La Coordinación de la Estrategia Digital Nacional de la Presidencia (CEDN) dio a conocer el Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la Administración Pública Federal -APF- (Política TIC) a través de la Comisión Nacional de Mejora Regulatoria (CONAMER) el 5 de agosto. Asimismo, advertimos que se otorgó la excepción a consulta pública (Exención de AIR). La ALAI desea manifestar que dicho documento incluye disposiciones muy preocupantes con respecto a la localización forzada de datos y la indicación a las dependencias y entidades de la APF de privilegiar la celebración de contratos de adquisiciones con base en los Contratos Marco ya vigentes. Estas disposiciones, de aplicación obligatoria por parte de la APF, serían contrarias a diversos cuerpos normativos, incluido marcadamente el Tratado México-Estados Unidos-Canadá (TMEC) en materia de prohibición de localización forzada de servidores, en materia de contrataciones públicas, trato nacional, y competencia económica. Esta Política TIC incluye disposiciones sobre temas que no han sido abordados con la industria y que tienen implicaciones negativas significativas. Como se expresa en el anexo del presente escrito, desafortunadamente dichas disposiciones son contrarias a los propósitos de neutralidad tecnológica y competencia, inclusión digital y competitividad que debieran regir en una estrategia digital nacional. Lamentamos que los temas a los que nos referiremos en el presente escrito, no hayan sido puestos a consulta del público para su conocimiento previo, argumentando que se trata de una regulación que requiere actualización periódica y no implica costos de cumplimiento para particulares. En nuestra opinión, lo anterior contraviene los principios de transparencia, máxima publicidad y gobierno abierto que rigen a nuestro sistema jurídico. En particular, manifestamos nuestra particular preocupación en relación con los siguientes temas: Privilegiar el alojamiento de información en territorio nacional. Privilegiar la realización de contratos específicos que deriven de contratos marco vigentes. Estos dos puntos se desarrollan a profundidad en el Anexo del presente escrito. Sin embargo, quisiéramos desde aquí resaltar los temas principales: Dichas disposiciones parten del supuesto de que el “privilegiar” el alojamiento de información en territorio nacional concede un mejor estándar de protección y seguridad y que al celebrar contratos derivados de Contratos Marco se están asegurando mejores condiciones al Estado. Lo anterior es falso, ya que la seguridad y privacidad de la información no dependen del lugar o territorio en el que ésta se procese, sino de los controles de seguridad y privacidad que se apliquen a ella. Los requisitos de tratamiento local de información impiden la adopción óptima de soluciones en la nube, cuya lógica económica se basa en la capacidad de ubicuidad y escalabilidad de las soluciones a nivel global. Asimismo, el establecimiento del citado “privilegio” es una disposición que afecta la competencia económica en el sector, ya que otorga una ventaja a un número limitado de compañías –aquellas con oferta de procesamiento de datos en territorio nacional–, en perjuicio de cualesquiera otra que puede otorgar los mismos servicios pero cuya infraestructura se encuentra en el extranjero. Lo anterior infringe la obligación constitucional del Estado Mexicano de asegurar condiciones de competencia efectiva, así como el principio de neutralidad tecnológica. Este último es un principio esencial para promover la coexistencia e interoperabilidad de todas las tecnologías y agentes económicos del sector, de tal modo que la regulación no excluya, restrinja o favorezca a algún agente económico en particular. Estas disposiciones también constituyen una violación a los Tratados Internacionales que en materia comercial ha celebrado el Estado Mexicano, particularmente a las normas en materia de trato nacional y no discriminación tratándose de compras gubernamentales Al respecto el Tratado entre México, Estados Unidos y Canadá (TMEC), establece en su Artículo 13.4, numeral 1, el principio de que, en materia de Contratación Pública, las Partes otorgarán de manera “inmediata” e “incondicionalmente” a las mercancías y servicios de la otra Parte y sus proveedores, un trato no menos favorable que los que otorga a sus mercancías, servicios y proveedores nacionales. Asimismo, en el inciso (b) del numeral 2, establece que no se deberá discriminar a un proveedor con base en que la mercancía o servicio que proporciona es de la otra Parte. Además de lo anterior, se vulneran el Artículo 