<p>
<strong>DECISIÓN AMPARO ROL C836-12</strong></p>
<p>
Entidad pública: Superintendencia de Valores y Seguros</p>
<p>
Requirente: Marco Antonio Correa Pérez</p>
<p>
Ingreso Consejo: 06.06.2012</p>
<p>
En sesión ordinaria Nº 391 del Consejo Directivo, celebrada el 23 de noviembre de 2012, con arreglo a las disposiciones de la Ley de Transparencia de la Función Pública y de Acceso a la Información de la Administración del Estado, en adelante, Ley de Transparencia, aprobada por el artículo primero de la Ley Nº 20.285 de 2008, el Consejo para la Transparencia, en adelante indistintamente el Consejo, ha adoptado la siguiente decisión respecto de la solicitud de amparo al derecho de acceso a la información Rol C836-12.</p>
<h3>
VISTO:</h3>
<p>
Los artículos 5º, inc. 2º, 8º y 19 Nº 12 de la Constitución Política de la República; las disposiciones aplicables de las Leyes Nº 20.285 y Nº 19.880; lo previsto en el D.F.L. Nº 1-19.653, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la Ley Nº 18.575; y los D.S. Nº 13/2009 y Nº 20/2009, ambos del Ministerio Secretaría General de la Presidencia, que aprueban, respectivamente, el Reglamento del artículo primero de la Ley Nº 20.285, en adelante el Reglamento, y los Estatutos de Funcionamiento del Consejo para la Transparencia.</p>
<h3>
TENIENDO PRESENTE:</h3>
<p>
1) SOLICITUD DE ACCESO: El 23 de abril de 2012, don Marco Antonio Correa Pérez solicitó a la Superintendencia de Valores y Seguros, en adelante indistintamente SVS, la siguiente información:</p>
<p>
a) Proporcionar información relativa a los servicios que la SVS, ofrece, vende y factura a terceros, respecto a datos que la institución posee para períodos 2009, 2010 y 2011, detallado mensualmente en valores netos, IVA y Bruto, según el siguiente detalle:</p>
<p>
i. Venta de datos provenientes de bases de datos propias, desagregada por tipo de base de datos.</p>
<p>
ii. Venta de manuales y documentos impresos.</p>
<p>
b) Proporcionar detalle de bases de datos y tipo de información ofrecida, indicando para cada una de ellas el tipo de información ofertada, considerar inventario de datos al 31.12.2011.</p>
<p>
c) Proporcionar detalle de empresas clientes que adquieren la información a nivel de RUT para el periodo 2011, adicionando el siguiente detalle: Cantidad de datos adquiridos en el 2011 y bases de datos consultadas y vendidas.</p>
<p>
d) Proporcionar detalle de funcionarios de la SVS, que son clientes y compraron servicios, datos u otro material disponible a venta para el año 2011, detallando montos facturados mensualmente para el año indicado.</p>
<p>
e) Proporcionar modelo de datos relacional y sistemas que involucran a todas las bases de datos de la SVS, de las cuales se extraen, procesan y almacenan datos para ser comercializados a clientes (internos y externos), detallando:</p>
<p>
i. Diccionario de tablas de datos (especificar nombre nemotécnico y normal).</p>
<p>
ii. Para cada tabla de la letra i) antes indicada, proporcionar el diccionario de datos.</p>
<p>
iii. Detalle de arquitectura de relaciones de cada base de datos del numeral i) antes indicado.</p>
<p>
f) Proporcionar la política de Administración de acceso de cuentas de usuario de la SVS, para los usuarios que acceden a la información almacenada en las bases de datos de la SVS, detallando:</p>
<p>
i. Perfiles asignados en el año 2009, 2010 y 2011, diferenciando entre usuarios internos y externos de la SVS;</p>
<p>
ii. Detalle de bases de datos permitidas acceder por usuario o perfil de usuario, para cada caso solicitado;</p>
<p>
iii. Modos de acceso permitidos (escritura, lectura, modificación, eliminación), para cada uno de los usuarios o perfiles solicitados en el numeral i).</p>
<p>
g) Proporcionar cantidad de auditorías efectuadas al área de informática de la SVS, respecto a las actividades de control establecidas para:</p>
<p>
i. Cumplimiento de los niveles de seguridad (integridad-disponibilidad y confidencialidad);</p>
<p>
ii. Cumplimiento de leyes que regulen la privacidad de los datos.</p>
<p>
2) RESPUESTA: El 17 de mayo de 2012, la Superintendencia de Valores y Seguros respondió a dicho requerimiento de información mediante Oficio N° 12.419, señalando, en síntesis, que:</p>
<p>
a) Respecto a los literales a), b), c) y d), adjunta copia del oficio N°12.139 de 15 de mayo de 2012, por el que se le remitió esa información.</p>
