En los últimos años, nuestra leyes sobre ciberseguridad han avanzado lentamente. Desde la última ley de delitos informáticos aprobada el 2013, el tema nunca había vuelto a encontrar un espacio propio en la agenda regulatoria. Hasta hace unos meses, cuando el Congreso presentó dos proyectos de ley sobre ciberseguridad y ciberdefensa que crean un nuevo punto crítico en el desarrollo de políticas públicas sobre el tema.
El 2018 fue un año especial para la ciberseguridad en el Perú. Un problema surgido el año anterior del cual dimos cuenta, propició toda una cadena de acciones por parte del Ejecutivo. Poco a poco, se comenzó a dar forma al incipiente panorama de la ciberseguridad o “seguridad digital,” que es el nombre que el Estado decidió emplear para este tipo de políticas. En principio, se definió este concepto y sus alcances. Luego, se estableció que la Secretaría de Gobierno Digital (SEGDI, ex ONGEI) sería la encargada de liderar estos esfuerzos desde el Estado en todos los niveles: normativo, estratégico, etc.
Pese a la expectativa, este primer momentum no duró mucho. A diferencia de otros espacios como la CODESI (Comisión para el Desarrollo de la Sociedad de la Información), que naufragaron por falta de voluntad política, el problema con la SEGDI es de tipo orgánico. La SEGDI es solo una de las cinco secretarías de la Presidencia del Consejo de Ministros, su presupuesto y personal son limitados, y no tiene autonomía o jerarquía suficientes para hacer todo lo que debe hacerse en materia de seguridad digital. No es que no lo intente, pero todo avanza más lento de lo que debería. Este es un escenario perfecto para que otros actores decidan tomar la iniciativa y así fue.
Los proyectos de ley
Este año se presentaron hasta tres proyectos de ley en el Congreso relacionados con la Seguridad Digital: dos proyectos del congresista Jorge Del Castillo, uno relacionado al marco legal de la Ciberdefensa y el otro al de la Seguridad Digital. También se presentó otro proyecto por el congresista Carlos Domínguez Herrera que proponía la creación de un Comité Nacional de Ciberseguridad.
Los proyectos de Del Castillo introducían leyes generales, que buscaban ser la base sobre la cual se desarrollaran las acciones tanto en el ámbito de la seguridad digital como el de la ciberdefensa. De hecho, la separación misma de ambos conceptos refleja una interpretación restrictiva de lo que significa “seguridad digital.” Cuando la SEGDI la definió en 2018, parecía tratarse de una categoría amplia, en la cual se encontraba incluida también la ciberdefensa, en una relación de género a especie. En la Ley de Gobierno Digital se dice que el Marco de Seguridad Digital se compone de estos ámbitos: Defensa (a cargo del Ministerio de Defensa), Inteligencia (a cargo de la DINI), Justicia (a cargo del Ministerio de Justicia, Ministerio del Interior, Policía Nacional, Ministerio Público y Poder Judicial), e Institucional. De esto parecería desprenderse que la ciberdefensa era parte de una estrategia más amplia de seguridad digital y que no era necesaria una norma específica para que el sector Defensa dirija sus actividades.
No obstante, el proyecto sobre ciberdefensa de Del Castillo creaba un marco legal específico, asignaba al Ministerio de Defensa la tarea de regularlo hacia el futuro y para lograrlo modificacaba el mencionado Marco de Seguridad Digital. Además, introduce algunos conceptos nuevos como legítima defensa en el ciberespacio o recursos críticos de Internet y también la obligación de crear un Plan Nacional de Ciberdefensa, cuya elaboración se asignaba en exclusiva al Ministerio de Defensa. Hay que precisar que esta interpretación hacía que, de aquí en adelante, ambos campos puedan correr por cuerdas separadas y que cualquier otra norma, plan o política de Seguridad Digital no tenga impacto sobre la política de Ciberdefensa.
El proyecto de Seguridad Digital de Del Castillo planteaba varios conceptos nuevos también. Buscaba cambiarle de nombre al PeCERT y transformarlo en el “PeCSIRT Nacional” con atribuciones más extendidas, creaba obligaciones para entidades públicas y privadas en torno a incidentes informáticos, disponía la creación de un Comité de Ciberseguridad del Estado Peruano con varias atribuciones e incluso se le asignaba dinero público a través del “Fondo de Seguridad Digital.” Algo a resaltar es que a lo largo de toda la propuesta se hacía hincapié en la participación del sector privado, incluso dentro de órganos ejecutores como el Comité de Ciberseguridad.
Por otra parte, el proyecto de Domínguez sobre Seguridad Digital es más específico y parte de la idea de que se necesita un Consejo asesor que guíe cualquier desarrollo en materia de ciberseguridad. Establece también principios, obligaciones respecto del reporte de incidentes informáticos y que el Consejo, que denomina Consejo Nacional de Ciberseguridad (CONACY), esté conformado por el sector público y privado, pero con una lista cerrada de actores. Si bien esta propuesta reconoce la necesidad de avanzar más rápido en materia regulatoria, pasa por alto cosas que la SEGDI ya ha regulado previamente.
A inicios de año, la Comisión de Defensa del Congreso, presidida entonces por el congresista Del Castillo, realizó varias rondas de consulta con entidades públicas, privadas y expertos nacionales previas a la presentación de estos proyectos. Luego de presentados, la Comisión agrupó en una sola las propuesta de Del Castillo y Domínguez y por separado la Ley de Ciberdefensa, propuesta de Del Castillo.
