Tag: Ciberseguridad

El árbol envenenado algorítmico

~ Pablo Viollier ~ Leave a comment

Columna publicada originalmente e 11 de febrero en Actualidad Jurídica

El mundo ha experimentado un renovado interés por la protección de datos personales, el que, a su vez, ha desembocado en distintas legislaciones que han elevado el nivel de protección de la autodeterminación de las personas. Así, se promulgó recientemente la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales con el objetivo de poner a Chile a la par con el estándar europeo y permitir que el país enfrente los desafíos que implican la masificación de la toma de decisiones automatizadas y la Inteligencia Artificial (IA).

La nueva legislación exige que cualquier tratamiento o procesamiento de datos personales cuente con una base de licitud y que dicho tratamiento se realice cumpliendo con las condiciones y principios establecidos en la legislación. El incumplimiento a dichos requisitos puede acarrear importantes sanciones para los responsables del tratamiento; sin embargo, en los últimos años una importante pregunta ha estado circulando: ¿qué pasa cuando un algoritmo sofisticado o un modelo de IA es entrenado o desarrollado utilizando datos personales con infracción a las condiciones contenidas en la legislación? ¿Dicho incumplimiento sólo acarrea una sanción o puede contaminar incluso el despliegue futuro del sistema o modelo entrenado?

La primera alternativa sería asumir que la recolección o tratamiento de datos personales sin cumplir con los estándares legales generan una única instancia infractora, la que el responsable podría saldar y cuyo “pecado original” no afectaría el algoritmo o modelo entrenado con dichos datos personales. Esta postura se basa en el hecho que, si bien muchos sistemas utilizan grandes volúmenes de datos -incluyendo datos personales- al momento del entrenamiento o desarrollo del modelo, eso no quiere decir necesariamente que exista un procesamiento de datos personales al momento de su funcionamiento, ya que estos pueden haber sido anonimizados o haber sido utilizados tangencialmente sólo para realizar inferencias estadísticas en la etapa de entrenamiento.

La segunda alternativa es interpretar que se trata de una infracción contínua y que utilizar datos personales ilícitamente para desarrollar y entrenar modelos algorítmicos o de IA constituye una infracción que se proyecta al funcionamiento o despliegue de dicho modelo. En este sentido, el producto final sería una proyección del procesamiento ilícito del cuál no podría desligarse.

Recientemente dos organizaciones han tenido la oportunidad de abordar esta materia. El Comité Europeo de Protección de Datos emitió un dictamen (24/2024) sobre algunos aspectos relacionados con el procesamiento de datos personales en el contexto de modelos de Inteligencia Artificial. En dicho documento el Comité se pone en distintas hipótesis para distinguir si la infracción en la utilización de información usada para el desarrollo del modelo de IA podría eventualmente afectar el sistema de IA una vez ya desplegado; sin embargo, el Comité reconoce la capacidad que las agencias europeas de protección de datos personales tienen para imponer acciones correctivas las que pueden incluir “aplicar multas, imponer una limitación temporal del tratamiento, borrar una parte del conjunto de datos que haya sido tratado ilegalmente o, cuando esto no sea posible, en función de los hechos en cuestión, teniendo en cuenta la proporcionalidad de la medida, ordenar la eliminación de todo el conjunto de datos utilizado para desarrollar el modelo de IA y/o del propio modelo de IA (el énfasis es mío).

Más recientemente la Comisión de Protección de Información Personal de Corea del Sur tuvo la oportunidad de referirse al asunto, llegando a una resolución tajante. La empresa Kakao Pay utilizó un sistema de cálculo de fondos insuficientes creado por Alipay; sin embargo, esta segunda empresa desarrolló dicho algoritmo utilizando información personal que fue proporcionada y transferida ilegalmente al extranjero. La comisión consideró que la única forma de “resolver fundamentalmente” esta vulneración en el tratamiento de datos personales fue ordenar a Alipay la destrucción del modelo de cálculo de puntuación.

En ambos casos -uno presentado como posibilidad eventual y el otro como jurisprudencia ya asentada- se presenta una especie de teoría del fruto del árbol envenenado algorítmico, en donde la infracción en el procesamiento de la información personal en la etapa de desarrollo o entrenamiento (árbol) del modelo algorítmico o de IA también permea a la etapa de funcionamiento o despliegue del mismo modelo (fruto).