<p>
b) En cuanto a los literales e) y f), deniega la entrega de lo solicitado, atendido lo señalado en el artículo 21 N° 1 de la Ley de Transparencia, y en el Decreto Supremo N° 83 del Ministerio Secretaría General de la Presidencia, que se refiere a la norma técnica sobre seguridad y confidencialidad del documento electrónico para los órganos de la Administración del Estado. Agrega que la información que se requiere, conlleva un riesgo de acceso no autorizado a los documentos electrónicos y sistemas informáticos del órgano, así como una debilidad en el control del acceso a sus servicios mediante el uso de identificadores. La entrega de dicha información haría vulnerables sus bases de datos y sistemas, al tipo de amenazas a que se refiere el Decreto Supremo N° 83, toda vez que las medidas de seguridad que se han adoptado para el manejo de esa información, así como las restricciones de acceso, pasan a ser conocidas y por lo mismo vulnerables e ineficientes.</p>
<p>
c) En cuanto al literal g), informa que se hizo una auditoría a comienzos de este año.</p>
<p>
3) AMPARO: El 6 de junio de 2012, don Marco Antonio Correa Pérez dedujo amparo a su derecho de acceso a la información en contra del señalado órgano de la Administración del Estado, fundado en que el órgano reclamado denegó la entrega de la información requerida en los literales e) y f) de su solicitud de información.</p>
<p>
4) DESCARGOS Y OBSERVACIONES DEL ORGANISMO: El Consejo Directivo de este Consejo acordó admitir a tramitación este amparo, trasladándolo Sr. Superintendente de Valores y Seguros, mediante Oficio N° 2180 de 18 de junio de 2012, quien mediante Oficio N° 16.201 de 3 de julio de 2012 presentó sus descargos y observaciones, señalando, en síntesis que:</p>
<p>
a) Le denegación se funda en que si bien no se estaría solicitando una cuenta de usuario o un perfil específico que permita al requirente acceder a los sistemas informáticos o documentos electrónicos, la sola circunstancia de que una persona acceda a dicho nivel de información, hace que los sistemas informáticos de la SVS sean mucho más vulnerables ante ataques o intrusiones informáticas. Ello se basa en que cualquier usuario que cuenta con dicha información, que vulnere los sistemas de seguridad y cortafuegos que la SVS utiliza, puede llegar a acceder a información restringida, así como también causar serios daños a la información contenida en las bases de datos del órgano. Si bien el nivel de probabilidad de ocurrencia del evento mencionado puede estimarse moderado, el nivel de impacto en el caso de ocurrir un hecho de la naturaleza mencionada es mayor, por lo que difundir ese tipo de información genera un riesgo cuyo nivel severidad es extremo.</p>
<p>
b) De entregarse la información que se solicita, se afectarían las medidas y prácticas de seguridad vigentes, necesarias para el resguardo de la información, contenidos en el punto 10.7.4 sobre seguridad de la documentación de sistemas, de la norma chilena oficial nch-iso 27002.0f2009, así como en diversos textos reglamentarias relativas a esta materia, tales como el Decreto N° 181, Reglamento de la Ley N° 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma, el Decreto N° 77 que aprueba norma técnica sobre eficiencia de las comunicaciones electrónicas entre órganos de la administración del Estado y entre estos y los ciudadanos, y el Decreto N° 81, de 2004, del Ministerio Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la administración del Estado sobre interoperabilidad de documentos electrónicos, acorde con el cual el manejo de los documentos electrónicos deberá hacerse teniendo en consideración condiciones mínimas de seguridad y, en todo caso, dando pleno cumplimiento a las normas técnicas especiales que se fijen para la seguridad y confidencialidad de éstos.</p>
<p>
c) Finalmente, hace presente que la información requerida excede el artículo 5° y 10 de la Ley de Transparencia, toda vez que no es información almacenada en sus bases de datos sino las barreras de seguridad que se estructuran para resguardar la información almacenada. Por ello, y como lo que se pretende es acceder a la seguridad de los sistemas informáticos de almacenamiento de información, resulta aplicable la causal del artículo 21 número 1 de la Ley de Transparencia, toda vez que la publicidad, comunicación o conocimiento de la información afecta el debido cumplimiento de las funciones de este Servicio, al hacer vulnerables las barreras de seguridad contempladas para la protección de la información almacenada en sus bases de datos.</p>
