Expertos alertan duplicidad de competencias en agencias de protección datos y de ciberseguridad

A paso firme avanzan dos proyectos de ley que se perfilan como clave para la adopción de nuevos marcos regulatorios para Chile.
La Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información fue aprobada en general en la Comisión de Seguridad Ciudadana de la Cámara de Diputados esta semana en su segundo trámite constitucional y la ley sobre Protección de Datos Personales se alista para la discusión de su tercer trámite.
Si bien ambas iniciativas cuentan con respaldo transversal de parlamentarios y expertos, estos últimos han levantado alertas acerca de las potenciales duplicidades de competencias y facultades entre la Agencia Nacional de Ciberseguridad y la Agencia de Protección de Datos Personales, e incluso con otros reguladores como la Comisión para el Mercado Financiero (CMF) -que regula a las entidades de seguros, bancos y financieras y el Servicio Nacional del Consumidor (Sernac). Para el caso de la primera agencia, el proyecto de ley establece que contará con facultades regulatorias, fiscalizadoras y sancionatorias para los organismos de la Administración del Estados y de las instituciones privadas en esta materia.
En tanto, la de protección de datos personales, según el texto del proyecto, se encargará de dictar instrucciones generales relativas a las operaciones de tratamiento de datos, fiscalizar el cumplimiento de la ley y sancionar en los casos correspondientes.
Posibles «choques» La integrante de la mesa de ciberseguridad de la Asociación Chilena de Empresas de Tecnologías de la Información (ACTI) y abogada del estudio Albagli Zaliasnik, Constanza Pasarin, señaló que la principal preocupación por la duplicidad de competencias entre ambas agencias es la certeza jurídica, debido a que tanto empresas como titulares de datos podrían no saber a qué órgano dirigirse o reportar incidentes JOSÉ IGNACIO No AS O en agencias de protección datos y de ciberseguridad Mi Los abogados Constanza Pasarin y José Ignacio Mercado recomiendan mayor coordinación entre las leyes para entregar certeza jurídica. Ml Advierten de choque de competencias, por ejemplo, para determinar a quién reportar un incidente o divergencias de criterios al establecer sanciones. de ciberseguridad o vulneraciones de datos. Para la experta, existen posibles «choques» de competencias, como interpretaciones divergentes donde cada autoridad podría tener criterios diferentes y enfocarse en aspectos distintos.
También señaló la posibilidad de conflictos de intereses al tener dos o más autoridades revisando un mismo caso, lo que podría afectar la eficacia de las acciones de protección de datos; e incluso advirtió que puede verse afectado el principio que señala que no se puede ser juzgado y sancionado dos veces por un mismo hecho, pues ambas agencias tienen facultades sancionatorias. Además, alertó que estas agencias podrían tener conflicto con otros reguladores, como el Sernac. «Tiene facultades en materia de consumo y ha dictado circulares sobre protec= ción de datos personales», aseguró. En ese sentido, dijo que la coordinación «es clave» y espera que los parlamentarios puedan sumar más tiempo al debate de cada uno de los proyectos.
Por otro lado, José Ignacio Mercado, director del estudio Carey Abogados y experto en protección de datos personales, destacó tres posibles casos en la duplicidad de competencias en materia de reportes deincidentes, facultades normativas y exigencias a los regulados.
Señaló que ambas agencias establecen el deber de reportar vulneraciones e incidentes, pero «la CMF también obliga a notificar incidentes operacionales». También mencionó que tanto las agencias y el regulador del mercado financiero, podrían dictar instrucciones, normas generales y obligatorias. «Es decir, para materias similares, tres reguladores podrían decir algo diferente. Resguardar adecuadamente el principio de coordinación de los órganos públicos resulta vital», alertó.
Comentó, además, que ambas agencias podrían exigir a los regulados implementar medidas de seguridad o sistemas de gestión, a lo que se suman los lineamientos específicos que establece la CMF. «Podría haber una calificación distinta encuanto alas medidas desegu ridad por parte de las diferentes autoridades». Lecciones internacionales Los abogados plan= tearon que otros países han adoptado algunas medidas para evitar situaciones como las que se podrían generar una vez se promulguen estas leyes. Mercado señaló que la directiva europea NA A MESA CIBERSEGURIDA NS ZALIASNIK.
NIS1 establece que cuando una infracción considera incidentes de seguridad que violan datos personales, se debe reportar a las autoridades de datos personales, y en el caso que estas últimas impongan alguna sanción, el responsable de ciberseguridad debe abstenerse en lo que refiere al proceso sancionatorio.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba