Es importante que todas las empresas, hagan un profundo análisis de sus operaciones, para anticiparse a estos cambios legislativos en Datos, Ciberseguridad e Inteligencia Artificial.
Actualmente vivimos en un mundo en constante evolución, donde la tecnología ocupa un lugar primordial en nuestras vidas. La digitalización de la información ha transformado no solo la manera de comunicamos, sino también la forma de trabajar y aprender.
Esta transformación ha creado la necesidad urgente de establecer una gobernanza adecuada y medidas de cumplimiento en todos los ámbitos relacionados con las diversas esferas tecnológicas.
Así, resulta esencial que tanto las personas como las empresas adopten enfoques y prácticas que se alineen con las nuevas normativas sobre protección de datos personales, ciberseguridad, y la próxima ley que se apruebe en inteligencia artificial.
Ley de Protección de Datos Personales
La entrada en vigencia de la nueva normativa será un plazo de 2 años contados desde la fecha en que se publique la ley en el Diario Oficial. Actualmente está en el trámite de control preventivo obligatorio ante el Tribunal Constitucional.
Aspectos Principales
Principales cambios a la Ley de Protección de Datos Personales:
1. Se incorporan nuevas bases de licitud para el tratamiento de datos, modificándose los requisitos del consentimiento con base legal, y eliminando los datos de fuentes de acceso público como base habilitante autónoma.
2. Se tipifican expresamente los principios que deben resguardarse en el tratamiento de datos personales.
3. Los derechos de los titulares son intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención: Acceso, rectificación, supresión, oposición, portabilidad.
4. Obligación de incorporar medidas de seguridad.
5. Nueva autoridad de control (se crea la Agencia Nacional de Protección de Datos).
6. Deber de reportar vulneraciones.
7. Modelo de Prevención de Infracciones como atenuante de responsabilidad.
8. Se regulan las transferencias internacionales.
9. Nuevo régimen sancionatorio y de infracciones.
10. Se imponen obligaciones a los encargados del tratamiento.
Obligados/ entidades reguladas
La ley afecta a todas las entidades que realicen tratamiento de datos personales, independientemente de su tamaño o naturaleza, tanto en la calidad de responsable del tratamiento como encargado del tratamiento. Esto incluye tanto a pequeñas como grandes empresas y personas naturales.
Aunque las PYMES tendrán un «plazo de gracia» de 12 meses adicionales para adecuarse, todas, incluidas las personas naturales deberán cumplir eventualmente con las disposiciones establecidas. No cumplir con las normativas podría resultar en sanciones significativas, incluso para las pequeñas empresas y personas naturales que manejen datos personales. Hay hipótesis de aplicación extraterritorial, como el caso de responsables y encargados ubicados fuera de Chile, en que aplicará si es que el tratamiento recae sobre titulares ubicados en Chile.
Sanciones
Se definen categorías de infracciones (leves, graves y gravísimas) junto con sus correspondientes sanciones asociadas, y se crea un procedimiento sancionador ante la Agencia. En situaciones de reincidencia, se contempla la suspensión de las operaciones de tratamiento por un período de hasta 30 días.
– Infracción Leve: Desde 1 a 5.000 UTM. (ej: incumplir deber de información y transparencia)
– Infracción grave: Desde 5.001 a 10.000 UTM. (ej: realizar tratamiento de datos personales sin una base legal para el tratamiento)
– Infracción gravísima: Desde 10.001 a 20.000 UTM. (ej: efectuar tratamiento en forma fraudulenta).
Además, se establece la posibilidad de que el titular afectado demande la indemnización de perjuicios en sede civil.
Autoridad fiscalizadora y otras entidades relevantes
Se crea la Agencia Nacional de Protección de Datos como órgano administrativo de naturaleza técnica. Su principal función será la de formular directrices relacionadas con el tratamiento de datos. Además, fiscalizará el cumplimiento de la normativa y tendrá potestad sancionatoria (los procedimientos por infracción se tramitarán ante ella).