13.11, Especificaciones Técnicas, el cual establece que en materia de contrataciones públicas una entidad contratante, en este caso las dependencias y entidades de la Administración Pública Federal, no pueden establecer una especificación con el propósito de crear un obstáculo innecesario al comercio entre las Partes. Por otra parte, el Artículo 19.12 del mencionado TMEC, establece que ninguna Parte podrá exigir a una persona cubierta usar o ubicar las instalaciones informáticas en el territorio de esa Parte, como condición para la realización de negocios en ese territorio. ANEXO Privilegio al procesamiento de datos en territorio nacional En el documento de referencia, se señala lo siguiente: Artículo 3.- Para todos los proyectos institucionales que comprendan servicios e implementaciones tecnológicas y de seguridad de la información, la persona titular de la UTIC deberá atender las siguientes políticas y disposiciones generales: … II. Privilegiar la realización de contratos específicos que deriven de contratos marco vigentes, o la realización de contrataciones consolidadas y licitaciones públicas que garanticen las mejores condiciones para el Estado; … V. Privilegiar el alojamiento de la información en territorio nacional y en instalaciones del Estado. Artículo 46.- Las Instituciones deberán privilegiar la operación de Centros de Datos gubernamentales; en caso de no contar con Centros de Datos propios será posible solicitar a otra Institución, preferentemente de su mismo sector, recursos tecnológicos para el alojamiento de su infraestructura, para lo cual deberán formalizarse los instrumentos de colaboración que resulten necesarios. En caso de no contar con esta disponibilidad, podrán contratarse servicios de Centros de Datos a terceros, procurando que la información se aloje en territorio nacional. En casos específicos, podrá requerirse la contratación de Servicios en la Nube Pública, en este supuesto, deberán aportarse datos que justifiquen la contratación, dentro del Estudio de Factibilidad. Artículo 69.- Los aplicativos de cómputo que operen sobre datos críticos, confidenciales o sensibles, deberán garantizar que el procesamiento y transferencia de la información se realice a través de mecanismos que garanticen su seguridad e integridad, como priorizar su alojamiento en territorio nacional. Para ello, deberán atender los Estándares Técnicos emitidos por la CEDN, la legislación en materia de protección de datos personales y las disposiciones que sean emitidas en materia de Seguridad Nacional. Estas disposiciones parecen asumir que darle privilegio al alojamiento de información en territorio nacional concede un mejor estándar de protección a la información por ser alojada en territorio nacional. Lo anterior es erróneo, por ende destacamos el rechazo a establecer dicho privilegio por los siguientes argumentos. Los requisitos de tratamiento local de información impiden naturalmente la adopción óptima de soluciones en la nube, cuya lógica económica se basa en la capacidad de ubicuidad y escalabilidad de las soluciones a nivel global, dado que se busca que la información se encuentre disponible replicada en múltiples copias en múltiples servidores de manera congruente y consistente entre sí para facilitar su acceso; y cercana al usuario que consulte o requiera dicha información por criterios de economía y eficiencia en la topología de las redes, más que por criterios de jurisdicción nacional. La ubicuidad global de la información habilitada por la multiplicidad de instancias –servidores con copias múltiples de la misma información–, permiten que los servicios en la nube sean resilientes a fallos por congestión (como los ocasionados por los ataques de denegación de servicio), y que la información se encuentre disponible de manera continua, para seguridad de los usuarios y mayor valor en el servicio ofrecido. En el marco de la ley mexicana y de otras legislaciones pertinentes en materia, la seguridad y privacidad de la información no dependen del lugar o territorio en el que ésta se procese, sino de los controles de seguridad y privacidad que se apliquen a ella. Es por ello que el propio Tratado México-Estados Unidos-Canadá (TMEC) ha establecido de manera clara (tanto en el Capítulo de Comercio Digital como en el de Servicios Financieros) la prohibición de localización forzada de datos y otras restricciones al libre flujo transfronterizo de datos. Así, prohíbe el establecimiento de obligaciones que impliquen requerir que una empresa use o ubique instalaciones informáticas en una cierta región o país, así como el establecimiento