Publicada el 22 de enero de 2024 en El Mercurio Legal
El pasado 12 de diciembre, el Senado despachó para su promulgación el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. La nueva normativa tiene la novedad de ser de aplicación general; es decir, no aplica solamente a los organismos estatales y a los sectores históricamente regulados, sino que es aplicable a todas las instituciones privadas que sean calificadas como entidades que prestan servicios esenciales o como operadores de importancia vital.
La carga regulatoria que estas entidades tendrán que soportar es sustantiva. La nueva ley les obliga a establecer medidas para prevenir, gestionar y resolver incidentes de ciberseguridad, implementar protocolos y estándares aprobados por la nueva Agencia Nacional de Ciberseguridad (ANCI), mantener un registro de las acciones ejecutadas, reportar a la autoridad (y eventualmente a los afectados) la ocurrencia de un incidente de ciberseguridad, implementar planes de continuidad operacional, responder a las solicitudes de información de la ANCI, designar un delegado de ciberseguridad, entre otras responsabilidades.
Desde el punto de vista del enforcement, hay dos elementos que vale la pena destacar. En primer lugar, una materia que será particularmente desafiante, tanto para el regulador como los regulados, es la aplicación de las obligaciones relativas a la coordinación regulatoria. La versión inicial del proyecto establecía el principio de la especialidad en la sanción, según el cual se preferiría la aplicación de la regulación sectorial por sobre la establecida en esta ley. En otras palabras, una deferencia al regulador sectorial bajo la premisa que estos tienen más cercanía técnica, histórica e institucional con su sector regulado.
Durante la tramitación legislativa, el Ejecutivo propuso una visión de carácter más centralizada, donde sería la ANCI la encargada de producir los protocolos, estándares y aplicar las sanciones de aplicación general, así como de aprobar las normativas sectoriales en materia de ciberseguridad. Como punto medio, se llegó a una fórmula que incorpora la obligación de coordinación regulatoria, lo que implica que cuando la ANCI dicte protocolos, estándares técnicos o instrucciones de carácter general que tengan efectos en un sector regulado, se deberá solicitar un informe al regulador sectorial con el propósito de prevenir posibles conflictos normativos. Del mismo modo, cuando un regulador sectorial emita actos administrativos de carácter general que tengan efectos en los ámbitos de competencia de la ANCI, le deberá solicitar un informe para garantizar la coordinación, cooperación y colaboración entre ambas entidades. En otros términos, la ley fija una regla especial de coordinación regulatoria a la establecida en el art. 37 bis de la Ley de Bases de Procedimientos Administrativos.
En segundo lugar, en cuanto a las sanciones, la futura ley establece que corresponderá a las autoridades sectoriales fiscalizar y sancionar las infracciones a la normativa sobre ciberseguridad que hubiesen dictado y que tengan efectos “al menos equivalentes” a la normativa dictada por la ANCI. En el resto de los casos; es decir, en los casos en donde la normativa sectorial no tiene dicha equivalencia, corresponderá a la ANCI fiscalizar, sancionar y ejecutar las infracciones a la ley.
Es evidente que esto es un aspecto de incertidumbre que requerirá concretización práctica. ¿Cuáles son efectivamente los estándares de equivalencia y cuál será la entidad fiscalizadora a la cual quedarán afectos ciertos sectores regulados, en particular aquellos sectores como el bancario o de telecomunicaciones, que ya cuentan con una importante batería de regulación sectorial en materia de ciberseguridad? Son los desafíos que deberán enfrentarse desde el inicio de su entrada en vigencia.
El hecho de que las infracciones a la nueva ley pueden alcanzar multas cercanas a los 2.600 millones de pesos sin duda significa que precisar estos estándares de coordinación regulatoria deberá ser una de las primeras prioridades de la nueva ANCI y una preocupación prioritaria para los sectores regulados.
Pablo Viollier – Doctorando en Derecho, Universidad Central de Chile.
Pablo Contreras – Director Cátedra Legal Tech U.Central, Universidad Central de Chile.
Pablo Viollier 