Es perfectible, iniciativa de ley de ciberseguridad, pero robusta, opina experto
La más reciente iniciativa de ley para proteger a los usuarios de internet y a las tecnologías de la información sienta bases importantes para una regulación efectiva en México, sin embargo flaquea en las delimitaciones y definiciones de las reglas, de acuerdo a Jersain Llamas Covarrubias, abogado experto en regulación tecnológica.
El 14 de agosto la senadora Alejandra Lagunes Soto Ruiz, del Partido Verde Ecologista de México, presentó el proyecto de Ley Federal de Ciberseguridad y Confianza Digital, una iniciativa que busca crear un marco legal para proteger a los usuarios de internet y tecnologías de la información en el país.
“La iniciativa puede mejorar tanto en cuestiones conceptuales como operativas porque desde un punto de vista técnico jurídico hay ambigüedades. (...) En el ámbito de la ciberseguridad tienes que definir bien las reglas, porque al momento de hablar de seguridad o ciberseguridad puedes colisionar con otros tipos de derechos”, dijo Llamas Covarrubias en entrevista.
El objetivo central de la ley es garantizar un entorno seguro y confiable para el uso de las TIC y las tecnologías emergentes en México. Esto abarca la protección de infraestructuras críticas, como los sectores de energía, salud, transporte y servicios financieros, además de fomentar la confianza en el uso de estas tecnologías, siempre respetando los derechos humanos y las obligaciones establecidas en la Constitución Política de los Estados Unidos Mexicanos.
Para ello, contempla la creación de un Sistema Nacional de Seguridad Cibernética y propone la fundación del Instituto Nacional de Innovación y Formación en Tecnologías Digitales y Ciberseguridad, así como el diseño de un Atlas de Riesgos Cibernético. Además, introduce nuevas figuras legales, como peritos de ciberseguridad y fiscales especializados en delitos cibernéticos, y establece sanciones para el uso ilícito de dispositivos que intervengan en comunicaciones privadas.
El experto hizo un análisis detallado en torno a los conceptos mencionados en el proyecto, entre los que destacan ambigüedades en la reacción de privacidad e intimidad.
“En el artículo 3 fracciones II, III, V, VIII, IX, la expresión "gravedad del impacto en la intimidad" podría generar confusión al no distinguir claramente entre privacidad e intimidad. Mientras que la intimidad es un derecho fundamental inviolable, la privacidad puede ser intervenida en ciertas circunstancias. Se sugiere que se hable de la proporcionalidad de las medidas de ciberseguridad en relación con la privacidad y otros derechos, sin confundirlo con la intimidad, que debe ser protegida de manera absoluta”, señala Llamas Covarrubias.
Además, explica que hay confusión en cierta terminología que podría dar a algunas interpretaciones de manera errónea. “Indirectamente se tratan temas como desinformación y da algunas facultades otorgadas a la SEDENA. Por ejemplo, la ley contempla la posibilidad de regular la difusión de información falsa o discriminatoria, pero sin una definición precisa de cuáles son mecanismos de supervisión, por lo que se podría derivar la censura o restricciones de la libertad de expresión”, dijo el abogado y profesor de Derecho y TIC en la Universidad de Guadalajara.
El artículo 77 confiere a la SEDENA facultades para responder ante amenazas cibernéticas que comprometan la seguridad nacional, lo cual podría resultar en una intervención militar excesiva en asuntos civiles. Esto, según el experto, genera preocupación, ya que dicha intervención debería ser excepcional y estar estrictamente regulada para evitar posibles violaciones de derechos humanos, como la privacidad y la libertad de expresión. “Siempre he dicho que el cibercrimen es una cosa y la ciberseguridad es otra cosa. Para mitigar estos riesgos, sería esencial delimitar con mayor precisión, cuáles son las competencias y específicamente cuáles son los controles independientes para supervisar las acciones de la Sedena y de otras entidades involucradas”, explica.
Sin embargo, Jersain Llamas opina que los puntos clave (de la iniciativa) son robustos y bien estructurados. Que son perfectibles, pero que pueden sentar bases importantes de una regulación efectiva en los sectores. Se trata de un trabajo realizado en conjunto por la senadora Alejandra Lagunes y expertos en regulación que, seguramente, conllevó mesas de discusión, explicó.
La propuesta legislativa surge en medio de un terreno fértil para los ciberdelincuentes en México. En el país no existe una obligación formal para reportar o denunciar incidentes de ciberseguridad, lo que complica la obtención de datos y estadísticas precisas sobre estos delitos.
En respuesta a esta situación, han surgido propuestas para implementar la primera legislación de ciberseguridad en México. Desde 2018, se han presentado 12 iniciativas de ley sobre este tema, pero ninguna ha logrado concretarse. En abril del 2023, el legislador Javier López Casarín, del Partido Verde y presidente de la Comisión de Ciencia, Tecnología e Innovación en la Cámara de Diputados, presentó una iniciativa que proponía un rol más activo de las fuerzas armadas en la atención de incidentes cibernéticos.
Es en este contexto que la aprobación de un marco jurídico en materia digital que enfrente estos desafíos resulta esencial. Por ahora, la iniciativa más reciente de la senadora Lagunes Soto Ruiz se encuentra en proceso de dictaminación.