de “restricciones al flujo transfronterizo de información”. El tratado ayuda a asegurar que se garantice el libre flujo transfronterizo de información y a que los límites respecto del lugar específico en el que los datos pueden ser resguardados o procesados se minimice. Esto claramente protege y beneficia al ecosistema digital, al tiempo que no descuida la protección de la privacidad. Lo anterior se expone en las consideraciones puntuales siguientes: La seguridad y privacidad de la información no dependen del lugar o territorio en el que ésta se procese, sino de los controles de seguridad y privacidad que se apliquen a ella. Ningún instrumento jurídico debe requerir el tratamiento de la información en una ubicación determinada, salvo excepciones muy puntuales y justificadas (por ejemplo, para tratar información de seguridad nacional). Esta postura de industria está expresada en el documento Agenda Digital Nacional 2018 “Beneficios digitales para todos”, publicado por tres relevantes asociaciones de industria (CANIETI, AMITI y Asociación de Internet MX) y la consultora CIU, que indica como recomendaciones clave para el desarrollo digital de México, los siguientes aspectos: 46. Reconocer la ubicuidad de la información y, por lo tanto, que la seguridad y privacidad de la información no depende del lugar o territorio en el que ésta se albergue, de modo que los controles de seguridad y privacidad se apliquen con total independencia de la localización específica de dicha información. Este principio debe ser aplicable a todos los sectores económicos, incluyendo servicios financieros. 47. Por lo tanto, no requerir el tratamiento forzoso de la información en una ubicación determinada (es decir, en servidores localizados en determinado lugar o territorio), salvo excepciones muy puntuales y justificadas. La legislación mexicana en la materia es consistente con esta postura y no requiere el tratamiento local de información para servicios en la nube. De manera correcta, la legislación mexicana (i) requiere el establecimiento de altos y diversos controles de seguridad y privacidad de la información; (ii) no requiere el tratamiento local de información, y permite su tratamiento en igualdad de condiciones en cualquier territorio en la medida en que cumpla con las medidas de seguridad y privacidad, bastando para ello conocer la ubicación de los servidores y de la información: Régimen aplicable a información en general (no solamente datos personales): a.1.) El artículo 62 de la Ley General de Archivos requiere a las instituciones públicas que gestionen archivos electrónicos en la nube, a observar determinados controles de seguridad y privacidad de la información, ninguno de los cuales incluye privilegio, preferencia o requisito alguno en materia de tratamiento local de información (énfasis añadido en el siguiente texto): “Artículo 62. Los sujetos obligados podrán gestionar los documentos de archivo electrónicos en un servicio de nube. El servicio de nube deberá permitir: I. Establecer las condiciones de uso concretas en cuanto a la gestión de los documentos y responsabilidad sobre los sistemas; II. Establecer altos controles de seguridad y privacidad de la información conforme a la normatividad mexicana aplicable y los estándares internacionales; III. Conocer la ubicación de los servidores y de la información; IV. Establecer las condiciones de uso de la información de acuerdo con la normativa vigente; V. Utilizar infraestructura de uso y acceso privado, bajo el control de personal autorizado; VI. Custodiar la información sensible y mitigar los riesgos de seguridad mediante políticas de seguridad de la información; VII. Establecer el uso de estándares y de adaptación a normas de calidad para gestionar los documentos de archivo electrónicos; VIII. Posibilitar la interoperabilidad con aplicaciones y sistemas internos, intranets, portales electrónicos y otras redes, y IX. Reflejar en el sistema, de manera coherente y auditable, la política de gestión documental de los sujetos obligados.” a.2.) Los numerales Trigésimo Segundo y Trigésimo Tercero de los Lineamientos para la Organización y Conservación de los Archivos, expedidos por el Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, de observancia obligatoria para todas las instituciones públicas, requiere a las instituciones públicas que usen servicios en la nube, a observar determinados controles de seguridad y privacidad de la información, ninguno de los cuales incluye privilegio, preferencia o requisito alguno en materia de tratamiento local de información (énfasis añadido en los