Raul Arrieta

Raul Arrieta

Abogado. Cursó sus estudios de Magíster en Derecho Público en la Universidad de Chile y es Diplomado en Derecho Administrativo por la misma Universidad. Es socio de Gutiérrez & Arrieta Abogados, oficina especializada en derecho y la tecnología. Entre 2001 y 2010 desempeñó diferentes cargos en el Gobierno. Es Profesor de Protección de Datos en la Universidad Central de Chile y Ex-Presidente y Consejero del Instituto Chileno de Derecho y Tecnologías.

Ciberseguridad: ¿Un mes para empezar a tomarse las cosas en serio o sólo para olvidar?

Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email

Durante el mes de octubre se celebra en Chile el “mes chileno de la ciberseguridad”. Sin embargo, al día de hoy, no hay mucho que celebrar al respecto. Tenemos, de una parte, un gobierno que no se toma en serio la relevancia de proteger activos de información y los datos personales. De otra parte, estamos frente a un Congreso que demuestra que el proceso legislativo no es capaz de atender las demandas ciudadanas ni tampoco regular adecuadamente fenómenos que, teniendo una larga data en nuestro país, siguen sin generar las condiciones básicas que propicien que la transformación digital sea una oportunidad real para el desarrollo de Chile y no una amenaza constante a los derechos más elementales de las personas.

En los últimos días se ha hecho público en la prensa la vulnerabilidad de los sistemas de seguridad de Gobierno Digital que ha permitido el hackeo y sustracción de la Claves Única de millones de chilenos. Este tipo de eventos, desde luego, tiene consideraciones tanto políticas como técnicas que, por su gravedad, deben tomarse muy en serio, cuestión que, aparentemente, el Gobierno no hace, toda vez que se limita a mencionar cinco días después de ocurrido el incidente, que habían sido hackeados, y que, pese a que se sustrajeron la base de datos, las claves no estarían en peligro por estar encriptadas. En buena hora, porque de lo contrario, en caso de mantenerse las claves en texto plano, el descalabro hubiera sido aún peor. 

Con esto queda en evidencia que el Gobierno cree que este es un problema de carácter técnico cuando, en verdad, no lo es. Este incidente pone de manifiesto la fragilidad del Estado chileno en materias digitales y, además, evidencia que el Gobierno no le toma el peso a la magnitud del impacto que tiene una acción de estas características. Además, deja en el entredicho el enorme esfuerzo que ha desplegado el país con miras a digitalizarse.

Adicionalmente se advierte que el Gobierno ha tratado a los chilenos como mercancía, sin preocuparse en ningún momento de informar adecuadamente a las personas respecto a que su Clave Única había quedado expuesta y, consecuentemente, el eventual acceso a un amplio conjunto de datos personales podría implicar una amenaza real. 

Respecto a lo anterior, llama la atención el trato diferenciado en cuanto a las exigencias de cuidado que se exige a los órganos de la Administración del Estado en contraposición a las instituciones privadas. Por ejemplo, la Comisión para el Mercado Financiero exige que las instituciones supervigiladas por ella informen sobre las brechas de seguridad dentro de los 30 minutos siguientes a que se ha tomado conocimiento de ella. Sin embargo, el Gobierno no solo informó luego de que transcurrieran cinco días, sino que, además, lo hizo por haber quedado al descubierto por un reportaje periodístico. Así, de no existir el reportaje, es razonable suponer que la información se hubiera mantenido en secreto dentro de las paredes de La Moneda, intentando minimizar un problema que en cualquier otro país en que el Gobierno Digital se tome en serio se exigiría, al menos, que se hiciera efectiva la responsabilidad política del Jefe del Servicio. 

Una de las obligaciones básicas ante incidentes de seguridad es informar inmediatamente a los titulares de datos que éstos han quedado expuestos para solicitar, justamente, que sean ellos quienes tomen las medidas necesarias destinadas a minimizar el impacto que el incidente podría ocasionar. En palabras simples, se hubiera agradecido el envío de un correo electrónico en que se recomendara cambiar las contraseñas de la Clave Única.  

