La actual normativa carece de obligaciones claras para quienes deben implementarla, lo que ha llevado a que los principios se presenten de manera diluida. Esto se traduce en una falta de claridad en las obligaciones de quienes utilizan datos personales. Una de las consecuencias más graves de este fracaso son los altos costos transaccionales que implica ejercer nuestros derechos sobre los datos. Este es un asunto que nos afecta a todos.
El jueves pasado, durante la sesión de la comisión de implementación, conté cuántas llamadas recibí en un solo día: 17 llamadas hasta las tres de la tarde, provenientes de números como 600, 800 y 809. Aunque estas medidas de transparencia son loables y buscan que podamos identificar quién es quién, persiste una opacidad en el proceso. Es desconcertante cómo una entidad con la que no tengo relación comercial tiene acceso a mi información personal. Preguntar por qué me están llamando o quiénes son es algo que, hoy en día, no se responde. Si decidiera embarcarme en la tarea de averiguar por qué esta empresa me contacta, tendría que contratar un abogado o hacerlo por mi cuenta, enfrentando altos costos transaccionales, ya que podría estar litigando en tribunales durante al menos dos años.
Esto desincentiva enormemente el ejercicio del control sobre mi información personal, ya sea mi número telefónico o mi dirección, especialmente en el contexto de la crisis de seguridad que vivimos, donde no deseo que mi información esté en manos de cualquier persona.
Este panorama refleja el fracaso de la normativa vigente, y actualmente estamos en una transición hacia una nueva normativa de protección de datos personales que contempla multas reales. Es decir, habrá consecuencias no solo por tratar datos personales, sino por hacerlo de manera indebida. Este es el contexto de las infracciones que trae consigo la nueva normativa.
Nada de esto sería posible sin la creación de una entidad que fiscalice esta situación: la Agencia de Protección de Datos Personales. Su creación no fue pacífica en el Congreso, ya que se consideraron al menos tres modelos regulatorios antes de llegar a la conclusión de que este es un tema que nos afecta desde diversas perspectivas, tanto del sector público como del privado. Por ello, se estableció la necesidad de contar con una autoridad independiente, dotada de reales poderes de fiscalización, que pueda sancionar tanto al sector público como al privado por tratamientos indebidos o ilícitos de datos personales.
Esta ley otorga responsabilidades directas a los organismos públicos y privados que manejan datos, no por el simple hecho de tratarlos, sino por hacerlo en infracción a la normativa, que se basa en estándares que no tienen una única forma de cumplirse. La implementación dependerá de quiénes somos y cuáles son nuestros riesgos. Además, esta normativa exige evidencia y proactividad, requiriendo que se demuestre la responsabilidad en el cumplimiento para, en el futuro, evitar las multas que establece la ley.
Tal como mencioné, esta ley no crea un riesgo, sino que hace visible un riesgo que ya existe y asigna responsabilidades directas. En el sector público, hemos visto numerosos casos de filtraciones de datos personales. Un ejemplo es el Ministerio de Salud, que en 2016 sufrió un acceso indebido a fichas clínicas, donde se compartió información de enfermos de VIH y de mujeres que habían utilizado la píldora del día después.
Aplicaciones inseguras como TeamViewer significaron la citación de la ministra de esa época al Congreso, generando un gran escándalo y un cambio estructural en el Ministerio de Salud respecto de la seguridad de datos. El Poder Judicial sufrió una caída de un par de horas, lo que no solo afecta la privacidad, como muchas veces se menciona en el lenguaje de estas normativas, sino que también impacta el acceso a la justicia. ¿Cuánto tiempo demora en darnos una audiencia en el Poder Judicial? Meses. Si ese día el Poder Judicial fue hackeado y está caído, tenemos un problema que no es solo de privacidad, sino de acceso a la justicia para las personas afectadas.
El último caso en investigación es el de la Clínica Dávila; aún no se sabe si los hackers revelaron información de los pacientes y si esta está disponible en la dark web. Existen casos más antiguos donde se ha ventilado públicamente la responsabilidad entre los responsables y los subcontratistas. Un caso notable es el de los datos de adolescentes adoptados en el SENAME en 2014, donde las partes terminaron por asignarse responsabilidades a través de la prensa. También podríamos mencionar los casos del CERVEL, del Banco de Chile con el "cartolazo", y el SERNAC investigando correos de Chile, entre otros.