siguientes textos): “Trigésimo Segundo. Los servicios de almacenamiento y gestión de archivos en la nube, podrán ser usados por los Sujetos obligados debiendo tomar en cuenta lo siguiente: I. Garantizar la seguridad y evitar el acceso no autorizado a la información; II. Se utilicen estándares de arquitectura de datos que permitan el uso, conservación y seguridad de documentos a largo plazo, interoperabilidad y esquemas de metadatos personalizados; III. Las condiciones de uso del servicio contratado prevean la desaparición de prestador de servicios con o sin aviso para evitar la pérdida de toda la información almacenada, y IV. Los prestadores de servicios se rijan por la normatividad mexicana aplicable, con independencia de la ubicación geográfica de los servidores o la sede del prestador de servicios.” “Trigésimo tercero. Los sujetos obligados podrán gestionar los documentos de archivo electrónicos en un servicio de nube privada, entendida ésta como un servicio no compartido por terceros, permitiendo: I. Establecer las condiciones de uso concretas en cuanto a la gestión de los documentos y responsabilidad de los sistemas; II. Conocer la ubicación de los servidores y de la información; III. Establecer las condiciones de uso de la información de acuerdo con la normativa vigente; IV. Utilizar infraestructura de uso, acceso privado, bajo el control de personal autorizado; V. Custodiar la información sensible y mitigar los riegos de seguridad mediante políticas de seguridad de la información; VI. Establecer el uso de estándares y adaptación a normas de calidad para gestionar los documentos de archivo electrónicos; VII. Posibilitar la integración con aplicaciones y sistemas internos intranets, portales institucionales y otras redes; VIII. Reflejar en el sistema, de manera coherente y auditable, la política de gestión documental e información de los Sujetos obligados, y IX. Propiciar un repositorio centralizado de información institucional.” Régimen aplicable a datos personales: El artículo 64 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados establece que las instituciones públicas sólo podrán tratar datos personales en la nube, en aquellos casos en que los proveedores se sujeten a los requisitos establecidos en dicho artículo; ninguno de los cuales incluye privilegio, preferencia o requisito alguno en materia de tratamiento local de información: “Artículo 64. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura de cómputo en la nube y otras materias, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor: I. Cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la presente Ley y demás normativa aplicable; b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio; c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que preste el servicio, y d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio; II. Cuente con mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta; b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio; c) Establecer y mantener medidas de seguridad para la protección de los datos personales sobre los que se preste el servicio; d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable y que este último haya podido recuperarlos, y e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien, en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable. En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales, conforme a la presente Ley y demás disposiciones que resulten aplicables en la materia.” Tal como se aprecia, el sistema jurídico mexicano atinadamente reconoce que la seguridad y privacidad de la información no depende del lugar o territorio en el que ésta se trate, sino de los controles de seguridad y privacidad que se apliquen a ella. Es errónea, en consecuencia, la presunción que deriva de las disposiciones citadas de la Política TIC, que asume implícitamente que la información estará mejor protegida por el solo hecho de ser alojada en territorio nacional. En nuestro sistema jurídico, la información está debidamente protegida en la medida en que las instituciones públicas y los proveedores, cumplan con los diversos requisitos y controles de seguridad y privacidad establecidos en las citadas disposiciones jurídicas y demás normatividad aplicable, con independencia de la ubicación geográfica de los servidores o la sede del prestador de servicios. Por definición, la nube es un fenómeno tecnológico global, muti-jurisdiccional y ubicuo. Los requisitos de tratamiento local de información impiden naturalmente la adopción óptima de soluciones en la nube y el funcionamiento natural del flujo de datos