Pese a haber recibido oposición inicial por parte de la SEGDI, la ley de ciberdefensa recibió un dictamen favorable a fines de julio. En el nuevo texto es posible ver cómo varias de las disposiciones de la primera versión han sido matizadas, ya sea mediante la delimitación de lo que las Fuerzas Armadas pueden hacer así como qué lineamientos deben seguir. Es más, pese a que sigue indicándose que el Ministerio de Defensa puede hacer sus propias normas sin tener en cuenta la normatividad de Seguridad Digital, para hacerlo se sujeta a ciertos lineamientos que expedirá la SEGDI, lo que le quita el amplio rango de acción que le permitía el primer texto de la propuesta.
Respecto de la ley de ciberseguridad, el Ministerio de Justicia comentó en contra de la viabilidad del mismo por múltiples motivos, siendo el principal el hecho de que el proyecto sí irroga gastos al tesoro público y que el Congreso no tiene capacidad para proponer leyes de ese tipo sin un análisis económico previo. Por otro lado, el Ministerio del Interior hizo algunos comentarios sobre aspectos accesorios de la norma, pero solicitó que se consulte a la SEGDI para mayor referencia, advirtiendo que podía haber una duplicidad de esfuerzos. No obstante, la SEGDI no envió comentarios sobre esta iniciativa, ni a favor ni en contra. Pese a ello, la ley de ciberseguridad también recibió un dictamen favorable. Sin embargo, a diferencia de lo que ocurrió con la ley de ciberdefensa, el texto final de la norma de ciberseguridad sufrió una desestructuración importante, al punto en que muchos de los párrafos del nuevo texto no tienen sentido dentro del contexto de la ley. Por ejemplo, se alude al Fondo de Seguridad que manejará el Comité de Ciberseguridad, pese a que se ha borrado dicho artículo. Se asigna (erróneamente) al Ministerio del Interior la rectoría de la seguridad digital. También, el párrafo sobre notificación de incidentes está mal redactado; asigna responsabilidades a funcionarios que no existen y admite múltiples interpretaciones.
Una aprobada, una observada
El Congreso aprobó ambas normas a través de la Comisión Permanente y en agosto envió las respectivas Autógrafas al Ejecutivo para su promulgación. No obstante, solo una de ellas, la de ciberdefensa, fue promulgada por el Presidente bajo Ley 309999 mientras que la otra ha sido observada y enviada de vuelta al Congreso. Esto, que representa un golpe a quienes la propusieron y comentaron favorablemente (la de ciberseguridad, no la de ciberdefensa), debería servir como punto de reflexión para los interesados en el tema.
En Hiperderecho no nos sorprendió saber que la norma fue observada por el Ejecutivo, principalmente porque notamos en ella múltiples problemas de forma y de fondo. De hecho, este mes enviamos una carta enviada a la Presidencia de la República destacando estos problemas y solicitando su observación. Entre algunos de nuestros comentarios que coinciden con las observaciones del Ejecutivo está el hecho de que jurídicamente no se pueden crear por ley comités público-privados ni asignarles fondos y personal con dinero del Estado. También que crear CSIRTS públicos duplica trabajo ya realizado por órganos existentes como el PeCERT y los Comités de Gobierno Digital de cada institución pública. Finalmente, que en materia de comunicación de incidentes son otras las entidades llamadas a establecer lineamientos y protocolos, lo que no corresponde a una ley de este tipo.
Pese a que todo proyecto es perfectible, es necesario reconocer que el texto propuesto de la ley de ciberseguridad debía volver a la mesa de trabajo y atar los cabos que tiene sueltos. Si en las próximas semanas el Congreso decide aprobarlo por insistencia, lo que vamos a tener es una norma ininteligible, inaplicable y desventajosa no solo para el sector público sino también para el privado. Sí, nuestro país necesita una Ley de Ciberseguridad pero no necesariamente esta.
Ya nos resulta problemático el hecho de que se haya decidido otorgar más poder a las Fuerzas Armadas, dándole la responsabilidad de regularse a sí mismas en el ámbito de la ciberdefensa, pese a que esto se ha matizado un poco con las modificaciones anteriores a su promulgación. Sin embargo, si a eso le sumamos una ley de ciberseguridad impracticable, a un Comité de Ciberseguridad que nunca se va a poder constituir o siquiera operar y a múltiples otros vicios como la falta de claridad de responsabilidades o el nivel de cooperación exigible al sector privado en este ámbito, tenemos ante nosotros una nueva ley que pudo nacer muerta.
No deberíamos perder la oportunidad de hacer las cosas bien. Hay muchas formas en las que las ideas del proyecto de ciberseguridad se pueden rescatar a fin de contar con una norma moderna, que permita la participación de todos los interesados, pero que al mismo tiempo se pueda ejecutar y no termine siendo una nueva oportunidad desperdiciada.
Descarga: Comentarios de Hiperderecho a la Autógrafa de la Ley de Ciberseguridad
Descarga: Observaciones del Poder Ejecutivo a la Autógrafa de la Ley de Ciberseguridad
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
Buen día. Actualmente existe una ley que obligue a las instituciones o empresas a implementar sistemas de autenticación multifactor, debido a los diferentes casos de robo de contraseñas, suplantación de identidad a través de huellas digitales, entre otros.