Base de Datos de Jurisprudencia - Consejo para la Transparencia

Decisión ROL C3918-17

Reclamante:	CHRISTIAN FINGERHUTH
Reclamado:	DIRECCIÓN DE PRESUPUESTOS
Resumen del caso: Se acoge el amparo deducido, puesto que se descartan las alegaciones del órgano reclamado, referidas a que lo pedido no estaría amparado por la Ley de Transparencia y que se configurarían las causales de reserva establecidas en el artículo 21, N° 1; N° 1, letra c); y N° 4, de la ley mencionada. De esta forma, se requiere la entrega del código fuente del sistema de información para la gestión financiera del Estado -SIGFE- versión 2.0. Aplica criterio sostenido en las decisiones de amparo roles C591-13 y C937-15.
Tipo de decisión:	Decisión de Fondo
Fecha de la decisión:	4/17/2018
Consejeros:	-Marcelo Drago Aguirre -Gloria Alejandra de la Fuente González -Francisco Javier Leturia Infante
Legislación aplicada:	Ley de Transparencia
Palabras clave:
Jurisprudencia desde:	C377-13 C591-13 C663-13 C937-15
Jurisprudencia a:	C33-22
Recursos relacionados:	164-2018
Descriptores jurídicos:	- Procedimiento de acceso a la información >> Plazo del procedimiento >> Otros
Descriptores analíticos:

DECISIÓN AMPARO ROL C3918-17. Entidad pública: Dirección de Presupuesto (DIPRES). Requirente: Christian Fingerhuth. Ingreso Consejo: 07.11.2017. RESUMEN Se acoge el amparo deducido, puesto que se descartan las alegaciones del órgano reclamado, referidas a que lo pedido no estaría amparado por la Ley de Transparencia y que se configurarían las causales de reserva establecidas en el artículo 21, N° 1; N° 1, letra c); y N° 4, de la ley mencionada. De esta forma, se requiere la entrega del código fuente del sistema de información para la gestión financiera del Estado -SIGFE- versión 2.0. Aplica criterio sostenido en las decisiones de amparo roles C591-13 y C937-15. En sesión ordinaria N° 881 del Consejo Directivo, celebrada el 3 de abril de 2018, con arreglo a las disposiciones de la Ley de Transparencia de la Función Pública y de Acceso a la Información de la Administración del Estado, en adelante, Ley de Transparencia, aprobada por el artículo primero de la ley N° 20.285 de 2008, el Consejo para la Transparencia, en adelante indistintamente el Consejo, ha adoptado la siguiente decisión respecto del amparo rol C3918-17. VISTO: Los artículos 5°, inciso 2°, 8° y 19 N° 12 de la Constitución Política de la República; las disposiciones aplicables de la ley N° 20.285, sobre acceso a la información pública y de la ley N° 19.880 que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado; lo previsto en el decreto con fuerza de ley N° 1/19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.575, orgánica constitucional sobre bases generales de la Administración del Estado; y los decretos supremos N° 13, de 2009 y N° 20, de 2009, ambos del Ministerio Secretaría General de la Presidencia, que aprueban, respectivamente, el reglamento del artículo primero de la ley N° 20.285, en adelante e indistintamente, el Reglamento, y los Estatutos de Funcionamiento del Consejo para la Transparencia. TENIENDO PRESENTE: 1) SOLICITUD DE ACCESO: Con fecha 16 de septiembre de 2017, don Christian Fingerhuth solicita a la Dirección de Presupuestos - en adelante también DIPRES -, "código fuente del SIGFE (versión 2.0)". 2) RESPUESTA: La Dirección de Presupuestos mediante ordinario N° 1777, de fecha 19 de octubre de 2017, deniega acceso a lo pedido debido a que se configuraría la causal de secreto o reserva establecida en el artículo 21 N° 1 de la Ley de Transparencia. Lo anterior se basa en que la revelación de lo solicitado supone exponer a un riesgo el debido cumplimiento de sus funciones, ante eventuales intromisiones indebidas en sus sistemas por parte de terceros, crea brechas en las medidas de seguridad de las bases de datos que debe administrar y la exponen innecesariamente a entorpecimiento en el ejercicio regular de sus funciones, con el consiguiente daño a su deber de proveer a la satisfacción regular y continua de las necesidades públicas que justifican su existencia. Atendida la naturaleza de la información requerida, el conocimiento de las instrucciones lógicas que implica un código fuente y, con ello, la divulgación de las opciones técnicas adoptadas para que un programa computacional funcione de acuerdo con los requerimientos institucionales haría posible que puedan acceder, modificar o alterar por terceros ajenos al sistema consultado. Por lo expuesto, consideran que otorgar acceso a lo pedido también afecta el interés nacional que subyace en la debida protección de los intereses económicos del país, circunstancia denegatoria prevista en el artículo 21 N° 4 de la Ley de Transparencia. 