Este es un espacio de debate que no compromete la opinión de La Silla Vacía ni de sus aliados.
Pasó a segundo debate en la Cámara de Representantes el proyecto de ley que crea la Infraestructura de Datos del Estado Colombiano (Idec). En un evento en la Universidad Externado, hace unas semanas, fue presentado como “Proyecto de Ley para Transformar el Uso de Datos en Colombia” y en la prensa del Ministerio TIC hablaron de él como “La Ley de Datos”. Desde hace más de una década estamos preparando, creando y discutiendo formas de intercambiar nuestros datos entre entidades del Estado para hacer más eficiente y mejor sus actividades. Entonces, ¿de qué se trata este proyecto de ley?
Antes de profundizar en ese análisis es indispensable protestar por la inexplicable exclusión que trae el proyecto de ley: Idec no estará cubierta por las normas de protección de datos. Asume el parágrafo del artículo 1 que la Idec no hará tratamiento de datos personales y concluye que por tanto no debe cumplir con esa ley. Esa presunción del Ministerio de Tecnologías de la Información y Comunicaciones (TIC) y el Departamento Nacional de Planeación (DNP) -quienes están detrás del texto- es equivocada, como expliqué con más detalle en una reciente columna de El Espectador. Allí concluí que “no encuentro ninguna justificación del gobierno, sobre todo este gobierno comprometido con los derechos humanos, para que desconozca la protección de datos en un proyecto que busca el aprovechamiento o explotación de datos de la ciudadanía por el Estado usando Inteligencia Artificial”.
Dicho esto paso a darle una mirada a este proyecto de ley.
¿Por qué necesitamos una nueva infraestructura?
Aunque la iniciativa de Datos Abiertos en Colombia se remonta a 2011, cuando el país se unió a la Alianza de Gobierno Abierto, 2016 es el año en el que se inicia de forma organizada la discusión de una política pública para la explotación de datos de la ciudadanía por manos del Estado. Ese año analizábamos la propuesta de política de “Big Data” que el DNP expediría en 2018 (Conpes 3920). Desde entonces, se viene desarrollando un ecosistema para que las entidades públicas aprovechen los datos que custodian particularmente en dos iniciativas: la plataforma de datos abiertos y los Servicios Ciudadanos Digitales (SCD).
Ambas son infraestructuras de intercambio y aprovechamiento de datos del Estado. La plataforma de datos abiertos es para el desarrollo del gobierno abierto, transparencia y lucha contra la corrupción; los SCD sirven para resolver la interacción de la ciudadanía con las entidades públicas a través de canales digitales. A la cabeza de estas infraestructuras de datos están la Dirección de Gobierno Digital y la Agencia Nacional Digital, respectivamente. Ambas han implementado mecanismos de gobernanza, estándares de interoperabilidad y tienen un modelo de sostenibilidad/negocio en funcionamiento que incluyen incentivos para impulsar su uso. Todo esto se ha desarrollado a partir de facultades del ejecutivo, sin intervención del legislativo; incluyen estándares, incentivos y promoción de su uso. A diferencia de esas experiencias, Idec se creará legalmente obligando a las entidades de la rama ejecutiva -y a los privados con funciones administrativas o administrando recursos del estado- a proveer de datos al sistema.
La Idec toma elementos de las dos infraestructuras: usará la interoperabilidad del SDC y la Agencia Nacional Digital será la Secretaría Técnica para la gestión y administración de los datos maestros y de referencia. Sin embargo, no hay explicaciones sobre las decisiones tomadas ¿por qué no se aprovechan los sistemas de gobernanza existentes?, ¿cómo se integra la Idec con las otras dos?, ¿cómo se articularán y resolverán conflictos? o ¿cuánto nos costará seguir multiplicando las infraestructuras para el aprovechamiento y explotación de los datos de la ciudadanía en manos del Estado?