En el contexto de la pandemia del Covid-19, la Clave Única se ha convertido en un servicio vital al facilitar la realización de muchos trámites con los que se gestiona una gran cantidad de información personal de los chilenos. Así, sin duda, se trata de un activo crítico para asegurar la identidad de las personas y, con ello, brindar la confianza en la legitimidad y capacidad que tiene la persona que, por medios electrónicos se relaciona con la Administración del Estado. 

Ahora, dejando de lado el bajo desempeño del Gobierno, cabe preguntarse, además, qué está pasando en el Congreso con los proyectos de ley que, justamente, buscan proteger a las personas ante eventos como el ocurrido esta semana. El Gobierno Digital requiere de la confianza de los ciudadanos en las instituciones, así como también en las herramientas y medios puestos a disposición que propicien tanto el ejercicio de sus derechos como el cumplimiento de sus obligaciones con la Administración del Estado.

Al preguntarse qué es lo que ha fallado como para permitir que situaciones como las ocurridas esta semana, en las que se pone en evidencia la mala gestión en el tratamiento de información, sin repercusiones desde la perspectiva de la responsabilidad que debiera asumir el responsable, y dejando de lado el bajo desempeño del Gobierno, uno debiera poner atención también en la gestión del Congreso, especialmente respecto a la tramitación de dos proyectos: en primer lugar está el proyecto de ley que actualiza los delitos informáticos, de manera que se pueda perseguir penalmente a los ciberdelincuentes y, en segundo lugar, el proyecto de ley de protección de datos personales que ajusta los estándares en la materia, permitiendo atribuir responsabilidad a quienes, teniendo a su cargo bases de datos, han cometido infracciones al incumplir las obligaciones a las que se someten. Cabe advertir que, respecto a ambos proyectos, Chile se encuentra en deuda, incumpliéndose así los compromisos asumidos al suscribir, el año 2016, el convenio de Budapest sobre ciberdelincuencia respecto al primero, y los compromisos asumidos con la OCDE desde el 2010 respecto al segundo. 

Además, me parece inaceptable que, en el caso del proyecto de ley de Protección de Datos Personales sea la industria, sociedad civil y la academia quienes clamen por el fortalecimiento y mejoras normativas sobre esta materia, mientras el proyecto se mantiene estancado y sin tramitación desde enero de este año. Estoy de acuerdo con que nos hemos enfrentado a un año complejo en que han pasado muchas cosas. Sin embargo, los acontecimientos de este año no han hecho sino confirmar que es precisamente el uso de la tecnología lo que ha permitido desarrollar nuestras actividades y mantener al país dentro de una relativa normalidad. Así las cosas, si las tecnologías se desarrollan en un entorno ético y regulatorio que permita asegurar que, ante eventos como el de esta semana a propósito de la Clave Única, se sancionará e informará oportunamente a las personas, se estaría en presencia de una madurez normativa que permitiría que el impacto de este tipo de incidentes en los derechos fundamentales no sea tan lesivo.

La solución, desde luego, no está en tramitar estos proyectos de forma precipitada, sin embargo, en un sistema de tramitación legislativa en que en promedio los proyectos relativos a cuestiones tecnológicas toman más de cinco años, queda claro que la prioridad no está bien puesta y, realmente, no se tiene la convicción de que con un desarrollo tecnológico correcto estaríamos ante la posibilidad de hace de Chile un país más justo y con pleno respecto de los derechos de las personas en materia digital. 

Más del autor

Documentación Electrónica y Notariado: Quo vadis?

“Dado lo anterior, es indispensable que todos los involucrados y principalmente los notarios no estén renuentes ni ausentes de la discusión, de modo que se genere un diálogo que sea efectivo y que verdaderamente permita incorporar la tecnológica al quehacer de la documentación que requiere intervención de los datarios de fe pública.”

Alineando la protección de datos personales

No hay duda qué ello puede ser altamente popular, sin embargo, creo que es la consecuencia de tener un sistema de Protección de Datos personales que no de garantías y que ha permitido abusos que han terminado de crear un sistema basado en la desconfianza respecto de la forma en qué se trata la información relativa a las obligaciones de carácter económico financiero bancario o comercial.

Más para leer

Quién sabe, hay que preguntarle a Radomiro

Suscríbete a nuestro Newsletter

¡Mantente al día con las novedades de Entrepiso y suscríbete para que la información llegue directamente a tu correo electrónico!