La Política Nacional de Ciberseguridad y su impacto organizacional para las Fuerzas Armadas de Chile
Código: 20240909-WSPUB03
Palabras claves: Política Nacional de Ciberseguridad, Ciberseguridad, Protección de Datos Personales, Fuerzas Armadas de Chile.
Resumen ejecutivo: La Política Nacional de Ciberseguridad (2023-2028) junto a otras regulaciones y estándares internacionales deben ser aplicadas en las Fuerzas Armadas, dado que el avance de la tecnología conlleva beneficios para las organizaciones, pero también una serie de riesgos que deben ser mitigados. Por ello, en este artículo, se analizan las principales normas, proyectos de ley y estándares internacionales relativos a ciberseguridad y protección de datos personales, a través de la descripción del impacto para las Fuerzas Armadas de Chile, desde una perspectiva organizacional. Finalmente, se establecen los desafíos implicados y se proponen el establecimiento de buenas prácticas.
Palabras claves: Política Nacional de Ciberseguridad, Ciberseguridad, Protección de Datos Personales, Fuerzas Armadas de Chile.
La Política Nacional de Ciberseguridad y su impacto organizacional para las Fuerzas Armadas de Chile
INTRODUCCIÓN
La Política Nacional de Ciberseguridad (2023-2028) y otras regulaciones y estándares internacionales deben ser implementadas en las Fuerzas Armadas de Chile debido a los beneficios y riesgos asociados al avance tecnológico. Este artículo analiza las principales normas, proyectos de ley y estándares internacionales en ciberseguridad y protección de datos personales, evaluando su impacto en las Fuerzas Armadas desde una perspectiva organizacional. Se identifican los desafíos involucrados y se proponen buenas prácticas para mitigar riesgos y aprovechar los beneficios tecnológicos.
El avance de la tecnología conlleva diversos impactos positivos para la sociedad que han generado transformaciones relevantes en los usos y en las diversas miradas de la ciudadanía (Ministerio del Interior y Seguridad Pública 2017, 5). Sin embargo, el uso de nuevas tecnologías atrae, a su vez, una serie de riesgos, frente a los cuales es necesario generar mecanismos que permitan aminorar su impacto, dado que el ciberespacio genera problemas tales como la ambigüedad que ofrece para el ingreso de elementos hostiles, atendiendo con ello, el amplio ámbito sobre el que se producen sus efectos y que sobrepasan las fronteras físicas y los mecanismos institucionales de protección (García 2021). Es por ello, que la ciberseguridad y la protección de datos personales se presentan como una condición que debe ser alcanzada para que las interacciones en el ciberespacio sean menos riesgosas. Lo señalado conlleva una serie de medidas que buscan generar un ambiente seguro, con pleno respeto a las garantías de las personas, entendiendo que la privacidad es nuestro modo de vendarle los ojos al sistema para que nos trate con imparcialidad y justicia (Veliz 2021, 236). Frente a esto, las Fuerzas Armadas, desde el punto de vista organizacional, no pueden estar ajenas a esta regulación y deben adoptar sus políticas y procedimientos, teniendo presente que, en Chile -al igual que en Europa y numerosos países, existe legislación en materia de ciberseguridad y protección de datos personales -la que está radicada principal, pero no únicamente en la Política Nacional de Ciberseguridad, la Ley Marco de Ciberseguridad y la Ley N.º 19.628.
En atención a lo mencionado, el objetivo general de este estudio es analizar la Política Nacional de Ciberseguridad (junto con los documentos que se irradian a partir de ella), su actualización 2023-2028, sumado a otras regulaciones y estándares internacionales en materia de ciberseguridad y protección de datos personales, vigentes en Chile. Es por ello que, en este estudio, se proponen tres objetivos específicos: (1) describir las dos versiones de la Política Nacional de Ciberseguridad emitidas en el país, añadiendo las regulaciones y estándares internacionales vigentes en la materia; (2) describir el impacto que lo anteriormente señalado tiene para las Fuerzas Armadas de Chile desde el punto de vista organizacional; y (3) establecer los desafíos implicados y proponer el establecimiento de buenas prácticas.
1- CIBERSEGURIDAD Y POLÍTICA PÚBLICA
En los últimos años, la administración del Estado ha generado instancias en las cuales ha buscado encargarse del fenómeno de la ciberseguridad y la protección de datos personales, entendiendo, por una parte, el impacto que está generando en el mundo y observando, por otra, el desarrollo que los otros Estados y entes internacionales están impulsando en esta materia, que se traducen, por ejemplo, en el desarrollo de regulaciones, la creación de entes especializados, el desarrollo de profesionales y la adopción de una cultura; antes de continuar es necesario describir las dos versiones de la Política Nacional de Ciberseguridad, junto a otras políticas e instrumentos que se desprenden de ella y que son relativas a ciberseguridad y protección de datos personales, a saber:
Política Nacional de Ciberseguridad 2017-2022
Bajo la premisa de que Chile debía ponerse al día en materia de seguridad y dado que cualquier error o ataque exitoso pueden vulnerar el bienestar y los derechos de chilenas y chilenos, afectar intereses tanto particulares y comunes como servicios críticos para el funcionamiento del país (Ministerio del Interior y Seguridad Pública 2017, 5) es que se dictó, en el año 2017, la Política Nacional de Ciberseguridad, como un instrumento orientado a establecer parámetros que permitan un ciberespacio[1] seguro, unido al combate de la ciberdelincuencia, fomentando, con ello, la concientización para la comprensión del fenómeno y disminuir, de este modo, la ignorancia que opera desde años. Es así como, a la fecha de dictada esta política, el país contaba con una gobernanza dispersa en materia de ciberseguridad, junto con una normativa legal pionera en su época, pero hoy abiertamente desactualizada en comparación con los estándares internacionales, como lo es el Reglamento General de Protección de Datos, imperante en la Unión Europea[2].
Es necesario antes, detenerse en que la política define un concepto: infraestructura crítica de la información que comprende las instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación, interrupción o destrucción pueden tener una repercusión importante en la seguridad, la salud, el bienestar de los ciudadanos y el efectivo funcionamiento del Estado y del sector privado (Ministerio del Interior y Seguridad Pública 2017, 16). En esta misma línea, la política permitió la creación de un CSIRT (por sus siglas en inglés), a cargo de la prevención, monitoreo, gestión y respuesta a incidentes de seguridad de la información a nivel nacional (Ministerio del Interior y Seguridad Pública, 17). Este órgano vino a reemplazar a la red de conectividad del Estado, produciéndose una transición y una modernización en cuanto a institucionalidad.
La política también manifestó la importancia de la protección de los datos personales de la ciudadanía, de parte de los organismos públicos y privados de la nación, reforzando, con ello, una cultura de ciberseguridad. Esta cultura conlleva la sensibilización en relación con los aspectos más relevantes y la formación para preparar no sólo a la población civil, sino también a profesionales capacitados que puedan abordar los desafíos que esta materia trae consigo; otro aspecto relevante de esta política es impulsar la institucionalidad en ciberseguridad[3], mediante el compromiso de generar un proyecto de ley que aborde esto, entendiendo el aporte de las capacidades de la Defensa Nacional a la formación de un ciberespacio libre, abierto, seguro y resiliente para el país (Ministerio del Interior y Seguridad Pública 2017, 15). Por ello se comprometió también a la redacción de una Política Nacional de Ciberdefensa.
1.1- OTROS DOCUMENTOS VINCULADOS A LA POLÍTICA NACIONAL DE CIBERSEGURIDAD
A) Libro de la Defensa Nacional 2017
El libro de la Defensa Nacional de Chile (2017), constituyó un documento con diversos desafíos para este sector, sin embargo, para los efectos del presente estudio interesan los compromisos que se adoptaron en materia de ciberseguridad, toda vez que este libro buscó materializar la primera política nacional de ciberdefensa (compromiso inserto en la Política Nacional de Ciberseguridad), considerando los impactos que el uso de la tecnología estaba teniendo, sumado a la noción de ciberespacio como otro flanco en el cual se deben tomar los resguardos necesarios por todas las actividades que allí ocurren, tanto de carácter lícito como ilícito. Es importante destacar que este documento declara que la Defensa Nacional debe generar nuevas capacidades para proteger la confidencialidad, integridad y disponibilidad de la información, con el objeto de proteger a las personas y a sus intereses, tanto en territorio nacional como en el exterior (Ministerio de Defensa Nacional 2017, 180), lo cual expone la preocupación de las Fuerzas Armadas sobre estos tópicos que no habían sido abordados en el libro de la defensa anterior (2010), ya que sólo hacía mención al ciberespacio como un nuevo concepto dentro de la noción de campo de batalla (Ministerio de Defensa Nacional 2010, 176), sin ahondar en otros contenidos o políticas complementarias, como tampoco esgrimir esfuerzos en resguardar la información que transita al interior del sector defensa, como un activo vital para el desarrollo de sus operaciones. Ahora bien, la ciberseguridad y la protección de datos personales ni siquiera fueron mencionados en lo absoluto en los libros de defensa de Chile en los años 1997 y 2002.
B) Política Nacional de Ciberdefensa.