Estamos ante un cambio legislativo profundo que finalmente busca dar una estructura a la actual normativa de datos personales. No se espera un cambio radical, pues la normativa vigente ya contenía principios y derechos que son coherentes con lo que se mantiene ahora, pero reforzados. Se refuerzan los derechos de los titulares, se aclaran las obligaciones y se incluye un capítulo especial para el tratamiento de datos en el Estado, así como el flujo transfronterizo de datos personales. Es relevante la creación de una nueva autoridad de datos personales que debería estar en funcionamiento. Esto está vinculado a una norma miscelánea en la ley de reajuste al sector público, que no se votó ayer, pero que debería votarse hoy y que adelanta el nombramiento de los consejeros para que se realice por el próximo gobierno a partir de abril.
Esto significaría que la agencia podría constituirse en junio de este año. Aunque no entraría en funciones de inmediato, sí comenzaría a realizar ciertas tareas que la comisión de implementación ha identificado como prioritarias, necesarias para aclarar aspectos en el sector público y privado que están implementando. Hoy deberíamos saber si esta ley pasó la discusión del proyecto de ley de reajuste y si efectivamente se adelanta el nombramiento. No se adelanta la entrada en vigencia de la ley de datos personales, que está programada para el primero de diciembre, sino que se anticipa el consejo directivo para resolver asuntos importantes en la implementación y aclarar dudas legítimas entre los sectores regulados.
Si esta ley no se aprueba, el nombramiento de los consejeros se realizaría en octubre de 2026, aproximadamente dos meses antes de la entrada en vigencia, según los transitorios. La ley entra en vigencia el primero de diciembre de 2026, por lo que en octubre deberían estar nombrados estos consejeros y entrar en funciones un mes o dos antes de la entrada en vigencia. Esto estrecharía las once acciones prioritarias que hemos identificado en la Comisión Asesora Ministerial, que son cruciales para la implementación. Hay un catálogo de 31 infracciones y sanciones, y es importante señalar que esta es una ley de estándares; no hay una única forma de cumplirla, lo que puede resultar confuso para las organizaciones acostumbradas a directrices más específicas. Esta ley tiene un cumplimiento amplio y es, sin duda, una de las pocas leyes de cumplimiento transversal para todo tipo de organizaciones.
Que es una ley de cumplimiento, aplica para cierto tipo de empresas, no aplica para el Estado propiamente tal; para las empresas públicas sí, pero no para el Estado. Aquí estamos frente a un compliance que es transversal. Las obligaciones de cumplimiento de la Ley Marco de Ciberseguridad son acotadas a ciertos sectores y servicios definidos como esenciales y operadores de importancia vital. En cambio, el cumplimiento de esta ley es transversal.
Existen solamente dos tratamientos exentos. No se puede hablar de sectores económicos exentos, sino que se refiere a dos tratamientos específicos. El primero es el tratamiento doméstico, el que realizamos todos los días, como el manejo de nuestros datos de contacto al celebrar un cumpleaños y hacer un listado de invitados. Esto no queda dentro de la Ley de Protección de Datos Personales. El segundo es el tratamiento que realiza la prensa al informar. Por lo tanto, estos son los únicos tratamientos exentos de la ley, y todo lo demás está bajo el paraguas normativo de la Ley de Protección de Datos.
Considero que hemos dimensionado poco lo que significa este cambio en la gestión de datos personales que ocurre en todas las organizaciones. Por ejemplo, en organizaciones como una empresa minera o de agua, se podría pensar que lo que se gestiona mayoritariamente son recursos naturales y transacciones que no tienen impacto en datos personales. Sin embargo, hay trabajadores, y esos trabajadores están protegidos por esta normativa.
Estamos, por tanto, ante un cambio significativo en el escenario legal y político, donde esperamos que esta ley reduzca la improvisación y las crisis comunicacionales. Además, se espera que contribuya a que la ciudadanía confíe en el uso de sus datos personales, ya que cuando hay un responsable, confiamos, y cuando hay consecuencias, también confiamos. La confianza puede medirse como variable de bienestar y económica, y aunque hoy no se mide a través del uso de datos, podemos anticipar que en el futuro habrá mediciones al respecto para comprender cómo perciben las personas esta situación.
Existen sondeos en Chile sobre la privacidad de los ciudadanos, que reflejan cómo se sienten al proporcionar datos y si confían más en el Estado o en el sector privado. Sin embargo, estos sondeos son limitados, y se espera que, con la ley en ejercicio y una agencia empoderada, se pueda observar un comportamiento más claro. Se anticipa una mayor confianza ciudadana y un mejor uso de nuestros propios datos a través de esta normativa.
Es fundamental destacar que la protección de los datos no obstaculiza su uso; ese es el mensaje que deseo transmitir. Esta normativa busca avanzar hacia una gestión responsable y que haya una entidad visible que se haga cargo del uso de esos datos. En caso de usos indebidos, será esa entidad la responsable ante el futuro regulador de datos.