3) AMPARO: Con fecha 7 de noviembre de 2017, don Christian Fingerhuth deduce amparo a su derecho de acceso en contra de la Dirección de Presupuestos, fundado en la respuesta negativa a la solicitud. 4) DESCARGOS Y OBSERVACIONES DEL ORGANISMO: El Consejo Directivo de esta Corporación acordó admitir a tramitación este amparo, confiriendo traslado al Sr. Director de Presupuestos, mediante oficio N° E4.478, de fecha 22 de noviembre de 2017. El órgano reclamado, presentó sus descargos y observaciones por medio de ordinario N° 2127, de fecha 7 de diciembre de 2017, reiterando lo señalado en su respuesta, precisando que "La seguridad de la información se logra implementando un conjunto de controles adecuados, que incluye políticas, procedimientos, estructuras organizacionales y funciones de software y hardware" (ISO27002). De esta forma, sostienen que conocer el código fuente de un software o sistema develaría la composición íntima de su funcionamiento, exponiendo tanto las fortalezas como deficiencias de la programación del sistema. En esta exposición se podrían observar vulnerabilidades que pudiera tener el software, y mal usarlas por parte de terceros no autorizados. Así, revelar una "versión especial" del sistema implicaría que al volverse una "versión no controlada" puede quedar expuesto a que se identifiquen vulnerabilidades y a ataques de "hacking" que potencialmente puedan afectar sus deberes y funciones, con los consecuentes elevados costos de recuperación y reanudación de actividades. El sistema SIGFE es usado por todas las instituciones públicas del Estado Chileno lo que implica que dicho sistema se encuentre con niveles adecuados de disponibilidad a fin de no afectar tanto sus actividades como el normal desenvolvimiento de todas las instituciones públicas que dependen de él. Por otro lado, sostienen que lo solicitado no se enmarca dentro de los alcances de la Ley de Transparencia, toda vez que el código fuente es un conjunto de instrucciones de computadora que no constituyen actos, resoluciones, actas, expedientes, contratos, acuerdos ni información de ninguna índole que diga relación con actos administrativos; sino más bien se trata de un activo intangible y así está considerado en su contabilidad. Finalmente, precisan que el sistema consultado funciona sobre una arquitectura tecnológica compleja con la que debe contar el reclamante, a fin de poder usarlo. Por lo expuesto, entregar una copia implicaría crear una versión especial que significaría un trabajo de aproximadamente 2 semanas. Por lo que, dado que la elaboración de la información solicitada importa necesariamente una elevada carga de trabajo y una dedicación de tiempo considerable por parte de sus funcionarios, atendida la jornada de trabajo de los mismos y el período de tiempo que la comprende, no es posible acceder a su entrega, por cuanto se configuraría la causal de secreto o reserva establecida en el artículo 21 N° 1, letra c), de la Ley de Transparencia. 5) PRIMERA GESTIÓN OFICIOSA: Con el objeto de resolver acertadamente el presente amparo, este Consejo solicita al órgano reclamado, por medio de correo electrónico de fecha 5 de febrero de 2018, informe si el sistema "SIGFE, versión 2.0", cuyo código fuente se requiere, corresponde a un software de elaboración propia o de tercero, en este último caso, remitir los documentos que den cuenta de la contratación o de la adquisición de la licencia respectiva. La Dirección de Presupuesto, por medio de correo electrónico, de fecha 6 de febrero de 2018, informa que el sistema consultado, fue adquirido mediante proceso de licitación pública, aprobado por resolución exenta N° 1.183-B/08, de la Dirección de Compras y Contratación Pública. Las bases de licitación fueron publicadas en el portal www.mercadopublico.cl, con fecha 15 de septiembre de 2008. El contrato fue adjudicado a la empresa Everis Chile S.A., y aprobado por decreto presidencial N° 260, totalmente tramitado con fecha 20 de abril de 2009. Además, informan que adjuntan copia de los documentos referidos. 