Descubre si tu empresa está obligada por la Ley Marco de Ciberseguridad. Guía visual completa con todos los sectores esenciales: energía, salud, transporte, banca y más. Descarga gratis.
El proyecto establece obligaciones a empresas de infraestructura crítica entendiendo por esta:
“aquella indispensable para la generación, transmisión, transporte, producción, almacenamiento y distribución de los servicios e insumos básicos para la población, tales como energía, gas, agua o telecomunicaciones; la relativa a la conexión vial, aérea, terrestre, marítima, portuaria o ferroviaria, y la correspondiente a servicios de utilidad pública, como los sistemas de asistencia sanitaria o de salud, identificados como infraestructuras críticas conforme a los criterios específicos contenidos en la presente ley”.
Este proyecto ofrece múltiples puntos de análisis, pero en este artículo me enfocaré en un aspecto clave: es necesario tener muy presente que esta ley requiere una evaluación cuidadosa por parte del Legislativo, con el fin de evitar falta de coordinación y conflictos regulatorios con la Ley Marco de Ciberseguridad. Para entender cuál es la problemática de esto, hay que ir al otro lado del Atlántico.
Al respecto, es importante recordar que el proyecto mencionado se basa, en gran medida, en la Directiva CER de la UE (Critical Entities Resilience Directive), que se tramitó de forma paralela y entró en vigencia en conjunto con la Directiva NIS2, la cual, a su vez, dio origen a la Ley Marco de Ciberseguridad.
Ambas directivas buscan regular y proteger, por un lado, la infraestructura crítica (IC) física y, por otro, parte o la totalidad (dependiendo del enfoque) de la IC digital, representada en sistemas y redes de información.
El proceso de transposición de estas directivas a la legislación interna de cada país de la Unión, (cuyo plazo venció el 17 de octubre pasado) ha evidenciado importantes desafíos, como una potencial redundancia de cargas regulatorias y la falta de alineación y coordinación efectiva entre ambas.
Lo anterior se debe, en parte, a que los respectivos entes rectores operan en distintos ámbitos, mientras que los sujetos obligados son prácticamente los mismos. Esto genera una acumulación considerable de elevadas cargas regulatorias y obligaciones de reporte que, en esencia, resultan equivalentes o similares y, en su mayoría, deben cumplirse de forma simultánea.
Una potencial falta de coherencia normativa, una superposición de funciones o una falta de integración técnica entre las autoridades involucradas, aumentan el riesgo de duplicación de esfuerzos públicos y privados, ineficiencia administrativas, conflictos interinstitucionales y, en última instancia, de la paralización de la gestión empresarial, por la falta de estándares claros y de todo una economía.
La complejidad actual de los ataques contra las infraestructuras críticas (IC), agrava aún más esta situación, ya que suelen ser híbridos (físicos y digitales) y sistémicos (de origen incierto, generalmente vinculados a la cadena de suministro fuera del perímetro de protección). Esto dificulta detectar con precisión su naturaleza y origen, además de obstaculizar el cumplimiento coordinado de normativas estrechamente relacionadas.
Por su parte, la existencia de riesgos sistémicos puede llevar a una gestión inconsistente de ciberamenazas, pues los principales cuerpos normativos se centran en las mismas áreas específicas, pudiendo dejar puntos débiles en la seguridad de IC no regulada, por ejemplo, dentro de la cadena de suministro.
La situación actual en Europa debe ser un llamado de atención para Chile, especialmente en el contexto de la tramitación del proyecto de ley sobre Protección de Infraestructura Crítica. Es crucial que esta normativa aborde los riesgos mencionados en los párrafos anteriores, con el fin de evitar choques legislativos y daños a la economía, debiendo por el contrario, garantizar su máxima eficacia. Para ello, resulta imprescindible alinearla (cual reloj suizo) con la Ley Marco de Ciberseguridad, promoviendo una coordinación intersectorial sólida y eliminando todas aquellas cargas innecesarias o desproporcionadas que para las empresas pueden resultar inasumibles.
[3d-flip-book mode=»fullscreen» pdf=»https://idonea.cl/wp-content/uploads/2024/09/Preparacion-Ley-de-proteccion-de-datos-personales.pdf «][/3d-flip-book]
Las organizaciones deben ajustar sus prácticas de gestión de datos para alinearse con los rigurosos requisitos que impondrá la nueva Ley de Protección de Datos, que está a punto de ser promulgada. Esta transformación no solo exige una actualización tecnológica, sino también un cambio profundo en la cultura y mentalidad dentro de la organización. Como lo han demostrado estudios previos, cumplir con normativas como el GDPR en Europa forzó a las empresas a una transformación de procesos y negocios revisando exhaustivamente sus prácticas de datos y a adoptar un enfoque más centrado en la privacidad para la gestión de la información.
