Por: Bastián Riveros. Abogado, consultor legal en Compliance y derecho informático de Pallavicini Consultores
Entrar en el área del derecho informático y las nuevas tecnologías, hace tan solo unos pocos años, era considerado extravagante o innovador. Eso, dependiendo de la contraparte, lo que reflejaba el escaso conocimiento sobre su aplicación al interior de las empresas. Común era desconocer que existían centros de estudios asociados a esta problemáticas, como el Centro de Estudios en Derecho Informático de la Universidad de Chile (CEDI) o el Instituto Chileno de Derecho y Tecnologías (ICDT).
El panorama, sin embargo, cambió drásticamente en los últimos años, ya que personas, empresas y Estados se han visto expuestos con mayor frecuencia a un montón de aspectos asociados a la seguridad de la información y la privacidad. Basta mencionar el abultado número de casos de fraudes bancarios, como phishing y clonación de tarjetas; el colapso de infraestructuras críticas de hospitales y estaciones de trenes producto de un ataque ransomware; y el robo y filtración de bases de datos personales de gran tamaño. Todas son problemáticas que han requerido una mayor cantidad de profesionales especializados en estos temas, y especialmente en el ámbito del derecho.
En línea con estos cambios, las agendas legislativas de los países dieron mayor interés a estas materias, por ejemplo, comenzando a modernizar sus leyes de datos personales y delitos informáticos, junto con crear instituciones de respuesta frente a ciberataques. Pese a los esfuerzos y avances aún queda mucho por mejorar en otros aspectos igualmente relevantes.
En primer lugar, es necesaria una mayor reflexión de los profesionales en la discusión misma de los cambios normativos, porque un aspecto técnico no considerado puede generar resultados indeseables en una política pública. Un ejemplo: en la tramitación de la nueva Ley de Delitos Informáticos, uno de los aspectos clave a discutir fue el plazo de retención de metadatos que se les exigiría a las empresas de telecomunicaciones para efectos de investigaciones judiciales. El plazo legal se extendió de 1 a 2 años, y fueron muy pocos expertos los que advirtieron acerca de los riesgos asociados a la seguridad y privacidad que implica tener información retenida por tanto tiempo.
Como segunda observación, se requiere una mayor concientización de las empresas de la importancia del cumplimiento en materias de privacidad, protección de datos y seguridad de la información. Hoy los consumidores están mucho más conscientes de los peligros y relevancia de la protección de su información personal, aspecto que debe ser mejorado necesariamente si las organizaciones quieren liderar sus respectivas industrias. Es recomendable integrar sistemas de gestión de seguridad de la información amparados en normas ISO (27001 y 27032) que permitan anticiparse a escenarios de riesgo como el phishing, malware o filtraciones de bases de datos.
En suma, el derecho informático es quizás una de las áreas con mayor visibilidad y difusión de los últimos tiempos, lo que se explicaría en la multiplicidad de fenómenos en que se manifiesta, partiendo desde el cumplimiento y buenas prácticas corporativas, pasando por seguridad de la información y ciberseguridad, hasta la protección de derechos fundamentales, lo que a su vez requiere de un mayor apoyo y coordinación desde los sectores público y privado.
Y si en el ámbito de lo público es clave invertir en becas y recursos para la especialización de profesionales, desde el sector privado urge la inversión en proyectos que permitan contar con sistemas de gobernanza y gestión en la seguridad de la información y cumplimiento normativo al interior de las empresas. Es la forma de asegurar los intereses de todas las partes interesadas: clientes, inversionistas, proveedores y clientes.
El contenido expresado en esta columna de opinión es de exclusiva responsabilidad de su autor y no representa necesariamente la visión ni línea editorial de Poder y Liderazgo.