6) SEGUNDA GESTIÓN OFICIOSA: Con el objeto de resolver acertadamente el presente amparo, este Consejo solicita al órgano reclamado, por medio de correo electrónico de fecha 27 de febrero de 2018, informe sobre el sistema "SIGFE, versión 2.0", las consultas que más adelante se detallan. La Dirección de Presupuestos, por medio de correo electrónico, de fecha 2 de marzo de 2018, informa lo siguiente: a) Descripción breve del sistema. "A través del Sistema de Información para la Gestión Financiera del Estado (SIGFE), la DIPRES obtiene de manera oportuna y consistente los datos de la ejecución presupuestaria de todo el Gobierno Central. Esto implica un servicio continuo de asistencia técnica a los organismos públicos incluidos en la Ley de Presupuestos, en el uso del sistema SIGFE, para la gestión de los componentes presupuestario, contable y procesos de cierre mensual y anual. SIGFE 2.0 es un aplicativo con más de 1.2 millones de líneas de código, 41 funcionalidades y 1.300 reglas de negocio entre otras características. Actualmente 150 instituciones públicas usan SIGFE 2.0 para registro de transacciones de compromisos presupuestarios, devengos y pagos de sus obligaciones. Su diseño y construcción implicó un contrato inicial de $ 10.336.000.000 (diez mil trescientos treinta y seis millones de pesos) y una serie de contratos adicionales de complementarios, mantenimiento, adquisición de licencias de software Oracle y de plataforma tecnológica". b) ¿El sistema está desarrollado en la lógica de código abierto? "No, es código propietario". c) ¿El sistema es intranet o extranet? "Extranet. Lo usan 150 instituciones públicas". d) ¿Qué tipo de información o datos son administrados a través del sistema? Puede indicar más de uno. "El Sistema de Información para la Gestión Financiera del Estado "SIGFE", en el ámbito transaccional permite a las instituciones públicas el registro y control de sus operaciones financieras-contables, permitiendo obtener información sobre la gestión financiera realizada y apoyar los procesos de toma de decisiones de quienes administran y controlan caudales públicos. SIGFE en su versión 2.0, administra datos propios de cada institución pública que usa el sistema (actualmente son 150) atendiendo las características particulares de configuración de negocio definidas. Entre los datos e información se encuentran": i. "Información Presupuestaria, Contable y de Administración de Fondos: ley de Presupuestos vigente y su correspondiente ejecución, Compromisos, Devengos, Contabilidad y Tesorería, Carteras Financiera presupuestarias y contable, Carteras Bancarias, Medios de pago". ii. "Información Banco de Personas". iii. "Información Banco de Bienes en caso de usar la funcionalidad". iv. "Información de Conciliación Bancaria en caso de usar la funcionalidad". v. "Información de Configuración Institucional". e) ¿El código fuente o aplicación contiene información sensible o confidencial en sí mismo? Por ejemplo, indicar si contiene datos personales. "No existe clasificación de la información, por tanto no se puede clasificar el contenido del código fuente. El código es solo lógica asociada al negocio que maneja la aplicación, los únicos datos de personas que contiene son los nombres de los desarrolladores que implementaron cada porción del código". f) Indique el año de publicación de la primera versión del sistema y de la versión operativa actualmente. "El año 2001 fue la primera publicación, "SIGFE versión 1.0", implementado en otra tecnología. La versión actual es la versión 2, publicada el año 2011". g) Indique la tecnología usada para aplicación y base de datos. "JAVA, Oracle Database". h) ¿Qué tipo de arquitectura está implementado el sistema? En caso de ser en capas, ¿En cuántas capas tiene diseñado el sistema? "Arquitectura Orientada a Servicios". i) En caso de guardar contraseñas en la base de datos, ¿tiene algún método de encriptación? "No se guardan contraseñas en la Base de Datos". j) ¿Las consultas a la base de datos son mediante procedimiento almacenado o transact SQL?, y ¿en qué capa la hace? "JTA (Java Transaction API)". k) Las claves de acceso a la base de datos, ¿se manejan en un solo archivo o están integradas a las páginas de la aplicación? "Encriptadas en el árbol JNDI/JDBC del dominio de la aplicación". 