Autenticación de identidades digitales
Por Renato Jijena Leiva
22.12.21
No se trata de un problema tecnológico y puede implicar la afectación de Derechos Fundamentales. Sea -por ejemplo- en sitios web de la banca, de tribunales, de servicios públicos, de la Comisaría Virtual o de Universidades, todo usuario de un sistema informático o de una plataforma en Internet siempre tendrá una Identidad Digital (o ID), un identificativo que se compondrá de “credenciales”, construidas en base a huellas dactilares o datos biométricos de reconocimiento facial, passwords y contraseñas, nombres y apellidos, apodos, correos electrónicos o números de RUT. Según los elementos en base a los cuáles se construya, civilmente la ID puede ser un atributo del patrimonio moral y un derecho personalísimo y constitucionalmente un Dato Personal y un Derecho Fundamental que identifica o hace identificable a una persona natural. Y siempre será necesario que se autentique o se valide (la identidad o la credencial construida) por quien administra el sistema accedido y que se ella proteja de cara a su confidencialidad.
La Identidad Digital se construye y se gestiona técnica y jurídicamente, donde un método automático crea esas credenciales o atributos de la identidad asociadas a un dato nominativo, con la finalidad o para que un sistema informático y/o telemático pueda verificar con seguridad quien es la persona que está accediendo a él desde el otro extremo de la conexión. Técnicamente entonces una ID se juega en el contexto de las autenticaciones de forma remota y a través de canales digitales, donde las versiones más simples, estáticas y vulnerables serían nombre de usuario + contraseña, correo electrónico + contraseña o número de RUT + contraseña, y resultarán validadas al momento del acceso en línea si coinciden con la información previamente registrada en el sitio web. Además de una clave asociada a un RUT -credencial muy estática y básica, como la Clave Única implementada por el Registro Civil y esencial en tiempos de anormalidad sanitaria-, otras posibles credenciales serían una grabación de voz, un código QR o un certificado digital de Firma Avanzada.
Autenticación entonces será la identificación de la identidad de un usuario de canales electrónicos, verificándose específicas credenciales previamente creadas en base a datos personales, que se presentan por el usuario para identificarse ante el sistema digital y para respaldar su Identidad.
El ordenamiento jurídico chileno reconoce y admite diversas modalidades de autenticación de identidades, off line y on line, a saber: (i) una combinación de una tarjeta con un chip más una clave, que son un parámetro suficiente para retirar dinero en efectivo de un cajero automático; (ii) un match de verificación de una huella dactilar contra una base biométrica en un banco, que es suficiente acreditación de identidad para cobrar un vale vista; y, (iii) una combinación de RUT + clave única, que son elementos suficientes para la presentación de una declaración anual de patrimonio de un funcionario público.
Es el derecho también el que (i) permite proteger la información nominativa que está a la base de las credenciales, (ii) permite y valida expresamente el uso de mecanismos de ID y su autenticación, (iii) obliga a que los Responsables de Tratamientos adopten medidas de seguridad idóneas para la administración de un sistema de autenticación de identidades, y (iv) sanciona penalmente el llamado "robo de identidades", que no es sino, por cierto, un acceso indebido a los datos personales –por ejemplo el nombre o al RUT- y a las credenciales creadas con claves o contraseñas asociadas, en concurso con una suplantación de identidad posterior lo que nos sitúa, naturalmente, en el contexto del delito de "phishing".
La debida diligencia para salvaguardar las posibles responsabilidades en caso de accesos indebidos siempre será exigible a ambas partes afectadas, tanto el titular de las credenciales que lo identifican como el responsable del sistema ante el cual se presentan. Y claro, cuando los medios anotan reiterados casos de “hackeos” o accesos indebidos a sitios web a priori se considera la responsabilidad del administrador del sistema donde las credenciales estaban almacenadas. En derecho y según la importancia del contenido o la información de un sistema, es dable exigir mecanismos de autenticación de credenciales o Identidades más complejos que uno estático, y por eso que los usuarios o consumidores en la banca hoy se autentican en una transferencia de fondos incluso en tres pasos: credenciales de acceso, coordenada de transferencia y una clave de aprobación o autorización adicional.