Esta no es una ley para abogados. Yo soy abogada y siempre les digo a mis clientes, en mi ejercicio privado, que contratándome solo a mí no resolverán todos sus problemas. Esta ley tiene una perspectiva tecnológica importante, con más de 15 o 20 obligaciones técnicas. Es una ley que requiere una mirada interdisciplinaria, ya sea en una entidad pública o en una empresa, y que necesita considerar la triada de la protección de datos, el gobierno de datos y la ciberseguridad.
Por lo tanto, se requiere no solo una musculatura legal, sino también capacidad técnica y evidencia. No se puede cumplir con esta normativa solo redactando cláusulas y políticas o pidiendo consentimiento. Es necesario tener una visión más amplia que trascienda los silos en los que estamos acostumbrados a trabajar en las distintas áreas tecnológicas. Este encuentro es valioso precisamente por reunir a todos estos actores.
Mi único defecto es ser abogada. No lo sé, pero hay que colaborar entre todos. Con esta ley ya no habrá más incidentes con datos, esto es lo que busca esta normativa. Sin embargo, es imposible garantizarlo. Lo que va a hacer esta ley finalmente es dejarnos con la conciencia tranquila de que hicimos lo correcto, de que implementamos y analizamos la protección de la información de la mejor forma posible. Esto será lo que pedirá el regulador en el futuro: evidencia de cómo actuamos y de lo que hicimos antes, para poder demostrar que fuimos responsables en el manejo de la información personal.
Muchas gracias, Romina. La verdad es que, primero que nada, debo hacer un disclaimer. Entre ingenieros y abogados, en todo lo que es tema de tecnología y desarrollo de políticas y legislación, hacemos un trabajo muy mancomunado y positivo. Los ingenieros somos buenos para poner las cosas en contexto y acotar, pero los abogados aportan un entendimiento necesario para lograr las leyes y resolver los problemas que pueden surgir por la miopía que a veces tenemos los ingenieros al no considerar todo el abanico. Dicho lo anterior, me reivindico.
Creo que fue una muy buena exposición la que hizo Romina. Los datos personales son un activo valioso, y debemos preocuparnos y protegerlos. Además, es fundamental que todos los ciudadanos comprendan que no se trata de entregar los datos sin más, sino de cuidarlos y asegurarnos de que se haga un buen uso de ellos.
A continuación, vamos a hablar de ciberseguridad. Evidentemente, la ciberseguridad cumple un rol relevante en la integridad, confiabilidad, disponibilidad y resiliencia de los datos, y es un tema de creciente preocupación mundial. Así lo han manifestado muchos expertos a nivel internacional. Por ello, queremos invitar a nuestro siguiente expositor, don Daniel Álvarez, profesor de la Facultad de Derecho de la Universidad de Chile y primer director de la Agencia Nacional de Ciberseguridad, a exponer sobre este tema.
Daniel, muchas gracias. Buenos días a todas y todos. Agradezco a Michael por la invitación y al senador Piu. Quisiera hacer un recuento y conversar sobre cómo hemos avanzado en los últimos diez años en materia de ciberseguridad en Chile y los desafíos que se nos presentan hacia adelante. Hoy es difícil pensar que la ciberseguridad no es una cuestión estratégica para el país; es una prioridad estratégica. No podemos concebir un sistema informático que no sea clave para el normal funcionamiento del país en diversas dimensiones, desde el funcionamiento del Estado, los servicios públicos, los gobiernos regionales, las municipalidades, hasta todo el andamiaje estatal que permite la prestación de servicios públicos, así como en el sector privado.
Cada vez es más evidente que es difícil encontrar un proceso que no esté mediado por algún tipo de tecnología. Lo que hemos aprendido en los últimos diez años es que, a medida que dependemos y estamos interconectados a través de tecnologías digitales, la dimensión de la seguridad se vuelve crítica, clave y estratégica. Esto lo entendimos en Chile hace muchos años. Afortunadamente, cuando discutíamos sobre la agenda digital en 2003 y 2005, ya habíamos recorrido un camino con tres agendas digitales en esos años, recordemos el gobierno del presidente Lagos y el gobierno del presidente Frei. En materia de ciberseguridad, hemos sido consistentes durante diez años; contamos con una política de Estado, una verdadera política de Estado. Llevamos una década construyendo capacidades, y creo que esto es parte importante de nuestro avance.
