Abogados: Ambigüedad del decreto de ciberseguridad 5G genera inseguridad jurídica

Profesionales en Derecho se pronunciaron sobre las ambigüedades y falta de claridad del Decreto 44196-MSP-MICITT, que incluye la aplicación del Convenio de Budapest.

"El Convenio de Budapest es un instrumento de la Unión Europea, pero sujeto a la adhesión de estados extracomunitarios.

Este procedimiento se hace por invitación del Consejo de Europa, es decir, no es que cualquier país puede adherirse, sino que un Estado extracomunitario debe hacer una solicitud al Consejo de Europa para que le permitan adherirse, y si hay una decisión unánime del Consejo de Europa, entonces se extiende la invitación y el país debe proceder a culminar los procedimientos internos que correspondan de acuerdo a su legislación para aprobar el Convenio", explicó el abogado Mauricio París, socio de Ecija, sobre el proceso de incorporación al acuerdo internacional sobre lucha contra el cibercrimen.

Hasta ahora, el discurso del Poder Ejecutivo era que empresas ubicadas en países que no habían ratificado el tratado internacional estaban impedidas de participar como proveedores de infraestructura para redes 5G en territorio nacional.

Sin embargo, el panorama cambió luego de la respuesta que le dio el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) a una consulta planteada por la Embajada de Corea del Sur, en el sentido de que si compañías de esa nación asiática podían ofrecer equipos de telecomunicaciones para sistemas de quinta generación.

"Destaca de este inciso e) del artículo 10 que no exige expresamente la calidad de Estado que haya ratificado e incorporado dicho instrumento en su ordenamiento nacional conforme a los procedimientos internos de cada país; sino que, considera el proceso de "Adhesión" establecido para acceder a este Convenio (de Budapest), el cual en su primer nivel permite verificar la manifestación de consentimiento de adherirse al Convenio", señala la respuesta dada por Hubert Vargas Picado, en funciones como ministro interino, al embajador surcoreano Jinhae Kim, mediante el oficio MICITT-DM-OF-884-2023.

"Micitt lo que dice en la nota a Corea es que basta con que las empresas provengan de un país que haya manifestado ese interés, aunque no hayan culminado el proceso de adhesión. En mi criterio esto no es lo que dice el decreto, que dice "que tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio".

El decreto utiliza una redacción que en mi criterio no es la adecuada, ya que habla de manifestación del consentimiento, no de manifestación de interés. Un Estado manifiesta su consentimiento a un instrumento internacional aprobándolo, y no solo manifestando interés", considera París Cruz acerca de las inconsistencias entre lo que indica el Reglamento sobre Medidas de Ciberseguridad Aplicables a los Servicios de Telecomunicaciones Basados en la Tecnología de Quinta Generación Móvil (5G) y Superiores y la interpretación hecha por el Gobierno para dejar por fuera como proveedores de equipamiento para redes IMT 2020 a empresas basadas en naciones que no ratificaron el Convenio de Budapest.

"Si para Costa Rica es suficiente que el país haya manifestado su interés en ser parte de Budapest, aunque no lo haya ratificado, esto podría ser válido y suficiente, pero no es lo que dice el decreto, por una redacción deficiente", sentenció el jurista especialista en asuntos tecnológicos.

Criterio similar

El inciso "e" Artículo 10 del reglamento establece expresamente que serán considerados como parámetros de alto riesgo, entre otros, "Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento utilizan suministradores de hardware y software que tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia (Convenio de Budapest).

"En sentido estricto y hablando jurídicamente "manifestar su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia" en Costa Rica solamente se puede entender como haber sido ratificado por la Asamblea Legislativa un convenio que previamente fue suscrito por el Poder Ejecutivo.

Con la manifestación de la voluntad se perfecciona un acto jurídico, y esta manifestación de la voluntad debe cumplir con ciertos requisitos; la manifestación de voluntad debe estar sancionada por ley; esto significa que los actos jurídicos deben cumplir con una regulación mínima que contempla la ley, para que sean obligatorios y eficaces. En el caso de los tratados internacionales, como mencioné antes, es exclusivamente la ratificación por parte de la Asamblea Legislativa", manifestó Edwin Estrada, abogado especializado en temas de telecomunicaciones, sobre el contexto de la adhesión al convenio internacional.

"Ahora bien, si para la aplicación del reglamento, el Poder Ejecutivo interpreta que "la manifestación de la voluntad" es otra cosa, deberían consignarlo expresamente de esa manera en las definiciones del reglamento para no crear confusión o interpretaciones distintas a la que le quiera dar.

Por lo expuesto anteriormente, con la interpretación del Micitt versus lo que dice el reglamento se estaría transgrediendo el principio de seguridad jurídica", añadió Estrada Hernández, exviceministro de Telecomunicaciones.

Finalmente, recalcó que las empresas no tienen responsabilidad de las acciones de los gobiernos.

Micitt responde

Se consultó al respecto al Micitt y envió la siguiente respuesta:

En un esfuerzo por salvaguardar la seguridad cibernética del país, Costa Rica ha promulgado el Decreto Ejecutivo 44196-MSP-MICITT, un reglamento que establece medidas de ciberseguridad aplicables a los servicios de telecomunicaciones en la tecnología de quinta generación móvil (5G) y superiores. La normativa, publicada en La Gaceta el 31 de agosto de 2023, tiene como objetivo principal garantizar el uso seguro de las redes y servicios, priorizando la protección de la privacidad de los usuarios. Este reglamento surge como respuesta a los ataques cibernéticos sufridos por Costa Rica el 12 de abril de 2022, que causaron graves daños a los sistemas institucionales y el acceso a servicios esenciales.

