1. A modo de introducción, téngase presente que ante los últimos sucesos de vulnerabilidades en materia de cibereseguridad de servidores contratados por la empresa Latam, por la plataforma de compras públicas o por el uso de los sistemas de la matriz extranjera del Banco Santander, cabe reflexionar acerca de que la herramienta tecnológica usada (la “computación en la nube”) debió haber sido implementada evitándose la salida de datos de los usuarios, clientes y ciudadanos desde el territorio nacional. La responsabilidad de ser diligentes la exigen la actual y la futura Ley N°19.628.

2. La evolución tecnológica cuando se trata de almacenar y procesar información, en perspectiva, ha pasado del outsourcing, a los data center, al hosting con Internet y hoy se instala en el contexto del cloud computing. Aparecen los CSP (en inglés) o proveedores de servicios de “Cloud”, y los mecanismos contractuales, también en modalidad de contratos de Derecho Administrativo que se aplican a grandes servicios públicos o usuarios de mucha demanda de procesamiento, incluso en base a un Contrato Marco específico de la Ley N°19.886[i], llevan a reparar -por ejemplo- en las eximentes de responsabilidad que deben ser morigeradas.

La externalización en modalidad de cloud consiste esencialmente en usar programas o servicios que no están físicamente instalados en un equipo y a los que se accede mediante Internet. Los proveedores tecnológicos sostienen -con convicción- que la transformación digital basada en la nube mejora las capacidades para innovar, crea nuevos flujos de ingresos, es más segura y diseña mejores experiencias y nuevos modelos de trabajo y colaboración. Se ha definido también a “la nube“ como una infraestructura computacional que permite que los usuarios -personas y empresas- accedan de manera remota y on-demand  a sus productos y servicios computacionales –v.gr. correos electrónicos, páginas web y espacios de almacenamiento-[ii].

3. El Instituto Nacional de Estándares y Tecnología (NIST-National Institute of StandarD.S. and Technology. U.S. Department of Commerce)^[iii] establece que la computación en la nube es “un modelo” que permite, cuando sea solicitado, el acceso ubicuo y conveniente a la red, a un grupo compartido de recursos informáticos configurables (y pone como ejemplo a redes, servidores, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de administración o interacción por parte del proveedor de los servicios.

Convoca la necesidad de ciberseguridad entonces, frente a casos concretos. Ya se deja de teorizar y entramos a un terreno donde la nueva Ley N°21.663 asumirá protagonismo. Hay que buscar factores en común para el caso en que a Latam Chile se le hackea el servidor de la empresa proveedora en EE.UU, y manda un correo electrónico a los socios del club deslindando responsabilidades porque nada ocurrió en sus sistemas locales; o para el caso en que se captura e inhabilita el servidor de la empresa colombiana que es el proveedor tecnológico de la plataforma de chilecompras.cl[iv]; en tercer lugar, para el “hackeo” (acceso indebido) muy reciente a los sistemas de la la matriz del grupo Santander.

(i) Habría que revisar si tales externalizaciones en modalidad de cloud (“a la nube”) fueron condicionadas al cumplimiento de altos estándares de seguridad; (ii) como en los tres casos se procesaron o trataron datos personales (los de la Ley N°19.628 y el artículo 19/4 de la CPE), habría que exigir que se transparenten los contratos de encargo de tratamiento; (iii) hay que recordar que quienes encargaron (mandatando a un tercero) el procesamiento de datos nominativos de sus clientes o usuarios, nunca dejan de ser responsables de los posibles perjuicios por vulneraciones o brechas de ciberseguridad que se presenten;                     (iv) habría que exigirse que las previas evaluaciones de impacto sean transparentadas; y,    (v) de cara a la fiscalización y posibles sanciones, hay que visualizar que la línea aérea Latam no fue auditada por el Sernac, que al parecer la Contraloría no hizo una auditoría a la Dirección de Compras Públicas y que -en cambio- el Banco Santander está siendo auditado tanto por la CMF como por el Sernac[v].

