Expertos: Proyecto de Ley de Ciberseguridad no consideró múltiples observaciones
Especialistas consideran que observaciones fueron desatendidas
(CRHoy.com).-El texto del proyecto No. 23292 Ley de Ciberseguridad en Costa Rica, ya fue dictaminado en la Comisión de Tecnología y Educación de la Asamblea Legislativa, pero a criterio de expertos, no incluye una serie de observaciones que le hicieron durante las comparecencias a las comisiones legislativas.
Por ejemplo, para el abogado Mauricio París de la firma Ecija, la legislación resulta indispensable para el país y aborda 3 ejes esenciales:
- Dotar de andamiaje institucional y rectoría al tema de ciberseguridad, que actualmente carece de estos elementos, lo que termina generando que la administración pública actué de forma errática y desarticulada.
- Regular las infraestructuras críticas de la información, sea que estén en manos de la administración pública o en manos de operadores particulares, esto hoy día no existe en el país, y expone a la población a ciberataques a estas infraestructuras.
- Un elenco de obligaciones básicas que deben cumplir las instituciones públicas en materia de ciberseguridad, que por increíble que parezca, no existe hoy día en la administración pública, por lo que cada institución hace lo que le parece, si es que hace algo, y esto genera ineficiencias y vulnerabilidades a los sistemas.
"No obstante lo anterior, los diputados no tomaron en consideración múltiples observaciones que se recibieron durante el periodo de consultas, y que pretendían robustecer la norma y corregirle errores que contiene el texto. Al contrario, el texto sustitutivo aprobado vino a introducir errores conceptuales importantes en las definiciones, a eliminar los fines que inicialmente contenía el texto; a supeditar la Agencia Nacional de Seguridad no solo al Micitt, sino incluso a la Dirección de Gobernanza Digital de dicha institución; a eliminar la aplicación de las obligaciones de ciberseguridad sobre instituciones autónomas, que quedan a la libre respecto a la ciberseguridad; y sobre todo, dejar unas sanciones económicas risibles, que no harán que las instituciones y las empresas se tomen en serio la materia. Saldrá más barato pagar la multa que tomar las medidas a las que la ley los obliga.
Ojalá el Poder Ejecutivo ponga de su parte y convoque el proyecto, para que los diputados puedan aplicarle las correcciones necesarias y dotarlo de robustez técnica para que la implementación de la norma resulte siendo beneficiosa para el país", detalló el especialista en protección de datos.
Incluso un criterio de la Fundación Privacidad y Datos (Pridat) habría sido desatendido por los congresistas a la hora de elaborar el documento del proyecto que fue votado y dictaminado en Comisión el pasado 20 de abril y ahora espera el turno para que ingrese en la corriente legislativa.
A la carrera e improvisado
Otro experto consultado por CRHoy.com que prefirió el anonimato, señala que "lo que se aprobó está muy mal hecho. Las modificaciones al proyecto fueron hechas a la carrera, son inconstitucionales y reflejan improvisación.
Con los parches introducidos al proyecto, hechos a la carrera y sin conocimiento técnico, el proyecto complica la situación en lugar de mejorarla. Se está improvisando, e improvisar no es lo que el país necesita".
En cuanto al texto sustitutivo, este es el criterio personal de la fuente.
Considera que las modificaciones al proyecto de ciberseguridad son inconstitucionales y reflejan improvisación por las siguientes razones:
● Con los parches introducidos al proyecto, hechos a la carrera y sin conocimiento técnico, el proyecto complica la situación en lugar de mejorarla.
● Se está improvisando, e improvisar no es lo que el país necesita.
● En general, los parches introducidos reflejan:
○ desconocimiento sobre ciberseguridad en infraestructuras críticas y la distribución de funciones entre la Agencia y reguladores sectoriales
○ la diferencia entre ciberseguridad y seguridad de la información
○ desconocimiento absoluto del funcionamiento del aparato estatal
● No se atendieron observaciones de sociedad civil
● Ámbito de aplicación es inconstitucional y absolutamente confuso. No se entiende qué aplica a quién.
● Invade autonomía de municipalidades, universidades públicas y CCSS, quienes tienen autonomía constitucional y no pueden estar sujetas a supervisión de la Agencia.
● Confunde lo que es un Centro de Operaciones de Seguridad (SOC) y lo coloca aparte del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT), duplicando funciones e incrementando burocracia.
● Conceptos errados, alejados de estándares internacionales que harán inaplicable en la práctica el proyecto.
● Se obligará a empresas e instituciones de sectores críticos a reportar cualquier incidente de ciberseguridad, aún y cuando el ataque no sea significativo. Eso implicaría tener que reportar los cientos o miles de incidentes al día que reciben las instituciones.
● La Agencia se adscribe dentro de la Dirección de gobernanza digital de Micitt, quitándole cualquier tipo de autonomía técnica. La Agencia debe solo responder al Ministro/a.
● Dejar en la Agencia la potestad de declarar cuáles infraestructuras son críticas es inconstitucional. Invasión de competencias del Poder Ejecutivo. Solo el presidente junto a ministra de Micitt y ministro de Seguridad pueden hacer esa declaración.
● Las obligaciones para operadores pequeños serán excesivas y de imposible cumplimiento.
● Nulo equilibrio entre el derecho a acceder a información pública, y la confidencialidad de cierta información.
● Capítulo de sanciones no tiene sentido alguno, inseguridad jurídica. No se sabe si es contra operadores o contra instituciones que violen el capítulo 5. Se sanciona el incumplimiento de obligaciones que la ley no exige.
