Son pocos los que cuestionan que nos encontramos viviendo la era de la cuarta revolución industrial, término acuñado por Klaus Schwab en la edición del Foro Económico Mundial de 2016, que representa nuevas formas en que la tecnología se integra en las sociedades generando una transformación radical del sistema productivo, pero también de los negocios y la sociedad, como consecuencia del exponencial crecimiento de las tecnologías, fundamentalmente las de naturaleza digital. El cambio hacia Industria 4.0 significa la capacidad de los individuos y las organizaciones de adoptar e integrar soluciones digitales y físicas para mejorar operaciones, volverse más sano, productivo, crecer e innovar., tales como: Internet de las cosas, vale decir sistema de dispositivos interrelacionados entre sí; robótica y automatización como reemplazo o complemento a actividades humanas y sistemas ciber físicos: que integran capacidades de almacenamiento, computación, seguimiento y control de objetos en el mundo físico. Esta nueva era, trae consigo ventajas y en paralelo desafíos que deben abordarse individual, organizacional y también estatalmente (incorporando en ello a cada Estado y también al conjunto de Estados a nivel global).
Enfrentando estos desafíos, hace pocos días se presentó a tramitación del Congreso la tan esperada Ley Marco de Ciberseguridad, que refunde esta regulación con aquella que está destinada a la protección de la infraestructura crítica en el ámbito digital, vale decir, todos aquellos sectores cuyos activos, sistemas y redes se consideran vitales para una sociedad, y cuya incapacitación o destrucción tendría un efecto debilitante sobre la seguridad social y nacional, la economía, la salud o la continuidad de los servicios públicos, o cualquier combinación de éstos.
De este modo en el proyecto se promueve la protección del Estado, sus redes y los sistemas informáticos, e infraestructura de la información del sector público, especialmente, aquellas que son esenciales y críticas para los ciudadanos y en el ámbito privado, la protección de la seguridad nacional privilegiando el resguardo de datos, las redes y los sistemas informáticos e infraestructura de la información de dicho sector privado, especialmente de aquellas que son esenciales para el adecuado funcionamiento del país, velando y asegurando la continuidad operacional de las infraestructuras críticas de la información del país.
El proyecto de ley tiene como ambicioso propósito general el “establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, la formación de una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio”. Tal como lo menciona en su mensaje, se busca equilibrar normativamente dos extremos que aparentemente están en contraposición: la seguridad en la red, en términos de garantías a la confidencialidad, disponibilidad e integridad de la información y, el debido respeto de los derechos fundamentales de los individuos, tales como la libertad de expresión, el acceso a la información, la protección de la vida privada, el tratamiento y protección de datos personales y la propiedad.
Para el cumplimento de este propósito, la iniciativa consagra ciertos principios rectores en la materia, conceptualizándolos como criterios normativos de aplicación general, tales como el principio de responsabilidad, de protección integral, de confidencialidad de los sistemas de información, de integridad de los sistemas informáticos y de la información, de disponibilidad de los sistemas de información, control de daños, de cooperación con la autoridad ,y por último, el principio de especialidad en la sanción.
En relación a la infraestructura crítica este proyecto de ley establece una descripción de cuáles entidades tendrán ese carácter, estableciendo un catálogo genérico e indicando las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica, dentro de las cuales destaca el aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado.
Sobre estas obligaciones un aspecto relevante de considerar es que el proyecto define y consecuencialmente estructura multidimensionalmente a la ciberseguridad, estableciendo obligaciones a las organizaciones no sólo en el ámbito técnico -como tradicionalmente ella se orientaba- sino que, además sumando deberes en las esferas normativas de dichas entidades, a fin de permitir el desarrollo más robusto de la ciberseguridad. Desde la perspectiva crítica, si bien el proyecto constituye un gran avance en materia de ciberseguridad en Chile, surge como contrapartida, la necesidad de enfrentar con rapidez y en una mirada sistémica la regulación del ecosistema digital, muchos otros desafíos. Dentro de aquellos, quizás los más urgentes, dicen relación con el aseguramiento como derechos fundamentales, de ciertos derechos digitales mínimos, tales como el derecho a la existencia e identidad digital, el de acceso a recursos digitales, a la alfabetización digital, a la libertad y responsabilidad digital y por cierto a la seguridad en la red, por sólo citar algunos. En el ámbito legal, la anquilosada regulación en materia de datos personales parece ser sin duda algo importante y también urgente de actualizar para brindar a las personas una regulación más integral en su existencia y desenvolvimiento en el ciberespacio.