5. Ahora puede entenderse cabalmente porque es un tema basal que a los proveedores de servicios de cloud no operen deslocalizadamente y almacenando la información gestionada de los chilenos en cualquier lugar del mundo. O que al menos las exigencias de seguridad deben ser siempre altísimas (lo ocurrido demuestra que no lo son). ¿Quién autorizó a Latam, a Chilecompras y al Banco Santander a operar con su información nominativa fuera de Chile?.  Es que las exigencias de “integridad”, “disponibilidad” y “confidencialidad” no son sólo nuevos conceptos dentro de la robusta institucionalidad jurídica de la Ley N°21.663 de ciberseguridad. Tendrán que ser un cambio de paradigmas.

No es menor que un proveedor de cloud acuda al TDLC reclamando abusos en la exigencia contractual de mantener la data dentro del territorio nacional por los servicios públicos[vi]; y (ii) no es menor que el fiscalizador de la banca haya cambiado sus criterios y admitido en el Capítulo 20-7 de su normativa el que la data de los cuentacorrentistas no sea territorializada en Chile[vii]. Dicho en términos simples: se sugiere revisar el tenor y el nivel de los estándares, los términos y condiciones de uso contractuales de las herramientas ofimáticas y de gestión en plataformas de cloud instaladas en el mercado a esta fecha, y se aplaude que los servicios públicos liciten exigiendo territorialidad. (Santiago, 12 de junio de 2024)

[i] El Convenio Marco ID 2239-5-LR22 de la Dirección de Compras y Contratación Pública para la adquisición de Infraestructura como Servicio en nube pública (IaaS) y Enlace de Datos en puntos habilitados, y en concreto las bases de licitación pública, fueron aprobadas el año 2022

[ii] Técnica y comercialmente, los actores de la industria proveedora ofertan servicios que van desde tecnologías de infraestructura como cómputo, almacenamiento y bases de datos hasta tecnologías emergentes, como el aprendizaje automático y inteligencia artificial del denominado machine learning, lo que se traduciría, técnicamente, en que las aplicaciones existentes de la nube hacen que sea más rápido, fácil y rentable el procesamiento y el almacenamiento de la información. En concreto, se ofrece como hito de funcionalidad el que se puede operar con bases de datos que están diseñadas especialmente para diferentes tipos de aplicaciones específicas.

[iii]  Pueden revisarse los documentos “NIST Cloud Computing Program (NCCP)”, en la URL  https://www.nist.gov/programs-projects/nist-cloud-computing-program-nccp ; o el “The NIST Definition of Cloud Computing”, disponible en la URL https://csrc.nist.gov/publications/detail/sp/800-145/final .

[iv] La ciberseguridad está tensionada por la cantidad de incidentes que se sufren a diario tanto por empresas como por agencias estatales y que tienen por efecto afectar el funcionamiento de servicios públicos y esenciales del Estado, y donde muchas veces los datos de los ciudadanos son sustraídos y re-comercializados en la deep web o dark web. No se trata de un tema menor, sino de una cuestión que atañe al funcionamiento nada menos que de los propios Poderes del Estado, como lo evidencia el incidente de seguridad que tuvo la empresa IFX y que afectó por semanas al sistema de compras públicas de Chile y al Poder Judicial de Colombia, ambos comprometidos por un malware sin poder operar por un tiempo relevante. Ver nota de INCIBE, Ciberataque ransomware contra IFX Networks, en https://bit.ly/3JWRmil .

[v] En un futuro cercano, podremos encontrarnos con las actuaciones competentes y simultáneas de una Agencia Nacional de Ciberseguridad, de una Agencia de Protección de Datos, del Sernac y de la CMF. Si algo de bueno tiene esta desordenada situación de hecho e inexistente Política Pública en materia de fiscalizadores, es que en materia de control habrá un viraje de 180 grados desde la casi nada existencia actual (salvo para la banca) a una sobrecarga de órganos de control donde usuarios y consumidores no quedarán indemnes.

[vi] Puede verse la URL https://www.tdlc.cl/tdlc-tiene-por-retirada-la-consulta-que-dio-origen-al-procedimiento-rol-nc-n-526-23-caratulado-consulta-sobre-si-la-exigencia-de-territorialidad-de-la-infraestructura-o-datos-en-chile-p/

[vii] Puede verse la URL https://www.cmfchile.cl/portal/principal/613/articles-28982_doc_pdf.pdf