Como una respuesta a los lineamientos de la Política Nacional de Ciberseguridad, el Ministerio de Defensa aprobó (2017) la Política de Ciberdefensa que se erigió como la respuesta del Estado de Chile a los nuevos riesgos y amenazas que el ciberespacio genera para las capacidades de la Defensa Nacional, las cuales incluyen, entre otros elementos, la información, infraestructura y operaciones de defensa (BCN, considerando 7). Esta política destaca la importancia que tiene para la nación el ciberespacio, el cual merece protección al igual que los espacios marítimos, terrestre y aéreo. En síntesis, el ciberespacio como concepto da cuenta de la existencia de un nuevo dominio, dimensión o ambiente que es usado en forma creciente por personas, organizaciones, empresas, gobiernos e instituciones que se ven transformadas al incorporarlo en su gestión (Sancho 2018, 7). Con este instrumento, Chile reconoce que los ambientes digitales, son igualmente expresión de la soberanía, motivo por el cual merece la protección de los órganos de la administración del Estado, entre ellos los organismos de las Fuerzas Armadas. Además, la Política de Ciberdefensa señaló que El Ministerio de Defensa Nacional promoverá el desarrollo de una industria que sirva a los objetivos estratégicos para la Defensa Nacional, y que le permita mantener un adecuado nivel de independencia y soberanía tecnológica (BCN, artículo primero, punto 3.5), destacando así la importancia que para el sector defensa tiene el desarrollo tecnológico. Adicionalmente, el documento señala que el Estado de Chile considera que un ciberataque puede llegar a ser tan dañino como un ataque armado (BCN, artículo primero, punto 4.1), por lo que es necesario ejercer el derecho a la legítima defensa, estableciendo para ello, mecanismos de cooperación internacional.
Es relevante señalar que la presente política estableció el desarrollo de capacidades en materia de defensa nacional, para lo cual identificó diferentes requerimientos (BCN, artículo primero, punto 4.3): a. Identificar y definir el rol del recurso humano en la ciberdefensa; b. Implementar los modelos formativos que sean necesarios para cumplir con ese rol; c. Definir y crear las especialidades, subespecialidades o especialidades secundarias en el área de la ciberdefensa para oficiales y suboficiales, manteniendo una continuidad de trabajo en dicha área de desempeño, reestudiando los requisitos de ascenso y otras obligaciones o interferencias que pudieran afectar su continuidad como especialistas. Además de que se deberá considerar y promover la igual participación de mujeres y hombres en el área de la ciberdefensa; d. Identificar e implementar modelos de reclutamiento y reserva de personal calificado; e. Incrementar la interacción con el sector privado y académico, para contar con sus capacidades en la materia; y f. Promover la innovación y la investigación aplicada en materia de ciberseguridad, desde una perspectiva conjunta. Ahora bien, a raíz de esto, se adoptaron compromisos de reorganización orgánica como lo fue la creación de los CSIRT para cada una de las Fuerzas Armadas; por último, en cuanto a los instrumentos que se deberán generar a raíz de esta política, es preciso destacar la adecuación del derecho internacional humanitario y del derecho internacional de los conflictos armados al ciberespacio, junto con la preparación doctrinaria por parte de las Fuerzas Armadas y la inversión de cada uno de los organismos que las componen en cuanto al gasto asociado a ciberseguridad, debiendo considerarlos en la planificación de sus presupuestos anuales.
C) Política de Defensa Nacional
El año 2020, el ejecutivo estimó que los libros de defensa publicados desde 1997, debían avanzar a una política cuyo objetivo es la reafirmación y actualización de los fundamentos expresados en los anteriores Libros de la Defensa, así como también en el avance de conceptos y orientaciones necesarias para la conducción política de la Defensa (Ministerio de Defensa Nacional 2020, 7). Es importante destacar que, mediante esta política, las Fuerzas Armadas comprenden que su actuar no es ajeno a los desafíos que imponen los avances de las tecnologías, reconociendo así los déficits regulatorios que incrementan las posibilidades de ser vulnerables ante un ciberataque, con las perniciosas consecuencias que esto traerá para la seguridad de la población y del país.
Tomando en consideración los postulados de la política nacional de ciberseguridad y la política de ciberdefensa es que el documento plantea el desafío que implica para el sector defensa mantenerse a la vanguardia en tecnologías, procedimientos, equipamiento y capacitación del capital humano responsable de la ciberdefensa, para así contribuir de manera decisiva al esfuerzo de ciberseguridad del país (Ministerio de Defensa Nacional 2020, 45), adoptando, con ello, una actitud proactiva contra las amenazas que se presentan en esta área; además, es clave la importancia que la política manifiesta para el desarrollo del capital humano en materia de Ciberseguridad y finalmente, para el desarrollo de las capacidades estratégicas del país, la Política de Defensa Nacional alude a las capacidades en ciberdefensa, considerándolo como un tópico relevante que implica un aumento de la ciberseguridad tanto de la infraestructura crítica de las Fuerzas Armadas como del Estado, el desarrollo de ciberoperaciones, la formación de capital humano tanto (Ministerio de Defensa Nacional 2020, 96), así como el avance en la adecuación de las organizaciones, la generación de doctrinas, entre otras.
D) Política Nacional de Inteligencia Artificial
Elaborar recomendaciones de política pública en materia de inteligencia artificial no es una tarea sencilla, porque es una tecnología que está en constante desarrollo, y porque un mal diseño de políticas públicas puede perjudicar seriamente el desarrollo del país (Araya 2020); no obstante, el año 2021, también fue importante en materia de producción de instrumentos asociados a los contenidos abordados, toda vez que el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación, publicó la Política Nacional de Inteligencia Artificial (en adelante “IA”) como un esfuerzo político por visualizar la preponderancia que esta tecnología generará en el desarrollo del país, esbozando, de este modo, compromisos para incorporar a la IA en diversos sectores, generando, a su vez, alianzas con otras políticas estatales. Esta política también evidencia la brecha profesional que existe en Chile en materia de tecnologías, entre las cuales las Fuerzas Armadas no se encuentra ajena. Es más, el documento señala que el escenario actual en Chile es que existen marcadas brechas en capacidad y talentos en todos los niveles para áreas relacionadas con la transformación digital (Ministerio de Ciencia, Tecnología Conocimiento e Innovación 2021, 24).
La ciberseguridad y ciberdefensa también son motivo de estudio para esta política, manifestando inclusive que un ciberataque puede ser tan efectivo y perjudicial como un ataque armado, y más aún ante posibles usos bélicos de estos sistemas automatizados (Ministerio de Ciencia, Tecnología Conocimiento e Innovación 2021, 61), como se mencionó. Con este enunciado, la política se encarga de señalar los aportes que podría realizar la inteligencia artificial a esta área tanto en acciones de legítima defensa como en efectos de disuasión y manejo de crisis (Ministerio de Ciencia, Tecnología Conocimiento e Innovación 2021, 62), lo cual implica tener a la vista los riesgos e implicancias que esta tecnología puede traer aparejado. Es por ello, que este documento promueve que las próximas políticas públicas en materia de ciberseguridad y ciberdefensa, contemplen a la Inteligencia Artificial como un factor de relevancia. Además, propone que la IA sea una herramienta que contribuya a enfrentar los ataques informáticos, los cuales se han incrementado exponencialmente en los últimos años, no estando ajenos las Fuerzas Armadas, en especial si se piensa en el ataque informático sufrido por el Estado Mayor Conjunto (2022)[4] y el Ejército de Chile (2023)[5].
E) Construyendo la Ciberseguridad en Chile
La Comisión Desafíos del Futuro, Ciencia, Tecnología e Innovación, a través de la Mesa de Ciberseguridad dependiente del Senado de Chile, elaboró el documento titulado “Construyendo la Ciberseguridad en Chile” (2023). En la elaboración de este documento, se ahondó y propuso nuevos caminos a considerar tanto por el poder ejecutivo como por el legislativo, dando así un impulso al desarrollo de la ciberseguridad nacional (Biblioteca del Congreso Nacional 2023, 9). Dentro de los aportes del presente documento, se encuentran diversas propuestas tendientes a otorgar una robusta institucionalidad en materia de ciberseguridad y que aúne los esfuerzos públicos y privados que permitan la colaboración de los múltiples sectores, junto con propulsar un sistema de gobernanza que actúe coordinadamente y que defina roles y responsabilidades asociadas a los desafíos que impone la ciberseguridad y la protección de datos personales.
A lo anterior, se suman los esfuerzos en el fomento de la formación de profesionales especializados y que cuenten con los incentivos necesarios para aportar en el combate tanto de la higiene informática, como de la analfabetización. Además, se requiere una asignación de recursos consciente y eficiente, que permita una adecuada inversión y que comprenda la importancia de estos activos para el desarrollo del país, puesto que aún muchos perciben la ciberseguridad como un gasto, y no como una inversión que permite no sólo cuidar sus activos, sino defenderse de un potencial daño reputacional (Biblioteca del Congreso Nacional 2023, 108). Así pues, es el aporte de este documento para que se generen instancias que impulsen el talento humano en ciberseguridad, reconociendo, asimismo, la amplia brecha en este sector. El documento, además, señala que los seres humanos intervienen en toda la cadena de la ciberseguridad, desde el diseño de sistemas y programas seguros, la implementación de tecnología hasta los cortafuegos o los sistemas de detección y prevención de ataques, la repuesta a incidentes y el análisis forense, incluida la gestión de crisis con la comunicación y otras acciones asociadas (Biblioteca del Congreso Nacional 2023, 36).