En el caso de Chile, la nueva Ley N° 21.719 entra en vigencia el 1 de diciembre de 2026, por lo que este es un tema respecto del cual la futura Agencia de Protección de Datos Personales se deberá pronunciar. Sin embargo, sí es importante notar que dentro de las facultades legales de dicha agencia sí se encuentran las potestades para ordenar una medida de estas características.

Así, el artículo 35 inciso segundo permite a la Agencia establecer las medidas tendientes a subsanar las causales que dieron motivo a la sanción, mientras que el artículo 38 inciso tercero permite prorrogar indefinidamente la medida de suspensión temporal de procesamiento, por períodos sucesivos de máximo treinta días, hasta que el responsable cumpla con lo ordenado. En ambos casos son facultades amplias que podrían ser utilizadas por la Agencia chilena para hacer carne esta nueva doctrina del árbol envenenado algorítmico. 

De momento  es conveniente seguir de cerca la jurisprudencia internacional y los pronunciamientos de distintos organismos de otras jurisdicciones respecto de esta materia central para el futuro del desarrollo de modelos de IA.

Nueva ley marco de ciberseguridad

~ Pablo Viollier ~ Leave a comment

Publicada el 22 de enero de 2024 en El Mercurio Legal

El pasado 12 de diciembre, el Senado despachó para su promulgación el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. La nueva normativa tiene la novedad de ser de aplicación general; es decir, no aplica solamente a los organismos estatales y a los sectores históricamente regulados, sino que es aplicable a todas las instituciones privadas que sean calificadas como entidades que prestan servicios esenciales o como operadores de importancia vital. 

La carga regulatoria que estas entidades tendrán que soportar es sustantiva. La nueva ley les obliga a establecer medidas para prevenir, gestionar y resolver incidentes de ciberseguridad, implementar protocolos y estándares aprobados por la nueva Agencia Nacional de Ciberseguridad (ANCI), mantener un registro de las acciones ejecutadas, reportar a la autoridad (y eventualmente a los afectados) la ocurrencia de un incidente de ciberseguridad, implementar planes de continuidad operacional, responder a las solicitudes de información de la ANCI, designar un delegado de ciberseguridad, entre otras responsabilidades. 

Desde el punto de vista del enforcement, hay dos elementos que vale la pena destacar. En primer lugar, una materia que será particularmente desafiante, tanto para el regulador como los regulados, es la aplicación de las obligaciones relativas a la coordinación regulatoria. La versión inicial del proyecto establecía el principio de la especialidad en la sanción, según el cual se preferiría la aplicación de la regulación sectorial por sobre la establecida en esta ley. En otras palabras, una deferencia al regulador sectorial bajo la premisa que estos tienen más cercanía técnica, histórica e institucional con su sector regulado. 

Durante la tramitación legislativa, el Ejecutivo propuso una visión de carácter más centralizada, donde sería la ANCI la encargada de producir los protocolos, estándares y aplicar las sanciones de aplicación general, así como de aprobar las normativas sectoriales en materia de ciberseguridad. Como punto medio, se llegó a una fórmula que incorpora la obligación de coordinación regulatoria, lo que implica que cuando la ANCI dicte protocolos, estándares técnicos o instrucciones de carácter general que tengan efectos en un sector regulado, se deberá solicitar un informe al regulador sectorial con el propósito de prevenir posibles conflictos normativos. Del mismo modo, cuando un regulador sectorial emita actos administrativos de carácter general que tengan efectos en los ámbitos de competencia de la ANCI, le deberá solicitar un informe para garantizar la coordinación, cooperación y colaboración entre ambas entidades. En otros términos, la ley fija una regla especial de coordinación regulatoria a la establecida en el art. 37 bis de la Ley de Bases de Procedimientos Administrativos. 

En segundo lugar, en cuanto a las sanciones, la futura ley establece que corresponderá a las autoridades sectoriales fiscalizar y sancionar las infracciones a la normativa sobre ciberseguridad que hubiesen dictado y que tengan efectos “al menos equivalentes” a la normativa dictada por la ANCI. En el resto de los casos; es decir, en los casos en donde la normativa sectorial no tiene dicha equivalencia, corresponderá a la ANCI fiscalizar, sancionar y ejecutar las infracciones a la ley. 

