Copiar enlace

Al cierre del mes de marzo, el presidente Gabriel Boric promulgó la Ley Marco de Ciberseguridad; bajo el objetivo de proteger los derechos de las personas en el contexto digital. Lo que convierte a Chile en el primer país de la región en tener una normativa concreta al respecto.

Para la creación de protocolos y estándares para prevenir, reportar o resolver inconvenientes de ciberataques, se creará la Agencia Nacional de Ciberseguridad (ANCI).

La Ley Marco de Ciberseguridad estará orientada a prevención y acción contra virus o spam, entre otros incidentes

El mandatario detalló que la Ley Marco de Ciberseguridad servirá para prevenir y enfrentar diversos incidentes, como por ejemplo la suplantación de identidad, el envío de virus, los sabotajes, los cortes de servicios, los mensajes o llamadas de spam, entre muchos otros.

Por eso, la ANCI estará encargada de regular, fiscalizar y sancionar las acciones de los organismos que forman parte del ámbito de aplicación en materia de ciberseguridad, entre ellos: los de generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustible; suministro de agua potable o saneamiento; telecomunicaciones e infraestructura digital; banca, servicios financieros y medios de pago; servicios postales y mensajería.

Sanciones

Las sanciones se dividirán en tres categorías, conforme a su incapacidad para adoptar las medidas necesarias para reducir el impacto o propagación de algunos de los inconvenientes mencionados con anterioridad:

  • Leves, equivalentes a una multa de hasta 10.000 unidades tributarias (UTM).
  • Graves, de 10.000 hasta 20.000 UNT.
  • Gravísimas, de 20.000 hasta 40.000 UNT.

Una ley vinculada, puesta en reestructuración

La ley de protección de datos personales, por su parte, se encuentra en plena reestructuración, ya que el Gobierno está consciente de que no se adapta a la nueva realidad de Chile, en la que la digitalización y el internet tienen gran protagonismo.

Ésta, vigente desde el año 1999, establece distintos puntos en cuanto al tratamiento de los datos personales por parte de empresas públicas o privadas. Entre ellos, destacan los siguientes:

En el proceso de recopilación de datos, independientemente de que sea a través de encuestas u otros instrumentos, se le debe informar a las personas el carácter de su respuesta (obligatoria o voluntaria) y bajo qué objetivo se está llevando dicha acción: para desarrollar una campaña de publicidad, para ajustar sus productos o servicios, etc.

Si por el contrario, esta información proviene de de fuentes no accesibles al público, como por ejemplo la base de datos de clientes de determinada organización, se debe garantizar su confidencialidad al 100 %.

Con respecto a los datos sensibles, sólo pueden tratarse en tres circunstancias: si la ley lo autoriza, si se cuenta con el consentimiento expreso del titular o si son necesarios para beneficios en temas vinculados a la salud de la población.

Cambios que propone su actualización

Estos son cinco de los puntos más relevantes que propone la actualización de la normativa mencionada con anterioridad:

  • Principio de confidencialidad y transparencia: además de garantizar la seguridad y evitar uso no autorizado de los datos personales, las empresas o terceros responsables deberán aplicar controles de acceso indebido a ellos.
  • Exposición de derechos: se le debe brindar a los titulares toda la información pertinente para que puedan ejercer sus derechos. Esto incluye explicarles sobre la sensibilidad que tienen los datos, con qué filtro de seguridad cuentan para la protección de éstos, etc.
  • Consentimiento: se ampliarán los medios por los cuales los titulares puedan consentir el uso de datos. De hecho, las declaraciones verbales o por medios electrónicos serán tan válidas como las escritas.
  • Autoridad de control: se buscará la creación de una agencia de protección de datos personales, la cual tendrá la obligación de recibir denuncias y de instruir, fiscalizar o sancionar a las empresas que no sepan darle un buen manejo a los mismos.
  • Evaluación de impacto: se podrá realizar una evaluación de riesgos en caso de que un proyecto ejercido por determinada compañía contenga un registro de datos personales de alto riesgo, sea sensible, implique el monitoreo sistemático de zonas de acceso público o sea de gran escala.

Imagen: Dall-e

Escribir comentario

¡Mantente al día!