<p>
5) MEDIDA PARA MEJOR RESOLVER: Con el objeto de resolver adecuadamente el presente amparo, el Consejo Directivo, en sesión ordinaria N° 383, celebrada el 24 de octubre de 2012, acordó requerir al Sr. Superintendente de Valores y Seguros, lo siguiente:</p>
<p>
a) Explicar detalladamente de qué manera la revelación de la información que se deniega podría dar lugar a la ocurrencia de un riesgo de acceso no autorizado a sus sistemas informáticos, como los que ha expresado en sus descargos.</p>
<p>
b) Si acaso estima, luego de un nuevo análisis de la información solicitada en los literales e) y f), que alguna parte de ésta no se encuentra sujeta a la causal de reserva invocada y, en consecuencia, es susceptible de ser entregada en virtud del principio de divisibilidad.</p>
<p>
c) Informar los mecanismos de aseguramiento de que dispone su servicio para evitar la ocurrencia de riesgos como los descritos y, particularmente, que eviten la inyección de código.</p>
<p>
6) CUMPLIMIENTO DE MEDIDA PARA MEJOR RESOLVER: El organismo requerido mediante el Ordinario N° 26.257, fechado el 7 de noviembre de 2012, dio respuesta a la medida indicada en el numeral anterior, en los siguientes términos:</p>
<p>
a) En relación a la información descrita en el literal e) de la solicitud, señala que habiendo realizado un nuevo análisis y en virtud del principio de divisibilidad, ha considerado que, aun teniendo presente las recomendaciones de seguridad entregada por la normas vigentes y los riesgos involucrados, es posible acceder a la entrega de esa información, en la forma que se encuentra disponible y cuya copia adjunta. Agrega que ese Servicio no posee la información tal como ha sido solicitada, pero se adjuntan los archivos que existen en el catálogo de datos en relación a la información a que se refiere el precitado literal de la solicitud, y la indicación circular que define los nombres de los campos utilizados.</p>
<p>
b) En relación a la información descrita en el literal f) de la solicitud, señala que no cuenta con los datos para los años que el ciudadano solicita, sino que dispone de la información vigente a esta fecha, la que en virtud de las razones que a continuación expresa, es necesario mantener en carácter de confidencial.</p>
<p>
c) Dentro de las vulnerabilidades humanas de origen interno y externo a la institución, es posible considerar todas aquéllas que puedan ser exploradas por amenazas tales como invasiones o intromisiones de manera forzada a un sistema o a una red. En el evento de que una persona logre vulnerar los sistemas de seguridad y cortafuegos que utiliza el órgano y logra tomar control de un servidor interno, el hecho de conocer en su conjunto la información solicitada en el literal f), numerales i, ii y iii, le facilita enormemente la posibilidad de acceder y/o modificar información de las bases de datos, puesto que puede centrar su esfuerzo en quebrar las claves de los usuarios (dado que los usuarios ya los tiene), utilizando para ello un ataque conocido como "fuerza bruta", que consiste en tratar de conectarse a una cuenta "probando" todas las combinaciones posibles de contraseña en forma sistemática y secuencial.</p>
<p>
d) Si bien es cierto, la SVS está permanente resguardando la seguridad de la información, con la implantación de buenas prácticas, no es menos cierto que los continuos ataques que sufren instituciones de gran tamaño y prestigio tanto nacionales como internacionales, de las cuales se presume que también han adoptado las mejores prácticas e integrado dispositivos para controlar la seguridad, lleva a la institución a ser cada vez más cuidadosa con los permisos que se otorgan y con la información que se entrega en relación a la seguridad de la información en la institución.</p>
<p>
e) Finalmente, se refiere a las buenas prácticas que ha adoptado en relación a los mecanismos de aseguramiento de que dispone para evitar la ocurrencia de riesgos como los descritos y, particularmente, que eviten la inyección de código.</p>
<h3>
Y CONSIDERANDO:</h3>
<p>
