A mediados de 2022 el gobierno de Chile anunció la designación del nuevo Coordinador Nacional de Ciberseguridad: el Dr. Daniel Álvarez (uno de los fundadores de Derechos Digitales).
La nueva autoridad llegó anunciando dos misiones concretas y cruciales: la evaluación de la Política Nacional de Ciberseguridad 2017-2022, y el desarrollo de su sucesora, una nueva Política Nacional de Ciberseguridad 2023-2028, como cuestiones que se desarrollarán de forma paralela.
El esfuerzo viene acompañado de otros sucesos. A nivel nacional, el avance en la extendida discusión de una reforma profunda a la ley de datos personales, y el retrasado pero recuperado debate de una ley marco de ciberseguridad muestran un contexto de avance en varios frentes.
A nivel internacional, Chile sigue junto a varios países de la región negociando normas no vinculantes para el ciberespacio o “cibernormas” para el comportamiento de los estados en el ciberespacio en un grupo de trabajo de la Primera Comisión de Naciones Unidas, y reglas de combate e investigación de ciberdelitos en el Comité Especial designado en la Tercera Comisión.
Hay un aspecto que sobresale ahora que el proceso de una nueva PNCS está en curso: la participación ciudadana en la definición de posturas y medidas oficiales relacionadas con la seguridad en el ciberespacio.
Proteger personas, no máquinas
La discusión por el desarrollo de reglas, principios y normas no vinculantes para el comportamiento de los estados en el ciberespacio, que lleva varios años y varias iteraciones en el OEWG de la ONU, parece ir encaminada con buenas intenciones en ese sentido.
Con insistencia de organizaciones de la sociedad civil y la academia, y con el apoyo de varios Estados (también de Latinoamérica), se ha destacado la necesidad de poner a las personas y los derechos humanos no solamente en el centro de los esfuerzos de protección, sino también como parte de la discusión en el OEWG.
No obstante, resulta un desafío permanente que la implementación de las normas no vinculantes sea efectivamente un espacio para la participación. Con frecuencia, da la impresión de que ciertos aspectos de la implementación de estas normas no vinculantes son más bien un asunto eminentemente técnico, donde la experiencia, la pericia y la perspectiva de múltiples partes interesadas, distintas del Estado y algunas empresas de seguridad, no tiene un espacio.
¿Es posible confiar en que los Estados incorporen a distintas partes interesadas al momento de implementar normas no vinculantes? ¿Es posible esperar al menos el compromiso de una mayor interacción a través de sus programas y estrategias de ciberseguridad? Ello depende fundamentalmente de la forma en que cada Estado observa, e integra, los aportes de esos distintos actores.
Los próximos pasos
Hace varios años, cuando analizamos los niveles y el impacto de la participación de múltiples partes interesadas en la formulación de la PNCS 2017-2022 de Chile, observamos con grata sorpresa lo que resultaba un positivo ejemplo. La convocatoria del gobierno de la época para sostener reuniones con distintas partes interesadas y de abrir la consulta pública a cualquier persona que quisiera intervenir, se vio reflejada en un texto final que efectivamente incorporaba cambios coincidentes con propuestas desde fuera del gobierno.
En nuestra opinión, esa mayor interacción permitió no solamente mejorar la comprensión y las capacidades entre distintos actores (Estado incluido), sino también dotar a la PNCS 2017-2022 de mayor calidad y legitimidad.
Un informe de la OEA y GPD, lanzado públicamente a fines de junio de 2022, daba cuenta de la experiencia en la región, relevando los procesos que integraron de distinto modo a la participación multisectorial. Tan solo falta que esa apertura se adopte como norma no vinculante a nivel global.
Creemos firmemente que las distintas partes interesadas, especialmente aquellas dedicadas a la promoción de derechos humanos o que representan a grupos especialmente vulnerables a ataques cibernéticos, son actores relevantes en la formulación y en la implementación de políticas sobre el ciberespacio, facilitando la capacitación, proponiendo políticas o medidas concretas, y ayudando a la sensibilización en cuestiones de seguridad digital.
Con esa experiencia, el nivel en materia de participación para una estrategia de ciberseguridad no debería ser un menor que en la ocasión anterior. No obstante, hasta ahora es poco lo que hemos encontrado en mejoras sustantivas.
Es positivo que la política chilena sea objeto de evaluación, como también que el nuevo proceso esté marcado por una mayor participación en audiencias. Pero todavía restan dudas, de cara a la ciudadanía, sobre cuáles son las fechas, etapas e instancias de interacción directa con el proceso, como también extrañamos una difusión amplia de las medidas que se adoptarán hacer de la elaboración un proceso abierto, transparente e inclusivo.
Que las experiencias pasadas se conviertan efectivamente en lecciones aprendidas tanto de lo nacional como de lo regional y mundial, depende ahora de las autoridades. La sociedad civil está atenta.