Chile se encuentra dentro de los países líderes en materia de ciberseguridad en Latinoamérica, de acuerdo al último reporte del Global Security Index de la Unión Internacional de Telecomunicaciones. Esta quinta edición nos coloca en un estado de que estamos estableciendo los diversos dominios evaluados (Tier 3-Establishing), donde destacan las medidas de cooperación internacional que hemos adoptado y, especialmente, aquellas de índole normativa.
Sobre este último punto, es importante mencionar que Chile aprobó la primera Ley específica en ciberseguridad en Latinoamérica, que tiene por finalidad la creación de una Agencia especializada en la materia (Agencia Nacional de Ciberseguridad), el fortalecimiento de las capacidades ante la respuesta de incidentes informáticos mediante la creación de un CSIRT Nacional y el establecimiento de una serie de obligaciones para determinadas instituciones públicas y privadas, denominadas servicios esenciales y operadores de importancia vital, además de un deber transversal para ambos sujetos consistente en el reporte de incidentes de impacto significativo.
En caso de incumplimiento de los deberes, las organizaciones se exponen a multas que pueden llegar hasta 40.000 UTM (alrededor de 2,5 millones de euros).
En ese sentido, si bien fue publicada la Ley (Nº 21.663) durante el mes de abril de 2024, aún no entra en vigencia, debiendo dictarse una serie de decretos y reglamentos para su total entrada en vigor.
Cabe considerar que esta normativa tiene varios elementos que toman como referencia la Directiva Europea sobre Ciberseguridad (NIS2). De hecho, durante el mes de octubre, venció el plazo para que los países europeos deban transponerla en su ordenamiento interno.
Ciberseguridad en Chile: consulta pública
Hace algunas semanas atrás se presentaron a consulta pública los reglamentos sobre el reporte de incidentes y de calificación de operadores de importancia vital.
Uno de los elementos de los borradores fue que la calificación de los operadores de importancia vital será un proceso liderado por la Agencia Nacional de Ciberseguridad de Chile para aquellos servicios esenciales. También se reconoce la potestad de declarar mediante resolución del director de la Agencia a instituciones privadas que no sean servicios esenciales, pero que han adquirido un rol crítico en la sociedad y, por ende, que ante la ocurrencia de un incidente de ciberseguridad puede tener enormes consecuencias sociales y económicas para el país.
Para este procedimiento, el borrador de reglamento reconoce la necesidad de contar con informes de aquellos organismos con competencias sectoriales antes de la decisión por las características de cada uno de los sectores. La propuesta aborda el proceso de consulta pública de la nómina preliminar de instituciones privadas hasta la calificación de aquellas como operadores de importancia vital, dejando abierta la posibilidad de que las instituciones puedan presentar recursos administrativos contra las resoluciones.
Por otro lado, en cuanto al borrador del Reglamento de reporte de incidentes de ciberseguridad, reitera el deber de reportar que aplica a todos los sujetos obligados de la normativa; y en particular, aquellos que son calificados de efecto significativo. Además, establece una serie de elementos que debería contener el informe de reporte; particularmente, su taxonomía. Y también la obligación de omitir datos personales en estos, salvo la dirección IP, que para dichos efectos no será considerado un dato personal.
En ese mismo sentido, establece requisitos para la emisión de una alerta temprana desde que se tomó conocimiento del incidente; de un segundo reporte que, en el caso de los operadores de importancia vital, debe acompañarse un plan de acción; y para finalizar, un informe final, y en el caso de los operadores de importancia vital, la inclusión de información adicional al contenido del mencionado informado.
Para concluir, se busca promover notificaciones voluntarias para aquellos sujetos no obligados.
Datos personales
Además de este avance a nivel de la normativa reglamentaria en materia de ciberseguridad en Chile, es importante señalar que hace algunas semanas atrás finalizó la tramitación legislativa en nuestro Congreso Nacional del Proyecto de Ley de Datos Personales. Este Proyecto es tremendamente esperado por diversos actores a nivel nacional e internacional, puesto que eleva la regulación vigente a los estándares europeos; especialmente, considerando que varias de sus disposiciones se basan en el Reglamento Europeo de Protección de Datos Personales.
De modo general, el Proyecto viene a establecer una agencia especializada en la materia (Agencia Nacional de Protección de Datos Personales), fija principios para el tratamiento de datos personales, establece obligaciones para el responsable y encargado de las actividades de procesamiento de información y tipifica infracciones en leve, grave y gravísimas.
Finalmente, fomenta la autorregulación mediante el establecimiento e implementación de un Modelo de Infracciones de manera voluntaria por los responsables, que, siendo certificado por la Agencia, puede configurar un atenuante en caso de infracción.
Algunos de los puntos controvertidos durante la tramitación legislativa fueron:
- El establecimiento de un representante legal a nivel nacional en el caso de aquellas organizaciones que procesan datos personales a través de sus filiales fuera de Chile, pero que ofrecen bienes/servicios o tienen efectos a nivel local (por ejemplo, actividades de monitoreo de comportamiento). Se optó por el establecimiento de un domicilio electrónico u otro medio de contacto asimilable.
- La definición de dato personal y de dato personal sensible, en cuanto a la incorporación de los hábitos personales como sensibles. Se optó por dejar esta información como un dato personal a secas, sin un régimen especial de protección.
- Las multas, y especialmente los porcentajes incluidos en la última etapa de la tramitación legislativa, es uno de los puntos álgidos del debate, puesto que reconoce un tope de 20.000 UTM (infracciones gravísimas), con recargo del 50 por ciento en ciertas hipótesis y, en el caso de reincidencia, de una triplicación del monto, llegando inclusive hasta 60.000 UTM. A su vez, en la Comisión Mixta se decidió que, en el caso de reincidencia por empresas que no califican como de menor tamaño, puede aplicarse un dos o un cuatro por ciento de los ingresos anuales por ventas y servicios en territorio y otras actividades del giro en el último año calendario, lo que ha provocado que varios sectores se pronuncien al respecto.
Para concluir, este Proyecto se encuentra en revisión de constitucionalidad ante el Tribunal Constitucional [en el momento de la elaboración de este artículo].
No obstante, existe mucha expectativa de la industria nacional de su promulgación y publicación como ley, puesto que si bien contiene un plazo de vacancia de 24 meses, varias organizaciones han tenido en consideración lo sucedido a nivel latinoamericano en países como Brasil y Ecuador, en los que los plazos de vacancia han sido insuficientes para que las instituciones puedan abordar oportunamente las obligaciones para aquellos responsables y encargados del tratamiento de los datos personales en sus actividades, ya que no se limitan a la dictación de políticas o procedimientos, sino a conocer en profundidad los procesos y tecnología en los que se encuentran los datos personales.