Tanto la Ley de Protección de datos como la Ley Marco de Ciberseguridad son metarregulaciones, en el sentido que establecen ideales u objetivos que deben ser cumplidos pero no indica la forma de hacerlo, por lo que se vuelven normas complejas y subjetivas al momento de abordarlas, ya que la forma de cumplir depende de cada empresa y su contexto de riesgos propio, es en cierto sentido, una estrategia que tiene que estar muy bien pensada y articulada.
Con dos años de vacancia legal antes de que las reglas entren en pleno vigor, las empresas tienen la oportunidad de prepararse de forma adecuada a un marco regulatorio complejo.
Es por esta razón, que en Idónea Consultores quisimos entregar una orientación para saber por donde empezar en esta preparación. Para ello hicimos una analogía de transformar el cumplimiento en un juego de ajedrez donde cada decisión estratégica puede llevarte más cerca del éxito o ponerte en una posición difícil. Les comparto el documento que creamos con los elementos mínimos necesarios que toda empresa debe considerar desde ya.
Revisa el artículo completo en el siguiente enlace de LinkedIn.
En un panorama (global) donde las altas cargas regulatorias presionan los presupuestos de cumplimiento dentro de una organización, se hace imperativo gestionar los recursos de una forma eficiente y en eso, la capacidad de implementar y operar un sistema de gestión de riesgos se convierte en una práctica esencial que permite a una empresa dar prioridad a aquellos riesgos críticos y a los más inmediatos por encima de los riesgos menores, pudiendo establecer una planificación sostenible y de acuerdo a cada contexto (y bolsillo).
La metodología de evaluación de riesgos que se implementa debe poder evaluar la probabilidad, el tamaño y los impactos del riesgo y la naturaleza y adecuación de los controles que deben aplicarse para mitigarlo. Esto no se puede lograr sin el uso de puntos de referencia fiables con los que se puedan comparar, contrastar y juzgar estas cuestiones, en esencia como punto de referencia está la Ley secundada por estándares técnicos.
Esto es así, dentro del contexto de delitos económicos, protección de datos personales y ciberseguridad (con una nueva normativa entrante), pero no había existido claridad sobre la gestión de riesgos en materia de inteligencia artificial, ni desde el punto de vista de los desarrolladores ni de los desplegadores de está tecnología.
Digo «había» porque desde hace poco la certeza ha dejado de lado la incertidumbre. En un corto periodo de tiempo se ha establecido un estándar común, que para muchos les será familiar si conocen las normas ISO, que tiene como referencia una norma vinculante y un estándar técnico.
La norma vinculante es el nuevo Reglamento Europeo de IA, conocido como Ley de IA, que dentro de las obligaciones que aplica a los sistemas de alto riesgo, incorpora un sistema de gestión de riesgo a la luz y de acuerdo con las practicas que por años ha acuñado el estándar ISO 31000, por ejemplo, (nadie está inventando la rueda en esta materia). ISO tiene una norma específica para gestión de riesgos en sistemas de IA, que es la ISO 42001.
Dicho Reglamento establece las directrices para un sistema de gestión de riesgos robusto y eficaz y que si bien es exigible para los sistemas de IA de alto riesgo, debiese ser la norma y regla común no solo para cualquier desarrollador sino que para cualquier empresa que adquiere un sistema de IA y lo despliega en sus operaciones.
El Artículo 9, en particular, indica los componentes del sistema de gestión de riesgo y que es lo que espera se traduzca como un cumplimiento eficaz de la norma.
Aquí les dejo un esquema del contenido de este artículo, que ilustra la profundidad e importancia que adquieren los sistemas de gestión de riesgos:
Me gustaría hacer un alcance final sobre la gestión de riesgos en IA, que puede que en esta norma no se logre apreciar con claridad. No debemos olvidar que los sistemas de IA son, en primer lugar, sistemas sociotécnicos, no se pueden explicar ni conceptualizar solo con elementos técnicos, por lo que, las decisiones de diseñadores, desarrolladores e implementadores, así como, el contexto social donde son desplegados juegan un rol fundamental a la hora de conceptualizar y analizar riesgos y daños. Este enfoque en materia de gestión de riesgos en IA es fundamental. Un buen ejemplo de esta mirada lo desarrolla el NIST con su programa piloto ARIA, lanzado hace unos días, como una nueva aproximación a la gestión de riesgos, tomando en consideración todo el componente social y contextual que está indefectiblemente unido a las consecuencias del uso de esta tecnología. Recomiendo mucho echar un vistazo por la página web del NIST y este proyecto piloto, es muy interesante.
