA-942-2005.
De esta forma, sin bien la regulación descrita no es obligatoria para los proveedores de tecnología, ésta bien puede resultar aplicable en la contratación con la Administración del Estado si el respectivo organismo público establece las disposiciones contenidas en ellas como obligaciones contractuales a cargo del proveedor, por ejemplo, en los términos de la licitación pública correspondiente.
El avance de la transformación digital y la modernización del Estado, y el impacto que han tenido a nivel local y mundial diversos eventos relacionados con el tratamiento no autorizado de datos personales y problemas de ciberseguridad, hacen razonable esperar que los organismos de la administración intensifiquen sus controles sobre seguridad en la contratación de servicios y productos tecnológicos, así como es esperable que tal efecto también se traduzca en mayores (o más exigentes) instrucciones y recomendaciones por parte de la Dirección de Compras y Contratación Pública.
Anticiparse desde ya en esta materia, con el enfoque correcto, no solo permitirá al proveedor tecnológico estar más preparado para cumplir un potencial contrato con la repartición del Estado que necesite de sus servicios o productos, sino que probablemente le permitirá estar en mejores condiciones para competir frente a otros proveedores en procedimientos licitatorios y competitivos futuros.
1 En Chile no hay una norma equivalente a los requisitos de ciberseguridad del DFARS de los Estados Unidos, que requiere a los contratistas de una institución pública cumplir con ciertos estándares de seguridad particulares.
2 La Dirección de Compras y Contratación Pública es un servicio público descentralizado, dependiente del Ministerio de Hacienda y que fue creado bajo la Ley N° 19.886 de bases sobre contratos administrativos de suministro y prestación de servicios.