Valparaíso, 26 de abril de 2023 – La tarde de este miércoles, el Senado aprobó mediante la realización de tres votaciones, el proyecto de Ley Marco sobre ciberseguridad e infraestructura crítica de la información.
Con la presencia del Subsecretario del Interior, Manuel Monsalve, en el debate se destacó el trabajo transversal de distintos sectores políticos, en especial del Senador Kenneth Pugh y del Coordinador Nacional de Ciberseguridad Daniel Álvarez, quienes en conjunto a un equipo técnico, utilizaron como base el proyecto presentado en los últimos días del Gobierno del Sebastián Piñera.
También se resaltó la creación de la Agencia Nacional de Ciberseguridad, la cual tendrá la facultad de regular, fiscalizar y sancionar las acciones de seguridad informática, estableciendo protocolos y estándares diferenciados según el tipo de organización que se trate, haciéndose notar que en el Estado son muy pocas los organismos con estas tres facultades de regular, fiscalizar y sancionar.
En la primera votación se aprobó por la unanimidad de los Senadores asistentes, todos los artículos que no tenían modificación y aquellas indicaciones aprobadas por unanimidad, en las comisiones de defensa nacional y seguridad pública unidas.
En la segunda votación, se aprobaron por 38 votos a favor y ninguno en contra, dos artículos que no habían logrado la unanimidad, pero si mayorías en la comisión, las que tenían relación con la eliminación de la obligatoriedad de la paridad en los integrantes del Consejo Multisectorial sobre Ciberseguridad y de establecer dentro de las funciones del CSIRT Nacional, el realizar entrenamiento, educación y capacitación en materia de ciberseguridad.
En la tercera votación se aprobó el Hacking Ético, con 34 votos a favor, tres votos en contra de los Senadores Matías Walker, Ximena Rincón e Iván Flores y una abstención del Senador Francisco Chahuán, quedando finalmente establecido de la siguiente manera:
“No será objeto de sanción penal el que, realizando labores de investigación en seguridad informática, hubiere incurrido en los hechos tipificados en el inciso primero, siempre que se cumplan las siguientes condiciones:
1) Haber reportado el acceso y las vulnerabilidades de seguridad detectadas en su investigación al responsable de las redes y sistemas informáticos afectados, en forma inmediata y a más tardar en el momento en que alerte a la Agencia Nacional de Ciberseguridad;
2) Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia Nacional de Ciberseguridad;
3) Que el acceso no haya sido realizado con el ánimo de apoderarse o de usar la información contenida en el sistema informático, ni con intención fraudulenta. Tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizado métodos que pudieran conducir a denegación de servicio, a pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, exfiltración o destrucción de datos, y
4) No haber divulgado públicamente la información relativa a la potencial vulnerabilidad.
Tampoco será objeto de sanción penal la persona que comunique a la Agencia información una vulnerabilidad potencial de la que haya tomado conocimiento en su contexto laboral o con ocasión de la prestación de sus servicios, ni se considerará que ha incumplido con ello su obligación de secreto profesional.”.
Ahora el proyecto de Ley pasa a segundo trámite legislativo a la Cámara de Diputados, destacando que esta iniciativa está dentro de los 31 proyectos priorizados en el ámbito de la seguridad, fijándose un plazo de 75 días, de los cuales quedan 64 días.