Para hacer frente a esta situación, se emitió el Decreto Ejecutivo N°43542-MP-MICITT el 08 de mayo de 2022, declarando el estado de emergencia nacional en todo el sector público del Estado costarricense. El Poder Ejecutivo, respaldado por las mejores prácticas internacionales, aprobó el Decreto Ejecutivo N° 44196-MSP-MICITT para regular las medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología 5G y superiores. Esta normativa, fundamentada en la ciencia y técnica de la ciberseguridad, busca proteger los derechos de los usuarios, incluyendo aspectos relacionados con la intimidad, privacidad y secreto de las comunicaciones.

En este cuerpo reglamentario se establecen medidas regulatorias de carácter objetivo con el fin de garantizar la seguridad de las redes y proteger el régimen jurídico de los derechos de los usuarios finales de los servicios de telecomunicaciones, abordando aspectos relacionados con la intimidad, la privacidad, el secreto de las comunicaciones y la autodeterminación informativa de las personas. Estas medidas, esenciales para la prestación efectiva del servicio a través de redes de telecomunicaciones con tecnologías 5G o superiores, se configuran como un conjunto técnico y objetivo. Todo esto se lleva a cabo sin menoscabo del resguardo efectivo de los Derechos Humanos amparados en este mismo ámbito de protección. Además, estas medidas forman parte de las herramientas internas en fortalecimiento del campo de la ciberseguridad en el Sector Telecomunicaciones, temática que resulta de preocupación en un ámbito internacional, considerando la naturaleza transfronteriza con que opera la ciberdelincuencia, dando como resultado instrumentos internacionales como el Convenio de Budapest, al cual se hará referencia de seguido.

En este sentido el Convenio d e Europa sobre Ciberdelincuencia (Budapest, 2001), Ley N° 9452, es considerada actualmente como la norma internacional más completa hasta la fecha que proporciona un marco integral y coherente en contra del ciberdelito y la evidencia electrónica. Esta normativa además, forma parte del Ordenamiento Jurídico costarricense con autoridad superior a la ley de conformidad con las disposiciones del artículo 7 de nuestra Constitución Política. Para la adhesión de un país a este Convenio se ha establecido por el Consejo de Europa un procedimiento especial conformado por tres pasos, a saber:

1. Una vez que esté disponible un proyecto de ley que indique que un Estado ya ha implementado o es posible que pueda implementar las disposiciones del Convenio de Budapest en su legislación nacional, el Ministro de Relaciones Exteriores (u otro representante autorizado) deberá enviar una carta dirigida al Secretario General del Consejo de Europa en la que manifieste el interés de su Estado en adherirse al Convenio de Budapest.

2. Una vez que exista consenso entre los actuales Estados Partes del Convenio, se invitará al Estado a adherirse.

3. Las autoridades de ese Estado deberán formalizar sus procedimientos internos similares a la ratificación de cualquier tratado internacional antes de depositar el instrumento de adhesión ante el Consejo de Europa. Destaca de este inciso e) del artículo 10 del Decreto Ejecutivo N° 44196-MSPMICITT "Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores", que no exige expresamente la calidad de Estado que haya ratificado e incorporado dicho instrumento en su ordenamiento nacional conforme a los procedimientos internos de cada país; sino que, considera el proceso de "Adhesión" establecido para acceder a este Convenio, el cual en su primer nivel permite verificar la manifestación de su interés de adherirse al Convenio. Sobre este particular se debe considerar que, de acuerdo con el Diccionario panhispánico del español jurídico de la Real Academia, el consentimiento es la manifestación de voluntad, expresa o tácita, por la que un sujeto se vincula jurídicamente; y por su parte el consentimiento expreso conlleva una declaración clara e inequívoca del interesado, de forma que permita su constancia y prueba indubitada.

La norma del artículo 10 inciso e) del Decreto Ejecutivo N° 44196-MSP-MICITT, al contemplar el consentimiento expreso por supuesto que alude a la manifestación del Estado interesado de formar parte del Convenio, y por lo tanto de vincularse jurídicamente desde la perspectiva del Derecho Internacional Público. Manifestación que se verifica de forma indubitable a través de la expresión de interés del Estado por medio de una carta del Ministro de Relaciones Exteriores (u otro representante autorizado), dirigida al Secretario General del Consejo de Europa. Por lo cual, la norma resulta clara en su contenido dispositivo y brinda seguridad jurídica en su aplicación.

De esta forma bajo el principio regulatorio de mínima distorsión el Decreto Ejecutivo 44196-MSP-MICITT considera en su artículo 10 inciso e) el primer estadio del procedimiento de adhesión, con el objetivo de que la regulación sea un mecanismo que garantice el resguardo del régimen jurídico de protección de los usuarios y genere los menores costes para la competencia en el sector, incluyendo la mínima intervención posible de las autoridades sectoriales.

Finalmente, de forma reciente la Sala Constitucional mediante su resolución 2024- 2222 señaló en relación con esta normativa que lo relativo a la tecnología para la red de telecomunicaciones, así como los requisitos y estándares de ciberseguridad en Costa Rica (verbigracia, las normas ISO/IEC, SCS, entre otras), son aspectos técnicos, en principio, propios de políticas públicas de Estado que constituyen materia de gobierno.