El consentido del proyecto: el costoso gestor de datos básicos y las muchas preguntas que surgen
La estructura que el gobierno propone para el aprovechamiento de datos en el Estado no considera la forma en cómo Idec se aprovecharía o se integraría a las infraestructuras existentes y tampoco se ocupa del cómo se tomarán las decisiones, solo dice que con tecnologías emergentes, incluyendo IA; de lo que habla es del motor que procesa y disponibiliza los datos: el gestor de datos básicos.
El proyecto describe algunos elementos de su funcionamiento, pero de su lectura es casi imposible imaginarse cómo funcionará y por tanto es complicado hacer propuestas o comentarios. En la exposición de motivos no se explica el modelo ni cuál fue su inspiración; tampoco las razones de las decisiones de diseño que tomaron. Lo más cercano al modelo que se está pensando aparece en una imagen de la presentación del ministro del Ministerio TIC en el evento del Externado que se titula “Modelo de Gestor de Datos Básicos”. Esa imagen ilumina algunas disposiciones del proyecto de ley y permite analizar algo de su estructura.
La primera pregunta que tengo al mirar esa imagen es, ¿cuánto cuesta IDEC?
El primer costo que se me ocurre es el de la transición normativa, porque a diferencia de lo que ha pasado hasta hoy, en adelante toda entidad de la rama ejecutiva -y los privados que proveen sus servicios- tiene que usar y alimentar Idec. Eso significa por ejemplo cubrir los costos de la infraestructura, seleccionar proveedores privados y capacitar a su recurso humano; ¿de dónde salen los recursos?, ¿cuánto tiempo tomará? y ¿las entidades sólo deberán desarrollar capacidad de proveedoras de datos o se espera que también puedan consumirlos?
Por costos me refiero además al reto que supone un modelo centralizado -por ejemplo, en temas de seguridad digital-. Se propone una estructura centralizada en tres niveles, las entidades proveedoras de datos, el gestor de datos básicos y las entidades consumidoras de datos. Esa centralización supone un aumento en el riesgo de seguridad que debe mitigarse ¿quién paga/asume estos costos?, ¿no están cortos los plazos de la ley?, ¿cómo sucederá esto en el ámbito territorial? y ¿cómo será la protección de seguridad digital en los diversos puntos de recolección sectorial?, porque el proyecto solo menciona el gestor de datos básicos.
El otro desafío costoso es el de la privacidad. ¿Qué tan preparadas están las entidades públicas para proveer responsablemente los datos al gestor? Se confirma que la fuente de datos es sectorial, allí entonces es donde sucederá la anonimización/seudononimización de los datos -que seguramente incluirá el tratamiento de algunos datos personales- para convertirlos en datos maestros y de referenciación. No solo la ley debe resolver quién y cómo lo harán, también debe pensar en quién los concentra o quién los custodia; quién será el responsable de esos procesos, y los otros puntos que comenté en esa otra columna de las que ya les hablé. Una vez resuelto esto los responsables enfrentan un proceso especializado que cuesta y que deberán definir si lo hacen las propias entidades o subcontrata con privados. ¿Quién paga eso?
Como todo eso cuesta, la siguiente pregunta es, ¿cómo se sostendrá Idec y cuál será el modelo de negocio que cubra esos costos? El proyecto de ley deja los detalles del negocio a la reglamentación y a cargo del Comité Nacional de Datos, con el importante limitante de que no podrá haber comercialización o explotación económica (artículo 19).
Sobre las dos infraestructuras de datos en funcionamiento en el país, el SCD materializado en la carpeta ciudadana y la plataforma de datos abiertos, reitero que ambas existen y tienen su modelo de sostenibilidad. El SCD funciona hace unos seis años y aunque percibo la penetración de la carpeta ciudadana como marginal, no conozco datos públicos que me permitan afirmarlo, mucho menos evaluaciones sobre el modelo de negocio. No hay menciones al modelo de negocio de la plataforma de datos abiertos que admito es bastante funcional y ha mejorado con el tiempo; pero no sé quién lo paga, no conozco el modelo, ni si es un éxito o un fracaso. ¿Qué tomaron de estas infraestructuras? ¿por qué es diferente este? Si el proyecto de ley fuera sobre infraestructuras viales, este sería un tema central en el debate: si se financia con peajes, dónde se ubicarán y cómo sería ese modelo de sostenibilidad que permitiera pagar la construcción de la infraestructura y su mantenimiento.