Proyecto de Ley de Inteligencia Artificial
Estado: Primer trámite constitucional. En sus disposiciones transitorias se establece que las normas de la presente ley entrarán en vigencia el primer día hábil del año siguiente a su publicación en el Diario Oficial.
Aspectos Principales
El objetivo del proyecto es fomentar la creación, desarrollo, innovación e implementación de sistemas de inteligencia artificial que beneficien a las personas, asegurando al mismo tiempo el respeto a los principios democráticos, el Estado de Derecho y los derechos fundamentales. – Regula los riesgos de los sistemas de IA, pero con miras a fomentar el crecimiento económico, la inversión extranjera y la protección de los derechos fundamentales de los usuarios. – Coherencia institucional: Riesgo asociados a los datos que procesan. – Prudente, adecúa el estándar y mantiene enfoque preventivo no restrictivo.
Propone una modificación a la Ley de Propiedad Intelectual N° 17.336, incorporando el artículo 71 T, en donde se establece que será lícito, sin remunerar ni obtener autorización del titular, todo acto de reproducción, adaptación, distribución o comunicación al público, de una obra lícitamente publicada, cuando dicho acto se realice exclusivamente para la extracción, comparación, clasificación, o cualquier otro análisis estadístico de datos de lenguaje, sonido o imagen, o de otros elementos de los que se componen un gran número de obras o un gran volumen de datos, siempre que dicha utilización no constituya una explotación encubierta de la obra o de las obras protegidas.
Clasifica la IA acorde al riesgo asociado:
a) Sistemas de IA de riesgo inaceptable: Agrupa a sistemas de IA incompatibles con el respeto y garantía de los derechos fundamentales de las personas, por lo que su introducción en el mercado o puesta en servicio se encuentra prohibida.
b) Sistemas de IA de alto riesgo: Agrupa a sistemas de IA autónomos o componentes de seguridad de productos que pueden afectar negativamente a la salud y la seguridad de las personas, sus derechos fundamentales o el medio ambiente, así como los derechos de los consumidores.
c) Sistemas de IA de riesgo limitado: Agrupa a sistemas de IA que presentan riesgos no significativos de manipulación, engaño o error, producto de su interacción con personas naturales.
d) Sistemas de IA sin riesgo evidente: Agrupa a todos los demás sistemas de IA que no entran en las categorías mencionadas en los literales precedentes.
Obligados/ entidades reguladas
La Ley aplica a proveedores (entidad que desarrolla el sistema) e implementadores (entidad que usa el sistema) de sistemas de IA, tanto domiciliados en territorio nacional o extranjeros, pero cuya información de salida se utilice en Chile. Asimismo, aplica a importadores y distribuidores de sistemas de IA, junto a sus representantes. Se excluye:
– Sistemas de IA con fines de defensa nacional. – Investigación, prueba y desarrollo de sistemas de IA previos a su introducción en el mercado.
– Los componentes de IA proporcionados a propósito de licencias libres y de código abierto.
Sanciones
– Infracción Leve (incumplimiento de las obligaciones de transparencia): Multa a beneficio fiscal de hasta 5.000 UTM.
– Infracción grave (incumplimiento de normas impuestas a los sistemas de alto riesgo en artículo 8): Multa a beneficio fiscal de hasta 10.000 UTM.
– Infracción gravísima (puesta en servicio o utilización de un sistema de riesgo inaceptable): Multa a beneficio fiscal de hasta 20.000 UTM.
Autoridad fiscalizadora y otras entidades relevantes
El proyecto de ley define principalmente dos instituciones que van a aplicar en el resguardo y cumplimiento de las obligaciones:
1) Consejo Asesor Técnico de Inteligencia Artificial: Integra a otros actores de la industria. Representantes del gobierno (distintos ministerios), personas de la academia, representantes de la industria tecnológica y de organizaciones de la sociedad civil.
