Comienza a regir la Ley de Delitos Económicos en Chile: ¿Cómo impacta en el ecosistema tecnológico?
En agosto de 2023 se publicó la nueva normativa, la cual entra en vigencia para las empresas el 1° de septiembre y trae cambios sustanciales en términos de responsabilidad penal. Uno de los puntos más fuertes de esta regulación es que en ella se incorporan también delitos informáticos contemplados en la ley que lleva ese mismo nombre y establece altas sanciones tanto a personas naturales como jurídicas.
Chile avanza en la regulación de una nueva era, es decir, en reglamentar las normativas que habiliten al país a transformar el modo en que se hacen negocios y en que se crean, implementan y gestionan las economías digitales. Con esa misión, el Congreso ha venido tratando distintos paquetes de leyes que buscan robustecer el sistema en su conjunto. Dentro de esas, se encuentra la Ley de Delitos Económicos N° 21.595, un marco normativo que está próximo a su implementación y que incorpora nuevas sanciones, aumenta penas y se vincula íntimamente con la Ley de Delitos Informáticos.
En la región de Latinoamérica, los países avanzan en regular los distintos aspectos derivados de los procesos de avance y transformación digital que han tenido lugar a lo largo de los últimos años. Sin embargo, el escenario aún es desigual, habiendo países que tienen leyes robustas pero con una débil fiscalización, y otros donde -por ejemplo- están debatiendo la regulación de sistemas de Inteligencia Artificial sin actualizar o regular previamente la Protección de Datos Personales.
Esta realidad contrasta con espacios como la Unión Europea, que cuenta con uno de los marcos regulatorios más avanzados del mundo en términos de tecnología y economías digitales. Esta región cuenta con sólidos reglamentos de protección de datos y ciberseguridad en vigencia, fiscalizaciones que involucran importantes sanciones a empresas y la reciente reglamentación para monitorear posibles contenidos nocivos en plataformas como las redes sociales (Ley de Servicios Digitales).
También contrasta con países como Estados Unidos en donde, por ejemplo, no hay una ley federal que proteja los datos y la privacidad de los residentes a nivel nacional, sino que la misma queda a cargo de cada Estado, dentro de un marco desregulado.
Pero volviendo a Chile, el cuadro regulatorio necesario está integrado por ocho normativas, algunas aprobadas, otras en vías de implementación y otras en trámite. A saber: la Ley de Delitos Informáticos, la actualización de la Ley de Protección de Datos, la Ley Marco de Ciberseguridad e Infraestructura Crítica, la Ley de Transformación Digital del Estado, el Reglamento de Comercio Electrónico del Sernac, la Ley Fintec, la Norma de Carácter General (NGC) 461 y la flamante Ley de Delitos Económicos.
Aquí no se incluye aún la regulación en Inteligencia Artificial dado que es todavía un proyecto que acaba de ser presentado al Congreso por el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación.
Breve panorama de la regulación de tecnologías en Latinoamérica
Para entender la relevancia de la nueva Ley de Delitos Económicos de Chile, es necesario contextualizar el estado del arte regulatorio a nivel regional. Puntualmente, importan aquellos cuerpos normativos que tocan o impactan de alguna forma a los actores del ecosistema tecnológico: proveedores de cloud, canales, mayoristas, OEMs, entre otros.
En este sentido, uno de los ejemplos a observar en Latinoamérica se da en términos de Protección de Datos Personales, donde el avance ha sido dispar y la mayoría de las leyes fueron consagradas hace una o dos décadas, dependiendo el caso, con escasa o nula actualización en el tiempo.
En México, la normativa que contempla el resguardo de los datos se remonta a 2010 (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) y establece definiciones de tipos de datos, brinda directivas sobre cómo gestionar y tratar los datos e incorpora a los derechos ARCO (Aceptación, Rectificación, Cancelación o eliminación, Oposición). Por otro lado, Argentina es un país con una ley desactualizada (data del año 2000) pero que contempla de manera bastante integral el tratamiento y transferencia de los datos. No obstante, el texto presenta cierta obsolescencia dado que no regula datos en internet y la fiscalización es casi inexistente.