Es evidente que esto es un aspecto de incertidumbre que requerirá concretización práctica. ¿Cuáles son efectivamente los estándares de equivalencia y cuál será la entidad fiscalizadora a la cual quedarán afectos ciertos sectores regulados, en particular aquellos sectores como el bancario o de telecomunicaciones, que ya cuentan con una importante batería de regulación sectorial en materia de ciberseguridad? Son los desafíos que deberán enfrentarse desde el inicio de su entrada en vigencia.  

El hecho de que las infracciones a la nueva ley pueden alcanzar multas cercanas a los 2.600 millones de pesos sin duda significa que precisar estos estándares de coordinación regulatoria deberá ser una de las primeras prioridades de la nueva ANCI y una preocupación prioritaria para los sectores regulados. 

Pablo Viollier – Doctorando en Derecho, Universidad Central de Chile.

Pablo Contreras – Director Cátedra Legal Tech U.Central, Universidad Central de Chile.

Me divorciaron por Zoom

~ Pablo Viollier ~ 1 Comment

Publicada el 6 de agosto de 2020 en La Segunda

Imagínense la sorpresa que sufrió la mujer que esta semana se enteró que habían tramitado su divorcio sin su consentimiento. Su cónyuge tenía acceso a las credenciales de su ClaveÚnica y fue capaz de tramitar todo el procedimiento sin que ella se enterara.

En el contexto de la pandemia, muchos servicios públicos y privados han optado, entendiblemente, por flexibilizar sus requisitos de presencialidad. Sin embargo, este episodio da cuenta de cómo este relajamiento de las medidas de autenticación puede abrir la puerta a una proliferación de fraudes, estafas y distintas formas de suplantación de identidad.  

Y es que, aunque parezca sencillo, es todo un desafío demostrar que alguien detrás de una pantalla es realmente quien dice ser. En algunos casos, como la Comisaría Virtual o la consulta electrónica del Parque Padre Hurtado, se ha optado por exigir el RUT y número de serie del carnet. Esta es una forma sumamente deficiente de verificar la identidad a distancia, ya que ambos datos no son reservados, de hecho, figuran en el anverso del documento de identidad. La utilización de reconocimiento facial, por su parte, requiere que el usuario cuente con equipamiento que hace difícil su masificación y ha demostrado ser susceptible de ser burlado.

Otra alternativa, es la utilización de un servicio de identidad digital centralizado, como la ClaveÚnica. En este caso, se verifica la identidad de la personas presencialmente una vez y luego puede ser utilizada a través de las credenciales entregadas. Sin embargo, a medida que más trámites críticos pueden realizarse a través de este servicio (renunciar a un contrato de trabajo, constituir una sociedad, etc.) más relevante se vuelve que se cuenten con las medidas de seguridad necesarias. Así, por ejemplo, la ClaveÚnica todavía no exige un segundo factor de autenticación adicional a la contraseña (mensaje de texto o código pinpass) que hace años se exige para realizar transferencias bancarias.

Tomarse en serio la ciberseguridad será la única manera de equilibrar el cuidado de la fe pública con los beneficios de la digitalización. De lo contrario, corremos el riesgo de que nos divorcien sin consultarnos.

Infraestructura crítica y ciberseguridad

~ Pablo Viollier ~ Leave a comment

Publicado el 4 de febrero en La Segunda

La Cámara de Diputados deberá discutir el proyecto de ley que permite al presidente ordenar a las Fuerzas Armadas resguardas ciertas infraestructuras críticas, sin la necesidad de decretar estado de excepción. Más allá de las consideraciones constitucionales, políticas y simbólicas, esto tiene una serie de consecuencias en materia de ciberseguridad. 

Desde la dictación de la Política Nacional de Ciberseguridad, la identificación, priorización y el establecimiento de resguardos especiales a las infraestructuras críticas relacionadas con el ciberespacio ha sido una prioridad de política pública y una aspiración transversal de los distintos actores que son parte del ecosistema digital.

El proyecto del ejecutivo echa por tierra esa expectativa, al establecer una definición excesivamente amplia de infraestructura crítica. Se entrega, de esta forma, al presidente de turno la facultad discrecional y carente de todo control para hacerse no sólo de los inmuebles que se busca proteger, sino también de sus equipos, sistemas y componentes.

