El gobierno, a través del ministro de Justicia y Seguridad Pública presentó a la Asamblea Legislativa dos propuestas de nuevas leyes, una de Ciberseguridad y Seguridad de la Información y otra para la Protección de Datos Personales.
En el caso del primer proyecto de decreto, en los considerandos indica que “en la actualidad existe la amenaza de ciertos comportamientos que tienen el potencial de afectar a la ciudadanía en general, mediante la realización de cualquier acción que tenga como objetivo perjudicar o comprometer la confidencialidad o integridad de la información”.
También agrega que podrían afectar la disponibilidad, resiliencia o integridad de sistemas informáticos, equipos, redes, infraestructuras de los órganos del Estado, sus dependencias, las instituciones autónomas, las autoridades municipales o cualquier otra entidad u organismo que administren recursos públicos, bienes del Estado. Y agrega que dichas amenazas “son un riesgo creciente”.
DE INTERÉS: Usuarios denuncian bloqueo de laptops y tabletas que entregó el Gobierno a estudiantes
El objeto de la ley busca establecer las políticas de protección que permitan estructurar, regular, vigilar y fiscalizar las medidas de ciberseguridad y seguridad de la información en poder de las instituciones públicas.
Aplicaría para todas instituciones y dependencias del gobierno, autónomas, autoridades municipales o entidades que administren recursos públicos.
Nueva Agencia
Con esta ley se crearía la Agencia de Ciberseguridad del Estado (ACE), que será la encargada de elaborar la “Política de Ciberseguridad y Seguridad de la Información de la Nación” con los lineamientos, planes y programas de acción, la cual deberá someter a aprobación de la Presidencia de la República.
También tendría a su cargo la elaboración de normativas, protocolos, lineamientos, estándares y criterios técnicos, “basadas en las mejores prácticas y estándares internacionales en materia de ciberseguridad y seguridad de la información”, entre otros aspectos.
Además, deberá crear y administrar un Registro Nacional de Amenazas e Incidentes de Ciberseguridad.
La ACE tendrá un Director General y un Director de Ciberseguridad y Seguridad de la Información, quienes serán nombrado por el presidente de la República para un periodo de tres años.
La propuesta incluye el articulado sobre infracciones y sanciones a quienes incumplan la ley, ya sea por acción u omisión, a título de dolo, culpa.
Entre las infracciones graves está no realizar continuamente las operaciones de revisión, ejercicios, simulacros y análisis de medidas, sistemas informáticos, equipos, redes, infraestructuras o procesos ejecutados o implementados.
Entre las infracciones muy graves se incluye no implementar un sistema de gestión de ciberseguridad y seguridad de la información permanente, sin causa justificada, de acuerdo a lo que establezca la Agencia; incumplir con las medidas necesarias para prevenir, reportar y resolver las amenazas de ciberseguridad y seguridad de la información de manera inmediata y eficaz, entre otras.
Las infracciones leves se sancionarán desde una amonestación escrita o multa y las graves y muy graves podrán sancionarse con despido o destitución del cargo más una multa.
“Todas las sanciones determinadas en la presente ley, no eximen al infractor de las responsabilidades civiles o penales derivadas de las investigaciones correspondientes a que dieren lugar”, indica el articulado.
Protección de datos
La segunda propuesta de ley es la de protección de datos personales, la cual aplicaría a personas naturales o jurídicas, del sector público o privado, que lleven a cabo actividades relativas al tratamiento de datos personales.
En sus considerandos argumenta que debido a que las nuevas tecnologías permiten transmitir con gran facilidad los datos de las personas naturales a nivel mundial, “resulta necesario establecer las condiciones mínimas y estandarizadas para compartir datos con otros países, salvaguardando la seguridad de la información”.
El proyecto de decreto incluye artículos sobre el derecho a la protección de los datos personales, el derecho de información frente a la recolección de datos, el derecho de acceso a datos personales de parte del titular de los mismos, el derecho de rectificación, el derecho de cancelación o supresión, el bloqueo de datos personales, el derecho de oposición, el derecho a la limitación y el derecho a la portabilidad.
PUEDE LEER: Grupo de hackers filtra base de datos de 974,428 cotizantes del ISSS
Otros aspectos tienen que ver con las actividades sobre los datos personales, como facilitar un aviso de privacidad previo a la recolección y tratamiento de datos; la notificación de vulneraciones a la seguridad de los datos personales, el consentimiento informado y el tratamiento de los datos.
Agrega que ninguna persona podrá ser obligada a proporcionar sus datos personales sensibles.
La entidad rectora para la aplicación y supervisión de esta ley también sería la Agencia de Ciberseguridad del Estado.
Cabe destacar que con esta ley se deroga todo lo relacionado a los datos personales que contiene la Ley de Acceso a la Información Pública (LAIP).
Ambas propuestas ingresaron en la lista de correspondencia de la plenaria de este miércoles y fueron enviadas a estudio de la Comisión de Seguridad Nacional y Justicia de la Asamblea Legislativa.
Prohibiciones en datos personales:
- Ninguna persona podrá ser obligada a proporcionar sus datos personales sensibles. Solo podrán ser objeto de tratamiento con el consentimiento expreso e inequívoco del titular de conformidad al procedimiento de ley
- Crear bases de datos que contengan datos personales sensibles, en contravención a lo dispuesto en la ley o la normativa aplicable.
- El tratamiento de datos personales que revelen el origen racial o étnico, nacionalidad, afiliación partidaria, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, sin observar lo establecidos en la ley.
- Revelar, difundir o comercializas por cualquier medio los datos personales que ha tenido acceso con ocasión de su cargo, sin observar los requisitos que establece la ley o la normativa aplicable.
- Utilizar, transferir, compartir y comercializar a cualquier título y destino la información de las personas que conste en sus bancos de datos, bases de datos, repositorios, sistemas o registros, tanto manuales como informáticos.