En el caso de Chile, la actualización a la Ley de Protección de la Vida Privada del año 1999, se viene tratando en el Congreso hace casi diez años, pero recién la semana pasada recibió aprobación de la Comisión Mixta a la que se sometieron algunas diferencias producto del debate y ahora sólo resta la última votación para que sea aprobada, promulgada y publicada.
De acuerdo con Andrés Pumarino, abogado especializado en tecnología y profesor del Magíster en Ciberseguridad MCS de la Universidad Adolfo Ibáñez, durante un largo tiempo, Chile tuvo una ley de protección de datos que “daba definiciones pero no había regulador ni multas”. En diálogo con ITSitio, manifestó que debido a esto, el país se convirtió en un “data paradise”. Por eso es que el proyecto que actualmente se está tratando mantiene expectantes a distintos sectores de la sociedad y especialmente a las empresas, quienes precisan la normativa para -entre otros aspectos- facilitar la transferencia de datos entre países.
“Ahora, hay que salir de esa cultura de data paradise y entrar a una cultura desde el cumplimiento, cuidado y el respeto de los datos”, mencionó el profesional y destacó que uno de los elementos más importantes consiste en incrementar las competencias digitales de los ciudadanos.
¿Y la Ciberseguridad?
Si hablamos de Ciberseguridad, Chile lleva la delantera ya que el año pasado se convirtió en el primer país de América Latina en aprobar una ley que atienda específicamente estos asuntos: la Ley de Ciberseguridad e infraestructura Crítica.
Esta normativa crea la Agencia Nacional de Ciberseguridad (ANCI), organismo que, entre sus responsabilidades, tiene la fiscalización y registro de los incidentes de seguridad informática. Estos últimos, deberán ser informados de forma obligatoria una vez que la ley entre en plena vigencia (sin fecha precisa hasta el momento).
A Chile le siguen Costa Rica, México y Colombia, quienes están aún en tratativas de proyectos para establecer marcos sólidos en este aspecto.
¿Cómo avanza la regulación de la IA en la región?
Otro de los temas polémicos en agenda normativa es todo aquello que atañe a la Inteligencia Artificial (IA). Como hace mucho tiempo no ocurría, en 2023 la IA revolucionó al mundo y se incorporó rápidamente a la vida diaria desde la utilización de los ya popularizados LLM (Modelos de Lenguaje a Gran Escala) como ChatGPT o Copilot, hasta la integración compleja de aplicaciones a nivel industrias y organizaciones.
Mientras la Unión Europea aprobó este año su primer reglamento en el tema, varios países de Latinoamérica avanzan en tratar una regulación que se adapte a sus territorios. Tal es el caso de Chile, Perú, Brasil y Costa Rica.
Eso sí, para que el ecosistema normativo tech funcione, una Ley de Protección de Datos robusta, actualizada y vigente es esencial.
Ley de Delitos Económicos en Chile: ¿Por qué impacta a nivel tecnológico en las empresas?
Chile se encuentra en una etapa de transición y transformación de su ecosistema digital, cambiando la forma de hacer negocios y desafiando al sistema normativo que debe acompañar para que las organizaciones crezcan.
Adicionalmente, Chile es uno de los países más vanguardistas de la región con acceso a un amplio catálogo de hardware y software, un ecosistema de canales sólido, altamente capacitado y diverso, regiones de nube y un creciente número de Data Centers.
Este escenario brinda las condiciones adecuadas para que las organizaciones desarrollen, prueben e integren distintas tecnologías a su día a día. Incluso aquellas que aún no están reguladas como la IA. En este contexto, el tiempo mismo pide “más tiempo” para alcanzar a debatir, modificar, actualizar y regular en torno a este fenómeno.
Es ahí donde la Ley de Delitos Económicos toma protagonismo ya que, utilizando la Ley de Delitos Informáticos como nexo, impacta de lleno en el área TI de las organizaciones, pero también en el ecosistema de empresas tecnológicas. ¿Cómo sucede esto?
