Las indicaciones clave al proyecto de Ley Marco sobre Ciberseguridad

 

Por: Renato Olmos, Diario Financiero.

En tierra derecha está el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, el cual crea una un modelo de gobernanza que promueve la gestión de riesgo y la implementación de estándares de ciberseguridad.

Esta semana, el Ejecutivo y parlamentarios ingresaron una serie de indicaciones al proyecto, las que comenzarán a discutirse el próximo miércoles 26 de julio en la Comisión de Seguridad Ciudadana de la Cámara de Diputados, en su segundo trámite constitucional.

Si bien la iniciativa, que fue ingresada en marzo de 2022 por el exPresidente Piñera, goza de apoyo transversal en su contenido -obtuvo la aprobación unánime del Senado en su primer trámite constitucional- varios expertos que han asistido a las comisiones durante su debate han advertido de ciertos aspectos que debieran ser corregidos.

Entre ellas, potenciales duplicidades de facultades entre la Agencia Nacional de Ciberseguridad que crea esta ley con otros reguladores como la Comisión para el Mercado Financiero (CMF) y el Servicio Nacional del Consumidor (Sernac); y los acotados plazos para reportar incidentes.

El Gobierno hizo eco al enviar 22 indicaciones al proyecto de ley, las que se suman a las más de una docena de parlamentarios que integran la comisión que discute su tramitación.

Instituciones críticas

Entre las 22 enmiendas del documento de 11 páginas, el Ejecutivo elimina la excepción de aplicabilidad de las disposiciones de la ley a las empresas y sociedades del Estado o en que éste tenga participación accionaria superior al 50%, dándole un tratamiento similar a cualquier empresa privada.

Además, el texto original solo considera el procedimiento y características que debían tenerse en cuenta para calificar a los servicios esenciales, mientras que ahora se precisa e identifican 12 servicios, como telecomunicaciones; generación, transmisión y distribución eléctrica; servicios comerciales de transportes; o bancarios y financieros.

También se establecen cambios en el proceso para reportar incidentes de ciberseguridad al Equipo de Respuesta de Incidentes ante incidentes de seguridad informática (CSIRT) y se aplica la obligación de reportar a los organismos de la Administración del Estado, así como los operadores de servicios esenciales y los operadores de importancia vital, además de las instituciones privadas que sean determinadas por la Agencia Nacional de Ciberseguridad.

Respecto a las indicaciones del Ejecutivo, la diputada Lorena Fries (CS) comentó que avanzan en la dirección correcta y se apegan a lo que se ha hecho, por ejemplo, en la Unión Europea en materia de ciberseguridad. “Buscan precisar el alcance de la ley y los sujetos que están obligados como los organismos del Estado e instituciones privadas”.

La parlamentaria también destacó que las enmiendas otorgan mayor certeza en ámbitos como el deber de reportar eventos de ciberseguridad y un adecuado tratamiento de datos personales.

En tanto, para el socio de Magliona Abogados y presidente de la mesa legal de la Asociación Chilena de Empresas de Tecnologías de la Información (ACTI), Claudio Magliona, las indicaciones “recogen las preocupaciones expuestas (…) al eliminar tratos no igualitarios con las empresas del Estado e incorporar un catálogo de servicios esenciales para dar certeza jurídica”, dijo.

No obstante, señaló que si bien las facultades fiscalizadoras de la Agencia Nacional de Ciberseguridad, “fueron acotadas”, “se debe detallar más (su alcance)”.

Choque entre reguladores

Parlamentarios de la oposición también ingresaron enmiendas para la discusión. Entre ellos, el diputado Andrés Longton (RN), el diputado José Miguel Castro (RN) y el diputado y presidente de la Comisión de Seguridad, Jorge Alessandri (UDI).

Alessandri envió más de una docena de indicaciones y señaló que las del Ejecutivo avanzan en la dirección correcta, pero que “le falta especificar”.

“Hay varias (de nuestras indicaciones) en el mismo sentido, porque básicamente son las recomendaciones que han hecho los expertos (…) habían choques entre reguladores y no tiene sentido que, por ejemplo, los bancos, que ya tienen un regulador, tengan que reportar a uno nuevo”, subrayó el parlamentario.

Este proyecto de ley formaba parte de un amplio listado que el Congreso y Gobierno acordaron tramitar en un período de 75 días. Sin embargo, aquel plazo expiró junto con otras legislaciones que aún siguen su trámite en ambas cámaras.

Respecto a los plazos para despachar el proyecto de la Comisión de Seguridad Ciudadana, el diputado Alessandri afirmó que, en su calidad de presidente, se dará prioridad al trámite del proyecto de ley que regula los delitos de ocupaciones de inmuebles (usurpaciones).

En tanto, el proyecto de Ley Marco sobre Ciberseguridad podría ser votado en un plazo de un mes para, en caso de sortear el trámite, pasar a su tercer trámite constitucional y quedar ad portas de convertirse en ley.