Una propuesta interesante del documento es crear en Chile una unidad equivalente al Estonian Defence League’s Cyber Unit (Biblioteca del Congreso Nacional 2023, 62), el cual agrupa miembros especialistas en ciberseguridad tanto públicos como privados para la defensa del ciberespacio. Además, destaca la importancia de la protección y seguridad de los servicios esenciales e infraestructura crítica, donde es necesaria la participación de las Fuerzas Armadas, en coordinación con el sector público y privado en ciber-ejercicios, así como en la cooperación que debe existir entre los diversos CSIRTs, incluido, por supuesto, los de las Fuerzas Armadas; otro capítulo que aborda el documento es la lucha contra la desinformación, labor en la que se requiere la participación de las Fuerzas Armadas, entendiendo que la práctica de la desinformación es una práctica aceptada en la batería de instrumentos que un actor militar posee para el manejo de conflictos (bélicos, sociales, individuales, públicos o privados, etc.). Y ello, se deriva de la aplicación del principio de engaño al adversario (Biblioteca del Congreso Nacional 2023, 131). De esta manera, posiciona al sector defensa en los orígenes del arte de la desinformación, como un mecanismo estratégico de control del adversario en conflictos de índole bélico, el cual fue traspasado a otros ámbitos sociales o cotidianos de la vida, pero que de todas maneras generan un impacto significativo en la sociedad.
El documento también plantea combatir la amenaza de la desinformación, debido al impacto que puede tener en las operaciones militares. Sobre este punto, el texto expone que se requiere que las FF.AA. y de Orden y Seguridad mantengan capacidades para enfrentar estas nuevas dimensiones del conflicto, las que pueden servir como potenciadoras de una fuerza militar en operaciones convencionales, pero, además, actuar como una variable independiente en operaciones militares distintas a la guerra (Biblioteca del Congreso Nacional 2023, 140). Asimismo, se señala que se requiere una actualización doctrinaria al interior de las Fuerzas Armadas, que pueda hacerse cargo de esta amenaza, estableciendo lineamientos coherentes.
En consecuencia, la falta de preparación, conocimientos y capacitación provoca una severa deficiencia y retraso en comparación con los países más avanzados, quienes están empleando la estrategia de defensa cibernética activa para defender sus activos críticos y neutralizar las amenazas (Biblioteca del Congreso Nacional 2023, 141), mientras que las Fuerzas Armadas de Chile emplean un enfoque reactivo del problema, debiendo evolucionar a una defensa proactiva y finalmente, el documento propone la conformación de un Foro Nacional de Ciberseguridad que convoque a expertos y expertas a fin de canalizar inquietudes e iniciativas sobre la materia, y que esté radicada en el Senado de Chile (Biblioteca del Congreso Nacional 2023, 203). Su conformación se llevó a cabo el 01 de abril del año 2024[6]; no es de extrañar que se espere que las Fuerzas Armadas aporten capital humano para que forme parte de este órgano consultivo, de manera de contribuir a la generación de ideas e instancias que permitan una ciberseguridad robusta para el país.
1.2- POLÍTICA NACIONAL DE CIBERSEGURIDAD 2023-2028
Considerando el desarrollo de diversos instrumentos inspirados en los lineamientos de la primera Política Nacional de Ciberseguridad, se produjo un avance (2023)[7] en la segunda versión de la política con proyección hasta el año 2028; no obstante, esta segunda versión no logró cuantificar el avance de los compromisos establecidos por parte de su predecesora, por lo que no se logró evaluar, ni medir el real cumplimiento de las 41 medidas que fueron planteadas la primera vez, por lo que debe es imperioso su mejoramiento en su actualización.
Con este antecedente, la nueva Política Nacional de Ciberseguridad se erige para dar continuidad a los esfuerzos que se vienen desarrollando en esta última década para salvaguardar nuestros activos digitales, proteger los derechos de nuestros ciudadanos y fortalecer la resiliencia de nuestras instituciones frente a las crecientes amenazas cibernéticas (Ministerio del Interior y Seguridad Pública 2024, 6). En este sentido, el documento se estructura en base a cinco objetivos, a saber: a) Infraestructura resiliente, b) Derechos de las personas, c) Cultura de ciberseguridad, d) Coordinación nacional e internacional y e) Fomento a la industria y la investigación científica, los cuales coinciden con los objetivos que se habían planteado la primera Política Nacional de Ciberseguridad. A su vez, la actual política considera algunos temas transversales de protección que también se encontraban en la primera política, pero menos desarrollados, como lo es la equidad de género, protección a la infancia y la protección al adulto mayor; sin embargo, la nueva política incorpora como tópico transversal la protección del medio ambiente. Ahora bien, como aspecto novedoso, y en comparación a las 41 medidas que incorporaba la primera política, la versión 2023-2028 promete generar un plan de acción por separado que busca diferenciar la mirada a largo plazo que posee una política de Estado. Este plan de acción, a la fecha no ha sido publicado, por lo que no se ha podido revisar para el presente estudio, empero, su confección busca generar una evaluación y medición de la cual careció la primera política y no fue abordado por la política actual.
En lo que interesa al sector defensa, la Política Nacional de Ciberseguridad 2023-2028 menciona a la Política de Ciberdefensa, considerando un ciberataque masivo a la infraestructura nacional como lo es un ataque armado, por lo que este principio pone la infraestructura de comunicaciones de Internet al mismo nivel que la infraestructura considerada estratégica y vital para el país (Ministerio del Interior y Seguridad Pública 2024, 13), motivo por el cual la actual Política Nacional de Ciberseguridad no esboza que se trabajará en una actualización de la Política de Ciberdefensa, pero sí se preocupar en señalar que el sector de la Defensa Nacional realizará la reorganización orgánica que sea necesaria para el cumplimiento de sus funciones en el ciberespacio (Ministerio del Interior y Seguridad Pública 2024, 13). De esta forma, se recalca la importancia nacional del sector defensa en materia de ciberseguridad, teniendo las Fuerzas Armadas de Chile el desafío organizacional de adaptarse a los nuevos requerimientos de diversa índole; también, la actual política insiste en que es necesario impulsar el proyecto de ley marco de ciberseguridad y el proyecto de ley de protección de datos personales y, finalmente, si se compara la primera Política Nacional de Ciberseguridad y la actual, lo cierto es que la gran innovación está dada por el plan de acción separado de la política, lo que permitirá llevar a cabo la medición, evaluación y mejora continua de las medidas que se implementarán para materializar los lineamientos de la política, respetando así los enfoques transversales que esta política de Estado se ha impuesto.
1.3- NORMATIVA
En el ámbito de la ciberseguridad y la protección de datos personales, el país cuenta con regulación, al publicarse este año, en el Diario Oficial, la Ley Marco de Ciberseguridad, que es pionera en Latinoamérica y el Caribe; no obstante, en relación con la protección de datos personales, ésta es muy incipiente y se encuentra desfasada en comparación a los estándares internacionales. A modo de ejemplo, en los 90’, Chile fue el primer país de Latinoamérica en tener la primera ley de protección de datos personales; aunque esta ley es incapaz de hacer frente a las necesidades actuales surgidas de los avances tecnológicos y de la capacidad de procesar grandes volúmenes de datos en forma automatizada[8]. Para comprender qué ha pasado desde aquella primera normativa y sobre las necesidades legislativas que este fenómeno requiere es que se describen a continuación las principales normativas, aunado al actual proyecto de ley de protección de datos personales, donde se busca darle una vuelta al paradigma de obsolescencia e inexistencia legal e imperante.
A) Constitución Política de la República
La Carta fundamental reguló, a través de la Ley N.º 21.096, el derecho a la protección de datos personales, incorporándolo en el capítulo tercero “de los Derechos y Deberes Constitucionales”, en específico en su artículo 19 N°4[9], amparado, a su vez, dentro del catálogo de derechos fundamentales tutelados por el recurso de protección. Lo señalado incorporó de manera reciente al artículo 19 N.°4 un componente que no estaba considerado, tal como la protección de datos personales, señalando que “el tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley”, recalcando la urgencia de contar con una norma actualizada que operativice el mandato constitucional. Ahora bien, la ciberseguridad en sí no tiene una regulación constitucional concreta, como lo señalado. Sin embargo, el fallido borrador constitucional del año 2022 intentó regular el “Derecho a la seguridad informática[10]”, que señalaba elementos concretos de esta área. De esta forma, la Constitución Política de la República otorga en Chile al dominio legal, la regulación y el tratamiento de los datos personales.
B) Ley N.º 19.628
Como se señala, la normativa de protección de datos personales en Chile data de 1999, y llevó por nombre “sobre protección de la vida privada” y establece reglas relativas al mercado de los datos personales, especialmente, al tratamiento de los datos de carácter económico, bancarios y comerciales (morosidades), cuyo principal gestor, en ese tiempo, era la empresa DICOM (Donoso y Reusser 2012, 13). Siendo este su origen, las múltiples modificaciones sobre esta normativa han seguido orientadas al ámbito financiero y comercial, sin ser una respuesta efectiva a las actuales necesidades que una sociedad inmersa en la tecnología exige, por lo que, mientras que en la mayoría de los países occidentales (como los países de Unión Europea que se rigen por el Reglamento General de Protección de Datos (RGPD) o Reglamento (UE) 2016/679, Estados Unidos, México, Ecuador, Argentina, Perú y Costa Rica por nombrar algunos)[12] avanzan en la defensa del derecho a la privacidad y a la protección de datos personales, Chile sigue con una ley que tiene más de 20 años. En efecto, la Ley Nº 19.628, a más de una década de proyectos de reforma sin éxito, se mantiene vigente (Contreras y otros 2022, 12).