La ley “releva la importancia de tener problemas de cumplimiento dentro de la organización y hacer las acciones de negocio con mirada ética”, explicó Pumarino en conversación con ITSitio. Y es que la nueva ley que comenzará a regir el 1° de septiembre no es exclusiva del ámbito tributario. “Desde una perspectiva específica hay que considerar que trae varios componentes que impactan al mundo tecnológico”, detalló el especialista.
En otras palabras, la ley exige a las empresas que instrumenten los medios y resguardos informáticos necesarios con el objetivo de prevenir y evitar la comisión de delitos de esta índole en su empresa. Esto debe abordarse de forma integral, tanto desde lo técnico como desde lo cultural, educando a sus colaboradores y capacitándolos.
Al incluir delitos tipificados en la Ley de Delitos Informáticos, tanto las personas (naturales) como las empresas (personas jurídicas) quedan afectas a la responsabilidad penal cuando se atente, por ejemplo, contra sistemas o datos, más aún cuando la empresa o los trabajadores obtuvieron algún beneficio a partir de esa acción.
Este marco normativo contempla también lo concerniente a Propiedad Intelectual y el licenciamiento de software y sanciona a las organizaciones que “piratean” softwares para su utilización. “La ley considera que hay responsabilidad de las personas jurídicas al no respetar la propiedad intelectual de otros que desarrollaron software”, advirtió el abogado.
“La Ley de Delitos Económicos incorpora más de 200 delitos que se les releva a una categoría de responsabilidad penal de las personas jurídicas”, especificó Pumarino. Y esto es una novedad que amplía la esfera de competencia hacia las personas jurídicas imputándoles responsabilidad en lo penal.
Una ley que pone en alerta a las organizaciones
El nuevo marco normativo puso en alerta a las organizaciones, especialmente a los niveles gerenciales. Esto, según Pumarino, responde a que de alguna forma la ley “expone” a Directorios y ejecutivos del denominado C-Level dado que, al contemplar sanciones a personas jurídicas, la empresa puede resultar perjudicada en caso de no tomar las medidas de Due Dilligence correspondientes.
Estas medidas refieren a “tomar acciones de resguardo, de capacitación, de concientización, medidas preventivas desde el punto de vista de tener un modelo de prevención de delito (también informático), generar capacitación, concientización, establecer las adecuaciones documentales, modificaciones en las cláusulas por los contratos de los clientes o contratos con los proveedores”, enumeró el letrado. Y las empresas tendrán que adaptarse en pos de no caer en infracciones que ahora podrían involucrar penas efectivas de cárcel y “multas-día” que van desde 0,5 UTM (Unidad Tributaria Mensual) hasta las 1.000 UTMs (unos 65 millones de pesos chilenos) diarias.
Según Pumarino, este tipo de multas “debutan en la legislación chilena” poniendo a las empresas bajo el imperativo de cumplir o cumplir. Un punto a destacar es que la Ley de Delitos Económicos no contempla a las Pymes (empresas que facturen entre 2.500 y 25.000 UF) por lo que, de momento, quedarían excluidas de estas obligaciones.
Leyes para “una nueva forma de hacer negocios”
No es una novedad que la inserción de nuevas tecnologías en los últimos veinte años cambió casi radicalmente la forma de hacer negocios. Si se toman cuestiones básicas, desde las reuniones o presentaciones, que ahora pueden ser a miles de kilómetros hasta el popular “pitch” se han transformado. Pero hablando de temas más complejos, hoy las economías digitales tienen un papel protagónico en el desarrollo de todos los países y mercados.
Hablamos del impacto de dispositivos tecnológicos o plataformas como la nube que dieron paso a nuevos negocios que hasta hace relativamente poco tiempo, no eran imaginables. Hoy, los canales TI se diversifican cada vez más, para atender negocios de nicho de los clientes o potenciales usuarios. Por ejemplo, ya existen en Chile canales especializados en IA, para ayudar a las empresas a implementar estas tecnologías con el mayor provecho posible. También los hay en Ciberseguridad, en IoT, en gestión de activos, y esto conlleva un alto grado de especialización por parte de quienes integran el ecosistema.
