eID, un mecanismo potenciador de la Modernización del Estado
Los sistemas de identificación han tomado una gran relevancia en los últimos años, impulsados fuertemente por razones de seguridad nacional, es decir, se han puesto de moda para mejorar los mecanismos de identificación segura de las personas.
Esto ha generado amplias discusiones públicas sobretodo en países en los cuales la identificación 1 a 1 de las personas se percibe como una intromisión en la vida privada.
Nuestro país, ya cuenta con una institucionalidad, Servicio de Registro Civil e Identificación, y un modelo de identificación, en el que cada ciudadano tiene un número único de identificación, este sistema tiene varias décadas y es bastante robusto, un tema no resuelto en varios países y que algunos miran con cierta envidia, ya que uno de los temas relevantes a la hora de entregar servicios por parte del Estado a sus ciudadanos es poder identificarlos adecuadamente.
El desafío de ese modelo es modernizarse; desafío no menor si recordamos que prácticamente todas sus licitaciones asociadas a procesos modernizadores del Registro Civil han terminado en los tribunales con gran cobertura mediática y juicios muy bullados, pero bueno eso es tema para otro post.
El Registro Civil se ha dormido en los laureles de un pasado mejor, como institución emblema de la modernización del Estado, junto al Servicio de Impuestos Internos y al portal de compas públicas, Chilecompra, hoy el Registro es una institución bastante atrasada, un botón de muestra de ello, es su sitio web para darse cuenta de ello, un sitio bastante ochentero como pueden ver, los invito a recorrerlo con mirada usuario final.
El rol que a futuro deben jugar las instituciones encargadas de la identificación de las personas, en los procesos modernizadores y el desarrollo digital de los estados es fundamental. Tal como lo ha planteado la OCDE en los pilares de desarrollo digital, la identificación electrónica – eID, es una pieza fundamental.
A futuro las instituciones encargadas de identificación deben desarrollar mecanismos para asegurar una identificación segura al resto de las instituciones del Estado, y por qué no a privados, para realizar interacciones electrónicas. Esto resuelve buena parte de los costos (barreras) que un servicio debe asumir a la hora de desarrollar servicios en la web y le permite concentrarse en el proceso de negocios propiamente tal y por otra parte el ciudadano gran ganador en este modelo ya que tiene un mecanismo único de autenticación para interactuar con el Estado.
Un modelo de autenticación centralizado debe contar con algunos atributos, entre ellos puedo mencionar:
- Institución de identificación disponibiliza pieza de software, del estilo widget (pequeña aplicación que se incrusta en el sitio web), que permite identificar a un usuario. Esa pieza de software la puede instalar cualquier servicio público en su web como mecanismo de autenticación para sus transacciones.
ii) El proceso de identificación los asume la institución responsable de los registros de ciudadanos.
iii) El mecanismo de autenticación debiera considerar diferentes niveles de seguridad (varios modelos de autenticación) en función de los requerimientos del proceso de negocio, por ejemplo para algunos de esos procesos bastará con el par (usuarios, clave secreta) en otros casos se requerirá de mecanismos más robustos como firma electrónica avanzada. El proceso de autenticación en términos globales debiera operar de la siguiente forma:
Un modelo como el planteado tiene importantes beneficios, tanto para los usuarios como para los servicios públicos:
- mecanismo único de autenticación, el usuario no requiere conocer múltiples claves
- interfaz única de autenticación
- servicios público no se desgasta en desarrollar modelos de autenticación
- actualización del proceso centralizada
- mayor nivel de confianza en el proceso de autenticación
Es de esperar que con los últimos dictámenes de la corte, los procesos modernizadores del Registro Civil retomen su senda y finalmente, luego de esperar varios años, luego de asumir importantes costos para el estado y los ciuadanos, finalmente, contemos con un adecuado mecanismo de eID y de paso una cédula más moderna que la actual, recuerdo haber participado en discusiones técnicas sobre identificación electrónica con autoridades del Registro ya en 2007, estamos hablando de hace 4 años atrás.