1) Que, conforme a lo planteado en su amparo por el recurrente, el presente análisis se encuentra circunscrito a la entrega de la información contenida en los literales e) y f) de la solicitud, relativos al “modelo de datos relacional y sistemas que involucran a todas las bases de datos de la SVS, de las cuales se extraen, procesan y almacenan datos para ser comercializados a clientes (internos y externos)” y a la ”Política de Administración de acceso de cuentas de usuario de la SVS, para los usuarios que acceden a la información almacenada en las bases de datos de la SVS”, respectivamente.</p>
<p>
2) Que, la Superintendencia de Valores y Seguros sólo con ocasión de la medida para mejor resolver –descrita en el numeral 5° de lo expositivo-, remitió a este Consejo la información que obra en su poder para dar respuesta al precitado literal e). Asimismo, sólo en virtud de la precitada medida, informó que, respecto del literal f) de la solicitud, no contaba con la información relativa al período solicitado (años 2009, 2010 y 2011). En tal contexto, no resulta posible requerir al organismo reclamado la entrega de la información solicitada por el peticionario, en tanto la misma, como se ha indicado, no obra en su poder.</p>
<p>
3) Que, con todo, cabe señalar que la información detallada en el considerando anterior fue otorgada en exceso del plazo legal contemplado en el artículo 14 de la Ley de Transparencia, por lo que se deberá representar al órgano, la infracción a la precitada disposición y al principio de oportunidad consagrado en el artículo 11, letra h) del cuerpo legal citado, sin perjuicio de tener por entregados tales antecedentes de forma extemporánea, habiéndose satisfecho por consiguiente, el objeto del requerimiento.</p>
<p>
4) Que, por aplicación del principio de facilitación consagrado en el artículo 11, literal f) de la Ley de Transparencia, se remitirá al solicitante conjuntamente con la notificación de la presente decisión, copia de los antecedentes acompañados por la reclamada a este Consejo, con ocasión del cumplimiento de la medida para mejor resolver.</p>
<h3>
EL CONSEJO PARA LA TRANSPARENCIA, EN EJERCICIO DE LAS FACULTADES QUE LE OTORGAN LOS ARTÍCULOS 24 Y SIGUIENTES Y 33 LETRA B) DE LA LEY DE TRANSPARENCIA, Y POR LA UNANIMIDAD DE SUS MIEMBROS PRESENTES, ACUERDA:</h3>
<p>
I. Acoger parcialmente el amparo deducido por don Marco Antonio Correa Pérez, en contra de la Superintendencia de Valores y Seguros, en virtud de los fundamentos expuestos precedentemente.</p>
<p>
II. Representar al Sr. Superintendente de Valores y Seguros, que al no haber dado respuesta a la solicitud de información del requirente de conformidad al artículo 14 de la Ley de Transparencia, ha vulnerado dicha disposición, y asimismo, ha transgredido el principio de oportunidad, debiendo adoptar la medidas administrativas que sean necesarias para que, en lo sucesivo, dé respuesta a las solicitudes de información que reciba de conformidad a la norma citada.</p>
<p>
III. Encomendar al Director General y al Director Jurídico de este Consejo, indistintamente, notificar la presente decisión al Sr. Superintendente de Valores y Seguros y a don Marco Antonio Correa Pérez, remitiéndole a éste último copia de de los documentos adjuntos acompañados por la reclamada en esta sede con ocasión del cumplimiento de la medida para mejor resolver.</p>
<p>
En contra de la presente decisión procede la interposición del reclamo de ilegalidad ante la Corte de Apelaciones del domicilio del reclamante en el plazo de 15 días corridos, contados desde la notificación de la resolución reclamada, de acuerdo a lo prescrito en el artículo 28 y siguientes de la Ley de Transparencia. En cambio, no procederá el recurso de reposición establecido en el artículo 59 de la Ley Nº 19.880, según los fundamentos expresados por este Consejo en el acuerdo publicado en el Diario Oficial el 9 de junio de 2011.</p>
<p>
Pronunciada por el Consejo Directivo del Consejo para la Transparencia, integrado por su Presidente don Alejandro Ferreiro Yazigi y por los Consejeros doña Vivianne Blanlot Soza y don José Luis Santa María Zañartu. Se deja constancia que el Consejero don Jorge Jaraquemada Roblero no concurre al presente acuerdo.</p>
<p>
</p>
<p>
Por orden del Consejo Directivo, certifica el Director Jurídico del Consejo para la Transparencia, don Enrique Rajevic Mosler.</p>
<p>
</p>