Sin perjuicio de ello, esta normativa contempla figuras como los llamado derechos A.R.C.O[12], la acción de “Habeas Data[13]” y un sistema infraccional. En base a estas tres figuras, es menester destacar su completa ineficacia, toda vez que estos derechos tienen nula aplicación en nuestro país, pues se carece de mecanismos que permitan una tutela efectiva de estas garantías. En efecto, el habeas data, en la práctica, es un mecanismo engorroso de defensa y de escasa aplicación en la actualidad. Sumado a lo anterior, la multa más alta existente a la fecha es de 50 Unidades Tributarias Mensuales, lo que no produce ningún efecto inhibitorio en los órganos o instituciones infractoras, si se considera que, actualmente, en el continente europeo las sanciones económicas son de alta magnitud (1.200 millones de euros, inclusive)[14]. Ahora bien, debido a la antigüedad de esta ley y la falta de modificaciones sustanciales, esta ha quedado desactualizada en cuanto a derechos, principios, autoridades, obligaciones, procedimientos y mecanismos sancionatorios, toda vez que existe en la actualidad el RGPD que no sólo fue una revolución en esta materia, sino que también ha servido de inspiración para los países no europeos. Es por esta razón, que, actualmente, se discute en el Congreso una modificación sustancial a lo regulado, recaídos sobre los boletines Nºs 11.144-07 y 11.092-07. Este proyecto incorpora tópicos relevantes entre los que se encuentran:
Inclusión de principios en materia de protección de datos personales, como el de licitud, calidad, finalidad, proporcionalidad, entre otros.
Se incorpora el derecho a la portabilidad de datos.
Se simplifica el ejercicio de los derechos A.R.C.O.P, eliminando el engorroso e ineficaz habeas data con el que se contaba en la actualidad.
Se incorporan los conceptos de protección desde el diseño y por defecto.
Realización de evaluaciones de impacto en materia de datos personales.
Contiene un capítulo relativo al tratamiento de datos personales por parte de los Órganos de la Administración del Estado (entre ellos las Fuerzas Armadas), que contiene la forma en que estos órganos podrán compartirse información que contenga datos personales, los deberes y derechos que esto implica, junto con regular un sistema de ejercicio de derechos, tutela y reclamo de ilegalidad.
Se establece un régimen de tratamiento de datos especial, para los datos relacionados directamente con la defensa nacional.
Se regula la transferencia internacional de datos personales.
Se crea la Agencia de Protección de Datos Personales, organismo que viene a ser la autoridad de control, encargada de velar por el cumplimiento de esta normativa, con facultades fiscalizadoras y sancionatorias, que permita hacer efectivo el correcto y lícito tratamiento de los datos personales de la ciudadanía.
Se aumentan considerablemente las sanciones para los infractores en materia de protección de datos personales, sin embargo, se aleja de las multas que han sido impuestas en el continente europeo. A su vez, se considera un procedimiento administrativo para ejercer derechos ante la Agencia, sin perjuicio de las instancias judiciales que correspondan.
Se contempla la posibilidad de establecer voluntariamente un modelo de cumplimiento, el cual deberá designar un delegado de protección de datos personales, figura de suma relevancia en la regulación internacional, de carácter autónomo e independiente cuya principal misión es brindar asesoría en materia de protección de datos personales, asesorar en la elaboración de las políticas o instrumentos que las organizaciones plasmen en esta materia, ser un punto de contacto con la autoridad de control, entre otras. Para la Comisión Nacional de Informática y de las Libertades Francesa (en adelante “CNIL”), el delegado de protección de datos tiene ante todo una misión de información, asesoramiento y control. No es responsable del cumplimiento de la organización, llevar el registro, realizar análisis de impacto o notificaciones de brechas de datos. Sin embargo, está en condiciones de ser un jugador clave cuyas habilidades serán de gran utilidad para el jefe de la organización y así ayudarlo a cumplir con sus obligaciones (CNIL 2022, 5) y, finalmente, las disposiciones de esta nueva regulación entrarían en vigor a contar de 24 meses contados desde su publicación en el Diario Oficial. De esta manera, a la fecha, el proyecto se encuentra en proceso de comisión mixta del Congreso Nacional donde se espera destrabar los últimos puntos de discusión, motivo por el cual se espera contar con una nueva ley de protección de datos para Chile este 2024.
C) Ley 21.459 (Establece normas sobre delitos informáticos)
Este cuerpo legal reemplazó a la ley N.º 19.233 (1993), la cual tenía nula aplicación, debido a que no existía el avance tecnológico de internet con el que se cuenta hoy, por lo que los tipos penales eran indeterminados, lo que dificultaba, a su vez, la persecución y la investigación. Por ello, se incorporan 7 nuevos tipos penales[15], los cuales forman parte de los delitos bases de la Ley N.º 20.393, y son incorporados en los modelos de prevención de delitos de las organizaciones. Adicionalmente, esta normativa busca adaptarse al Convenio de Budapest sobre ciberdelincuencia, del cual Chile es adherente y que es el primer instrumento internacional que asumió la necesidad de cooperación entre estados frente a la utilización ilícita del ciberespacio (Ministerio de Defensa Nacional 2017, 157).
D) Decreto N.º 273
Como una respuesta a las obligaciones que impuso la entrada en vigor de la ley de delitos informáticos, se dictó el Decreto N.º 273 (2022) que estableció la obligación de reportar incidentes de ciberseguridad “Todas las instituciones por más precavidas y diligentes que sean son objeto de ciberataques y también de sufrir ciberincidentes, sin embargo, lo importante en una democracia es que la sociedad cuente con la información suficiente para saber si hubo o no alguna acción u omisión de la autoridad que propiciara ese ciberataque o ciberincidente”[16]. Con esta regulación, los jefes de servicio de los órganos públicos deben comunicar los incidentes de ciberseguridad que les afecten al CSIRT dependiente del Ministerio del Interior, no pudiendo exceder el plazo de 3 horas desde la constatación del suceso.
E) Ley 21.180
En el año 2019, se publicó, en el Diario Oficial, la Ley de Transformación Digital del Estado que modifica la forma en que se desarrollan los procedimientos administrativos al interior de la Administración del Estado, otorgando mayor certeza, seguridad y velocidad en la entrega de servicios a las personas, junto con una mayor transparencia de los procesos y actuaciones del Estado en su relación con los ciudadanos (Álvarez 2023). Esta modificación, no ha estado exenta de dificultades para las entidades públicas, lo que ha obligado a aplazar los plazos de implementación de esta regulación, teniendo, como plazo fatal, el 31 de diciembre del año 2027[17]. Las Fuerzas Armadas no están exentas de estos plazos y tienen el desafío de modernizar sus sistemas de aquí a los próximos 4 años.
Esta ley estableció una serie de reglamentos que serían dictados posterior a su establecimiento sobre diversos tópicos de la regulación. Además, a través de esta regulación reglamentaria se comprometió la elaboración de una serie de normas técnicas que precisarían la aplicación de este cuerpo legal. Dichas normas técnicas se publicaron en agosto del 2023, y la primera de estas normas, según su artículo primero, tiene por objeto definir los estándares y establecer las directrices técnicas sobre seguridad de la información y ciberseguridad, que deberán cumplir los órganos de la Administración del Estado para resguardar la confidencialidad, integridad, disponibilidad de la información y la infraestructura informática de las plataformas electrónicas que sustentan sus procedimientos administrativos. En concreto, esta norma técnica establece la obligación de los órganos de la Administración del Estado de elaborar una política de seguridad de la información y ciberseguridad[18]. Finalmente, esta política debe alinearse con las siguientes funciones definidas en la norma técnica:
Función de identificación: de los riesgos asociados a las actividades propias del organismo público.
Función de protección: que establece garantías que resguarden la operación de los servicios encomendados por ley.
Función de detección: oportuna de los incidentes de seguridad.
Función de respuesta: que considere medidas técnicas y organizativas para abordar un incidente de seguridad.
Función de recuperación: para reestablecer sus capacidades luego de haber sido víctimas de un incidente de seguridad de la información.
F) Ley N° 21.663 (Ley Marco de Ciberseguridad)
El pasado 08 de abril del año 2024 se publicó, en el Diario Oficial, la Ley N.° 21.663 que regula la Ley Marco de Ciberseguridad. En este sentido, el 27 de marzo del año 2024, el presidente de la república, al promulgar el proyecto de ley, señaló que “Para el adecuado funcionamiento de la ciberseguridad en el país, es necesario gestionar los riesgos e implementar los más exigentes estándares que otorguen confianza y seguridad en las instituciones públicas como privadas”. La elaboración de esta ley es parte de los compromisos tanto de la primera como de la segunda Política Nacional de Ciberseguridad que busca crear las condiciones necesarias para institucionalizarla a nivel nacional, con un marco regulatorio que imponga obligaciones para las organizaciones públicas y privadas, basadas en la colaboración por un ciberespacio más seguro.
Entre las principales innovaciones de esta normativa, se encuentra la creación de la Agencia Nacional de Ciberseguridad, que será el órgano encargado de fiscalizar y regular las directrices en materia de ciberseguridad, generando las instancias de coordinación necesaria para la protección de los intereses nacionales. Adicionalmente, este nuevo organismo estará dotado de facultades sancionatorias, según la falta sea de carácter leve, grave y gravísima, cuya cuantía ira desde las 5.000 hasta las 40.000 unidades tributarias mensuales a beneficio fiscal. En este sentido, en cuanto a institucionalidad, la normativa crea el Comité Interministerial sobre Ciberseguridad, cuya función principal será la de asesorar al presidente de la república en materias de Ciberseguridad. La ley también busca regular la infraestructura crítica de la información y los sectores que serán considerados prestadores de servicios esenciales, que, por ende, manejan infraestructura crítica. A estos servicios se les impondrán una serie de obligaciones y deberes de resolución de incidentes. La normativa, además, incorpora la creación del Registro Nacional de Incidentes de Ciberseguridad, a cargo de la Agencia Nacional de Ciberseguridad. También, con este cuerpo legal se busca la creación de un CSIRT nacional que reemplace al actual y que coordine tanto con los diversos CSIRT sectoriales, como con los CSIRT internacionales. Adicionalmente, la ley busca la creación de un CSIRT de gobierno y CSIRT para el sector Defensa, el cual es dependiente del Estado Mayor Conjunto del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional, encomendando a los diversos CSIRT que deberá crear, cada una de las Fuerzas Armadas, el reporte de sus incidentes de ciberseguridad que se produzcan. Finalmente, pese a que la normativa se encuentra vigente, existe un plazo de vacancia legal regulado en las disposiciones transitorias de la ley que considera un año para que el presidente de la república regule una serie de materias allí dispuestas mediante uno o más decretos con fuerza de ley, entre ellas, el periodo de entrada en vigor de las normas del cuerpo legal, las cuales no podrán ser inferior a seis meses desde su publicación.
