Nicolás, además, apunta que las empresas tienen que inyectar más recursos en ciberseguridad y analizarlo de manera interna como un tema principal.
La Nueva Ley de Delitos informáticos trajo consigo una actualización necesaria en cuanto a delitos cibernéticos, sin embargo, también existen factores que todavía es necesario dilucidar en materia de ciberseguridad en las empresas y el gobierno.
Para profundizar sobre el tema, en Actualidad Jurídica conversamos con Nicolás Yuraszeck, abogado y socio de Magliona Abogados, sobre los aspectos positivos y las críticas de la actual ley de delitos informáticos, además de las capacidades que deben tener tanto las empresas como el Estado en esta materia.
A modo de introducción quería preguntarte acerca de los puntos positivos presentes en la nueva ley de delitos informáticos, ¿qué se le puede elogiar, en cuanto a aspectos probatorios, por ejemplo?
En términos bien generales, es una buena ley, que necesitábamos hace mucho tiempo. Hay que recordar que hasta antes de esta nueva ley, nosotros teníamos la ley de 1993, y en ese año la tecnología no tenía el avance y el desarrollo vertiginoso que hoy día encontramos, con términos como internet de las cosas, big data, etc. No eran conceptos con los que los legisladores estaban familiarizados. Por tanto, esta ley hace ponerse al día con la correcta persecución de los delitos informáticos de carácter penal.
Las principales novedades y la más importante, es que extiende lo que se llama el catálogo de delitos penales, por cuanto establece el delito de receptación, acceso ilícito, entre otros, y eso trae como efecto práctico que las personas y el Ministerio Público, es decir la Fiscalía, tienen nuevas herramientas para seguir estos nuevos delitos (a propósito de los casos de hackeo al poder judicial). Además, el principio que está detrás de esta ley y que está pronto a desarrollarse, facilita una especie de marco colaborativo entre las distintas autoridades judiciales y policiales en una mejor persecución de este tipo de delitos. En resumen, un robustecimiento de la tipificación de los delitos informáticos, y un marco de colaboración a nivel mundial para la mejor persecución de estos delitos.
Otro factor relevante son los cuerpos legales y sus responsabilidades y obligaciones. En ese sentido, ¿qué problemas se pueden presentar y en qué situaciones? ¿cómo se pueden mejorar?
Van a producir un cambio en el paradigma que debería tener tanto el sector público y privado a la hora de evaluar sus sistemas de ciberseguridad. Años atrás y creo que todavía está muy instalada la cultura tanto de las empresas como el estado, que cuando son hackeados no reaccionan inmediatamente en orden de poder solucionar el problema. Al contrario, tratan de esconder el problema de manera que no se afecte el daño reputacional por parte de las empresas. Obviamente podría espantar a los inversores y producir una desconfianza entre los consumidores de un determinado producto o servicio, porque a la hora de sacar la información es altamente probable que mis datos e información puedan ser hackeados. Entonces, lo que hay que hacer en este sentido es avanzar a un tema también cultural, hoy por hoy lo que no podemos hacer es instalar el tema de la ciberseguridad como un tema que es propio de los departamentos de TI de las empresas, sino que tiene que elevarse y tomarse de la relevancia que corresponde y tienen que ser los directorios o las juntas de accionistas, o quien sea el máximo órgano de administración de una empresa, o a nivel de estado, tiene que crearse un ministerio especializado o alguna subsecretaría en materia de ciberseguridad, porque lo que hay hoy por hoy a nivel gubernamental es un comité interministerial, pero no hay una figura radicada y una agencia de ciberseguridad que eduque, sancione y norme el actuar tanto del estado como de privados en materia de ciberseguridad. Pero esto no es algo que no esté hecho en Chile, hay mucho recorrido y lo podemos encontrar en materia bancaria, a propósito de las distintas regulaciones de la comisión para el mercado financiero, que establece que la ciberseguridad tiene que ser algo primordial y constantemente evaluado y mejorado y contar con una persona experta y particularmente designada para este tipo de casos, que tenga una independencia tanto económica como administrativa de los órganos de administración de las sociedades. Porque lo que se daba mucho, el delegado de ciberseguridad de una empresa era un dependiente. Por eso, tiene que haber una independencia justamente para poner la alerta en todo el país cuando son hackeados, por ejemplo, en el caso particular de los bancos con el hackeo de las tarjetas de crédito y débito, obviamente hay mucha información sensible por cuanto está asociado a secreto y reserva bancaria.
