La particularidad de la regulación de la ciberseguridad es que es compleja en términos de incentivos.

A riesgo de sobre-simplificar: Lo que hace una regulación es identificar un problema y proponer una solución a través del modelado de ciertas conductas; ya sea obligando, permitiendo o prohibiendo. La ley del tránsito, por ejemplo, prevé que sin la coordinación de los vehículos puede haber caos y accidentes, y por lo tanto genera normas de comportamiento de manejar por la derecha, o de no exceder cierta velocidad; modelando la conducta de quienes hacen uso de las vías públicas.

Cuando un legislador se enfrenta al “problema de la ciberseguridad” y debe escoger las herramientas que usará para modelar conductas deseables

Cuando un legislador se enfrenta al “problema de la ciberseguridad” y debe escoger las herramientas que usará para modelar conductas deseables, se encuentra con ciertas particularidades:

  • La probabilidad del riesgo es alta; entre otras razones, porque la delincuencia informática es un buen negocio: para el ciberdelincuente los retornos son altos y su exposición al riesgo es bajo.
  • El impacto asociado al riesgo es alto también: hoy no hay peor pesadilla para la continuidad operacional de una empresa que la indisponibilidad de sus sistemas informáticos. Pero además, este daño afecta también a otros interesados, principalmente, a los titulares de los datos personales que pueden haber sido accedidos por un delincuente informático, y más indirectamente a escenarios tan diversos como la disponibilidad de servicios de un ente público o a la cadena de pagos.

Por este motivo, cuando el legislador busca enfrentar el riesgo de daño asociado a la ciberseguridad, tradicionalmente lo hace desde varias perspectivas, generando obligaciones (y castigos al incumplimiento de esas obligaciones) tanto para el que genera el daño – prohibiendo y tipificando conductas – como para el que sufre el daño – generando obligaciones de implementar medidas de seguridad.

Si hacemos un paralelo con el hurto, la legislación de ciberseguridad castiga no solo al delincuente por entrar a robar a una casa, sino que castiga también a la dueña de la casa por no haber construido muros lo suficientemente altos o no instalar un sistema de alarma coherente con el valor de las cosas que guarda ahí.

Por contraintuitivo que suene, en el ámbito de la ciberseguridad esto es correcto y es económicamente eficiente, pues la víctima de una brecha de seguridad debe proteger sus sistemas no solo para sí, sino para (por lo menos) los titulares de los datos personales que almacena. Pero adicionalmente, una regulación que se concentre sólo en la arista penal buscando únicamente castigar al delincuente caerá probablemente en un saco roto – independiente de cuán graves sean las sanciones – pues este hacker bien puede ser un adolescente en Macedonia o una organización criminal situada fuera de Chile, a la que la existencia de delitos informáticos en nuestro país no le mueva ni una aguja.

Qué existe hoy en Chile

Pensando en la distinción que se plantea más arriba, un legislador puede buscar diferentes objetivos para regular la ciberseguridad de un modo transversal (es decir, más allá de la regulación por industria):

 

En primer lugar, puede querer desincentivar la comisión de los delitos, regulando directamente al potencial agente (el ciberdelincuente) con el establecimiento de delitos informáticos. En Chile, la Ley de delitos informáticos N° 19.223 (que data del 93) está siendo objeto de una modificación radical para adaptarla al Convenio de Budapest a través del proyecto de ley de delitos informáticos, ya en tercer trámite constitucional.

 

En segundo lugar, la ley puede buscar hacer más robusta la infraestructura de la información, pudiendo desplegarse en por lo menos tres verticales relevantes.

  1. Estableciendo obligaciones específicas y transversales de implementar medidas técnicas y organizacionales de seguridad, las que están tradicionalmente alojadas en la ley de protección de datos. En el Congreso se discute un proyecto de ley que modifica radicalmente nuestra antigua ley de protección de datos, estableciendo por primera vez obligaciones específicas de seguridad; reemplazando a la muy abstracta obligación actual de “tratar los datos con la debida diligencia”.
  2. Generando deberes transversales de notificación de brechas de seguridad, inexistente en nuestra ley, pero presente en el proyecto de ley de protección de datos.
  3. Definiendo obligaciones asociadas a las infraestructuras críticas de información, para proveer a la continuidad operacional de áreas esenciales como, entre otras, energía, telecomunicaciones, servicios financieros o transporte. En este sentido, desde el 2018 el gobierno ha anunciado la presentación de un proyecto de ley para regularla, lo que no ha sucedido hasta hoy.

 

Finalmente, un tercer objetivo tiene que ver con crear una institucionalidad sólida, robusta, que estandarice los procedimientos de reporte, las calificaciones de incidentes, que supervise, que controle, que emita guías, etc. A propósito de esto, el Gobierno anunció la presentación de un proyecto de ley para crear una Agencia Nacional de Ciberseguridad y, un par de años antes, de un proyecto de ley Marco de Ciberseguridad; los que aún no se presentan a tramitación. Sí existe un avance en materia de institucionalidad, sin embargo, con el proyecto de ley que crea un Ministerio de Seguridad Pública, con funciones de diseño y evaluación de políticas de ciberseguridad.

    Paulina Silva

    Abogada de la Universidad de Chile, Máster en Derecho Comercial con especialización en derecho informático de la Universidad de Melbourne, Australia. Reconocida especialista en protección de datos, contratación de tecnologías y ciberseguridad. Directora de la Alianza Chilena de Ciberseguridad y panelista frecuente en foros nacionales e internacionales de privacidad y tecnologías. Más sobre Paulina Silva

    #