1.4- ESTÁNDARES INTERNACIONALES
Sumado a las políticas y las regulaciones existen estándares y buenas prácticas que, sin ser obligatorias, sirven como una importante guía a las organizaciones para contar con mejores herramientas en materia de protección y datos personales. Actualmente, los niveles de dependencia que poseen las organizaciones con la información, los sistemas que la gestionan, la infraestructura que la soporta y el personal técnico que la opera es cada vez mayor, requiriendo implementar diversos sistemas de gestión al interior de las TICs para poder alcanzar sus objetivos. Es así como “diversas necesidades de gestión surgen al interior de las organizaciones desde las TICs y normativas que le son aplicables, lo cual genera la necesidad de implementar mecanismos que posibiliten el gobierno de TICs, la gestión de servicios TI, la gestión del desarrollo y calidad de software, gestionar la seguridad de la información, la ciberseguridad, la continuidad del negocio, los incidentes de seguridad de la información, entre otros”[19]; contempla este estudio una síntesis de las principales normas ISO[20] que son útiles en las organizaciones comprometidas con la ciberseguridad, a saber:
A) ISO 27.001: Es un estándar que permite en las organizaciones tanto públicas como privadas, la implementación de un Sistema de Gestión de Seguridad de la Información (en adelante “SGSI”). El sistema de gestión de la seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestión de los riesgos (UNE 2017, 13).
B) ISO 27.701: Esta norma, se presenta como una extensión de la ISO 27.001, centrándose en los datos de carácter personal que son tratados por las organizaciones, pasando de un SGSI a un Sistema de Gestión de Privacidad de la Información (en adelante “SGPI”).
C) ISO 29.100: Es un marco de gestión, que en base a 11 principios propone la protección de los datos personales de la organización, asociado a las tecnologías de la información y comunicación.
D) ISO 22.301: Permite el establecimiento de un Sistema de Gestión de Continuidad del Negocio, “para asegurar que una organización pueda continuar operando durante y después de situaciones de crisis, como desastres naturales, ciberataques, pandemias, conflictos armados o cualquier otra situación que pueda interrumpir sus actividades”[21].
E) ISO 31.700: Este estándar, está íntimamente relacionado con la regulación del proyecto de ley sobre protección de datos personales en Chile, al generar buenas prácticas asociadas a la privacidad desde el diseño, la cual permite que las organizaciones consideren durante todo el ciclo de vida de un producto o servicio, los datos personales de las personas naturales que pudieren verse afectado.
F) ISO 27.035: Este marco, se enfoca en la gestión de información de incidentes de la seguridad, motivo por el cual se convierte en un aliado para las organizaciones en el reporte y gestión de respuesta oportuna a los incidentes que pueden ocurrir en un SGSI cuando los controles fallan. Por ende, este documento es de relevancia, sobre todo en base a las obligaciones de reporte que establece el Decreto N.º 273 y la ley marco de ciberseguridad y para finalizar estos estándares no son excluyentes, pudiendo complementarse según los objetivos del ente implementador.
2- POLÍTICA PÚBLICA DE CIBERSEGURIDAD Y SU IMPACTO EN LAS FF.AA. CHILENAS
Surge la interrogante de cómo esta batería de instrumentos ha impactado en las Fuerzas Armadas y cómo ha sido su recibimiento e implementación, por lo que corresponde dar cuenta de los desafíos que las Fuerzas Armadas deben enfrentar en relación con la estructura organizacional, teniendo en cuenta que los cambios regulatorios avanzan conforme la tecnología también lo hace, de manera tal que el sector defensa no puede estar ajeno al cambio. Dicho esto, los desafíos se centran en 3 elementos organizacionales, a saber:
A) Estructuras
El diseño organizacional es el proceso de construir y adaptar continuamente la estructura de la organización para que alcance sus objetivos y estrategias (Chiavenato 2009, 112). Esto obliga a las Fuerzas Armadas a regular, internamente, la ciberseguridad en sus estructuras, estando al debe al no generar organismos suficientes que se hagan cargo de este contenido; el surgimiento de instituciones como los CSIRT, propio de cada rama de las Fuerzas Armadas, sumado al futuro CSIRT Defensa que será dependiente del Estado Mayor Conjunto, ha impuesto nuevas responsabilidades para las instituciones que deberán organizar a su personal conforme a estas necesidades. A su vez, la figura voluntaria del delegado de protección de datos personales y del oficial de seguridad de la información, adolece de la adecuación de las estructuras para abrir paso a figuras autónomas e independientes al interior de las Fuerzas Armadas, misión que no será fácil de conseguir, si se considera el carácter jerarquizado, obediente y no deliberante que caracteriza a la defensa nacional; por el carácter mecanicista de las Fuerzas Armadas[21], una estructura en equipo se presenta como un apoyo a la cadena vertical de mando, pudiendo distribuir las tareas a realizar, dividiendo así las responsabilidades asociadas al control, modernizando el actuar, generando eficiencia y eficacia.
B) Procesos
Los procesos operan, en primer lugar, sobre la base de la integración, que permite coordinar las diferentes partes de una organización para crear unidad entre personas y grupos (Chiavenato 2009, 94). En segundo lugar, operan sobre la diferenciación, la cual consiste en dividir el trabajo en una organización y se relaciona con la especialización de los órganos y las personas (Chiavenato 2009, 94). Sobre esta definición, la ciberseguridad y la protección de los datos personales impacta en las Fuerzas Armadas, puesto que deberán regular internamente las exigencias y compromisos analizados en el presente estudio; se debe, asimismo, promover una cultura de ciberdefensa al interior de todas las Fuerzas Armadas, que incluya tópicos que la sociedad, actualmente, demanda, como lo es la perspectiva de género, por ejemplo[22]. Para este cometido, serán de apoyo el desarrollo de políticas, manuales, reglamentos y cartillas, para adaptar los procesos de la organización a estos importantes cambios. En este aspecto, cobra relevancia la Política de Seguridad de la Información que deberá elaborar las Fuerzas Armadas, conforme a las exigencias de la Norma Técnica N.º 7, donde se deberá regular roles y responsabilidades, sumado al cumplimiento de las funciones de identificación, protección, detección, respuesta y recuperación.
Adicionalmente, la regulación existente plantearía la elaboración de modelos de cumplimiento. El primero de ellos dice relación con el modelo de prevención del delito que cada rama de las Fuerzas Armadas puede elaborar para hacer frente a los delitos bases regulados en la Ley N.º 20.393, entre los que deben ser considerados los tipos penales que incorporó la Ley N.º 21.459. El segundo modelo de cumplimiento es el de carácter voluntario que plantea el proyecto de ley de protección de datos personales, el cual también obliga a ajustar los procesos internos para la creación de sistemas de denuncia, gestión de incidentes de seguridad, elaboración de matrices de riesgo y evaluaciones de impacto. En este mismo sentido, los estándares ISO que fueron enunciados con anterioridad siempre traen aparejado la confección de instrumentos o políticas que acompañen los procesos estratégicos de las organizaciones, y, finalmente, la ley de transformación digital del Estado ha puesto un cronómetro hasta el momento ineludible, de modo tal que las Fuerzas Armadas tienen hasta el año 2027 para adoptar sus procesos al camino de la digitalización. Esto implica ir cumpliendo con las normas técnicas que se han dictado al efecto, junto con los aportes que los estándares ISO pueden generar en el desarrollo de estrategias, como, por ejemplo, las aparejadas al concepto de la privacidad desde el diseño, la cual también es un término que se encuentra, actualmente, en consideración en el proyecto de ley de protección de datos personales en discusión.
C) Personas
El valor intrínseco de una organización reside, principalmente, en sus activos intangibles, es decir, que no se ven, pero que constituyen la verdadera riqueza de la organización y proporcionan la base fundamental y la dinámica que lleva directamente al éxito de las organizaciones (Chiavenato 2009, 9). “¿Y dónde reside la ventaja competitiva de las organizaciones modernas? ¿En la tecnología? ¿en los recursos financieros? ¿en los recursos materiales? No, la tecnología, el equipamiento y el dinero son recursos estáticos e inertes. Cualquier organización los puede comprar o alquilar. El secreto de la ventaja competitiva está en saber utilizar la inteligencia y las competencias de las personas que las conforman (Chiavenato 2009, 10). Dado esta información, las Fuerzas Armadas deben medir el impacto que el avance de la tecnología está teniendo en su personal e impulsar tanto medidas de ciber-higiene como aquellas tendientes a enfrentar el analfabetismo digital. Para lo anterior, se necesitan indicadores que permitan medir el nivel de conocimiento del personal de las Fuerzas Armadas en los conceptos de ciberseguridad y protección de datos personales; una vez determinadas las brechas en estos conocimientos, será labor de los órganos directivos seleccionado elaborar planes de capacitación y concientización del personal. Además de los conocimientos para la formación del personal, existe el desafío de dotar de autonomía al personal que se caracteriza por su carácter jerarquizado, obediente y no deliberante, sobre todo, en las figuras: del delegado de protección de datos, del oficial de cumplimiento y del oficial de seguridad de la información.