Escrito por Catherine Muñoz
Tal como el modelo de la Unión Europea, la Ley de Protección de Datos Personales próxima a promulgarse en Chile (LPD) establece derechos para que las personas tengan, por regla general, el control de sus datos. Por tanto, los datos personales deben recogerse de forma leal, lícita y con fines legítimos, específicos. Para ello, la recogida de datos debe basarse en un consentimiento libre, específico, informado e inequívoco o en otra base legal como determinados tipos de datos y excepciones.
La nueva ley de protección de datos próxima a promulgarse define el consentimiento en los términos del GDPR de la siguiente forma:
Consentimiento: toda manifestación de voluntad libre, específica, inequívoca e informada, otorgada a través de una declaración o una clara acción afirmativa, mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen.
La regla general aplicable a los datos personales contenida en el artículo 12 señala que es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello.
El consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse, además, en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
Cuando el consentimiento lo otorgue un mandatario, este deberá encontrarse expresamente premunido de esta facultad.
El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento. La revocación del consentimiento no tendrá́ efectos retroactivos.
Los medios utilizados para el otorgamiento o la revocación del consentimiento deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el titular.
Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.
Con todo, lo dispuesto en el inciso anterior no se aplicará en los casos cuando quien ofrezca bienes, servicios o beneficios, requiera como única contraprestación el consentimiento para tratar datos.
El artículo 16, indica que el tratamiento de los datos personales sensibles solo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente.
Por su parte, el tratamiento de los datos personales que conciernen a los niños, niñas y adolescentes, sólo puede realizarse atendiendo al interés superior de éstos y al respeto de su autonomía progresiva. Cumpliéndose la exigencia establecida en el inciso anterior, para tratar los datos personales de los niños y niñas se requiere el consentimiento otorgado por sus padres o representantes legales o por quien tiene a su cargo el Cumpliéndose la exigencia establecida en el inciso anterior, para tratar los datos personales de los niños y niñas se requiere el consentimiento otorgado por sus padres o representantes legales o por quien tiene a su cargo el cuidado personal del niño o niña, salvo que expresamente lo autorice o mandate la ley.
Los datos personales de los adolescentes se podrán tratar de acuerdo a las normas de autorización previstas en esta ley para los adultos, salvo lo dispuesto en el inciso siguiente. Los datos personales sensibles de los adolescentes menores de 16 años sólo se podrán tratar con el consentimiento otorgado por sus padres o representantes legales o quien tiene a su cargo el cuidado personal del menor, salvo que expresamente lo autorice o mandate la ley.
La ley permite que los datos personales se recopilen y utilicen sobre la base de un consentimiento que puede manifestarse de forma amplia, derivado de la expresión “una clara acción afirmativa” la cual puede ser interpretable de muchas maneras. Por su parte para los datos sensible, se requiere un consentimiento «expreso».
No obstante, en Europa se ha discutido que la expresión “inequívoca” para definir el consentimiento de los datos personales no sensibles, es equivalente o quiere decir lo mismo que consentimiento expreso. En definitiva, el debate planteado da cuenta que todos consentimientos finalmente deben ser expresos, lo que puede generar problemas de ambigüedades e interpretaciones.
Por ejemplo, un problema interpretativo podría ser si una persona verbalmente confirma «Sí, estoy de acuerdo» o selecciona una opción o casilla que indica su aprobación, ha dado su consentimiento a través de una acción afirmativa, más bien una acción afirmativa explícita , pero si una persona nunca dice «Estoy de acuerdo», y nunca marca una casilla evidentemente no está dando un consentimiento expreso, pero ¿podríamos inferir implícitamente su consentimiento a través de una acción afirmativa diferente si estamos hablando de datos personales no sensibles?
En principio, si pudiese ser posible deducirlo, por ejemplo, si un usuario en internet entra en un concurso en línea, para entrar, tiene que completar un formulario de acceso proporcionando su nombre y dirección. Además, introduce su dirección de correo electrónico en un campo de correo electrónico marcado como «opcional», con un breve descargo de responsabilidad debajo que dice «Introduzca su dirección de correo electrónico para recibir información sobre productos y servicios que creemos que le interesarán». Este es un consentimiento con una acción afirmativa, no hay duda, pero no queda claro si es inequívoco o no.
Los dos modelos diferentes de consentimiento se traducen en soluciones muy diferentes dentro de los productos y servicios. En uno, el modelo de consentimiento «expreso», nada menos que una casilla de selección de suscripción o una declaración de consentimiento, funcionará. En el otro, el modelo de consentimiento «inequívoco», puede cumplirse con un aviso prominente, junto con una «acción afirmativa», obteniendo el consentimiento implícito sin la necesidad de una casilla de suscripción.
Es lícito el tratamiento de datos personales sensibles, sin el consentimiento del titular, en los siguientes casos:
Cuando el tratamiento se refiere a datos personales sensibles que el titular ha hecho manifiestamente públicos y su tratamiento esté relacionado con los fines para los cuales fueron publicados.