Como bien ha señalado Daniel Álvarez, esto es inaceptable en términos de ciberseguridad, porque abre la puerta para que el poder político tome el control de cualquier red informática privada o de otro poder del estado, a través de un simple decreto. ¿Estarán dispuestas empresas como Google, Microsoft o Apple a invertir en Chile como polo de desarrollo digital si saben que sus redes, procesos tecnológicos y equipos pueden ser ocupados por el gobierno de turno por simple decreto?

Internet se ha convertido en la fuerza transformadora que modeló la entrada al siglo XXI justamente porque su esquema de gobernanza es multisectorial. Instituciones académicas, organismos internacionales, gobiernos, empresas y sociedad civil comparten distintos roles y responsabilidades, sin que ningún sector se pueda arrogar la capacidad de monopolizar la red de redes.

Avanzar hacia una identificación y resguardo de la infraestructura crítica -especialmente en materia digital- requiere de un debate ponderado, técnico y basado en la evidencia. Eso implica una aproximación desde la gestión de riesgos, estableciendo los controles y garantías que permitan enfrentar de forma conjunta los distintos riesgos y amenazas en el ciberespacio. Para ello se requiere fortalecer la cooperación entre distintos actores, no entregar atribuciones peligrosas y arbitrarias al poder estatal.

10 consejos de seguridad digital y verificado de la información para la crisis

~ Pablo Viollier ~ 8 Comments

Desde Derechos Digitales hemos ido acumulando una serie de herramientas y consejos para mejorar la seguridad digital y combatir la desinformación en tiempos de crisis. Acá van:

  1. Proteger la identidad de terceros

Si vas a sacar fotos o grabar videos de protestas y otros actos, es importante proteger la identidad de terceros para evitar que puedan sufrir represalias. Esto no corre para funcionarios de Carabineros, PDI, militares o autoridades, que por su cargo están sujetos a la legítima fiscalización de la ciudadanía.

Con ObscuraCam puedes ofuscar las caras de terceros y proteger su identidad. Para iOS puedes probar alguna de estas aplicaciones.

2. Elimina tus metadatos de las fotos que saques

Si eres un activista o periodista que busca entregar información o material audiovisual sensible de forma anónima , con la aplicación Scrambled Exif puedes borrar sus metadatos (lugar, fecha, dispositivo, etc).

3. Mensajería segura y cifrada

Si tienes que comunicar información sensible o tienes la sospecha de que puedes ser víctima de vigilancia estatal, la mejor aplicación de mensajería es Signal, no WhatsApp ni Telegram.

4. Usar VPN para hacer más segura tu navegación

Para ofuscar tu navegación, impedir que te geolocalicen o quede rastro de tu actividad hay muchos VPN (virtual private network), algunos pagados. El VPN de RiseUp.net es una buena alternativa. Si eres un activista o periodista y temes que estés siendo vigilado, te recomiendo usar TOR como navegador para buscar y compartir información o material sensible.

5. Comunicarte en caso de que corten internet

Todavía no sucede, pero en otros contextos de revuelta en América Latina han existido apagones de internet. Briar permite que te comuniques a través de Bluetooth o con routers encendidos sin internet. Lamentablemente, solo funciona en Android.

6. Cifrar mensajes de SMS

Si hay un apagón de internet, lo más probable es que dependamos de los SMS. ¿El problema? No están cifrados, lo que deja expuesta nuestra comunicación. Con Silence puedes arreglar ese problema. Es importante tener en cuenta que esto sólo cifra el contenido de la comunicación, pero no la identidad de quienes se están comunicando.

7. Respaldar sitios web

Si sospechas que pueden bajar tu página o un sitio web con información importante, disidente o de activistas con http://archive.org puedes hacer un respaldo permanente del sitio.

8. Respalda las fotos y videos que subes a redes sociales.

Si vas a subir algo, no solo lo dejes en Instagram, Facebook y Twitter. Respalda el archivo en Wikipedia para que el mundo sepa lo que está pasando

Si crees que pueden bajar videos o multimedia de redes sociales (por distintas razones) es una buena idea que los respaldes para volver a subirlos. El bot de Twitter @DownloaderBot cumple es función.