Tomando en cuenta que el error humano es la principal causa de los problemas de ciberseguridad[24], es que urge superar las brechas de desconocimiento, capacitando al personal, generando la cultura organizacional que se requiere para reducir los ciberincidentes al interior de las Fuerzas Armadas. En este contexto, las Fuerzas Armadas tienen el desafío de combatir las brechas de género y, en específico, las brechas que se producen en materia de los contenidos abordados en el presente estudio, puesto que, si ya la participación de las mujeres es relativamente baja en temas de TIC, en ciberseguridad es escasa (Herrera 2020). Ahora bien, el reciente informe de ciberseguridad y género evidenció que en América Latina y en el Caribe, sólo Argentina, Chile, Colombia y Ecuador incluyen el enfoque de género de forma expresa en sus políticas de ciberseguridad (Olivares y Arriagada 2023). Es por ello, que la formación del personal debe ser de manera igualitaria, permitiendo que se acceda en igualdad de condiciones y oportunidades a los incentivos que fomenten el conocimiento en cuanto a ciberseguridad y protección de datos personales.
3- CIBERSEGURIDAD, DESAFÍOS Y BUENAS PRÁCTICAS APLICADO EN LAS FFAA CHILENAS
Ahora es preciso señalar algunas recomendaciones para mitigar los impactos de lo analizado y evidenciado. Para este punto, se propone el siguiente decálogo de medidas: en primer lugar, las Fuerzas Armadas deberán contar con la asignación de recursos necesarios para poder, de manera consciente y responsable, aplicar los cambios que la ciberseguridad y la protección de datos personales traen aparejados. Estos recursos deben permitir el financiamiento de los planes de capacitación y formación, junto con la contratación de personal con conocimientos suficientes para liderar los procesos de transformación. Por ejemplo, una adecuada inyección de recursos podría estimular el desarrollo I+D, pudiendo las Fuerzas Armadas innovar con desarrollos propios, tales como aplicaciones, herramientas que usen inteligencia artificial y sandbox regulatorios (Araya 2020)[25]. Lo anterior, considerando que, en el futuro, el liderazgo mundial se medirá en el desarrollo que cada país haya alcanzado en las tecnologías asociadas a la 4ta revolución industrial (Lodeiro 2018), lo cual impacta de manera directa al sector defensa. Dentro de los planes de capacitación, las Fuerzas Armadas deberían proveer incentivos como, por ejemplo, becas de estudio, que permitan al personal lograr certificaciones tanto nacionales como internacionales.
En segundo lugar, debido a la especialidad de estos contenidos, se podría evaluar el desarrollo de especialidades secundarias o certificaciones especiales al interior de las Fuerzas Armadas, que permitan motivar al personal a concientizar y capacitarse en ciberseguridad, entendiendo que formar o instruir cibersoldados debiese tener la misma importancia que entrenar pilotos de combate o tanquistas (Briones 2020); en tercer lugar, se considera que las figuras analizadas del delegado de protección de datos, el oficial de cumplimiento y el oficial de seguridad de la información deben ser independientes y autónomas, con facultades suficientes para tomar decisiones, asesorar y reportar a las autoridades correspondientes, máxime se considera que el delegado de protección de datos, tendrá la importante labor de ser el punto de contacto con la futura Agencia Nacional de Protección de Datos, organismo sobre el que existen altas expectativas y donde se espera que sea una entidad con verdadero poder y no una mera espectadora de las circunstancias (Vergara 2017).
En cuarto lugar, la ciberseguridad y protección de datos personales deben contar con alta publicidad y una estrategia comunicacional que permitan difundir adecuadamente estos contenidos al interior de las Fuerzas Armadas, de manera que esto no se traduzca en la elaboración de políticas y recomendaciones intrascendentes que no produzcan impacto alguno en los miembros de la defensa nacional. Para este cometido se debe seguir con mucha atención las modificaciones que puede sufrir el proyecto de ley en discusión, observando que cuando la normativa no ofrece derechos exigibles y efectivos para la protección de los datos personales, o que obstaculiza su ejercicio, difícilmente Chile obtendrá una decisión de adecuación favorable por parte de la Unión Europea (Bordachar 2022).
En quinto lugar, se requiere generar incentivos de coordinación y cooperación entre las diversas ramas de las Fuerzas Armadas, incluyendo al Estado Mayor Conjunto, toda vez que los ciberataques requieren ser abordados de manera colectiva, generando sinergias que permitan cumplir con las funciones de identificación, protección, detección, respuesta y recuperación. Es más, esta cooperación (García 2021)[26] debe extenderse a la academia, universidades, otras entidades públicas que no pertenezcan al sector defensa, entidades privadas y la sociedad civil en general; en sexto lugar, se podría ahondar en la posibilidad de constituir una reserva de expertos en ciberseguridad, a los cuales las Fuerzas Armadas puedan recurrir para los diversos fines asociados a este cometido. Además, es altamente recomendable que las Fuerzas Armadas puedan obtener certificaciones de los estándares ISO, en especial la certificación de la ISO 27.001, de manera que las Fuerzas Armadas, puedan certificar su Sistema de Gestión de Seguridad de la Información.
En sexto lugar, se debe tomar en consideración el principio de privacidad desde el diseño, de manera que todos los procesos y estructuras que deban ser modificados o desarrollados en virtud de los análisis ya realizados, tomen en cuenta desde el principio la privacidad de los datos de las personas involucradas; en octavo lugar, se debe continuar innovando y profundizando los objetivos dispuestos por la Política de Ciberdefensa, en especial, materializar los desafíos que las Fuerzas Armadas tienen de cara al ciberterrorismo (Mayer 2018)[27]. Finalmente, no se debe perder de vista, que más que proteger datos, lo que se protege son las personas[28], lo que debe ser un factor diferenciador a la hora de actuar (Martabit 2019)[29]. Las Fuerzas Armadas, como órganos de la administración del Estado, tienen el deber de garantizar el orden institucional de la república, estando dentro de este concepto el respeto a los derechos fundamentales como lo es el derecho a la protección de datos personales, amparado en nuestra Carta Magna. Por este motivo, el tratamiento de los datos personales de los miembros de las Fuerzas Armadas, así como otros que se traten en virtud de sus funciones, deben ser de manera responsable, informada, contando con una base de licitud reconocida, junto con mecanismos que permitan el ejercicio de sus derechos, sumado a la disposición de medidas técnicas y organizativas que recojan sólo los datos estrictamente necesarios para los fines que se han recolectado; de lo contrario, la falta de resguardo por parte de las Fuerzas Armadas, pueden decantar en una falta de servicio, la cual será alegada por los afectados antes las instancias judiciales y administrativas correspondientes (Jara y Jorquera 2021)[30].
CONCLUSIONES
A la luz de todo lo expuesto, el presente estudio constata que las políticas, regulaciones y estándares en materia de ciberseguridad y protección de datos personales requieren un involucramiento directo de las Fuerzas Armadas, ya sea por la obligatoriedad de ciertos contenidos para el sector defensa como por la necesidad de mantenerse actualizados ante la revolución tecnológica, comprendiendo los riesgos asociados y las mejores prácticas para mitigar los impactos negativos que un incidente de seguridad o una filtración masiva de datos personales puede provocar para las instituciones. Esto va en concordancia con las recomendaciones del documento “Construyendo la Ciberseguridad en Chile”, el cual busca que las Fuerzas Armadas de Chile puedan tener una actitud proactiva y no reactiva en materia de ciberseguridad, lo que debe ser reforzado. De esta manera, la actual Política Nacional de Ciberseguridad heredó gran parte de los postulados de su predecesora, sin contar con una evaluación que permita medir el nivel de madurez y cumplimiento de las 41 medidas que se propuso, lo que será mejorado en esta segunda versión de la política, al contar con un plan de acción por separado y cuyo propósito, efectivamente, es generar una mediación y mejora continua de las propuestas que vayan alineadas con los objetivos de Política Nacional de Ciberseguridad 2023-2028.
A su vez, los documentos vinculados a estas políticas, sumado a las regulaciones y estándares internacionales, ofrecen buenas prácticas para que la ciberseguridad logre el estándar de cumplimiento deseado en aras de permitir un acceso seguro y consciente al ciberespacio por parte de las Fuerzas Armadas chilenas, como lo son, por ejemplo, la incorporación de una nueva institucionalidad, a saber, la Agencia Nacional de Ciberseguridad y la Agencia de Protección de Datos Personales, la inclusión de la privacidad desde el diseño como principio orientador y la implementación de políticas de sistemas de seguridad de la información (siendo esta última parte de las obligaciones que impusieron las normas técnicas, elaboradas a raíz de la ley de transformación digital del Estado). Consecuentemente, la exposición del impacto organizacional ha logrado visibilizar la necesidad de darle importancia a estos contenidos, comprendiendo los desafíos que esto genera para las instituciones y el largo camino que aún queda por recorrer, como lo son, por ejemplo, la inversión que deberá realizar en esta área, la preparación del personal, la modificación de estructuras, junto con la implementación de una cultura de ciberseguridad a nivel organizacional, sobre todo, si se considera las obligaciones de reporte que impone el ya mencionado Decreto N.° 273, los compromisos que se han adoptado a la luz de la ley de transformación digital del Estado, la cual exige su adecuación al 2027, como plazo máximo, y el régimen sancionatorio de la ley marco de ciberseguridad y la futura ley de protección de datos personales.