Del éxito que ha logrado Chile en la última década, gran parte se debe al desarrollo de capacidades en ciberseguridad. Este desarrollo tiene una línea continua que se inicia en 2015, cuando se realizó un diagnóstico que evidenció la necesidad de avanzar en esta materia. Para ello, era fundamental contar con una estructura orgánica que definiera responsabilidades y atribuciones. En esos años, el diagnóstico reveló que la ciberseguridad era un problema de muchos, pero parecía ser un problema de nadie, ya que recaía en diversas entidades como el Ministerio del Interior, la Secretaría General de la Presidencia, el Ministerio de Defensa, el Ministerio de Relaciones Exteriores y el Ministerio de Economía, lo que complicaba la gestión de este desafío multidimensional.
En 2015, se creó el Comité Interministerial sobre Ciberseguridad, el primer órgano en la administración del Estado chileno con el propósito de realizar una planificación primaria. Esta planificación es crucial, ya que orienta los esfuerzos hacia un objetivo común, generalmente de mediano a largo plazo. El resultado de esta planificación fue la Política Nacional de Ciberseguridad del 2017, que estuvo vigente hasta 2023. La primera medida de esta política fue la creación de una institucionalidad en ciberseguridad.
La importancia de esta institucionalidad radica en que, al elaborar la política, se consideraron experiencias comparadas de otros países que habían desarrollado capacidades de manera sistémica. El elemento común en estos casos era la existencia de una institucionalidad sólida. Por ello, la medida número uno del plan de acción se centró en la construcción de una infraestructura resiliente, compuesta inicialmente por un servicio público, sin hablar de una agencia, subsecretaría o ministerio.
El incidente del Banco de Chile en 2018 fue un hito que catalizó el debate público sobre la ciberseguridad. A pesar de que el Estado de Chile había estado trabajando en esta área durante tres años, el incidente generó una necesidad urgente de avanzar de manera más sostenida. En respuesta, el presidente Piñera aprobó el primer instructivo presidencial de ciberseguridad, el primer instrumento que reguló de manera concreta la ciberseguridad en los organismos de la administración del Estado.
Sin embargo, la ciberseguridad no dependía únicamente de los organismos estatales; también requería la colaboración del sector privado y de toda la sociedad. A finales del mandato del presidente Piñera, se presentó un proyecto de ley marco de ciberseguridad e infraestructura crítica, aunque esta parte finalmente quedó fuera de la ley. Al asumir el gobierno el presidente Boric, se decidió retomar y patrocinar este proyecto en el Congreso, logrando su aprobación en 2023.
Durante 2024, se trabajó en la Segunda Política Nacional de Ciberseguridad, que, afortunadamente, es muy similar a la versión anterior, lo cual es positivo, ya que un país que planifica de manera adecuada no modifica su planificación cada cuatro años. Al comparar el documento de 2017 con el de 2023, se observa que son bastante parecidos, con diferencias en el nivel de profundidad y especificidad.
El proyecto de ley marco de ciberseguridad fue aprobado de manera unánime tanto en la Cámara de Diputados como en el Senado, un hecho inusual en la agenda de seguridad pública. En 2024, se promulgó la ley y se inició el proceso de implementación. El 1 de enero de 2025, se creó la Agencia Nacional de Ciberseguridad, que tuve el honor de dirigir hasta el 31 de diciembre de este año. Esta agencia es un órgano peculiar en dos aspectos: primero, es una superintendencia con facultades normativas, fiscalizadoras y sancionatorias, pero su actividad principal es prevenir y responder a incidentes.
En la cuenta pública que realizamos hace un par de semanas, compartimos algunos datos relevantes: se reportaron 400 incidentes durante el año, el doble de lo que se había gestionado anteriormente.
En cinco años, en un año calendario gestionamos el doble de incidentes que se habían gestionado en cinco años. Esto tiene un origen claro: la ley aplica tanto al sector público como al privado, ampliándose a quince sectores de la economía. Hay una mayor madurez en la gestión de ciberseguridad, confiando en un instrumento clave, el Sistema Nacional de Reporte de Incidentes. Los organismos públicos ya tenían la obligación de notificar, pero los privados han comprendido que hacerlo beneficia tanto a ellos como al país. Hoy, el ranking de instituciones que notifican más frecuentemente corresponde a las más maduras, lo que se correlaciona con la capacidad técnica; cuando se tiene la capacidad de visualizar lo que sucede en la red, se pueden detectar más incidentes que aquellos que carecen de dicha madurez.
El Sistema Nacional de Reporte de Incidentes nos ha permitido, por primera vez en la historia, contar con un esquema que identifica los riesgos reales del país. Ya no dependemos de informes de agencias extranjeras; el mapa de riesgos tecnológicos lo construye la propia agencia. Además, hemos implementado un proceso de calificación de operadores de importancia vital, cuya primera etapa concluyó en diciembre del año pasado, identificando entidades críticas en sectores como electricidad, telecomunicaciones, servicios digitales, banca, salud y la administración del Estado. Estos operadores son esenciales para el funcionamiento normal del país y, en caso de un incidente o ciberataque, podrían generar costos significativos para la población y la provisión de servicios esenciales.
