AmCham activa lobby por ley de ciberseguridad: alerta por desincentivo a la inversión y pide igualdad entre sector público y privado
La Cámara Chilena Norteamericana de Comercio ha sostenido reuniones con diputados y ha manifestado sus preocupaciones y propuestas frente a la ley marco de ciberseguridad. La iniciativa, luego de ser aprobada en el Senado, pasó a segundo trámite legislativo.
El gremio que reúne a empresas como Walmart, Uber, Google y MetLife, entre otras, ha sostenido hace unas semanas una serie de reuniones por Ley de Lobby con parlamentarios. Entre el 9 de junio y el 11 de julio se ha reunido con los diputados Jorge Alessandri, José Miguel Castro, Diego Schalper, Cristián Araya, Raúl Leiva y Andrés Jouannet.
En las audiencias, la Cámara Chilena Norteamericana de Comercio (AmCham) ha manifestado sus preocupaciones y propuestas a la ley marco de ciberseguridad, la que luego de ser aprobada en el Senado pasó a segundo trámite legislativo.
Pulso accedió a un escrito de seis páginas que la agrupación empresarial ha dejado a los parlamentarios en sus audiencias, en el que se detallan sus reparos y planteamientos frente a la iniciativa. AmCham Chile cuenta con 480 firmas socias, pertenecientes a 32 sectores económicos, las cuales aportan aproximadamente 550 mil puestos de trabajo.
Uno de los temas que manifestó AmCham es su preocupación por las diferencias que establece la iniciativa para su aplicación entre el sector público y privado.
El artículo 1° del proyecto establece que será aplicable tanto a los organismos del Estado como a las instituciones privadas, pero excluye de su aplicación a las empresas públicas creadas por ley, estatales o en aquellas en las que el Estado tiene participación accionario superior a un 50%.
“Al respecto, son dos puntos de preocupación sobre este artículo. Primero, no queda del todo claro el motivo por el que este Proyecto aplica a todos los organismos, sin embargo, se excluye a las empresas del Estado, salvo si son clasificadas como Operadores de Importancia Vital. Esto, no encuentra asidero en la experiencia internacional y pone en riesgo la legitimidad del marco regulatorio al eventualmente infringir el principio de igualdad ante la ley”, destacó.
Añadió que “resulta preocupante que se proponga una regulación de aplicación general, tanto a entidades públicas como privadas, en atención a los riesgos y niveles de exposición reales de Chile frente a ciber amenazas, debido a que pasa por alto niveles de relevancia y criticidad divergentes entre distintas entidades, especialmente entre aquellas que son de baja criticidad y aquellas de importancia vital por prestar servicios esenciales”.
Frente a ello, AmCham sugirió “iniciar con una regulación aplicable solo a los operadores de importancia vital y servicios esenciales, en atención a los riesgos y el nivel de exposición de cada servicio esencial, a amenazas cibernéticas, su criticidad, proporcionalidad y los recursos técnicos, económicos y humanos existentes en el país. Recomendamos explicitar en el artículo 1° del proyecto que este será aplicable a los organismos del Estado y a las instituciones públicas y privadas calificadas como operadores de importancia vital. Además, no existe a nivel global una ley de ciberseguridad que sea de aplicación general y, hacerlo en Chile, podría significar la desincentivación de la inversión extranjera, ya que encarecería el cumplimiento en un mercado pequeño en comparación a otros mercados regionales”.
Sanciones y limites
Dentro de las atribuciones de la Agencia Nacional de Ciberseguridad, en el artículo 9 letra j), se establece la facultad de requerir a las instituciones cualquier información necesaria para el cumplimiento de sus fines, incluyendo el acceso a redes y sistemas informáticos, siempre en observancia de los principios de la ley 19.628.
En esa línea, el gremio propuso “establecer limitaciones, criterios para ejercer dicha facultad o el deber de fundarla, ya que, en caso contrario, podría derivar en un ejercicio abusivo. Recomendamos que el texto exprese claramente que un requerimiento de información, de antecedentes o documentos debe materializarse a través de una resolución fundada de la Agencia que detalle expresamente qué tipo de documentación se va a requerir y los objetivos de la solicitud, tal como ocurre en la legislación europea”.
Por otro lado, el título VII del proyecto de ley, contempla las infracciones y sanciones, estableciendo un régimen sancionatorio diferenciado respecto de las infracciones cometidas por funcionarios de la Administración del Estado o de los órganos de este, las cuales se regirán por su respectivo estatuto sancionatorio. En tal sentido, el artículo 36 establece que las infracciones a los principios y obligaciones de los artículos 21 y 29 serán sancionadas con una multa del 20% al 50% de la remuneración mensual del jefe superior del organismo público infractor. Mientras que, las multas por infracciones establecidas en el artículo 33 son aplicables exclusivamente a instituciones privadas, con un máximo de 20.000 UTM.
Por lo tanto, la multa aplicable a las entidades del sector privado es mayor que la que se le aplica al jefe superior del organismo público infractor. Esta diferencia podría constituir una infracción al principio de igualdad ante la ley, en tanto no hay una razón legítima para establecer una diferencia así de importante en cuanto a los montos de las multas aplicables. alerta AmCham. Además, señala que la diferencia de trato que podría aplicar la Agencia Nacional de Ciberseguridad – que también será un organismo público – entre organismos públicos y privados, podría acrecentar la infracción al principio de igualdad ante la ley.
Al respecto, el gremio propuso “no establecer diferencias en cuanto a los montos de las multas para organismos públicos y empresas privadas. Asimismo, recomendamos seguir el ejemplo que establece el proyecto de ley de protección de datos personales, Boletín N° 11.144-07, en su artículo 35°, esto es, que se haga referencia a los sujetos obligados de manera general como eventuales infractores a la Ley. Así, en el caso del proyecto de ley sobre ciberseguridad, el inciso primero del artículo 33° debería hacer referencia a las instituciones calificadas como operadores de importancia vital”.
Comenta
Por favor, inicia sesión en La Tercera para acceder a los comentarios.