El decálogo planteado pone de manifiesto buenas prácticas que pueden ser tomadas en consideración para enfrentar los desafíos e impactos ya abordados, sirviendo de herramienta para los desarrollos internos que deban implementarse, destacando las mencionados planes de capacitación para el personal, el desarrollo de especialidades secundarias, la creación de una reserva de profesionales en ciberseguridad y la obtención de certificaciones ISO, como lo son la ISO 27.001, por citar algunos ejemplos. Todos estos cambios están, principalmente, supeditados a no olvidar la importancia de mantener una cultura en ciberseguridad y protección de datos personales, la cual nos permitirá entender y afrontar el cambio que se avecina no sólo como una obligación de cumplimiento más, sino como una mejora necesaria desde el punto de vista organizacional que le permitirá a las Fuerzas Armadas de Chile seguir contribuyendo al desarrollo del país, pero ahora desde el punto de vista del ciberespacio. Lo señalado, no obsta a que esta nueva cultura de ciberseguridad es tarea de toda la sociedad, entendiendo que sí queremos que el futuro digital sea nuestro hogar, seremos nosotros quienes debamos conseguirlo (Zuboff 2021, 91) y, finalmente, existe la oportunidad de aprovechar que las normativas que generarán la mayor cantidad de modificaciones, por un lado, se encuentran aún en tramitación legislativa y, por el otro lado, existe un periodo de vacancia legal en las ya tramitadas, razón por la cual las Fuerzas Armadas de Chile aún están a tiempo de seguir ajustando sus estructuras, procesos y personal a los desafíos esbozados.
Notas al pie:
[1] Su nombre real es Reglamento (UE) 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
[2] La política, definió al Ciberespacio como el conjunto de infraestructuras físicas, lógicas y las interacciones humanas que allí ocurren.
[3] La política destaca que las funciones de este organismo serán la gestión de relaciones interinstitucionales, gestión de incidentes, funcionamiento como punto de contacto nacional e internacional en este ámbito, función comunicacional, función normativa técnica y asesora en normativa general, función de seguimiento y evaluación de medidas.
[4] En Carolina González, "Cerca de 400 mil correos filtrados, contenido estratégico y sumarios administrativos: Lo que se sabe del hackeo al EMCO", EMOL, 23 de septiembre de 2022. Disponible en: EMOL.
[5] En Alberto González “Ejército de Chile sufre ataque informático en su red interna”, BiobioChile, 29 de mayo de 2023, disponible en: https://www.biobiochile.cl/noticias/nacional/chile/2023/05/29/ejercito-de-chile-sufre-ataque-informatico-en-su-red-interna.shtml.
[6] “El Senador Kenneth Pugh inauguró el Foro Nacional de Ciberseguridad para que expertos colaboren en la generación de políticas públicas” G5 NOTICIAS, 02 de abril de 2024, en: https://g5noticias.cl/2024/04/02/el-senador-kenneth-pugh-inauguro-el-foro-nacional-de-ciberseguridad-para-que-expertos-colaboren-en-la-generacion-de-politicas-publicas/
[7] El lunes 04 de diciembre fue publicada en el Diario Oficial la aprobación de esta política, por el periodo 2023-2028.
[8] En Michelle Bordachar, “¿Cómo y quiénes cuidan nuestros datos? Legislaciones vigentes en países Latinoamericanos (en línea).”, DerechosDigitales, 04 de febrero de 2022, disponible en: https://www.derechosdigitales.org/17759/dia-de-la-proteccion-de-los-datos-personales/.
[9] El artículo señala que la Constitución asegura a todas las personas “4º.- El respeto y protección a la vida privada y a la honra de la persona y su familia, y, asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley.”
[10] La propuesta señalaba que “Todas las personas, individual y colectivamente, tienen el derecho a la protección y promoción de la seguridad informática. El Estado y los particulares deberán adoptar las medidas idóneas y necesarias que garanticen la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan los sistemas informáticos que administren, salvo los casos expresamente señalados por la ley”.
[11] En Michelle Bordachar, “¿Cómo y quiénes cuidan nuestros datos? Legislaciones vigentes en países Latinoamericanos (en línea).”, DerechosDigitales, 04 de febrero de 2022, disponible en: https://www.derechosdigitales.org/17759/dia-de-la-proteccion-de-los-datos-personales/.
[12] Acceso, regulado en el artículo 12° de la Ley – Rectificación, regulado en el artículo 12° inciso segundo- Cancelación, regulado en el artículo 13° y Oposición.
[13] Regulada en los artículos 12° y siguientes de la ley.
[14] En Jordi Pérez y Silvia Ayuso, “Irlanda impone a Meta…”, El País, 22 de mayo de 2023, disponible en: https://elpais.com/tecnologia/2023-05-22/irlanda-impone-a-meta-una-multa-de-1200-millones-de-euros-la-mayor-sancion-europea-por-infraccion-de privacidad.html.
[15] Se incorporan los delitos de Ataque a la integridad de un sistema informático, acceso ilícito, interceptación ilícita, ataque a la integridad de los datos informáticos, falsificación informática, receptación de datos informáticos, fraude informáticos y abuso de dispositivos.
[16] Luz Álvarez, Clara. 2023. Estándar para activar la obligación de comunicar sobre ciberincidentes relevantes en instituciones públicas. Revista Chilena De Derecho Y Tecnología, 11(2), 183–210. Disponible en: https://rchdt.uchile.cl/index.php/RCHDT/article/view/65502/72154
[17] El aplazamiento fue en virtud de la Ley N° 21.464 del año 2022.
[18] El artículo 5° de la Norma Técnica precisó que el objetivo de la política era establecer las directrices generales en materia de seguridad de la información y ciberseguridad dentro del órgano, además de velar por la seguridad de los componentes de software y hardware, de los sistemas informáticos y de los datos o información que almacenan, procesan e interoperan. Asimismo, deberá contener la visión estratégica del respectivo órgano de la Administración del Estado respecto de la seguridad de la información y ciberseguridad. La Política tendrá como objetivo, además, velar por la preservación, confidencialidad, integridad y disponibilidad de la información, considerando estándares de seguridad de la información y la privacidad como parte del diseño inicial.
[19] En Carlos Lobos “Una estructura común…”, LinkdIn, 19 de febrero 2020, en: https://www.linkedin.com/pulse/una-estructura-com%C3%BAn-en-las-normas-isos-que-definen-lobos-de medina?utm_source=share&utm_medium=member_android&utm_campaign=share_via
[20]“¿Qué son las normas ISO y para qué sirven?”, ProChile, 09 de junio de 2020. La “Organización Internacional de Normalización” o ISO, es el organismo encargado de promover el desarrollo de normas internacionales, tanto de productos como de servicios, a través de la estandarización de normas voluntarias que se usan en las empresas para su mayor eficiencia y rentabilidad económica. La normalización ofrece importantes ventajas, tanto para el fabricante de un producto o prestador de un servicio, como para los consumidores o usuarios, principalmente para mejorar la adaptación de los productos, procesos y servicios a los propósitos para los cuales fueron diseñados, además de prevenir obstáculos técnicos al comercio y facilitar la cooperación tecnológica.
[21] En “¿Qué es la norma ISO 22301 y para qué sirve?”, GlobalSuiteSolutions, 22 de septiembre de 2023, disponible en: https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-22301-y-para-que-sirve/
[22]Se consideran como características de las organizaciones mecanicistas: Estructura organizacional jerárquica, piramidal, vertical y compleja. Departamentos funcionales y especializados. Órganos definitivos y permanentes. Cadena de mando rígida. Comunicaciones verticales y formales Cultura organizacional conservadora, basada en tradiciones, reglas y procedimientos. Aplicación continua de soluciones rutinarias y estandarizadas. Enfoque en esquemas preestablecidos de organización y métodos.
[23] El informe Ciberseguridad y Género del año 2023, del Centro de Estudios en Derecho Informático de la Universidad de Chile, recomienda que se debe “Incorporar la perspectiva de género en las políticas de ciberseguridad. Para ello es necesario: i) definir qué se debe entender por enfoque de género, ii) contemplar medidas concretas para promover la perspectiva de género, iii) monitorear el impacto del género en las amenazas de ciberseguridad, y iv) analizar los datos disponibles y crear políticas focalizadas acorde a los resultados de las investigaciones.
[24] En Rodrigo Di Paula, “El error humano es la principal causa de los problemas de ciberseguridad, revela un estudio”, Cointelegraph, 31 de octubre de 2022, disponible en: https://es.cointelegraph.com/news/human-error-leading-cause-of-cybersecurity-problems-study-reveals.
[25] El autor señala que el objetivo de estas cajas es minimizar la incertidumbre respecto de la normativa aplicable a algún producto o servicio, pues permite a las empresas con modelos de negocios innovadores en fase de desarrollo, conocer y adecuarse a la regulación de forma gradual y anticipada, y al regulador, entender de mejor manera el funcionamiento de una nueva tecnología.
[26] El autor manifiesta que la ciberseguridad es un campo que implica a la esfera pública y privada, por lo que se necesita tener órganos que garanticen una comunicación entre los expertos de ambos sectores, una delimitación de las competencias estatales y federales cuando corresponda, sistemas para lograr la comunicación y colaboración de la ciudadanía —y su responsabilización a la hora de mantener actualizados los equipos y contar con copias de seguridad diarias— y, en cualquier caso, cada país debería preguntarse si dispone de los medios para afrontar un ciberataque, tanto en su contención como en la anulación de sus posibles efectos.