2) Agencia Nacional de Datos Personales: Fiscalizar, determinar las infracciones e incumplimientos, ejercer la potestad sancionadora y resolver la solicitudes y reclamos que formulen las personas afectadas.
Nótese que es la misma autoridad fiscalizadora de los datos personales, debido a que por la naturaleza muy vinculada con datos personales de muchos sistemas de IA, se considera beneficioso que la misma entidad sea la que los regule.
Ley Marco de Ciberseguridad
Corresponderá al Presidente de la República expedir, en un plazo de un año contados desde la publicación en el Diario Oficial (que fue el 8 de abril de 2024), uno o varios decretos con fuerza de ley, los que establecerán el período de vacancia antes de la entrada en vigencia de las disposiciones de la Ley (que no podrá ser menor a seis meses a partir de su publicación).
Aspectos Principales
Tiene por objetivo establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y de los particulares que prestan servicios esenciales para el funcionamiento del país. Establece un modelo propio de gobernanza en ciberseguridad. El marco regulatorio será aplicable tanto al sector público como el privado, en cuanto los operadores puedan definirse como prestadores de servicios esenciales y/o operadores de importancia vital.
Dependiendo de cómo sean clasificados se le asignan los deberes y obligaciones que establece la Ley y a la vez, las sanciones aplicables en caso de incumplimiento. Se crea institucionalidad especializada a cargo de vigilar el cumplimiento de la ley, sin perjuicio de las normas relativas a ciberseguridad que sean dictadas por las autoridades sectoriales, que en general prevalecerán por sobre las normativas y directrices generales de esta ley.
Obligados/ entidades reguladas
Las disposiciones de la ley aplican a:
a) Organismos del Estado y empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.
b) Servicios esenciales: Aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público, y los proveídos por instituciones privadas que realicen las siguientes actividades: – Generación. – Transmisión o distribución eléctrica. – Transporte, almacenamiento o distribución de combustibles. – Suministro de agua potable, saneamiento o telecomunicaciones. – Infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros. – Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva. – Banca, servicios financieros y medios de pago. – Administración de prestaciones de seguridad social. – Servicios postales y de mensajería, prestación institucional de salud por entidades, tales como hospitales, clínicas, consultorios y centros médicos. – Producción y/o investigación de productos farmacéuticos. No es taxativa: La Agencia podrá calificar otros servicios como esenciales.
c) Operadores de Importancia vital: La Agencia establecerá mediante resolución dictada por el Director o la Directora Nacional a los prestadores de servicios esenciales que sean además calificados como operadores de importancia vital. Siempre y cuando se cumpla con los requisitos establecidos en la ley. Además, se podrán calificar como Operadores de Importancia Vital a empresas que no tengan la calidad de prestadores de servicios esenciales, si cumplen con requisitos especiales.
Sanciones
Las sanciones y procedimientos sancionatorios serán los que correspondan a la autoridad sectorial de conformidad a su normativa. Fuera de dichos casos, corresponderá a la Agencia fiscalizar, conocer y sancionar las infracciones.
Sanciones Generales:
– Infracción Leve: Multa a beneficio fiscal de hasta 5.000 UTM. (ej: entregar fuera de plazo información que se le requiera cuando ella no fuera necesaria para la gestión de un incidente de ciberseguridad)
– Infracción grave: Multa a beneficio fiscal de hasta 10.000 UTM. (ej: No haber implementado los protocolos y estándares establecidos por la Agencia para prevenir, reportar y resolver incidentes de ciberseguridad)
– Infracción gravísima: Multa a beneficio fiscal de hasta 20.000 UTM. (ej: Entregar a la Agencia información manifiestamente falsa o errónea, cuando ella sea necesaria para la gestión de un incidente de ciberseguridad)
Sanciones especiales-Operadores de Importancia Vital:
– Infracción Leve: Multa a beneficio fiscal de hasta 10.000 UTM.
– Infracción grave: Multa a beneficio fiscal de hasta 20.000 UTM.
– Infracción gravísima: Multa a beneficio fiscal de hasta 40.000 UTM.
Autoridad fiscalizadora y otras entidades relevantes
1) Se crea la Agencia Nacional de Ciberseguridad, entidad, de carácter técnico, que estará encargada de fiscalizar la aplicación de la ley, y ante la cual se tramitarán los procedimientos de infracción. Sin perjuicio de esto, las autoridades sectoriales (ej: CMF) serán plenamente competentes para fiscalizar y conocer las infracciones a las normas sectoriales en materia de ciberseguridad que hayan dictado. Dentro de esta Agencia se creará el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), cuya función central es combatir los ciberataques o incidentes de ciberseguridad de efecto significativo.
2) Se crea el Consejo Multisectorial sobre Ciberseguridad, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia Nacional de Ciberseguridad en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.
3) Se crea la Red de Conectividad Segura del Estado, que proveerá servicios de interconexión y conectividad a internet a los Ministerios, las Delegaciones Presidenciales Regionales y Provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa
4) Se crea el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.
5) Se crea el Comité Interministerial sobre Ciberseguridad, el cual tendrá por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país. Estará conformado principalmente por representantes del Gobierno.
En este contexto, será muy relevante dar seguimiento a estas tres normativas (esperando la aprobación del proyecto de ley de Inteligencia Artificial), en lo que hemos denominado “triada de cumplimiento digital”. En efecto, las tres normativas están estrechamente vinculadas, y una considerable cantidad de empresas quedará obligada a cumplir con toda la regulación.
¿Cómo aplica en la práctica?
Por ejemplo, imaginemos una institución financiera, como un banco comercial.
El banco, por un lado, es una empresa que presta un servicio esencial (la ley califica como servicios esenciales a la banca y finanzas) por lo que deberá cumplir con la Ley N°21.663, con toda la normativa de ciberseguridad que pueda dictar, en primer lugar, la autoridad sectorial (en este caso, la Comisión para el Mercado Financiero), y en subsidio, la Agencia Nacional de Ciberseguridad. Además, probablemente la Agencia califique al banco como operador de servicio esencial, elevando aún más los riesgos y sanciones a que se verá expuesto.
Por otro lado, los bancos, por la naturaleza misma de su negocio, realizan un tratamiento exponencial de datos personales en el día a día (ej: nombres de clientes, números de de cuentas corrientes, números de tarjetas de crédito, etc), debiendo por tanto cumplir con la Ley N°19.628 y con todas las obligaciones que se imponen a las empresas que realizan tratamiento de datos personales, con un alto grado de riesgo, por lo que deberán incorporar modelos de cumplimiento efectivos.
Por último, supongamos que este mismo banco ha adoptado una app para gestionar transferencias bancarias en que sus clientes pueden acceder mediante reconocimiento facial, lo que implica el uso de inteligencia artificial. Así, por el uso de esta app el banco quedará sujeto a la futura ley de inteligencia artificial (en su calidad de “implementador” de la app) y deberá cumplir los estándares según el tipo de riesgo asociado a este sistema de reconocimiento facial.
Es importante que todas las empresas, de todos los rubros hagan un profundo análisis de sus operaciones, según la industria de que trate, para anticiparse a estos cambios legislativos.
Para obtener más información sobre estos temas, pueden contactar a:
Eugenio Gormáz | Socio | egormaz@az.cl
Ivonne Bueno | Directora az Tech | ibueno@az.cl
Antonia Nudman | Asociada Senior | anudman@az.cl
Carlos Lazcano | Asociado Senior | clazcano@az.cl
Fernanda Rodríguez | Asociada | frodriguez@az.cl
Esteban Orhanovic | Asociado | eorhanovic@az.cl