“El modelo de hacer negocios ya no es el mismo del siglo XX, eso significa que las organizaciones tienen que aprender a desaprender para volver a aprender nuevas estrategias de gestión de negocios”, manifestó Pumarino sobre este punto. “La forma en que se realiza el trato a nivel de las negociaciones entre privados y entre el sector público y privado, obliga también a ser ético en el comportamiento y esto no solamente un caso de Chile, es un caso a nivel global”, agregó el especialista durante la entrevista.
“En nuestra economía digital, debemos comprender que hemos avanzado demasiado rápido a nivel mundial y por lo tanto el problema de haber estado dilatando, por ejemplo, la ley de protección de datos durante diez años trae un costo que hoy vamos a tener que asumir”, afirmó respecto a la esperada ley que, se espera, reciba pronto la aprobación de los legisladores. Al mismo tiempo, el abogado habló del cambio cultural que significa contar con una ley que resguarde los datos personales. “A diferencia de la Ley de Delitos Económicos, la Ley de Protección de Datos Personales es aplicable a todo el ecosistema de empresas, entonces eso va a significar un cambio cultural”, advirtió.
En efecto, esta no es la única ley que requerirá cambios culturales transversales. La Ley Marco de Ciberseguridad e Infraestructura Crítica implica que las empresas tomen las medidas correspondientes y cumplan con la regulación. Pero también que las personas que forman las empresas tengan competencias digitales que los nutran de la información necesaria para no ser víctimas de estafas basadas en ingeniería social o phishing, por ejemplo. Un correo electrónico malicioso no identificado a tiempo, puede devenir en un ciberataque para la empresa. Por lo que la educación en estos temas es fundamental.
Según Pumarino, las empresas “saben que los reguladores tienen un enforcement mucho más potente en Chile que en el resto de América Latina” y comentó que eso “genera preocupación”. Por este motivo -añadió el especialista es que el rol del futuro director de la Agencia de Protección de Datos Personales también va a ser “educar, enseñar a las empresas a usar medidas técnicas para resguardar los datos y también aplicar las medidas legales pertinentes, no solamente la ley, sino que las compañías se autorregulen”.
Piratería de software: afuera
Según lo que comentó el abogado, en Chile hay un “alto nivel de piratería”. Esta es una práctica que se extiende a lo largo de toda América Latina. Sin embargo, con la aplicación de la nueva ley, las organizaciones tendrán que adecuarse, lo que debería resultar en una disminución de los casos de piratería de software.
En palabras de Pumarino, “se produce una falta de conciencia de los activos intangibles” marcando una diferencia con el hemisferio norte donde “los países desarrollados están preocupados por la creación intelectual como protección, como cuidado”.
El especialista confía en que los procesos de implementación de todas las leyes que impactan en las áreas TI van a desarrollarse de forma paulatina, aunque enfatiza en que por la transformación de la economía que se está viviendo, estos son cambios que deben hacerse más temprano que tarde.
El imperativo de usar licencias originales de software derivará en que las organizaciones organicen sus partidas presupuestarias para poder ajustarse a la normativa. Ocurre que un supuesto ahorro en licencias, ahora puede terminar en una costosa multa. Más allá de la pena pecuniaria, es importante generar ese cambio de cultura que tiene que ver con respetar la Propiedad Intelectual y evitar descargas de internet de sitios no seguros (lo cual favorece la seguridad informática), entre otros puntos importantes.
Es por eso que hoy, todos los actores que conforman el ecosistema TI en Chile, deben prepararse para las necesidades que comenzarán a aparecer gradualmente y de forma transversal: la gestión de activos TI tomará otro color y rol para detectar la superficie de una empresa y tomar decisiones, las soluciones de ciberseguridad serán demandadas no únicamente por la ley que les compete sino también por el nexo que se forma entre esta y la nueva Ley de Delitos Económicos, los proveedores de nube también serán protagonistas en términos de cumplir normativamete y ayudar a los clientes a atravesar este proceso.
Estos son sólo algunos ejemplos de por qué una ley que, en principio, parece circunscribirse únicamente a lo tributario, impacta ampliamente y de forma directa en el ámbito tecnológico para el territorio chileno.