9. Cómo combatir la desinformación

  • Antes de compartir una foto, verifica a través de TinyEye que no sea antigua o sacada en otro contexto.
  • Revisa la fecha de las noticias que subes. Subir una noticia antigua en un contexto de crisis puede ser igual de contraproducente que subir algo falso.
  • Trata de compartir información de fuentes confiables y de primera mano. Para ello, ingresar a los sitios web o las cuentas oficiales de organizaciones que tengan un historial de credibilidad.
  • Nunca compartas una imagen acompañada de un texto sin que sean ultra, ultra oficiales. Es la forma más común de difundir desinformación en aplicaciones de mensajería y redes sociales.
  • No difundas audios de WhatsApp. Nunca se sabe quien lo grabó ni con qué intención.
  • No le des retweet a cuentas con fotos de perfil genéricas, muy pocos seguidores y que fueron creadas recientemente, pueden ser bots.
  • Si un video usa gestor de voz (un narrador que claramente es un programa), entonces es muy posible que se trate de propaganda, información sesgada o derechamente falsa.
  • Si eres joven, es particularmente importante que le expliques esto a tus cercanos que son mayores. Muchas veces no entienden cómo funciona la tecnología o las dinámicas de las redes sociales.

10. Recomendaciones adicionales

  • Es importante bloquear los celulares con clave, nadie te puede exigir desbloquearlo sin orden judicial.
  • Apagar el GPS del celular no evita que se calcule tu ubicación. Esta todavía se puede estimar a través de la triangulación de antenas de telefonía.
  • Activa la verificación de dos pasos en todos tus dispositivos. Esto es parecido al pinpass del banco, que te exige una medida de seguridad adicional a tu clave, por ejemplo, un código que te llegue por SMS al celular. De esta forma, un atacante no podrá acceder a ellos aunque obtenga tu contraseña. Puedes leer más en este enlace.
  • Si sientes que estás siendo vigilado o prefieres mantener tu anonimato, es totalmente legítimo que tapes tu rostro.

Peor que una filtración

~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 13 de agosto de 2019 en La Segunda

La semana pasada un grupo de investigadores reportó haber detectado una importante filtración de datos. Un archivo con información de 14 millones de chilenos apareció en un repositorio en línea; incluyendo el nombre, RUT, domicilio, género y edad de los afectados.

Al investigar la fuente de la filtración, llegaron a la conclusión de que el SERVEL estaba almacenando esta información sin las debidas medidas de seguridad. Lo que no sabían, es que la información se publicó intencionalmente, porque la misma ley obliga al SERVEL a subir el padrón electoral a internet.

Para los estadounidenses parecía claro que debía tratarse de un error, la sola idea de poder conseguir el número de seguridad social (equivalente a nuestro RUT) de millones de personas sería un escándalo de proporciones en su país. Sin embargo, en Chile lo tenemos completamente naturalizado.

Como sociedad no le hemos tomado el peso al hecho que -para todos los efectos prácticos- el RUT, nombre y dirección de todos los chilenos es un dato público. Hoy cualquier base de datos que se quiera construir para perfilar usuarios, cruzar información o generar listas negras tiene como base los datos facilitados por el SERVEL. 

La justificación para publicar el padrón es que exista una adecuada fiscalización por parte de la ciudadanía. Sin embargo, esto no implica que los datos personales de todos los habitantes del país tengan que publicarse en línea.

Otros mecanismos de fiscalización del padrón pueden alcanzar el mismo objetivo sin vulnerar los derechos de la ciudadanía. Por ejemplo, se puede entregar acceso a partidos políticos, investigadores o ciudadanos interesados, pero exclusivamente en una red cerrada en las dependencias del SERVEL o se pueden entregar en formatos que no permitan su procesamiento masivo.

No enmendar el rumbo en esta materia puede tener gravísimas consecuencias en términos de ciberseguridad y protección de datos personales. El mundo está entrando en la era del Big Data, la inteligencia artificial y tratamiento algorítmico de bases de datos. Este futuro nos encontrará mal preparados si lo recibimos con la mentalidad de que un país entero tiene que vivir en una casa de cristal.   


En defensa de los dispositivos idiotas

~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 15 de marzo de 2019 en La Segunda

La implementación de los nuevos medidores eléctricos ha generado un importante debate público en torno a las alzas que podrían generar y a quién le corresponde asumir esos costos. Sin embargo, un aspecto importante de estos dispositivos “inteligentes” ha sido dejado de lado: el potencial que tienen para perfilar nuestros hogares.