7) TERCERA GESTIÓN OFICIOSA: En atención a lo señalado precedentemente, el Jefe de Unidad de Sistemas, de la Dirección de Desarrollo y Procesos de este Consejo, por medio de correo electrónico, de fecha 8 de marzo de 2018, informa que tras haber revisado los antecedentes remitidos por la Dirección de Presupuestos, "no se ven problemas de seguridad asociadas a la entrega de los códigos fuentes. Su arquitectura, tecnología y la información que aportan indica que no hay problema en este sentido. Por lo tanto, estimo que se debe entregar el código bajo la observancia de no entregar datos asociados a organismos, limpieza de claves si el código tuviera alguna". Y CONSIDERANDO: 1) Que el presente amparo se funda en la respuesta negativa a la solicitud de información. Al respecto, el órgano reclamado argumenta la concurrencia de las causales de secreto o reserva establecidas en el artículo 21 N° 1; N° 1, letra c); y N° 4, de la Ley de Transparencia, así como también, que el requerimiento no estaría amparado por la ley citada. 2) Que respecto de lo pedido, en primer lugar, corresponde señalar que solicitudes de información de igual naturaleza se conocieron con ocasión de los amparos roles C937-15, C663-13 y C591-13, en este último caso, cabe hacer presente que lo resuelto fue confirmado por la Corte de Apelaciones de Santiago, al rechazar reclamo de ilegalidad rol N° 5831-2014. Por lo anterior este Consejo se remitirá a los conceptos, definiciones y criterios que al respecto se hayan formulado en dichas decisiones, descartando, de esta forma, las alegaciones de que los códigos fuentes pedidos no estarían amparado por el derecho de acceso a la información pública. 3) Que en cuanto al programa computacional consultado, se debe señalar que tras proceso de licitación pública, y por medio de resolución N° 260, de fecha 3 de marzo de 2009, se aprueba contrato con empresa que indica para el suministro del nuevo sistema de información para la gestión financiera del Estado - SIGFE- de la Dirección de Presupuesto. En dicho contrato, particularmente, en su cláusula decimocuarta, denominada "Propiedad de los Programas Informáticos y Licencias de Uso", se establece que "La propiedad intelectual del desarrollo que por este acto se contrata será de la DIPRES. En consecuencia el software resultante con su código fuente así como los datos, listados, documentación de desarrollo, el manual de aplicación, productos resultantes de las pruebas, los restantes datos y materiales de apoyo, los símbolos de identificación, las contraseñas, los números de usuario y los símbolos de seguridad pertenecerán a la DIPRES". (El destacado es nuestro) 4) Que lo pedido se trata del código fuente de un programa adquirido con presupuesto público y tras proceso licitatorio, cuya propiedad fue establecida en forma expresa -por la cláusula contractual citada en el considerando anterior- a favor de la Dirección de Presupuestos. Por lo tanto, de conformidad con lo dispuesto en los artículos 5 y 10 de la Ley de Transparencia, se trataría de información de carácter público por obrar en poder del órgano reclamado y haber sido elaborada con presupuesto público, lo anterior salvo que concurra a su respecto, alguna de las causales de reserva establecidas en la Constitución o en la ley. 5) Que el órgano reclamado, en su respuesta, argumenta la concurrencia de la causal de secreto o reserva establecida en el artículo 21 N° 4 de la Ley de Transparencia, puesto que considera que otorgar acceso a lo pedido afectaría el interés nacional que subyace en la debida protección de los intereses económicos del país. En este punto, cabe hacer presente que la reserva de la información pública, es de derecho estricto, de esta forma, cuando se invoca una circunstancia que exima de la obligación de entregarla corresponde al órgano respectivo acreditar fehacientemente los hechos que configuran la hipótesis de excepción invocada, lo que no ha ocurrido en la especie. En consecuencia se descartará su concurrencia en el presente caso. 6) Que, respecto de la interpretación de la causal de reserva alegada, la jurisprudencia de este Consejo ha establecido que ésta sólo puede configurarse en la medida que los esfuerzos que supone la búsqueda o eventualmente