en Internet, cuya lógica técnica y económica se basan en la capacidad de ubicuidad y escalabilidad de las soluciones a nivel global. Por lo tanto, el establecimiento del privilegio a favor del procesamiento de datos en territorio nacional, es un obstáculo al objetivo de uso de cómputo en la nube para lograr la transformación gubernamental. De forma particularmente grave, el privilegio establecido en las mencionadas disposiciones es contrario a la disposición constitucional prevista en el Artículo 6° de la Carta Magna, que obliga al Estado Mexicano a garantizar condiciones de competencia efectiva en materia de acceso y servicios de TIC. Dice el artículo 6° constitucional, en su parte conducente –de hecho, reformado a su forma actual con motivo de la reforma constitucional en materia de telecomunicaciones, competencia económica e inclusión digital de junio de 2013–: “Artículo 6°. .... El Estado garantizará el derecho de acceso a las tecnologías de la información y comunicación, así como a los servicios de radiodifusión y telecomunicaciones, incluido el de banda ancha e internet. Para tales efectos, el Estado establecerá condiciones de competencia efectiva en la prestación de dichos servicios.” El establecimiento del citado privilegio es de hecho una preferencia a favor de un solo sector industrial –aquel con oferta de procesamiento de datos en territorio nacional–, en perjuicio de cualesquiera otros sectores económicos no favorecidos por el citado privilegio, preferencia o prerrogativa. De la misma manera en que lo anterior infringe la obligación constitucional del Estado Mexicano de asegurar condiciones de competencia efectiva, esto similarmente transgrede el principio de neutralidad tecnológica. En esencia, la neutralidad tecnológica es sinónimo de los principios de libre competencia y de libertad de elección aplicados al sector de TIC, conforme al cual ningún gobierno debe establecer preferencia o restricción alguna a favor o en contra de una determinada tecnología o agente económico del sector de las TIC. La neutralidad tecnológica constituye un principio esencial para promover la coexistencia e interoperabilidad de todas las tecnologías y agentes económicos del sector, de tal modo que la regulación no excluya, restrinja o favorezca a alguno en particular;mismo que garantiza el derecho de libre elección de todos los usuarios, públicos o privados para elegir la alternativa tecnológica que mejor responda a sus necesidades específicas. En el caso que nos ocupa, el multicitado privilegio establece de hecho una preferencia a favor de un solo sector industrial –aquel con oferta de procesamiento de datos en territorio nacional–, en perjuicio de cualesquiera otros sectores económicos no favorecidos por dicho privilegio, lo cual constituye una contravención flagrante al mencionado principio de neutralidad, que desde luego no sólo afecta a los sectores industriales no favorecidos por el privilegio, sino que en última instancia afecta al libre derecho de elección de todos los usuarios, ya sean públicos o privados. El privilegio en comento, también constituye una infracción a los Tratados Internacionales que en materia comercial ha celebrado el Estado Mexicano, particularmente a las normas en materia de trato nacional y no discriminación tratándose de compras gubernamentales. Al respecto el Tratado entre México, Estados Unidos y Canadá (TMEC), establece en su artículo 13.4, numeral 1, el principio de que, en materia de Contratación Pública, las Partes otorgarán de manera “inmediata” e “incondicionalmente” a las mercancías y servicios de la otra Parte y sus proveedores, un trato no menos favorable que los que otorga a sus mercancías, servicios y proveedores nacionales. Asimismo en el inciso (b) del numeral 2, establece que no se deberá discriminar a un proveedor con base en que la mercancía o servicio que proporciona es de la otra Parte: Artículo 13.4: Principios Generales Trato Nacional y No Discriminación 1. Con respecto a cualquier medida referente a la contratación cubierta, cada Parte, incluidas sus entidades contratantes, otorgará inmediata e incondicionalmente a las mercancías y servicios de la otra Parte y a los proveedores de la otra Parte, un trato no menos favorable que el trato que la Parte, incluidas sus entidades contratantes, otorgue a las mercancías, servicios y proveedores nacionales. 