21-10-2021
HomeOpiniónSobre la proliferación de reguladores en materia de seguridad de la información

Sobre la proliferación de reguladores en materia de seguridad de la información

Durante los últimos 4 años, fue muy característico saber por medio de la prensa, sobre lo ciberataques que sufrieron las más variadas empresas tanto públicas como privadas, los cuales comprometieron la confidencialidad, integridad y seguridad de nuestra información. De esta forma, estos ciberataques pusieron en evidencia, lo frágil de nuestros sistemas, la lenta capacidad de reacción, lo subestimada que se encuentra la ciberseguridad como elemento fundamental del funcionamiento de una empresa y especialmente, a que organismo podemos recurrir como ciudadanos al vernos enfrentados en una situación de este tipo y poder encontrar una respuesta satisfactoria en la observancia de nuestros derechos.

A mi entender existen dos elementos claves de distinta naturaleza que impiden poner a la ciberseguridad como eje de importancia, tanto para el derecho como para el desarrollo de la economía. El primero dice relación con una razón política, por cuanto la acefalía del cargo de asesor presidencial de ciberseguridad, evidencia que tan lejos estamos como país de ponernos en la órbita de países desarrollados en la materia (como el caso de Estonia), donde la ciberseguridad encuentra una transversalidad en el sector público y en el privado, entendiendo que un ciberataque puede comprometer no solo las diarias transacciones bancarias sino que también instalaciones militares y redes de abastecimiento de servicios básicos (infraestructura crítica). Una segunda razón es legislativa, por cuanto, si bien ha habido esfuerzos, en especial, a través de un organismo interministerial, de empujar proyectos de ley que abarque lo anteriormente señalado, éste ha estado lejos de ver la luz y ha dormido plácidamente, sin tener a nadie que lo rescate, ¿fundado en qué?, probablemente en la forzosa postergación de estallidos sociales y pandemias. 

No obstante lo anterior, han sido las regulaciones sectoriales y proyectos de ley aislados, los que han hecho el esfuerzo de llevar a cabo la misión de regular a empresas cuando se ven expuestos a ciberataques que traen como consecuencia, la obtención de nuestra información de manera ilícita. A modo de ejemplo, podemos mencionar lo dispuesto en el capítulo 20-7 de la Comisión para el Mercado Financiero, la cual exige a las instituciones que fiscaliza, la notificación casi inmediata (30 minutos) de cualquier brecha de seguridad de la información, de manera de alertar a las demás empresas de su mismo sector y se tomen las medidas pertinentes. El caso de la Subsecretaría de Telecomunicaciones, la cual por medio de la resolución exenta N° 1.318 del 14 de agosto de 2020, exige reportes sobre ciberincidencias que los concesionarios y permisionarios de servicios de telecomunicaciones podrían tener.

En cuanto a los proyectos de ley, podemos mencionar el de protección de datos personales, que, siguiendo el modelo europeo, establece obligaciones de reportes no solo al responsable del tratamiento de datos personales, es decir, a quien recoge inicialmente el dato, sino que también hace extensiva esta responsabilidad al encargado, esto es, a una empresa que actúa como mandatario del responsable. En este caso, la obligación de reporte se realiza ante la autoridad (por el momento el Consejo para la Transparencia) y en la eventualidad que datos personales sensibles (como podrían ser los de la salud) se debe informar al titular, al mismo tiempo de contar con un plan de contingencia.

Finalmente, no podemos dejar de mencionar el proyecto de ley que fortalece los derechos del consumidor y que impone de manera general a todos los proveedores de bienes y servicios, la obligación de notificar al Servicio Nacional del Consumidor, toda brecha de información que tenga como antecedente una relación de consumo, en un plazo de 24 horas y en casos excepcionales en 72 horas como máximo.

Entonces cabe preguntarse ¿es un camino correcto entregar la regulación de protección de la información a distintos reguladores o en cambio debiéramos optar por un solo ente?¿Debiéramos regular en base a la naturaleza del infractor o en cambio debiéramos optar por la persecución de la infracción de acuerdo a la naturaleza de la información comprometida?

La respuesta es variada, pero a mi juicio a lo que se debe apuntar es hacia la unidad en la fiscalización. De acuerdo a lo anterior, debe haber un solo ente de persecución, ateniendo la naturaleza de la información. Para ejemplificar, pensemos en el Consejo para la Transparencia como órgano fiscalizador de los infractores en el tratamiento de datos personales, no importando que éstos sean bancos, “telcos”, organismos públicos, esto tiene como principal ventaja, la facilitación del conocimiento por parte del ciudadano, en cuanto a que éste tiene absoluta claridad a quien debe recurrir, por cuanto piensa en su derecho infringido y no en la naturaleza del infractor (en este caso Sernac ha hecho una labor brillante de difusión), depositando la confianza en ese ente en particular. Por el contrario, una proliferación de entes, diluye el derecho infringido, por cuanto el fiscalizador sectorial se ve limitado en sus competencias, creando la frustración en la denuncia o pudiendo llevar a resultados contradictorios, en caso que una vía tenga más éxito que la otra (ejemplo el recurrir a la Superintendencia de Salud en vez de la Corte de Apelaciones por un alza en el plan base del cotizante de Isapre). Adicionalmente, la existencia de varios fiscalizadores, traerá como natural consecuencia la infracción del principio non bis in ídem, conforme al cual se procura impedir que un hecho que ha sido sancionado o que ha servido de base para la agravación de una pena, sea utilizado nuevamente, es decir, el objeto es evitar que se realice una persecución abusiva por parte del Estado en contra de los sujetos que hubiesen cometido una infracción. 

Por lo anterior, se requiere una ley que garantice el resguardo de nuestra información, por medio de una institucionalidad única, materializado a través de un proceso administrativo, accesible, económico y eficiente. Al mismo tiempo, se debe nutrir a una jurisprudencia administrativa, de manera de sentar bases claras de resolución que protejan debidamente a los ciudadanos.

Comparte el contenido:
Escrito por

Socio Magliona Abogados, Abogado Universidad de Chile, Magister en Derecho y Nuevas Tecnologías Universidad de Chile, Diplomado Derecho Propiedad Intelectual e Industrial Pontificia Universidad Católica de Chile.