Una ley obsoleta y empresas que no invierten en protección de datos, es parte de la realidad de Chile. Felipe Harboe nos comenta los desafíos que se vienen.

Este 21 de octubre comienza la Conferencia internacional sobre proteccion de datos en Bruselas, Bélgica. El senador Felipe Harboe irá en representación de Chile a exponer la realidad en manejo de datos y ciberseguridad del país. Conversamos sobre los principales problemas y tareas pendientes.

FayerWayer: ¿Qué es lo que va a exponer particularmente durante la conferencia?

Felipe Harboe: Voy a exponer sobre la importancia del proceso que estamos llevando con la nueva ley y el contenido de los proyectos para mejorar la protección de datos. Iré a señalar que, si bien Chile fue considerado como pionero en Latinoamérica con sus leyes, la globalización económica y digitalización de procesos, ha hecho que nuestra realidad supere a la ley.

Hoy día, la industria de servicios globales representa cerca de USD$ 1500 millones de exportación anual y calculamos que si tuviéramos una ley moderna, podríamos multiplicar por tres esa cifra. Significa que Chile, en el marco de la economía digital, podría insertarse de forma adecuada. Hoy no nos consideran de esa forma (en materia de protección de datos). Por eso, la nueva ley tiene que tener un balance entre mejorar la protección de datos de los ciudadanos, y también servir de base para el desarrollo de la industria.

FW: El propio gobierno nombró en agosto un asesor presidencial en ciberseguridad. ¿Qué temas ve como urgentes para ser abordados?

FH: Yo creo que Chile no está preparado para enfrentar el cibercrimen. En primer lugar, por falta de inversión en el sector público y privado. En Chile se invierte aprox. el 0,007% del PIB en ciberseguridad; el promedio mundial es 0,12%. Tenemos un problema serio. Nuestro país tiene que asumir que el desarrollo de la economía digital implica tener medidas de seguridad.

Se ha pensado que digitalizar es tener una web más moderna, pero es mucho más complejo que eso, hay que tener cifrado de datos, prevención y otros elementos. Uno de los desafíos es hacer entender a los ejecutivos públicos y privados que la ciberseguridad no es un tema solo de informáticos. Es un tema estratégico que puede afectar la reputación de una empresa, que puede incluso impedirles volver a pararse si han sido afectados por algún ciberataque.

Para todo esto, es importante que haya una ley de delitos informáticos actualizada, porque la que tenemos hoy día es de 1993. Tenemos un problema de obsolescencia en las normas. Así mismo, urge una institucionalidad con un responsable único, para la prevención, la reacción y la audición de las consecuencias. En esto es relevante fijar estándares que deben cumplir las empresas públicas y privadas.

FW: ¿Considera que se va en dirección correcta con el Sistema Nacional de Ciberseguridad?

FH: Yo creo que sí, pero echo de menos que tengamos mayor celeridad en el envío de proyectos porque hoy en el Congreso solo tenemos el proyecto que viene del gobierno pasado, que es el de protección de datos personales. Falta el de la ley de ciberseguridad, ley de infraestructura crítica, ley de delitos informáticos; con eso podríamos tener un ecosistema normativo que permita mayor seguridad.

FW: Son muchas las empresas que manejan la información de los usuarios y que no invierten en ciberseguridad, por abaratar costos. ¿Hay iniciativas legales para empujarlas a que inviertan?

FG: Hoy día no hay conciencia en el mundo directivo, de que un ataque puede quebrar una empresa. Si la autoridad fija estándares para el sector público, también lo tiene que hacer para el privado, sobre todo en Chile, que es una economía tremendamente privatizada. Mi percepción es que se tienen que fijar estándares con sanciones, que implique que a la empresa le sale más rentable invertir que no invertir.

FW: ¿Ven en la ley europea, como el GDPR, un referente?

FG: GDPR es el primer instrumento con vocación global, porque regular a las empresas europeas y a las que tratan datos europeos. Hay muchas empresas que ya se están adecuando a esos estándares. Para nosotros, en Chile, el modelo europeo es uno a seguir, porque también tiene un énfasis en el desarrollo de la industria.

El GDPR establecer que frente a la vulneración masiva de una empresa, las sanciones pueden llegar hasta 20 millones de euros, o el 4% de las ventas. En Chile no hay sanciones todavía, pero la nueva ley contempla sanciones que llegan hasta los 360 mil dólares; bastante menos. En materia de ciberseguridad, debiéramos tener incentivos altísimos para que se adopten mayores estándares.

FW: Muchas veces son los mismos usuarios los que, por una mala costumbre, entregan datos, como el Rut cuando compran. ¿Hay un problema cultural que subsanar en el país?

FG: Tenemos un atraso de 30 años en materia de educación sobre la seguridad de datos y nuevas tecnologías. Estamos creando ciudadanos para el siglo XX, cuando van a ejercer en el XXI. Cuesta entender por qué las autoridades no han hecho modificaciones en esto. La economía digital cambia completamente la forma de entender los procesos productivos. Se requiere una actualización y campañas de concientización ciudadana.

La gente no sabe cuando entrega datos, como el rut, si ese rut va a ser entregado a otra compañía o si es vendida para campaña políticas. No lo sabe porque nada le dicen al respecto. Sin ir más lejos, los jóvenes creen que las redes sociales son gratis, pero no; uno no paga en paga con plata, pero paga con datos, porque al aceptar cualquier política de privacidad estamos aceptando que nos pongan cookies, que se creen patrones de consumo con nuestros datos, o que accedan a nuestra cámara o micrófono (y nadie si el día día de mañana van a seguir escuchando).

FW: ¿Deberían endurecerse las sanciones para las empresas que no cumplan con un manejo apropiado de datos?

FG: La nueva ley contempla eso. La discusión si como ciudadano sé a ciencia cierta para qué van a utilizar mis datos. La nueva ley contempla el “consentimiento inequívoco” y establece el “principio de finalidad”. Por ejemplo, si el supermercado le piden el rut para un descuento, tiene que quedar constancia de que el rut se pide para eso. La empresa que lo recibe está imposibilitada de agarrar ese rut y usarlo para cualquier otra finalidad. Si lo usa, va a ser una violación a ese principio y va a ser una falta grave con multas de hasta USD 100 mil.

FW: Hay muchas empresas, como Amazon, que quieren entrar al país con infraestructura para datos. ¿Cómo ve la llegada de estas compañías cuando todavía no existen estos elementos legales subsanados?

FG: Yo veo como algo positivos la llegada de empresas, y me parece una oportunidad de nuevos negocios. Pero obviamente esas empresas van a tener que adecuar su comportamiento comercial a los estándares de las nuevas leyes. Van a tener que ser más rigurosos en el tratamiento de datos personales.