Entonces, tenemos que crear una conciencia cultural a nivel de empresa y a nivel de Estado, siendo una materia primordial así como tan importante el aumentar nuestros ingresos y utilidades para dar mejores servicios, es también proteger la ciberseguridad de la empresa, porque básicamente hay información sensible de los clientes y en la medida en que se proteja esa información, le va a dar en el caso de las empresas un valor agregado a sus servicios que ya es una exigencia desde los consumidores. Y del lado del gobierno, contar con una ley robusta como la que estamos contando ahora con la ley de delitos informáticos, teniendo otros proyectos de ley que se están discutiendo en el Congreso como la Ley Marco de Ciberseguridad y otras relacionadas, van a crear una imagen tranquilizadora a empresas internacionales que vengan a invertir en Chile.
En comparación a los países desarrollados y de Europa, principalmente, Chile se había quedado atrás en esta materia pero se avanza algunos pasos con esta nueva ley. Dicho esto, ¿qué directrices respecto a la ciberseguridad se deben adoptar?
Yo creo que el camino que se está tomando en materia legislativa va bien. Sin duda el marco el cual tu mencionas, está bien diseñado e implementado, pero los recursos a lo mejor se debieran inyectar en las empresas para que ellos primero pongan la ciberseguridad como un tema, porque hoy por hoy no lo es. Al ser una preocupación real, va a ver una inversión real y un desarrollo real en materia de medidas de ciberseguridad en la información. Yo no vería Europa o EE.UU. porque la realidad de Chile es distinta en cuanto a nivel de usuario, de presupuesto que se puede destinar a la organización de la información, etc. Lo que sí nos tenemos que concentrar es la parte cultural como te mencionaba anteriormente, y desde el punto de vista del gobierno, que haya una inversión a nivel de policías para que el Ministerio Público de manera que tengan unidades dentro de estas instituciones, que tengan un nivel de especialización que les permitan y les den herramientas para perseguir este tipo de delitos. Sabemos la realidad de los fiscales, tienen muchas causas y muy diversas, y ante pocas manos y a los objetivos propuestos, tienen que sacar la tarea adelante con muy pocos recursos. Entonces, si un fiscal ve un homicidio y después le toca un delito informático, tendrá que hacerse cargo de todas esas causas. El tema de la ciberseguridad es un tema muy especializado, tienen que estar en constante actualización porque evidentemente la criminalidad, para decirlo en términos amplios, siempre va a ir más rápido que la legislación. Nos quedamos en el año 1993, y nos pegamos un lapso gigante a una ley actualizada el 2022, pasaron prácticamente 30 años y las cosas han cambiado mucho desde entonces. Debe haber una voluntad política de actualizar las normativas en la venida que se desarrollen las tecnologías, porque el desarrollo de las tecnologías el lado negativo que tiene es que va a complejizar las herramientas que sirven para acometer estos ilícitos. Hay que contrarrestarlo con policía especializada y con un Ministerio Público con unidades especializadas como ocurre en los delitos penales de alta complejidad como delitos financieros, y que también exista en los delitos cibernéticos. También lo que debemos tomar en consideración es que la ley, dentro de las novedades que incluye, es el hecho de que se va a poder hacer responsable penalmente a una empresa, cosa que obviamente está tipificado para ciertos tipos de delitos como el cohecho, el narcotráfico, el lavado de activos, ahora se está agregando los delitos informáticos, lo que va a hacer incluir a una matriz de riesgo de cualquier empresa que el día de mañana quiera ser vendida o sea auditada, va a tener que considerar cuáles van a hacer las medidas que se están tomando al respecto, para evitar estos ciberataques. Ojalá sean las medidas más actualizadas y novedosas en el mercado.