2. Con respecto a una medida referente a una contratación cubierta, ninguna Parte, incluidas sus entidades contratantes, deberá: (b) discriminar contra un proveedor establecido localmente sobre la base de que la mercancía o servicio ofrecido por ese proveedor para una contratación particular es una mercancía o servicio de la otra Parte. Por lo tanto, establecer condiciones y requerimientos para la realización de contrataciones públicas privilegiando la ubicación en territorio nacional de las instalaciones representa un trato discriminatorio respecto de los proveedores ubicados en el territorio de otra Parte, en este caso en los Estados Unidos de América. Lo anterior se ve reforzado por el Artículo 13.11, Especificaciones Técnicas, del propio TMEC, el cual establece que en materia de contrataciones públicas una entidad contratante, en este caso las dependencias y entidades de la Administración Pública Federal, no pueden establecer una especificación con el propósito de crear un obstáculo innecesario al comercio entre las Partes. Si bien se reconoce que el numeral 7 de dicho artículo establece que esta disposición no pretende impedir que una Parte adopte una especificación técnica que se requiera para proteger información gubernamental, incluyendo especificaciones que podrán afectar o limitar el almacenamiento, hospedaje, o procesamiento de tal información fuera del territorio de la Parte, esta se refiere únicamente a información “sensible”; por lo que el Acuerdo al que se hace referencia, al establecer un requisito que se hace extensiva al procesamiento de todos los datos de toda la administración pública federal, excede lo dispuesto por el mencionado Art. 13.11 numeral del TMEC y, consecuentemente, lo contraviene. Asimismo, cabe mencionar que el privilegio que se pretende establecer mediante el Acuerdo referido, contraviene igualmente lo establecido por el Artículo 19.12 del TMEC, el cual establece que ninguna Parte podrá exigir a una persona cubierta usar o ubicar las instalaciones informáticas en el territorio de esa Parte, como condición para la realización de negocios en ese territorio. Es importante resaltar que al ser equivocado el supuesto de que al establecer un privilegio a favor del procesamiento de datos en territorio nacional, ya que este no asegura que la información esté mejor protegida por el solo hecho de ser procesada en territorio nacional, queda deslegitimada cualquier razón de política pública; por ende se constituye de una medida discriminatoria, arbitraria e injustificable hacia los sectores industriales que no resultan favorecidos por dicho privilegio y es, por tanto, una restricción encubierta al comercio. La “cancha pareja”, la libre competencia, la promoción de la máxima coexistencia e interoperabilidad de todas las alternativas disponibles en el mercado, y la más amplia libertad de elección de los usuarios públicos y privados –que tengan la posibilidad legal y material de seleccionar libremente entre todas las opciones disponibles, aquella que mejor satisfaga sus necesidades particulares–, es la mejor fórmula garantizada de éxito y desarrollo económico y social para un país. Incluso, los beneficios del cómputo en la nube han sido reconocidos por diferentes organismos, y varios de los Estados no solamente permiten dichos servicios, sino que los recomiendan como la primera opción a considerar, sin requerimientos de localización forzada ni limitaciones en cuanto al uso de nube pública. Por ejemplo, el Plan Nacional de Desarrollo 2018 – 2022 de Colombia en su artículo 147 reconoce los beneficios y dispone la “priorización de los servicios de nube”, o la recién emitida Ley de Gobierno Digital del Perú en la que en su artículo 92.2 dice que “Las entidades de la Administración Pública que requieran infraestructura o plataformas tecnológicas …utilizan de forma preferente infraestructuras tecnológicas o plataformas provistas por proveedores de servicios en la nube.” II. Privilegiar la realización de contratos específicos que deriven de contratos marco vigentes. Igualmente es motivo de preocupación que el “Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la Administración Pública Federal”, privilegie la celebración de contratos específicos derivados de contratos marco y que exima del cumplimiento de sus disposiciones a los acuerdos que ya se han celebrado, lo que es claramente violatorio del derecho a la igualdad que establece la Constitución General de la República en su artículo primero. En efecto el Acuerdo propone establecer lo siguiente: Artículo 3.- Para todos los proyectos institucionales que comprendan servicios e implementaciones tecnológicas y de seguridad de la información, la persona titular de la UTIC deberá atender las siguientes políticas y disposiciones generales: … II. Privilegiar la realización de contratos específicos que deriven de contratos marco vigentes, o la realización de contrataciones consolidadas y licitaciones públicas que garanticen las mejores condiciones para el Estado; QUINTO.