Hay otros elementos del proyecto que no tengo claros y de los que quiero dejar registro:
- ¿Cómo se integrarán los datos abiertos? Aunque según el proyecto de ley el gestor de datos básico debe alimentarse con datos abiertos, la imagen no nos explica cómo sucederá. ¿Por dónde se incorporan los datos abiertos al gestor de datos básicos? ¿quién lo hace? ¿cómo se articula este modelo con el de la plataforma de datos abiertos ya existente?
- Cuando la provisión de servicios en algunos sectores esté en manos de privados -y por tanto sean ellos los que deban suministrarlos al responsable sectorial- la pregunta es, ¿cómo funciona la entrega de esos datos? Una vez en Idec, ¿estos privados serían entidades consumidoras? ¿se les debe aplicar medidas especiales?
- ¿Quiénes son y qué pueden hacer las entidades consumidoras? Aunque el proyecto de ley sugiere que serán las mismas entidades proveedoras (artículo 25) eso no queda claro en la diapositiva del ministro que, como con las entidades proveedoras, deja a la imaginación esa parte del proceso.
- ¿Cuál es el rol de los privados en la provisión de las plataformas sectoriales? El artículo 14 indica que los privados serán los que provean esas plataformas. ¿Cómo será esta provisión?, ¿cómo se garantiza la pluralidad de proveedores? porque se debe garantizar competencia, control de precios y una verdadera interoperabilidad (si se permite un solo proveedor o uno dominante habrá intercambio entre los silos de datos sectoriales pero no necesariamente la deseada interoperabilidad entre las tecnologías, además el Estado pierde capacidad de negociación -piensen en el tema de los pasaportes-). ¿Quien asume los costos? y ¿cómo se garantiza su sostenibilidad futura?
- El modelo de gobernanza está mejor descrito pero deja por fuera a algunos actores. Se nos presentan los modelos que la Organización para la Cooperación y el Desarrollo Económico (Ocde) ha analizado y describe el elegido para el caso colombiano. Sin embargo, en el colombiano se ignora a la sociedad civil y a la academia, tampoco se contempla un rol para las autoridades de protección de datos colombianas -no me sorprende en la medida en que consideran, equivocadamente como ya les dije, que la Idec está fuera de su órbita-.
- El modelo de interoperabilidad será a través de SCD pero no explica los ajustes que necesita. SCD descansa en una estructura descentralizada y sobre la base legal del consentimiento de las personas -por eso no requirió de una ley-, ellas autorizan compartir sus datos personales en un modelo de intercambio descentralizado. ¿Cómo se ajustara esto en un modelo centralizado y cuya base legal no es el consentimiento?
- Uno de los desafíos actuales más importantes en las democracias, que cada vez más se soportan en tecnología, es el acceso de los y las investigadoras a los datos. Por eso el valor de interés público que representa el trabajo de estas personas, amerita que leyes como esta contemplen el diseño de un mecanismo de acceso privilegiado al gestor de datos básicos para academia y sociedad civil.
Este proyecto avanza para convertirse en ley, tengo más preguntas: ¿cuál es la necesidad de llevar al Congreso directamente propuestas legislativas no socializadas? Cualquier actor que regule tiene puntos ciegos. Hacer debates amplios mejora las propuestas. Aunque digan que esto es lo que se hace en el Congreso, esa no es una buena práctica, esto imprime afán y supone contradicción más que proactividad. Esta mala práctica no es exclusiva de este gobierno, es un problema histórico en Colombia. Ahora se anuncian mesas de trabajo pero, ¿por qué hacerlas después de presentado el proyecto, luego de superar su primer debate, y no antes?
Los textos que aquí se publican son de exclusiva responsabilidad de sus autores y no expresan necesariamente el pensamiento ni la posición de la Linterna Verde.