Estos procesos nos han permitido identificar ventajas y realizar contrataciones estratégicas. Primero, es fundamental comprender que la ciberseguridad opera de manera ecosistémica. Hemos observado que en países que intentan regular la ciberseguridad solo desde el ámbito público, el diagnóstico resulta parcial, ya que no consideran el aporte del sector privado. En economías liberalizadas como la de Chile, muchos servicios esenciales dependen del sector privado. Por lo tanto, es crucial que todas las partes del ecosistema actúen de manera coherente. La agencia nos permite identificar a los actores privados más relevantes y orientar acciones para mejorar la ciberseguridad en cada uno de ellos y en el ecosistema en su conjunto.
En segundo lugar, la ciberseguridad no es solo tecnología; es cultura, proceso y personas. El 40% de los incidentes ocurridos en Chile durante el año 2025 se relacionaron con problemas de usuario y contraseña, lo que evidencia un problema en la capa humana y sistémica que nos coloca en riesgo, independientemente de las medidas tecnológicas adoptadas. Por lo tanto, el desafío de crecer en madurez no se limita a la inversión en recursos financieros y tecnológicos, sino que también requiere inversión en las personas, en formación y capacitación.
Asimismo, la ciberseguridad demanda una dimensión técnica importante y madura. Este es un desafío que enfrentamos como país, ya que hemos avanzado significativamente en la digitalización de diversos sectores de manera simultánea. Sin embargo, durante mucho tiempo, el enfoque estuvo más en la digitalización en sí misma que en la seguridad de dicha digitalización. Hoy, los resultados de esta falta de atención son evidentes. Nos encontramos con sistemas legacy, desarrollados hace veinte años, que son esenciales pero presentan brechas de seguridad significativas. Aislarlos para evitar conexiones con otros sistemas puede ser necesario, pero también complicado, ya que la migración a sistemas seguros puede resultar extremadamente costosa y requerir nuevos desarrollos.
Es importante señalar que varios de los incidentes relevantes ocurridos en los últimos años, no solo en Chile, sino en el resto del mundo, están relacionados con esos sistemas que digitalizamos en las décadas de 1990 y 2000. La transición hacia una digitalización segura puede implicar costos en múltiples dimensiones. Este desarrollo de una capacidad técnica madura también nos lleva a cuestionar prácticas que hemos mantenido de manera sostenida a lo largo del tiempo. Estoy aquí para plantear algunas preguntas al respecto, y me entusiasma esta parte de la actividad. Sin embargo, ahora tengo nuevas interrogantes, como no soy autoridad y solo soy un participante en esta discusión.
Académico, puedo preguntar más cosas. ¿Cuántos de ustedes utilizan doble factor de autenticación en sus cuentas institucionales? Al parecer, uno tuvo que bajar la mano. ¿Y cuántos lo hacen en sus cuentas personales? Muchos más, perfecto. Sin embargo, no son todos. Nunca me ha tocado un espacio, ni siquiera en conferencias de hackers, donde tenga una respuesta del 100%. Pero tengo una pregunta nueva: ¿cuántos de ustedes son capaces de hacerle estas mismas preguntas a sus padres o a sus hijos, y que la respuesta sea positiva? Uno. Yo tengo que levantar la mano a medias; por una parte sí, y por la otra, no, es difícil.
También hay cosas que hicimos porque pensábamos que eran seguras durante mucho tiempo. ¿A cuántos de ustedes todavía los obligan a cambiar la contraseña cada cierto tiempo? Vemos que hay varios. ¿Por qué? Porque la persona que inventó esa regla, que es una buena regla técnica, no considera que somos las personas quienes gestionamos esas contraseñas. ¿Qué hacemos cuando nos obligan a cambiar la contraseña permanentemente? Le agregamos un valor más. La contraseña clásica en esas instituciones es "este mes, enero de 2026, gato". Luego, cada tres meses, "mayo de 2026, gato". Esto genera una brecha de seguridad más grande, ya que, si no lo miramos en términos sistémicos, es más riesgoso obligar al usuario a cambiar la contraseña que permitirle tener una buena contraseña desde el principio.
Esto nos obliga a repensar ciertas cosas, y no lo digo yo; hay abundante evidencia técnica y la agencia ya lo ha dictado. La NIS en Estados Unidos también ha establecido que no es bueno obligar al usuario a cambiar la contraseña, porque somos malos gestionando contraseñas. Vamos a tomar el atajo. Esto implica repensar cómo hacemos las cosas tradicionalmente. La discusión sobre Passkey, cómo eliminamos las contraseñas, cómo nos movemos hacia un modelo que integre esto de manera más centralizada y segura, y cómo agregamos dobles o triples factores de autenticación.