Recomiendo leer paper sobre sistemas de gestión de identidad electrónica de Hayat y Rössler, Proposed Framework for an Interoperable Electronic Identity Management System
Imagen pasaporte: http://es.homesandproperty.co.uk/property_news/legal_q_and_as/identificationdocuments.html
Concuerdo plenamente con la necesidad de trabajar en un mecanismo de identidad digital como señalas y está justamente en la línea del trabajo que hemos estado realizando en el útimo año.
Tal como hemos conversado, hace ya un tiempo que estamos trabajando en un nuevo modelo de portal de servicios, con mayor orientación ciudadana y que incluye elementos como la identidad digital (con un modelo como el aqui descrito) e incluso la participación ciudadana en su diseño.
Hasta ahora hemos estado mas bien focalizados en el diseño y trabajo con referentes nacionales, internacionales y estándares, por lo que junto con la consolidación de nuestra nueva instiucionalidad de gobierno electrónico estamos comenzando la difusión de nuestros planes de corto y mediano plazo. Te invito a visitar nuestro nuevo sitio (alpha), donde comentamos algunos de los proyectos en los que estamos trabajando, donde se incluye el modelo de identidad digital que queremos implementar:
http://www.modernizacion.cl/gobierno-electrónico/proyectos/mejorar-servicio-al-usuario/
En este sitio, además invitamos a los ciudadanos a participar con ideas sobre modernización, así q la invitación queda hecha.
Como nota al margen, te cuento q Registro Civil, además de estar participando activmente en la implementación de la identificación digital, esta en proceso de rediseño de su web con mayor orientación ciudadana.
Saludos
Andrés Bustamante Valenzuela
Director de Gobierno Electrónico
Secretaría General de la Presidencia
@abustamante_tic
Gracias Andrés por el comentario, que bueno que se está avanzando en esta materia, respecto de la plataforma web del Registro Civil, lamento que se haya desechado la evaluación en profundidad de su portal web con una mirada ciudadno céntrica realizada por un muy buen conocido mío
Saludos
—————–
Alejandro Barros
Claro, y una vez hecho e implementado un eID, también pasar a generar una “carperta-ciudadana” de manera centralizada, pero de acceso público-privado, con las restricciones del caso, no ?
Amigo mío:
* …Retengo tu propuesta acerca de “un modelo de autenticación centralizado”; tu le llamas “poner problemas” a intentar validar legalmente este tema, pero nunca puedes olvidar el contexto de “Derecho Público”; en concreto: para que un solo órgano autentique la identidad de todos los funcionarios públicos debes darle la competencia por ley; y no es la misma del SRC, que sólo autentica a ciudadanos en su calidad de tales pero no a funcionarios en su calidad de tales (v.gr. funcionario de la Dirección del Trabajo). Hoy cada servicio público sólo puede autenticar a sus propios funcionarios.
* …En principio no es cuestionable jurídicamente la implementación de mecanismos de autenticación, y técnicamente está validado a cabalidad, salvo por el hecho de que, en primer lugar, crear sin un respaldo legal ad hoc sino de facto un único sistema nacional de autenticación de los funcionarios y de los ciudadanos, de manera tal que sea uno sólo el servicio público que administre la base de datos personales para la autenticación, no sería viable. El tema central es la responsabilidad administrativa para el servicio que asuma la autenticación, misma que puede ser errada o posibilitar suplantaciones.
* …Obvio que se puede aplicar (y ya se hace) las mismas medidas o el mismo modelo de seguridad y de autenticación para la identidad de los ciudadanos que se conecten vía Internet utilizado a esta fecha con éxito por la banca, tratándose de los sitios web “transaccionales” de los servicios públicos -porque no se necesita autenticar la identidad para visualizar una simple página web informativa- el mecanismo utilizado es el de asociar un dígito verificador que es el número de RUT (un dato personal) a una password que genera el ciudadano. La cosa es: ¿qué servicio público asumirá la responsabilidad de generar, validar y mantener las claves en forma centralizada?.
* …Sobre la legalidad de Derecho Público de la implementación de un sistema de autenticación, es el Decreto Supremo N° 77 del 2004, una norma técnica sobre eficiencia de las comunicaciones electrónicas entre órganos dela Administración del Estado y entre éstos y los ciudadanos, el que establece que con la finalidad de proteger la confidencialidad de la información y cuando corresponda, se podrá adoptar un mecanismo de control de acceso o autenticación a las direcciones electrónicas que contengan las respuestas de la Administración del Estado.