A propósito de la tutela del Derecho Fundamental a la Protección de Datos Personales y la Ley N°19.628, quien administra y gestiona un sistema para la generación de credenciales y la autenticación de las identidades y trata la información nominativa de la base de datos de las personas naturales identificadas o autenticadas, será -legalmente- un responsable de tratamiento, que -también por exigencia legal- deberá adoptar medidas de confidencialidad y de seguridad para la data nominativa asociada a las credenciales almacenadas. “Responsable" del tratamiento de datos Personales entonces es el creador del sistema de autenticación que, en base a datos personales del usuario que se quiere conectar al sitio web, gestiona, construye y genera las credenciales de ID, las autentica, controla la gestión de los permisos de uso, las almacena y las respalda en forma segura.
En derecho, confidencialidad es lo que especialmente corresponde exigirle al responsable porque se predica respecto de un sistema y, en su virtud, las personas que trabajan en el tratamiento de datos personales, tanto en organismos públicos como privados, están obligadas a guardar secreto sobre los mismos cuando provengan o hayan sido recolectados de fuentes no accesibles al público, como asimismo sobre los demás datos y antecedentes relacionados con el banco de datos, obligación que no cesa por haber terminado sus actividades en ese campo.
A propósito de estándares como las Normas ISO, que son oficiales en Chile, siempre se deberá determinar y auditar si el sistema de autenticación es robusto y se ha asegurado su integridad, disponibilidad y confidencialidad; si se realizaron análisis de riesgos y evaluaciones de impacto; y si se adoptaron "medidas técnicas y organizativas" para tratar de evitar el robo de identidad en un contexto en que la verificación en línea es clave para las tareas cotidianas en aplicaciones o dispositivos. El marco contextual es la “Gestión de Seguridad de la Información” (GSI), o sea, y es una definición técnica, un “conjunto de medidas y procedimientos puestos en marcha por las corporaciones para proteger la confidencialidad de la información y la disponibilidad e integridad de los datos”.
Desde la perspectiva del Derecho entonces, esta gestión diligente de las tecnologías de creación de credenciales y validación de identidades digitales debe ajustarse (i) a los requisitos legales de la institucionalidad de la protección de datos personales de la vigente Ley N°19.628 (ya no "de la privacidad"), pero también (ii) a los de las normas de autenticación y gestión documental electrónicas (19.799) y (iii) a las directrices de seguridad dictadas por el INN que son norma oficial, como la ISO 27001-2013 del mismo año.
Planteada la interrogante acerca de con qué factores se puede autenticar, respaldar y validar legalmente en Chile una identidad digital (DP) electrónica y sus credenciales para suscribir o firmar un documento, la respuesta, amplia y genérica, está en el artículo 2°, letra f) de la ley 19.799, cuando sólo determina, como consecuencia jurídica derivada, que podrá considerarse como firma electrónica del documento que recibirá un receptor a ”cualquier sonido, símbolo o proceso electrónico” que permita identificar al menos formalmente a su autor.
Esta norma no crea mecanismos de firmado (menos de autenticación), no asigna competencias de Derecho Público para crearlos, regularlos o validarlos, no califica lo firmado como hecho en forma “simple” e incluye el uso de software de firmado (los certificados) cuando no se le compran a empresas acreditadas por el Ministerio de Economía. Más específicamente, no valida el uso de biometría o de la Clave Única oficial en Chile para simples autenticaciones, y el fundamento jurídico debe buscarse en otras normas.
En el caso de la Clave Única, que asumirá un rol esencial en todos los Procedimientos Administrativos Electrónicos (PAE), su blindaje jurídico está en la Ley N° 19.477, de 1996, Ley Orgánica SRCeI que le encarga “registrar los actos y hechos vitales que determinen el estado civil de las personas y la identificación de las mismas” (art. 3°); en su adopción expresa para la realización de trámites en línea del Estado (SRCeI + Segpres); en la Res. 301/2020 Ex. (art. 7° i Ley 19.477) que permite implementar Clave Única en portales de Instituciones Privadas con la finalidad de proveer de un servicio de autenticación; en el Art. 2° del DFL 9/2020, MINJUS y DDHH, que permite administrar una plataforma electrónica para que los órganos del Estado, servicios públicos y particulares que “ingresen sus solicitudes y demás documentos electrónicos, de conformidad al procedimiento que corresponda”; y en el Auto Acordado Acta 37-2016, de la Corte Suprema, sobre Ley N° 20.886, que declara explícitamente que entiende a “la Clave Única del Estado como una firma electrónica simple” (Art. 3°).
Esta columna fue publicada en El Mercurio Legal. Accede a la publicación original aquí.
*Las opiniones vertidas en la columna no representan necesariamente el pensamiento institucional de la Facultad y Escuela de Derecho PUCV.
Facultad y Escuela de Derecho PUCV