Veo al Gobierno Digital asintiendo. Es una discusión que implica movernos de donde estamos, porque nos hemos dado cuenta de que donde estamos es riesgoso. ¿Cómo construimos un ecosistema ciberseguro? No es solo la dimensión técnica, no es solo la dimensión regulatoria, ni la capacidad que tenga el Estado de llevarlo a cabo e implementarlo de manera efectiva, sino que también debemos cambiar hábitos. Necesitamos enfocarnos en la educación y en la prevención. Cuando cambiamos hábitos, somos buenos haciéndolo, aunque pensamos que no lo somos.
¿Se acuerdan de los que vivieron en esa época? Yo estudié en los 80 en la básica y en la parte importante de la media. Las brigadas escolares. ¿Por qué tuvimos brigadas escolares? Porque necesitábamos aprender a cruzar la calle en la esquina, no a mitad de cuadra, debido al aumento del tráfico. Lo internalizamos y hoy día no existen las brigadas escolares. Es parte de la cultura de educación cívica vial: cruzar en la esquina con un semáforo. Chile es paradigmático en esto; los autos se detienen en el paso de cebra, lo que sorprende a muchos extranjeros.
Lo mismo ocurrió con el cinturón de seguridad, que se incorporó fuertemente en las campañas de educación vial en los 90 y 2000. La industria minera hizo un esfuerzo significativo por integrarlo en sus procesos internos, y hoy día ese sector es un campeón de la seguridad vial. Nos toca lo mismo en ciberseguridad. Los que son los campeones de la ciberseguridad, como la banca, deben hacer que su ecosistema, sus proveedores, usuarios y clientes profundicen sus capacidades en este ámbito.
Esto no implica que, con más prevención, más hábitos y más educación, vamos a tener menos incidentes; eso no va a suceder. Seguiremos teniendo incidentes, ya que son inevitables. Lo que debemos hacer es construir la mejor capacidad de respuesta a incidentes. ¿Y cómo logramos esto? Con múltiples instrumentos. Primero, estándares. Afortunadamente, esta es una dimensión técnica, y los estándares funcionan bien; no se discuten tanto. Hay mucha experiencia comparada, desde frameworks como la ISO 27001, los controles CIS, o una serie de instrumentos que permiten planificar y organizar el esfuerzo que deben realizar las instituciones.
Hemos visto en el último mes que la agencia fue capaz de dictar al menos dos instrucciones: una para mitigar los efectos de un incidente y otra para el delegado de ciberseguridad. Lo que uno debería esperar en el futuro son más estándares e instrucciones generales de esta naturaleza, de manera tal que se identifiquen claramente cuáles son las reglas del juego.
El esfuerzo por el cumplimiento normativo es fundamental. En este sentido, el desafío que enfrentan tanto las organizaciones privadas como las públicas es identificar un conjunto de acciones que deben llevar a cabo para incrementar su nivel de madurez, no solo para cumplir la ley, sino también para elevar su nivel de seguridad operacional desde el punto de vista de la seguridad digital. Así como en el manejo de datos es necesario identificar brechas y acciones de procesamiento, en ciberseguridad es imperativo reconocer los gaps organizacionales, técnicos, de recursos humanos y directivos.
El cumplimiento normativo es clave, pero también lo es la función de fiscalización de la agencia. Durante el primer año, no se realizaron acciones de fiscalización, ya que la agenda se centró en tres pilares: la instalación del servicio, el sistema de notificación de incidentes y el proceso de calificación de operadores de importancia vital. Ahora, la madurez institucional debe orientarse hacia la fiscalización del cumplimiento de los estándares establecidos en las áreas correspondientes.
Con este conjunto de medidas, que abarca lo organizacional, lo técnico, la educación y los hábitos, podemos identificar los siguientes pasos. Chile ha dado pasos significativos con la aprobación de la ley y la instalación de la agencia, desarrollando capacidades de manera sistémica. Cabe destacar que la agencia no es el único órgano de ciberseguridad en el país; contamos con el CSIR de la Defensa Nacional, un Consejo Asesor Multisectorial y el Comité Interministerial de Ciberseguridad. Estos elementos han madurado con el tiempo, y el 31 de diciembre se publicó el reglamento de ciberdefensa, que regula cómo el sector asume sus obligaciones legales.
