La comisión de Seguridad Nacional y Justicia de la Asamblea Legislativa avaló, tras una serie de modificaciones, la Ley de Ciberseguridad y seguridad de la información, así como la Ley de Protección de Datos Personales con solo los aportes de la Secretaría de Innovación de la Presidencia.
La “Ley de Ciberseguridad y Seguridad de la Información”, que buscaría estructurar, regular y fiscalizar las medidas de ciberseguridad y seguridad de la información en poder de las instituciones públicas; también crea la Agencia de Seguridad del Estado también llamada “ACE”.
Las facultades de la ACE serían elaborar la Política de ciberseguridad y seguridad de la información de la nación, misma que contendrá los lineamientos, planes y programas de acción que se aplicarán para su cumplimiento, y someterla a aprobación del Presidente de la República; emitir las normativas, protocolos, lineamientos, estándares y criterios técnicos, tanto generales como específicas, basadas en las mejores prácticas y estándares internacionales en materia de ciberseguridad y seguridad de la información.
LEA: Gobierno propone leyes de protección de datos y de ciberseguridad
El secretario de Innovación, Daniel Hernández, destacó que los ciberataques y la ciberdelincuencia se modernizan cada día, por lo que es urgente para el país la vigencia de dichos marcos normativos.
El funcionario de la Presidencia aseguró que estos derechos garantizan a la ciudadanía decidir sobre el uso de sus datos.
“Proporcionamos el derecho de los ciudadanos de acceder a sus datos personales y solicitar tanto correcciones como eliminar los mismos”, dijo Hernández ante la comisión.
La diputada Alexia Rivas señaló la importancia de los marcos normativos en tanto a que la población no cuenta con una ley que le proteja de hackers o que a alguien le puedan extraer las fotografías de su celular y cometer suplantación de identidad.
“Esa misma sensación que tenemos en el espacio público (de seguridad) debe garantizarse en el ciberespacio”, reaccionó Hernández.
El secretario detalló que en el caso de que los datos personales sean filtrados y esparcidos en la red se podrá pedir a los buscadores que puedan revertir dicho manejo de la información. Aún así, Hernández aseguró que la protección de datos personales no solo es responsabilidad del Estado sino también de la población en general.
Modificaciones
La comisión emitió una serie de modificaciones a la redacción de las propuestas de las leyes, según los diputados, para que fueran leyes más robustas.
En el caso de la ley de ciberseguridad se modificó su artículo uno en el sentido de que se puedan emitir las políticas de fiscalización de las medidas de ciberseguridad para que en lugar de vigilarse sean auditadas. Asimismo, para que entre los principios de la ley se incluya el de la no discriminación tecnológica.
El concepto de “riesgo cibernético” ahora se entendería como “medida de probabilidad, de ocurrencia y potenciales resultados negativos derivados de una falla a vulneración a medidas de seguridad o de la información que puedan afectar la privacidad, la integridad o la disponibilidad de datos o servicios resguardados en el sistema informático”.
Otra de las modificaciones avaladas fue sobre el factor de riesgos.
“Se entenderá que existe riesgo informático cuando los sujetos regulados cumplan las normativas, protocolos, lineamientos, estándares y criterios técnicos establecidos por la Agencia, las cuales se basarán en estándares nacionales o internacionales en materia de seguridad y ciberseguridad”.
Entre las atribuciones de la Agencia se añadió a su redacción: “La autoridad competente emitirá las disposiciones en la materia de ciberseguridad de la información de conformidad a lo establecido en la letra ‘b’ del artículo 8 de la ley con la finalidad que los sujetos obligados por la ley se mantengan en estricta coordinación con la misma”.
En el apartado de infracciones muy graves de la ley, se modificó la redacción en sus literales ‘g’ y ‘h’.
“g) Obstaculizar o impedir las labores de gestión, auditoría e inspección que realice la Agencia en materia de ciberseguridad y seguridad de la información.
h) No informar a los potenciales afectados en la medida que pueda identificarse y cuando así lo determine la ACE sobre la ocurrencia de incidentes que pudieran comprometer o comprometan gravemente su información, así como las posibles medidas que puedan adoptar para mitigar los riesgos ocasionados por los mismos si las hubiere”.
Otra de las modificaciones fue hecha al apartado de emisión de normativas y disposiciones aplicables: “La ACE deberá elaborar las normativas, protocolos, lineamientos, estándares y criterios técnicos, tanto generales como específicos en materia de ciberseguridad y seguridad de la información a más tardar 90 días contados a partir de la vigencia de la presente ley”.
Filtración de datos
Este año grupos de hackers se han ocupado de filtrar documentos y datos de instituciones públicas, por ejemplo, la planilla de la fracción de Nuevas Ideas en la Asamblea Legislativa, archivos de la Corte Suprema de Justicia, así como el acta de constitución de la Constructora El Salvador, empresa privada que dirigen personas de confianza del gobierno y que recibió capital y bienes públicos para su operación.
Recientemente, también hubo una filtración de la supuesta base de datos del Instituto Salvadoreño del Seguro Social (ISSS) con el nombre, domicilio, contacto y salario de los cotizantes. Esta data reflejó salarios distintos a los que podrían estar ganando algunos funcionarios de Nayib Bukele.