la sistematización y posterior entrega de lo pedido demanden esfuerzos de tal entidad, que entorpezcan el normal o debido funcionamiento del organismo. Resumiendo este criterio, la decisión de amparo Rol C377-13, razonó que "la causal en comento depende ya no tanto de la naturaleza de lo pedido, sino más bien de cada situación de hecho en términos de los esfuerzos desproporcionados que involucraría entregar lo solicitado". Por ende, la configuración de la causal supone una ponderación de hecho sobre los aspectos que configuran tales esfuerzos, entre ellos el volumen de información, relación entre funcionarios y tareas, tiempo estimado o costo de oportunidad, entre otras, circunstancias que se estima no concurren en la especie. 7) Que, en dicho contexto, cabe tener presente lo señalado por la Excma. Corte Suprema, en su sentencia recaída en el recurso de queja Rol N° 6663-2012, de 17 de enero de 2013, en orden a que "la reserva basada en el debido ejercicio de las funciones del órgano deberá explicarse pormenorizadamente y probarse de modo fehaciente de qué manera el control ciudadano reflejado en la solicitud [de acceso] podría afectar el debido cumplimiento de las funciones (...), mencionarse las atribuciones precisas que la revelación de la información le impediría o entorpecería de cumplir debidamente (...), sin que basten para estos efectos meras invocaciones generales". En la especie, a juicio de este Consejo, éste no ha sido el estándar demostrado por el órgano reclamado. 8) Que, en atención a lo señalado en los considerandos anteriores, este Consejo considera que la argumentación de la Dirección de Presupuestos, carece de la suficiencia necesaria para acreditar la distracción indebida alegada, pues no proporciona elementos de convicción cuya precisión tornen plausible dicha hipótesis de reserva, por lo tanto, se descartará la concurrencia de la causal de reserva alegada. 9) Que, finalmente, el órgano reclamado alega la concurrencia de la causal de secreto o reserva establecida en el artículo 21 N° 1 de la Ley de Transparencia, puesto que la divulgación de los códigos fuentes pedidos haría posible que terceros ajenos a la institución puedan acceder al sistema consultado, así como también, a modificarlo o alterarlo, poniendo en riesgo el debido cumplimiento de sus funciones, pues lo hace susceptible a intromisiones indebidas. Así, este Consejo a objeto de analizar el nivel de riesgo o vulnerabilidad que generaría para la Dirección de Presupuestos la entrega de los códigos fuente pedidos, realizó gestión oficiosa a que se refiere el N° 6 de la parte expositiva de la presente decisión. En atención a las respuestas proporcionadas por el órgano requerido a cada una de las consultas efectuadas en la citada gestión oficiosa, puede concluirse lo siguiente sobre el sistema SIGFE: a) Es del tipo Extranet, es decir, debe contar con las medidas de seguridad apropiadas para su uso por parte de las demás reparticiones públicas. b) No ha sido desarrollado en la modalidad de código abierto, por lo cual, no ha sido modelado desde la perspectiva de compartir código. c) Si bien informan que no administra datos personales, puede contener aquellos como por ejemplo en la administración de usuarios. Sin perjuicio de lo anterior, al estar construido por capas, si dichos antecedentes se almacenaran en su base, se podrían eliminar para la posterior entrega del código fuente. d) La versión 2.0. solicitada data del año 2011, por lo tanto, la modalidad de codificación debería estar orientada a la seguridad, acorde a la tecnología de programación moderna. e) La tecnología y arquitectura del sistema cumpliría, desde el punto de vista informático, con las buenas prácticas y recomendaciones de la ingeniería de software. f) Si bien se informa que el sistema no guarda las contraseñas, en el evento de que así ocurriera por ejemplo, con las contraseñas de usuarios o de acceso, entre otras, éstas pueden ser eliminadas para la posterior entrega de código fuente. 