- Nuestra asociada Constanza Pasarin advierte de choque de competencias, por ejemplo, para determinar a quién reportar un incidente o divergencias de criterios al establecer sanciones.
A paso firme avanzan dos proyectos de ley que se perfilan como clave para la adopción de nuevos marcos regulatorios para Chile.
La Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información fue aprobada en general en la Comisión de Seguridad Ciudadana de la Cámara de Diputados esta semana en su segundo trámite constitucional y la ley sobre Protección de Datos Personales se alista para la discusión de su tercer trámite.
Ambos proyectos establecen nuevas regulaciones, suben los estándares del país en sus respectivas materias y crean agencias de carácter técnico que operarán como los reguladores y fiscalizarán el cumplimiento de la ley en caso de ser aprobadas.
Si bien ambas iniciativas cuentan con respaldo transversal de parlamentarios y expertos, estos últimos han levantado alertas acerca de las potenciales duplicidades de competencias y facultades entre la Agencia Nacional de Ciberseguridad y la Agencia de Protección de Datos Personales, e incluso con otros reguladores como la Comisión para el Mercado Financiero (CMF) -que regula a las entidades de seguros, bancos y financieras – y el Servicio Nacional del Consumidor (Sernac).
Para el caso de la primera agencia, el proyecto de ley establece que contará con facultades regulatorias, fiscalizadoras y sancionatorias para los organismos de la Administración del Estados y de las instituciones privadas en esta materia.
En tanto, la de protección de datos personales, según el texto del proyecto, se encargará de dictar instrucciones generales relativas a las operaciones de tratamiento de datos, fiscalizar el cumplimiento de la ley y sancionar en los casos correspondientes.
Posibles “choques”
La integrante de la mesa de ciberseguridad de la Asociación Chilena de Empresas de Tecnologías de la Información (ACTI) y abogada del estudio Albagli Zaliasnik, Constanza Pasarin, señaló que la principal preocupación por la duplicidad de competencias entre ambas agencias es la certeza jurídica, debido a que tanto empresas como titulares de datos podrían no saber a qué órgano dirigirse o reportar incidentes de ciberseguridad o vulneraciones de datos.
Para la experta, existen posibles “choques” de competencias, como interpretaciones divergentes donde cada autoridad podría tener criterios diferentes y enfocarse en aspectos distintos.
También señaló la posibilidad de conflictos de intereses al tener dos o más autoridades revisando un mismo caso, lo que podría afectar la eficacia de las acciones de protección de datos; e incluso advirtió que puede verse afectado el principio que señala que no se puede ser juzgado y sancionado dos veces por un mismo hecho, pues ambas agencias tienen facultades sancionatorias.
Además, alertó que estas agencias podrían tener conflicto con otros reguladores, como el Sernac. “Tiene facultades en materia de consumo y ha dictado circulares sobre protección de datos personales”, aseguró.
En ese sentido, dijo que la coordinación “es clave” y espera que los parlamentarios puedan sumar más tiempo al debate de cada uno de los proyectos.
Lecciones internacionales
Los abogados plantearon que otros países han adoptado algunas medidas para evitar situaciones como las que se podrían generar una vez se promulguen estas leyes.
Mercado señaló que la directiva europea NIS1 establece que cuando una infracción considera incidentes de seguridad que violan datos personales, se debe reportar a las autoridades de datos personales, y en el caso que estas últimas impongan alguna sanción, el responsable de ciberseguridad debe abstenerse en lo que refiere al proceso sancionatorio.
Por otro lado, Pasarin acotó que algunos países han adoptado establecer un único regulador centralizado responsable de la protección de los datos, con la autoridad exclusiva en esta materia para garantizar una estructura de toma de decisiones.
Agregó que en otras latitudes se han asignado funciones específicas sobre la protección de datos y se han definido mecanismos de cooperación y coordinación entre los reguladores para evitar episodios de duplicidad de competencias.