[27] La autora señala que “The concept of cyberterrorism usually refers to a range of very different actions, from the simple spread of propaganda online, to the alteration or destruction of information, and even to the planning and carrying out of terrorist attacks via the use of computer networks”.
[28] En Eduardo Peduto, “Cuando protegemos datos, protegemos personas…”, Observatorio Iberoamericano de Protección de Datos, 03 de mayo de 2013, disponible en: https://oiprodat.com/2013/05/03/cuando-protegemos-datos-protegemos-personas/.
[29] Expone que es necesario determinar en primeria instancia que cualquier régimen jurídico que se establezca debe de tener el foco del objeto a asegurar en el individuo civil y sus derechos y libertades humanas establecidas por la Carta de Derechos Humanos de la Organización de las Naciones Unidas, respetando los principios liberales.
[30] Las autoras señalan que, desde este punto de vista, el Estado será responsable por los daños causados a aquellos usuarios de servicios públicos por un ciberataque cuando el servicio en cuestión no haya adoptado las medidas de ciberseguridad consideradas estándar en la industria informática, lo que, a su vez, variará en función del tipo de información almacenada y tratada en los sistemas del respectivo servicio y su atractivo para ser blanco de ciberataques.
Referencias
Álvarez, Clara Luz. 2023. «Estándar Para Activar La obligación De Comunicar Sobre Ciberincidentes Relevantes En Instituciones Públicas». Revista Chilena De Derecho Y Tecnología 11 (2):183-210. https://doi.org/10.5354/0719-2584.2022.65502.
Álvarez-Valenzuela, Daniel. 2018. «Ciberseguridad en América Latina Y Ciberdefensa en Chile». Revista Chilena De Derecho Y Tecnología 7, https://doi.org/10.5354/0719-2584.2018.50416.
Araya Paz, Carlos. 2020. «Desafíos Legales De La Inteligencia Artificial En Chile». Revista Chilena De Derecho Y Tecnología 9 (2):257-90. https://doi.org/10.5354/0719-2584.2020.54489.
Biblioteca del Congreso Nacional (1999), Ley Nº19.628, de 28 de agosto de 1999. Disponible en https://www.bcn.cl/leychile/navegar?idNorma=141599&idVersion=2020-08-26.
Biblioteca del Congreso Nacional (2017), Decreto Nª 3, de 09 de marzo de 2018. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1115968.
Biblioteca del Congreso Nacional (2023), Decreto N.° 7, de 17 de agosto de 2023. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1195120.
Biblioteca del Congreso Nacional (2023), Decreto N.° 8, de 17 de agosto de 2023. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1195121.
Biblioteca del Congreso Nacional (2023), Decreto N.° 9, de 17 de agosto de 2023. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1195122.
Biblioteca del Congreso Nacional (2023), Decreto N.° 10, de 17 de agosto de 2023. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1195123.
Biblioteca del Congreso Nacional (2023), Decreto N.° 11, de 17 de agosto de 2023. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1195124.
Biblioteca del Congreso Nacional (2023), Decreto N.° 12, de 17 de agosto de 2023. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1195125.
Biblioteca del Congreso Nacional (2023). Construyendo la Ciberseguridad en Chile. Disponible en: https://www.bcn.cl/portal/noticias?id=comision-desafios-del-futuro-del-senado-publica-documento-construyendo-la-ciberseguridad-en-chile.
Biblioteca del Congreso Nacional (2024). Ley Marco de Ciberseguridad. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1202434.
Bordachar Benoit, Michelle. 2022. «Comentarios Al Proyecto De Ley Chileno Sobre protección De Datos Personales: Deficiencias E Inconsistencias En Los Derechos ARCO». Revista Chilena De Derecho Y Tecnología 11 (1):395-412. https://doi.org/10.5354/0719-2584.2022.67205.
Briones Riveros, Daniela. 2020. «Expectativa v/s Realidad; ciberseguridad en américa latina». Newsletter Centro de Estudios e Investigaciones Militares.https://www.dropbox.com/sh/qjtsx0boi4iibyh/AABaN_mcpvOYSBjgCkC3DwZva/2019%20y%202020?dl=0&preview=NL_CESIM_39.pdf&subfolder_nav_tracking=1.
Centro de Estudios en Derecho Informático (2023). Ciberseguridad y Género: La perspectiva de género en las políticas de ciberseguridad en América Latina y el Caribe. Disponible en:https://drive.google.com/file/d/1rt9SThMZLmFISUTolNFKdE9iS3VVrVKC/view.
Chiavenato, Idalberto. 2009. Comportamiento Organizacional, la dinámica del éxito en las organizaciones. Mexico: McGraw-Hill.
CNIL (2022). Practical Guide GDPR for Data Protection Officers. Disponible en: https://www.cnil.fr/en/cnil-publishes-guide-dpos.
Contreras Vásquez, Pablo. 2020. «El derecho a la protección de datos personales y el reconocimiento de la autodeterminación informativa en la Constitución chilena». Revista Estudios Constitucionales, 18(2), 87-120. http://www.estudiosconstitucionales.cl/index.php/econstitucionales/article/view/693.
Contreras y otros. 2022. Privacidad y protección de datos personales. Santiago. DER Ediciones.
Diario Oficial de la Unión Europea (2016). Directiva (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Disponible en: https://www.boe.es/doue/2016/119/L00001-00088.pdf.
Donoso Abarca, Lorena y Reusser Monsálvez, Carlos. 2022. La protección de los datos personales en Chile. Santiago. Der Ediciones.
García Vázquez, Borja. 2021. «El Derecho Internacional Frente a Los Nuevos Medios Y Espacios En Que Desarrollar La Guerra: La Ciberguerra». Revista Chilena De Derecho Y Tecnología 10 (2):43-68. https://doi.org/10.5354/0719-2584.2021.57077.
Herrera Carpintero, Paloma. 2020. «El Enfoque De género En La Política Nacional De Ciberseguridad De Chile». Revista Chilena De Derecho Y Tecnología 9 (1):5-32. https://doi.org/10.5354/0719-2584.2020.51577.
Jara Fuentealba, Natalia, y Antonia Jorquera Cruz. 2021. «La Responsabilidad De La Administración Del Estado Por Incidentes De Ciberseguridad». Revista Chilena De Derecho Y Tecnología 10 (1):201-30. https://doi.org/10.5354/0719-2584.2021.58776.
Lodeiro Encina, Andrea. 2018. «Cuarta revolución industrial y sus implicancias en los ámbitos de seguridad y defensa». Cuadernos de trabajo (15), 1-19. Disponible en: https://anepe.cl/cuadernos-de-trabajo/.
Martabit Tellechea, Pía. 2019. «Atribución en el ciberespacio: piedra tope en el derecho internacional». Cuadernos de Trabajo (14) 1-18. https://anepe.cl/cuadernos-de-trabajo/.
Mayer Lux, Laura. 2018. «Defining Cyberterrorism». Revista Chilena De Derecho Y Tecnología 7 (2):5-25. https://doi.org/10.5354/0719-2584.2018.51028.
Ministerio de Ciencia, Tecnología, Conocimiento e Innovación (2021). Política Nacional de Inteligencia Artificial. Disponible en: https://www.minciencia.gob.cl/areas/inteligencia-artificial/politica-nacional-de-inteligencia-artificial/.
Ministerio de Defensa Nacional (2017). Libro de la defensa nacional de Chile. Disponible en: https://www.defensa.cl/media/LibroDefensa.pdf.
Ministerio de Defensa Nacional (2020). Política de Defensa Nacional de Chile 2020. Disponible en: https://www.defensa.cl/?s=politica+de+defensa.
Ministerio del Interior y Seguridad Pública (2017). Política Nacional de Ciberseguridad. Disponible en: https://digital.gob.cl/biblioteca/estrategias/politica-nacional-de-ciberseguridad-2017-2022/.
Ministerio del Interior y Seguridad Pública (2024). Política Nacional de Ciberseguridad. Disponible en: https://ciberseguridad.gob.cl/pncs-2023-2028/.
Reusser Monárdez, Carlos. 2021. Derecho al olvido: La protección de datos personales como límite a las libertades informativas. Santiago: DER Ediciones.
Sancho Hirane, Carolina. 2018. «Ciberinteligencia: Contextualización, Aproximación conceptual, Características y Desafíos». Cuaderno de Trabajo (1) 1-32. https://www.publicacionesanepe.cl/index.php/cdt/article/view/911/580.
Véliz, Carissa. 2021. Privacidad es poder: Datos, vigilancia y libertad en la era digital. Mexico: Penguin Random House Grupo Editorial.
Vergara, Manuel. 2017. «Chile: Comentarios Preliminares Al Proyecto De Ley Que Regula La protección Y Tratamiento De Datos Personales Y Crea La Agencia De Protección De Datos Personales». Revista Chilena De Derecho Y Tecnología 6 (2):135-52. https://doi.org/10.5354/0719-2584.2017.45822.
Zuboff, Shoshana. 2021. La era del capitalismo de la vigilancia. Colombia: Paidós.
Autor(es)
Eduardo Vilches
BIO
Asociado senior en Cariola Díez Pérez-Cotapos, investigador en el CE3 de la Universidad de Chile y profesor invitado en la ANEPE. Abogado de la Universidad de Chile e investigador del Centro de estudios en derecho, tecnología y sociedad de la Universidad de Chile. Su correo es evilches@derecho.uchile.cl
Sergio Miranda
BIO
Abogado, Licenciado en Ciencias Jurídicas y Sociales por la Universidad de Talca. Actualmente es Oficial del Servicio de Justicia Militar en el Ejército de Chile y socio de DarCumplimiento. Oficial del Servicio de Justicia Militar en el Ejército de Chile