Avances (y retrocesos) de proyecto de delitos informáticos

Cuando en mayo de 2017 Chile ratificó el Convenio sobre ciberdelincuencia, también conocido como el Convenio de Budapest, y se creó la Política Nacional de Ciberseguridad, se generaron distintos compromisos, siendo el principal, adecuar este convenio a la legislación chilena.

Es así como el Presidente Piñera avanzando en esta Política Nacional de Ciberseguridad, a fines de octubre de 2018 dictó un instructivo presidencial en Ciberseguridad y además envió al congreso un proyecto de delitos informáticos. Según sus palabras “Éste es un proyecto de ley que, sin duda, nos va a permitir, en conjunto con toda una política de seguridad en materia de la nueva sociedad digital y la ciberseguridad, una nueva realidad en nuestro país”.

A pesar de sus buenas intenciones, el avance del proyecto de ley en el congreso no ha estado exento de diferencias y complicaciones, sobre todo por las propuestas que ha planteado el ejecutivo (encabezado por el ministerio del interior), en conjunto con organismos como el Ministerio Público y la PDI, y con opiniones de expertos, docentes y organizaciones de la sociedad civil.

Es así como en el senado hubo consensos en la adaptación del convenio en este proyecto que reemplazará la actual ley de delitos informáticos, porque se entiende lo insuficiente de la regulación actual. Sin embargo sí se marcaron diferencias entre los distintos actores sobre consecuencias, especialmente de medidas que no tan sólo se aplican en investigación de delitos en ámbito digital, sino que se extienden a cualquier otra investigación y que puede solicitar el ministerio público.

Por otro lado, la posición del gobierno de promover que cualquier acceso ilícito a sistemas informáticos deben ser sancionados y penalizados sin exclusión, chocaron con posiciones de búsqueda de excepción para los llamados «hackers éticos», es decir, aquellos que por razones de investigación y desarrollo, con fines colaborativos y no perjudiciales, realizan pruebas y accesos no autorizados previamente, pero que luego dan aviso correspondientes respecto a brechas de seguridad, conducta que actualmente no se encuentra regulada.

A pesar de que a fines de marzo de este año fue despachado por el senado a la cámara de diputado para segundo trámite constitucional, y que durante todo este tiempo se han multiplicado los eventos de ataques de ciberseguridad a instituciones privadas como públicas (como ataque BancoEstado, hackeo a división gobierno digital y ataques y filtraciones de información de Cencosud, el paso de dos delegados presidenciales de ciberseguridad que no generaron ningún efecto real y cuyo cargo se encuentra actualmente vacante), en septiembre recién pasado el gobierno le puso suma urgencia y pasó a ser visto en la comisión de seguridad ciudadana de la cámara de diputados.

Sin perjuicio de esta premura, la discusión no estuvo exento de polémica.
En primer lugar, hubo una inicial oposición de algunos parlamentarios para continuar con una forma de trabajo que había adoptado el senado, y es que durante la discusión, incluyendo la etapa de votación de indicaciones, pudieran estar presenten asesores de instituciones públicas relacionadas con la materia, pero además pudiera invitarse a expertos y académicos que ayudaran con ilustrar u orientar sobre lo discutido, considerando el nivel de expertiz o sofisticación de estos temas.

Luego de avanzar sin mayor acuerdo respecto a presencia de profesionales de apoyo y ante lo complicado que significaba discutir temas tan precisos en el ámbito jurídico y técnico, se dio el acuerdo para invitar a asesores. En mi calidad de docente del centro de investigación en ciberseguridad de la Universidad Mayor estuve invitado y participé en la discusión.

Un aspecto positivo de las urgencias inmediatas presentadas por el gobierno como colegislador en el congreso, es apurar la discusión de los proyectos. Pero un aspecto negativo es que en esta urgencia no se debata con tiempo, con reflexión y que por apuro se tomen decisiones que tienen un impacto directo tanto en el proyecto como en lo que finalmente se busca regular.

Y fue justamente lo que sucedió en la comisión de seguridad ciudadana. Durante su discusión, se analizó artículo por artículo y en los que existía consenso se avanzó rápidamente. Sin embargo, en los que se necesitaba mayor discusión no hubo acuerdo ni posturas de acercamiento por parte del ejecutivo.

Es así como en sesiones de la comisión se rechazó la idea del gobierno y del ministerio público de tener un delito objetivo de acceso ilícito (sancionable a todo evento si no existía autorización previa) y se logró establecer la figura excepcional del hacker ético, es decir, la posibilidad de no sancionar a quien accede sin autorización por motivos de investigación, pero con deber de informar la detección de brechas o vulnerabilidades de inmediato tanto al afectado como autoridad.

Por otro lado, medidas tecnológicas introducidas principalmente para ayudar a la investigación de cualquier delito por parte de ministerio público , consistente en exigir de empresas de servicios digitales la retención de información y datos de accesos de investigados , por un lado, y medidas como la custodia de metadatos de acceso , información de datos personales y de tráfico, que estuvieran disponibles para que en caso de ser requeridas en una investigación; y medidas como intervención en comunicaciones digitales, fueron rechazadas por la comisión.

Obviamente el gobierno no quedó conforme con lo aprobado como proyecto por la comisión y solicitó que pasara a la comisión de futuro, ciencias, tecnología, conocimiento e innovación.

Deberá por tanto, volver a discutirse las propuestas y razones de implementar medidas que pueden afectar derechos como la privacidad de las comunicaciones y si se mantiene lo aceptado, es decir, la regulación de «hacker éticos».

Mientras se mantiene esta discusión, continúan los delitos, las brechas informáticas, ciberataques y vulneraciones a la privacidad con fuga de datos, junto a una regulación arcaica y escasamente aplicada como es la actual ley de delitos informáticos.

 

 

Artículos relacionados

Deja un comentario