La suma de todos estos elementos nos lleva a definir cómo proceder. Debemos consolidar y escalar estas capacidades. Actualmente, el ámbito de cobertura está limitado a los cinco sectores que formaron parte del primer proceso, y es necesario ampliarlo a los diez sectores que se incorporarán en el segundo proceso, así como escalarlo territorialmente. La ciberseguridad está extremadamente centralizada en Santiago y en los servicios públicos de carácter nacional. Es imperativo involucrar a los gobiernos regionales, delegaciones presidenciales y municipios, que han quedado fuera del proceso por cuestiones de madurez. Debemos avanzar en este sentido y profundizar lo que ya hemos logrado.
Afortunadamente, contamos con al menos dos instrumentos que nos son útiles. Como mencionó el senador Pugh en su presentación, en el último informe elaborado por el BID y la OEA, utilizando la metodología del CMM de Oxford, Chile logró el nivel de madurez más alto en varias dimensiones, alcanzando incluso el nivel estratégico en 15 de ellas. Sin embargo, también se identifican áreas con espacio significativo para mejorar, ya que en algunas dimensiones tenemos uno o dos niveles de madurez y nos falta alcanzar el quinto nivel.
Por lo tanto, hay una hoja de ruta importante. Un segundo aspecto, que no incluí en la presentación, es la política nacional de ciberseguridad. Esta política ha sido un instrumento de planificación exitoso para el país, conteniendo las medidas necesarias. Ya se publicó el plan de acción a finales del año pasado, y una parte crucial de lo que debemos hacer este año es implementar dichas medidas. Esto se aplica tanto a nivel de gobierno central, con las especificidades mencionadas, como en el sector privado, donde es fundamental incorporar la dimensión de la ciberseguridad en los órganos colegiados, directorios, cuerpos directivos y grupos empresariales, así como en la actividad gremial. Al final del día, la ciberseguridad opera como un sistema, un ecosistema que depende del buen funcionamiento de todas las partes que lo integran.
Así que, muchas gracias, buenos días a todas y todos. Agradezco a Daniel por su participación. Hay varios hitos importantes en los que Daniel ha estado muy involucrado. La ley marco de ciberseguridad fue un trabajo interesante realizado en comisiones, y tuve la oportunidad de colaborar con él. Sin duda, la formación de la Agencia Nacional de Ciberseguridad es un hito relevante para una institucionalidad moderna. Solo me resta destacar que en ciberseguridad no se compite, se colabora. Gracias, Daniel. Ahora, con el fin de intercambiar opiniones sobre los temas antes expuestos, invito a la testera a nuestros expositores.
Randall Lederman, don Gustavo Giorgetti, Romina Garrido y, por supuesto, Daniel Álvarez, a un diálogo enriquecedor que será moderado por doña Gabriela Zúñiga, de Servicio de Gobierno Digital.
Hola a todos y a todas, mi nombre es Gabriela Zúñiga, soy ingeniera civil industrial de profesión y me desempeño como asesora de la dirección de Gobierno Digital. Hoy se me ha solicitado moderar este diálogo de expertos, cuyo objetivo es integrar las miradas expuestas durante la mañana en torno a la identidad digital, gobernanza de datos, protección de datos personales y ciberseguridad. Más que profundizar en conceptos, la invitación es a conectar enfoques, identificar tensiones y relevar decisiones clave que permitan avanzar de manera coherente y sostenida hacia un estado digital.
Para ello, nos acompañan los cuatro expositores anteriores. Comenzaré la conversación haciendo una pregunta a cada uno. La idea es que respondan en un tiempo de tres a cuatro minutos, y luego realizaré unas preguntas de cierre para que todos puedan expresar su opinión.
Voy a comenzar con Randall. La pregunta es: desde la experiencia chilena y tu activa participación en distintos encuentros de Gobierno Digital a nivel internacional, ¿cuál ha sido el principal aprendizaje al pasar de la estrategia de transformación digital a su implementación concreta en los servicios públicos?
Hola de nuevo, muchas gracias. Un aprendizaje es algo difícil de resumir, así que haré trampa y mencionaré varios, pero me centraré en unos pocos. La implementación de una ley como la Ley de Transformación Digital es compleja y difícil, y todos los países que lo han hecho lo saben. Si debo destacar algunos aspectos, uno de ellos está relacionado con la pandemia, que proporcionó un impulso que normalmente no se tiene. En ese sentido, tuvimos un impulso adicional.
Aprovechar el ánimo de innovación y el impulso por realizar cambios en las instituciones es muy deseable, pero debe hacerse con cuidado. Durante la pandemia, muchas instituciones tuvieron ideas innovadoras y lograron resolver problemas de manera efectiva. Sin embargo, si esa implementación no se guía adecuadamente desde el principio, las soluciones pueden divergir y es complicado reordenarlas posteriormente. Esto resalta la importancia de contar con una buena estrategia y una hoja de ruta clara; aunque uno pueda desviarse unos grados, tener un norte definido es fundamental.