* …Otra norma es el Decreto Supremo N°100, que aprueba una norma técnica para el desarrollo de sitios web de los órganos dela Administración del Estado, y prevé para que el procedimiento de comunicación con los ciudadanos pueda realizarse en línea, que el organismo de la Administración del Estado -previamente o antes de responder las consultas de los ciudadanos- debe verificar suficientemente la identidad del solicitante que se conecte al sitio web y utilice la dirección electrónica de contacto que en él se publique. Es decir, se le obliga al servicio a autenticarlo, y la mejor forma de hacerlo es registrándolo previamente.
* …En fin; yo entiendo que la opción de que cada servicio público debería disponer de sistemas de autenticación propietarios para su relación con los ciudadanos atenta contra los principios de eficiencia, eficacia y coordinación que el legislador establece para la Administración del Estado, porque disponer de tantos identificadores como servicios públicos existan entrabaría el funcionamiento de los mismos servicios implicados y desalentaría el uso de medios electrónicos como plataforma de comunicaciones entre los ciudadanos y los distintos órganos de la Administración del Estado, socavando toda pretensión de avanzar en la construcción de Gobierno Electrónico.
* …Pero no es blindable a esta fecha jurídicamente que los servicios públicos con menos desarrollo tecnológico puedan externalizar o traspasar a otro servicio público que asuma, bajo su responsabilidad, la gestión del sistema de autenticación propiamente tal y de la base de datos personales necesaria para implementarlo y mantenerlo.
Sería –por ejemplo- el caso de un ciudadano que quisiera entrar a la página web y al sitio transaccional de la Dirección del Trabajo y al pretender conectarse fuera reenviado telemáticamente al sitio web y a los sistemas del Minsegpres, a espaldas o sin que el ciudadano visualizara que sus antecedentes no están siendo tratados, almacenados y confrontados en la Dirección del Trabajo sino en otro órgano del Estado. Esto es ilegal y contrario a derecho, porque el segundo -el Minsegpres- no posee las competencias de Derecho Público necesarias para asumir la responsabilidad de gestionar los sistemas de autenticación ni las bases de datos personales del segundo -la Dirección del Trabajo-; además de que por mediar un engaño al ciudadano la opción debe ser desechada de plano.
Abrazo.
rjl – http://www.jijena.com
Como siempre agradezco tus comentarios Renato, pero la duda más profunda que me surge es como avanzamos, construimos el armado jurídico, y luego de muchos años de discusión legislativa, y proyectos de ley que uno sabe como entran pero jamás sabe como sale, logramos modernizar el Estado de Chile o bien buscamos las soluciones si observas como los Estados modernos han avanzando, uno de los pilares definidos pare ello por la OECD (no por mí) es la identificación electrónica, no te parece del todo ineficiente 200 sistemas de autenticación diferentes y quien sabe con que calidad.
Saludos
—————–
Alejandro Barros
…Creo hablas de dos cosas diversas. Yo pensé en el tema de centralizar un servicio de autenticación para funcionarios. Hace rato que compré lo de la OECD (desde que trabajando en estrategia digital hice el informe TIC para la acreditación de Chile).
…Lo segundo que mencionas, estandarizar cuál sea el mejor sistema técnico de autenticación electrónica en el Estado y obligar a que todos usen el mismo es algo que se puede hacer a esta fecha sin ley y reglamentariamente. Pero, si por ejemplo elegimos PKI, la administración centralizada de un único laboratorio de emisión de certificados para todos los órganos estatales requeriría modificar la ley 19.799. O si queremos que un solo servicio público genere las claves de todos los funcionarios y asuma la responsabilidad administrativa y por el tratamiento de sus datos personales por ello (ley 19.628) es lo que tiene un freno legal a destrabarse. Y destrabar con proyectos cortos y concretos, con urgencia dada por el ejecutivo, es un camino viable.
…Es distinto para los ciudadanos; aunque incluso, si pensamos en pki y que el SRC sea el emisor para todos los ciudadanos de la mano de sus leyes orgánicas, siempre habría que aplicársele el estatuto de los psc al registro civil.