Noticias

Modifica Ley del Consumidor.

Moción propone que las empresas que efectúen tratamiento de datos de consumidores informen al SERNAC de cualquier violación de seguridad que afecte sus bases de datos.

Corresponde ahora que la iniciativa en primer trámite constitucional sea analizada por la Comisión de Economía, Fomento y Desarrollo de la Cámara de Diputados.

26 de septiembre de 2018

La moción de los diputados Castro, Cid, Desbordes, Durán, Jürgensen, Kuschel, Mellado, Nuñez, Ossandón y Pérez Lahsen expone que la ciberseguridad es una condición caracterizada por un mínimo de riesgos para el ciberespacio, entendido como aquel conjunto de infraestructuras físicas, lógicas y las interacciones humanas que ahí convergen, donde los aspectos esenciales a resguardar se enmarcan en la confidencialidad, integridad y disponibilidad de la información. Este problema requiere –al menos- contar con respuestas institucionales, por un lado, y jurídicas por el otro. A nivel institucional, no se cuenta actualmente en la estructura estatal con instituciones especializadas que tengan por objeto prevenir u alertar previamente estos ataques. Tampoco se cuenta con instituciones que gestionen, una vez ocurridos estos ciberataques, los efectos o consecuencias que puedan producir en la población, que determinen su origen, que establezcan la identidad de los responsables y que recomiende medidas que tiendan a perfeccionar nuestra defensa en esta materia.

Enseguida, los diputados señalan que, por otro lado, se necesitan respuestas a nivel jurídico, requiriendo un estatuto especial que se haga cargo de esta particular materia y sus diversos fenómenos, tan relevantes para el siglo XXI y que se caracteriza por la reducida información que se controla, ya que la internet conocida solo representa 4% de todo el tráfico web del mundo, pues el 96 % restante se encuentra en la web profunda o “deep web”, lugar donde generalmente operan los hackers que perpetran los ciberataques y donde transan la información que recolectan fraudulentamente de las bases de datos que cuentan con información de los usuarios. Actualmente Chile solo destina 0,07 del PIB nacional en ciberseguridad, cifra que si bien ha aumentado en los últimos años (pasando en el año 2016 de US $187 millones a US $195 millones en el año 2017), nos sitúa muy por debajo del promedio mundial que destina alrededor de 0,12% del PIB para estas materias. Frente a ello, se debe poner todos nuestros esfuerzos para sentar las bases que nos permitirán lograr una sociedad digital segura y promover la inversión necesaria que nos permita concretarla.

Los autores agregan que en el mes de junio del 2018, el Superintendente de Banco e Instituciones Financieras se reunió con gerentes generales de los bancos Santander, de Chile, Estado, BCI, Itaú, Scotiabank, Falabella, Ripley, BBVA, Bice y Security, a fin de hacerles ver que debían tomar medidas adicionales a las vigentes. Sin embargo, en los últimos años, principalmente durante en lo que va del año 2018, se ha constatado lo frágil que es nuestro sistema de ciberseguridad y el grave riesgo que corre nuestra información en manos de particulares, que día a día suministramos a los distintos proveedores de servicios. Esta situación no afecta exclusivamente a la prestación de servicios financieros, sino que a la totalidad de prestadores de servicios que cuentan en sus bases de datos con información de sus clientes o usuarios, siendo los más relevantes el área de la salud y el comercio. A raíz de estas vulneraciones, se ha tomado conciencia que las vulneraciones de bases de datos con información de los consumidores en manos de proveedores de servicios (financieros o no), solo han salido a la luz y se han dado a conocer a la opinión pública a través de los distintos medios de comunicación por filtraciones o lo que es peor, por comunicados en que los mismos hackers se atribuyen su responsabilidad junto a la divulgación masiva de la información obtenida a partir del ciberataque. Esta situación resulta de la más extrema gravedad, ya que solo estas instancias nos permiten percatarnos de los ciberataques que sufren los consumidores, a diferencia de lo que ocurre en el derecho comparado donde, por ejemplo, a través del Reglamento de Protección de Datos de la Unión Europea o la legislación que regula los grandes mercados financieros, como Nueva York o Londes, las entidades se encuentran obligadas a reportar la vulneración a la autoridad competente. En Chile, muy por el contrario, depende de cada empresa y sus normas de cumplimiento la decisión de informar o no estos ciberataques. Existiendo mayor incentivo a mantener bajo reserva estas situaciones, dados los efectos negativos que reportan a la empresa como el prestigio de la marca, fuga de clientes, la reacción de los “stakeholders”, la valorización misma de la empresa, entre otros. Sin embargo, esta conducta es dañina ya que no soluciona el problema de fondo (pudiendo ser afectados nuevamente) y desincentiva la inversión en ciberseguridad, al poner sus esfuerzos en la sola contención de la noticia que en la prevención de estos hechos.

Por lo tanto, el proyecto de ley pretende establecer la obligación de los proveedores que tengan en sus bases de datos información de sus clientes y las operaciones que estos efectúen, de informar al Servicio Nacional del Consumidor y a sus clientes, de todo ataque o vulneración de seguridad de que sean objeto sus bases de datos que contengan la información de sus clientes, sus registros y operaciones de toda índole. Frente a la infracción de esta obligación, se establece como sanción la misma que se prescribe para las conductas consistentes en publicidad falsa o engañosa, esto es, con multas de hasta 750 UTM.

En razón de todo lo expuesto anteriormente, la moción modifica la Ley N° 19.496, que Establece Normas sobre Protección de los Derechos de los Consumidores, incorporando un nuevo artículo 14 bis que establece:

“Artículo 14 bis. Los proveedores, que efectúen el tratamiento de datos personales o comerciales de los consumidores y sus operaciones, tendrán la obligación de informar al Servicio Nacional del Consumidor y a los consumidores afectados, todo tipo de violación de seguridad que afectaren sus bases de datos o de las que se sirvan y que contengan información de sus clientes o usuarios, sin dilación indebida y desde el momento en que hayan tomado conocimiento del hecho.

La comunicación de estos hechos deberá efectuarse a través de cualquier medio físico o digital que resulte más idóneo y que garantice su celeridad. Si el proveedor cuenta con servicio de atención a los clientes, dispondrá y canalizaran a través de estos servicios las consultas y reclamos de los consumidores afectados.

La infracción a esta obligación, se sancionará con multa de hasta 750 Unidades Tributarias Mensuales. En caso de demora o dilación indebida se sancionará al proveedor con multa de hasta 1.000 Unidades Tributarias Mensuales”.

Corresponde ahora que la iniciativa en primer trámite constitucional sea analizada por la Comisión de Economía, Fomento y Desarrollo de la Cámara de Diputados.

 

 

Vea texto íntegro de la moción, discusión y análisis.

 

 

 

RELACIONADOS

* CPLT reiteró llamado a mejorar normativa en protección de datos personales y que impacta en Ciberseguridad…

* Filtración de datos: Solicitan delegado presidencial en materia de ciberseguridad…

Te recomendamos leer:

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir a la barra de herramientas