La Convención Constitucional tiene una oportunidad de oro: escribir una nueva Constitución para Chile donde los derechos digitales estén garantizados. Y entre ellos, el de la ciberseguridad. No porque sea un tema que está 'de moda', o porque de él se hable cada vez con más frecuencia mientras el país transita la cuarta revolución industrial y empieza a navegar en las aguas del 5G. Sino porque los riesgos cada vez se vuelven más latentes y atentan contra otros derechos ciudadanos. Entonces, la discusión a nivel constitucional es relevante, coinciden expertos, especialmente considerando el cambiante contexto actual. Para Paulina Silva, abogada y socia del estudio Bitlaw, esto es más que pertinente: 'La dependencia creciente de todos los sectores del quehacer humano a sistemas informáticos nos hace, naturalmente, desear contar con herramientas que permitan o propendan a un ciberespacio sano y seguro', señala.

Por eso cree que las amenazas, problemas e inquietudes asociadas a la ciberseguridad deben discutirse en profundidad en la Convención. Y dice que debe hacerse desde una mirada que abarque tanto la ciberdefensa como lo que se conoce tradicionalmente como ciberseguridad. La pertinencia también viene dada por cómo o en qué medida un ciberataque o vulneración de datos puede afectar a los ciudadanos y a la infraestructura crítica del país, sostiene Alex Pessó, director legal de Microsoft Chile. Hay muchos casos que lo grafican. Por ejemplo, ya se probó que periodistas, activistas y jefes de Estado estaban siendo vigilados a través de Pegasus, un programa creado para combatir el crimen y que durante años se ha vendido a gobiernos de todo el mundo. En paralelo, un hospital de Düsseldorf, Alemania, fue blanco de un ciberataque en 2020 que colapsó su sistema informático, obligó al servicio de urgencias a cerrar durante 13 días, e incluso obligó a muchas ambulancias a desviarse a otros hospitales de la zona porque no tenían capacidad de atención.

En una viajaba una mujer de 78 años que no resistió, y según la investigación de las autoridades, su muerte está potencialmente asociada a la demora en la atención. 'En Chile, mayormente la banca es víctima de este tipo de ataque. Pero por suerte no hemos tenido una experiencia de esa magnitud, donde la infraestructura crítica del país se vea comprometida. Puede pasar, y por eso es necesario anticiparse', dice Pessó, quien ya asistió a la Convención representando a la Asociación Chilena de Empresas de Tecnologías de Información (ACTI) para plantear estos temas. A sus ojos, esa responsabilidad debe ser principalmente estatal, compartida en cierta medida con el sector privado, y como tal debiese quedar expresado en la nueva Constitución: 'Asegurar la infraestructura crítica debe ser un rol del Estado, especialmente protegiéndola de ataques informáticos que puedan poner en riesgo su continuidad operacional. Y la razón es que detrás de eso está la defensa de los ciudadanos, porque si no cuidan la infraestructura, finalmente los servicios se detienen, y estamos hablando de servicios que van a estar garantizados en la Constitución, como la salud'.

Cómo avanzar

Tanto Silva como Pessó creen que llevar el tema a la Convención no debería confundirse con la necesidad de elaborar un catálogo de 'principios', o que la ciberseguridad deba regularse en forma específica en la nueva Carta Magna. 'Me parece más sensato que asiente las garantías para la protección de los derechos que pueden verse afectados por amenazas de ciberseguridad, más que establecer un derecho a la ciberseguridad propiamente tal, o declaraciones vagas y tecnológicamente no neutras, que no tengan un correlato práctico', plantea la abogada que tiene más de una década de experiencia asesorando a empresas en los aspectos legales de la contratación, desarrollo y gestión de tecnologías.

La visión del ejcutivo de Microsoft también apunta a que la construcción del texto 'debería ser minimalista', con una Constitución que establezca los lineamientos generales y que se limite a declarar el deber del Estado de resguardar la infraestructura crítica, estableciendo, entre otras cosas, la creación de una agencia de protección para temas de ciberseguridad, cuyas atribuciones deberán ser definidas posteriormente por la ley. 'Debería ser una agencia que tenga presupuesto solo para estos temas y que no se dedique a otros asuntos, evitando caer en la típica tentación de ahorrar recursos fiscales.

Debería ser pequeña, pero con mucha tecnología, y con un mandato único y claro del legislador. Que tenga convenios con organismos y empresas internacionales que puedan dotarla de la mayor capacidad de inteligencia. Y que esté debajo del Ministerio del Interior, en conexión con la CMF y con el CSIRT', propone Pessó. Silva cree que la discusión tiene que ir más allá de algún deber de proteger la infraestructura crítica, para crear un ecosistema de organismos coordinados con competencias adecuadas en materia de ciberseguridad, pero que no tenga facultades 'tan ilimitadas' que puedan amenazar los derechos y libertades fundamentales de las personas. 'Al final del día, la ciberseguridad engloba la existencia de una serie de técnicas (físicas y normativas) que son esencialmente dinámicas, con un objeto de protección inmediata que puede ir cambiando en el tiempo. Entonces parece más sensato proteger o garantizar ese objeto de protección', dice la especialista.

Y añade un punto en el que coincide con Pessó, que tiene que ver con la necesidad de 'dejar en sede constitucional' una institucionalidad con competencias en ciberseguridad, ya sea en defensa, protección de infraestructuras críticas, protección de datos personales, entre otros. Frente a esto, las expectativas del ejecutivo de Microsoft son positivas: 'La convención tiene demasiados desafíos y muchos temas qué tratar, pero hay convencionales que entienden de esto, les interesa y saben que están ante una oportunidad histórica, discutiendo deberes y derechos justamente en medio de la cuarta revolución industrial'.