En línea con esto, se mencionó en tu presentación la necesidad de contar con una infraestructura digital pública definida. Es crucial que las instituciones tengan claridad sobre qué servicios serán provistos por el Estado y cuáles no. Deben priorizar si buscarán soluciones de terceros o desarrollarán capacidades internamente.
Otro aprendizaje importante es la necesidad crítica de una gobernanza clara y una rectoría definida, así como la posibilidad de hacer enforcement sobre las normativas. Afortunadamente, contamos con la ley, que fue diseñada para este propósito. Sin embargo, lo que no esté estrictamente en la ley puede interpretarse como recomendaciones, lo que diluye la implementación. Por lo tanto, es esencial tener una gobernanza robusta y la capacidad de hacer cumplir lo que se desea impulsar legalmente.
Es crítico. El último punto que diría yo, que es un aprendizaje muy potente, es que hay que abandonar la soberbia digital. El subsecretario Reyes, en la mañana, mencionó un término que lo voy a robar ahora: no podemos pensar como Estado, como institución, como gobierno digital, que nos las sabemos todas y tenemos todas las soluciones. Se debe trabajar con otros, con otros órganos públicos, con la industria, con la academia y con la sociedad civil. Esa conversación, si no está incluso institucionalizada, conlleva el riesgo de que las decisiones no sean ni las mejores técnicamente, ni las mejor tomadas, ni las que mejor impactan a las personas al final, que es el objetivo final.
Muchas gracias, Randal. Ahora, la siguiente pregunta es para Gustavo. En términos prácticos, ¿cuáles son los factores críticos para que la interoperabilidad y el intercambio de datos funcionen efectivamente?
Hola, hola. Para que intervengan bien, yo creo que lo primero es respetar el poder que existe en la realidad. No se debe cambiar tecnológicamente las cosas. Mañana, cuando yo tenga que hablar de Argentina, voy a mostrar que es un país federal, que es distinto a un país unitario. Siempre se pregunta por qué hacemos tanto ecosistema, si con uno alcanza. El problema es que no somos un país... Básicamente, respetar el poder desde la tecnología es fundamental, porque la tecnología tiene que ayudar, pero no cambiar las reglas de poder. Eso nos ha dado buenos resultados y nos ha permitido avanzar cuando otros modelos no lo hacían.
Para profundizar, ¿cuáles son las mejores prácticas mundiales y sus factores de éxito en interoperabilidad que tú pudieses recomendar?
Sí, tienen que ver con lo que estuve hablando hace un rato sobre las arquitecturas. Estonia tuvo la visión de replantear el problema, entenderlo y plantear la solución más allá de lo que se estaba haciendo en el mundo en ese momento. Esa es la clave del éxito: partir de la necesidad y no de la tecnología disponible. Hoy se parte de la inteligencia artificial para hacer todo, y en realidad, muchas cosas la IA no las va a hacer. Tener clara la necesidad y entender la descentralización de las estructuras de datos es el punto clave. Por eso, la arquitectura de cuatro esquinas es realmente la que soluciona el problema, evitando traer otros problemas desde el punto de vista tecnológico.
Muchas gracias. La siguiente pregunta es para Romina. ¿Dónde identificas hoy la principal tensión entre la innovación digital del Estado y la protección efectiva de los datos personales?
Muchas gracias, Gabriela, por la pregunta. Una de las principales tensiones es el poco entendimiento o la incomprensión que ha tenido la ley de datos personales respecto de la innovación propiamente tal. Hay un discurso instalado que sostiene que ciertas normativas frenarían la innovación en nuestro país, convirtiéndose en un paso más hacia la permisología, lo cual afecta a todos en cuanto a poder crecer como país y utilizar recursos, en este caso, recursos digitales que son datos. Creo que uno de los mitos que debemos derribar es mirar estas normativas desde la perspectiva de la gestión, siendo coherentes en el discurso tanto del sector público como del sector privado. Si queremos ser impulsados por los datos, que es cómo se mueven las organizaciones hoy, debemos ordenar la casa. Saber qué es lo que tenemos, tener datos de buena calidad, y si queremos avanzar hacia el uso de sistemas automatizados o inteligencia artificial, es fundamental que nuestros datos sean de calidad y estén bien gestionados. Si no sabemos lo que tenemos o si enfrentamos problemas de licitud, los resultados no serán buenos. Entonces, construir innovación en base a datos de calidad es esencial.