8) Que, de acuerdo a lo señalado precedentemente, el conocimiento del lenguaje de programación del sistema consultado no permitiría establecer una directa conexión con eventuales ataques informáticos que pudieren vulnerarlo, por cuanto conocer su código fuente no importa necesariamente que quien accede a dicha información, pueda atacarlo y vulnerarlo. Esto, por cuanto dicho sistema, de acuerdo a lo informado por el órgano reclamado, estaría dotado de defensas y mecanismos de seguridad que lo hace menos vulnerable a intromisiones indebidas, reduciendo significativamente tales riesgos, de manera tal que el solo conocimiento de la información solicitada no permite establecer un vínculo de causalidad manifiesto entre dicho acceso y la posibilidad de efectuar ataques a su funcionamiento, que pueda afectar el cumplimiento regular de las funciones habituales de la Dirección de Presupuestos. 9) Que, atendidas las consideraciones antes expuestas, y de acuerdo a los antecedentes examinados, particularmente la información proporcionada por el órgano requerido acerca del sistema consultado, sobre su construcción de seguridad y resguardo, este Consejo estima que procede la entrega del código fuente pedido, debiendo resguardarse, de ser procedente, las referencias a datos personales que pudiere contener, en particular, en la administración de usuarios, así como también, las contraseñas de usuarios o de acceso, entre otras. 10) Que, en consecuencia, se acogerá el amparo requiriendo la entrega de lo pedido, en los términos y con las prevenciones señaladas. En el mismo sentido, se pronunció este Consejo en decisiones de amparos roles C591-13 y C937-15, respecto de solicitudes de acceso a códigos fuentes de diversos programas computacionales. EL CONSEJO PARA LA TRANSPARENCIA, EN EJERCICIO DE LAS FACULTADES QUE LE OTORGAN LOS ARTÍCULOS 24 Y SIGUIENTES Y 33, LETRA B), DE LA LEY DE TRANSPARENCIA Y POR LA UNANIMIDAD DE SUS MIEMBROS PRESENTES, ACUERDA: I. Acoger el amparo interpuesto por don Christian Fingerhuth en contra de la Dirección de Presupuestos, por los fundamentos señalados precedentemente. II. Requerir al Sr. Director de Presupuestos: a) Entregue al reclamante copia del código fuente del sistema de información para la gestión financiera del Estado - SIGFE-, versión 2.0., debiendo resguardarse, en el evento de ser procedente, las referencias a datos personales que pudiere contener, en particular, en la administración de usuarios, así como también, las contraseñas de usuarios o de acceso, entre otras. b) Cumplir dicho requerimiento en un plazo que no supere los 10 días hábiles contados desde que la presente decisión quede ejecutoriada, bajo el apercibimiento de lo dispuesto en el artículo 46 de la Ley de Transparencia. c) Acreditar la entrega efectiva de la información señalada en el literal a) precedente, en conformidad a lo establecido en el inciso segundo del artículo 17 de la Ley de Transparencia, por medio de comunicación enviada al correo electrónico cumplimiento@consejotransparencia.cl, o a la Oficina de Partes de este Consejo (Morandé N° 360, piso 7°, comuna y ciudad de Santiago), de manera que esta Corporación pueda verificar que se dio cumplimiento a las obligaciones impuestas en la presente decisión en tiempo y forma. III. Encomendar al Director General y a la Directora Jurídica de este Consejo, indistintamente, notificar el presente acuerdo a don Christian Fingerhuth y al Sr. Director de Presupuestos. En contra de la presente decisión procede la interposición del reclamo de ilegalidad ante la Corte de Apelaciones del domicilio del reclamante en el plazo de 15 días corridos, contados desde la notificación de la resolución reclamada, de acuerdo a lo prescrito en el artículo 28 y siguientes de la Ley de Transparencia. Con todo, los órganos de la Administración del Estado no podrán intentar dicho reclamo en contra de la resolución del Consejo que otorgue el acceso a la información solicitada, cuando su denegación se hubiere fundado en la causal del artículo 21 N° 1 de la Ley de Transparencia. Además, no procederá el recurso de reposición establecido en el artículo 59 de la ley N° 19.880, según los fundamentos expresados por este Consejo en el acuerdo publicado en el Diario Oficial el 9 de junio de 2011. Pronunciada por el Consejo Directivo del Consejo para la Transparencia, integrado por su Presidente don Marcelo Drago Aguirre y sus Consejeros doña Gloria de la Fuente González, don Jorge Jaraquemada Roblero y don Francisco Leturia Infante. Por orden del Consejo Directivo, certifica la Directora Jurídica del Consejo para la Transparencia doña Andrea Ruiz Rosas.