A continuación podrás ver una reseña del contenido de la Ley Marco sobre Ciberseguridad, su origen, objetivo de regulación, sanciones y responsabilidad en su infracción.
El reconocimiento de la importancia de la confidencialidad, integridad y disposición de la información, ha provocado la necesidad de regulación de la ciberdelincuencia a nivel global. Este es el caso del presente proyecto de ley (boletín 14847-06), cuya Ley Marco de Ciberseguridad Nro. 21.663 fue promulgada el 23 de mayo de 2024 —aún se encuentra a la espera de su entrada en vigencia—.
Uno de los objetivos de esta ley es la creación de un organismo contralor, que deberá velar por el cumplimiento de las medidas que determine. Con el fin de consagrar sus principios, esto es, responsabilidad, protección integral, confidencialidad de los sistemas de información, integridad de los sistemas informáticos y de la información, de la disponibilidad de los sistemas, del control de daños, de cooperación con la autoridad y de especialidad en la sanción.
De esta forma, este proyecto de ley considera a todas aquellas instituciones privadas y públicas que poseen información calificada o crítica de las personas. De modo que, cuando entre en vigencia será imperativo, para las organizaciones, cumplir con las medidas establecidas por esta ley y por la Agencia Nacional de Ciberseguridad. Cabe señalar, que este último, es un organismo creado para dar cumplimiento a la prevención y mitigación de los incidentes de ciberseguridad a los cuales se pueden ver expuestas las organizaciones que almacenen o manipulen datos personales.
Así las cosas, las sanciones a las que se puede ver expuesta la institución que incumpla las medidas contenidas en la Ley Marco sobre Ciberseguridad, serán determinadas por el organismo contralor, de las leyes existentes o futuras, y de los reglamentos o lineamientos que establezca la autoridad. En este contexto, la Ley 20.584 que regula los derechos y deberes que tienen las personas en relación con acciones vinculadas a su atención en salud, en relación con la Ley 19.628 sobre protección de la vida privada, establece la responsabilidad de los prestadores de salud en el tratamiento de los datos personales.
Además, dispone que el tratamiento de los datos personales solo se puede efectuar cuando la ley o su titular lo autorice. De ahí que, solo algunas personas estén autorizadas para acceder a la ficha clínica de manera parcial o total. Asimismo, el Reglamento sobre fichas clínicas, cuya fiscalización le corresponde a la Superintendencia de Salud. Establece procedimientos estrictos en el tratamiento de los datos clínicos de los pacientes. Sobre el mismo prisma de confidencialidad, cabe mencionar la reciente modificación que incorporó la Ley 21.504, que establece la prohibición de informar deudas contraídas para financiar servicios y acciones de salud.
En efecto, las leyes expuestas contemplan sanciones ante el incumplimiento de los deberes o de las infracciones cometidas por una determinada institución. En este orden de cosas, es aplicable la Ley 20.393 de Responsabilidad Penal de las Personas Jurídicas. Ya que, las empresas son responsables por los perjuicios que se ocasionen a las personas en el desarrollo de su negocio. Aun cuando la conducta que da origen al resultado de daño se realice por un empleado.
Lo anterior, tiene justificación en los deberes de dirección y supervisión que tiene la empresa en la ejecución de los procesos dentro de la organización y de las personas por las cuales es responsable, según lo previsto en el artículo 3 de la Ley 20.393. En otras palabras, la empresa debe observar la debida diligencia en el desarrollo de las funciones ejecutadas por sus colaboradores, estableciendo los mecanismos necesarios que permitan prevenir resultados perjudiciales para las personas. En consecuencia, será atribuible a la responsabilidad de la organización, y ciertos delitos informáticos de la Ley 21.459.
En el contexto de la seguridad de los activos de información, ante un incidente de ciberseguridad que afecte a la privacidad de los datos clínicos de los pacientes, cuyo ataque se realice a través de la infraestructura y software que utiliza la empresa para la transferencia o reposo de dichos datos; será responsable la empresa. Esto es así, porque las leyes que anteriormente se indicaron establecen la obligación de los prestadores de salud de velar por la debida protección y resguardo de la información crítica del paciente.
De modo que, si la organización no ha velado por prevenir los ataques y mantiene software o infraestructuras, cuya configuración es un foco potencial de explotación de amenazas. O si el software que utiliza no contiene los controles mínimos que permitan evitar amenazas que son evidentemente conocidas, claramente está incurriendo en una falta de diligencia en la supervisión y vigilancia de sus procesos. Y en consecuencia, crea un riesgo potencial de infracción al derecho constitucional de protección a la vida privada de los pacientes.
Fuente de la información:
Cámara de Diputados. Sitio Web https://camara.cl. Fecha noviembre de 2023, julio 2024.
Diario Oficial. Sitio Web https://www.diariooficial.interior.gob.cl. Fecha noviembre de 2023, julio 2024.
Biblioteca del Congreso Nacional de Chile. Consulta de leyes invocadas en el contenido. Fecha noviembre de 2023, julio 2024.
