1.Resulta algo inquietante escuchar de especialistas en diversas áreas del conocimiento una supuesta “espera de futuras regulaciones” en ciberseguridad y protección de datos personales, como si la legislación actual fuese un impedimento para dar cumplimiento al derecho fundamental de la protección de datos personales o a las obligaciones relativas a la ciberseguridad.
2. No podemos compartir dicha premisa de esperar a futuras leyes de ciberseguridad, de delitos informáticos o de tratamiento de datos personales para fundar legalmente la responsabilidad de los servicios públicos ante posibles negligencias, y por cierto tampoco para el sector privado. A esta fecha en Chile ya están establecidas claramente responsabilidades y obligaciones para cuando ocurren situaciones que pueden posibilitar el acceso –por ejemplo- a información personal de los chilenos, las que se pueden optimizar y especificar, pero el sistema de Derecho Público relacionado con la seguridad de sistemas y la ciberseguridad de servidores y redes tiene herramientas jurídicas para responder a vulnerabilidades y negligencias.
3. El marco jurídico de Derecho Público existe desde hace años, aunque pareciera que se le desconoce cuando mediante la prensa sistemáticamente se hacen llamados a apurar leyes futuras y se remiten instrucciones o recomendaciones generales, sin tener competencia para ello. Si, bien las recomendaciones de cumplimiento legal siempre son bienvenidas, dichas acciones más bien han aportado a la desinformación, y nos recuerdan la necesidad de contar a la brevedad con una autoridad de control especializada, que cuente con los conocimientos técnicos necesarios para velar por la protección de datos personales y entender su rol en las democracias occidentales, en especial en su relación con los derechos humanos y en la economía digital.
A propósito de la Confidencialidad, entre otras varias normas jurídicas, la LGBAE establece la responsabilidad objetiva o por riesgo; el DS 83 obliga al resguardo de la información crítica basado en un enfoque de Gestión de Riesgos; la ley 19.799 permite la encriptación y la aplicación de diversas medidas técnicas para asegurar los efectos propios de la firma electrónica avanzada; además, por su parte, las leyes orgánicas propias de cada servicio u órgano de la administración del Estado establecen obligaciones de secreto tales como el secreto estadístico, el secreto tributario, la libre competencia, entre otros; las nuevas exigencias de seguridad y de ciberseguridad de la ley 19.880; la NCh oficial del INN publicó la ISO 27001-2013; la ley 19.628 hoy establece responsabilidades por el tratamiento de datos personales en el sector público; y existe obligación legal expresa de denunciar delitos a los Tribunales -bastante más eficaz como medida de contingencia que la obligación de notificar vulnerabilidades a los afectados- y se desconocen o se dejan de lado y no se operativizan.
Así, no creemos válido ni serio jurídicamente el argumento de que a futuro, cuando existan leyes idóneas, se podrá tutelar la seguridad de los SGSI del sector público y atribuir responsabilidades. Es errado declarar que la ciberseguridad se logra con leyes de protección de datos, porque se alcanza con acciones preventivas mandatadas por otras normas y estándares transversales, como por ejemplo el artículo 19 de la ley 19.880 que contempla una nueva exigencia específica para las plataformas, en pos de que exista integridad, confidencialidad y disponibilidad de la información. La confidencialidad es una cualidad de la información que está tratada de manera exhaustiva pero dispersa en diversos cuerpos legales, los cuales protegen diversos bienes jurídicos, a su vez, el derecho fundamental a la protección de datos personales es un nicho específico del Derecho, que dice relación con las personas y la información que se asocia nominativamente a ellas, a partir de los cual deben establecerse sanciones, resguardos y responsabilidades más concretas que las genéricas actuales, pero, por ejemplo, la información patrimonial es mucho más relevante en materia de delitos informáticos y por eso su connotación de delitos “económicos”.
4. A modo de ejemplo (i) no resulta serio ni puede ser considerado un eximente o atenuante de responsabilidad el hecho de no saber que los delitos informáticos tipificados nunca han evitado las vulnerabilidades, en especial, porque los sujetos activos (“atacantes”) que los cometen saben que es difícil que los detecten y no sienten temor a que ello ocurra; gana la adrenalina del desafío. Sobre un tema de moda, (ii) las redes 5G no se implementan ni operan solas y quien lo haga debe responder de no haber adoptado medidas de seguridad al hacerlo. Y (iii) a esta fecha la legislación ya exige que se implementen medidas técnicas y organizativas de seguridad en sus sistemas, tanto en la ley de protección de datos como en el DS 83, las cuales son detalladas incluso en sus controles con la NCh Oficial 27001-2013.
5. Sobre la urgencia de una nueva ley de delitos informáticos, dejando de lado la amenaza de sanciones o reproche jurídico al delincuente que los cometa, sea un empleado o un funcionario interno, sea un agente externo que accesa los sistemas, la consecuencia importante para los sistemas de gestión de la información (SGSI), de empresas y servicios públicos, es la necesidad de ser diligentes en su prevención. Esa diligencia, a una empresa se la exigirán sus accionistas y a un servicio público los ciudadanos pero fundadas en normas y responsabilidades diversas, con lo cual, la base jurídica para prevenir o precaver formalmente en los ámbitos del cumplimiento normativo no es la misma. El objetivo esencial es la exigencia de preconstituir diligencia, de actuar proactivamente previniendo de la mejor manera posible e invirtiendo los recursos necesarios en proporción a la envergadura de los sistemas, donde implementar monitoreos externos, asegurar los endpoints ante la radical conectividad vía redes de la gestión moderna en contextos de trabajo remoto, serán tan esenciales como mantener corriendo programas antivirus.
6. En este contexto, el delito del que fue objeto el sistema de claves únicas del Estado no ha causado perjuicio a los titulares de las claves únicas, salvo el reputacional al servicio público. El mayor grado de diligencia preventiva queda demostrado porque la data accesada estaba encriptada o codificada, y por ende en vez de cuestionamientos procedían reconocimientos ya que en ningún caso hubo una exfiltración de datos personales. Todo analista de seguridad o ciberseguridad sabe que las vulnerabilidades son inevitables, pero si no hay objetividad, si bajo la fórmula no sincera de declarar «no hacer leña del árbol caído» se desinforma y se reclama por la supuesta falta de legislación ad hoc pendiente que abrirá nichos de negocios y consultoría, la crítica no es válida.
La clave única es un mecanismo de autenticación y no es, aisladamente considerada, un dato personal, porque no identifica a nadie salvo que se le asocie a un nombre o a un identificador único como el rut; nada dice y así considerada es nada. El indexador lo crea el propio titular; le dan una clave de activación y luego la genera; y su almacenamiento y uso seguro es responsabilidad de dos partes: el que la almacena y presta el servicio de identificación asociando clave y rut y el titular. Respecto a la clave única no cabe hablar de un dominio absoluto, exclusivo y perpetuo, es decir, no hay propiedad en el sentido jurídico del término; pero asociada si es un atributo de la personalidad de su titular (de su patrimonio moral, sobre el cual se es dueño; derechos sobre derechos). (Santiago, 27 diciembre 2020)