Cuando el tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan ciertas condiciones.
Cuando el tratamiento de los datos personales del titular resulte indispensable para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento.
Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.
Cuando el tratamiento de datos sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social, y se realice en el marco de la ley.
Cuando el tratamiento de datos personales sensibles lo autorice o mandate expresamente la ley.
Reglas sobre datos sensibles relativos a salud
Sólo se podrá tratar los datos personales sensibles relativos a la salud del titular y a su perfil biológico, sin contar con su consentimiento:
Cuando éste resulte indispensable para salvaguardar la vida o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento.
En casos de alerta sanitaria legalmente decretada.
Cuando sean utilizados con fines históricos, estadísticos o científicos, para estudios o investigaciones que atiendan fines de interés público o vayan en beneficio de la salud humana, o para el desarrollo de productos o insumos médicos que no podrían desarrollarse de otra manera.
Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.
Cuando el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de sistemas y servicios de asistencia sanitaria y social.
Cuando la ley así lo permita e indique expresamente la finalidad que deberá tener dicho tratamiento.
Al respecto, la nueva normativa local establece las siguientes fuentes de licitud que reemplazan el requisito de consentimiento en el caso de datos personales no sensibles:
Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III de esta ley.
Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.
Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular.
Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.
Ninguna base legal es ‘mejor’ o más importante que las demás ni que el consentimiento; todo dependerá de su propósito y relación con el usuario o cliente.
Se debe determinar si es necesario el consentimiento o se puede aplica una base legal descritas en los párrafos anteriores y documentarlo siempre. Por ejemplo, una base legal para tratar datos personales sin el consentimiento puede ser la existencia de un contrato previo. En otras palabras, tiene un contrato con la persona y es necesario procesar sus datos personales para cumplir con sus obligaciones en virtud del contrato. ‘Necesario’ no significa que el procesamiento de datos deba ser absolutamente esencial o ‘la única forma’ de ejecutar el contrato. Sin embargo, debe ser un paso específico y proporcionado que sea parte integral de la prestación del servicio contractual o la realización una acción sujeta a obligación contractual.
Los formularios de consentimiento deben ser fáciles de entender y fáciles de usar.
Mantenga registros para evidenciar el consentimiento: quién dio su consentimiento, cuándo, cómo.
La ley expresamente señala que las personas que han otorgado este tipo de consentimientos pueden retirarlo sin expresión de causa en cualquier momento, por lo que se debe contar con un proceso de facilitación para el retiro del mismo.
Mantenga los consentimientos bajo revisión y actualícelos si algo cambia. Incorpore revisiones periódicas de consentimiento en sus procesos de compliance.
LA NUEVA LEY DE PROTECCIÓN DE DATOS PERSONALES: EL TABLERO DE AJEDREZ DONDE CADA MOVIMIENTO EN LOS PRÓXIMOS DOS AÑOS IMPORTA
Las organizaciones deben ajustar sus prácticas de gestión de datos para alinearse con los rigurosos requisitos que impondrá la nueva Ley de Protección de Datos, que está a punto de ser promulgada. Esta transformación no solo exige una actualización tecnológica, sino también un cambio profundo en la cultura y mentalidad dentro de la organización. Como lo han demostrado estudios previos, cumplir con normativas como el GDPR en Europa forzó a las empresas a una transformación de procesos y negocios revisando exhaustivamente sus prácticas de datos y a adoptar un enfoque más centrado en la privacidad para la gestión de la información.
Tanto la Ley de Protección de datos como la Ley Marco de Ciberseguridad son metarregulaciones, en el sentido que establecen ideales u objetivos que deben ser cumplidos pero no indica la forma de hacerlo, por lo que se vuelven normas complejas y subjetivas al momento de abordarlas, ya que la forma de cumplir depende de cada empresa y su contexto de riesgos propio, es en cierto sentido, una estrategia que tiene que estar muy bien pensada y articulada.
Con dos años de vacancia legal antes de que las reglas entren en pleno vigor, las empresas tienen la oportunidad de prepararse de forma adecuada a un marco regulatorio complejo.
Es por esta razón, que en Idónea Consultores quisimos entregar una orientación para saber por donde empezar en esta preparación. Para ello hicimos una analogía de transformar el cumplimiento en un juego de ajedrez donde cada decisión estratégica puede llevarte más cerca del éxito o ponerte en una posición difícil. Les comparto el documento que creamos con los elementos mínimos necesarios que toda empresa debe considerar desde ya.
Si necesitas ayuda para adaptar tu estrategia en materia de protección de datos personales, todos los datos de contacto están en nuestro sitio web https://idonea.cl/