Respecto a los puntos negativos presentes en la nueva ley de delitos informáticos, ¿qué se le puede criticar, en cuanto a aspectos probatorios y gravedad de los delitos, por ejemplo?
Hay determinados aspectos que se le pudieron haber dadodemasiadas atribuciones a la fiscalía para requerir a las empresas el resguardo de determinada información en el marco investigativo de la comisión de un delito. Hoy por hoy, lo que está exigiendo la ley, es que las empresas se encuentran obligadas a almacenar la información para la eventualidad que el Ministerio Público se lo solicite para investigar un determinado delito. Mantener esa información es bastante complicado, en términos de costos, y además se podría eventualmente cruzar con el cumplimiento de otras normativas o porque están en desarrollo, como es el tema de la protección de datos personales.
La protección de datos personales me exige que, cualquier dato que yo haya recolectado y que ya no lo esté utilizando, ya sea porque cumplió con su fin, cumplió con un plazo, o no tiene ningún tipo de fundamento legal para que se almacene, debe ser borrado. Es una obligación por parte de la empresa a realizarlo, sin ni siquiera ser requerido por el titular de esos mismos datos, y lo que hace esta ley es básicamente dejar en una incertidumbre que esta información siempre tiene que ser almacenada ante la eventualidad de la fuerza requerida, y obviamente podrás caer en incumplimiento con otro cuerpo normativo. Además, por una estructura de costos es bastante complicado almacenar tanta información por tanto tiempo siendo que a lo mejor nunca podría llegar a ser utilizada.
Una de las críticas importantes a esta ley tiene que ver con la falta de institucionalidad, ¿en qué situaciones se nota su ausencia?
Es un tremendo problema también. Básicamente porque ante este tipo de situaciones, no tenemos muchas veces a quien recurrir. Evidentemente, si queremos lograr la persecución penal, necesariamente tenemos que acudir a un tribunal de justicia, lo que significa contratar a abogados, que muchas veces no son baratos, te metes en un proceso que puede ser bastante largo, y que además el resultado puede ser incierto. En cambio, si hay un órgano administrativo, a nivel de subsecretaría, agencia, superintendencia, evidentemente es más cercano y reduce de manera considerable el acceso a poder denunciar, perseguir y obtener los resultados que uno espera como ciudadano cuando se ve como víctima de un delito informático. Pensemos hoy por hoy en el tema de tarjetas, filtración del Servel; evidentemente uno como ciudadano está un poquito en desventaja en relación al Estado y éste no te va a dar toda la información tampoco con respecto a lo que realmente se pudo haber filtrado, cual fue el alcance, cuáles son las medidas de los planes de contingencia que se están tomando para ello. Eso se puede facilitar con una agencia especializada que sea capaz de fiscalizar no solamente al mundo privado, sino también al mundo público que es donde más se cometen filtraciones de datos. Veamos lo que ha pasado en los últimos días, con el Estado Mayor, es un gran ejemplo; ahora se sumó el Poder Judicial, hace unos pocos meses el Servel, antes fue el Ministerio de Salud cuando se filtraron los datos de los pacientes con VIH.
Otro tema hace relación con el poco plazo y los tiempos de vigencia que tienen las compañías para prepararse ante eventuales delitos de esta índole. En ese sentido, ¿cuál es el plazo descrito y qué planificación deberían realizar las empresas para mejorar en este aspecto?
Acá hay distintos plazos, la ley va a necesitar para efectos de su ejecución, la realización de un reglamento. Va a estar a cargo el ministerio correspondiente, y para eso tiene un plazo de 6 meses desde contada la publicación de la ley. La ley fue publicada el 20 de junio, por lo tanto, tiene que estar listo en diciembre. Con respecto a otro tipos de obligaciones, tales como las atribuciones de la unidad de análisis financiero, a propósito de la inclusión de los delitos informáticos como uno de los delitos por los cuales puede ser responsable penalmente una determinada empresa, también va a regir desde los 6 meses de la publicación. Esto va a tener una aplicación más o menos cercana, y con respecto a otras obligaciones se va a empezar a aplicar de manera inmediata, sobre todo lo que tiene que ver con la persecución penal.