- Las Instituciones que a la entrada en vigor del presente Acuerdo, cuenten con contratos vigentes en materia de TIC y SI, se sujetarán a lo establecido en los mismos, así como a las disposiciones conforme a las cuales se hayan celebrado. Al respecto es importante señalar que al momento en que se expedirán las disposiciones contenidas en el Acuerdo, se han celebrado un número limitado de Contratos Marco con proveedores específicos, con base en especificaciones técnicas que no promueven una competencia efectiva, por lo que se les continuará otorgando una ventaja respecto de otros proveedores. Asimismo, si bien se reconoce que una disposición no puede tener efectos retroactivos en perjuicio de persona alguna, por lo que las disposiciones contenidas en dichos contratos deben cumplirse en los términos pactados, al establecerse de manera expresa que no se sujetarán a las disposiciones que entrarán en vigor con la publicación del Acuerdo se estará creando un sistema paralelo, rompiendo la garantía de igualdad que establece la Constitución, ya que habrá un régimen jurídico para un número limitado de empresas y otro para la gran mayoría. Asimismo, esto propiciará que los contratos se estén renovando de manera indefinida a fin de que no se sujeten a las nuevas disposiciones lo que no le garantiza al Estado las mejores condiciones disponibles en cuanto a precio, calidad, financiamiento y oportunidad, violando con ello lo establecido en el Artículo 134 Constitucional. III. Atribuciones de la Coordinación de Estrategia Digital Nacional para expedir el Acuerdo. Es importante hacer notar que la Coordinación de Estrategia Digital Nacional de la Oficina de la Presidencia, al pretender establecer disposiciones respecto de contrataciones públicas aplicables u obligatorias para todas las dependencias y entidades de la Administración Pública Federal, podría estar excediendo el ámbito de las atribuciones que le otorga el Artículo 36 del Reglamento de la Oficina de la Presidencia. En ese sentido, es importante señalar que la atribución contenida en la fracción XVI de dicho Artículo 36 (XVI. Emitir, en su caso, disposiciones administrativas, manuales, guías, instructivos y demás instrumentos análogos para el desarrollo de sus funciones), se debe entender que se refiere al ejercicio de las demás atribuciones contenidas en las fracciones precedentes y que, en materia de adquisiciones y contrataciones públicas se limita únicamente a emitir recomendaciones y participar en la determinación de las especificaciones y estándares técnicos, como claramente lo establecen las fracciones VII y VIII: Artículo 36.- La Coordinación de Estrategia Digital Nacional tiene las atribuciones siguientes: …. ​​VII. Emitir recomendaciones, al interior de la Administración Pública Federal, con la participación de las dependencias y entidades competentes, respecto de las mejores prácticas susceptibles de desarrollar e implementar a través de proyectos e iniciativas estratégicas en materia de tecnologías y seguridad de la información; VIII. Participar, en coordinación con las dependencias y entidades de la Administración Pública Federal competentes, en el diseño y formulación de las especificaciones y estándares para las adquisiciones y arrendamientos de bienes o servicios de tecnologías de la información y comunicación; Es importante señalar que con la emisión de este Acuerdo la Coordinación de Estrategia Digital Nacional podría estar excediendo el ejercicio de sus atribuciones en relación con la esfera de atribuciones que la Ley Orgánica de la Administración Pública Federal le otorga a la Secretaría de la Función Pública y a la Secretaría de Hacienda y Crédito Público, por lo que debe analizarse si es competente para emitir el mencionado Acuerdo, en términos del Artículo 16 Constitucional. SOLICITUD Por las diversas razones expuestas, habiendo manifestado nuestra rechazo y preocupación en relación con: 1) el establecimiento del privilegio a favor del alojamiento de información en territorio nacional previsto en la Política TIC, 2) la inclusión de disposiciones que generen ventajas a los terceros proveedores de Centros de Datos y 3) que se privilegie la contratación a través de contratos marco, sin que todos los proveedores de tecnología puedan, ya sea, participar en dichos instrumentos en condiciones iguales, o participar a través de la multiplicidad de mecanismos previstos en la regulación mexicana.