Transformación Digital

Expertos alertan duplicidad de competencias en agencias de protección datos y de ciberseguridad

Los abogados Constanza Pasarin y José Ignacio Mercado recomiendan mayor coordinación entre las leyes para entregar certeza jurídica. Advierten de choque de competencias, por ejemplo, para determinar a quién reportar un incidente o divergencias de criterios al establecer sanciones.

Por: Renato Olmos | Publicado: Viernes 16 de junio de 2023 a las 04:00 hrs.
  • T+
  • T-
José Ignacio Mercado, director Carey Abogados. Constanza Pasarin, mesa ciberseguridad Acti y Asociada en Albagli Zaliasnik.
José Ignacio Mercado, director Carey Abogados. Constanza Pasarin, mesa ciberseguridad Acti y Asociada en Albagli Zaliasnik.

Compartir

A paso firme avanzan dos proyectos de ley que se perfilan como clave para la adopción de nuevos marcos regulatorios para Chile.

La Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información fue aprobada en general en la Comisión de Seguridad Ciudadana de la Cámara de Diputados esta semana en su segundo trámite constitucional y la ley sobre Protección de Datos Personales se alista para la discusión de su tercer trámite.

Ambos proyectos establecen nuevas regulaciones, suben los estándares del país en sus respectivas materias y crean agencias de carácter técnico que operarán como los reguladores y fiscalizarán el cumplimiento de la ley en caso de ser aprobadas.

Si bien ambas iniciativas cuentan con respaldo transversal de parlamentarios y expertos, estos últimos han levantado alertas acerca de las potenciales duplicidades de competencias y facultades entre la Agencia Nacional de Ciberseguridad y la Agencia de Protección de Datos Personales, e incluso con otros reguladores como la Comisión para el Mercado Financiero (CMF) -que regula a las entidades de seguros, bancos y financieras - y el Servicio Nacional del Consumidor (Sernac).

Para el caso de la primera agencia, el proyecto de ley establece que contará con facultades regulatorias, fiscalizadoras y sancionatorias para los organismos de la Administración del Estados y de las instituciones privadas en esta materia.

En tanto, la de protección de datos personales, según el texto del proyecto, se encargará de dictar instrucciones generales relativas a las operaciones de tratamiento de datos, fiscalizar el cumplimiento de la ley y sancionar en los casos correspondientes.

Posibles “choques”

La integrante de la mesa de ciberseguridad de la Asociación Chilena de Empresas de Tecnologías de la Información (ACTI) y abogada del estudio Albagli Zaliasnik, Constanza Pasarin, señaló que la principal preocupación por la duplicidad de competencias entre ambas agencias es la certeza jurídica, debido a que tanto empresas como titulares de datos podrían no saber a qué órgano dirigirse o reportar incidentes de ciberseguridad o vulneraciones de datos.

Para la experta, existen posibles “choques” de competencias, como interpretaciones divergentes donde cada autoridad podría tener criterios diferentes y enfocarse en aspectos distintos.

También señaló la posibilidad de conflictos de intereses al tener dos o más autoridades revisando un mismo caso, lo que podría afectar la eficacia de las acciones de protección de datos; e incluso advirtió que puede verse afectado el principio que señala que no se puede ser juzgado y sancionado dos veces por un mismo hecho, pues ambas agencias tienen facultades sancionatorias.

Además, alertó que estas agencias podrían tener conflicto con otros reguladores, como el Sernac. “Tiene facultades en materia de consumo y ha dictado circulares sobre protección de datos personales”, aseguró.

En ese sentido, dijo que la coordinación “es clave” y espera que los parlamentarios puedan sumar más tiempo al debate de cada uno de los proyectos.

Por otro lado, José Ignacio Mercado, director del estudio Carey Abogados y experto en protección de datos personales, destacó tres posibles casos en la duplicidad de competencias en materia de reportes de incidentes, facultades normativas y exigencias a los regulados.

Señaló que ambas agencias establecen el deber de reportar vulneraciones e incidentes, pero “la CMF también obliga a notificar incidentes operacionales”.

También mencionó que tanto las agencias y el regulador del mercado financiero, podrían dictar instrucciones, normas generales y obligatorias. “Es decir, para materias similares, tres reguladores podrían decir algo diferente. Resguardar adecuadamente el principio de coordinación de los órganos públicos resulta vital”, alertó.

Comentó, además, que ambas agencias podrían exigir a los regulados implementar medidas de seguridad o sistemas de gestión, a lo que se suman los lineamientos específicos que establece la CMF. “Podría haber una calificación distinta en cuanto a las medidas de seguridad por parte de las diferentes autoridades”.

Lecciones internacionales

Los abogados plantearon que otros países han adoptado algunas medidas para evitar situaciones como las que se podrían generar una vez se promulguen estas leyes.

Mercado señaló que la directiva europea NIS1 establece que cuando una infracción considera incidentes de seguridad que violan datos personales, se debe reportar a las autoridades de datos personales, y en el caso que estas últimas impongan alguna sanción, el responsable de ciberseguridad debe abstenerse en lo que refiere al proceso sancionatorio.

Por otro lado, Pasarin acotó que algunos países han adoptado establecer un único regulador centralizado responsable de la protección de los datos, con la autoridad exclusiva en esta materia para garantizar una estructura de toma de decisiones.

Agregó que en otras latitudes se han asignado funciones específicas sobre la protección de datos y se han definido mecanismos de cooperación y coordinación entre los reguladores para evitar episodios de duplicidad de competencias.

Lo más leído