Existe evidencia de que -con una frecuencia de medición de 15 minutos- es posible inferir la rutina y el comportamiento de una familia, como los horarios en que los ocupantes están en casa, sus hábitos, sus días de vacaciones o incluso aspectos más sensibles sobre la vida privada de las personas. 

Más allá de los nuevos medidores, constantemente le damos la bienvenida a nuestros hogares a nuevos aparatos “smart”: desde sistemas de alarma a refrigeradores, relojes inteligentes y termostatos; cada vez adoptamos más dispositivos que están permanentemente conectados a internet. Esto tiene el potencial de facilitar y hacer mucho más cómodas nuestras vidas, pero también aumenta el riesgo de que estos aparatos y nuestra intimidad se vean comprometidos.

Distintos televisores inteligentes escuchan la conversación de sus usuarios en búsqueda de ciertos términos que permitan enviar publicidad personalizada. Otras empresas inescrupulosas han sido sorprendidas instalando micrófonos en sus productos sin informar al consumidor, incluso recolectando información sensible de menores de edad. Abarrotar nuestra cotidianidad de sensores y cámaras ha significado confiar en que estos distintos desarrolladores no harán un mal uso de la información que recolectan.

Además, hay un aspecto de seguridad asociado a estos aparatos, ya que suelen usar sistemas operativos muy simples, rara vez son actualizados y su mantenimiento se abandona al poco tiempo. El estar conectados a internet los hace blanco fácil para delincuentes informáticos, que aprovechan las vulnerabilidades de estos dispositivos para infectarlos y tomar control de ellos.

¿Por qué un hacker querría tomar control de mi refrigerador inteligente? Básicamente para utilizarlo como palo blanco en ataques cibernéticos de gran escala, generando “botnets” de hasta cientos de miles de aparatos comprometidos que se usan para ataques de denegación de servicio (DDoS) y otras actividades maliciosas.

Es por ello que la próxima vez que queramos adquirir un aparato doméstico vale la pena preguntarse ¿realmente es necesario que esté conectado a internet?

La zanahoria y el garrote digital

~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 4 de febrero de 2019 en La Segunda

En menos de una semana nos enteramos que una lista con 773 millones de correos electrónicos y contraseñas fue filtrada por Internet, que siete años de documentos del FBI fueron hallados en línea y que la consulta comunal del Parque Padre Hurtado expuso los datos personales de todos quienes participaron en el proceso.

La pregunta obvia es ¿por qué se siguen filtrando nuestros datos? En simple: porque los responsables de resguardar esos datos no pagan las consecuencias. El daño reputacional suele no ser permanente; Equifax, Uber, Dropbox y otras empresas que han sufrido filtraciones de millones de datos de usuarios siguen operando sin problema y sus acciones no sufrieron una merma sostenida en el tiempo. 

Se hace necesario entonces contar con incentivos (garrotes) y estímulos (zanahorias) que permitan enfrentar el problema. Partamos por el garrote: la regulación debe imponer sanciones realmente  disuasivas y que no puedan contabilizarse en su estructura de costos. En la Unión Europea pueden establecerse multas de hasta un 4% de los ingresos anuales de la empresa, un claro incentivo para tomarse la seguridad de los datos en serio.

Ahora, ¿cuántas filtraciones existen de las cuales nunca nos enteramos? Entra en juego la zanahoria. Actualmente existen incentivos perversos para evitar que se hagan públicas las filtraciones de datos. Esto es complejo porque si una organización descubre una filtración de datos y no avisa a sus pares, nadie sale beneficiado.

A nivel comparado se ha avanzado en establecer la obligatoriedad de reportar incidentes informáticos, tanto a la autoridad como eventualmente a las personas afectadas. De esta forma, otros actores saben cuando una falencia en el sistema que utilizan es descubierta y pueden prevenir similares ocurrencias, pasando de la lógica del “sálvese quien pueda” a un círculo virtuoso de compartir información y permitir la prevención.

En Chile se ha avanzado en la obligación de reportar incidentes en instituciones financieras y organismos públicos. El proyecto de ley de datos personales propone una figura similar y lo extiende a cualquier responsable de bases de datos. Lamentablemente, el proyecto aún no sale del Senado (restando aún la Cámara de Diputados) a pesar de haber sido presentado hace casi dos años.